Continuité - Reprise d’Activité : pourquoi avoir un plan ne suffit pas

Votre entreprise dispose-t-elle d’un document qui explique quoi faire si vos serveurs tombent un lundi matin ? Si la réponse est “oui, quelque part”, vous n’êtes pas un cas isolé. Le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA) sont deux dispositifs que peu de dirigeants de PME mesurent vraiment. Pas parce que le sujet est complexe, mais parce qu’on les réduit souvent à un document de procédure rangé dans un dossier que personne ne rouvre.

Cet article explique ce que recouvrent ces deux plans, en quoi ils diffèrent, et pourquoi les avoir sans les tester revient à accrocher un extincteur au mur sans vérifier qu’il est chargé, ni que quelqu’un sait s’en servir.

Ce que signifient PCA et PRA

Le PCA : maintenir l’activité pendant l’incident

Le PCA désigne l’ensemble des mesures qui visent à maintenir les activités de l’entreprise pendant un incident, même de façon dégradée. L’objectif est de ne jamais tomber à zéro. Par exemple, si votre logiciel de gestion des commandes est hors service, le PCA prévoit un mode de traitement alternatif (tableur partagé, bons papier, basculement sur un second système) pour que vos clients ne restent pas sans réponse.

Le PCA ne couvre pas que l’informatique. Il inclut aussi les aspects humains et logistiques : qui prend les décisions en l’absence du dirigeant ? Comment communiquer avec les clients si la messagerie est inaccessible ? Où se retrouvent les équipes si les locaux sont inutilisables ?

Le PRA : revenir à la normale après l’incident

Le PRA est le complément direct du PCA. Il décrit comment restaurer le fonctionnement normal une fois la crise passée : remettre les systèmes en route, vérifier l’intégrité des données, reprendre les opérations habituelles. Deux indicateurs structurent le PRA. Le RTO (durée maximale d’interruption acceptable) fixe le délai dans lequel l’activité doit reprendre. Le RPO (quantité de données que l’on peut se permettre de perdre) détermine la fréquence des sauvegardes. Si le PCA gère le “pendant”, le PRA gère “l’après”.

Un périmètre commun, des causes multiples

Les deux plans couvrent le même spectre de risques : ransomware, panne matérielle, incendie dans les locaux, erreur humaine qui écrase une base de données, coupure réseau prolongée. La cause change à chaque fois, mais la logique reste identique — préserver l’activité, puis la restaurer. C’est pour cela que chaque scénario probable doit être anticipé, documenté et surtout testé.

Pourquoi votre PME est directement concernée

On imagine souvent le sinistre informatique comme un problème réservé aux grandes entreprises avec des systèmes complexes. C’est une erreur de perception.

Selon le baromètre national de maturité cyber 2025 publié par Cybermalveillance.gouv.fr avec la CPME et le MEDEF, 16 % des TPE-PME interrogées déclarent avoir subi au moins un incident au cours des 12 derniers mois. Et 80 % reconnaissent ne pas être prêtes à y faire face, faute de compétences (63 %), de budget (61 %) ou de temps (59 %).

Le panorama de la cybermenace 2025 publié par l’ANSSI le 11 mars 2026 confirme la tendance : les PME, TPE et ETI représentent 48 % des victimes de rançongiciels recensées sur l’année 2025. Avec 72 % des TPE-PME qui ne comptent aucun salarié dédié à la cybersécurité, le risque est d’autant plus fort que l’entreprise est petite.

Sur le plan financier, une analyse Bessé / G.P. Goldstein portant sur 48 incidents cyber dans des entreprises françaises non cotées (2017-2021) montre que le risque de défaillance augmente d’environ 50 % dans les six mois qui suivent un incident. Le facteur principal identifié par les auteurs n’est d’ailleurs pas la perte technique, mais la crise de réputation et de confiance qui en découle. Pour une PME sans filet de sécurité organisationnel, ce chiffre traduit une fragilité très concrète.

La dépendance au numérique fait que même une interruption courte a des effets en cascade : commandes bloquées, facturation à l’arrêt, accès aux données clients coupé, communication interne paralysée. L’accumulation de ces heures perdues, combinée à l’atteinte à la confiance des clients et partenaires, peut suffire à déstabiliser une structure déjà sous tension.

L’extincteur accroché au mur

C’est ici que beaucoup de PME se retrouvent dans une fausse situation de sécurité.

Avoir un PCA ou un PRA rédigé, c’est nécessaire. La CNIL le recommande, même sous forme sommaire. Mais un document qui n’a jamais été testé a une valeur opérationnelle proche de zéro. Un extincteur accroché au mur rassure lors d’un contrôle de conformité. Il ne protège pas des incendies, si personne ne sait s’en servir et si la pression n’a pas été vérifiée depuis trois ans.

En situation réelle, plusieurs problèmes surgissent systématiquement dans les organisations qui n’ont jamais simulé un incident :

• Les contacts d’urgence ont changé de poste ou quitté l’entreprise. Personne ne sait qui appeler.
• Les sauvegardes existent, mais personne n’a vérifié qu’elles se restaurent correctement. Le jour J, le fichier est corrompu ou incomplet.
• La procédure décrit un basculement vers un serveur de secours qui n’existe plus, ou dont la configuration a divergé depuis deux ans.
• Les équipes découvrent le plan le jour de l’incident. Sous stress, lire 40 pages de procédure n’est pas une option réaliste.

Le baromètre Cybermalveillance 2025 le confirme : seules 24 % des TPE-PME déclarent disposer d’une procédure de réaction en cas d’incident, contre 19 % l’année précédente. Et parmi celles-ci, combien l’ont réellement déroulée ?

Ce que veut dire “tester” concrètement

Tester un PCA/PRA ne signifie pas couper l’électricité un vendredi soir. Cela consiste à simuler un scénario (panne serveur, ransomware, perte d’accès au bâtiment) et à dérouler le plan, étape par étape, avec les personnes concernées. L’objectif est de repérer les failles avant qu’elles ne se révèlent en conditions réelles.

Un test vérifie quatre points : que les contacts sont à jour, que les sauvegardes se restaurent, que les procédures de basculement fonctionnent, et que chaque personne sait ce qu’elle doit faire. Dans une PME de 20 à 50 personnes, une demi-journée par semestre suffit pour couvrir un scénario. L’investissement est minime comparé au coût d’une improvisation en situation de crise.

Un cas type : le plan qui ne fonctionnait pas

Une PME de négoce d’une trentaine de salariés disposait d’un PRA rédigé deux ans plus tôt par son prestataire informatique. Le document prévoyait une restauration complète en quatre heures à partir de sauvegardes quotidiennes stockées sur un NAS (serveur de stockage réseau) distant.

Un matin, un ransomware chiffre le serveur principal. Le NAS de sauvegarde, connecté en permanence au réseau, est touché dans la foulée. Le PRA est inapplicable. L’équipe passe cinq jours à reconstituer manuellement une partie des données à partir d’exports PDF et de fichiers éparpillés dans les boîtes mail.

La leçon est directe : le plan existait, mais personne n’avait vérifié deux choses. D’abord, que les sauvegardes étaient isolées du réseau principal (principe de sauvegarde “hors ligne”). Ensuite, qu’une restauration complète avait déjà été réalisée avec succès au moins une fois. Si un exercice avait été mené six mois avant, ces deux failles auraient été visibles et corrigeables en quelques heures.

La continuité comme réflexe, pas comme document

Le PCA et le PRA ne sont pas des projets à boucler puis à ranger. Ce sont des réflexes organisationnels qui demandent une mise à jour régulière : quand un collaborateur change de poste, quand un logiciel est remplacé, quand l’infrastructure évolue. Un plan qui date de deux ans et n’a jamais été déroulé est un plan périmé.

Pour une PME, le premier pas ne demande pas de budget conséquent. Il demande 30 minutes de réflexion autour d’une question simple : “Si notre système principal tombe demain matin, est-ce que chaque personne concernée sait exactement quoi faire dans la première heure ?” Si la réponse est floue, c’est le point de départ d’un travail concret à engager.