mvelay
RETOUR BLOG

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables.

Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise en place d’un PCA, j’ai été témoin de la rapidité à laquelle on peut passer d’un mode normal à un scénario de crise, mais aussi du scénario de crise au mode normal, ce qui démontre l’efficacité du PCA mis en place.

Précisément, il est souvent difficile de faire la différence entre un plan de continuité / de reprise d’activité (PCA / PRA), un plan de continuité / reprise informatique (PCI / PRI) et le fameux PCC (plan de communication de crise) souvent mis aux oubliettes …

 

Beaucoup de personnes ayant tendance à les confondre, nous proposons ici de détailler chacun de ces acronymes :

 

  • PCA : Plan de continuité d’activité 

Le PCA est l’ensemble des processus visant à assurer la continuité du fonctionnement en mode dégradé d’une entreprise, en cas de sinistre majeur.

Il s’agit de maîtriser les risques opérationnels de perte provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes, pouvant affecter le fonctionnement ou la pérennité de l’entreprise, voire gravement y nuire. Il est donc primordial : l’objectif ici est tout simplement que l’activité des métiers ne soit pas interrompue.

 

 

  • PRA : plan de reprise d’activité

Le PRA est l’ensemble des procédures et moyens matériels, technologiques et humains permettant de rétablir et de reprendre l’activité de l’entreprise après la survenue d’un incident ou un sinistre. Il peut être déployé sans l’existence d’un PCA ou être complémentaire avec celui-ci. Il est déclenché cas d’arrêt d’une activité ou d’un processus.

 

  • PCA ou PRA, lequel choisir ?

Ces deux plans sont uniques pour chaque environnement et organisation. Pour décider de la mise en place de l’un ou l’autre, il vous faudra commencer par un bilan d’impact sur l’activité (BIA), processus qui permet de déterminer et évaluer les effets potentiels d’une interruption des opérations commerciales critiques à la suite d’une catastrophe, d’un accident ou d’une urgence.

 

A l’issue du BIA, un rapport destiné à la Direction est généré, comportant beaucoup de paramètres. Ce qui va déterminer votre choix, c’est le RTO (Recovery Time Objective) : la durée d’interruption maximale admissible.

Prenons un exemple : une entreprise qui peut accepter un arrêt et un redémarrage d’activité dans un laps de temps donné (RTO > 0) optera pour un PRA, si elle estime que cet arrêt mettra en péril son activité, son choix se portera sur un PCA.

 

Mise en place et tests

Après avoir choisi entre le PRA et le PCA, l’étape suivante est la mise en place d’une stratégie qui va définir :

  • Les infrastructures informatiques à mettre en place.
  • La liste des scénarios possibles et les procédures associées à chacun.
  • Les ressources de la cellule de crise et celles de l’exécution opérationnelle des procédures.

 

Vient ensuite la phase de test, très importante car c’est elle qui déterminera l’efficacité de votre plan, ainsi que les pistes d’amélioration. Il existe beaucoup de types de tests, tels que :

  • Planifié ou non planifié
  • Test technique ou utilisateurs
  • Test total (qui déclenche tout le PCA/PRA) ou partiel (qui en déclenche juste une partie)
  • Test impactant la production ou non

 

Les PCA /PRA ne sont pas figés dans le temps et leur modification est très fréquente. Par exemple, après un changement d’organisation de l’entreprise ou après l’intégration d’un nouveau système informatique critique Par ailleurs, les tests doivent être planifiés périodiquement, pour s’assurer de de l’efficacité des plans mis en place.

 

  • PCI et PRI : Plan de continuité informatique

Le PCI est plus spécifique que le PCA. Il s’agit de l’ensemble des architectures, moyens et procédures nécessaires pour assurer une continuité de fonctionnement des services informatiques. Le PCI est une sous partie du PCA.

Quant au PRI, il correspond à l’ensemble des processus qui permettront au SI de redémarrer après un sinistre ou un incident critique.

Comme le PCA et le PRA, le PCI et PRI sont complémentaires.

 

  • PCC : Plan de communication de crise

Le Plan de communication de crise, comme son nom l’indique, est établi pour s’assurer que les collaborateurs et les sous-traitants soient informés des procédures à suivre et pour qu’ils puissent communiquer avec les autorités publiques, le cas échéant.

 

En conclusion, Il est évident qu’une entreprise ne pourra jamais tout anticiper. En revanche, celles qui auront le réflexe et les processus adéquats pour travailler en équipe, analyser les risques et préparer des réponses aux imprévues, notamment en mettant en place un PCA/PRA, auront les plus grandes chances de survivre à de nouvelles secousses, mais surtout d’identifier les pistes d’améliorations nécessaires à la pérennité de l’entreprise.

De son côté, iDNA offre conseil et accompagnement dans le domaine de la résilience, donc n’hésitez pas à vous rapprocher de nos experts, vous serez entre de bonnes mains !

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]
LIRE L’ARTICLE

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
LIRE L’ARTICLE
Partager cet article
Derniers articles

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]
LIRE L’ARTICLE

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
LIRE L’ARTICLE

La nouvelle réglementation DORA : qu’implique-t-elle ?

DORA : Digital Operational Resilience Act Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance. La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs […]
LIRE L’ARTICLE

Wissam : être une femme dans l’IT

Wissam est consultante Gouvernance Risque et Conformité (GRC) chez iDNA et évolue dans un univers principalement masculin. Nous avons souhaité en savoir plus sur son parcours et sa place en tant que femme dans l’IT. Elle a accepté volontiers de répondre à nos questions :   Bonjour Wissam, tout d’abord quel est ton parcours de formation ? Initialement, […]
LIRE L’ARTICLE