Qu'est-ce qu'un PRA et pourquoi en avez-vous besoin ?
Un Plan de Reprise d'Activité (PRA) est un document opérationnel qui décrit comment votre organisation reprend son activité après un sinistre majeur : cyberattaque, incendie, panne infrastructure, catastrophe naturelle.
Ce n'est pas un document théorique. C'est un plan d'action concret : qui fait quoi, dans quel ordre, avec quels moyens, pour reprendre quels processus, en combien de temps.
Pourquoi c'est devenu urgent :
- NIS2 impose un PRA à plus de 15 000 entités françaises (amendes jusqu'à 7 M EUR)
- 57 % des organisations n'ont pas de plan de continuité opérationnel
- Le coût moyen d'une cyberattaque pour une PME : 466 000 EUR
- Les assureurs cyber exigent de plus en plus un PRA pour accorder une couverture
PRA vs PCA : ne confondez pas
Le PCA (Plan de Continuité d'Activité) décrit comment maintenir l'activité pendant le sinistre. Le PRA décrit comment reprendre après. Les deux sont complémentaires. Pour une PME, commencer par le PRA est souvent plus actionnable.
Lire aussi : PRA vs PCA : quelle différence et lequel votre PME doit-elle avoir ?
Les 16 sections d'un PRA conforme ISO 22301
La norme ISO 22301 structure un PRA complet en 16 sections. Voici ce que chacune doit contenir :
1. Résumé exécutif
Synthèse du PRA pour la direction : périmètre, objectifs, responsabilités clés, dernière date de révision.
2. Contexte organisationnel
Description de l'organisation : secteur, taille, sites, activités principales, parties prenantes.
3. Périmètre et objectifs
Périmètre du PRA (quels processus, quels sites), objectifs de reprise (RTO/RPO globaux).
4. Analyse d'impact sur l'activité (BIA)
Identification des processus critiques, évaluation de l'impact de leur arrêt, définition des RTO et RPO par processus.
Le BIA est la fondation de tout PRA — il identifie vos processus critiques et définit les RTO/RPO.
5. Analyse des risques
Cartographie des risques : scénarios de menace, probabilité, impact, mesures existantes, risque résiduel.
6. Stratégie de continuité
Stratégies de reprise pour chaque processus critique : site de repli, solutions techniques, ressources humaines alternatives.
7. Procédures de reprise
Procédures détaillées, étape par étape, pour chaque scénario de sinistre. Qui fait quoi, dans quel ordre.
8. Organisation de crise
Structure de commandement en cas de crise : cellule de crise, rôles, chaîne d'escalade.
9. Annuaire de crise
Contacts d'urgence : équipe de crise, prestataires, autorités, assureur, clients critiques.
10. Plan de communication
Communication interne (salariés) et externe (clients, fournisseurs, médias, autorités) pendant la crise.
11. Sauvegardes et restauration
Politique de sauvegarde, fréquence, localisation, procédures de restauration testées.
12. Plan de tests et exercices
Programme de tests : types d'exercices, fréquence, scénarios, critères de réussite.
13. Maintenance et révision
Processus de mise à jour du PRA : fréquence, déclencheurs, responsables.
14. Conformité et mapping normatif
Correspondance entre le PRA et les référentiels applicables : ISO 22301, ISO 27001, NIS2, ANSSI.
15. Budget et ressources
Estimation des coûts de reprise, budget alloué, ressources nécessaires.
16. Annexes
Documents de référence, schémas d'architecture, contrats de service, historique des incidents.
Les données à collecter avant de rédiger
Avant de commencer la rédaction, vous devez collecter des informations précises sur votre organisation. Voici les catégories essentielles :
Organisation : organigramme, sites, effectifs, secteur d'activité, parties prenantes critiques.
Processus métier : liste des processus, responsables, dépendances, saisonnalité, impact financier d'un arrêt.
Infrastructure SI : serveurs, applications métier, bases de données, hébergement, interconnexions.
Sauvegardes : politique actuelle, fréquence, localisation, tests de restauration, RTO/RPO actuels.
Risques : incidents passés, menaces identifiées, mesures de sécurité en place.
Contacts : responsables par processus, prestataires IT, assureur, contacts ANSSI/autorités.
Les erreurs fréquentes des PME
1. Le PRA "document mort" Rédigé une fois, jamais mis à jour. Un PRA qui date de 2019 ne vous protège pas en 2026. Les processus changent, l'infrastructure évolue, les équipes tournent.
2. Tout considérer comme critique Si tout est prioritaire, rien ne l'est. Le BIA doit identifier les vrais processus critiques — généralement 20 à 30 % de l'ensemble.
3. Oublier les dépendances fournisseurs Votre ERP est hébergé chez un prestataire ? Votre téléphonie est cloud ? Ces dépendances doivent être dans le PRA avec les SLA associés.
4. Ne jamais tester Les organisations qui testent régulièrement sont 2,5x plus susceptibles de se remettre rapidement. Un PRA non testé est un pari.
5. Confondre PRA et sauvegardes Les sauvegardes sont un outil technique dans le PRA. Le PRA couvre l'organisationnel : qui décide quoi, dans quel ordre, avec quels moyens.
Combien de temps et combien ça coûte ?
| Méthode | Coût | Délai | Conformité ISO |
|---|---|---|---|
| Consultant externe | 12 000 – 60 000 EUR | 3 – 6 mois | Variable selon le consultant |
| Template Word/Excel | 0 – 500 EUR | Indéterminé (souvent jamais fini) | Non garantie |
| Outil SaaS guidé (PRAVIO) | À partir de 79 EUR/mois | 2 – 3 heures d'entretien | 16 sections ISO 22301 |
Pour une PME, un consultant PRA facture entre 1 200 et 2 000 EUR/jour, pour un projet de 10 à 30 jours. C'est souvent prohibitif.
Les templates gratuits sont un point de départ, mais ils ne sont pas adaptés à votre contexte spécifique et ne garantissent pas la conformité.
Conclusion : par où commencer ?
- Faites un BIA simplifié : identifiez vos 5 à 10 processus les plus critiques
- Définissez vos RTO/RPO : combien de temps et de données pouvez-vous perdre ?
- Cartographiez vos risques : quels scénarios de sinistre sont les plus probables ?
- Rédigez les procédures de reprise pour vos processus critiques
- Testez au moins une fois par an
Ou laissez un consultant expert vous guider question par question.
Rejoignez la liste d'attente PRAVIO pour créer votre PRA conforme ISO 22301 en quelques heures, pas en quelques mois.