PRA : Plan de Reprise d'Activité

Le Plan de Reprise d'Activité (PRA) vise à restaurer rapidement le système d'information d'une entité en cas de sinistre. Il décrit hiérarchiquement l'ensemble des mesures qui doivent être mises en place lors de la survenue d'un sinistre ou d'un incident majeur ayant entraîné une interruption de l'activité. Le PRA se distingue du PCA (Plan de Continuité d'Activité) : il intervient après la survenue de l'incident et accepte une coupure de service, mais garantit une reprise dans un délai défini et documenté.

Contenu et métriques du PRA

Le PRA définit les architectures, les moyens et les procédures nécessaires à mettre en œuvre pour assurer la protection des applications qu'il couvre. Il identifie les activités critiques à reprendre en priorité, précise l'ordre de restauration des applications, les prérequis techniques et les rôles de chaque acteur. Deux indicateurs structurent tout PRA : le RTO (Recovery Time Objective), qui fixe le délai maximal d'interruption acceptable, et le RPO (Recovery Point Objective), qui définit la perte de données maximale tolérée. Ces métriques guident l'ensemble des choix techniques (fréquence de sauvegarde, solutions de réplication, infrastructures de secours). En cas de sinistre, le PRA permet de reconstruire les serveurs en leur affectant les données répliquées et ainsi de redémarrer les applications sous quelques minutes ou quelques heures, suivant les solutions retenues.

Lien avec NIS2

L'Article 21 §2(c) de la directive NIS2 impose d'élaborer des plans de continuité (PCA) et de reprise d'activité (PRA), incluant la gestion de crise et les sauvegardes. Cette mesure de continuité des activités fait partie des 10 exigences minimales applicables aux entités essentielles et importantes. La conformité NIS2 exige que les sauvegardes et le plan de reprise après sinistre (PCA/PRA) soient testés en restauration réelle. Les tests réguliers et la documentation des procédures sont indispensables pour apporter la preuve d'efficacité attendue par les autorités de contrôle. La mise en œuvre du PRA relève directement de la responsabilité de la direction, conformément à l'Article 20.

Pour aller plus loin : Guide ANSSI – Continuité d'activité, Article 21 de la directive (UE) 2022/2555.