PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables.

Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise en place d’un PCA, j’ai été témoin de la rapidité à laquelle on peut passer d’un mode normal à un scénario de crise, mais aussi du scénario de crise au mode normal, ce qui démontre l’efficacité du PCA mis en place.

Précisément, il est souvent difficile de faire la différence entre un plan de continuité / de reprise d’activité (PCA / PRA), un plan de continuité / reprise informatique (PCI / PRI) et le fameux PCC (plan de communication de crise) souvent mis aux oubliettes …

 

Beaucoup de personnes ayant tendance à les confondre, nous proposons ici de détailler chacun de ces acronymes :

 

  • PCA : Plan de continuité d’activité 

Le PCA est l’ensemble des processus visant à assurer la continuité du fonctionnement en mode dégradé d’une entreprise, en cas de sinistre majeur.

Il s’agit de maîtriser les risques opérationnels de perte provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes, pouvant affecter le fonctionnement ou la pérennité de l’entreprise, voire gravement y nuire. Il est donc primordial : l’objectif ici est tout simplement que l’activité des métiers ne soit pas interrompue.

 

 

  • PRA : plan de reprise d’activité

Le PRA est l’ensemble des procédures et moyens matériels, technologiques et humains permettant de rétablir et de reprendre l’activité de l’entreprise après la survenue d’un incident ou un sinistre. Il peut être déployé sans l’existence d’un PCA ou être complémentaire avec celui-ci. Il est déclenché cas d’arrêt d’une activité ou d’un processus.

 

  • PCA ou PRA, lequel choisir ?

Ces deux plans sont uniques pour chaque environnement et organisation. Pour décider de la mise en place de l’un ou l’autre, il vous faudra commencer par un bilan d’impact sur l’activité (BIA), processus qui permet de déterminer et évaluer les effets potentiels d’une interruption des opérations commerciales critiques à la suite d’une catastrophe, d’un accident ou d’une urgence.

 

A l’issue du BIA, un rapport destiné à la Direction est généré, comportant beaucoup de paramètres. Ce qui va déterminer votre choix, c’est le RTO (Recovery Time Objective) : la durée d’interruption maximale admissible.

Prenons un exemple : une entreprise qui peut accepter un arrêt et un redémarrage d’activité dans un laps de temps donné (RTO > 0) optera pour un PRA, si elle estime que cet arrêt mettra en péril son activité, son choix se portera sur un PCA.

 

Mise en place et tests

Après avoir choisi entre le PRA et le PCA, l’étape suivante est la mise en place d’une stratégie qui va définir :

  • Les infrastructures informatiques à mettre en place.
  • La liste des scénarios possibles et les procédures associées à chacun.
  • Les ressources de la cellule de crise et celles de l’exécution opérationnelle des procédures.

 

Vient ensuite la phase de test, très importante car c’est elle qui déterminera l’efficacité de votre plan, ainsi que les pistes d’amélioration. Il existe beaucoup de types de tests, tels que :

  • Planifié ou non planifié
  • Test technique ou utilisateurs
  • Test total (qui déclenche tout le PCA/PRA) ou partiel (qui en déclenche juste une partie)
  • Test impactant la production ou non

 

Les PCA /PRA ne sont pas figés dans le temps et leur modification est très fréquente. Par exemple, après un changement d’organisation de l’entreprise ou après l’intégration d’un nouveau système informatique critique Par ailleurs, les tests doivent être planifiés périodiquement, pour s’assurer de de l’efficacité des plans mis en place.

 

  • PCI et PRI : Plan de continuité informatique

Le PCI est plus spécifique que le PCA. Il s’agit de l’ensemble des architectures, moyens et procédures nécessaires pour assurer une continuité de fonctionnement des services informatiques. Le PCI est une sous partie du PCA.

Quant au PRI, il correspond à l’ensemble des processus qui permettront au SI de redémarrer après un sinistre ou un incident critique.

Comme le PCA et le PRA, le PCI et PRI sont complémentaires.

 

  • PCC : Plan de communication de crise

Le Plan de communication de crise, comme son nom l’indique, est établi pour s’assurer que les collaborateurs et les sous-traitants soient informés des procédures à suivre et pour qu’ils puissent communiquer avec les autorités publiques, le cas échéant.

 

En conclusion, Il est évident qu’une entreprise ne pourra jamais tout anticiper. En revanche, celles qui auront le réflexe et les processus adéquats pour travailler en équipe, analyser les risques et préparer des réponses aux imprévues, notamment en mettant en place un PCA/PRA, auront les plus grandes chances de survivre à de nouvelles secousses, mais surtout d’identifier les pistes d’améliorations nécessaires à la pérennité de l’entreprise.

De son côté, iDNA offre conseil et accompagnement dans le domaine de la résilience, donc n’hésitez pas à vous rapprocher de nos experts, vous serez entre de bonnes mains !

Articles associés

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]
Partager cet article
Derniers articles

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]