Le plan de reprise d'activité, ou comment rebondir après un sinistre informatique
Avez-vous élaboré un plan de reprise d’activité, ou PRA, pour votre entreprise ?
Le PRA, également appelé en anglais DRP (Disaster Recovery Plan), est devenu au fil des ans une nécessité pour les sociétés à l’heure où les sinistres informatiques se multiplient, en particulier la cybercriminalité. Mais de nombreuses entreprises n’ont encore pas pris leurs dispositions, notamment à cause du poste de dépense qu’il représente.
Pourtant, que vous soyez une TPE, une PME ou un grand groupe, les conséquences de l’indisponibilité de votre système informatique et de la perte de données peuvent être désastreuses pour votre business.
Convaincu par la nécessité d’anticiper la reprise après sinistre de votre activité ?
Grâce à cet article, vous saurez tout sur le PRA, sur ses avantages et sur la démarche à suivre pour le mettre en place.
Qu'est-ce qu'un plan de reprise d'activité (PRA) ?
Un plan de reprise d’activité se définit comme un ensemble de procédures, dont l’objectif est de prévoir comment redémarrer le plus rapidement possible l’activité professionnelle en cas d’incident informatique :
- catastrophes naturelles ;
- accidents humains ;
- panne matérielle ou logicielle ;
- vol ;
- cybercriminalité, etc.
Par extension, le PRA désigne également le document recensant ces procédures. Il peut être élaboré et détenu soit par l’entreprise même, soit par un prestataire externe.
Quel est l’intérêt d’un plan de reprise d’activité ?
Certains entrepreneurs perçoivent la mise en place d’un PRA comme un manque à gagner en matière de trésorerie. En effet, elle implique nécessairement des investissements en infrastructure informatique et en logiciels.
Pourtant, élaborer un plan de secours est devenu indispensable au regard des enjeux actuels.
✅ En effet, l'interruption des systèmes ou des machines de l’entreprise provoque un ralentissement de l’activité opérationnelle, les équipes ne disposant plus de certaines ressources indispensables pour mener à bien leurs missions. Le chiffre d’affaires de la société s’en trouve inéluctablement impacté.
✅ Par ailleurs, la donnée informatique est devenue aujourd’hui une ressource extrêmement précieuse, qu’il convient de protéger. La perte de data s’avère dangereuse :
- pour l’activité même de la société, qui ne dispose plus des informations nécessaires pour assurer normalement son activité ;
- car cela véhicule une image négative auprès des clients et partenaires ;
- à causes de potentiels risques de poursuites judiciaires pour manquement aux obligations.
Le principal avantage du PRA ? Assurer le plus rapidement possible la reprise de l’activité, afin d’éviter des pertes importantes en termes d’opportunités business et de chiffres d’affaires, parfois fatales aux entreprises.
« Piloter le plan d’action de votre feuille de route Sécurité PSSI » par Project Monitor
Télécharger le Livre BlancQuelle est la différence entre PCA et PRA ?
Il est courant, lorsque l’on aborde ce sujet, d’évoquer en parallèle le plan de continuité d’activité (ou PCA), tant les deux activités se rapprochent.
💡 Alors, quelle est la différence entre un PCA et un PRA ?
- le PCA opère en préventif, puisqu’il s’agit d’un plan visant à éviter au maximum tout arrêt de l’activité. Il contient des procédures qu’il convient de suivre quand survient une situation critique, permettant d’y répondre à court terme.
- le PRA intervient une fois que le sinistre a eu lieu. En ce sens, un plan de reprise d’activité peut s’intégrer à une procédure de plan de continuité d’activité.
Que doit contenir le plan de reprise d’activité ?
Chaque PRA est adapté à l’entreprise et à ses spécificités, il n’existe pas de modèle idéal. Finalement, le plus important, c’est de tout anticiper et d’obtenir une vision d’ensemble la plus complète possible, afin de mieux maîtriser les imprévus.
💡 N’hésitez pas à être le plus exhaustif possible !
Toutefois, dans les grandes lignes, on retrouve :
- l’identification des activités critiques qu’il faut absolument continuer ;
- le recensement de tous les risques ;
- les différentes solutions de maintien ;
- les procédures à appliquer selon divers scenarii ;
- les ressources nécessaires à la continuité des activités (humaines, matières premières, équipements, sous-traitants, etc.) ;
- les délais de reprise à respecter.
Exemple de plan de reprise d’activité PDF
Si vous cherchez un modèle de plan de reprise d’activité, voici un exemple gratuit sur lequel vous appuyer :
Exemple de plan de reprise d’activité
Télécharger le documentIl ne vous reste plus qu’à vous en inspirer et à l’adapter à vos propres spécificités.
Comment mettre en place un plan de reprise d’activité en 6 étapes ?
Un plan de reprise d’activité est propre à chaque entreprise, puisqu’il se construit en fonction de sa structuration, de ses besoins, de sa taille, etc.
Toutefois, certains dispositifs et bonnes pratiques sont communément appliqués lorsqu’il s’agit d'instaurer un PRA.
Étape 1 : identifiez les risques possibles
Toutes les organisations ne sont pas exposées aux mêmes incidents et sinistres.
Si nous prenons l’exemple des catastrophes naturelles, notons que certaines entreprises ont des infrastructures plus exposées (zones sismiques, zones inondables, etc.).
👉 Procédez donc en amont à une analyse des risques à prévenir, envisagez tous les scenarii possibles.
Étape 2 : évaluez vos ressources et activités critiques
Dans un environnement où les systèmes sont de plus en plus complexes et interconnectés, il est alors conseillé de définir précisément les priorités de l’entreprise par rapport à la criticité de certains composants.
Pour ce faire, évaluez les deux données suivantes :
- Le RTO, ou Recovery Time Objective. Il s’agit de la durée maximale d’interruption que votre entreprise peut supporter, avant que la situation ne devienne vraiment critique. Ce temps d’interruption se comptabilise entre le moment où la ressource informatique ne fonctionne plus et la reprise normale de l’activité.
💡Notez que le Recovery Time Objective peut différer d’une ressource informatique à une autre au sein d’une même structure. Par exemple, si toute la gestion d’une entreprise est orchestré par un ERP, son RTO sera court. À l’inverse, sa durée s’allongera pour des outils moins indispensables, où pour lesquels des solutions de substitution existent (tchat d’entreprise, plateforme de partage de documents, etc.).
- Le RPO, ou Recovery Point Objective. Il correspond à la durée de perte de données maximale admissible par l'entreprise.
💡 Par exemple, une activité contrainte à une sauvegarde complète de la base de données une fois par jour a un RPO de 24h. Celui-ci peut fortement diminuer pour certaines entreprises qui procèdent à des sauvegardes beaucoup plus régulières. C’est le cas, par exemple, du domaine bancaire.
In fine, analyser ces deux indicateurs vous aide à déterminer avec précision le degré d’urgence par service ou par activité, et par conséquent les mesures à adopter pour chacun.
Étape 3 : définissez votre stratégie de reprise d’activité
Une fois les risques potentiels identifiés et les impacts par activité définis, il est temps de vous pencher sur les mesures et les stratégies à adopter.
Pour ce faire, tenez compte des besoins de l’entreprise, ainsi que de l’ensemble de son système d’information (du matériel informatique aux logiciels et applications, en passant par sa data).
En règle générale, on distingue deux types de mesures :
- Les mesures préventives. Par exemple :
- la sauvegarde régulière des données ;
- la redondance, ou réplication des données ;
- l’utilisation de sites de secours, etc.
- Les mesures curatives. Par exemple :
- le déclenchement de systèmes de secours ;
- la restauration ou la reprise des données ;
- l’utilisation de sites de secours ;
- le redémarrage des applications, etc.
☝️ Ne négligez pas les facteurs humains dans la gestion de crise ! En effet, un PCA implique aussi l’adoption de bonnes pratiques au sein des organisations, discours de sensibilisation ou/et de formations par exemple.
Étape 4 : documentez par écrit
Nous l’avons vu, le plan de reprise d’activité se rapporte également au document sur lequel toutes les forces de frappe de l’entreprise vont s’appuyer en cas de sinistre.
Mettre par écrit votre PRA facilite l’organisation générale, la gestion des ressources humaines (qui fait quoi ?) et la prise de connaissance des procédures par l’ensemble de votre société.
Étape 5 : mettez en place des tests
C’est bien connu, difficile de prendre les bonnes décisions face aux déconvenues dans l’urgence et le stress.
C’est pourquoi il est recommandé d’éprouver votre plan de reprise d’activité avant que la catastrophe ne survienne.
La solution ? Mettre en place des tests :
☑️ au niveau organisationnel, afin de vous assurer que tout un chacun sache exactement comment réagir en cas d’interruption de l’activité informatique.
☑️ au niveau technique, et ce, de manière régulière. Ce procédé permet, par exemple, d’anticiper le comportement de votre système de secours.
Étape 6 : faites évoluer votre PRA
Notez que les tests évoqués ci-dessus servent également à revoir votre plan de reprise d’activité le cas échéant, en fonction des défaillances détectées.
Par ailleurs, un PRA évolue et s’adapte aux mutations de votre entreprise, qu’elles soient d’ordre économique, organisationnel ou technologique.
💡 Changement de stratégie, résultats des tests et actions qui en résultent… tout doit être documenté pour favoriser le partage de connaissances dans une optique d’amélioration continue.
PRA : quels outils utiliser ?
Pour mettre en place votre plan de reprise d’activité, il vous faut sélectionner votre solution PRA (souvent un logiciel de backup) en fonction des objectifs et stratégies identifiées.
🛠️ Exemples d’outils :
- Beemo Data Safe Restore pour les TPE-PME. Beemo Data Safe Restore opère aussi bien en préventif, grâce à une triple sauvegarde (sur un NAS placé dans l’entreprise et dans deux datacenters) qu’en curatif au moyen d’une restauration à l’identique des données 24h/24 et 7j/7. Et pour ceux qui seraient frileux à l’idée de passer par le cloud, sachez que l’ensemble de vos données sont hébergées en France, de manière très sécurisée.
- Microsoft Azure Backup pour les plus grands groupes. Ce logiciel prend en charge la sauvegarde et la restauration des données, ou sur cloud privé, ou à l’aide d’un système hybride. De plus, vos data sont cryptées (même pour Microsoft), atout appréciable en cas de données sensibles. Enfin, Microsoft Azure Backup est capable de gérer du gros volume, puisque l’historique des sauvegardes va jusqu’à 99 ans.
- UCover by Nuabee pour les PME et ETI. Avec cet outil, vos données sont sécurisées et hébergées en lieu sûr dans le cloud d’Orange Business Services (datacenters français et hautement certifiés). De plus, UCover est une solution managée : les équipes assurent le MCO, surveillent vos sauvegardes et réplications, et réalisent régulièrement des tests de PRA. En cas de problème, vous pouvez compter sur un redémarrage automatique en quelques heures seulement.
Quelques bonnes pratiques à connaître pour terminer
- Sensibilisez régulièrement vos équipes aux risques informatiques, à travers des ateliers ou des jeux de rôle ;
- Centralisez les accès critiques dans un coffre-fort numérique, avec une gestion fine des droits ;
- Maintenez un annuaire de contacts d’urgence (internes et externes), facilement accessible en cas de crise ;
- Stockez une version imprimée du PRA, hors ligne, pour faire face aux pannes totales d’accès numérique ;
- Préparez un kit de communication de crise, prêt à l’emploi, afin de rassurer les clients et partenaires si besoin ;
- Documentez les incidents passés, même mineurs, de sorte à alimenter une base de retours d’expérience ;
- Prévoyez un plan B pour les télétravailleurs, en cas d’indisponibilité des outils collaboratifs à distance ;
- Ajoutez une check-list post-sinistre, pour ne rien oublier après le retour à la normale (suivi, retours d’expérience, actions correctives).
Plan de reprise d’activité : que retenir ?
Regardons la vérité en face, les risques informatiques augmentent à mesure que la data revêt une importance business de plus en plus capitale pour les entreprises modernes.
Il serait dommage de réagir… trop tard.
Par conséquent, il importe de limiter la casse au moyen d’un plan de reprise d’activité.
Et si l’instauration d’un PRA dépend grandement de mises en place techniques et du choix de logiciels performants et adaptés, il vous faut absolument prendre conscience de la dimension humaine. Car la performance des mesures adoptées dépend grandement de l’approbation et de la compréhension de l’ensemble des acteurs, des sphères dirigeantes aux équipes opérationnelles.

Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !
Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).
Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.