Une cyberattaque frappe votre entreprise un lundi matin. Vos serveurs sont bloqués, vos données inaccessibles, vos employés paralysés. Combien de temps votre activité peut-elle vraiment survivre sans système informatique ? La réponse détermine souvent la différence entre une simple crise gérée et une catastrophe financière.
En Suisse, 63’000 cyberincidents ont été signalés en 2024 auprès de l’Office fédéral de la cybersécurité, soit un toutes les 8 minutes et demie. Plus de 40 % de ces attaques ciblent spécifiquement les PME. Face à cette réalité, disposer d’un plan de continuité d’activité (PCA) devient une question de survie, pas un simple document administratif.
Un PCA bien conçu vous permet de maintenir vos opérations critiques même pendant une attaque, de réduire le temps d’arrêt de 5 à 7 jours à quelques heures seulement, et de protéger votre réputation auprès de vos clients. Voici comment construire un dispositif réellement efficace, adapté aux menaces actuelles et aux spécificités de votre entreprise en Suisse romande.
Identifier vos activités critiques et leurs dépendances IT
Toutes vos activités ne se valent pas en cas de crise. Certaines peuvent attendre quelques jours, d’autres doivent fonctionner coûte que coûte. La première étape consiste à établir cette hiérarchie avec précision.
Commencez par lister vos processus métier et posez-vous une question simple : combien de temps pouvons-nous nous passer de cette fonction avant que les conséquences deviennent graves ? Pour une banque, le traitement des paiements ne peut pas attendre. Pour un cabinet médical, l’accès aux dossiers patients est vital. Pour une entreprise industrielle, la chaîne de production dépend souvent d’un système de gestion centralisé.
Cartographiez ensuite les dépendances informatiques de chaque activité critique. Quels logiciels, serveurs, bases de données et connexions réseau sont nécessaires ? Cette analyse révèle souvent des vulnérabilités insoupçonnées : une application hébergée sur un serveur obsolète, une sauvegarde qui n’est jamais testée, un fournisseur cloud sans alternative.
Fixez des objectifs mesurables pour chaque fonction critique :
- RTO (Recovery Time Objective) : le délai maximal acceptable avant de rétablir le service
- RPO (Recovery Point Objective) : la quantité maximale de données que vous pouvez vous permettre de perdre
Par exemple, votre comptabilité peut accepter un RTO de 48 heures et un RPO d’un jour. Votre système de commandes en ligne nécessite probablement un RTO de 4 heures maximum et un RPO de quelques minutes.
Conseil pratique : Organisez un atelier avec vos responsables métier pour valider ensemble ces priorités. Leurs retours terrain sont essentiels pour ancrer le PCA dans la réalité opérationnelle.
Construire des scénarios de reprise réalistes et testables
Un plan qui reste dans un tiroir ne sert à rien. Votre PCA doit décrire avec précision ce qui se passe minute par minute après la détection d’une attaque, et surtout qui fait quoi.
Documentez plusieurs scénarios de crise possibles : ransomware qui chiffre vos données, attaque par déni de service qui paralyse votre site, violation de données sensibles, panne d’un fournisseur cloud critique. Pour chaque cas, établissez un plan de réponse structuré en phases :
Phase 1 : Détection et confinement (0 à 2 heures)
- Qui reçoit l’alerte et comment ?
- Quels systèmes faut-il isoler immédiatement pour limiter la propagation ?
- Quels prestataires externes faut-il prévenir (assurance cyber, société de forensic, OFCS pour les infrastructures critiques) ?
Phase 2 : Activation des solutions de secours (2 à 8 heures)
- Comment basculer sur vos sauvegardes ou systèmes de redondance ?
- Quels processus manuels peuvent prendre le relais temporairement ?
- Comment maintenir la communication avec vos clients et partenaires ?
Phase 3 : Restauration complète (8 heures à plusieurs jours)
- Dans quel ordre rétablir vos systèmes ?
- Quelles vérifications techniques avant de remettre en production ?
- Comment analyser l’incident pour éviter qu’il se reproduise ?
Désignez clairement les responsables pour chaque action. Créez une cellule de crise avec des rôles définis : coordinateur général, responsable technique, responsable communication, responsable métier. Prévoyez des remplaçants si une personne clé est absente ou indisponible.
Conseil pratique : Testez régulièrement vos scénarios à travers des exercices sur table. Simulez une attaque un vendredi après-midi et observez combien de temps il faut réellement pour activer le plan. Les premiers tests révèlent souvent des failles que vous corrigerez avant une vraie crise.
Sécuriser vos sauvegardes et vos systèmes de redondance
Vos sauvegardes représentent votre police d’assurance ultime. Mais attention, les groupes de ransomware comme Akira, Black Basta ou 8Base ciblent désormais systématiquement les sauvegardes pour maximiser la pression sur leurs victimes.
Appliquez la règle du 3-2-1 de manière rigoureuse : conservez 3 copies de vos données, sur 2 supports différents, dont 1 hors ligne et déconnectée du réseau. Cette sauvegarde froide, inaccessible depuis votre infrastructure principale, reste votre dernière ligne de défense si tout le reste est compromis.
Automatisez vos sauvegardes quotidiennes et testez leur restauration au moins tous les trimestres. Une sauvegarde qui n’a jamais été restaurée est une sauvegarde dont vous ne pouvez pas garantir l’intégrité. Chronométrez le temps nécessaire pour remonter un serveur complet : c’est ce délai qui s’appliquera en situation réelle.
Envisagez des solutions de haute disponibilité pour vos systèmes vraiment critiques : serveurs redondants, connexions internet multiples avec des opérateurs différents, systèmes de basculement automatique. Ces investissements réduisent drastiquement votre temps d’interruption.
Protégez aussi vos environnements de développement et de test. Beaucoup d’attaques démarrent par la compromission d’un système considéré comme secondaire avant de se propager vers la production.
Conseil pratique : Chiffrez toutes vos sauvegardes et stockez les clés de chiffrement séparément. Documentez précisément la procédure de restauration avec des captures d’écran et des commandes exactes. En pleine crise, personne n’aura le temps de chercher la documentation.
Préparer votre organisation humaine et votre communication de crise
La technologie ne suffit pas. Les meilleurs outils du monde restent inefficaces si vos équipes ne savent pas comment réagir ou si la communication s’effondre pendant la crise.
Formez régulièrement vos collaborateurs aux bons réflexes : comment détecter une attaque en cours, qui prévenir immédiatement, quels systèmes ne surtout pas utiliser pendant l’incident. Organisez des simulations d’attaque sans prévenir pour tester la réactivité réelle de votre organisation.
Préparez des canaux de communication alternatifs si vos emails et messageries internes sont compromis. Notez les numéros de portable de votre cellule de crise sur un document papier conservé en lieu sûr. Créez un groupe WhatsApp ou Signal dédié aux urgences cyber, avec des contacts externes (prestataires, assureurs) déjà intégrés.
Rédigez des modèles de communication prêts à l’emploi : email aux clients expliquant une interruption de service, communiqué pour vos partenaires, message interne pour rassurer vos employés. Ces templates vous feront gagner un temps précieux quand chaque minute compte.
Anticipez les aspects juridiques et réglementaires. Si vous gérez des données sensibles, vous devrez peut-être signaler l’incident au Préposé fédéral à la protection des données dans les 72 heures. Les infrastructures critiques ont une obligation de déclaration à l’OFCS sous 24 heures depuis avril 2025, avec des amendes jusqu’à 100’000 CHF en cas de non-respect.
Documentez qui prend quelle décision. En situation de crise, les hésitations et les zones grises ralentissent la réponse. Votre directeur général doit-il valider le paiement d’une rançon ? Qui décide de couper Internet pour isoler l’attaque ? Ces questions doivent avoir des réponses claires avant l’incident.
Conseil pratique : Organisez un débriefing après chaque incident ou exercice. Notez ce qui a bien fonctionné, ce qui a échoué, combien de temps chaque étape a pris. Mettez à jour votre plan en conséquence et partagez les leçons apprises avec toute l’entreprise.
FAQ
Les questions essentielles sur le plan de continuité d’activité
Quelle est la différence entre un plan de continuité d’activité et un plan de reprise d’activité ?
Le plan de continuité d’activité (PCA) vise à maintenir les fonctions essentielles pendant la crise, avec des solutions de contournement si nécessaire. Le plan de reprise d’activité (PRA) se concentre sur la restauration complète des systèmes informatiques après l’incident. Le PCA est plus large : il intègre le PRA mais couvre aussi les aspects organisationnels, humains et communicationnels de la gestion de crise.
Combien coûte la mise en place d’un plan de continuité face aux cyberattaques ?
Le coût varie selon la taille de votre entreprise et la complexité de vos systèmes. Pour une PME de 20 à 50 employés, comptez entre 15’000 et 40’000 CHF pour un PCA complet incluant l’analyse des risques, la documentation, les solutions de sauvegarde renforcées et la formation des équipes. Cet investissement reste largement inférieur au coût moyen d’une interruption prolongée, qui se chiffre souvent en centaines de milliers de francs.
À quelle fréquence faut-il tester et mettre à jour son plan de continuité ?
Testez votre PCA au minimum deux fois par an à travers des exercices de simulation. Mettez-le à jour systématiquement après chaque test, après tout changement majeur dans votre infrastructure IT, ou après un véritable incident de sécurité. Les menaces évoluent rapidement : un plan qui n’est pas révisé depuis un an risque d’être partiellement obsolète face aux nouvelles tactiques des cybercriminels.
Un plan de continuité est-il obligatoire en Suisse pour les entreprises ?
Il n’existe pas d’obligation générale pour toutes les entreprises, mais les infrastructures critiques (énergie, santé, télécommunications, transport) doivent disposer d’un dispositif de gestion de crise depuis l’entrée en vigueur de la nouvelle réglementation OFCS en avril 2025. Certains secteurs comme la finance ont aussi des exigences spécifiques. Au-delà de l’aspect légal, un PCA devient une nécessité pratique pour toute entreprise qui ne peut pas se permettre plusieurs jours d’interruption.
