Retour aux actualités
    Guide

    PCA et PRA en cybersécurité : protéger la continuité de votre entreprise

    En 2025, 60 % des PME victimes d'une cyberattaque majeure ont cessé leur activité dans les 18 mois suivants (source : ANSSI). Le Plan de Continuité d'Activité (PCA) et le Plan de Reprise d'Activité (PRA) sont les deux piliers qui permettent à une entreprise de survivre à un incident cyber critique. Ce guide détaille leur conception, leur mise en œuvre et leur maintien opérationnel.

    PCA et PRA : quelle différence ?

    Ces deux plans sont complémentaires mais répondent à des temporalités différentes. Le PCA (Plan de Continuité d'Activité) vise à maintenir les fonctions critiques de l'entreprise pendant un sinistre, tandis que le PRA (Plan de Reprise d'Activité) organise le retour à la normale après l'incident.

    Plan de Continuité (PCA)

    • • Maintien des activités critiques en mode dégradé
    • • Activation immédiate dès la détection de l'incident
    • • Procédures manuelles de secours
    • • Communication de crise interne et externe
    • • Bascule sur les infrastructures de secours

    Plan de Reprise (PRA)

    • • Restauration complète du système d'information
    • • Définition du RTO (temps de reprise) et RPO (perte de données acceptable)
    • • Procédures de restauration des sauvegardes
    • • Validation de l'intégrité des données restaurées
    • • Retour d'expérience et amélioration continue

    Un PCA sans PRA est incomplet : vous pouvez maintenir l'activité temporairement, mais sans plan de reprise structuré, le retour à la normale sera chaotique et potentiellement plus coûteux que l'attaque elle-même. Inversement, un PRA sans PCA signifie que votre entreprise est totalement à l'arrêt pendant toute la durée de la restauration.

    Pourquoi les PME sont les plus vulnérables

    Les grandes entreprises disposent généralement d'équipes dédiées à la gestion de crise. Les PME, en revanche, combinent plusieurs facteurs de risque qui rendent les PCA/PRA d'autant plus essentiels :

    Facteurs de vulnérabilité

    • Budget limité : pas de SOC interne ni de RSSI dédié
    • Dépendance IT : 92 % des PME sont dépendantes de leur SI
    • Trésorerie fragile : un arrêt de 5 jours peut être fatal
    • Manque de documentation : procédures souvent informelles

    Conséquences d'une absence de plan

    • • Perte de CA moyenne : 27 000 €/jour d'arrêt
    • • Perte de clients : 33 % changent de fournisseur
    • • Amendes RGPD en cas de fuite de données
    • • Atteinte durable à la réputation

    L'investissement dans un PCA/PRA est minime comparé au coût d'un incident non maîtrisé. Les entreprises qui disposent d'un plan testé et à jour réduisent de 74 % l'impact financier d'une cyberattaque (source : Ponemon Institute, 2025).

    Construire votre PCA/PRA en 8 étapes

    1

    Cartographier les actifs critiques

    Identifiez les applications, données, processus et équipements indispensables à l'activité. Classez-les par niveau de criticité (vital, important, secondaire). Cette étape implique tous les métiers, pas uniquement l'IT.

    2

    Analyser les risques et impacts (BIA)

    Le Business Impact Analysis évalue les conséquences d'une interruption pour chaque actif critique : perte financière, impact réglementaire, atteinte à la réputation. Il détermine le RTO (durée maximale d'interruption acceptable) et le RPO (perte de données maximale tolérée).

    3

    Définir les stratégies de continuité

    Pour chaque actif critique, déterminez la solution de secours : site de repli, infrastructure cloud, procédures manuelles dégradées, redondance des systèmes. Le choix dépend du budget et des contraintes de RTO/RPO.

    4

    Mettre en place les sauvegardes

    Appliquez la règle 3-2-1-1-0 : 3 copies des données, sur 2 supports différents, dont 1 hors site, 1 copie immuable (air-gapped), et 0 erreur de restauration vérifiée. Testez la restauration régulièrement.

    5

    Rédiger les procédures détaillées

    Documentez chaque scénario : qui fait quoi, dans quel ordre, avec quels outils. Les procédures doivent être compréhensibles par une personne non-technique. Incluez les contacts d'urgence et les arbres de décision.

    6

    Constituer la cellule de crise

    Désignez les membres de la cellule de crise, leurs suppléants, les canaux de communication de secours (hors email/téléphone habituel qui peuvent être compromis). Prévoyez un lieu de rassemblement physique et virtuel.

    7

    Tester et valider le plan

    Réalisez au minimum un exercice de table (simulation théorique) par trimestre et un test réel (failover technique) par semestre. Documentez les résultats et les points d'amélioration.

    8

    Maintenir et actualiser

    Le PCA/PRA est un document vivant. Mettez-le à jour à chaque changement d'infrastructure, recrutement clé ou nouveau risque identifié. Planifiez une revue formelle annuelle avec la direction.

    RTO et RPO : les deux métriques clés

    Tout PRA repose sur deux indicateurs fondamentaux qui déterminent les investissements nécessaires et le niveau de protection :

    RTO – Recovery Time Objective

    Durée maximale d'interruption acceptable avant que l'impact devienne critique pour l'entreprise.

    • RTO 0-1h : haute disponibilité, cluster actif/actif (coût élevé)
    • RTO 4h : réplication asynchrone, failover automatique
    • RTO 24h : restauration depuis sauvegarde récente
    • RTO 72h : restauration manuelle, procédures dégradées

    RPO – Recovery Point Objective

    Volume maximal de données que l'entreprise peut se permettre de perdre, exprimé en durée.

    • RPO 0 : réplication synchrone temps réel (coût très élevé)
    • RPO 1h : sauvegarde incrémentale toutes les heures
    • RPO 24h : sauvegarde quotidienne (standard PME)
    • RPO 7j : sauvegarde hebdomadaire (données non critiques)

    Plus le RTO et le RPO sont faibles, plus l'investissement technique est important. L'enjeu est de trouver le bon équilibre entre le coût de la protection et le coût de l'interruption. Un BIA bien mené permet de définir ces valeurs de manière objective pour chaque processus métier.

    Les 7 erreurs les plus fréquentes

    • 1. Ne jamais tester le plan — Un PCA/PRA non testé est un document inutile. 43 % des entreprises n'ont jamais réalisé d'exercice de simulation.
    • 2. Oublier les sauvegardes hors ligne — Les ransomwares ciblent en priorité les sauvegardes réseau. Sans copie air-gapped, la restauration est impossible.
    • 3. Négliger le facteur humain — Les procédures techniques sont essentielles mais inutiles si les équipes ne savent pas quoi faire ni qui contacter.
    • 4. Sous-estimer les dépendances tierces — Vos fournisseurs SaaS, hébergeurs et prestataires IT sont des maillons critiques de votre chaîne de continuité.
    • 5. Plan trop ambitieux — Un PRA visant un RTO de 0h pour tous les systèmes sera trop coûteux et jamais implémenté. Priorisez.
    • 6. Documentation obsolète — Un plan datant de 2 ans avec des contacts qui ont quitté l'entreprise et des serveurs qui n'existent plus est pire que pas de plan du tout.
    • 7. Ignorer la communication de crise — Clients, partenaires, autorités (CNIL, ANSSI) doivent être informés dans des délais précis. Ne pas anticiper cette communication génère un surcoût réputationnel considérable.

    Quel budget prévoir ?

    Le coût d'un PCA/PRA dépend de la taille de l'entreprise, de la complexité du SI et des objectifs de RTO/RPO. Voici des ordres de grandeur pour une PME de 50 à 200 salariés :

    5 000 – 15 000 €

    Élaboration du PCA/PRA

    (BIA, rédaction, formation)

    500 – 3 000 €/mois

    Infrastructure de secours

    (cloud, sauvegarde, réplication)

    2 000 – 5 000 €/an

    Maintenance & tests

    (exercices, mises à jour, audits)

    À titre de comparaison, le coût moyen d'un ransomware pour une PME en France est de 130 000 € (rançon, interruption, remédiation, perte de clients). L'investissement dans un PCA/PRA est donc largement rentabilisé dès le premier incident évité ou contenu.

    Besoin d'aide pour élaborer votre PCA/PRA ?

    Nos consultants certifiés vous accompagnent dans la conception, la mise en œuvre et les tests de vos plans de continuité et de reprise d'activité. Contactez-nous pour un diagnostic gratuit de votre niveau de résilience.

    Demander un diagnostic gratuit

    Articles connexes

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.