Plan de reprise d'activité : une assurance que peu de PME ont… à tort
43 % des entreprises qui subissent une perte majeure de données ne s'en remettent pas. Elles ferment dans les deux ans. Pourtant, la plupart n'auraient pas succombé pour une raison technique insurmontable mais simplement parce qu'elles n'avaient pas anticipé comment reprendre leur activité. C'est exactement à cela que sert un Plan de Reprise d'Activité (PRA) : transformer un incident potentiellement fatal en une interruption maîtrisée et courte.
Un devis ?
Qu'est-ce qu'un Plan de Reprise d'Activité (PRA) ?
Un Plan de Reprise d'Activité est un document et un dispositif opérationnel qui définit, avant toute crise, les procédures à suivre pour remettre en marche les systèmes informatiques et les processus critiques d'une entreprise après un incident grave : cyberattaque, panne serveur, incendie, coupure de courant prolongée, erreur humaine majeure.
Il répond à deux questions fondamentales : combien de temps peut-on se permettre d'être hors ligne (RTO Recovery Time Objective), et jusqu'à quelle date peut-on tolérer de perdre des données sans conséquence grave (RPO Recovery Point Objective). Ces deux paramètres varient fortement selon les entreprises : un cabinet comptable peut tolérer 4 heures d'interruption mais pas la perte d'une journée de saisie, là où un commerce en ligne ne peut pas se permettre 30 minutes d'arrêt.
À noter : le PRA ne se confond pas avec le Plan de Continuité d'Activité (PCA). Le PCA vise à maintenir l'activité pendant la crise (en mode dégradé). Le PRA vise à restaurer l'activité normale après la crise. Les deux sont complémentaires, mais le PRA est généralement le point de départ pour les PME.
Pourquoi les PME pensent-elles ne pas en avoir besoin et pourquoi elles ont tort
L'argument le plus courant est : « nous sommes trop petits pour être visés ». C'est une idée fausse bien documentée. Les cyberattaques par ransomware ciblent massivement les PME précisément parce qu'elles ont moins de défenses en place. Selon l'ANSSI, les TPE et PME représentent désormais la majorité des victimes de ransomwares en France.
L'autre argument est le coût. En réalité, un PRA adapté à une PME de 10 à 50 salariés peut être construit en quelques jours de travail avec un prestataire informatique spécialisé, pour un coût sans commune mesure avec celui d'un arrêt d'activité non maîtrisé. À titre de comparaison, le coût moyen d'une semaine d'arrêt pour une PME de 20 personnes dépasse souvent 30 000 € en pertes directes et indirectes.
Que doit contenir un PRA efficace pour une PME ?
Un plan de reprise d'activité n'est pas un document théorique de 200 pages. Pour une PME, il doit être opérationnel, compris par tous les acteurs concernés, et régulièrement testé. Il comprend généralement :
- L'inventaire des systèmes et données critiques, classés par ordre de priorité de restauration (serveur ERP, messagerie, accès aux fichiers clients, logiciels métier…) ;
- La définition des RTO et RPO par système : quels délais sont acceptables pour chaque élément de votre infrastructure ;
- Les procédures de restauration étape par étape, avec les responsables désignés et les accès nécessaires (mots de passe de secours, contacts fournisseurs, licences logicielles) ;
- Les solutions de repli : postes de secours, accès cloud, VPN de secours, numéros de téléphone alternatifs ;
- Un calendrier de tests réguliers : un PRA non testé est un PRA qui ne fonctionnera pas au moment critique.
Les 3 scénarios auxquels votre PRA doit répondre
Un PRA efficace doit anticiper au minimum trois types d'incidents :
- Le ransomware : vos fichiers sont chiffrés, vos sauvegardes locales potentiellement compromises. Le PRA doit prévoir une restauration depuis des copies immuables hors site et définir la séquence exacte de remise en production.
- La panne matérielle critique : serveur principal hors service, NAS défaillant. Le plan doit préciser les délais d'approvisionnement du matériel de remplacement et les solutions de transition.
- Le sinistre physique : incendie, inondation, effraction. Toutes les copies de données locales sont perdues. Le PRA doit prévoir la restauration complète depuis le cloud et identifier les locaux de repli si nécessaire.
Comment mettre en place un PRA rapidement ?
La mise en place d'un PRA s'appuie sur ce qui existe déjà dans votre infrastructure et le complète là où des lacunes sont identifiées. En pratique :
- Audit de l'existant : identifier les systèmes critiques, les sauvegardes en place, les points de défaillance potentiels ;
- Définition des objectifs RTO / RPO avec les responsables métier ;
- Mise en place ou renforcement des sauvegardes selon la règle 3-2-1 ;
- Rédaction du plan et désignation des responsables ;
- Test de restauration : l'étape la plus souvent oubliée, et pourtant la plus importante.
Actiline accompagne les entreprises du Val-d'Oise dans chacune de ces étapes, depuis l'audit initial jusqu'au test de restauration. Contactez-nous pour un premier échange sans engagement.
Votre entreprise n'a pas encore de Plan de Reprise d'Activité ? Actiline vous accompagne dans sa mise en place, de l'audit à la première simulation de restauration.
Un devis ?
Questions fréquentes
Combien de temps faut-il pour mettre en place un PRA dans une PME ?
Pour une PME de 10 à 50 salariés avec une infrastructure standard, un premier PRA opérationnel peut être établi en 2 à 4 semaines. Cela inclut l'audit de l'infrastructure, la définition des objectifs de reprise, la mise en place des sauvegardes manquantes et la rédaction du plan.
Faut-il tester le PRA ? À quelle fréquence ?
Oui, absolument c'est l'étape la plus critique et la plus souvent négligée. Il est recommandé de réaliser un test partiel tous les trimestres (restauration d'un fichier ou d'un serveur spécifique) et un test complet au moins une fois par an. Un PRA non testé donne une fausse impression de sécurité.
Le PRA couvre-t-il aussi les données dans le cloud (Microsoft 365, Google Workspace…) ?
C'est un point souvent méconnu : Microsoft et Google ne garantissent pas la restauration de vos données en cas de suppression accidentelle ou de cyberattaque. Votre PRA doit donc inclure une sauvegarde indépendante de vos données hébergées dans le cloud ce sont des solutions tierces spécialisées qui s'en chargent.
Ces articles pourraient vous intéresser
- Sauvegarde de données : cloud, local ou hybride ? Comment choisir
- Infogérance : à partir de quelle taille d'entreprise ça devient rentable ?
- 5 signes que votre entreprise est vulnérable à une cyberattaque
