PCA, PRA, PCI, PRI, PCC : Stop à la confusion
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables.
Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise en place d’un PCA, j’ai été témoin de la rapidité à laquelle on peut passer d’un mode normal à un scénario de crise, mais aussi du scénario de crise au mode normal, ce qui démontre l’efficacité du PCA mis en place.
Précisément, il est souvent difficile de faire la différence entre un plan de continuité / de reprise d’activité (PCA / PRA), un plan de continuité / reprise informatique (PCI / PRI) et le fameux PCC (plan de communication de crise) souvent mis aux oubliettes …
Beaucoup de personnes ayant tendance à les confondre, nous proposons ici de détailler chacun de ces acronymes :
- PCA : Plan de continuité d’activité
Le PCA est l’ensemble des processus visant à assurer la continuité du fonctionnement en mode dégradé d’une entreprise, en cas de sinistre majeur.
Il s’agit de maîtriser les risques opérationnels de perte provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes, pouvant affecter le fonctionnement ou la pérennité de l’entreprise, voire gravement y nuire. Il est donc primordial : l’objectif ici est tout simplement que l’activité des métiers ne soit pas interrompue.
- PRA : plan de reprise d’activité
Le PRA est l’ensemble des procédures et moyens matériels, technologiques et humains permettant de rétablir et de reprendre l’activité de l’entreprise après la survenue d’un incident ou un sinistre. Il peut être déployé sans l’existence d’un PCA ou être complémentaire avec celui-ci. Il est déclenché cas d’arrêt d’une activité ou d’un processus.
- PCA ou PRA, lequel choisir ?
Ces deux plans sont uniques pour chaque environnement et organisation. Pour décider de la mise en place de l’un ou l’autre, il vous faudra commencer par un bilan d’impact sur l’activité (BIA), processus qui permet de déterminer et évaluer les effets potentiels d’une interruption des opérations commerciales critiques à la suite d’une catastrophe, d’un accident ou d’une urgence.
A l’issue du BIA, un rapport destiné à la Direction est généré, comportant beaucoup de paramètres. Ce qui va déterminer votre choix, c’est le RTO (Recovery Time Objective) : la durée d’interruption maximale admissible.
Prenons un exemple : une entreprise qui peut accepter un arrêt et un redémarrage d’activité dans un laps de temps donné (RTO > 0) optera pour un PRA, si elle estime que cet arrêt mettra en péril son activité, son choix se portera sur un PCA.
Mise en place et tests
Après avoir choisi entre le PRA et le PCA, l’étape suivante est la mise en place d’une stratégie qui va définir :
- Les infrastructures informatiques à mettre en place.
- La liste des scénarios possibles et les procédures associées à chacun.
- Les ressources de la cellule de crise et celles de l’exécution opérationnelle des procédures.
Vient ensuite la phase de test, très importante car c’est elle qui déterminera l’efficacité de votre plan, ainsi que les pistes d’amélioration. Il existe beaucoup de types de tests, tels que :
- Planifié ou non planifié
- Test technique ou utilisateurs
- Test total (qui déclenche tout le PCA/PRA) ou partiel (qui en déclenche juste une partie)
- Test impactant la production ou non
Les PCA /PRA ne sont pas figés dans le temps et leur modification est très fréquente. Par exemple, après un changement d’organisation de l’entreprise ou après l’intégration d’un nouveau système informatique critique Par ailleurs, les tests doivent être planifiés périodiquement, pour s’assurer de de l’efficacité des plans mis en place.
- PCI et PRI : Plan de continuité informatique
Le PCI est plus spécifique que le PCA. Il s’agit de l’ensemble des architectures, moyens et procédures nécessaires pour assurer une continuité de fonctionnement des services informatiques. Le PCI est une sous partie du PCA.
Quant au PRI, il correspond à l’ensemble des processus qui permettront au SI de redémarrer après un sinistre ou un incident critique.
Comme le PCA et le PRA, le PCI et PRI sont complémentaires.
- PCC : Plan de communication de crise
Le Plan de communication de crise, comme son nom l’indique, est établi pour s’assurer que les collaborateurs et les sous-traitants soient informés des procédures à suivre et pour qu’ils puissent communiquer avec les autorités publiques, le cas échéant.
En conclusion, Il est évident qu’une entreprise ne pourra jamais tout anticiper. En revanche, celles qui auront le réflexe et les processus adéquats pour travailler en équipe, analyser les risques et préparer des réponses aux imprévues, notamment en mettant en place un PCA/PRA, auront les plus grandes chances de survivre à de nouvelles secousses, mais surtout d’identifier les pistes d’améliorations nécessaires à la pérennité de l’entreprise.
De son côté, iDNA offre conseil et accompagnement dans le domaine de la résilience, donc n’hésitez pas à vous rapprocher de nos experts, vous serez entre de bonnes mains !