Aujourd’hui, la pérennité des activités d’une entreprise repose sur sa capacité à prévenir et à réagir aux incidents informatiques. Les Plans de Continuité d’Activité (PCA) et les Plans de Reprise d’Activité (PRA) constituent les piliers de cette résilience. Il font d’ailleurs partis des premières recommandations de l’ANSSI pour anticiper et gérer une crise. Mais qu’elle est la définition exacte de ces PCA et PRA ? Que représentent le PCI et le PRI ? Et Comment les mettre en place concrètement ?
Au travers d’une série d’articles, nous allons nous pencher sur ces plans indispensable à votre activité, leur composition et leur mise en place.
1. Définition PCA PRA
▶️ Le PCA : Prévoir pour continuer
Le Plan de Continuité d’Activité (PCA) est un ensemble de mesures et procédures définies par l’entreprise, qui vise à prévenir les interruptions majeures en cas de sinistre. Le PCA a pour objectif d’assurer la continuité, de manière plus ou moins dégradée, face à des événements perturbateurs.
Le PCA se concentre sur l’anticipation de toutes les menaces potentielles qui peuvent impacter l’activité de l’entreprise, et les moyens possible de faire face à ses menaces dans l’immédiat. Il peut s’agir de menaces physiques (incendie, inondation, tempête…), de menaces informatiques (cyberattaque, panne de serveur, défaillance machine…), humaine (absence prolongée d’un collaborateur sans remplacement, mauvaise manipulation) ou encore environnementale (pandémie, guerre…).
En réalité, le PCA se compose d’un ensemble de plans relatifs aux différents services de l’entreprise. Car en cas d’interruption, c’est l’ensemble des services qui est mobilisé. On a ainsi les Plans de :
- Continuité Opérationnelle (PCO) qui évalue les scénarios liés aux différents métiers.
- Continuité Informatique (PCI) qui se concentre sur les éléments du systèmes d’information.
- Gestion de Crise (PGC) qui intègre les moyens et procédures organisationnelles et techniques permettant de se préparer et faire face à l’apparition d’une crise.
- Communication de Crise (PCC), inclus dans le PGC, indispensable mais souvent oublié, qui guide la transmission d’informations en interne et en externe.
Le PCI, Plan de Continuité Informatique, est donc le penchant informatique de ce PCA. Il détaille les solutions mises en place et les procédures à suivre pour maintenir l’activité en cas de sinistre impactant les services informatiques.
⏯️ Le PRA : Relancer pour restaurer
Le Plan de Reprise d’Activité (PRA) est un palliatif ou un un complémentaire du PCA. Il aborde le scénario où la continuité n’a pas pu être assurée. Il se concentre donc sur la relance rapide de l’activité après un arrêt, en définissant des scénarios de crises, des moyens de réponse, et en préparant la remise en fonctionnement normal : il faut reprendre l’activité en ayant le moins possible affecté l’activité de l’entreprise. C’est à dire que l’on cherche à faire revenir à la normale le plus vite possible les éléments suivants :
- l’expérience client (accès au site web et/ou à l’application, réponses aux appels/mails, réception et envoi des commandes…)
- la disponibilité et l’intégrité des données détenues par l’entreprise
- le fonctionnement des chaines de production
🖥️ Et côté informatique ?
Le PCI, Plan de Continuité Informatique, est le penchant informatique du PCA. Il détaille les solutions mises en place et les procédures à suivre pour maintenir l’activité en cas de sinistre impactant les services informatiques. Le PRI, Plan de Reprise Informatique, quant à lui, est le PRA des services d’information. Il détaille les mesures pour rétablir les services informatiques, en suivant les RTO* et RPO* préalablement définis à partir des niveaux de service minimum* et de service dégradé*.
*Un peu perdu ? On vous explique tout ça dans cet article !
Exemple concret 👇
Imaginez un restaurant dont la cuisine est touché par un incendie. Le PCA de ce restaurant consiste à mettre en place une cuisine temporaire et mobile, permettant de continuer à servir des repas aux clients, bien qu’avec un menu plus limité, jusqu’à ce que la cuisine principale soit restaurée.
🧑🍳✅ Le PCA assure donc que le service continue, même en mode dégradé, pour ne pas perdre les clients et maintenir une certaine activité.
Le PRA du restaurant, d’autre part, est un plan d’action détaillé pour reconstruire la cuisine principale après l’incendie, en incluant les étapes précises de rénovation ou de reconstruction, l’acquisition de nouveaux équipements, et la planification pour reprendre les opérations à pleine capacité.
🛠️🍽️ Le PRA se concentre sur la manière de récupérer rapidement l’infrastructure et les capacités originales après un sinistre pour revenir à la normale.
En résumé, le PCA est une solution temporaire pour continuer à opérer malgré les circonstances, tandis que le PRA est le plan pour reconstruire et revenir à l’état initial ou même en meilleur état après le désastre.
2. La mise en œuvre : plan d’action pour PCA PRA
Après avoir saisi la définition de PCA PRA, il faut maintenant travailler la construction de ces plans. Voilà les grandes étapes :
Etude du contexte et des besoins :
- Cartographier l’infrastructure existante ;
- Lister les processus métiers, leurs dépendances IT et leur criticité ;
- Mesurer l’impact d’une panne de chaque composante IT ;
Identifier les risques et leur probabilité :
- Identifier l’ensemble des menaces potentielles ;
- Mesurer les conséquences de chaque menace ;
Définir la stratégie de continuité :
- Définir des objectifs de continuité et reprise (RTO & RPO) ;
- Identifier les ressources nécessaires ;
- Aborder le PCA PRA avec les partenaires ;
- Estimer le coût d’une interruption ;
- Définir le budget ;
- S’assurer que les employés sont formés et informés.
Cet article est l’introduction d’une série sur la mise en oeuvre d’un PCA PRA. Les étapes ci-dessus seront ainsi abordées dans les articles suivants.
Retrouvez ici le 2ème article de cette série sur la cartographie de l’infrastructure existante ▶️