Votre serveur principal tombe en panne un lundi matin. Ransomware, incendie, erreur humaine – peu importe la cause. La question n’est pas si ça arrivera, mais quand. Et surtout : en combien de temps reprenez-vous votre activité ?
C’est exactement le rôle du PRA (Plan de Reprise d’Activité). Ce guide vous explique comment en construire un solide, adapté à votre PME.
PRA vs PCA : quelle différence ?
| Critère | PCA (Continuité) | PRA (Reprise) |
|---|---|---|
| Objectif | Maintenir l’activité pendant la crise | Restaurer l’activité après la crise |
| Quand | Pendant l’incident | Après l’incident |
| Focus | Processus métier critiques | Infrastructure IT et données |
| Exemple | Basculer sur un site secondaire | Restaurer les serveurs depuis les sauvegardes |
Les deux sont complémentaires. Le PCA maintient le cap pendant la tempête, le PRA reconstruit après.
Les deux métriques fondamentales
RTO – Recovery Time Objective
Le temps maximum acceptable avant la reprise d’activité. Exemple : « notre ERP doit être opérationnel en 4 heures maximum. »
RPO – Recovery Point Objective
La quantité maximale de données que vous acceptez de perdre. Exemple : « nous pouvons perdre au maximum 1 heure de données comptables. »
Ces deux chiffres déterminent tout le reste : la fréquence des sauvegardes, le type d’infrastructure de secours, et donc le budget.
Construire son PRA en 6 étapes
Etape 1 : identifier les actifs critiques
Listez tous les systèmes, applications et données de votre entreprise. Classez-les par criticité :
- Critique : ERP, messagerie, base clients, système de paie
- Important : CRM, intranet, outils collaboratifs
- Secondaire : site vitrine, outils de reporting
Etape 2 : définir RTO et RPO par système
Pour chaque actif critique, définissez le RTO et RPO acceptables avec les responsables métier (pas uniquement l’IT).
Etape 3 : choisir la stratégie de sauvegarde
La règle de base : 3-2-1-1-0
- 3 copies de vos données
- 2 supports différents (disque local + cloud ou bande)
- 1 copie hors site (datacenter distant ou cloud)
- 1 copie immuable (non modifiable, même par un ransomware)
- 0 erreur de restauration (testez régulièrement)
Etape 4 : définir l’infrastructure de secours
| Solution | RTO | Coût | Adapté pour |
|---|---|---|---|
| Sauvegarde cloud + restauration manuelle | 24-48h | Faible | TPE, données non critiques |
| Réplication vers un second site (tiède) | 4-8h | Moyen | PME avec ERP critique |
| Site miroir actif-actif (chaud) | <1h | Elevé | Secteur financier, santé, industrie |
| DRaaS (Disaster Recovery as a Service) | 1-4h | Moyen | PME sans expertise infra interne |
Etape 5 : documenter les procédures
Le PRA doit être un document opérationnel, pas un pavé théorique. Pour chaque scénario (ransomware, panne serveur, sinistre physique), documentez :
- Qui déclenche le PRA et comment
- L’ordre de restauration des systèmes
- Les contacts d’urgence (prestataire IT, hébergeur, assureur)
- Les procédures techniques pas-à-pas
- La communication interne et externe
Etape 6 : tester et maintenir
Un PRA non testé est un PRA qui ne fonctionne pas. Planifiez :
- Test de restauration technique : tous les trimestres
- Exercice de simulation complète : une fois par an minimum
- Revue du document PRA : après chaque changement d’infrastructure
Les erreurs qui coûtent cher
- Sauvegardes non testées : 30% des restaurations échouent lors d’un incident réel (source : Veeam Data Protection Report)
- Sauvegardes sur le même réseau : un ransomware chiffre aussi vos sauvegardes si elles sont accessibles depuis le réseau compromis
- PRA uniquement IT : sans implication des métiers, les priorités de restauration sont mal définies
- Pas de sauvegarde immuable : les ransomwares modernes ciblent et détruisent les sauvegardes en premier
- Oublier le test annuel : les environnements changent, les procédures deviennent obsolètes
PRA et conformité
- NIS 2 : exige des mesures de continuité d’activité et de gestion de crise
- DORA : impose des tests de résilience opérationnelle numérique
- ISO 27001 (A.5.29, A.5.30) : continuité de la sécurité de l’information et préparation TIC
- RGPD (art. 32) : capacité à rétablir la disponibilité des données en cas d’incident
FAQ
Combien coûte un PRA pour une PME ?
De 500 EUR/mois (sauvegarde cloud + DRaaS basique) à 5 000+ EUR/mois (site miroir actif). Le coût se compare au coût d’un jour d’arrêt complet de votre activité.
Peut-on faire un PRA sans budget IT important ?
Oui. Une sauvegarde cloud immuable (Veeam, Acronis, ou même rclone vers un bucket S3 avec Object Lock) couvre déjà 80% des scénarios pour quelques centaines d’euros par mois.
A quelle fréquence tester le PRA ?
Test technique de restauration tous les trimestres. Simulation complète (avec les équipes métier) au moins une fois par an.
Besoin d’un accompagnement pour construire ou tester votre PRA ? Contactez les experts RM3A.






