Souvent confondus, le PRA (plan de reprise d’activité) et le PCA (plan de continuité d’activité) ne désignent pourtant pas la même chose. Alors que le PCA s’apparente à une stratégie globale concernant la continuité de l’activité de l’entreprise suite à un incident, le PRA ne traite que le volet opérationnel de cette démarche.
Incendie, crise sanitaire, attaque armée, cyberattaque… Le PRA et le PCA permettent d’anticiper tout type de crise de sorte à mieux y faire face, mais encore faut-il savoir quand et comment les appliquer. Pour vous aider, faisons le point sur les différences entre PRA et PCA, appliqués au domaine informatique !
PRA et PCA : définitions
Le plan de continuité d’activité : un moyen de maintenir l’activité de l’entreprise pendant un sinistre
Un PCA vise à garantir la continuité de l’activité de l’entreprise d’un point de vue business. Il regroupe un ensemble de mesures permettant à l’organisation de réagir rapidement en cas de crise. Il est ainsi censé garantir le maintien de certaines prestations et services de l’entreprise, puis la reprise planifiée et progressive des activités jusqu’au retour à la normale.
Plan d’action global, le PCA concerne tous les champs de l’entreprise, que ce soit au niveau :
- Informatique : par exemple en anticipant un espace de stockage secondaire pour récupérer les données ;
- Métier : par exemple via la mise en place d’un système facilitant le télétravail en cas de crise sanitaire ;
- Organisationnel : par exemple en prévoyant des locaux alternatifs en cas d’incendie.
Une grande partie de ce plan est donc purement anticipative : il s’agit de recenser les risques pouvant conduire à une paralysie partielle ou totale de l’activité de l’organisation. Par exemple, une entreprise qui fait l’acquisition d’un nouveau logiciel doit l’intégrer à son PCA, c’est-à-dire se poser la question de sa résilience en cas de défaillance (incendie, cyberattaque, perte de données…) mais également avertir et former le pôle informatique et le pôle métier (en lien avec la solution) pour les préparer à la gestion d’une potentielle crise.
Le plan de reprise d’activité : un moyen de rétablir les systèmes ou les infrastructures après un sinistre
Plus réduit, le PRA correspond à une sous-catégorie du PCA. Alors que le PCA vise à anticiper et gérer les risques auxquels peut être confronté le SI de l’entreprise, le plan de reprise d’activité (ou plan de reprise informatique) se concentre uniquement sur le deuxième aspect.
La confusion entre PRA et PCA provient généralement des éléments de langage utilisés par les intégrateurs. En effet, il est fréquent qu’ils utilisent le terme « PCA » pour décrire la mise en place de solutions techniques qui assurent la résilience des systèmes informatiques. Ainsi, cette appellation réduit le plan de continuité des activités à sa partie technique, sans prendre en compte ses autres volets. Il est alors plus difficile de comprendre que le PCA s’apparente à une démarche globale et que le PRA ne fait office que de sous-catégorie.
Le PRI, le volet informatique du PRA
Au sein du PRA, le PRI (Plan de Reprise Informatique) correspond au volet du PRA concernant les systèmes d’information. Il décrit donc la marche à suivre pour reprendre les activités informatiques de l’organisation.
Dans cette optique, un plan de reprise informatique doit définir deux éléments essentiels :
- Le RPO (ou point de récupération qui détermine en amont la quantité de données qu’une entreprise accepte de perdre. Cet indicateur permet de déterminer la fréquence des sauvegardes de données de l’organisation. Il est aussi parfois appelé PDMA (perte de données maximale admissible)
- Le RTO (ou objectif de temps de récupération) qui fixe le temps d’arrêt maximum du SI que l’entreprise peut tolérer. Il est nommé durée maximale d’interruption admissible (DMIA) lorsqu’il est exprimé en termes d’objectif par les différents métiers ou services.
Réaliser un plan de continuité des activités
Voici les différentes étapes à suivre lors de la réalisation d’un PCA :
- Faire un bilan d’impact : évaluer les conséquences pour l’entreprise d’un potentiel arrêt de son activité en cas d’incident cyber ;
- Identifier les risques pour l’entreprise pouvant amener à un arrêt ou une réduction de son activité ;
- Développer une stratégie ciblée sur les activités essentielles à rétablir en cas de défaillance ;
- Mettre en place le PRA regroupant des solutions techniques, organisationnelles et des démarches métiers ;
- Sensibiliser et former les équipes à la gestion de crise ;
- Tester le plan en simulant des incidents pour s’assurer qu’il fonctionne ;
- Maintenir les conditions opérationnelles du PCA en fonction des changements dans l’entreprise.
Vous connaissez désormais les différences entre un plan de reprise d’activité et un plan de continuité d’activité ! Néanmoins, si vous avez besoin d’aide pour mener à bien ces projets, sachez que des professionnels sont là pour vous accompagner.
Société de conseil en Systèmes d’Information et en transformation digitale, Netsystem est un cabinet expert en matière de conformité et de cyber-protection. Du stratégique à l’opérationnel, Netsystem vous aide dans la mise en place et la maintenance d’un PRA et d’un PCA, répondant aux bonnes pratiques 27002 et à la norme 22301. Notre méthodologie éprouvée conjugue respect des règlementations et adaptation à votre situation pour assurer la sécurité optimale et continue de votre système d’information. Vous souhaitez en savoir plus ? Contactez-nous !
