Cybersécurité — PRA & PCA

PRA et PCA : préparer la continuité et la reprise d’activité

Un plan de reprise d’activité (PRA) décrit comment remettre en service votre informatique après une panne majeure, un sinistre ou une cyberattaque ; un plan de continuité d’activité (PCA) organise le maintien des fonctions essentielles pendant la crise. Nous construisons les deux avec vous : objectifs de reprise (RTO) et de perte de données admissible (RPO), procédures documentées, responsabilités et exercices réguliers. Pour les entreprises de Paris et d’Île-de-France, avec le relais de nos partenaires régionaux pour les sites distants.

Évaluer ma capacité de reprise01 83 81 17 48

Ce qui vous freine aujourd’hui.

Les constats qui reviennent le plus souvent lors de nos échanges de qualification.

01

Personne ne sait combien de temps durerait l’arrêt

Sans objectifs définis ni procédures écrites, la reprise s’improvise pendant la crise : on découvre alors que les accès manquent, que l’ordre de redémarrage est inconnu et que chaque heure d’hésitation coûte des heures de production perdues.

02

Des sauvegardes jamais éprouvées

Les sauvegardes tournent, mais aucune restauration complète n’a été testée. Le jour du sinistre, on découvre des données manquantes, des copies chiffrées par le ransomware ou une durée de restauration incompatible avec l’activité.

03

Un plan obsolète ou dans une seule tête

Le document rédigé il y a des années ne correspond plus au système d’information, et la connaissance de la reprise repose sur une personne. Une absence au mauvais moment, et l’entreprise reste à l’arrêt faute de savoir qui décide et qui agit.

01 / ANALYSE D’IMPACT

Criticité des activités et objectifs de reprise

Identifier ce qui doit repartir en premier, et à quel horizon : l’analyse d’impact traduit vos priorités métier en objectifs techniques mesurables, arbitrés avec la direction.

  • Cartographie des applications et de leurs dépendances : serveurs, réseau, cloud
  • Analyse d’impact métier : activités critiques, tolérances à l’interruption
  • Définition des RTO et RPO par activité, validés par la direction
  • Scénarios couverts : panne majeure, sinistre de site, cyberattaque
02 / PLAN DE REPRISE

Procédures de reprise documentées (PRA)

Des procédures écrites et actionnables — qui fait quoi, dans quel ordre, avec quels accès — pour ne pas improviser le jour J.

  • Ordre de redémarrage des serveurs et environnements virtualisés (Hyper-V, VMware, Proxmox)
  • Procédures de restauration pas à pas depuis les sauvegardes
  • Scénario ransomware : copies isolées du réseau et restauration vers un environnement contrôlé
  • Annuaire de crise : contacts internes, prestataires, opérateurs
  • Matrice de responsabilités et critères de déclenchement
03 / CONTINUITÉ

Maintien de l’activité en mode dégradé (PCA)

Organiser le travail pendant l’indisponibilité : solutions de contournement, priorisation des fonctions essentielles et communication maîtrisée.

  • Modes dégradés par service : quoi maintenir, quoi suspendre
  • Travail à distance via VPN et Microsoft 365 (Teams, OneDrive, SharePoint) si le site est indisponible
  • Continuité téléphonique : renvois et postes logiciels 3CX selon votre installation
  • Communication de crise : qui informe qui, quand, par quel canal
04 / EXERCICES & MAINTIEN

Exercices et maintien en condition opérationnelle

Un plan qui n’est pas exercé perd sa valeur : les tests révèlent les écarts avant qu’un incident réel ne s’en charge.

  • Tests de restauration réguliers, avec compte rendu
  • Exercices sur table avec les responsables concernés
  • Exercices techniques de bascule sur un périmètre convenu
  • Mise à jour du plan au fil des évolutions significatives du SI, selon votre contrat de service
  • Rythme et périmètre des exercices formalisés dans votre contrat de service

Comment nous procédons.

Le périmètre exact, les livrables et les délais sont formalisés dans la proposition, avant tout engagement.

  1. 01
    Cadrage et analyse d’impact

    Recensement des activités, des applications et de leurs dépendances techniques ; entretiens avec les responsables métier pour évaluer l’impact concret d’une interruption.

  2. 02
    Définition des objectifs

    RTO et RPO fixés activité par activité, en arbitrant entre l’impact d’un arrêt et le coût des dispositifs techniques. Les valeurs retenues sont validées par votre direction.

  3. 03
    Conception et rédaction des plans

    Architecture de reprise, procédures documentées pas à pas, matrice de responsabilités, annuaire de crise et modes dégradés du PCA.

  4. 04
    Exercice initial

    Test de restauration et exercice de bascule sur un périmètre convenu ; les écarts constatés alimentent un plan de correction priorisé.

  5. 05
    Maintien en condition

    Révision du plan au fil des évolutions du SI, exercices récurrents et comptes rendus. Le rythme et le périmètre sont définis dans votre contrat de service.

Questions fréquentes — cybersécurité

Les réponses décrivent le fonctionnement du service. Les engagements chiffrés sont formalisés dans votre contrat.

Le PRA (plan de reprise d’activité) organise la remise en service de l’informatique après un arrêt : restauration des données, redémarrage des serveurs, retour à la normale. Le PCA (plan de continuité d’activité) vise à maintenir les fonctions essentielles pendant la crise, au besoin en mode dégradé. Les deux se complètent : le PCA limite l’impact pendant l’interruption, le PRA en réduit la durée.
Non. La sauvegarde est un prérequis, pas un plan : encore faut-il savoir où restaurer, dans quel ordre redémarrer, qui décide et combien de temps prendra l’opération. Un PRA documente ces procédures et les éprouve par des tests de restauration réguliers — c’est ce qui transforme des copies de données en véritable capacité de reprise.
Le RTO (Recovery Time Objective) est la durée d’interruption maximale visée pour une activité ; le RPO (Recovery Point Objective) est l’ancienneté maximale acceptable des données restaurées. Ils se définissent activité par activité, avec les responsables métier, en arbitrant entre l’impact d’une interruption et le coût des dispositifs techniques. Les valeurs retenues sont formalisées dans votre plan et dans les conditions particulières de votre contrat.
Oui, à condition d’être conçu pour ce scénario : un ransomware peut chiffrer les sauvegardes accessibles en ligne et impose de restaurer vers un environnement contrôlé, après vérification de l’intégrité des copies. Le plan prévoit donc des dispositions spécifiques : copies isolées du réseau, ordre de restauration prudent, coordination avec les mesures de détection comme l’EDR (Endpoint Detection and Response). Ce scénario peut faire l’objet d’exercices dédiés, selon le périmètre convenu.
Cela dépend des objectifs définis dans votre plan : le RTO fixé pour chaque activité détermine les moyens techniques mis en place. Nous ne publions pas de délai générique : les engagements associés à votre plan sont formalisés dans les conditions particulières de votre contrat de service. Les exercices servent précisément à vérifier que les objectifs fixés restent atteignables.
Principalement les objectifs retenus : plus le RTO et le RPO sont courts, plus les dispositifs nécessaires sont conséquents — réplication, environnement de secours, copies hors site. S’ajoutent le nombre de serveurs et de sites, la complexité des applications et le rythme des exercices. Le cadrage sert à ajuster ces objectifs à l’impact métier réel pour ne pas surdimensionner le dispositif ; le chiffrage est ensuite formalisé dans votre contrat.
Oui. Le cadrage commence par un état des lieux : sauvegardes en place, environnements virtualisés (Hyper-V, VMware, Proxmox), documents et procédures existants. Ce qui est exploitable est conservé et intégré au plan ; les écarts — copies non testées, procédures obsolètes, responsabilités non définies — font l’objet de recommandations priorisées.
Le plan définit une organisation de crise : qui constate, qui décide du déclenchement, qui exécute les procédures techniques, qui communique en interne et vers l’extérieur. La décision de basculer en mode de reprise reste de la responsabilité de votre direction ; nous instruisons la situation et exécutons les procédures selon la matrice de responsabilités convenue. Le plan et sa documentation restent la propriété de votre entreprise, conformément aux termes de votre contrat de service.
Un plan documenté et exercé répond à une attente fréquente des réglementations, des assureurs et des donneurs d’ordre, mais aucun dispositif technique ne vaut, à lui seul, conformité. Nos plans sont conçus pour s’inscrire dans les obligations applicables à votre contexte ; la qualification juridique du périmètre (NIS2, RGPD, exigences sectorielles) reste à valider avec votre conseil.

Prestations liées.

Ces prestations sont fréquemment engagées ensemble, sous un contrat unique.

Premier rendez-vous

Parlons de votre écosystème.

Faites-en l’expérience
Appeler Dalena au 01 83 81 17 48Demander un audit
PRA et PCA pour entreprise | Continuité d’activité Dalena