En bref : Le PCA (Plan de Continuité d'Activité) vise à ne jamais s'arrêter. Le PRA (Plan de Reprise d'Activité) vise à redémarrer le plus vite possible après un arrêt. Pour une PME ou ETI, les deux sont complémentaires — et NIS2 exige que vous ayez au moins l'un des deux, documenté et testé.
Définitions
Plan de Continuité d'Activité
Le PCA est un ensemble de mesures et de procédures qui permettent à une entreprise de maintenir ses activités critiques sans interruption, même en cas de sinistre majeur.
Objectif : ne jamais s'arrêter, ou s'arrêter le moins longtemps possible. Le PCA anticipe les scénarios de crise et prévoit des solutions de fonctionnement dégradé pendant la durée du sinistre.
Plan de Reprise d'Activité
Le PRA est un ensemble de procédures qui permettent à une entreprise de redémarrer ses systèmes et ses activités après un arrêt causé par un incident majeur (ransomware, sinistre physique, panne serveur).
Objectif : reprendre l'activité dans les meilleurs délais avec un niveau de perte de données acceptable. Le PRA se déclenche après l'incident, pas pendant.
RTO et RPO : les deux indicateurs clés
Pour comprendre PRA et PCA, il faut maîtriser deux notions :
RTO — Recovery Time Objective
Le RTO est la durée maximale acceptable d'arrêt de votre activité après un incident. C'est la réponse à : "Combien de temps peut-on tenir sans notre SI ?"
- Un hôpital : RTO de quelques minutes (activité critique)
- Une PME de services : RTO de 4 à 24h selon l'activité
- Un e-commerce : RTO de quelques heures (chaque heure = perte de CA)
RPO — Recovery Point Objective
Le RPO est la quantité maximale de données qu'on accepte de perdre en cas d'incident. C'est la réponse à : "Jusqu'à quand nos sauvegardes doivent-elles remonter ?"
- RPO = 0h : les données sont répliquées en temps réel (aucune perte acceptable)
- RPO = 4h : on peut se permettre de perdre 4h de données maximum
- RPO = 24h : backup quotidien suffisant (données peu critiques)
| PCA | PRA | |
|---|---|---|
| Objectif principal | Ne pas s'arrêter | Redémarrer après arrêt |
| Se déclenche | Avant ou pendant l'incident | Après l'incident |
| Indicateur clé | RTO très court (minutes/heures) | RTO défini à l'avance (heures/jours) |
| RPO | Proche de zéro (réplication temps réel) | Défini selon la tolérance |
| Coût de mise en œuvre | Élevé (infrastructure redondante) | Modéré (backup + procédures) |
| Adapté à | Activités critiques (santé, finances, e-commerce) | PME et ETI — la plupart des cas |
| NIS2 | Obligatoire pour entités essentielles | Exigé pour entités importantes |
Ce que ça veut dire concrètement pour une PME
Pour la majorité des PME et ETI, la priorité est le PRA — pas nécessairement le PCA complet. Voici ce que ça implique en pratique :
Les prérequis techniques
- Backup 3-2-1 immuable — 3 copies, 2 supports différents, 1 hors site. Le stockage immuable (ex : Wasabi) empêche le ransomware de chiffrer vos sauvegardes.
- RTO défini — décidez combien d'heures d'arrêt maximum sont acceptables pour chaque système critique
- RPO défini — décidez quelle fréquence de sauvegarde couvre votre tolérance à la perte de données
- Procédures de restauration testées — pas de PRA sans test. Une sauvegarde non testée n'est pas une sauvegarde.
Le document PRA
Un PRA efficace contient au minimum :
- Liste des systèmes critiques et leur RTO/RPO associé
- Procédures de restauration pas-à-pas pour chaque système
- Contacts d'urgence (prestataire IT, opérateur, direction)
- Ordre de priorité de redémarrage des systèmes
- Localisation des sauvegardes et procédures d'accès
Erreur classique : Avoir un PRA "sur papier" qui n'a jamais été testé. En cas d'incident réel, un PRA non testé vaut zéro — et souvent aggrave la situation car les équipes ne connaissent pas les procédures. NIS2 exige des tests réguliers.
La fréquence des tests
Les recommandations ANSSI préconisent un test du PRA au minimum annuel, idéalement trimestriel pour les systèmes critiques. Chez nos clients, nous réalisons des tests trimestriels avec rapport remis à la direction — c'est aussi ce qu'exige NIS2 pour les entités concernées.
Notre approche : Chez DELEG MEDIA, le PRA est livré avec un RTO mesuré — pas estimé. On teste réellement la restauration et on vous remet un rapport qui indique le temps réel de remise en service, pas une promesse théorique.
PRA ou PCA : que choisir ?
Pour la grande majorité des PME et ETI : commencez par le PRA. C'est moins coûteux à mettre en œuvre, couvre les principaux scénarios d'incident (ransomware, panne matérielle, sinistre physique), et répond aux exigences NIS2 pour les entités importantes.
Le PCA complet est pertinent si votre activité ne peut pas s'arrêter même quelques heures — e-commerce à fort volume, services de santé, infrastructures critiques. Il nécessite une infrastructure redondante (haute disponibilité, failover automatique) dont le coût est significativement plus élevé.
Conclusion
Un PRA documenté et testé est aujourd'hui une obligation réglementaire pour les entités NIS2 — et une nécessité opérationnelle pour toutes les entreprises qui dépendent de leur SI. Un incident ransomware sans PRA, c'est en moyenne 21 jours d'arrêt. Avec un PRA bien construit : moins de 4h dans les meilleures configurations.
DELEG MEDIA rédige et teste les PRA de ses clients en Normandie et partout en France. Contactez-nous pour un audit gratuit — on évalue votre RTO et RPO actuels et on vous dit où vous en êtes vraiment.