Cybersecurity

Plan de Reprise d'Activité (PRA) : guide ANSSI RTO RPO

PRA selon ANSSI : RTO, RPO, sauvegardes 3-2-1, sites de repli, tests. Méthodologie complète avec exigences NIS 2 et DORA 2026.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. Le Plan de Reprise d’Activité (PRA) est la composante technique du PCA : il décrit comment redémarrer le système d’information après un sinistre, dans des délais (RTO) et avec une perte de données (RPO) acceptables pour l’organisation. Sans PRA testé, un ransomware moyen coûte 1,8 M€ et 21 jours d’arrêt (chiffres Sophos 2024). Un PRA opérationnel ramène cette durée à 48 heures.

Un PRA n’est pas un document : c’est une chaîne fonctionnelle testée (sauvegardes, sites, procédures, équipes) capable de remettre un SI en production après destruction. La méthodologie ANSSI distingue clairement le PRA de la simple sauvegarde — la sauvegarde sans plan de restauration n’a aucune valeur opérationnelle. Ce guide détaille les composantes techniques et organisationnelles.

Pour le cadre général : PCA ANSSI, PSSI, cartographie SI.

Points clés

  • RTO = délai cible de remise en service ; RPO = perte de données maximale tolérée.
  • La règle 3-2-1 reste le minimum : 3 copies, 2 supports différents, 1 hors site.
  • Les sauvegardes immuables (WORM, air-gap) sont devenues indispensables contre les ransomwares.
  • Un PRA non testé = PRA inopérant. Test annuel minimum, complet tous les 2 ans.
  • NIS 2 art. 21(2)© et DORA art. 12 imposent le PRA aux entités régulées.

1. RTO et RPO : les deux indicateurs fondamentaux

Le PRA repose sur deux métriques :

  • RTO (Recovery Time Objective) : délai maximum entre le sinistre et la remise en service de l’application.
  • RPO (Recovery Point Objective) : ancienneté maximale des données récupérables (= perte de données acceptable).

Exemple concret : RTO 4h et RPO 15 min signifient que l’application doit être redémarrée en moins de 4 heures, avec au pire 15 minutes de transactions perdues.

Criticité RTO typique RPO typique Coût relatif
Critique (banque, trading) < 15 min < 1 min 100
Vital (e-commerce, ERP) < 4 h < 1 h 30
Important < 24 h < 4 h 10
Standard < 72 h < 24 h 3
Faible > 1 semaine > 24 h 1

2. La règle 3-2-1 (et ses évolutions)

Standard historique des sauvegardes :

  • 3 copies de chaque donnée
  • 2 supports différents (disque + bande, par exemple)
  • 1 copie hors site

Évolution 3-2-1-1-0 post-ransomware :

  • +1 copie immuable (WORM, S3 Object Lock)
  • 0 erreur lors de la vérification de restauration

L’air-gap (déconnexion physique) est redevenu pertinent : une sauvegarde connectée au SI est chiffrable par ransomware. LockBit et Conti ciblent systématiquement les serveurs de sauvegarde.

3. Types de sites de repli

Quatre architectures classiques :

Type Description RTO typique Coût
Hot site Réplique active, données synchronisées < 15 min Très élevé
Warm site Infrastructure prête, données semi-actuelles 2-24 h Élevé
Cold site Local équipé sans infrastructure 3-7 jours Modéré
Cloud DR Réplication vers cloud (AWS, Azure, OVH) 1-4 h Variable (pay-as-you-go)

Le Cloud DR est devenu majoritaire pour les ETI depuis 2020 : pas d’investissement matériel, facturation à l’usage, tests faciles.

4. Architectures techniques de réplication

Trois grandes options :

  • Réplication synchrone : RPO = 0, latence < 10 ms requise (≤ 100 km)
  • Réplication asynchrone : RPO de quelques secondes à minutes, distance illimitée
  • Snapshots périodiques : RPO = intervalle entre snapshots (typiquement 15 min à 24 h)

Pour les bases de données critiques : combinaison réplication synchrone locale + asynchrone géographique (architecture « 3 sites »).

5. Procédures de bascule documentées

Une procédure de bascule (runbook) doit contenir :

  1. Critères de déclenchement (qui décide, sur quels indicateurs)
  2. Séquence de bascule pas à pas (ordre des applications, dépendances)
  3. Tests post-bascule (validation fonctionnelle par les métiers)
  4. Communication (interne, clients, autorités)
  5. Procédure de retour à la normale (souvent plus complexe que la bascule)

L’ANSSI insiste : la procédure doit être exécutable par un opérateur de garde la nuit, sans l’expert de l’application. Si seul l’expert sait faire, le PRA est défaillant.

6. Tests du PRA : la condition de validité

Niveaux de tests recommandés :

  • Test de restauration d’un échantillon de sauvegardes — mensuel
  • Test de bascule applicative sur environnement de test — trimestriel
  • Test de bascule en production sur application non critique — semestriel
  • Exercice complet simulant un sinistre — annuel
  • Test grandeur nature avec coupure réelle du site primaire — tous les 2-3 ans

Sans test, le taux d’échec d’une bascule réelle dépasse 40 % (étude IDC 2023). Avec tests réguliers, il tombe sous 10 %.

7. Ransomware : le scénario dominant

L’ANSSI rapporte 3 703 demandes d’assistance en 2023, dont 30 % liées à des ransomwares. Spécificités du PRA anti-ransomware :

  • Sauvegardes immuables obligatoires (WORM, S3 Object Lock)
  • Air-gap physique ou logique
  • Comptes de sauvegarde isolés de l’Active Directory production
  • Détection précoce (le ransomware peut être latent 30 à 90 jours avant déclenchement)
  • Procédure de restauration forensique (préserver les preuves)

Le coût moyen d’un ransomware sans PRA opérationnel : 1,82 M€ (Sophos State of Ransomware 2024).

8. Exigences réglementaires

Texte Article Obligation
NIS 2 Art. 21(2)© Continuité et reprise d’activité
DORA Art. 12 Politique de sauvegarde et de restauration
DORA Art. 25-26 Tests de résilience opérationnelle
RGPD Art. 32(1)© Capacité à rétablir la disponibilité des données
LPM/OIV Art. R1332-41 et s. PRA obligatoire pour OIV

Le RGPD article 32(1)© impose explicitement « la capacité de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ». La CNIL a sanctionné plusieurs entités pour absence de PRA effectif (par ex. délibération SAN-2022-009 contre Free, 300 000 € pour sécurité insuffisante).

9. Spécificités sectorielles

  • Santé : certification HDS impose PRA avec RTO/RPO documentés
  • Finance : DORA + ACPR (RTO < 2h pour activités critiques)
  • OIV (loi de programmation militaire) : PRA validé par l’ANSSI
  • Cloud souverain : SecNumCloud impose PRA testé

10. Coût d’un PRA

Ordre de grandeur pour une PME 100 personnes :

  • Cloud DR (Azure Site Recovery, AWS, OVH) : 500 à 2 000 €/mois
  • Sauvegardes immuables externalisées : 200 à 800 €/mois
  • Conseil pour conception PRA : 15 000 à 50 000 € (projet initial)
  • Tests annuels : 5 000 à 20 000 €/an

Pour une ETI 1 000 personnes : budget annuel typique 150 000 à 500 000 €.

11. Erreurs fréquentes

  • Sauvegardes non testées en restauration (50 % échouent au premier essai)
  • Sauvegardes sur le même réseau que la production (ransomware)
  • RTO/RPO non validés par les métiers (trop ambitieux ou trop lâches)
  • Dépendance à une seule personne pour la bascule
  • Pas de procédure de retour à la normale documentée

12. Bonnes pratiques 2026

  1. Sauvegardes immuables minimum 30 jours
  2. Test de restauration mensuel sur échantillon aléatoire
  3. Documentation de la chaîne de dépendances applicatives (qui démarre avant qui)
  4. Comptes de bureautique séparés des comptes d’administration sauvegarde
  5. Exercice annuel avec scénario imposé par un tiers (consultant externe)

FAQ

Quelle est la différence entre PCA et PRA ?

Le PCA est le plan global de continuité des activités (humains, locaux, procédures). Le PRA est la composante technique IT : restauration des systèmes d’information. Toute organisation a besoin des deux, mais le PRA est inclus dans le PCA.

Quel RTO viser pour mon entreprise ?

Cela dépend du métier. Une banque vise < 15 min pour le trading, un e-commerce < 4 h, une PME industrielle < 24 h. Le BIA (Bilan d’Impact sur l’Activité) doit déterminer le RTO acceptable par processus. Plus le RTO est court, plus le coût explose.

Une sauvegarde en cloud suffit-elle comme PRA ?

Non. Une sauvegarde n’est pas un PRA. Le PRA inclut : sauvegardes + procédures de restauration testées + infrastructure de redémarrage + équipes formées + tests réguliers. Une sauvegarde sans plan de restauration testé a peu de valeur en cas de sinistre majeur.

Comment se protéger contre le chiffrement des sauvegardes par ransomware ?

Trois mesures cumulatives : (1) sauvegardes immuables (WORM, S3 Object Lock) impossibles à modifier ou supprimer pendant N jours ; (2) air-gap physique ou logique entre production et sauvegardes ; (3) comptes d’administration sauvegarde isolés de l’Active Directory de production.

Le PRA est-il obligatoire ?

Pour les entités essentielles ou importantes au sens de NIS 2 : oui (art. 21). Pour les entités financières DORA : oui (art. 12). Pour les responsables de traitement RGPD : implicitement oui via l’article 32(1)©. Pour les OIV : obligation depuis la LPM 2013.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →