PRA vs PCA : différence entre Plan de Reprise et Plan de Continuité d’Activité pour PME

PRA et PCA : deux plans complémentaires, pas synonymes

Le PCA (Plan de Continuité d’Activité) et le PRA (Plan de Reprise d’Activité) sont deux dispositifs stratégiques complémentaires, encadrés notamment par les recommandations de l’ANSSI et par la norme ISO 22301. Ils n’ont ni le même objectif, ni le même périmètre, ni le même coût. Comprendre cette distinction est la première étape avant tout investissement.

Dans la pratique, une PME bien équipée dispose d’un PRA solide (sauvegardes externalisées, procédure de restauration testée, scénarios de crise documentés) et d’éléments de PCA sur les fonctions vraiment critiques (par exemple : redondance Internet, double serveur de messagerie, télétravail prêt à l’emploi). Le PCA complet — au sens d’une continuité totale 24/7 — reste réservé aux activités où une heure d’arrêt coûte des dizaines de milliers d’euros.

PRA vs PCA : la différence en un coup d’œil

Voici le résumé pratique pour ne plus jamais confondre les deux dispositifs :

Une analogie utile : le PCA, c’est l’avion qui dispose de deux moteurs — si l’un tombe en panne, le second prend le relais sans que les passagers le remarquent. Le PRA, c’est l’aéroport de déroutement et la procédure d’atterrissage d’urgence : on accepte l’incident, mais on l’a préparé pour qu’il se termine bien.

RTO et RPO : les deux indicateurs qui structurent votre plan

Avant d’investir un seul euro dans un PRA ou un PCA, deux questions doivent obtenir une réponse chiffrée. Ce sont les indicateurs RTO et RPO, le langage universel de la continuité d’activité.

Trois niveaux d’exigence pour situer votre PME

• Niveau standard — RTO 24 h, RPO 24 h. Sauvegarde quotidienne externalisée, restauration documentée. Adapté à la majorité des PME et professions libérales (cabinets, commerces, artisans, TPE de service).
• Niveau renforcé — RTO 4 h, RPO 1 h. Sauvegardes incrémentales horaires, infrastructure de secours pré-configurée. Adapté aux PME avec dépendance forte au SI (e-commerce, industrie de précision, santé).
• Niveau temps réel — RTO < 1 h, RPO < 15 min. Réplication synchrone, basculement automatique, double site. Adapté aux activités où chaque heure d’arrêt coûte plusieurs dizaines de milliers d’euros.

La règle 3-2-1 : la sauvegarde au cœur du PRA

Tout PRA repose sur une sauvegarde fiable. Sans sauvegarde restaurable, il n’existe pas de plan de reprise — juste un espoir. La règle 3-2-1, recommandée par l’ANSSI et adoptée mondialement par les éditeurs de solutions de sauvegarde, fixe le minimum à respecter :

L’évolution moderne : la règle 3-2-1-1-0

Face à la montée du ransomware, qui chiffre désormais les sauvegardes connectées au réseau, la règle a été enrichie en 3-2-1-1-0 :

• 1 copie supplémentaire immuable ou déconnectée (air-gap, S3 Object Lock, bande LTO sortie du coffre) — impossible à chiffrer ou à effacer par un attaquant.
• 0 erreur lors des tests de restauration. Une sauvegarde non testée n’est qu’une promesse. Tout PRA sérieux inclut un calendrier de tests de restauration au moins trimestriel.

Construire son PRA/PCA : la méthode en 6 étapes

Un PRA/PCA n’est pas un produit qu’on achète, c’est un processus qu’on construit. Voici la méthode appliquée par Ezohiko sur les missions de continuité chez les PME et professions libérales lyonnaises.

1. Cartographier les processus métier critiques. Lister chaque activité essentielle (facturation, production, relation client, paie…) et identifier les ressources informatiques qui la portent : applications, données, accès, dépendances cloud.
2. Réaliser une analyse d’impact (BIA). Pour chaque processus critique, chiffrer le coût d’une interruption d’1 heure, 4 heures, 24 heures, 1 semaine. C’est ce chiffrage qui justifie le RTO et le RPO de chaque service.
3. Identifier les scénarios de sinistre. Panne matérielle, ransomware, incendie, dégât des eaux, perte d’un fournisseur cloud, indisponibilité prolongée d’Internet, départ ou indisponibilité d’une personne-clé.
4. Définir les solutions techniques. Sauvegarde 3-2-1-1-0, redondance Internet, serveurs de secours, postes de télétravail prêts, comptes administrateurs de secours, contrats de support 24/7 lorsque pertinents.
5. Documenter les procédures. Un PRA non écrit n’existe pas. Chaque scénario doit avoir sa fiche : qui fait quoi, dans quel ordre, avec quels mots de passe, quels prestataires, quels délais. Les coordonnées doivent être disponibles hors du SI sinistré.
6. Tester et faire vivre le plan. Test de restauration au moins une fois par trimestre, exercice de crise au moins une fois par an, mise à jour à chaque évolution majeure du SI ou des processus métier.

Combien coûte un PRA/PCA pour une PME ?

Le coût d’un PRA/PCA dépend du niveau de RTO/RPO visé, du volume de données et du nombre d’applications critiques. Voici les ordres de grandeur observés sur le terrain en 2026 pour une PME française type (10 à 50 collaborateurs, un site, une dizaine d’applications) :

Pour la grande majorité des PME, un PRA standard bien dimensionné suffit à transformer un sinistre majeur en un incident de quelques heures, et représente une assurance dont le ROI est immédiat dès le premier incident évité.

PRA as a Service Ezohiko : la reprise en 4 heures, sans investissement de grand groupe

Construire un PRA en interne mobilise du temps, des compétences spécifiques et un budget rarement disponible chez une PME. C’est pour cette raison qu’Ezohiko propose le PRA as a Service : une offre packagée, dimensionnée pour les PME et professions libérales, qui transforme la continuité d’activité en service mensuel — sans achat de matériel de secours, sans serveur secondaire à gérer, sans complexité.

Le PRA as a Service inclut la sauvegarde 3-2-1-1-0, l’infrastructure de bascule pré-configurée, la procédure documentée, les deux tests annuels et le pilotage par un Responsable Informatique en temps partagé qui connaît votre environnement. Tout cela en abonnement mensuel, dimensionné selon votre RTO/RPO et le volume de vos données critiques — accessible aux structures de 5 à 100 collaborateurs. Pour une PME lyonnaise typique, le service entre dans la fourchette « PRA standard » à « PRA renforcé » présentée plus haut, sans aucun investissement initial en matériel.

Pour découvrir l’offre en détail : PRA as a Service — votre activité reprend en 4 heures. Vous pouvez également demander une analyse gratuite de votre situation actuelle ou nous appeler directement au 04 28 29 87 94. Pour aller plus loin, voir aussi notre page Sauvegardes – PRA – PCA et l’article Plan de reprise activité informatique PME : comment repartir de zéro.