60 % des PME victimes d'un sinistre informatique majeur déposent le bilan dans les 18 mois (étude Mountain View, 2024). La différence entre celles qui survivent et les autres tient en trois lettres : PRA (Plan de Reprise d'Activité) et PCA (Plan de Continuité d'Activité). Voici comment les bâtir, sans tomber dans l'usine à gaz.
PRA, PCA : quelle différence ?
Le PRA (Plan de Reprise d'Activité) répond à la question : "Comment redémarre-t-on l'activité après un sinistre ?" Il liste les étapes pour restaurer les systèmes, l'ordre de priorité, les responsables, les délais cibles.
Le PCA (Plan de Continuité d'Activité) est plus large : il vise à maintenir l'activité pendant l'incident, en mettant en place des solutions de secours (locaux de repli, équipements alternatifs, télétravail forcé).
Pour une PME de 10-50 personnes, on commence par un PRA solide. Le PCA complet vient dans un second temps.
Les deux indicateurs qui changent tout
RTO (Recovery Time Objective) : combien de temps maximum pouvez-vous tenir sans cette donnée/ce système ? Pour la facturation : peut-être 24h. Pour le serveur de messagerie : peut-être 2h. Pour la production industrielle : peut-être 30 minutes.
RPO (Recovery Point Objective) : combien de données pouvez-vous accepter de perdre ? Pour la comptabilité : peut-être une journée. Pour les commandes en ligne : peut-être 15 minutes. Pour les relevés patients : peut-être zéro.
Ces deux indicateurs dimensionnent toute la stratégie. Un RPO de 15 minutes impose une réplication continue, donc une infrastructure très différente d'un RPO de 24h qui se contente d'une sauvegarde quotidienne.
Les scénarios à anticiper
On en retient quatre principaux pour une PME :
1. Panne matérielle majeure (serveur HS, NAS planté, switch core en panne). Probabilité élevée, impact moyen. Réponse : redondance des composants critiques + sauvegardes restaurables rapidement.
2. Sinistre physique (incendie, dégât des eaux, vol). Probabilité faible, impact maximal. Réponse : sauvegardes hors site, locaux de repli identifiés, copies de documents critiques au coffre.
3. Cyberattaque (ransomware, compromission, vol de données). Probabilité élevée et croissante, impact maximal. Réponse : sauvegardes immuables, plan d'isolation réseau, contact CERT identifié.
4. Indisponibilité humaine (dirigeant indisponible, prestataire IT en grève, expert qui démissionne). Probabilité moyenne, impact selon la dépendance. Réponse : documentation à jour, personnes secondaires formées, prestataires de secours identifiés.
Le plan minimal pour une PME
1. Une cartographie des systèmes critiques. Liste prioritaire : "Sans ça, on ne facture plus" / "Sans ça, on ne livre plus" / "Sans ça, c'est gênant mais on tient une semaine".
2. Une stratégie de sauvegarde 3-2-1-1. 3 copies, 2 supports, 1 hors site, 1 immuable. Voir notre article dédié.
3. Des tests de restauration trimestriels. Une sauvegarde non testée n'est pas une sauvegarde. On restaure un échantillon, on chronomètre, on documente.
4. Un répertoire d'urgence. Numéros de tous les prestataires (téléphonie, hébergeur, banque, assurance, expert-comptable), accessible en dehors du SI principal — version papier au coffre.
5. Une procédure d'incident. Qui appelle qui, dans quel ordre, qui décide quoi. Une page A4 suffit. Mise à jour annuelle.
6. Un test grandeur nature annuel. Une demi-journée par an où on simule un scénario (par exemple : "le serveur principal est mort"). On voit ce qui marche, ce qui bloque, ce qu'il faut améliorer.
L'erreur fatale : le plan dans le tiroir
Un PRA rédigé en 2022 et jamais relu depuis, c'est un PRA inutile. Les systèmes ont changé, les personnes ont bougé, les prestataires ont changé. Le minimum est une revue annuelle documentée.
Et surtout : un test grandeur nature de temps en temps. C'est inconfortable, ça mobilise du monde, mais c'est la seule façon de découvrir les angles morts avant que la crise ne le fasse pour vous.
Notre approche chez SDWeb
Pour nos clients en infogérance, on inclut un PRA documenté, testé tous les trimestres et relu chaque année. C'est un livrable concret, à présenter à votre assureur ou à un auditeur si besoin.
Si vous voulez savoir où vous en êtes aujourd'hui, demandez-nous un diagnostic — on vous remet une cartographie de vos risques et une feuille de route en quelques jours.