PRA et PCA : préparer la continuité et la reprise d’activité
Un plan de reprise d’activité (PRA) décrit comment remettre en service votre informatique après une panne majeure, un sinistre ou une cyberattaque ; un plan de continuité d’activité (PCA) organise le maintien des fonctions essentielles pendant la crise. Nous construisons les deux avec vous : objectifs de reprise (RTO) et de perte de données admissible (RPO), procédures documentées, responsabilités et exercices réguliers. Pour les entreprises de Paris et d’Île-de-France, avec le relais de nos partenaires régionaux pour les sites distants.
Les constats qui reviennent le plus souvent lors de nos échanges de qualification.
01
Personne ne sait combien de temps durerait l’arrêt
Sans objectifs définis ni procédures écrites, la reprise s’improvise pendant la crise : on découvre alors que les accès manquent, que l’ordre de redémarrage est inconnu et que chaque heure d’hésitation coûte des heures de production perdues.
02
Des sauvegardes jamais éprouvées
Les sauvegardes tournent, mais aucune restauration complète n’a été testée. Le jour du sinistre, on découvre des données manquantes, des copies chiffrées par le ransomware ou une durée de restauration incompatible avec l’activité.
03
Un plan obsolète ou dans une seule tête
Le document rédigé il y a des années ne correspond plus au système d’information, et la connaissance de la reprise repose sur une personne. Une absence au mauvais moment, et l’entreprise reste à l’arrêt faute de savoir qui décide et qui agit.
01 / ANALYSE D’IMPACT
Criticité des activités et objectifs de reprise
Identifier ce qui doit repartir en premier, et à quel horizon : l’analyse d’impact traduit vos priorités métier en objectifs techniques mesurables, arbitrés avec la direction.
Cartographie des applications et de leurs dépendances : serveurs, réseau, cloud
Analyse d’impact métier : activités critiques, tolérances à l’interruption
Définition des RTO et RPO par activité, validés par la direction
Scénarios couverts : panne majeure, sinistre de site, cyberattaque
02 / PLAN DE REPRISE
Procédures de reprise documentées (PRA)
Des procédures écrites et actionnables — qui fait quoi, dans quel ordre, avec quels accès — pour ne pas improviser le jour J.
Ordre de redémarrage des serveurs et environnements virtualisés (Hyper-V, VMware, Proxmox)
Procédures de restauration pas à pas depuis les sauvegardes
Scénario ransomware : copies isolées du réseau et restauration vers un environnement contrôlé
Annuaire de crise : contacts internes, prestataires, opérateurs
Matrice de responsabilités et critères de déclenchement
03 / CONTINUITÉ
Maintien de l’activité en mode dégradé (PCA)
Organiser le travail pendant l’indisponibilité : solutions de contournement, priorisation des fonctions essentielles et communication maîtrisée.
Modes dégradés par service : quoi maintenir, quoi suspendre
Travail à distance via VPN et Microsoft 365 (Teams, OneDrive, SharePoint) si le site est indisponible
Continuité téléphonique : renvois et postes logiciels 3CX selon votre installation
Communication de crise : qui informe qui, quand, par quel canal
04 / EXERCICES & MAINTIEN
Exercices et maintien en condition opérationnelle
Un plan qui n’est pas exercé perd sa valeur : les tests révèlent les écarts avant qu’un incident réel ne s’en charge.
Tests de restauration réguliers, avec compte rendu
Exercices sur table avec les responsables concernés
Exercices techniques de bascule sur un périmètre convenu
Mise à jour du plan au fil des évolutions significatives du SI, selon votre contrat de service
Rythme et périmètre des exercices formalisés dans votre contrat de service
Comment nous procédons.
Le périmètre exact, les livrables et les délais sont formalisés dans la proposition, avant tout engagement.
01
Cadrage et analyse d’impact
Recensement des activités, des applications et de leurs dépendances techniques ; entretiens avec les responsables métier pour évaluer l’impact concret d’une interruption.
02
Définition des objectifs
RTO et RPO fixés activité par activité, en arbitrant entre l’impact d’un arrêt et le coût des dispositifs techniques. Les valeurs retenues sont validées par votre direction.
03
Conception et rédaction des plans
Architecture de reprise, procédures documentées pas à pas, matrice de responsabilités, annuaire de crise et modes dégradés du PCA.
04
Exercice initial
Test de restauration et exercice de bascule sur un périmètre convenu ; les écarts constatés alimentent un plan de correction priorisé.
05
Maintien en condition
Révision du plan au fil des évolutions du SI, exercices récurrents et comptes rendus. Le rythme et le périmètre sont définis dans votre contrat de service.
Questions fréquentes — cybersécurité
Les réponses décrivent le fonctionnement du service. Les engagements chiffrés sont formalisés dans votre contrat.
Le PRA (plan de reprise d’activité) organise la remise en service de l’informatique après un arrêt : restauration des données, redémarrage des serveurs, retour à la normale. Le PCA (plan de continuité d’activité) vise à maintenir les fonctions essentielles pendant la crise, au besoin en mode dégradé. Les deux se complètent : le PCA limite l’impact pendant l’interruption, le PRA en réduit la durée.
Non. La sauvegarde est un prérequis, pas un plan : encore faut-il savoir où restaurer, dans quel ordre redémarrer, qui décide et combien de temps prendra l’opération. Un PRA documente ces procédures et les éprouve par des tests de restauration réguliers — c’est ce qui transforme des copies de données en véritable capacité de reprise.
Le RTO (Recovery Time Objective) est la durée d’interruption maximale visée pour une activité ; le RPO (Recovery Point Objective) est l’ancienneté maximale acceptable des données restaurées. Ils se définissent activité par activité, avec les responsables métier, en arbitrant entre l’impact d’une interruption et le coût des dispositifs techniques. Les valeurs retenues sont formalisées dans votre plan et dans les conditions particulières de votre contrat.
Oui, à condition d’être conçu pour ce scénario : un ransomware peut chiffrer les sauvegardes accessibles en ligne et impose de restaurer vers un environnement contrôlé, après vérification de l’intégrité des copies. Le plan prévoit donc des dispositions spécifiques : copies isolées du réseau, ordre de restauration prudent, coordination avec les mesures de détection comme l’EDR (Endpoint Detection and Response). Ce scénario peut faire l’objet d’exercices dédiés, selon le périmètre convenu.
Cela dépend des objectifs définis dans votre plan : le RTO fixé pour chaque activité détermine les moyens techniques mis en place. Nous ne publions pas de délai générique : les engagements associés à votre plan sont formalisés dans les conditions particulières de votre contrat de service. Les exercices servent précisément à vérifier que les objectifs fixés restent atteignables.
Principalement les objectifs retenus : plus le RTO et le RPO sont courts, plus les dispositifs nécessaires sont conséquents — réplication, environnement de secours, copies hors site. S’ajoutent le nombre de serveurs et de sites, la complexité des applications et le rythme des exercices. Le cadrage sert à ajuster ces objectifs à l’impact métier réel pour ne pas surdimensionner le dispositif ; le chiffrage est ensuite formalisé dans votre contrat.
Oui. Le cadrage commence par un état des lieux : sauvegardes en place, environnements virtualisés (Hyper-V, VMware, Proxmox), documents et procédures existants. Ce qui est exploitable est conservé et intégré au plan ; les écarts — copies non testées, procédures obsolètes, responsabilités non définies — font l’objet de recommandations priorisées.
Le plan définit une organisation de crise : qui constate, qui décide du déclenchement, qui exécute les procédures techniques, qui communique en interne et vers l’extérieur. La décision de basculer en mode de reprise reste de la responsabilité de votre direction ; nous instruisons la situation et exécutons les procédures selon la matrice de responsabilités convenue. Le plan et sa documentation restent la propriété de votre entreprise, conformément aux termes de votre contrat de service.
Un plan documenté et exercé répond à une attente fréquente des réglementations, des assureurs et des donneurs d’ordre, mais aucun dispositif technique ne vaut, à lui seul, conformité. Nos plans sont conçus pour s’inscrire dans les obligations applicables à votre contexte ; la qualification juridique du périmètre (NIS2, RGPD, exigences sectorielles) reste à valider avec votre conseil.
Prestations liées.
Ces prestations sont fréquemment engagées ensemble, sous un contrat unique.