PCA & PRA
On this page… (hide)
1. Différence PCA & PRA
1.1 PCA
PCA = Plan de Continuité d’Activité IT BCP = Business Continuity Plan
Objectif : Maintenir en service les opérations essentielles de l’entreprise pendant un sinistre.
Activation : Dés l’apparition d’un événement perturbateur.
Stratégie & Mesures : Mesures préventives et arrangements opérationnels alternatifs pour garantir la continuité des activités (télétravail, réseau secondaire, etc…)
Résultat visé : Évité ou minimisé les arrêts afin de permettre à l’entreprise de continuer à fonctionner normalement dans la mesure du possible pendant une crise.
1.2 PRA
PRA = Plan de Reprise d’Activité
IT DRP = Information Technology Disaster Recovery Plan
Objectif : Assurer la reprise rapide des activités après une interruption majeure.
Activation : Dés l’apparition d’un événement perturbateur et après que les opérations aient été significativement interrompues.
Stratégie & Mesures : Récupération et restauration des données systèmes et infrastructures après une interruption.
Résultat visé : Assurer une reprise efficace et ordonnée de l’activité pour retourner à un état de fonctionnement normal après que les opérations aient été interrompues ou arrêtées à cause d’un sinistre.
2. Process d’un PCA
2.1 1. Analyse d’impact métier (BIA - Business Impact Analysis)
- Identifier les processus critiques
- Évaluer les impacts d’une interruption (financiers, réglementaires, réputation)
- Définir les délais de tolérance (RTO/RPO)
2.2 2. Scénarios de crise possibles
- Cyberattaque (ransomware, DDoS, exfiltration de données)
- Panne électrique / réseau
- Incendie, inondation, perte de site
- Pandémie / indisponibilité des équipes
2.3 3. Mesures de continuité
- Bascule vers un site secondaire
- Redondance des serveurs / téléphonie / réseau
- Accès VPN sécurisé pour télétravail d’urgence
- Utilisation de cloud de secours ou PRA distant
2.4 4. Organisation de crise
- Comité de gestion de crise : rôles, contacts, responsabilités
- Cellule communication (interne/externe, CNIL, presse…)
- Escalade hiérarchique et technique
2.5 5. Procédures opérationnelles
- Qui fait quoi, quand, comment ?
- Procédures papier en cas de perte d’accès SI
2.6 6. Communication de crise
- Modèles de messages prêts à envoyer : clients, CNIL, prestataires…
- Liste de contacts critiques à jour
3. Process d’un PRA
3.1 1. Priorisation des systèmes et services à restaurer
- SI critiques : ERP, CRM, serveurs AD, messagerie, paie, caisses…
- Ordre de redémarrage, dépendances techniques
3.2 2. Objectifs RTO / RPO
- RTO (Recovery Time Objective) = temps max pour relancer un service
- RPO (Recovery Point Objective) = perte de données acceptable en durée
3.3 3. Inventaire technique
- Architecture SI (on-premise, cloud, hybride)
- Liste des sauvegardes (locales, hors ligne, cloud)
- Sites de secours, solutions de virtualisation, images système
3.4 4. Procédures de restauration
- Déroulé technique détaillé pour chaque système
- Accès aux scripts / outils de restauration
- Tests d’accès utilisateur après relance
3.5 5. Organisation humaine
- Équipe de reprise IT + rôles attribués
- Planning d’intervention (24h/48h/72h)
- Coordination avec les prestataires externes
3.6 6. Tests et mises à jour
- Fréquence des tests PRA (1x/an minimum)
- Retour d’expérience / amélioration continue
- Vérification post-test (audit, checklist, validation)
