Continuité & résilience Mis à jour : Juin 2026

PCA (Plan de Continuité d'Activité) : comment l'organisation fonctionne en mode dégradé pendant l'incident. PRA (Plan de Reprise d'Activité) : comment on restaure les systèmes après l'incident. PCO (Plan de Continuité Opérationnel) : version opérationnelle détaillée pour les équipes terrain. Les trois sont complémentaires.

La BIA identifie les processus critiques et quantifie l'impact de leur interruption. Pour chaque processus : quel est l'impact financier par heure d'interruption ? Quand l'impact devient-il inacceptable (MTPD — Maximum Tolerable Period of Disruption) ? Quelles ressources minimales sont nécessaires pour fonctionner ?

RTO (Recovery Time Objective) : délai maximum acceptable pour reprendre l'activité. RPO (Recovery Point Objective) : perte de données maximale acceptable (ex: 4h = on accepte de perdre 4h de données). Ces objectifs doivent être définis par les métiers, pas par l'IT. L'IT les traduit ensuite en architecture.

Un plan non testé est un plan qui ne fonctionne pas. Types de tests : (1) Revue documentaire (vérifier que le plan est à jour), (2) Test à blanc (simulation sur papier), (3) Test partiel (activer une partie du PRA), (4) Test grandeur nature (activer le PRA complet). Fréquence recommandée : annuelle minimum, après chaque incident majeur.

Trois niveaux : (1) Communication interne (employés), (2) Communication clients/partenaires, (3) Communication réglementaire (CAI si données personnelles, assureur, CCCS). Préparer des templates à l'avance. Désigner un porte-parole unique. Ne jamais communiquer sous la pression sans validation juridique.

Après chaque incident ou test : organiser un REX dans les 72h. Questions clés : qu'est-ce qui a bien fonctionné ? Qu'est-ce qui a échoué ? Pourquoi ? Que faire différemment ? Mettre à jour le plan dans les 30 jours suivants. Le REX transforme chaque incident en amélioration durable.