La différence entre PRA et PCA :
Le PRA et PCA poursuivent le même objectif : minimiser les conséquences en cas d’atteinte au système d’information d’une entreprise. Tandis que l’une va permettre la continuité sans interruption de l’activité de l’entreprise, l’autre permet sa remise en fonctionnement rapide après un sinistre sur le système informatique.
PCA (acronyme de « plan de continuité d’activité ») : il s’agit d’une procédure préventive visant à mettre en œuvre l’ensemble des mesures en cas de défaillance du système d’information afin de rester opérationnel après un événement imprévu. Ce plan permet une continuité de l’activité en cas de panne ou d’incident, grâce à une anticipation du risque et de ses conséquences.
PRA (acronyme de « plan de reprise d’activité » ou « plan de retour à l’activité ») : il s’agit d’une procédure curative visant à réparer les dégâts causés par un sinistre informatique. C’est un processus de reprise rapide d’activité portant notamment sur la restauration des données, il intervient ainsi après une interruption.
L’intérêt de la norme ISO 22301 :
En tant que norme internationale de système de management de la continuité d’activité, l‘ISO 22301 est conçue afin de protéger des incidents perturbateurs, réduire leur probabilité de survenance, s’y préparer, y répondre et de s’en rétablir lorsqu’ils surviennent. Elle fournit un ensemble de bonnes pratiques.

La conformité à cette norme permet ainsi de démontrer la sécurité et la qualité des produits et des services proposant un PRA ou PCA.
Pourquoi mettre en place un PRA ou PCA ?
Les causes et conséquences d’une interruption des systèmes d’information :
Les causes des interruptions des systèmes informatiques sont multiples et de diverses natures. Cela peut notamment provenir d’une défaillance du matériel informatique, de panne de courant ou du système de refroidissement, d’une erreur humaine, d’une cyberattaque ou d’incendie ou autre catastrophe naturelle.
Pour une entreprise, subir une interruption de ses systèmes d’information peut avoir des conséquences dramatiques. En effet, cela peut provoquer une perte de revenus avec une perte du chiffre d’affaire, la dégradation ou la perte de données, des coûts immatériels importants notamment dus à la dégradation de l’image de marque, des impacts juridiques lorsque l’incident empêche la société de remplir ses obligations contractuelles et/ou légales. De plus, cela peut entrainer une perte de productivité et un éventuel ressenti négatif au niveau des collaborateurs, clients, partenaires et fournisseur.
Selon l’ampleur de l’incident, les conséquences peuvent être plus ou moins importantes. Selon une étude de Continuity Central, 93 % des entreprises ayant subi une rupture d’activité pendant 10 jours ou plus auraient fait faillite dans l’année suivant la catastrophe.
Un PRA/PCA pour permettre la protection de la pérennité de l’entreprise :
Evaluer le risque et le prévenir est fondamental pour la survie d’une entreprise. Cependant, la prévention n’est pas suffisante car elle n’annule pas totalement le risque, c’est pourquoi il est important de penser à des solutions de secours comme le PRA ou PCA afin d’affronter les crises avec plus de sérénité car le risque n’est en pratique pas si rare. Selon une étude de Global Data Protection Index (GDPI) datant 2020 pour la France, 37 % des entreprises ont subi des temps d’inactivité non planifiés de leur système informatique, avec un coût moyen de 382 000 dollars.

Mettre en place un plan de reprise d’activité permet de minimiser les pertes majeures en cas d’interruption du système d’information, il est en effet possible lors de l’élaboration du plan de sélectionner des données spécifiques considérées comme plus importantes. Cela permet également de remettre en route rapidement le système en restaurant les données et ainsi optimiser le temps de récupération des fonctions critiques.
Mettre en place un plan de continuité d’activité permet de réduire l’impact et la gravité des différentes menaces provoquant un arrêt de l’activité. Ce plan est plus stratégique car plus préventif, il permet d’éviter une éventuelle interruption de l’activité. En cas de défaillance, l’activité de l’entreprise continue de tourner malgré un fonctionnement dégradé.
L’élaboration d’un PCA/PRA est naturellement conseillée pour limiter l’impact sur le chiffre d’affaire et la réputation de l’entreprise. Elle est également devenue nécessaire pour se conformer aux exigences légales en matière de protection des données et de lutte contre la cybercriminalité.
Un PRA/PCA pour une meilleure conformité au RGPD :
Un PCA/PRA permet à l’entreprise de poursuivre sa conformité à la règlementation des données personnelles. En effet, le Règlement Général pour la Protection des Données Personnelles (RGPD) exige de prendre les mesures nécessaires pour sécuriser les traitements de données à caractère personnel et plus particulièrement de protéger la confidentialité, l’intégrité, la disponibilité et la résilience des données à caractère personnel.
En cas de violation de données à caractère personnel, le RGPD enjoint aux entreprises de déclarer l’incident à la CNIL, la déclaration doit comporter la description des « mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ». L’entreprise doit ainsi mettre en place des mesures permettant de rétablir la disponibilité des données personnelles et leur accès. Ces obligations conditionnent l’élaboration d’un PCA/PRA permettant la reprise ou du moins le fonctionnement en mode dégradé de l’entreprise en cas d’incident.

Vous souhaitez mettre en place un PRA/PCA pour votre entreprise ?
Un PRA/PCA pour permettre la protection de l’entreprise face à la menace cyber :
Face à la multiplication du risque cyber, il est recommandé aux entreprises de se doter de PCA/PRA afin de minimiser les risques. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande de faire preuve de résilience en cas de cyberattaque relevant de sa capacité à maintenir son activité malgré la survenance d’une action malveillante à son encontre. Cela passe notamment par l’élaboration de PCA/PRA.
Les obligations des entreprises en matière de lutte contre la cybercriminalité semblent s’accroître au fil des années, la directive NIS 2 adoptée le 10 novembre 2022 au Parlement européen et qui entrera en vigueur en France courant 2024, semble conforter cette affirmation. Elle vient effectivement compléter les exigences de sécurité imposées aux entreprises « essentielles » et « importantes ». Celles-ci devront adopter une approche de gestion des risques et un nombre minimal d’éléments de sécurité de base devront être appliqués, l’élaboration de PCA/PRA pourrait ainsi être un élément de réponse important à cette conformité.