PRA et PCA : deux documents, deux objectifs
La confusion entre PRA et PCA est l'une des plus fréquentes en continuité d'activité. Pourtant, la distinction est simple :
- PCA (Plan de Continuité d'Activité) : comment maintenir l'activité pendant un sinistre, même en mode dégradé
- PRA (Plan de Reprise d'Activité) : comment reprendre l'activité normale après un sinistre
Le PCA répond à la question : "Comment on survit pendant la crise ?" Le PRA répond à la question : "Comment on revient à la normale après ?"
Tableau comparatif
| Critère | PCA | PRA |
|---|---|---|
| Objectif | Maintenir l'activité minimale | Reprendre l'activité normale |
| Quand | Pendant le sinistre | Après le sinistre |
| Durée | Heures à jours | Jours à semaines |
| Focus | Processus critiques en mode dégradé | Restauration complète |
| Déclencheur | Incident détecté | Sinistre stabilisé |
| Exemple | Basculer sur un site de repli | Réinstaller les serveurs principaux |
Ce que les réglementations exigent réellement
NIS2
La directive NIS2 (Article 21.2c) exige des mesures de "continuité des activités" incluant la gestion de crise et la reprise après sinistre. En pratique, NIS2 demande les deux : PCA et PRA. Mais le texte ne prescrit pas de format spécifique — c'est le résultat qui compte.
ISO 22301
La norme ISO 22301 parle de "plans de continuité d'activité" au sens large, couvrant à la fois le maintien et la reprise. Un PRA conforme ISO 22301 couvre naturellement les aspects PCA.
ISO 27001
L'Annexe A.17 (contrôles A.5.29 et A.5.30) exige des plans de continuité de la sécurité de l'information. Le PRA est la brique qui répond à cette exigence.
En résumé : les réglementations demandent une couverture globale. Un PRA bien structuré, conforme ISO 22301, couvre l'essentiel.
Par quoi commencer en PME ?
Pour une PME avec des ressources limitées, notre recommandation est claire : commencez par le PRA.
Pourquoi :
- Plus actionnable : le PRA décrit des procédures concrètes (qui fait quoi, dans quel ordre)
- Plus demandé : c'est le document que les assureurs, auditeurs et clients exigent le plus souvent
- Couvre le PCA : un PRA conforme ISO 22301 inclut naturellement les aspects de continuité (procédures d'urgence, communication de crise, site de repli)
- Plus facile à tester : un exercice de reprise est plus concret qu'un exercice de continuité
Une fois votre PRA en place, vous pouvez l'enrichir avec des procédures PCA spécifiques (mode dégradé, basculement, communication temps réel).
Un exemple concret
Scénario : ransomware qui chiffre vos serveurs un vendredi soir.
Le PCA répond à : "Comment on continue à travailler lundi matin ?" → Basculer la messagerie sur un webmail temporaire, utiliser les postes non touchés, activer le site de repli pour les applications critiques.
Le PRA répond à : "Comment on retrouve notre SI normal ?" → Restaurer les sauvegardes, réinstaller les serveurs, vérifier l'intégrité des données, remettre en production application par application selon les priorités du BIA.
Les deux sont nécessaires. Mais le PRA est la fondation.
Conclusion
Ne perdez pas de temps à débattre PRA vs PCA. Ce dont votre PME a besoin, c'est un document opérationnel qui répond à ces questions :
- Quels sont mes processus critiques ? (BIA)
- Quels risques peuvent les interrompre ? (Analyse de risques)
- Comment je reprends ? (Procédures de reprise)
- Qui fait quoi en cas de crise ? (Organisation de crise)
Lire aussi : Comment rédiger un PRA : le guide complet
Rejoignez la liste d'attente PRAVIO — Thomas vous guide de A à Z pour créer votre PRA conforme ISO 22301.