Qu'est-ce qu'un Plan de Reprise d'Activité (PRA) ?

Le Plan de Reprise d'Activité (PRA) informatique est un dispositif documenté qui permet à une entreprise de redémarrer son système d'information après un incident technique majeur.

Quand le SI s'arrête (panne serveur, cyberattaque, corruption de données), c'est souvent toute l'activité qui s'arrête avec lui. Pourtant, beaucoup d'entreprises n'ont pas de plan prévu pour faire face à cette situation. Un sinistre informatique ne prévient pas. La résilience d'une organisation se mesure précisément à sa capacité à assurer la continuité de ses opérations et à redémarrer vite, dans les meilleures conditions possibles.

Toutes les structures dépendantes d'un système d'information sont concernées, quelle que soit leur taille ou leur secteur d'activité. C'est la raison pour laquelle il est nécessaire de bien maîtriser cette notion.

Définition du Plan de Reprise d'Activité informatique

Qu'est-ce qu'un PRA informatique ?

Un plan de reprise d'activité informatique est un ensemble de procédures, de ressources et de responsabilités définis à l'avance par une organisation. Son objectif est d'assurer le rétablissement du système d'information après un sinistre ou un incident technique majeur : perte de données, défaillance d'infrastructure, cyberattaque.

Sa logique est curative. Le PRA informatique n'a pas vocation à empêcher l'incident de se produire. Il est conçu pour être mis en œuvre après sinistre, une fois la perturbation survenue. C'est ce qui le distingue d'autres dispositifs préventifs comme la sauvegarde en temps réel ou la haute disponibilité.

Quelle est la différence entre un PRA et un PCA ?

PRA et PCA sont deux dispositifs complémentaires mais ils ne répondent pas au même objectif. Le Plan de Continuité d'Activité (PCA) vise à maintenir la continuité des activités pendant la crise. Par exemple via un basculement vers un environnement de secours. Tandis que le PRA organise le retour à un fonctionnement normal du système d'information une fois la crise passée. Ensemble, ils forment une stratégie de continuité cohérente et complète.

Ces deux outils forment ensemble une stratégie de continuité robuste. Bien articulés, ils couvrent l'ensemble du cycle de gestion de crise et garantissent la continuité des activités dans la durée.

Quand et pourquoi déclencher un PRA ?

Les événements déclencheurs

Un PRA informatique se déclenche dès qu'un cas de sinistre menace l'intégrité ou la disponibilité du système d'information. Les situations susceptibles d'affecter le SI sont variées :

• Une cyberattaque ou intrusion malveillante (ransomware, phishing, déni de service) ;
• Une panne technique d'envergure (serveur, réseau, alimentation électrique) ;
• Une corruption ou perte de données critique ;
• Une défaillance d'un prestataire ou fournisseur cloud stratégique ;
• Une erreur humaine critique (suppression accidentelle, mauvaise manipulation) ;
• Une catastrophe naturelle (inondation, incendie) impactant les infrastructures physiques.

Chacune de ces perturbations peut provoquer une interruption totale ou partielle du SI et justifie qu'un plan de reprise informatique soit anticipé bien avant que la situation de crise ne survienne.

Qui est concerné ?

Toute organisation dépendante d'un système d'information est concernée par la mise en place d'un PRA informatique. La gestion des risques liés au SI n'est plus réservée aux grandes structures. Désormais, les TPE comme les grands groupes sont exposés.

Certains secteurs restent néanmoins particulièrement vulnérables en raison de la criticité de leurs activités essentielles : la santé, la finance, l'industrie, la logistique et les services publics, dont le fonctionnement repose intégralement sur la disponibilité de leurs systèmes.

La directive NIS2, entrée en application en octobre 2024, impose d'ailleurs des obligations renforcées en matière de résilience et de continuité opérationnelle à des milliers d'entités considérées comme critiques en Europe.

‍

Les composantes essentielles d'un PRA

L'analyse des activités critiques : le BIA

Le Business Impact Analysis (BIA) est une analyse d'impact qui consiste à évaluer les conséquences d'une interruption du système d'information sur chacune des activités de l’entreprise.

Son rôle dans le PRA informatique est fondamental. Il permet d'identifier les activités critiques (celles dont l'indisponibilité du SI aurait les répercussions les plus graves) et de mesurer leur tolérance à l'arrêt. Cette évaluation des risques repose sur des critères concrets :

• Impact financier (perte de chiffre d'affaires, pénalités contractuelles) ;
• Impact réglementaire (non-conformité RGPD, obligations sectorielles) ;
• Impact sur les clients ou les partenaires (rupture de service, perte de confiance).

La criticité de chaque composante du SI détermine l'ordre dans lequel elle devra être rétablie. Le BIA produit ainsi une liste de priorités de reprise qui servira de colonne vertébrale à l'ensemble du plan.

Les deux indicateurs clés : RTO et RPO

Une fois le BIA réalisé, deux indicateurs guident toutes les décisions du PRA informatique.

Le Recovery Time Objective (RTO) désigne la durée maximale d'interruption d'activité tolérable pour un système ou une application donnée. Au-delà de ce seuil, les conséquences sur l'activité deviennent inacceptables.

Le Recovery Point Objective (RPO) correspond au volume de données maximale admissible qu'une entreprise accepte de perdre en cas d'incident. Il définit le point dans le temps à partir duquel la reprise des données doit s'effectuer.

Un exemple concret : le système de gestion des commandes d'un e-commerçant doit être rétabli dans les 2 heures suivant une panne (RTO = 2h). Il ne peut pas se permettre de perdre plus de 30 minutes de transactions (RPO = 30 min). Ces deux seuils guident directement le choix des solutions techniques de reprise.

La cellule de crise et les responsabilités

Un plan de crise sans responsables identifiés ne peut pas fonctionner. La formalisation des rôles est donc une composante essentielle du PRA informatique.

La cellule de crise est l'équipe chargée de piloter la reprise du SI au moment de l'incident. Elle regroupe des référents désignés : DSI, RSSI, administrateurs systèmes, mais aussi direction générale et équipes métiers impactées. Chacun connaît son périmètre d'action avant même que la crise ne survienne.

La gestion de crise implique également des procédures de communication claires. En interne, les équipes techniques doivent savoir quelles actions prioriser et dans quel ordre. En externe, clients et partenaires doivent être informés dans des délais maîtrisés. Ces procédures sont définies et testées en amont, jamais improvisées.

Comment construire et mettre en œuvre un PRA informatique ?

Mettre en place un PRA informatique est un processus de reprise structuré. Les procédures définies ne valent que si elles sont correctement mises en œuvre à tous les niveaux de l'organisation.

Voici les 7 étapes pour élaborer un plan solide et opérationnel :

1. Réaliser le BIA : Identifier les composantes critiques du SI, mesurer leur tolérance à l'arrêt et hiérarchiser les priorités de reprise.
2. Évaluer les risques et les scénarios : Recenser les menaces informatiques auxquelles l'organisation est exposée (cyberattaques, pannes, pertes de données) et construire des scénarios réalistes pour chacune d'elles.
3. Définir les objectifs RTO et RPO par système : Fixer les seuils d'indisponibilité et de perte de données acceptables pour chaque application ou infrastructure critique, en cohérence avec les résultats du BIA.
4. Rédiger les procédures de reprise : Formaliser pour chaque scénario qui fait quoi, dans quel délai et selon quelles modalités techniques. Ce cadre doit être clair, accessible et compris de tous les référents IT et métiers.
5. Allouer les ressources nécessaires : Identifier et réserver les ressources humaines (équipes IT, prestataires), techniques (infrastructure de secours, licences, équipements) et financières mobilisables en cas de déclenchement du plan.
6. Tester le plan via des simulations : Un PRA non testé est un PRA non fiable. Les exercices de simulation permettent de vérifier que les procédures techniques fonctionnent réellement et de détecter les failles avant qu'une vraie crise ne les révèle.
7. Mettre à jour le plan régulièrement : Le SI évolue, les risques aussi. La mise en place du plan n'est pas une action ponctuelle. Il doit être révisé après chaque simulation, chaque incident, et à chaque évolution significative de l'infrastructure.

Les solutions techniques d'un PRA informatique

Un PRA informatique repose sur un ensemble de solutions techniques complémentaires. Chacune répond à un objectif précis dans le processus de reprise des activités informatiques.

• Les sauvegardes de données constituent le socle de tout dispositif de reprise. Elles permettent de restaurer les données sensibles jusqu'au point défini par le RPO, en limitant la perte de données au maximum.
• La réplication des données consiste à dupliquer en temps réel ou de façon différée les données d'un système vers un environnement distant. Elle garantit qu'une copie exploitable est toujours disponible en cas d'incident sur l'infrastructure principale.
• Le site de secours est un datacenter alternatif (interne ou externalisé) sur lequel le SI peut basculer en cas de défaillance du site principal. Les centres de données peuvent être actifs en permanence (actif/actif) ou activé à la demande (actif/passif).
• Le cloud computing offre une flexibilité importante pour les scénarios de reprise : ressources disponibles à la demande, infrastructure géographiquement distribuée, délais de déploiement réduits.
• Les machines virtuelles facilitent la portabilité des environnements : un serveur virtualisé peut être redémarré sur une infrastructure de secours sans dépendance au matériel physique d'origine.
• Les mécanismes de failover assurent la haute disponibilité des systèmes informatiques en basculant automatiquement vers un système redondant en cas de défaillance, sans interruption perceptible pour les utilisateurs.

Les tests de reprise (tests PRA) sont indispensables pour valider que l'ensemble de ces dispositifs fonctionne réellement le jour J. Un dispositif de cybersécurité robuste vient compléter ce dispositif pour limiter les risques en amont.

Conclusion

Mettre en place un PRA informatique, c'est décider de ne pas laisser le hasard gérer la prochaine panne ou cyberattaque. Les entreprises qui l'ont fait le savent : la différence se mesure en heures, parfois en jours de fonctionnement retrouvé.

Sa valeur ne se mesure pas en temps normal. Elle se révèle le jour où l'imprévu survient et où les équipes, grâce à un cadre opérationnel clair, sont en capacité de minimiser le temps d'interruption et d'assurer une reprise des activités rapide et maîtrisée.

Chez Ozitem, nos experts accompagnent au quotidien les entreprises sur les volets techniques les plus exigeants de la reprise d'activité informatique. Découvrez nos offres

FAQ

Le PRA informatique est-il obligatoire pour les entreprises ? 

Il n'existe pas d'obligation légale générale en France. Certains secteurs régulés comme la  banque, la santé ou les services essentiels sont néanmoins soumis à des exigences spécifiques, notamment depuis l'entrée en vigueur de la directive NIS2 en 2024.

Combien de temps faut-il pour élaborer un PRA informatique ? 

Cela dépend de la taille et de la complexité de l'organisation. Pour une PME, quelques semaines suffisent généralement. Pour une grande structure avec de nombreux incidents à anticiper, le processus peut s'étendre sur plusieurs mois.

À quelle fréquence faut-il tester son PRA informatique ? 

Un plan de secours non testé régulièrement ne peut pas être considéré comme fiable. Il est recommandé de réaliser au minimum un exercice de simulation par an, et de réviser le plan après chaque test ou incident significatif.

Le PRA concerne-t-il uniquement l'informatique ? 

Non. Le PRA couvre l'ensemble des fonctions vitales de l'entreprise : production, logistique, ressources humaines, communication. La continuité du service ne repose pas uniquement sur les systèmes informatiques, même si ces derniers en constituent souvent le périmètre le plus critique.