PRA Continuité Cybersécurité PME NIS2

PRA Informatique : Guide Complet pour Assurer la Continuité d'Activité

Par Meldis

En résumé

  • 43 % des PME françaises ont subi une cyberattaque significative en 2023 (ANSSI)
  • Temps d’arrêt moyen après un incident : 3 à 7 semaines
  • 94 % des ransomwares ciblent les sauvegardes (Veeam 2024)
  • Coût moyen d’une cyberattaque PME : 25 000 à 50 000 € (CPME/Hiscox 2024)
  • Le PRA précise qui fait quoi, dans quel ordre, avec quels outils et en combien de temps

43 % des PME françaises ont subi une cyberattaque significative en 2023 (ANSSI). Le temps d’arrêt moyen après un incident ? Trois à sept semaines. Et selon IBM Security, le délai moyen de détection d’une intrusion est de 207 jours — autant de temps pendant lequel vos données sont potentiellement compromises sans que vous le sachiez.

Ces chiffres ne sont pas là pour faire peur. Ils posent une question concrète : si votre système d’information tombe demain — ransomware, panne serveur, incendie — combien de temps votre entreprise peut-elle survivre sans accès à ses données ?

Le PRA informatique (Plan de Reprise d’Activité) répond précisément à cette question. Ce guide vous explique comment le mettre en place, étape par étape, avec un budget adapté aux contraintes d’une PME.

Qu’est-ce qu’un PRA informatique ?

Un PRA informatique (Plan de Reprise d’Activité) est un document opérationnel qui décrit les procédures techniques et organisationnelles permettant de redémarrer votre système d’information après un incident majeur.

Concrètement, le PRA répond à trois questions :

  • Quelles données restaurer en priorité ? Pas toutes les données ont la même criticité. Votre ERP et votre messagerie passent avant les archives de 2019.
  • En combien de temps ? C’est le RTO (Recovery Time Objective) — le délai maximal acceptable pour remettre vos systèmes en route.
  • Avec quelle perte de données acceptable ? C’est le RPO (Recovery Point Objective) — la quantité de données que vous acceptez de perdre entre la dernière sauvegarde et l’incident.

Le PRA couvre tous les types de sinistres : cyberattaque (ransomware, destruction de données), panne matérielle (serveur, stockage, réseau), catastrophe physique (incendie, inondation, dégât des eaux), erreur humaine (suppression accidentelle, mauvaise manipulation).

Un bon PRA ne se limite pas à “avoir des sauvegardes”. Il décrit précisément qui fait quoi, dans quel ordre, avec quels outils, et en combien de temps.

PRA vs PCA : quelle différence ?

Les deux termes sont souvent confondus. La distinction est pourtant simple :

PRA vs PCA : comparaison

Critère PRA (Plan de Reprise d'Activité) PCA (Plan de Continuité d'Activité)
Objectif Redémarrer après un arrêt Éviter l'arrêt complet
Quand Après l'incident Pendant l'incident
Approche Réactive — restauration Préventive — maintien en mode dégradé
Périmètre Technique (SI, données, serveurs) Global (SI + processus métier + RH)
Coût Plus accessible pour une PME Plus élevé (redondance, site de repli)
Norme ISO 22301, ISO 27001 ISO 22301

En pratique pour une PME : le PRA est souvent le premier pas. Il est plus simple à mettre en place et moins coûteux. Le PCA, plus ambitieux, vient ensuite pour les entreprises qui ne peuvent tolérer aucune interruption (santé, industrie, services financiers).

L’idéal ? Combiner les deux. Le PCA maintient un service minimal pendant la crise, le PRA organise le retour à la normale.

Pourquoi le PRA est devenu une obligation réglementaire

L’obligation NIS2

La directive NIS2, transposée en France par la Loi Résilience, fait du PRA/PCA une obligation explicite pour toutes les entités essentielles et importantes. L’article 21 de la directive impose des “mesures de gestion des risques” incluant spécifiquement :

  • La continuité des activités (PCA)
  • La gestion des sauvegardes
  • La reprise après sinistre (PRA)
  • La gestion des crises

Concrètement, cela signifie que les entreprises concernées par NIS2 doivent disposer de plans de reprise et de continuité documentés, testés régulièrement et mis à jour. L’ANSSI exige la définition d’objectifs de reprise (RPO/RTO), de délais maximaux d’interruption admissible et de mécanismes de sauvegarde sécurisés.

En France, entre 10 000 et 20 000 entreprises sont désormais concernées par NIS2. Et l’effet cascade touche aussi les sous-traitants : si votre client est soumis à NIS2, il peut exiger que vous disposiez d’un PRA.

Les assureurs aussi l’exigent

Au-delà de la réglementation, les assureurs cyber demandent de plus en plus un PRA documenté comme prérequis à la souscription. Sans plan de reprise, votre prime augmente — ou votre dossier est tout simplement refusé.

Les 7 étapes pour mettre en place un PRA informatique

Étape 1 : Cartographier votre système d’information

Avant de protéger quoi que ce soit, vous devez savoir ce que vous avez. Listez exhaustivement :

  • Serveurs et infrastructure : physiques, virtualisés, cloud
  • Applications critiques : ERP, CRM, messagerie, comptabilité, métier spécifique
  • Données : bases de données, fichiers partagés, archives
  • Dépendances externes : hébergeur, éditeurs SaaS, fournisseurs IT
  • Accès : VPN, comptes administrateurs, annuaire Active Directory

Étape 2 : Réaliser un BIA (Business Impact Analysis)

Le BIA évalue l’impact d’une interruption sur chaque composant de votre SI. Cette démarche s’inscrit dans une logique d’audit de sécurité informatique globale. Pour chaque application ou service, déterminez :

  • Le coût horaire d’indisponibilité : perte de CA, productivité, pénalités contractuelles
  • Le délai maximal tolérable d’interruption (DMIA) : au-delà de quelle durée votre activité est-elle en danger ?
  • Les dépendances : quels processus métier sont bloqués si ce système tombe ?

Le BIA permet de classer vos systèmes par criticité : critique (reprise immédiate), important (reprise sous 24h), secondaire (reprise sous 72h), non critique (reprise sous 1 semaine).

Étape 3 : Définir RPO et RTO par application

Sur la base du BIA, fixez des objectifs concrets :

RPO et RTO par application

Application RPO RTO Priorité
ERP / Gestion commerciale 1 heure 4 heures Critique
Messagerie 4 heures 8 heures Critique
Site web / E-commerce 1 heure 2 heures Critique
Comptabilité 24 heures 24 heures Important
Fichiers bureautiques 24 heures 48 heures Secondaire
Archives (> 1 an) 1 semaine 1 semaine Non critique

Ces objectifs déterminent directement votre stratégie de sauvegarde et votre budget. Un RPO de 1 heure nécessite des sauvegardes quasi-continues. Un RPO de 24 heures se satisfait d'une sauvegarde quotidienne.

Étape 4 : Concevoir la stratégie de sauvegarde (règle 3-2-1-1-0)

La règle de sauvegarde 3-2-1, connue depuis des années, ne suffit plus face aux ransomwares modernes. La version actualisée, 3-2-1-1-0, ajoute deux couches essentielles :

La règle de sauvegarde 3-2-1-1-0

Chiffre Signification Exemple concret
3 3 copies de vos données Production + sauvegarde locale + sauvegarde cloud
2 2 supports différents Serveur NAS + stockage cloud (S3, Azure Blob)
1 1 copie hors site Datacenter distant ou cloud géo-répliqué
1 1 copie immuable Sauvegarde WORM (Write Once Read Many), impossible à chiffrer par un ransomware
0 0 erreur de restauration Tests de restauration réguliers (trimestriels minimum)

94 % des attaques par ransomware tentent de compromettre les sauvegardes (Veeam 2024). Une sauvegarde immuable ne peut être ni modifiée, ni chiffrée, ni supprimée pendant sa période de rétention — même par un administrateur compromis.

Technologies courantes pour l’immuabilité : Amazon S3 Object Lock, Wasabi Immutable Bucket, Veeam Hardened Repository, ou simplement des bandes LTO stockées hors site.

Étape 5 : Rédiger le PRA documenté

Le document PRA doit être clair, opérationnel et accessible hors de votre SI (imprimé ou sur un support indépendant). Il doit contenir :

  • L’inventaire des systèmes et leur classification par criticité
  • Les objectifs RPO/RTO par application
  • Les procédures de restauration pas-à-pas pour chaque système critique
  • Les contacts d’urgence : prestataire IT, hébergeur, éditeurs, assureur, ANSSI / Cybermalveillance.gouv.fr
  • Les rôles et responsabilités : qui déclenche le PRA ? Qui restaure quoi ?
  • Le plan de communication : clients, fournisseurs, collaborateurs, autorités (CNIL si données personnelles)
  • Les procédures de retour à la normale

Point critique : ne stockez jamais le PRA uniquement sur votre infrastructure informatique. Si elle est chiffrée par un ransomware, vous perdez aussi votre plan. Gardez une copie papier et une copie sur un support externe sécurisé.

Étape 6 : Tester le PRA (exercice de reprise)

Un PRA non testé est un PRA qui ne marche pas. Planifiez des tests réguliers :

  • Test documentaire (tous les 6 mois) : relecture du plan, vérification des contacts, mise à jour des procédures
  • Test de restauration partielle (trimestriel) : restaurer un serveur ou une base de données sur un environnement isolé
  • Test de reprise complète (annuel) : simulation d’un sinistre réel avec activation de toutes les procédures

Chaque test doit être documenté : temps de restauration mesuré vs RTO prévu, données restaurées vs RPO défini, problèmes rencontrés et corrections apportées.

Étape 7 : Maintenir et mettre à jour

Votre SI évolue. Votre PRA doit suivre. Prévoyez une mise à jour :

  • À chaque changement d’infrastructure (nouveau serveur, migration cloud, changement d’hébergeur)
  • À chaque nouvel applicatif métier
  • Après chaque test de reprise
  • Au minimum une fois par an, même sans changement

RPO et RTO : définir vos objectifs de reprise

Comprendre les deux métriques essentielles

Le RPO et le RTO sont les deux paramètres qui dimensionnent votre PRA. Ils doivent être définis pour chaque système critique, pas de manière globale.

RPO (Recovery Point Objective) — “Combien de données puis-je perdre ?”

Le RPO détermine la fréquence de vos sauvegardes. Un RPO de 4 heures signifie que vous acceptez de perdre au maximum 4 heures de travail. En cas d’incident à 15h, vous restaurez les données de 11h.

RTO (Recovery Time Objective) — “En combien de temps dois-je redémarrer ?”

Le RTO détermine l’architecture technique de votre plan de reprise. Un RTO de 2 heures nécessite des solutions de basculement rapide (réplication, virtualisation). Un RTO de 24 heures peut se contenter de restauration depuis des sauvegardes classiques.

RPO/RTO recommandés pour une PME

Pour la plupart des PME, voici des objectifs réalistes et atteignables :

RPO/RTO recommandés par profil de PME

Profil PME RPO recommandé RTO recommandé Solution type
PME services (10-50 salariés) 4-8 heures 8-24 heures Sauvegarde cloud quotidienne + restauration
PME e-commerce 1-2 heures 2-4 heures Réplication cloud + basculement automatique
PME industrielle 4 heures 8 heures Sauvegarde hybride (locale + cloud)
PME santé / données sensibles 15 min - 1 heure 1-4 heures Réplication temps réel + site de repli

L'objectif n'est pas d'atteindre un RPO de zéro (très coûteux), mais de trouver l'équilibre entre le coût de protection et le coût d'une perte de données.

Combien coûte un PRA informatique pour une PME ?

Le budget dépend directement de vos objectifs RPO/RTO et de la taille de votre SI.

Grille budgétaire par taille de PME

Budget PRA informatique par taille de PME

Poste PME 10-30 salariés PME 30-100 salariés PME 100-250 salariés
Audit et BIA 2 000 - 5 000 € 5 000 - 10 000 € 8 000 - 15 000 €
Rédaction du PRA 1 500 - 3 000 € 3 000 - 6 000 € 5 000 - 10 000 €
Solution de sauvegarde 100 - 300 €/mois 300 - 800 €/mois 800 - 2 000 €/mois
Infrastructure de reprise 200 - 500 €/mois 500 - 1 500 €/mois 1 500 - 5 000 €/mois
Tests annuels 1 000 - 2 000 € 2 000 - 5 000 € 3 000 - 8 000 €
Budget annuel total 8 000 - 16 000 € 16 000 - 40 000 € 35 000 - 100 000 €

Le coût de l’inaction

Comparons avec le coût d’un incident sans PRA :

  • Coût moyen d’une cyberattaque PME : 25 000 € à 50 000 € (CPME/Hiscox 2024)
  • Cas graves : jusqu’à 466 000 € (Cour des comptes, 2025)
  • Temps d’arrêt : 3 à 7 semaines en moyenne
  • Détection tardive : 207 jours en moyenne avant de détecter une intrusion (IBM Security 2024)

25 000 à 50 000 € : le coût moyen d'une cyberattaque PME sans PRA

Soit 2 à 4 fois le budget annuel d'un PRA pour une PME de 30 salariés — sans compter les 3 à 7 semaines d'arrêt d'activité.

Diagnostic résilience IT gratuit

À retenir

Un PRA à 12 000 €/an pour une PME de 30 salariés représente 1 000 €/mois. Le coût moyen d’une cyberattaque sans PRA ? Entre 25 000 € et 50 000 € (CPME/Hiscox 2024) — sans compter les semaines d’arrêt.

Un PRA à 12 000 €/an pour une PME de 30 salariés représente 1 000 €/mois — soit le coût d’une demi-journée d’interruption d’activité. Le retour sur investissement est évident.

Aides au financement

Plusieurs dispositifs aident les PME à financer leur PRA :

  • Diag Cybersécurité Bpifrance : subvention jusqu’à 50 % du coût de l’audit (plafonné à 8 800 €)
  • France Num : chèque numérique pour les TPE/PME
  • Cyber’Occ : accompagnement régional en Occitanie
  • OPCO : financement de la formation des équipes au PRA

3 scénarios concrets de reprise d’activité

Scénario 1 : Ransomware — PME de services, 45 salariés

Lundi 8h : les collaborateurs constatent que les fichiers partagés sont chiffrés. Le ransomware s’est propagé depuis un email de phishing ouvert vendredi soir.

Sans PRA : panique, appel à un prestataire d’urgence (TJM majoré), négociations hasardeuses avec les attaquants, 4 semaines d’arrêt, 120 000 € de pertes.

Avec PRA (voir notre guide ransomware pour les étapes de containment détaillées) :

  1. 8h15 — Le responsable IT isole les postes infectés du réseau (procédure documentée)
  2. 8h30 — Activation du PRA, notification au prestataire cybersécurité
  3. 9h00 — Restauration des serveurs critiques depuis les sauvegardes immuables (dernière copie : vendredi 18h, RPO respecté)
  4. 12h00 — ERP et messagerie restaurés sur l’infrastructure de repli cloud
  5. 18h00 — Retour à la normale pour 80 % des systèmes
  6. J+2 — Restauration complète, analyse forensique en parallèle

Résultat : 1 jour d’interruption partielle au lieu de 4 semaines. Coût : 8 000 € au lieu de 120 000 €.

Scénario 2 : Panne serveur — PME industrielle, 80 salariés

Mercredi 14h : le serveur principal hébergeant l’ERP tombe en panne matérielle (carte contrôleur RAID défaillante).

Avec PRA :

  1. 14h15 — Basculement automatique sur le serveur répliqué (RTO < 1h atteint)
  2. 14h30 — Les utilisateurs se reconnectent à l’ERP via le serveur de secours
  3. J+3 — Le serveur principal est réparé et resynchronisé
  4. J+4 — Retour sur l’infrastructure principale

Impact : 30 minutes d’interruption au lieu de 3-5 jours d’attente de pièces détachées.

Scénario 3 : Incendie — PME commerce, 20 salariés

Samedi nuit : un court-circuit provoque un incendie dans les locaux. Le serveur sur site est détruit.

Avec PRA :

  1. Dimanche matin — Le dirigeant active le PRA depuis son domicile
  2. Dimanche 10h — Restauration des données depuis le cloud (copie hors site)
  3. Lundi 8h — Les équipes travaillent en télétravail avec accès aux applications cloud
  4. J+7 — Nouveau matériel installé dans les locaux provisoires

Impact : 1 jour ouvré de coupure au lieu d’une perte totale irréversible.

Questions fréquentes sur le PRA informatique

Quelle est la différence entre PRA et PCA ?

Le PRA (Plan de Reprise d'Activité) intervient après un sinistre pour restaurer les systèmes informatiques et reprendre l'activité. Le PCA (Plan de Continuité d'Activité) agit pendant l'incident pour maintenir un service minimal sans interruption. Le PRA est réactif, le PCA est préventif. Pour une PME, le PRA est généralement la première étape, plus accessible en termes de budget.

Le PRA est-il obligatoire avec la directive NIS2 ?

Oui. L'article 21 de la directive NIS2 impose explicitement des mesures de continuité d'activité, de gestion des sauvegardes et de reprise après sinistre. Les entités essentielles et importantes doivent disposer d'un PRA documenté, testé régulièrement et mis à jour. L'effet cascade de NIS2 étend cette obligation aux sous-traitants des entreprises concernées.

Combien coûte un PRA informatique pour une PME ?

Le budget annuel total varie selon la taille de l'entreprise : 8 000 à 16 000 € pour une PME de 10-30 salariés, 16 000 à 40 000 € pour une PME de 30-100 salariés. Ce coût inclut l'audit initial, la rédaction du plan, les solutions de sauvegarde, l'infrastructure de reprise et les tests annuels. C'est à comparer au coût moyen d'une cyberattaque (25 000 à 50 000 €, CPME/Hiscox 2024) et à des semaines d'interruption d'activité.

Qu'est-ce que la règle de sauvegarde 3-2-1-1-0 ?

La règle 3-2-1-1-0 est l'évolution de la règle classique 3-2-1. Elle préconise 3 copies des données, sur 2 supports différents, avec 1 copie hors site, 1 copie immuable (impossible à modifier par un ransomware) et 0 erreur vérifiée par des tests de restauration. L'ajout de l'immuabilité est essentiel : 94 % des ransomwares ciblent les sauvegardes.

À quelle fréquence tester le PRA ?

Un test documentaire (relecture, mise à jour des contacts) doit être réalisé tous les 6 mois. Un test de restauration partielle (restaurer un serveur ou une base de données) est recommandé chaque trimestre. Un test de reprise complète, simulant un sinistre réel, doit être effectué au minimum une fois par an. Chaque test doit être documenté avec les temps mesurés vs les objectifs RPO/RTO.

Quels RPO et RTO choisir pour ma PME ?

Les objectifs dépendent de votre activité. Pour une PME de services classique, un RPO de 4-8 heures et un RTO de 8-24 heures sont réalistes. Pour une PME e-commerce ou manipulant des données sensibles, visez un RPO de 1-2 heures et un RTO de 2-4 heures. L'essentiel est de différencier les objectifs par application : votre ERP mérite un RPO plus strict que vos archives.

Protégez votre PME avant qu’il ne soit trop tard

Un PRA informatique n’est pas un luxe réservé aux grandes entreprises. C’est une assurance concrète contre l’arrêt d’activité — qu’il vienne d’un ransomware, d’une panne ou d’un sinistre physique.

Chez Meldis, nous accompagnons les PME d’Occitanie dans la mise en place de leur PRA, de l’audit initial à la documentation du plan, en passant par le choix des solutions de sauvegarde et les tests de reprise. Notre service de réponse à incident couvre également la phase de crise si un sinistre survient avant que votre PRA soit en place. Notre approche est pragmatique : on dimensionne le plan à votre budget et à vos vrais risques, pas à une norme théorique déconnectée de votre réalité.

Demandez un diagnostic gratuit de votre résilience IT →