Plan de reprise d'activité informatique (PRA) : guide complet 2025
Un plan de reprise d’activité informatique (PRA) est le document stratégique et opérationnel qui définit comment une entreprise redémarre son système d’information après une interruption majeure — cyberattaque par ransomware, panne matérielle, incendie, inondation ou erreur humaine. Sans PRA, une entreprise peut perdre des données critiques, subir une paralysie prolongée de ses opérations et faire face à des conséquences financières, juridiques et réputationnelles sévères.
Ce guide complet vous explique ce qu’est un plan de reprise d’activité informatique, en quoi il diffère d’un PCA, quelles sont ses composantes essentielles (RTO, RPO, BIA), comment le construire étape par étape, et comment une expertise externe accélère sa mise en œuvre.
Qu’est-ce qu’un plan de reprise d’activité informatique ?
Le plan de reprise d’activité informatique, abrégé PRA (ou DRP en anglais pour Disaster Recovery Plan), désigne l’ensemble des procédures, technologies et responsabilités qui permettent à une organisation de restaurer ses systèmes informatiques et ses données après un sinistre ou une interruption non planifiée.
Le PRA répond à deux questions fondamentales : combien de temps peut-on tolérer d’être hors ligne ? Et jusqu’à quel moment peut-on remonter les données ? Ces deux paramètres sont formalisés par :
- RTO (Recovery Time Objective) : durée maximale acceptable d’interruption entre la survenue de l’incident et la reprise effective des systèmes.
- RPO (Recovery Point Objective) : perte de données maximale acceptable, soit la durée séparant le dernier point de sauvegarde valide du moment de l’incident.
Exemple concret : un RTO de 4 heures signifie que les systèmes doivent être opérationnels au plus tard 4 heures après la détection de l’incident. Un RPO de 1 heure signifie qu’on accepte de perdre au maximum 1 heure de données.
PRA vs PCA : quelle différence ?
Le PRA (Plan de Reprise d’Activité) et le PCA (Plan de Continuité d’Activité) sont souvent confondus mais répondent à des objectifs distincts.
| Critère | PRA (Plan de Reprise d’Activité) | PCA (Plan de Continuité d’Activité) |
|---|---|---|
| Objectif | Redémarrer le SI après une interruption› | Maintenir l’activité pendant et après un incident› |
PRA Le PRA vise à restaurer les systèmes après une panne ou catastrophe. Il accepte une interruption temporaire et planifie les étapes de reprise. PCA Le PCA garantit la continuité des opérations critiques même en cas de sinistre, avec un objectif de zéro interruption perceptible. |
||
| Logique | Curative (après la panne)› | Préventive et curative› |
PRA Le PRA intervient après la panne : il s’agit de réparer et remettre en service ce qui a été interrompu. PCA Le PCA adopte une double logique : anticiper les incidents avant qu’ils surviennent et y répondre sans interruption visible. |
||
| Interruption | Accepte une coupure temporaire› | Vise zéro interruption› |
PRA Une indisponibilité temporaire est tolérée le temps de relancer les systèmes depuis les sauvegardes. PCA L’objectif est de maintenir les services sans aucune coupure perceptible grâce à des infrastructures redondantes actives en permanence. |
||
| Coût | Moins élevé› | Plus élevé (infrastructure redondante)› |
PRA Repose sur des sauvegardes régulières et une procédure de restauration documentée. Coût maîtrisé. PCA Nécessite des infrastructures dupliquées, des sites de secours actifs et une synchronisation temps réel — investissement plus conséquent. |
||
| Cas d’usage | PME/ETI, applications non critiques› | Secteur bancaire, santé, infrastructures critiques› |
PRA Adapté aux structures pour lesquelles une interruption courte est tolérable : PME, ETI, applications internes non critiques. PCA Indispensable dans les secteurs où toute interruption est inacceptable : banque, hôpitaux, opérateurs d’importance vitale (OIV). |
||
| Norme de référence | ISO 22301 (partielle)› | ISO 22301 complète› |
PRA S’appuie sur certains volets de l’ISO 22301 (management de la continuité d’activité), notamment ceux liés à la reprise IT. PCA Met en œuvre l’ISO 22301 dans sa globalité, couvrant la gouvernance, les plans de continuité, les tests et l’amélioration continue. |
||
En pratique, le PCA englobe le PRA : un PCA complet intègre un PRA informatique, mais aussi des procédures de continuité métier (RH, communication de crise, continuité des approvisionnements). Pour la grande majorité des entreprises, commencer par un PRA informatique solide est la priorité.
Pourquoi le plan de reprise d’activité informatique est-il indispensable en 2025 ?
Les cybermenaces, les défaillances matérielles et les catastrophes naturelles ont considérablement augmenté la probabilité d’un incident informatique majeur. Plusieurs données illustrent cette réalité :
- Selon l’ANSSI, les attaques par ransomware contre les entreprises françaises ont été multipliées par 4 entre 2019 et 2023.
- Le coût moyen d’une interruption de production informatique est estimé entre 5 000 et 100 000 euros par heure selon la taille de l’entreprise et le secteur (source : Gartner, 2023).
- 70 % des entreprises qui subissent une perte de données majeure sans plan de reprise cessent leur activité dans les 12 mois (source : FEMA / National Archives).
- La directive NIS2, transposée en droit français depuis octobre 2024, impose aux entités essentielles et importantes de disposer d’un plan de continuité et de reprise documenté.
Au-delà de l’obligation réglementaire, le PRA informatique est un outil de résilience opérationnelle : il réduit le temps de reprise, limite la perte de données, et garantit que les équipes savent quoi faire dans le stress d’une crise réelle.
Les composantes essentielles d’un plan de reprise d’activité informatique
1. L’inventaire et la classification des actifs informatiques
Tout PRA commence par un inventaire exhaustif des actifs du SI : serveurs, bases de données, applications métier, postes de travail, équipements réseau, solutions cloud. Chaque actif est classé selon sa criticité pour l’activité (critique, important, secondaire). Cette cartographie est le fondement sur lequel reposent toutes les décisions du PRA.
2. L’analyse d’impact métier (BIA — Business Impact Analysis)
La BIA (Business Impact Analysis) quantifie les conséquences d’une interruption de chaque système sur l’activité : pertes financières par heure d’indisponibilité, impact réglementaire, conséquences sur les clients. La BIA permet de définir les RTO et RPO par système et de prioriser les efforts de restauration.
3. La stratégie de sauvegarde et restauration
La stratégie de sauvegarde est le cœur technique du PRA. Elle repose sur plusieurs principes :
- Règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site (offsite ou cloud).
- Sauvegardes immuables : protégées contre la modification et le chiffrement par ransomware (WORM — Write Once Read Many).
- Tests de restauration réguliers : une sauvegarde non testée n’est pas une sauvegarde fiable.
- Chiffrement des sauvegardes : pour protéger les données pendant leur transport et leur stockage.
4. Le site de repli ou l’infrastructure cloud de secours
La reprise d’activité nécessite une infrastructure de substitution. Trois options principales :
- Site de repli physique (cold/warm/hot standby) : datacenter secondaire prêt à prendre le relais.
- DRaaS (Disaster Recovery as a Service) : solution cloud qui réplique le SI en temps réel et permet un basculement rapide vers une infrastructure virtualisée.
- Reprise sur cloud public (AWS, Azure, OVHcloud) : les sauvegardes sont hébergées dans le cloud et les VMs peuvent être restaurées à la demande.
Le choix entre ces options dépend du RTO cible : un hot standby permet une reprise en quelques minutes, un cold standby en plusieurs heures.
5. Les procédures de gestion de crise
Le PRA doit inclure des procédures opérationnelles claires : qui déclenche le plan, comment, selon quels critères, dans quel ordre les systèmes sont-ils redémarrés. Ces procédures doivent être rédigées en langage simple, accessibles même sous stress, et testées par des exercices de simulation.
6. La communication de crise
Pendant un incident, la communication est aussi critique que la restauration technique. Le PRA définit : qui informe les clients et partenaires, selon quel message et quel calendrier ? Qui gère les relations avec les autorités, notamment la CNIL en cas de violation de données personnelles au sens du RGPD ?
Les composantes essentielles d’un plan de reprise d’activité informatique
1. L’inventaire et la classification des actifs informatiques
Tout PRA commence par un inventaire exhaustif des actifs du SI : serveurs, bases de données, applications métier, postes de travail, équipements réseau, solutions cloud. Chaque actif est classé selon sa criticité pour l’activité (critique, important, secondaire). Cette cartographie est le fondement sur lequel reposent toutes les décisions du PRA.
2. L’analyse d’impact métier (BIA — Business Impact Analysis)
La BIA (Business Impact Analysis) quantifie les conséquences d’une interruption de chaque système sur l’activité : pertes financières par heure d’indisponibilité, impact réglementaire, conséquences sur les clients. La BIA permet de définir les RTO et RPO par système et de prioriser les efforts de restauration.
3. La stratégie de sauvegarde et restauration
La stratégie de sauvegarde est le cœur technique du PRA. Elle repose sur plusieurs principes :
- Règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site (offsite ou cloud).
- Sauvegardes immuables : protégées contre la modification et le chiffrement par ransomware (WORM — Write Once Read Many).
- Tests de restauration réguliers : une sauvegarde non testée n’est pas une sauvegarde fiable.
- Chiffrement des sauvegardes : pour protéger les données pendant leur transport et leur stockage.
4. Le site de repli ou l’infrastructure cloud de secours
La reprise d’activité nécessite une infrastructure de substitution. Trois options principales :
- Site de repli physique (cold/warm/hot standby) : datacenter secondaire prêt à prendre le relais.
- DRaaS (Disaster Recovery as a Service) : solution cloud qui réplique le SI en temps réel et permet un basculement rapide vers une infrastructure virtualisée.
- Reprise sur cloud public (AWS, Azure, OVHcloud) : les sauvegardes sont hébergées dans le cloud et les VMs peuvent être restaurées à la demande.
Le choix entre ces options dépend du RTO cible : un hot standby permet une reprise en quelques minutes, un cold standby en plusieurs heures.
5. Les procédures de gestion de crise
Le PRA doit inclure des procédures opérationnelles claires : qui déclenche le plan, comment, selon quels critères, dans quel ordre les systèmes sont-ils redémarrés. Ces procédures doivent être rédigées en langage simple, accessibles même sous stress, et testées par des exercices de simulation.
6. La communication de crise
Pendant un incident, la communication est aussi critique que la restauration technique. Le PRA définit : qui informe les clients et partenaires, selon quel message et quel calendrier ? Qui gère les relations avec les autorités, notamment la CNIL en cas de violation de données personnelles au sens du RGPD ?
Comment définir ses RTO et RPO ?
Le RTO et le RPO sont déterminés par les contraintes métier, pas par des valeurs techniques arbitraires. Voici un cadre de référence par type de système :
| Système | RTO cible | RPO cible | Technologie recommandée |
|---|---|---|---|
| ERP / Système de production critique | < 1 heure› | < 15 minutes | Réplication synchrone, hot standby |
ERP / Production critique Le RTO < 1 heure impose une bascule quasi-immédiate vers un site de secours. La réplication synchrone garantit qu’aucune transaction n’est perdue (RPO < 15 min). Le hot standby maintient un système miroir prêt à prendre le relais sans intervention manuelle. |
|||
| Messagerie et outils collaboratifs | < 4 heures› | < 1 heure | Cloud SaaS natif + DRaaS |
Messagerie & Collaboration Les solutions SaaS natives (Microsoft 365, Google Workspace) intègrent nativement la redondance géographique. Le DRaaS (Disaster Recovery as a Service) complète le dispositif pour les outils on-premise, avec un RPO < 1 heure assuré par des sauvegardes fréquentes. |
|||
| Serveurs de fichiers | < 8 heures› | < 4 heures | Sauvegarde cloud quotidienne + incrémentale |
Serveurs de fichiers Une sauvegarde quotidienne complète couplée à des sauvegardes incrémentales toutes les 4 heures permet de respecter le RPO. La restauration depuis le cloud garantit un RTO < 8 heures sans infrastructure de secours dédiée. |
|||
| Poste de travail utilisateur | < 24 heures› | < 24 heures | VDI ou image gold déployable |
Poste de travail Le VDI (Virtual Desktop Infrastructure) permet de restituer un environnement de travail complet en quelques heures depuis n’importe quel terminal. L’image gold déployable est une image système préconfigurée poussée automatiquement sur un nouveau matériel. |
|||
| Archives / données historiques | 72 heures› | 24 heures | Sauvegarde froide (cold storage) |
Archives & Données historiques Les données rarement consultées sont stockées en cold storage (ex. Amazon S3 Glacier, Azure Archive). Le coût est très faible mais le temps de récupération est plus long (jusqu’à 72 h), ce qui est acceptable pour des données non critiques à l’opérationnel immédiat. |
|||
PRA informatique dans le cloud : DRaaS et sauvegarde cloud
La généralisation du cloud a transformé les pratiques de reprise d’activité. Le DRaaS (Disaster Recovery as a Service) permet de répliquer l’ensemble du SI vers une infrastructure cloud et de basculer en quelques minutes vers des VMs hébergées chez un fournisseur cloud — sans datacenter secondaire physique à maintenir.
Les avantages du DRaaS
- Pas d’investissement CAPEX dans une infrastructure de secours : paiement à l’usage lors des tests ou incidents.
- RTO très courts possibles (moins d’une heure) grâce à la réplication continue.
- Testabilité simplifiée : les tests de reprise se font sans impacter la production.
- Scalabilité automatique de l’infrastructure de secours.
Points de vigilance
- Souveraineté des données : s’assurer que les données sont hébergées en France ou en Europe (conformité RGPD). Les solutions qualifiées SecNumCloud par l’ANSSI offrent les garanties les plus élevées.
- Bande passante : la réplication et la restauration consomment de la bande passante. La connexion réseau doit être dimensionnée en conséquence.
- Tests réguliers obligatoires : même en DRaaS, les tests de restauration restent indispensables.
Plan de reprise d’activité et ransomware : une priorité absolue
Le ransomware est aujourd’hui la menace numéro un qui justifie la mise en place d’un PRA informatique. En 2024, une attaque par rançongiciel se produit toutes les 11 secondes dans le monde (Cybersecurity Ventures). Les entreprises françaises ne sont pas épargnées : hôpitaux, collectivités locales et PME industrielles ont été touchés ces dernières années.
Un PRA anti-ransomware efficace repose sur trois piliers spécifiques :
- Sauvegardes immuables et déconnectées (air gap) : le ransomware chiffre toutes les données accessibles depuis le réseau infecté, y compris les sauvegardes réseau. Les sauvegardes doivent être stockées sur des supports immuables (WORM) ou physiquement déconnectés.
- Détection rapide et confinement : plus vite l’incident est détecté et le périmètre infecté est isolé, plus la restauration sera partielle. Un EDR (Endpoint Detection and Response) et un SOC sont des prérequis.
- Plan de restauration priorisé : le PRA définit l’ordre de restauration des systèmes pour remettre l’activité critique en route le plus vite possible, même si tous les systèmes ne sont pas encore restaurés.
FAQ
Qu’est-ce qu’un plan de reprise d’activité informatique ?
Un plan de reprise d’activité informatique (PRA) est l’ensemble des procédures et technologies qui permettent à une entreprise de restaurer son système d’information après une interruption majeure (cyberattaque, panne, sinistre). Il définit le RTO (durée maximale d’interruption acceptable), le RPO (perte de données maximale acceptable), ainsi que les responsabilités et étapes de restauration par système.
Quelle est la différence entre un PRA et un PCA ?
Le PRA vise à redémarrer le SI après une interruption — il accepte une coupure temporaire. Le PCA vise à maintenir l’activité sans interruption y compris pendant un incident. Le PCA est plus complet et plus coûteux ; il englobe le PRA et s’étend aux processus métier. La norme ISO 22301 couvre les deux.
Quelle est la durée recommandée pour un RTO ?
Le RTO dépend de la criticité du système et des contraintes métier. Pour un ERP critique, moins d’1 heure est généralement visé. Pour une messagerie, 4 à 8 heures peuvent être acceptables. Il n’existe pas de RTO universel : il est défini par une Business Impact Analysis (BIA) en lien avec les directions métier.
Combien coûte la mise en place d’un plan de reprise d’activité ?
Le coût varie selon la taille de l’entreprise, la complexité du SI et le niveau de RTO/RPO visé. Pour une PME, les solutions DRaaS cloud démarrent à quelques centaines d’euros par mois. Pour une ETI avec un SI complexe, le projet peut représenter plusieurs dizaines de milliers d’euros. À mettre en regard du coût d’une interruption non maîtrisée : entre 5 000 et 100 000 euros par heure selon le secteur.
À quelle fréquence faut-il tester son plan de reprise d’activité informatique ?
Un PRA doit être testé au minimum une fois par an et après chaque évolution significative du SI. Les experts recommandent un test de restauration partielle tous les trimestres et un test de bascule complète (DR drill) annuel. Sans tests réguliers, un plan de reprise d’activité ne peut pas être considéré comme fiable.
Le plan de reprise d’activité est-il obligatoire pour les entreprises françaises ?
Il n’existe pas d’obligation légale générale. Cependant plusieurs réglementations imposent des exigences de continuité à des secteurs spécifiques : la directive NIS2 (transposée en France en 2024) pour les entités essentielles et importantes, le RGPD pour la protection des données personnelles, la DORA pour le secteur financier européen, et les exigences ANSSI pour les Opérateurs d’Importance Vitale (OIV).
Quelle est la place du PRA dans une stratégie de cybersécurité ?
Le plan de reprise d’activité informatique est le dernier rempart d’une stratégie de cybersécurité en profondeur. Il intervient quand les mesures préventives (pare-feu, EDR, MFA, SOC) n’ont pas suffi. Un PRA solide ne remplace pas la prévention : il la complète. Les deux font partie d’une approche globale de résilience numérique, de plus en plus formalisée autour du cadre NIST Cybersecurity Framework et des recommandations de l’ANSSI.
adista vous accompagne dans votre plan de reprise d’activité informatique
adista est un opérateur et intégrateur informatique français qui accompagne les entreprises dans la conception, le déploiement et l’exploitation de leurs PRA depuis plus de 25 ans. Nos équipes d’experts interviennent sur l’ensemble du cycle de vie du projet :
- Audit de votre SI et de vos pratiques de sauvegarde actuelles
- Business Impact Analysis (BIA) et définition des RTO/RPO par système
- Conception de l’architecture de reprise (DRaaS, backup cloud, site de repli)
- Déploiement des solutions de réplication et de sauvegarde
- Rédaction des procédures opérationnelles de gestion de crise
- Tests de reprise annuels et simulation d’incidents (DR drills)
- Supervision 24h/24 et 7j/7 de votre infrastructure de sauvegarde
Nos solutions s’appuient sur des datacenters souverains localisés en France, répondant aux exigences RGPD et aux recommandations de l’ANSSI.
