Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Plan de reprise d’activité (PRA) 🟩 Outil

Plan de reprise d’activité (PRA) 🟩 Outil

Un plan de reprise d’activité (PRA) est un document stratégique qui décrit les procédures et actions à mettre en œuvre pour permettre à une organisation de reprendre ses activités critiques dans les meilleurs délais après un incident de sécurité informatique majeur (cyberattaque, panne matérielle, catastrophe naturelle, etc.)

Il vise à minimiser les temps d’arrêt (Recovery Time Objective – RTO) et les pertes de données (Recovery Point Objective – RPO), garantissant la résilience opérationnelle.

Différences avec le PCA

Le plan de continuité d’activité (PCA) est plus large et inclut le PRA. Le PCA se concentre sur le maintien des activités pendant une crise, tandis que le PRA se focalise sur la reprise après un arrêt.

PCA (Plan de continuité d’activité) PRA (Plan de reprise d’activité)
Maintient les activités pendant une crise (ex. bascule vers un site de secours) Restaure les activités après un arrêt total (ex. restauration de sauvegardes)
Approche proactive: anticipe les risques pour éviter l’arrêt (redondance des infrastructures, plans de communication) Approche réactive : agit après l’incident pour rétablir les systèmes
Couvre tous les aspects (IT, RH, logistique, juridique) Cible principalement les systèmes informatiques et les données

 

Google - Noto Color Emoji 15.0 (Animated)  Fonctionnement

Le PRA s’articule autour de 6 étapes clés :

  1. Analyse d’impact (BIA) : identifier les processus vitaux (ex. systèmes de paiement, bases de données clients).
  2. Évaluation des risques : cartographier les menaces (ex. ransomware, incendie) et leurs impacts financiers/réputationnels.
  3. Stratégies de reprise :
    • Sauvegardes automatisées (quotidiennes/hebdomadaires).
    • Infrastructure redondante (cloud, centres de données secondaires).
    • Accords avec fournisseurs tiers (ex. centres de crise).
  4. Rédaction du plan : détail des procédures, délais (RTO < 4h pour les systèmes critiques), et responsables.
  5. Tests réguliers : simulations de cyberattaques ou de sinistres pour valider l’efficacité.
  6. Maintenance et mises à jour : adaptation aux nouvelles technologies (IA, IoT) et menaces (deepfakes, attaques zero-day).

👉 Exemples

  1. Cyberattaque :
    • Saint-Gobain (2021) : Victime du ransomware Conti, l’entreprise a restauré ses données en 48h grâce à un PRA incluant des sauvegardes hors ligne.
    • Accenture (2023) : A contenu une fuite de données via un PRA intégrant de l’IA pour détecter les anomalies en temps réel.
  2. Catastrophe naturelle :
    • Orange (2022) : Après un incendie dans un datacenter, le PRA a permis de basculer les services clients vers des serveurs situés en Belgique.
  3. Panne humaine :
    • Facebook (2021) : Une erreur de configuration BGP a entraîné une panne mondiale de 6h. Le PRA manquait de procédures pour ce scénario rare.

Avantages

  • Réduction des pertes : une reprise en 24h limite les pertes à 20 % du chiffre d’affaires (étude IBM).
  • Conformité : respect du RGPD (amendes jusqu’à 4 % du CA mondial) et des normes sectorielles (ex. ISO 22301).
  • Confiance clients : 78 % des entreprises avec un PRA testé conservent leurs clients après une crise (étude PwC).

Inconvénients

  • Coûts : un PRA complet coûte entre 50 000 € et 500 000 €/an pour une PME (source : CESIN).
  • Complexité : 40 % des entreprises échouent à restaurer leurs données malgré un PRA (étude Veeam).
  • Obsolescence : 60 % des PRA ne sont pas adaptés aux risques cloud (McKinsey).

Structure Type d’un PRA

  1. Objectifs : RTO, RPO, seuils de criticité.
  2. Inventaire des actifs : Serveurs, applications, données sensibles.
  3. Procédures de reprise :
    • Priorité 1 : Systèmes de paiement (RTO < 1h).
    • Priorité 2 : Emails et CRM (RTO < 4h).
  4. Équipe de crise : Responsable IT, juriste, directeur de la communication.
  5. Communication : Modèles de messages pour clients et médias.
  6. Annexes : Contacts d’urgence, contrats d’assurance.

Bonnes pratiques

    1. Impliquer la direction : la gouvernance doit soutenir le PRA pour garantir les ressources nécessaires. 80 % des PRA efficaces ont un sponsor en comité exécutif (Forrester).
    2. Former le personnel : Les employés doivent connaître les procédures en cas de crise.
    3. Documenter clairement les procédures : Des instructions précises facilitent une reprise rapide.
    4. Automatiser les sauvegardes : les entreprises automatisant leurs backups réduisent leurs pertes de 90 % (Veeam).
    5. Automatiser les sauvegardes : Les entreprises automatisant leurs backups réduisent leurs pertes de 90 % (Veeam).
    6. Envisager des scénarios extrêmes : prévoir des attaques hybrides (ex. cyberattaque + panne électrique).
    7. Réviser régulièrement le plan : Les évolutions technologiques et les nouveaux risques nécessitent des mises à jour fréquentes.

📊  Chiffres clés

  • France :
    • 70 % des entreprises ont subi une cyberattaque en 2023 (+10 % vs 2022, ANSSI).
    • 25 % des PME françaises ferment après une attaque sans PRA (CPME).
    • coût moyen d’un ransomware : 350 000 € (CESIN).
  • Monde :
    • 54 % des organisations ont un PRA, mais 35 % seulement le testent annuellement (Gartner).
    • 94 % des entreprises utilisant le cloud ont réduit leur RTO de 50 % (AWS).
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité