00_Introduction_PRA_PCA
La continuité d’activité est devenue un enjeu stratégique pour toutes les organisations, qu’elles soient privées ou publiques, petites ou grandes. Dans un monde marqué par la multiplication des cyberattaques, des pannes massives, des catastrophes naturelles et des crises sanitaires (COVID-19), disposer d’un Plan de Continuité d’Activité (PCA – Business Continuity Plan) et d’un Plan de Reprise d’Activité (PRA – Disaster Recovery Plan) n’est plus une option mais une exigence vitale.
L’absence de tels dispositifs expose une organisation à des pertes financières majeures, une atteinte durable à sa réputation, voire à des sanctions réglementaires. Les RSSI et responsables métiers sont désormais directement impliqués dans la construction et le test de ces plans, car la cyber-résilience est au cœur de la continuité globale.
PCA et PRA : deux approches complémentaires
Le PCA vise à maintenir les activités critiques en fonctionnement minimal lors d’une crise, tandis que le PRA se concentre sur la reprise technique des systèmes d’information après un incident majeur.
- PCA = continuité métier (services essentiels, organisation humaine, processus).
- PRA = continuité technique (systèmes, infrastructures, données).
Ces deux dimensions doivent être articulées dans une stratégie globale de résilience opérationnelle.
Info
Le PCA protège la continuité métier, le PRA assure la reprise technique.
Les deux sont indissociables pour garantir une résilience organisationnelle crédible et vérifiable.
Contexte réglementaire et normatif
Les obligations liées à la continuité et à la résilience se multiplient :
- En Europe, la directive Directive NIS2 (NIS2 – Network and Information Security Directive) et le règlement Digital Operational Resilience Act (DORA – Digital Operational Resilience Act) imposent aux entités critiques des dispositifs de continuité documentés et testés.
- En France, les Opérateur d’importance vitale (OIV – Operator of Vital Importance) et les Opérateur de services essentiels (OSE – Operator of Essential Services) sont soumis à des obligations ANSSI en matière de continuité et de reprise.
- Les référentiels ISO 22301 (Business Continuity Management System) et ISO/IEC 27031 (ICT readiness for business continuity) fournissent les bonnes pratiques pour la mise en œuvre et le pilotage des PCA/PRA.
Cas pratiques & retours d’expérience
- NotPetya (2017) : des multinationales comme Maersk ont dû reconstruire des SI entiers, démontrant l’importance d’un PRA robuste.
- Crises hospitalières françaises (2020–2022) : absence ou insuffisance de PCA a conduit à l’arrêt partiel des soins, forçant les hôpitaux à fonctionner en mode papier.
- COVID-19 (2020) : bascule massive au télétravail, révélant l’importance d’un PCA intégrant les scénarios pandémiques.
Ces exemples montrent qu’un PCA/PRA n’est pas seulement un document, mais un outil de survie organisationnelle.
Conseils opérationnels pour RSSI
Le RSSI doit positionner le PCA/PRA comme un pilier transversal de la sécurité et de la gouvernance. Cela implique de :
- Intégrer les métiers dans la définition des processus critiques.
- Établir des objectifs de reprise (RPO/RTO) réalistes et validés par la direction.
- Tester régulièrement les dispositifs (exercices de crise, simulations de bascule, restauration de données).
- Documenter les preuves d’audit pour démontrer la conformité et la maturité de l’organisation.
Objectifs pédagogiques
À l’issue de cette introduction, le lecteur doit être capable de :
- Expliquer la différence entre PCA et PRA et leur complémentarité.
- Comprendre l’importance stratégique de la continuité d’activité pour un RSSI.
- Identifier les obligations réglementaires (NIS2, DORA, OIV/OSE).
- Situer les PCA/PRA dans une logique de résilience organisationnelle globale.
Checklist RSSI – Introduction PRA/PCA
- Ai-je défini clairement les processus critiques et leurs interdépendances ?
- Mon organisation a-t-elle formalisé un PCA et un PRA cohérents et à jour ?
- Des exercices de continuité/reprise ont-ils été organisés et documentés ?
- Les obligations NIS2/DORA/OIV applicables sont-elles identifiées et couvertes ?