👇 Retrouvez ci-dessous un template de PCA-PRA créé par l’Operating Team en mai 2024 :
Le PRA, détaille les procédures et les moyens technologiques à déployer pour permettre à votre entreprise de reprendre ses activités stratégiques en cas de sinistre. Le PRA prend en outre la forme d’un document, qui recense l’ensemble des process à mettre en place pour maintenir ou reconstruire le système informatique (SI) en cas de crise cyber :
- Il indique comment et quand se reporter sur le système informatique de secours prévu par le plan de gestion de crise ;
- Il précise quel système de sauvegarde enclencher pour garantir la sécurité des données confidentielles ;
- Il peut détailler les durées maximales d’interruption admissibles pour chaque département, soit le RTO, Recovery Time Objective ;
- Il peut décliner la perte de données maximale admissible, ou RPO (Recovery Point Objective).
Les enjeux de cybersécurité sont tels pour les entreprises qu’il faut aussi envisager la possibilité que vos mesures de protection ne suffisent pas. Votre sécurité informatique s’appuie donc également sur l’anticipation d’un arrêt éventuel de votre infrastructure IT, qu’il soit dû à une panne, un malware ou une cyberattaque. L’objectif du PRA est de garantir une reprise d'activité satisfaisante dans les meilleurs délais, pour réduire les conséquences financières de la crise cyber. Il s’appuie donc sur une cartographie des risques mûrement réfléchie pour prévoir des systèmes informatiques de secours adéquats et assurer la redondance des données.
Selon le secteur d'activité dans lequel vous évoluez, il existe probablement des réglementations et des normes qui régissent la reprise d’activité, et donc aussi les modalités de réalisation du PRA. La norme ISO 22301 par exemple organise ainsi la gestion de la continuité d’activité pour un certain nombre de domaines.