Incendie dans vos locaux. Ransomware qui chiffre tous vos fichiers. Panne matérielle majeure. Erreur humaine qui efface une base de données critique. Ces scénarios catastrophe arrivent chaque jour à des entreprises qui pensaient être à l'abri. Un Plan de Reprise d'Activité (PRA) est votre filet de sécurité pour survivre à l'impensable.
Qu'est-ce qu'un PRA et pourquoi en avoir un ?
Un Plan de Reprise d'Activité est un ensemble documenté de procédures permettant de restaurer les systèmes informatiques critiques après un sinistre majeur. Il répond à une question simple : comment reprendre l'activité quand tout s'effondre ?
Les chiffres qui font réfléchir
Selon une compilation de statistiques sur la continuité d'activité, les données sont alarmantes :
• 90% des PME qui ne reprennent pas leur activité dans les 5 jours suivant un sinistre ferment définitivement dans l'année (source : FEMA)
• 51% des entreprises n'ont pas de plan de continuité d'activité
• 1 entreprise sur 2 a déjà subi une interruption prolongée de plus de 8 heures
PRA vs PCA : quelle différence ?
Le PCA (Plan de Continuité d'Activité) vise à maintenir l'activité pendant l'incident, sans interruption. Il implique des infrastructures redondantes, des sites de secours actifs.
Le PRA accepte une interruption et se concentre sur la reprise la plus rapide possible. Il est généralement moins coûteux et plus adapté aux PME.
Les risques spécifiques aux Caraïbes et Outre-mer
Les entreprises situées dans les territoires ultramarins font face à des risques particuliers :
Risques climatiques : Cyclones, inondations, séismes. La saison cyclonique annuelle impose une préparation spécifique.
Isolement géographique : L'éloignement complique l'intervention de techniciens spécialisés et l'acheminement de matériel de remplacement.
Dépendance aux liaisons : Les câbles sous-marins peuvent être endommagés, coupant l'accès internet pendant des jours.
Comme nous l'avons analysé dans notre dossier sur le PRA en Nouvelle-Calédonie, ces contraintes locales renforcent l'importance d'un plan adapté.
Les concepts clés : RTO et RPO
Deux métriques fondamentales guident la conception de votre PRA.
RTO (Recovery Time Objective)
Le RTO définit le temps maximum acceptable entre le sinistre et la reprise de l'activité. C'est la durée d'interruption que votre entreprise peut tolérer.
Exemple : Un RTO de 4 heures signifie que vos systèmes doivent être opérationnels dans les 4 heures suivant le sinistre.
Le RTO dépend de votre activité. Un site e-commerce a besoin d'un RTO court (quelques heures). Un cabinet comptable peut tolérer un RTO plus long (24-48 heures) hors période fiscale.
RPO (Recovery Point Objective)
Le RPO définit la quantité maximale de données que vous acceptez de perdre. C'est l'ancienneté maximale de votre dernière sauvegarde exploitable.
Exemple : Un RPO de 1 heure signifie que vous devez pouvoir restaurer des données datant d'au maximum 1 heure avant le sinistre.
Le RPO détermine la fréquence de vos sauvegardes. Un RPO de 24 heures permet des sauvegardes nocturnes. Un RPO de 1 heure nécessite des sauvegardes continues ou très fréquentes.
| Métrique | Question | Impact |
|---|---|---|
| RTO | Combien de temps sans système ? | Vitesse de reprise requise |
| RPO | Combien de données perdues ? | Fréquence des sauvegardes |
Étape 1 : Analyse d'impact sur l'activité (BIA)
Avant de concevoir le PRA, vous devez comprendre ce qui est vraiment critique pour votre entreprise.
Identifier les processus critiques
Listez tous vos processus métier et classez-les par criticité :
Critiques : L'entreprise ne peut pas fonctionner sans. Exemples : facturation, production, relation client.
Importants : Dégradation significative mais activité possible. Exemples : reporting, RH.
Secondaires : Peuvent attendre plusieurs jours. Exemples : archivage, projets internes.
Mapper les dépendances IT
Pour chaque processus critique, identifiez les systèmes informatiques nécessaires :
• Serveurs et applications
• Bases de données
• Services cloud
• Équipements réseau
• Postes de travail spécifiques
Quantifier l'impact financier
Estimez le coût d'une heure d'interruption pour chaque processus critique. Ce chiffre justifiera les investissements en PRA. Selon le rapport ITIC 2024, le coût horaire d'une panne dépasse 300 000 $ pour 90% des entreprises de taille moyenne.
Étape 2 : Stratégie de sauvegarde
Les sauvegardes sont le fondement de tout PRA. Sans données à restaurer, pas de reprise possible.
La règle 3-2-1
Cette règle éprouvée garantit la résilience de vos sauvegardes :
3 copies : Les données originales plus deux sauvegardes.
2 supports différents : Disque local + cloud, ou NAS + bandes.
1 copie hors site : Géographiquement séparée pour survivre à un sinistre local.
Types de sauvegardes
Complète : Copie intégrale de toutes les données. Longue mais simple à restaurer.
Incrémentale : Uniquement les modifications depuis la dernière sauvegarde. Rapide mais restauration complexe.
Différentielle : Modifications depuis la dernière sauvegarde complète. Compromis entre les deux.
Sauvegardes cloud
Le cloud offre une solution hors site naturelle. Les données sont répliquées dans des datacenters distants, survivant à tout sinistre local. Pour les entreprises des Antilles, une stratégie de sauvegarde cloud adaptée est particulièrement pertinente face aux risques cycloniques.
Étape 3 : Stratégies de reprise
Plusieurs approches existent, avec des coûts et des RTO différents.
Reprise sur site (cold site)
Vous disposez de matériel de secours stocké, prêt à être déployé. Le RTO est de plusieurs jours (temps de configuration).
Avantage : Coût faible (matériel en stock).
Inconvénient : RTO long, nécessite des compétences pour reconfigurer.
Site de secours tiède (warm site)
Un environnement pré-configuré attend, nécessitant uniquement la restauration des données. RTO de quelques heures à une journée.
Avantage : Bon compromis coût/rapidité.
Inconvénient : Coût de maintien de l'environnement de secours.
Site de secours chaud (hot site)
Réplication en temps réel vers un site miroir. Basculement quasi-instantané. RTO de quelques minutes.
Avantage : Continuité quasi-totale.
Inconvénient : Coût élevé (double infrastructure).
Disaster Recovery as a Service (DRaaS)
Des prestataires cloud proposent des environnements de reprise à la demande. Vous ne payez le site de secours que quand vous l'utilisez.
Avantage : Coût maîtrisé, scalabilité.
Inconvénient : Dépendance au prestataire et à la connectivité.
Étape 4 : Documentation du PRA
Un PRA non documenté n'existe pas. En situation de crise, personne n'a le temps de réfléchir.
Contenu du document PRA
Contacts d'urgence : Qui appeler, dans quel ordre, avec quels numéros (y compris personnels).
Procédures de déclaration : Comment déclarer un sinistre, qui décide d'activer le PRA.
Procédures techniques : Étape par étape, comment restaurer chaque système. Assez détaillé pour qu'un technicien externe puisse suivre.
Inventaire : Liste des systèmes, configurations, mots de passe (stockés de façon sécurisée).
Fournisseurs : Contacts des prestataires critiques, numéros de contrat, SLA.
Accessibilité du document
Le PRA doit être accessible même si vos systèmes sont hors service :
• Version papier dans un coffre-fort
• Version numérique sur un cloud indépendant
• Copie chez un prestataire de confiance
Étape 5 : Tests réguliers
Un PRA non testé est une illusion de sécurité. Les tests révèlent les failles avant qu'elles ne deviennent critiques.
Types de tests
Test sur table : Réunion où l'équipe parcourt le PRA et discute des scénarios. Peu coûteux, identifie les incohérences.
Test partiel : Restauration d'un système non critique pour valider les procédures. Impact limité sur la production.
Test complet : Simulation d'un sinistre réel avec basculement effectif. Coûteux mais seul moyen de valider le RTO réel.
Fréquence recommandée
• Test sur table : tous les 6 mois
• Test partiel : tous les trimestres
• Test complet : une fois par an minimum
Documenter les résultats
Chaque test doit produire un rapport : ce qui a fonctionné, ce qui a échoué, les améliorations à apporter. Le PRA évolue à chaque test.
Étape 6 : Maintenance continue
Votre infrastructure évolue. Votre PRA doit suivre.
Événements déclencheurs de mise à jour
• Nouveau système ou application déployé
• Changement de prestataire ou de contrat
• Déménagement ou réorganisation
• Changement de personnel clé
• Après chaque test révélant des failles
Revue annuelle
Même sans événement particulier, revoyez le PRA chaque année :
• Les contacts sont-ils à jour ?
• Les procédures reflètent-elles l'infrastructure actuelle ?
• Les RTO/RPO sont-ils toujours adaptés à l'activité ?
FAQ : Plan de reprise d'activité
Une PME a-t-elle vraiment besoin d'un PRA ?
Oui. Les PME sont souvent plus vulnérables que les grandes entreprises car elles n'ont pas les ressources pour improviser en cas de crise. Un PRA adapté à votre taille est essentiel.
Combien de temps pour mettre en place un PRA ?
Pour une PME typique, comptez 1 à 2 mois entre l'analyse initiale et le premier test. Le PRA s'affine ensuite avec chaque test.
Faut-il externaliser le PRA ?
L'externalisation partielle est souvent pertinente : un prestataire apporte l'expertise et peut héberger le site de secours. Mais la connaissance métier reste interne.
Le cloud suffit-il comme PRA ?
Le cloud facilite le PRA (sauvegardes hors site, DRaaS) mais ne le remplace pas. Vous avez toujours besoin de procédures documentées et testées.
Conclusion : se préparer au pire pour l'éviter
Un Plan de Reprise d'Activité n'est pas un luxe, c'est une assurance. Comme toute assurance, on espère ne jamais l'utiliser, mais on est soulagé de l'avoir quand le sinistre survient.
Les entreprises qui survivent aux crises majeures sont celles qui s'y sont préparées. Elles ont documenté leurs procédures, testé leurs sauvegardes, formé leurs équipes. Quand le chaos s'installe, elles ont un plan à suivre.
Ne remettez pas à demain. Commencez par identifier vos processus critiques et vos RTO/RPO. Le reste suivra naturellement.
Image : © Korea Herald, 2026
