StoïkBlogCybersécurité

Le plan de continuité d’activité (PCA) : un document clé pour faire face aux attaques cyber

Aline Cordier Simonneau
Dernière mise à jour :

« Prévenir plutôt que guérir » : cela s’applique aussi aux risques cyber, qui doivent désormais être pris en compte dans la stratégie globale de prévention des risques en entreprise. Les entreprises ont désormais tout intérêt à intégrer le risque cyber dans leur plan de continuité d’activité ou « PCA ». L’objectif : pouvoir continuer son activité le jour où une cyberattaque survient. Comment élaborer et mettre en œuvre un PCA ? Passons au crible le fonctionnement de ce document qui décrit la marche à suivre en cas de crise, notamment en cas de cyberattaque affectant le système d’information d’une entreprise.

plan de continuité d'activité PCA

Le PCA : un outil stratégique pour maintenir son activité, notamment en cas d’attaque cyber

Le plan de continuité d’activité est un document stratégique majeur qui prépare les entreprises à affronter les différentes crises qu’elles auront à traverser.

Qu’est-ce que le PCA d’une entreprise et à quoi sert-il ?

Le PCA concerne tous les types de risques auxquels une entreprise peut être confrontée : naturels, financiers, cyber, sociaux, épidémiques, etc. Son rôle est d’identifier précisément les risques qui pèsent sur une entreprise afin de mettre en place la stratégie et les processus permettant de continuer son activité en cas de crise avérée.

Les cyberattaques étant en forte croissance ces dernières années, avec des conséquences multiples sur la vie des entreprises, le risque cyber est désormais intégré au PCA.

Protégez-vous contre le risque de cyberattaques
Les cyberattaques, ça n'arrive pas qu'aux autres et c'est le risque n°1 en entreprise.
Je m'assure

L’élaboration d’un plan de continuité est-elle une obligation légale ? 

Il l’est uniquement pour certaines entreprises comme « les établissements de crédit, les entreprises d’investissement, les établissements de santé, les opérateurs d’importance vitale » (source : SGDSN, Secrétariat général de la défense et de la sécurité nationale). L’élaboration d’un plan de continuité d’activité fait cependant partie des bonnes pratiques identifiées par l’ANSSI pour se prémunir des cyberattaques et assurer sa cybersécurité.

Bon à savoir
Les entreprises ont tout intérêt à mettre en place ce genre de stratégie en cas de crise (quels que soient leur taille et leur secteur d’activité), ne serait-ce que pour limiter leur perte de chiffre d’affaires. Les entreprises qui avaient élaboré un plan de continuité d’activité ont par exemple mieux affronté la crise du Covid.

Les autres bonnes pratiques identifiées par l'ANSSI :

Pourquoi est-il important d’intégrer le risque cyber au PCA d’une entreprise ?

Connaître les risques cyber et s’y préparer, continuer à fonctionner et limiter l’impact d’une attaque sur son entreprise : c’est là tout l’enjeu d’intégrer le risque cyber à son PCA.

Limitez l'impact d'une cyberattaque
Assurez-vous contre le risque cyber et soyez remboursé jusqu'à 1 millions d'euros en cas d'attaque.
Je m'assure

Identifier les risques cyber et les activités essentielles

Le PCA contient les risques cyber identifiés, les ressources à solliciter, les procédures et les responsabilités de chacun en cas de cyberattaque et dans la mise en œuvre du PCA. Il dresse la liste des méthodes, outils et moyens opérationnels sur lesquels l’entreprise pourra s’appuyer pour maintenir ses activités essentielles suite à une cyberattaque, même en « mode dégradé ».

Le PCA doit permettre de répondre à des questions très concrètes : 

  • « Quels sont les risques cyber auxquels l’entreprise est particulièrement exposée ? »
  • « Comment l’entreprise peut-elle continuer à fonctionner si tout ou partie de son système d’information est altéré ? »
  • « Quel est le temps d’arrêt maximal tolérable d’interruption de ses logiciels métiers ? » etc.
identifier risque cyber

Renforcer sa cyber-résilience en limitant les conséquences des attaques cyber

Le PCA permet d’éviter la paralysie de l’entreprise en cas de cyberattaque. Au gain de temps s’ajoute également un gain d’efficacité. Mieux préparée, l’entreprise pourra activer son PCA en cas d’attaque cyber et tenter d’en limiter les conséquences (les pertes commerciales et financières liées à l’interruption des activités et à la remise en fonctionnement des infrastructures et services impactés, par exemple).

Un chiffre édifiant
Quand on sait qu’en moyenne, une entité perd 27 % de son chiffre d’affaires annuel dans une attaque (source : Anzor Way), rédiger un PCA est presque une question de survie, en particulier pour les TPE et PME.

Prendre conscience des risques et de leurs conséquences est une première étape pour les éviter ou, à défaut, en limiter l’impact. D’autre part, vu l’ampleur des menaces, développer une bonne prise en compte des risques cyber est un avantage concurrentiel non négligeable pour une entreprise.

Mettre en place un PCA : conseils et bonnes pratiques

Qui rédige le plan de continuité d’activité et quelles étapes suivre ?

Deux options existent : 

  1. Élaborer le PCA en interne (si l’entreprise dispose d’une équipe SI suffisamment étoffée et d’une politique de gestion des risques structurée),
  2. Confier sa réalisation à un prestataire et donc externaliser sa conception. Si cette option est retenue, l’entreprise devra malgré tout s’impliquer dans la réalisation du document.
Où trouver un exemple de plan de continuité d’activité ?
Le PCA est un document sensible (voire confidentiel). Les entreprises ne le partagent généralement pas en ligne.

Étape par étape, l’entreprise doit faire figurer différents éléments dans son PCA :

  • La description du contexte, des objectifs de l’entreprise et de ses obligations, ainsi que le détail de ses activités essentielles ou « critiques ».
  • La liste des risques considérés comme étant les plus graves pour la continuité d’activité de l’entreprise, avec des scénarios de crises cyber.
  • La stratégie de l’entreprise pour assurer sa continuité d’activité : durée d’interruption maximale d’un service, ressources, moyens et procédures à mobiliser pour reprendre un fonctionnement normal.
  • Le rôle et la responsabilité des différents salariés impliqués dans la mise en œuvre du PCA.
  • Le dispositif permettant de gérer la crise,
  • La maintenance du PCA : vérification de son efficacité, mise en place de tests périodiques, améliorations.

Lister les solutions permettant de maintenir l’activité

Le PCA liste très précisément les actions à mettre en place en cas d’attaque affectant tout ou partie du système d’informatique d’une entreprise et les moyens permettant à l’entreprise de maintenir son activité, par exemple :

  • Si la téléphonie et la messagerie professionnelles sont inaccessibles, quels moyens l’entreprise peut-elle utiliser pour continuer à communiquer ?
  • Quels dispositifs mettre en place pour permettre aux logiciels métiers (paie, comptabilité, etc.) de continuer à fonctionner, même a minima ?
  • Quel est le plan de sauvegarde et de restauration de données de l’entreprise ?
  • L’entreprise dispose-t-elle d’un annuaire déconnecté de son système informatique, permettant de contacter l’ensemble des parties prenantes (internes et externes) en cas de crise ?
liste action PCA

Comment faire vivre et évoluer son PCA ?

Le PCA est un document vivant et évolutif. Il doit lui-même faire l’objet d’une maintenance opérationnelle, être mis à jour en fonction de l’évolution de l’infrastructure informatique de l’entreprise (changement de logiciels métiers, structuration de la politique de sauvegarde de données, etc.) et de la menace cyber. Son efficacité doit également être testée régulièrement, avec différents scénarios.

Avec ces mises à jour et ces tests, la TPE ou PME peut s’assurer que les dispositifs préconisés dans son PCA sont effectivement appropriés, lui permettront de faire face avec efficacité et de poursuivre son activité en cas de crise cyber majeure. Si ce n’est pas le cas, des mesures correctives et des améliorations doivent être apportées au PCA.

En permettant aux entreprises d’affronter les crises cyber et d’en limiter l’impact sur leur activité, le PCA est un outil de résilience numérique. Il contribue également à diffuser une culture de la prévention des risques au sein des entreprises. La préparation n’empêche pas la crise, mais elle permet de mieux l’affronter !

Affrontez les cyberattaques de la meilleure manière
Protégez et assurez votre business avec Stoïk !
Je m'assure

Sources :

  1. https://www.lemondeinformatique.fr/actualites/lire-attaques-par-ransomware-2022-sera-pire-que-2021-en-france-85517.html
  2. https://www.cybermalveillance.gouv.fr/medias/2022/01/Fiche_QueFaireCyberAttaque_Dirigeants.pdf
  3. https://www.cybermalveillance.gouv.fr/medias/2021/05/Guide-de-cybers%C3%A9curit%C3%A9-%C3%A0-destination-des-dirigeants-de-TPE-PME-et-ETI.pdf
  4. https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf
  5. http://www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-sgdsn-110613-normal.pdf
  6. https://www.axess.fr/blog/cybersecurite/mise-place-pra-pca
  7. https://www.c-risk.com/fr/blog/PCA-plan-de-continuite-activite/
  8. https://www.entreprises.gouv.fr/files/files/directions_services/politique-et-enjeux/entrepreneuriat/Guide-PCA-en-cas-de-crise-majeure.pdf
  9. https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf