PRA et PCA : deux dispositifs, un seul objectif
Avant d'entrer dans le concret, il faut clarifier une confusion fréquente. Le PRA (Plan de Reprise d'Activité) et le PCA (Plan de Continuité d'Activité) ne sont pas la même chose, même si les deux visent à protéger l'entreprise contre les interruptions.
Le PCA a pour objectif de maintenir l'activité sans interruption, même en cas de sinistre majeur. Il repose sur des systèmes redondants, des bascules automatiques et une architecture conçue pour ne jamais s'arrêter. C'est l'approche "zéro interruption".
Le PRA, lui, accepte une période d'arrêt mais organise le redémarrage le plus rapide possible. Il définit les procédures, les priorités de restauration et les responsabilités pour remettre les systèmes en route après un incident.
| Critère | PCA (Continuité) | PRA (Reprise) |
|---|---|---|
| Objectif | Zéro interruption | Reprise rapide après incident |
| Interruption tolérée | Aucune ou quasi nulle | De quelques heures à quelques jours |
| Infrastructure | Redondance complète (sites actif-actif) | Site de secours ou restauration cloud |
| Coût | Élevé | Modéré |
| Adapté aux PME | Partiel (pour les systèmes critiques) | Oui, approche pragmatique |
En pratique pour une PME : la plupart des entreprises de 20 à 500 salariés combinent les deux approches. Un PCA pour les systèmes absolument critiques (ERP, messagerie, téléphonie), et un PRA pour le reste de l'infrastructure. C'est l'approche la plus réaliste du point de vue budgétaire.
Pourquoi les PME ne peuvent plus ignorer le sujet
Il y a encore trois ans, les PRA/PCA étaient considérés comme un luxe réservé aux grands groupes. Ce n'est plus le cas. Trois facteurs ont changé la donne.
L'explosion des cyberattaques contre les PME
Les grandes entreprises ont renforcé leurs défenses. Les attaquants se sont adaptés et ciblent désormais les structures moins protégées. En 2025, 43 % des cyberattaques en France ont visé des PME. Le ransomware reste la menace numéro un : les données sont chiffrées, l'activité s'arrête, et la rançon demandée dépasse souvent les 100 000 euros. Sans PRA, la durée moyenne d'arrêt après un ransomware est de 23 jours.
Le coût réel d'une interruption d'activité
Une PME de 100 salariés qui perd son système informatique pendant une journée, c'est concrètement : des commandes non traitées, une chaîne logistique bloquée, des clients qui appellent sans réponse, des collaborateurs désoeuvrés. Les études sectorielles convergent : le coût moyen se situe entre 10 000 et 50 000 euros par jour d'arrêt pour une PME française, selon la taille et le secteur.
La pression réglementaire : NIS2 change la donne
La directive européenne NIS2, transposée en droit français, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. De nombreuses PME, particulièrement celles qui travaillent avec des secteurs réglementés (santé, énergie, transports, finance), doivent désormais disposer de plans de continuité formalisés. Les sanctions pour non-conformité peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires. Ce n'est plus un sujet optionnel.
Les composants essentiels d'un PRA/PCA
Un plan de reprise ou de continuité n'est pas un document de 200 pages qui finit dans un tiroir. C'est un dispositif opérationnel construit autour de quatre piliers.
RPO et RTO : les deux métriques fondamentales
Ces deux indicateurs déterminent l'ensemble de votre stratégie technique.
- RPO (Recovery Point Objective) : la quantité maximale de données que vous acceptez de perdre. Un RPO de 4 heures signifie que vos sauvegardes doivent être réalisées au minimum toutes les 4 heures. Un RPO de zéro impose une réplication en temps réel.
- RTO (Recovery Time Objective) : le délai maximal acceptable pour remettre les systèmes en service. Un RTO de 2 heures signifie que votre infrastructure doit être opérationnelle dans les 2 heures suivant l'incident.
| Système | RPO recommandé | RTO recommandé | Criticité |
|---|---|---|---|
| ERP / Gestion commerciale | 1 heure | 2 heures | Critique |
| Messagerie / Téléphonie | 1 heure | 1 heure | Critique |
| Serveur de fichiers | 4 heures | 4 heures | Élevé |
| Site web / E-commerce | 1 heure | 2 heures | Élevé |
| Applications métier secondaires | 24 heures | 24 heures | Modéré |
La stratégie de sauvegarde
La règle de référence reste le 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors site. Les sauvegardes locales seules ne suffisent pas. Un ransomware chiffre aussi les sauvegardes accessibles depuis le réseau. Un incendie détruit le serveur et les bandes stockées dans la même pièce.
La tendance actuelle va vers le 3-2-1-1-0 : les mêmes principes, plus une copie déconnectée (air-gap) et zéro erreur de sauvegarde non résolue. Ce niveau de rigueur devient indispensable face à des attaques qui ciblent délibérément les sauvegardes.
La cellule de crise
Un PRA sans équipe identifiée pour le déclencher est un document mort. La cellule de crise doit être définie à l'avance avec des rôles clairs :
- Décideur : qui déclenche le PRA et valide les actions (généralement le dirigeant ou le DSI)
- Responsable technique : qui pilote la restauration des systèmes
- Communication : qui informe les collaborateurs, clients et partenaires
- Prestataire IT : qui intervient en support technique (infogérant, MSP, hébergeur)
Chaque personne doit avoir les coordonnées des autres en dehors du système informatique de l'entreprise. Si votre annuaire est sur le serveur qui vient de tomber, vous ne pourrez joindre personne.
Les procédures de bascule et de reprise
C'est le coeur opérationnel du plan. Chaque scénario (panne serveur, ransomware, perte du site, panne réseau) doit avoir sa procédure détaillée : quelles actions, dans quel ordre, par qui, avec quels outils. Ces procédures doivent être écrites en langage clair, pas en jargon technique. Le jour de la crise, ce n'est pas forcément un expert qui les exécutera.
Mettre en place un PRA/PCA en 6 étapes
Voici une approche concrète, adaptée aux ressources d'une PME.
Étape 1 : Diagnostiquer l'infrastructure existante
Avant de protéger quoi que ce soit, il faut savoir ce que vous avez. Un diagnostic IT complet permet d'inventorier les équipements, identifier les dépendances entre systèmes, et repérer les points de défaillance uniques (SPOF). C'est l'étape la plus souvent négligée, et pourtant la plus déterminante.
Étape 2 : Classifier les actifs par criticité
Tous les systèmes ne se valent pas. L'ERP qui gère vos commandes est plus critique que le serveur d'impression. Classifiez chaque actif en trois niveaux (critique, important, secondaire) et définissez les RPO/RTO pour chacun. Cette hiérarchisation évite de disperser le budget sur des systèmes non prioritaires.
Étape 3 : Choisir l'architecture technique
En fonction des RPO/RTO définis, plusieurs options s'offrent à vous. Pour la plupart des PME, l'architecture cloud hybride offre le meilleur rapport coût/protection. Les systèmes critiques sont répliqués dans le cloud avec bascule automatique. Les systèmes secondaires sont restaurés depuis des sauvegardes cloud en cas de besoin.
Étape 4 : Rédiger les procédures et constituer la cellule de crise
Documentez chaque scénario de sinistre avec les actions associées. Désignez les membres de la cellule de crise. Créez un "kit de survie" accessible hors du SI : numéros de téléphone, accès aux consoles cloud, mots de passe critiques dans un coffre-fort physique ou un gestionnaire déconnecté.
Étape 5 : Tester le plan en conditions réelles
Un PRA non testé n'est pas un PRA. C'est un voeu pieux. Prévoyez au minimum un test complet par an et des tests partiels tous les trimestres. Le test doit mesurer deux choses : le RTO réel (combien de temps pour restaurer) et l'intégrité des données restaurées. Les entreprises qui testent découvrent systématiquement des problèmes qu'elles n'avaient pas anticipés.
Étape 6 : Maintenir et faire évoluer le plan
Votre infrastructure change, vos applications évoluent, vos équipes tournent. Un PRA/PCA doit être mis à jour à chaque changement significatif et revu formellement au moins deux fois par an. Chaque nouvel outil, chaque nouveau serveur, chaque nouveau prestataire doit être intégré au plan.
Checklist PRA/PCA pour les dirigeants de PME
- Inventaire complet de tous les équipements et applications
- Classification des actifs par niveau de criticité
- RPO et RTO définis pour chaque système critique
- Stratégie de sauvegarde 3-2-1 (minimum) en place
- Cellule de crise constituée avec coordonnées hors SI
- Procédures de bascule et reprise documentées
- Test complet réalisé dans les 12 derniers mois
- Plan mis à jour après chaque changement d'infrastructure
Quel budget prévoir
Le coût d'un PRA/PCA dépend directement des RPO/RTO choisis. Plus vous voulez réduire le temps d'arrêt et la perte de données, plus l'investissement est élevé. Voici des ordres de grandeur pour une PME de 50 à 200 salariés.
| Niveau de protection | Coût annuel estimé | RTO visé |
|---|---|---|
| PRA basique (sauvegardes cloud + procédures) | 3 000 à 8 000 € | 24 - 48h |
| PRA intermédiaire (réplication cloud + bascule semi-auto) | 8 000 à 25 000 € | 4 - 8h |
| PCA complet (redondance active + bascule automatique) | 25 000 à 80 000 € | < 1h |
Ces montants doivent être mis en perspective avec le coût d'une interruption. Si une journée d'arrêt vous coûte 30 000 euros, un PRA à 15 000 euros par an qui ramène le RTO de 3 jours à 4 heures est rentabilisé dès le premier incident. La question n'est pas "est-ce que je peux me le permettre", mais plutôt "est-ce que je peux me permettre de ne pas l'avoir".
Pour évaluer précisément le budget informatique adapté à votre PME, il est essentiel de partir de votre réalité opérationnelle et non d'un ratio générique.
Point clé : La majorité des PME peuvent démarrer avec un PRA basique à moins de 500 euros par mois, puis monter en puissance progressivement. Il n'est pas nécessaire de viser la perfection d'entrée de jeu. Le plus important est de commencer.
Les erreurs les plus fréquentes
En travaillant avec des PME sur leur infrastructure IT, certains schémas d'erreur reviennent systématiquement.
- Ne tester jamais le plan : c'est l'erreur numéro un. Les sauvegardes qui ne fonctionnent pas, les procédures qui ne correspondent plus à l'infrastructure réelle, les accès qui ont expiré. Tout cela ne se découvre qu'au moment du test. Ou pire, au moment du sinistre.
- Sous-estimer les dépendances : votre ERP dépend du serveur de base de données, qui dépend du réseau, qui dépend du firewall. Restaurer l'ERP sans avoir restauré toute la chaîne ne sert à rien. Un audit IT régulier permet d'identifier ces dépendances.
- Confier le PRA uniquement au prestataire IT : votre infogérant peut gérer la partie technique, mais le PRA est un sujet de direction. Les décisions sur les priorités de reprise (quels systèmes en premier), les seuils acceptables de perte de données et les budgets sont des décisions métier, pas techniques. Bien choisir son prestataire informatique est essentiel, mais la responsabilité reste celle du dirigeant.
- Protéger le serveur mais oublier le poste de travail : les données critiques ne sont pas toujours sur le serveur. Des fichiers Excel essentiels sur le poste du comptable, des mails non synchronisés, des fichiers projet en local. Le Shadow IT complique encore la donne.
- Négliger la documentation : le jour du sinistre, le stress est maximal. Si les procédures ne sont pas écrites clairement, avec les bons identifiants, les bonnes adresses IP, les bons contacts, chaque minute perdue à chercher une information est une minute de plus d'arrêt.
Le cloud hybride : l'allié naturel du PRA/PCA
L'évolution vers le cloud a profondément simplifié la mise en oeuvre des plans de reprise pour les PME. Ce qui nécessitait autrefois un deuxième site physique coûteux peut désormais être réalisé avec des services cloud à la demande.
L'architecture cloud hybride est particulièrement adaptée. Les données et applications critiques sont répliquées dans le cloud en continu. En cas de sinistre sur site, la bascule vers le cloud s'effectue en quelques minutes à quelques heures selon la configuration. Une fois le site principal restauré, les données sont resynchronisées.
Les avantages concrets pour une PME :
- Pas de site de secours physique à maintenir : le cloud joue ce rôle, avec un coût proportionnel à l'usage réel
- Scalabilité : les ressources cloud s'adaptent à la charge, même en mode dégradé
- Géo-redondance : les données sont répliquées sur plusieurs datacenters, éliminant le risque de sinistre local
- Tests simplifiés : il est possible de tester la reprise dans le cloud sans impacter la production
Attention cependant : migrer vers le cloud ne dispense pas d'un PRA. Le cloud peut connaître des pannes (les incidents chez les grands fournisseurs sont réguliers), et la responsabilité des données reste celle de l'entreprise, pas du fournisseur cloud.
NIS2 et conformité : ce que la réglementation exige
La directive NIS2 impose aux entités concernées (et elles sont beaucoup plus nombreuses qu'avec NIS1) de mettre en oeuvre des mesures de gestion des risques cybersécurité proportionnées. Parmi ces mesures, la continuité d'activité figure explicitement.
Concrètement, la réglementation attend :
- Une analyse de risques formalisée, incluant les scénarios de sinistre IT
- Des plans de continuité et de reprise documentés et testés
- Des procédures de notification d'incident dans les 24 heures
- La sécurité de la chaîne d'approvisionnement, y compris les prestataires IT
Même si votre PME n'est pas directement soumise à NIS2, vos clients grands comptes pourraient vous l'exiger dans le cadre de leur propre mise en conformité. Disposer d'un PRA/PCA structuré devient un avantage concurrentiel dans les appels d'offres B2B.
Si vous découvrez le sujet de la cybersécurité pour les PME, commencez par là avant de plonger dans les détails techniques du PRA/PCA.
Par où commencer concrètement
Si vous n'avez ni PRA ni PCA aujourd'hui, voici les trois premières actions à mener cette semaine :
- Faire l'inventaire : listez tous vos systèmes IT (serveurs, applications, services cloud, postes critiques) et identifiez lesquels sont indispensables au fonctionnement quotidien de l'entreprise.
- Vérifier vos sauvegardes : sont-elles réelles, récentes et restaurables ? Testez la restauration d'un fichier et d'un serveur complet. Si la dernière sauvegarde date de plus de 24 heures ou si personne ne sait la restaurer, vous avez un problème urgent.
- Identifier votre prestataire de crise : en cas de sinistre, qui appelez-vous ? Si la réponse est "je ne sais pas", il est temps de structurer votre relation avec un partenaire IT capable d'intervenir en urgence.
Ces trois actions ne coûtent rien et révèlent immédiatement les failles les plus critiques. Le reste viendra progressivement, avec l'accompagnement du bon prestataire.
À lire aussi
- → Cybersécurité 2026 : pourquoi les PME sont les nouvelles cibles
- → Cloud hybride pour PME : le guide pratique
- → Conformité NIS2 : ce que les PME doivent savoir en 2026
- → Diagnostic IT d'entreprise : le guide complet
- → Le vrai coût d'une infrastructure IT obsolète
- → Externalisation IT : avantages et inconvénients pour les PME
Évaluez la résilience de votre infrastructure IT
Un diagnostic complet pour identifier les points de vulnérabilité et construire un plan de reprise adapté à votre PME.