PRA et PCA pour PME : préparer son plan de reprise d'activité en 5 étapes

Sans plan de reprise d'activité (PRA), le temps moyen de reprise après une attaque par ransomware est de 23 jours (source ANSSI, rapport 2024). Pour une PME de 30 salariés, 23 jours sans système d'information, c'est souvent fatal : perte de chiffre d'affaires, clients qui se tournent vers la concurrence, défaut de trésorerie.

Pourtant, près de 80 % des PME françaises ne disposent d'aucun plan de reprise formalisé. Pas par négligence, mais parce que le sujet paraît complexe, coûteux et réservé aux grandes entreprises.

Ce n'est pas le cas. Un PRA adapté à une PME peut être construit en cinq étapes, sans budget démesuré. Voici comment.

PRA vs PCA : quelle différence ?

Les deux termes sont souvent confondus, mais ils désignent des réalités différentes et complémentaires :

• PRA (Plan de Reprise d'Activité) : définit comment redémarrer votre système d'information après un sinistre (ransomware, panne serveur, incendie). L'objectif est de réduire le temps d'arrêt au minimum.
• PCA (Plan de Continuité d'Activité) : définit comment maintenir l'activité pendant le sinistre. Solutions de contournement, mode dégradé, redondance des systèmes critiques.

Un PCA sans PRA, c'est maintenir l'activité sans savoir comment revenir à la normale. Un PRA sans PCA, c'est accepter un arrêt total le temps de la reprise. L'idéal est de disposer des deux, calibrés selon vos moyens et vos enjeux métier.

Étape 1 — Analyser vos risques

Tout commence par une question simple : quels scénarios peuvent paralyser votre activité ? Les plus fréquents pour une PME :

• Ransomware : vos données sont chiffrées, vos systèmes inaccessibles. C'est la menace n°1 en 2026.
• Panne serveur : le serveur qui héberge vos fichiers, votre ERP ou votre messagerie tombe en panne.
• Incendie ou dégât des eaux : destruction physique des équipements sur site.
• Erreur humaine : suppression accidentelle de données, mauvaise manipulation, mise à jour qui casse un système.
• Panne opérateur : coupure internet ou télécom prolongée.

Pour chaque scénario, évaluez deux paramètres : la probabilité d'occurrence et l'impact business (combien coûte chaque heure d'arrêt ?). Cela vous donne une matrice de risques qui permet de prioriser. Définissez ensuite vos objectifs :

• RTO (Recovery Time Objective) : combien de temps maximum pouvez-vous rester à l'arrêt ? 4 heures ? 24 heures ? 3 jours ?
• RPO (Recovery Point Objective) : combien de données maximum pouvez-vous perdre ? Les données de la dernière heure ? Du dernier jour ?

Un audit de sécurité informatique est le point de départ idéal pour cette analyse de risques.

Étape 2 — Identifier vos systèmes critiques

Tous vos systèmes n'ont pas le même niveau de criticité. En cas de sinistre, lesquels doivent redémarrer en premier ? Dans la plupart des PME, la hiérarchie est la suivante :

• Priorité 1 : messagerie et outils de communication (impossibilité de travailler sans).
• Priorité 2 : ERP et logiciel métier (facturation, production, commandes).
• Priorité 3 : comptabilité et paie (délais légaux à respecter).
• Priorité 4 : fichiers partagés et documentation interne.
• Priorité 5 : outils secondaires (CRM, marketing, reporting).

Cette classification guide l'ordre de restauration et l'allocation des ressources. Elle doit être validée par la direction, pas uniquement par l'équipe technique. Votre gestion de parc informatique doit intégrer cette cartographie des criticités.

Étape 3 — Définir la stratégie de sauvegarde

La sauvegarde est le pilier de tout PRA. Sans sauvegarde fiable, aucune reprise n'est possible. La règle de référence est la règle 3-2-1 :

• 3 copies de vos données (la production + 2 sauvegardes).
• 2 supports différents (serveur local + cloud, ou NAS + bandes).
• 1 copie hors site (datacenter distant ou cloud sécurisé).

Face aux ransomwares, une règle supplémentaire s'impose : les sauvegardes air-gapped. Il s'agit de sauvegardes déconnectées du réseau, que le ransomware ne peut pas atteindre. Sans cela, un attaquant qui accède à votre réseau peut chiffrer également vos sauvegardes en ligne.

Points de vigilance supplémentaires : les sauvegardes doivent être chiffrées (pour éviter le vol de données), testées régulièrement (une sauvegarde non testée n'a aucune valeur), et monitorées (alerte en cas d'échec silencieux). Notre offre cybersécurité inclut la conception et le suivi de cette stratégie de sauvegarde.

Étape 4 — Documenter les procédures

Un PRA est avant tout un document opérationnel. Il doit répondre à une question simple : si le sinistre survient demain matin à 8h, qui fait quoi, dans quel ordre ?

Le document doit contenir :

• La chaîne d'alerte : qui est prévenu en premier ? Le dirigeant, le prestataire IT, le responsable métier ?
• Les contacts d'urgence : prestataire infogérance (avec numéro d'astreinte), opérateur télécom, éditeur ERP, assureur cyber.
• Les procédures de restauration : pas à pas, système par système, dans l'ordre de priorité défini à l'étape 2.
• Les accès nécessaires : identifiants, clés de déchiffrement, codes d'accès au datacenter.
• Le plan de communication : que dire aux collaborateurs, aux clients, aux partenaires ?

Ce document doit être accessible même si votre SI est hors service. Imprimez-en une version papier, stockez-en une copie sur un cloud indépendant (et pas sur le serveur que vous cherchez à restaurer). Un DSI externalisé est le profil idéal pour piloter la rédaction et la mise à jour de ce document.

Étape 5 — Tester, tester, tester

Un PRA non testé est un PRA qui ne fonctionne pas. C'est la règle d'or. Les tests doivent être réguliers et progressifs :

• Test de restauration trimestriel : restaurez un système à partir de la sauvegarde. Vérifiez que les données sont complètes et que le système fonctionne.
• Simulation d'incident annuelle : simulez un scénario complet (par exemple : « le serveur principal est détruit ») et déroulez la procédure PRA de bout en bout.
• Revue documentaire semestrielle : vérifiez que les contacts sont à jour, que les procédures reflètent l'état actuel de l'infrastructure, que les nouveaux systèmes sont intégrés.

Chaque test doit faire l'objet d'un compte-rendu : ce qui a fonctionné, ce qui n'a pas fonctionné, les actions correctives à mener. Les échecs de test sont précieux : ils révèlent les failles avant qu'un vrai sinistre ne les expose.

Les erreurs classiques à éviter

En accompagnant les PME auvergnates, nous constatons les mêmes erreurs récurrentes :

• Le PRA dans un tiroir : rédigé il y a trois ans, jamais relu, jamais testé. Les contacts ont changé, l'infrastructure a évolué, le document est obsolète.
• Des sauvegardes jamais testées : « On a des sauvegardes » n'est pas un PRA. Tant que vous n'avez pas restauré avec succès, vous ne savez pas si vos sauvegardes fonctionnent.
• Aucun responsable identifié : personne ne sait qui doit déclencher le PRA, qui coordonne la reprise, qui communique.
• Sauvegardes uniquement locales : si l'incendie détruit le serveur et le NAS de sauvegarde situé dans la même salle, tout est perdu.
• Sous-estimer le temps de reprise : restaurer un serveur complet prend des heures, pas des minutes. Ajoutez les tests de vérification, la reconfiguration réseau, le redéploiement des postes.

Pour éviter ces pièges, faites-vous accompagner dès le départ. Notre accompagnement en infogérance intègre la conception, les tests et la mise à jour régulière de votre PRA. Consultez également nos 10 réflexes essentiels en cybersécurité pour compléter votre stratégie de protection. Et si vous vous interrogez sur la directive NIS2, notre article sur NIS2 et les PME détaille les obligations de continuité d'activité imposées par la nouvelle réglementation.