Avec l'entrée en vigueur de NIS2 transposée en droit français en octobre 2024 (loi de transposition), des dizaines de milliers de PME se retrouvent assujetties à des obligations de gestion de la continuité d'activité (BCM) pour la première fois. Beaucoup ne disposent ni d'équipe BCMS dédiée, ni du budget d'un grand groupe pour acheter une plateforme BCM enterprise. Ce guide aide les PME à choisir une plateforme BCM SaaS adaptée à leurs ressources, leur secteur et la rigueur exigée par NIS2.
Pourquoi une PME a-t-elle besoin d'une plateforme BCM en 2026 ?
NIS2 ne distingue pas la taille de l'entité : si vous fournissez un service essentiel ou important couvert par l'annexe I/II de la directive (santé, énergie, transport, infrastructure numérique, services financiers, postal, fourniture d'eau, alimentation, fabrication critique, recherche, fournisseurs cloud, gestion ICT B2B…), vos obligations sont identiques à celles d'une banque tier-1. Concrètement :
- Politiques de continuité documentées (Article 21).
- Notification d'incident à l'ANSSI en 24 h (early warning), 72 h (notification) et 1 mois (rapport final).
- Gestion des risques de sécurité informatique alignée sur ISO 27001 / EBIOS RM.
- Cartographie de la chaîne d'approvisionnement (sous-traitants ICT critiques).
- Tests de continuité prouvables.
Les PME qui essaient de cocher ces cases avec Excel + Word + boîte mail finissent par découvrir trois problèmes : (1) aucune trace auditable des décisions et des tests, (2) redondance manuelle énorme quand on cartographie processus → applicatifs → fournisseurs → risques, (3) incapacité à montrer la cohérence entre les artéfacts à un auditeur ANSSI ou à un client demandant une preuve de conformité.
Les 8 critères de choix d'une plateforme BCM SaaS pour une PME
Ne tombez pas dans le piège de la « démo qui éblouit ». Concentrez-vous sur les capacités qui répondent directement aux exigences NIS2 et à la réalité d'une équipe de 1 à 5 personnes en charge de la conformité.
1. Couverture du cycle complet (BIA → BCP → exercices → REX)
Une plateforme partielle vous oblige à acheter d'autres modules. Vérifiez que le SaaS couvre :
- BIA (Business Impact Analysis) avec calcul automatique RTO/RPO/MTPD,
- BCP/DRP/IRP/ERP (les 8 plans de la famille ISO 22301),
- Exercices tabletop scriptés et REX (retour d'expérience) automatisés,
- Audit interne de maturité.
Voir notre guide BIA en français pour comprendre le périmètre attendu.
2. Alignement explicite NIS2 + DORA + ISO 22301
Le SaaS doit afficher une matrice de couverture réglementaire : quelle obligation NIS2/DORA/ISO 22301 est satisfaite par quel artefact. Si l'éditeur ne sait pas vous montrer cette matrice, fuyez.
3. Workflow d'incident NIS2 24 h / 72 h / 1 mois
NIS2 impose 3 phases temporelles strictes. La plateforme doit avoir un workflow pré-câblé qui rappelle les échéances, génère le contenu pré-rempli pour le portail ANSSI, trace les approbations. Voir NIS2 : notification 24 h, 72 h et 1 mois.
4. Hébergement européen et conformité RGPD
Pour une PME française ou européenne, un SaaS BCM hébergé hors UE = problème transferts internationaux RGPD + risque de cloud act extraterritorial. Privilégiez OVHcloud, Outscale, Numspot ou autres hébergeurs souverains. Idéalement qualification SecNumCloud ANSSI.
5. Tarification accessible (< 15 K€/an pour une PME 50–250 personnes)
Les solutions enterprise (Riskonnect, Archer, Fusion, Veoci) facturent souvent 40–150 K€/an, ce qui n'a aucun sens pour une PME. Ciblez 3 000 à 12 000 €/an pour 50 à 250 employés, avec essai gratuit.
6. Time-to-value mesuré en semaines, pas en mois
Une PME sans BCM Manager dédié ne peut pas absorber un projet de 6 mois d'implémentation. Le SaaS doit livrer un premier livrable utilisable (BIA initial, plan de continuité par défaut) en moins de 4 semaines.
7. IA de rédaction pour pallier l'absence de senior BCM
Les PME n'ont pas de senior CISO/BCM Manager. L'IA doit pouvoir rédiger les premières versions de plans, justifications de criticité, scénarios d'exercice, à partir d'inputs minimaux. Voir /features/ai-analyst.
8. Multi-tenant léger pour les groupes de PME / franchises
Si votre PME a des filiales ou si vous êtes un cabinet conseil servant plusieurs clients, le SaaS doit gérer plusieurs organisations sans surcoût explosif.
Comparatif rapide 2026
| Solution | Positionnement | Prix indicatif PME | Hébergement | NIS2 ready |
|---|---|---|---|---|
| Excel + Word + Drive | DIY, gratuit | 0 € + temps | Variable | Non auditable |
| Riskonnect / Archer / Fusion | Enterprise (>1000 emp) | 50–150 K€/an | US | Oui |
| Drata / Vanta | SOC 2 / ISO 27001 oriented | 8–25 K€/an | US | Partiel (cyber, pas BCM) |
| ResiPlan | BCMS PME → ETI européennes | 3–12 K€/an | UE / SecNumCloud (V2) | Oui |
Voir nos comparatifs détaillés : vs Riskonnect, vs Fusion, vs Archer, vs Drata.
Erreurs à éviter
- Ne pas confondre cyber et BCM. Drata et Vanta sont excellents pour SOC 2 / ISO 27001 mais ne gèrent pas la continuité d'activité au sens ISO 22301 (BIA, plans de continuité, exercices). NIS2 demande les deux.
- Ne pas choisir un outil sans cartographie supply chain. NIS2 vous tient responsable des fournisseurs ICT critiques. Si la plateforme ne gère pas une CMDB de fournisseurs et de contrats, vous serez à découvert.
- Ne pas négliger les exercices. Avoir des plans non testés équivaut à ne pas en avoir aux yeux d'un régulateur. La plateforme doit fournir une bibliothèque de scénarios pré-écrits (10 scénarios d'exercice de crise).
Comment ResiPlan répond aux 8 critères
ResiPlan est une plateforme BCMS européenne (Next.js + Convex, hébergement OVHcloud) conçue dès le départ pour la conformité NIS2 + DORA + ISO 22301, à un tarif accessible aux PME. Pour une PME 50–250 employés :
- Cycle complet : BIA, 8 plans de continuité, 30+ scénarios d'exercice tabletop, audits, REX.
- Matrice multi-frameworks : voir /features/multi-framework-mapping.
- Workflow NIS2 24/72/1m intégré, génération automatique du contenu portail ANSSI.
- Hébergement OVHcloud Roubaix/Gravelines, qualification SecNumCloud en cours.
- Tarif PME : à partir de 3 600 €/an (essai gratuit 14 jours).
- Time-to-value 2 semaines : import depuis Excel, BIA initial guidé en 2 h.
- IA Claude Sonnet pour rédiger BIA, justifications, scénarios.
- Multi-tenant natif pour cabinets et groupes.
Démarrer un essai gratuit ResiPlan — pas de carte bancaire, BIA initial en 2 heures.