Aller au contenu
AuditNIS2
Conformité

Plan de continuité d'activité (PCA) pour PME : guide NIS2 2026

Comment construire un PCA simple et efficace pour une PME concernée par NIS2 ? Méthode, contenu attendu, sauvegardes immuables, tests, exemple type.

9 min de lecture Par Équipe Audit NIS2
Plan de continuité d'activité affiché sur un tableau

La mesure 4 de l’article 21 NIS2 impose un plan de continuité d’activité et de gestion des crises. Pour beaucoup de PME, cette mesure évoque immédiatement de longs documents abstraits utilisés dans les grands groupes, et qu’on n’a pas le temps ni la capacité de mettre en place. C’est une mauvaise lecture. Pour une PME, un PCA utile et conforme tient sur 15 à 25 pages, peut être construit en deux à trois semaines, et apporte une vraie valeur opérationnelle dès qu’un incident se produit. Cet article explique comment.

Ce que NIS2 attend exactement

La mesure 4 de la directive parle de « continuité de l’activité, telle que la gestion des sauvegardes et la restauration après catastrophe, et la gestion des crises ». Concrètement, l’autorité de contrôle ou un client donneur d’ordre attendra que vous puissiez répondre aux questions suivantes :

  • Avez-vous identifié vos services et activités critiques, et leurs dépendances ?
  • Quels sont vos objectifs de temps de reprise (RTO) et de point de reprise (RPO) sur ces activités ?
  • Disposez-vous de sauvegardes, à quelle fréquence, où sont-elles stockées, sont-elles immuables, sont-elles testées ?
  • Avez-vous un plan de reprise documenté et un plan de gestion de crise (qui décide quoi en cas d’incident majeur) ?
  • À quelle date et avec quels résultats avez-vous testé ce dispositif ?

Le PCA NIS2 ne demande pas un document de 200 pages : il demande un dispositif lisible, opérationnel et testé.

Les concepts à comprendre

Avant de rédiger, il faut être à l’aise avec quelques concepts clés.

RTO (Recovery Time Objective) : combien de temps maximum entre la survenue d’un incident et le retour en service. Pour un e-commerce, RTO de quelques heures sur le tunnel de paiement. Pour un cabinet de conseil, RTO de 24-48h sur la messagerie.

RPO (Recovery Point Objective) : quelle perte de données maximum acceptable. Avec une sauvegarde quotidienne, RPO de 24h. Avec une sauvegarde toutes les heures, RPO de 1h. Avec une réplication continue, RPO de quelques minutes.

MTPD (Maximum Tolerable Period of Disruption) : durée maximale au-delà de laquelle l’arrêt du service compromet gravement l’activité. Au-delà du MTPD, on est en crise existentielle.

BIA (Business Impact Analysis) : analyse d’impact métier qui permet de chiffrer les conséquences d’un arrêt par durée. Sert à prioriser les efforts de continuité.

PCA et PRA : le PCA (Plan de continuité d’activité) couvre tous les scénarios d’arrêt et l’organisation pour continuer. Le PRA (Plan de reprise après incident) est le volet plus technique de redémarrage des SI.

Méthode en 6 étapes pour une PME

Voici la méthode pragmatique que nous appliquons.

Étape 1 — Cartographier les activités critiques. Lister les processus métier de l’entreprise et identifier ceux dont l’arrêt est inacceptable au-delà de quelques heures ou jours : génération de devis, facturation, livraison, support client, accès aux outils internes essentiels, paie, etc.

Étape 2 — Identifier les dépendances IT. Pour chaque activité critique, lister les SI nécessaires (serveur applicatif, base de données, accès Internet, plateforme cloud, applications SaaS), les locaux, les fournisseurs critiques.

Étape 3 — Analyser l’impact (BIA). Pour chaque activité, estimer le coût horaire / journalier d’un arrêt (perte de CA, coûts directs, impact image). Définir un RTO et un RPO réaliste.

Étape 4 — Définir les scénarios. Quatre scénarios couvrent 90% des cas en PME : ransomware paralysant le SI, indisponibilité prolongée d’un fournisseur cloud, incident physique (incendie, dégât des eaux, vol), absence prolongée de personnel clé.

Étape 5 — Documenter les procédures. Pour chaque scénario, qui décide, qui fait quoi, dans quel ordre, avec quels outils de communication. Inclure les contacts clés (assureur, banque, autorité, expert IT, prestataire de sauvegardes).

Étape 6 — Tester. A minima, un test de restauration de sauvegardes par an. Idéalement, un exercice de simulation d’un scénario complet.

Sauvegardes immuables : le cœur du dispositif

Pour une PME, la pierre angulaire de la continuité d’activité est la sauvegarde immuable. Une sauvegarde « classique » peut être chiffrée par un ransomware si l’attaquant a accès au compte qui la gère. Une sauvegarde immuable ne peut pas être modifiée ni supprimée pendant une période définie (typiquement 30 à 90 jours), même par un compte administrateur compromis.

Stratégie 3-2-1 minimum : 3 copies des données (production + 2 sauvegardes), sur 2 supports différents (disque + cloud par exemple), 1 hors-site (cloud ou stockage distant).

Stratégie 3-2-1-1-0 (recommandée) : 3 copies, 2 supports, 1 hors-site, 1 immuable, 0 erreurs de restauration vérifiées par test.

Outils accessibles aux PME : Veeam Cloud Connect, Datto, Acronis, Backblaze B2 avec lock objet, AWS S3 Object Lock, Azure Blob immutable storage, OVHcloud Object Storage avec immutabilité. Le surcoût par rapport à une sauvegarde classique reste limité (10-30%).

Test de restauration : a minima une fois par an, restaurer une sauvegarde sur un environnement test, vérifier que les données sont récupérables et utilisables, documenter le résultat. Sans test, vous n’avez pas de sauvegarde, vous avez de l’espoir.

Le scénario ransomware : préparer le pire

Pour une PME en 2026, le ransomware est le scénario de loin le plus probable et le plus dévastateur. Voici les points clés à documenter.

Détection : qui surveille quoi, comment l’incident est qualifié (serveur ne répond plus, fichiers chiffrés, message de rançon).

Isolement : déconnexion immédiate des systèmes affectés, isolement réseau, identification du périmètre touché.

Notification : équipe interne informée, direction informée, ANSSI notifiée (24h pour l’alerte précoce), CNIL notifiée si données personnelles compromises (72h), assureur cyber prévenu, clients informés selon les obligations contractuelles.

Investigation : appel à un expert (votre prestataire IT habituel ou un cabinet spécialisé), analyse du vecteur d’attaque, identification des sauvegardes saines.

Restauration : sur un environnement nettoyé, restauration progressive en partant des données les plus critiques. Vérification de l’absence de persistance attaquant.

Décision sur la rançon : par défaut, ne pas payer (recommandation ANSSI ferme). Documenter la décision et son raisonnement.

Retour à la normale : tests fonctionnels, communication clients, retour d’expérience formalisé.

Modèle de PCA pour une PME

Voici la structure type que nous fournissons à nos clients en accompagnement.

Section 1 — Présentation et périmètre (1-2 pages) : objet du document, périmètre couvert, lien avec la politique de sécurité.

Section 2 — Cartographie des activités critiques (2-3 pages) : tableau des processus métier critiques avec RTO, RPO, dépendances IT et fournisseurs.

Section 3 — Organisation de crise (2 pages) : équipe de crise (qui), rôles et responsabilités, modes de communication (canal principal et canal de secours), arbre d’astreinte.

Section 4 — Scénarios et procédures de continuité (5-8 pages) : ransomware, indisponibilité cloud, incident physique, indisponibilité de personnel clé. Pour chaque scénario, déclencheurs, actions immédiates, communication, restauration.

Section 5 — Sauvegardes (2-3 pages) : stratégie, outils, fréquences, rétention, immutabilité, test de restauration, contacts en cas de problème.

Section 6 — Communications de crise (1-2 pages) : modèles de communication interne, externe (clients, partenaires, autorités), gestion presse si pertinent.

Section 7 — Tests et exercices (1 page) : calendrier annuel des tests, modalités de retour d’expérience, mise à jour du document.

Annexes : contacts (interne et externe), glossaire, références (politique de sécurité, plan de réponse aux incidents, contrats fournisseurs).

Une PME bien structurée arrive à un document de 15 à 25 pages en suivant cette trame, ce qui est suffisant pour NIS2.

Tester sans arrêter l’activité

Un PCA non testé est un PCA inutile. Pour tester sans paralyser l’entreprise, voici quelques formats progressifs.

Test de restauration annuel : restaurer une sauvegarde sur un environnement test, vérifier que les données sont accessibles et cohérentes. Effort : une demi-journée.

Exercice papier (tabletop) : la direction et l’équipe IT se réunissent autour d’un scénario fictif et déroulent les étapes mentales. Pas de manipulation système, juste de la décision. Effort : 2 heures.

Exercice partiel : on déclenche réellement une procédure (notification, restauration partielle, communication client) sur un périmètre réduit. Effort : 1 journée.

Exercice complet : on simule une indisponibilité réelle d’un système non critique pendant quelques heures, on bascule sur le plan B, on revient à la normale. Effort : 1 à 2 jours.

Pour une PME, l’enchaînement recommandé est : un test de restauration et un tabletop chaque année, un exercice partiel tous les 18-24 mois, un exercice complet au moins une fois tous les 3 ans.

Erreurs fréquentes en PCA pour PME

Erreur 1 — Trop documenter. 200 pages de PCA imitant les grandes entreprises, jamais relus, jamais testés. Préférez un document court, lisible et tenu à jour.

Erreur 2 — Confondre PCA et politique sécurité. Le PCA est opérationnel ; la politique est stratégique. Ne mélangez pas les deux dans un seul document.

Erreur 3 — Sauvegardes sans test. Le moment où on découvre que la sauvegarde ne fonctionne pas est le pire moment. Testez avant.

Erreur 4 — Plan figé. Une organisation change : nouveaux outils, départs/arrivées, nouveaux fournisseurs. Le PCA doit être revu au moins une fois par an et après tout changement majeur.

Erreur 5 — Pas de scénario humain. L’absence prolongée d’un dirigeant ou d’une personne clé est un scénario fréquent et oublié. Identifiez les remplaçants potentiels.

Erreur 6 — Pas de plan B fournisseur. Si tout repose sur un seul prestataire IT et que ce prestataire est compromis, vous êtes bloqué. Ayez au moins un contact alternatif.

Coût d’un PCA pour une PME

Pour une PME de 30 personnes, le coût total se décompose en :

  • Rédaction du PCA : 2 000 à 4 000 € en accompagnement externe (peut être réduit en interne si compétences disponibles).
  • Outils de sauvegarde immuable : 50 à 200 €/mois selon le volume.
  • Tests annuels : 500 à 1 500 €/an si externalisés.
  • Maintenance : 1 000 à 2 000 €/an pour mise à jour, exercices et veille.

Un PCA NIS2 compliant pour une PME représente 5 000 à 10 000 € la première année et 2 000 à 4 000 €/an ensuite. Notre offre audit + accompagnement à 2 500 € inclut la rédaction d’un PCA modèle adapté à votre contexte.

Conclusion

Le PCA est une mesure NIS2 qui apporte une vraie valeur opérationnelle au-delà de la simple conformité : en cas d’incident, l’organisation qui sait quoi faire perd des heures, celle qui ne sait pas en perd des semaines. Pour une PME, un PCA utile tient sur 15-25 pages, se construit en 2-3 semaines, et coûte quelques milliers d’euros à mettre en place. La clé est la simplicité : peu de documents, beaucoup de tests, une mise à jour régulière.

Pour aller plus loin : les 10 mesures de l’article 21 expliquées, notre article sur le déploiement de la MFA, et notre audit complet à 1 500 € qui inclut un état des lieux de votre PCA actuel.

#pca#continuité activité#nis2#ransomware#sauvegardes

Cet article vous concerne ?

Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.

Démarrer mon pré-audit Faire le quiz NIS2

Prêt à sécuriser votre conformité NIS2 ?

Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.

Démarrer mon pré-audit 07 51 13 37 69