PRA informatique : construire un Plan de Reprise d’Activité solide en PME

Votre serveur principal tombe en panne un lundi matin. Ransomware, incendie, erreur humaine – peu importe la cause. La question n’est pas si ça arrivera, mais quand. Et surtout : en combien de temps reprenez-vous votre activité ?

C’est exactement le rôle du PRA (Plan de Reprise d’Activité). Ce guide vous explique comment en construire un solide, adapté à votre PME.

PRA vs PCA : quelle différence ?

Critère PCA (Continuité) PRA (Reprise)
Objectif Maintenir l’activité pendant la crise Restaurer l’activité après la crise
Quand Pendant l’incident Après l’incident
Focus Processus métier critiques Infrastructure IT et données
Exemple Basculer sur un site secondaire Restaurer les serveurs depuis les sauvegardes

Les deux sont complémentaires. Le PCA maintient le cap pendant la tempête, le PRA reconstruit après.

Les deux métriques fondamentales

RTO – Recovery Time Objective

Le temps maximum acceptable avant la reprise d’activité. Exemple : « notre ERP doit être opérationnel en 4 heures maximum. »

RPO – Recovery Point Objective

La quantité maximale de données que vous acceptez de perdre. Exemple : « nous pouvons perdre au maximum 1 heure de données comptables. »

Ces deux chiffres déterminent tout le reste : la fréquence des sauvegardes, le type d’infrastructure de secours, et donc le budget.

Construire son PRA en 6 étapes

Etape 1 : identifier les actifs critiques

Listez tous les systèmes, applications et données de votre entreprise. Classez-les par criticité :

  • Critique : ERP, messagerie, base clients, système de paie
  • Important : CRM, intranet, outils collaboratifs
  • Secondaire : site vitrine, outils de reporting

Etape 2 : définir RTO et RPO par système

Pour chaque actif critique, définissez le RTO et RPO acceptables avec les responsables métier (pas uniquement l’IT).

Etape 3 : choisir la stratégie de sauvegarde

La règle de base : 3-2-1-1-0

  • 3 copies de vos données
  • 2 supports différents (disque local + cloud ou bande)
  • 1 copie hors site (datacenter distant ou cloud)
  • 1 copie immuable (non modifiable, même par un ransomware)
  • 0 erreur de restauration (testez régulièrement)

Etape 4 : définir l’infrastructure de secours

Solution RTO Coût Adapté pour
Sauvegarde cloud + restauration manuelle 24-48h Faible TPE, données non critiques
Réplication vers un second site (tiède) 4-8h Moyen PME avec ERP critique
Site miroir actif-actif (chaud) <1h Elevé Secteur financier, santé, industrie
DRaaS (Disaster Recovery as a Service) 1-4h Moyen PME sans expertise infra interne

Etape 5 : documenter les procédures

Le PRA doit être un document opérationnel, pas un pavé théorique. Pour chaque scénario (ransomware, panne serveur, sinistre physique), documentez :

  • Qui déclenche le PRA et comment
  • L’ordre de restauration des systèmes
  • Les contacts d’urgence (prestataire IT, hébergeur, assureur)
  • Les procédures techniques pas-à-pas
  • La communication interne et externe

Etape 6 : tester et maintenir

Un PRA non testé est un PRA qui ne fonctionne pas. Planifiez :

  • Test de restauration technique : tous les trimestres
  • Exercice de simulation complète : une fois par an minimum
  • Revue du document PRA : après chaque changement d’infrastructure

Les erreurs qui coûtent cher

  • Sauvegardes non testées : 30% des restaurations échouent lors d’un incident réel (source : Veeam Data Protection Report)
  • Sauvegardes sur le même réseau : un ransomware chiffre aussi vos sauvegardes si elles sont accessibles depuis le réseau compromis
  • PRA uniquement IT : sans implication des métiers, les priorités de restauration sont mal définies
  • Pas de sauvegarde immuable : les ransomwares modernes ciblent et détruisent les sauvegardes en premier
  • Oublier le test annuel : les environnements changent, les procédures deviennent obsolètes

PRA et conformité

  • NIS 2 : exige des mesures de continuité d’activité et de gestion de crise
  • DORA : impose des tests de résilience opérationnelle numérique
  • ISO 27001 (A.5.29, A.5.30) : continuité de la sécurité de l’information et préparation TIC
  • RGPD (art. 32) : capacité à rétablir la disponibilité des données en cas d’incident

FAQ

Combien coûte un PRA pour une PME ?

De 500 EUR/mois (sauvegarde cloud + DRaaS basique) à 5 000+ EUR/mois (site miroir actif). Le coût se compare au coût d’un jour d’arrêt complet de votre activité.

Peut-on faire un PRA sans budget IT important ?

Oui. Une sauvegarde cloud immuable (Veeam, Acronis, ou même rclone vers un bucket S3 avec Object Lock) couvre déjà 80% des scénarios pour quelques centaines d’euros par mois.

A quelle fréquence tester le PRA ?

Test technique de restauration tous les trimestres. Simulation complète (avec les équipes métier) au moins une fois par an.

Besoin d’un accompagnement pour construire ou tester votre PRA ? Contactez les experts RM3A.

Laisse moi un commentaire !

Laisser un commentaire

Articles similaires