Oxibox

Plan de reprise d’activité (PRA) : guide complet pour les PME en 2026

par | Mar 26, 2026 | Article | 0 commentaires

Ransomware, panne serveur, sinistre physique… Votre PME survivrait-elle à 48 h sans accès à ses données ? Découvrez comment bâtir un PRA efficace, étape par étape.

Pourquoi les PME sont les premières victimes d’une interruption d’activité

En 2024, plus de 60 % des cyberattaques ciblaient des structures de moins de 500 salariés. La raison est simple : contrairement aux grandes entreprises, les PME disposent rarement d’un dispositif de reprise formalisé. Résultat : une attaque par ransomware, une panne RAID ou un simple incendie de baie suffit à paralyser l’activité pendant plusieurs jours, voire à contraindre à la fermeture définitive.

C’est précisément pour éviter ce scénario que le Plan de Reprise d’Activité (PRA) existe. Longtemps réservé aux directions informatiques des grands groupes, il est aujourd’hui accessible et indispensable à toute organisation qui s’appuie sur des données numériques.

À retenir : Selon le baromètre du CESIN, une entreprise sur deux ayant subi un incident grave sans PRA ne retrouve jamais son niveau d’activité initial. La prévention coûte toujours moins cher que la reconstruction.

PRA vs PCA : quelle différence ?

Ces deux acronymes sont souvent confondus, mais ils répondent à des logiques différentes :

  • Le Plan de Continuité d’Activité (PCA) vise à maintenir les fonctions essentielles de l’entreprise pendant un incident, en mode dégradé si nécessaire.
  • Le Plan de Reprise d’Activité (PRA) organise le retour à la normale après l’incident : restauration des systèmes, récupération des données, remise en production.

Les deux sont complémentaires. Mais pour la majorité des PME, commencer par un PRA solide est déjà un bond considérable en matière de résilience.

Les deux indicateurs clés : RPO et RTO

Avant de construire votre PRA, vous devez définir deux paramètres fondamentaux :

  • Le RPO (Recovery Point Objective) : quelle est la quantité maximale de données que vous acceptez de perdre ? Si votre RPO est de 4 heures, votre système de sauvegarde doit créer un point de restauration au moins toutes les 4 heures.
  • Le RTO (Recovery Time Objective) : combien de temps pouvez-vous rester sans accès à vos systèmes critiques ? Une heure ? 24 heures ? Ce délai dicte l’architecture technique de votre dispositif de reprise.

Plus ces objectifs sont contraignants, plus l’investissement technique sera important. L’enjeu est de calibrer le bon équilibre en fonction de votre activité réelle et de vos obligations contractuelles ou réglementaires.

Les 6 étapes pour construire votre PRA

  1. Cartographier vos actifs critiques : Identifiez les données, applications et systèmes dont l’indisponibilité aurait un impact immédiat sur votre chiffre d’affaires ou vos obligations légales (ERP, CRM, fichiers clients, messagerie, comptabilité…).
  2. Évaluer les risques : Classez-les par probabilité et par impact : ransomware, défaillance matérielle, erreur humaine, sinistre physique (incendie, inondation), défaillance d’un prestataire cloud.
  3. Définir RPO et RTO par application : Tous vos outils n’ont pas la même criticité. Votre ERP peut exiger un RPO d’une heure, là où un partage de fichiers interne peut tolérer 24 h.
  4. Mettre en place la stratégie de sauvegarde 3-2-1-1 : Trois copies de vos données, sur deux supports différents, dont une copie hors site et déconnectée du réseau. C’est la règle préconisée par l’ANSSI pour résister aux ransomwares.
  5. Documenter les procédures de restauration : Un PRA non documenté n’existe pas. Qui fait quoi ? Dans quel ordre ? Avec quels accès ? Cette documentation doit être accessible hors ligne (y compris si votre SI est compromis).
  6. Tester régulièrement : Un PRA qui n’a jamais été testé est un PRA qui échouera au moment critique. Planifiez au minimum un exercice de restauration complet par an, et des tests partiels chaque trimestre.

Le rôle central de la sauvegarde déconnectée

Le maillon le plus souvent négligé d’un PRA est la protection des sauvegardes elles-mêmes. En cas d’attaque par ransomware, les malwares modernes ciblent en priorité les systèmes de sauvegarde connectés au réseau. Si vos sauvegardes sont chiffrées par l’attaquant, votre PRA est inutilisable.

La solution : la déconnexion logique ou physique des sauvegardes. La technologie d’enclave brevetée d’Oxibox isole vos copies de sauvegarde du réseau après chaque transfert, les rendant immunes aux ransomwares, même les plus sophistiqués. Combinée au chiffrement à la source, elle garantit que seules vos données originales — non altérées — pourront être restaurées.

PRA et conformité : ce que dit l’ANSSI

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié en 2023 son guide « Sauvegarde des systèmes d’information — Les fondamentaux » (ANSSI-BP-100). Ce document définit les bonnes pratiques attendues des organisations françaises, et constitue une référence pour les PME souhaitant structurer leur démarche de reprise d’activité. La conformité à ce référentiel est également un avantage lors de négociations avec des assureurs cyber.

Oxibox en pratique : La solution Oxibox atteint un taux de conformité élevé aux critères de l’ANSSI-BP-100, avec une stratégie 3-2-1 intégrée, une déconnexion automatique des sauvegardes et une restauration granulaire en quelques clics — sans infrastructure à maintenir.

Découvrir la solution Oxibox

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *