PRA et PCA sont souvent confondus — et pourtant, ils répondent à des objectifs distincts. Le plan de reprise activité et le plan de continuité activité forment ensemble la colonne vertébrale de la résilience informatique d’une entreprise. Comprendre la différence PRA PCA, c’est savoir lequel activer selon la nature et la gravité d’un incident.
Différence PRA PCA : deux plans complémentaires pour la résilience de votre PME
PRA — Plan de Reprise d’Activité
Le PRA s’active lorsqu’un sinistre important interrompt le système informatique : incendie, inondation, panne matérielle majeure, cyberattaque. Il définit le scénario de secours pour relancer l’exploitation après un arrêt complet. L’objectif : redémarrer l’activité dans un délai prédéfini (RTO) avec une perte de données acceptable (RPO).
PCA — Plan de Continuité d’Activité
Le PCA vise à maintenir l’activité malgré l’indisponibilité d’un élément du SI — sans arrêt complet. Il identifie les menaces, évalue les impacts (financiers, légaux, humains) et définit la durée maximale d’interruption acceptable. L’objectif : que l’activité s’arrête le moins longtemps possible, voire pas du tout.
RTO et RPO : les deux métriques clés
RTO — Recovery Time Objective
Durée maximale acceptable avant que les systèmes critiques soient opérationnels. Exemple : « Nous devons relancer notre ERP dans les 4 heures suivant un sinistre. » Le RTO guide les choix d’infrastructure et de redondance.
RPO — Recovery Point Objective
Volume maximal de données qu’on peut se permettre de perdre. Exemple : « Nous acceptons une perte de 2 heures de données. » Le RPO définit la fréquence des sauvegardes nécessaires.
Pourquoi la sauvegarde est le socle des deux plans
40%
Des pannes et pertes de données dues aux erreurs humaines
85%
Des piratages surviennent depuis l’intérieur de l’entreprise
80%
Des entreprises ayant perdu leurs données font faillite dans les 12 mois
PRA et PCA exigent tous les deux un système de sauvegarde robuste, externalisé (hors site), testé régulièrement. La sauvegarde n’est pas une option — c’est la condition de survie de votre plan.
PRA ou PCA : lequel faut-il en priorité pour votre PME ?
Les deux, idéalement — mais si vous devez prioriser :
- Commencez par le PRA si vous n’avez pas encore de système de sauvegarde testé et de procédure de reprise documentée
- Complétez avec le PCA pour les activités critiques qui ne peuvent pas s’interrompre (ventes, production, ERP)
- Intégrez RTO et RPO dans votre PSSI pour formaliser les niveaux de service acceptables
- Testez les deux plans annuellement — un plan non testé est un plan qui échouera
Questions fréquentes
Quelle est la différence entre un PRA et un PCA ?
Le PRA (Plan de Reprise d’Activité) s’active après un sinistre majeur pour relancer les systèmes depuis un arrêt total. Le PCA (Plan de Continuité d’Activité) vise à maintenir l’activité sans arrêt, même en cas d’incident. Le PRA est la réponse à un désastre, le PCA est la prévention de l’interruption.
Comment définir le RTO et le RPO de mon entreprise ?
Le RTO dépend de la tolérance à l’arrêt de vos activités critiques : combien d’heures sans votre ERP, votre messagerie ou votre site e-commerce vous coûtent réellement ? Le RPO dépend de la fréquence de vos transactions : une perte de 2h de données comptables est-elle acceptable ? Ces réponses orientent ensuite toute la stratégie de sauvegarde et de redondance.
Une PME a-t-elle besoin à la fois d’un PRA et d’un PCA ?
Idéalement oui, mais selon votre maturité informatique, il vaut mieux commencer par le PRA : documenter les procédures de reprise, mettre en place des sauvegardes testées et définir les contacts d’urgence. Le PCA vient ensuite, pour les processus qui ne peuvent vraiment pas s’interrompre.
Quelle est la place des sauvegardes dans un PRA ou un PCA ?
Les sauvegardes sont le socle de tout plan de reprise ou de continuité. Sans sauvegarde externe, testée et restaurable, aucun plan ne peut fonctionner. La règle 3-2-1 s’applique : 3 copies des données, sur 2 supports différents, dont 1 hors site (cloud ou NAS externalisé). Les sauvegardes doivent être testées régulièrement — une sauvegarde non testée ne vaut rien.
Comment tester un PRA ou un PCA ?
Un test de PRA consiste à simuler un incident (panne serveur, attaque ransomware, sinistre locaux) et à déclencher les procédures de reprise en conditions réelles. On mesure le temps de reprise effectif et on le compare au RTO défini. Le test doit être réalisé au moins une fois par an, et après tout changement significatif du SI.
Parlons de votre situation.
30 minutes, sans engagement.
On regarde ensemble ce qu’il faudrait pour libérer votre charge mentale IT. Pas de pitch. Juste un état des lieux honnête.
Architecte de votre informatique. Artisan de votre confiance.