Plan de reprise d'activité (PRA) — définition et construction pour PME
Le Plan de Reprise d'Activité (PRA) est le document qui définit les procédures permettant à une entreprise de reprendre ses activités informatiques après un sinistre majeur (cyberattaque, incendie, inondation). Il fixe les objectifs de temps de reprise (RTO) et de perte de données maximale acceptable (RPO).
RTO et RPO : les deux indicateurs clés
Le RTO (Recovery Time Objective) est le temps maximum acceptable entre le sinistre et la reprise de l'activité. Le RPO (Recovery Point Objective) est la perte de données maximale acceptable (ex. : RPO de 4h signifie qu'on accepte de perdre au maximum 4h de données). Ces deux indicateurs déterminent le niveau d'investissement nécessaire en sauvegardes et infrastructure de reprise.
Construction du PRA pour une PME
Les étapes : inventaire des systèmes critiques (ce sans quoi l'activité s'arrête), définition des RTO/RPO par système, choix des solutions de reprise (sauvegarde cloud, site de repli, virtualisation), rédaction des procédures de reprise étape par étape, désignation des responsables, et test annuel du plan. Un PRA non testé est un PRA non fiable.
Questions fréquentes
Quelle différence entre PRA et PCA ?
Le PCA (Plan de Continuité d'Activité) vise à maintenir l'activité pendant un sinistre (travail en mode dégradé). Le PRA vise à reprendre l'activité après un sinistre. Le PCA est plus ambitieux et coûteux. Pour les PME, le PRA est souvent suffisant : l'objectif est de reprendre rapidement, pas de ne jamais s'arrêter.
Un PRA est-il obligatoire pour une PME ?
Pas légalement obligatoire en général, sauf pour les entreprises dans des secteurs critiques (santé, finance, énergie). En pratique, les assureurs cyber et certains grands donneurs d'ordre l'exigent. Et une PME sans PRA qui subit un ransomware peut mettre plusieurs semaines à reprendre, mettant en péril sa survie.
Quel est le coût d'un PRA pour une PME ?
Très variable selon le RTO visé. Un PRA avec RTO de 48h reposant sur des sauvegardes cloud peut coûter quelques centaines d'euros par mois. Un PRA avec RTO de 4h nécessite une infrastructure de réplication en temps réel et peut coûter plusieurs milliers d'euros. Le bon niveau dépend du coût de l'interruption d'activité pour l'entreprise.
