Aller au contenu principal
Cybersécurité

PRA Plan de reprise d'activité PME 2026 : guide complet 3-2-1-1-0

1Acces12 mai 2026

# PRA Plan de reprise d'activité PME 2026 : guide complet stratégie 3-2-1-1-0

Sans PRA testé, un ransomware = 22 jours d'indisponibilité moyenne. Avec un PRA opérationnel et une sauvegarde immutable, c'est 4 à 24 heures. La différence ? Un investissement de 3-8 k€/an versus une perte d'exploitation de 50-150 k€ et un risque d'extinction de l'entreprise.

Cet article détaille tout ce qu'une PME 10-150 personnes doit savoir pour construire un PRA efficace en 2026 : règle 3-2-1-1-0, RTO/RPO, sauvegarde immutable, modèle de plan, coûts et tests.

TL;DR — Ce qu'il faut retenir

  • PRA = procédure de récupération IT après sinistre majeur (ransomware, incendie, panne)
  • PCA = continuité d'activité (broader, inclut humain + locaux + IT)
  • Règle 3-2-1-1-0 : 3 copies, 2 supports, 1 hors site, 1 immutable, 0 erreur
  • RTO (Recovery Time Objective) cible PME : 4 heures
  • RPO (Recovery Point Objective) cible PME : 1 heure
  • Coût PRA PME 50 personnes : 3 000 - 12 000 € / an
  • Test PRA obligatoire : semestriellement minimum
  • Sans test, le PRA n'existe pas — il est théorique

1. PRA vs PCA — quelle différence ?

| Aspect | PRA (Plan de Reprise d'Activité) | PCA (Plan de Continuité d'Activité) | | --- | --- | --- | | Périmètre | Systèmes IT uniquement | Toute l'activité (humain + IT + locaux) | | Objectif | Restaurer SI après sinistre | Maintenir activité critique pendant crise | | Délai | Récupération (RTO 4h) | Continuité immédiate (zéro interruption) | | Coût PME 50 pers | 3-12 k€/an | 10-50 k€/an | | Obligation | NIS2, RGPD (art. 32), DORA | NIS2 (entités essentielles) |

Pour une PME standard 2026, commencer par le PRA est l'approche pragmatique. Le PCA vient ensuite pour les fonctions vitales.

2. Pourquoi un PRA est devenu non-négociable en 2026

2.1 Les statistiques 2025-2026

  • 60 % des PME subissent ≥ 1 cyberattaque/an (ANSSI)
  • 22 jours d'indisponibilité moyenne après ransomware
  • 120 000 € coût moyen d'une cyberattaque PME
  • 1 PME sur 2 ferme dans les 18 mois suivant une attaque majeure
  • 76 % des PME victimes n'avaient pas de PRA testé

2.2 Les scénarios qui activent un PRA

1. Ransomware (60 % des cas) — chiffrement complet du SI 2. Sinistre matériel : incendie, dégât des eaux, vol matériel 3. Panne cloud majeure : AWS down (région entière), OVH incident 4. Erreur humaine : suppression accidentelle massive, mauvaise mise à jour 5. Attaque DDoS prolongée sur services critiques 6. Catastrophe naturelle : inondation, tempête (rare mais croissant climat 2026) 7. Cyber-extorsion avec fuite de données (double extorsion)

2.3 Les obligations légales 2026

| Régulation | Obligation PRA | | --- | --- | | RGPD (art. 32) | Mesures techniques et organisationnelles, dont récupération données | | NIS2 (art. 21) | Plan de continuité documenté + testé, pour entités essentielles + importantes | | DORA (sect. financier) | Tests de résilience opérationnelle digitale obligatoires | | HDS (santé) | PRA testé annuellement pour hébergeurs | | ISO 27001 (certification) | Politique de continuité documentée |

3. La règle d'or — sauvegarde 3-2-1-1-0

Définition

``` 3 copies des données (1 production + 2 sauvegardes) 2 supports différents (disque + cloud, ou disque + bande) 1 copie hors site (datacenter distant ou cloud) 1 copie immutable (non modifiable, non supprimable même par admin) 0 erreur lors du test de restauration trimestriel ```

Pourquoi chaque chiffre est critique

#### 3 copies

Si vous n'avez que 1 ou 2 copies, une seule défaillance (corruption, suppression, chiffrement) peut tout perdre. 3 copies = redondance maximale avec rapport coût/risque optimal.

#### 2 supports différents

Si vos 3 copies sont toutes sur disques durs identiques (même fabricant, même modèle), une panne en série peut toucher les 3 simultanément. 2 supports différents = disque + bande, disque + cloud, disque local + NAS, etc.

#### 1 copie hors site

En cas de sinistre physique (incendie, vol, dégât des eaux), une copie locale ne sert à rien. 1 copie hors site = datacenter distant ou cloud (idéalement à > 500 km du siège).

#### 1 copie immutable

Critique en 2026 : les ransomwares modernes (LockBit, BlackCat) cherchent et chiffrent les sauvegardes accessibles. Une copie immutable ne peut être ni modifiée ni supprimée, même par un administrateur compromis. Standard 2026 : AWS S3 Object Lock (mode Compliance), Veeam Immutable, Wasabi Object Lock.

#### 0 erreur lors du test

Une sauvegarde non testée n'existe pas. Les statistiques montrent que 30 % des sauvegardes ne se restaurent pas correctement lors d'un sinistre réel (fichiers corrompus, base de données incohérente, configuration manquante). Test trimestriel obligatoire.

4. RTO et RPO — comment les définir

Définitions

  • RTO (Recovery Time Objective) : durée maximale acceptable d'indisponibilité du SI
  • RPO (Recovery Point Objective) : perte de données maximale acceptable (en temps)

Comment calculer pour votre PME

#### Étape 1 — Identifier les fonctions critiques

| Fonction | Impact d'arrêt | RTO acceptable | | --- | --- | ---: | | ERP / facturation | Très élevé (vente bloquée) | 4h | | Email | Élevé (communication interne + clients) | 4-8h | | Site e-commerce | Très élevé (CA direct) | 1-4h | | GED / archivage | Moyen | 24h | | Téléphonie | Élevé (SAV, commercial) | 4h | | RH / paie | Faible (sauf en fin de mois) | 24-72h | | Sauvegarde / monitoring | Faible | 72h |

#### Étape 2 — Calculer le coût d'indisponibilité

Pour chaque fonction critique : - CA quotidien moyen impacté (ex : 5 000 €/jour) - × durée indisponibilité tolérable (ex : 4h = 0,17 jour) - = coût d'1 sinistre (ex : 850 €)

Si ce coût est supérieur au coût annuel d'un dispositif de récupération plus rapide → investir.

#### Étape 3 — Définir RTO/RPO globaux

Cibles PME 2026 recommandées : - RTO : 4 heures pour les fonctions critiques (ERP, email, site) - RPO : 1 heure (perte maximale = 1h de saisie)

Pour cas plus critiques (e-commerce > 1 M€ CA/an) : - RTO : 1 heure - RPO : 15 minutes (réplication temps réel)

5. Architecture PRA recommandée PME 2026

Solution 1 — Cloud-first (recommandée pour 80 % des PME)

``` [Production] | ↓ (réplication continue) [Cloud Backup quotidien — rétention 90 j] | ↓ (snapshot hebdo) [Cloud Object Lock immutable — rétention 365 j] | ↓ (test trimestriel) [Validation restauration] ```

Outils : - Veeam Backup & Replication + AWS S3 Object Lock (leader marché) - Acronis Cyber Protect (tout-en-un) - Atempo Tina / Lina (souverain France)

Coût indicatif : 3 000 - 8 000 € / an pour PME 50 personnes (50-200 Go critiques + 2-5 To total).

Solution 2 — Hybride (PME multi-sites, exigences NIS2)

``` [Production site 1] | ↓ (réplication temps réel) [Site 2 — réplication DR] | ↓ (sauvegarde quotidienne) [Cloud Object Lock — rétention 365 j] ```

Avantage : RTO 1h, RPO 5 min — pour PME e-commerce ou critiques.

Coût indicatif : 8 000 - 25 000 € / an pour PME 100 personnes.

Solution 3 — Air-gap physique (secteurs sensibles)

``` [Production] | ↓ (sauvegarde quotidienne) [NAS local chiffré] | ↓ (extraction hebdomadaire manuelle) [Bande / disque amovible stocké coffre-fort] ```

Avantage : impossibilité ransomware (déconnexion physique).

Inconvénient : manuel, lent (RTO 24-72h), labor-intensive.

Pour qui : secteurs régulés (santé HDS, défense), PME paranoïaques. Pas adapté PME standard 2026.

6. Modèle de PRA — structure type

Section 1 — Introduction et objectifs

  • Champ d'application : sites, systèmes, applications couverts
  • Objectifs RTO/RPO par fonction critique
  • Niveau de criticité (P1/P2/P3 selon impact)
  • Périmètre d'exclusion : ce qui n'est pas couvert

Section 2 — Identification des risques et scénarios

| Scénario | Probabilité | Impact | Priorité | | --- | --- | --- | --- | | Ransomware | Élevée | Critique | P1 | | Panne serveur central | Moyenne | Élevé | P1 | | Sinistre datacenter (incendie cloud) | Faible | Critique | P2 | | Erreur humaine (suppression) | Moyenne | Moyen | P3 | | Catastrophe naturelle | Faible | Moyen | P3 |

Section 3 — Cellule de crise et rôles

| Rôle | Personne | Téléphone | Backup | | --- | --- | --- | --- | | Directeur de crise | DG | 06 XX XX XX XX | DAF | | Coordinateur technique | DSI / RSSI | 06 XX XX XX XX | Resp. infra | | Responsable communication | Communication / Marketing | 06 XX XX XX XX | DG | | Responsable juridique | Avocat conseil | 05 XX XX XX XX | DG | | Référent ANSSI | DSI | — | Cybermalveillance : 0 805 805 817 | | Référent CNIL | DPO | 06 XX XX XX XX | — | | Référent cyber-assurance | Direction | 0X XX XX XX XX (24/7) | — | | Prestataire forensic | Cabinet conseil | 0X XX XX XX XX | — |

Section 4 — Procédures d'activation

#### Déclencheurs d'activation - Indisponibilité > 2 heures d'un système critique - Détection ransomware confirmée - Sinistre physique majeur (incendie, dégât des eaux) - Compromission confirmée d'identifiants admin

#### Procédure d'activation (90 minutes max) 1. T0 — Constat de l'incident 2. T0+15 min — Évaluation initiale par DSI 3. T0+30 min — Décision d'activation par Directeur de crise 4. T0+45 min — Convocation cellule de crise 5. T0+60 min — Mise en œuvre actions techniques 6. T0+90 min — Communication interne premier message

Section 5 — Procédures techniques de récupération

#### Pour ransomware 1. Isoler les machines compromises (couper réseau, NE PAS éteindre) 2. Identifier la souche (ransomware ID, samples, notes de rançon) 3. Désactiver les comptes admin compromis 4. Activer la sauvegarde immutable 5. Restaurer environnement propre depuis snapshot pré-attaque 6. Vérifier intégrité (hash SHA-256) 7. Re-connecter progressivement les services 8. NE PAS payer la rançon

#### Pour panne datacenter 1. Activer le DR site (site secondaire) 2. Basculer DNS et trafic 3. Vérifier disponibilité applications critiques 4. Informer utilisateurs 5. Maintenir basculement jusqu'à restauration datacenter principal

Section 6 — Communication de crise

#### Messages pré-rédigés

Message interne (jour 1) : ``` Chers collaborateurs, Suite à un incident de sécurité survenu ce jour, certains de nos systèmes informatiques sont temporairement indisponibles. Une cellule de crise est activée. Nous mettons tout en œuvre pour un rétablissement rapide et nous vous tiendrons informés. Pour toute question : contactez directement votre manager. La Direction. ```

Message clients (si fuite de données) : ``` Cher client, Nous vous informons d'un incident de sécurité affectant nos systèmes informatiques le [DATE]. Nous avons immédiatement déclenché notre plan de réponse à incident et alerté les autorités compétentes (ANSSI, CNIL). À ce stade, [détails impact si connus]. Nous mettons en œuvre toutes les mesures pour protéger vos données et vous tiendrons informé(e) des évolutions. La Direction de [NOM PME]. ```

Section 7 — Reporting et amélioration continue

  • Compte-rendu post-incident sous 14 jours
  • Mise à jour PRA suite à l'incident
  • Rapport final ANSSI sous 1 mois (si NIS2 applicable)
  • Plan d'action correctif sous 3 mois

7. Tests PRA — méthodologie et fréquence

Pourquoi tester ?

Un PRA non testé est inutile. Statistiques 2025 : - 30 % des sauvegardes ne se restaurent pas correctement - 45 % des PRA documentés échouent au premier test réel - 22 jours d'indisponibilité moyenne quand PRA non testé vs 6 heures quand testé

Les 4 niveaux de tests

#### Niveau 1 — Test sur table (Tabletop)

Durée : 2-4 heures Fréquence : trimestrielle Coût : ~0 € (interne)

Simulation orale : la cellule de crise discute d'un scénario fictif (ransomware, sinistre, etc.) et passe en revue les actions à mener. Permet d'identifier les manques de procédure.

#### Niveau 2 — Test de restauration partielle

Durée : 1 jour Fréquence : trimestrielle Coût : ~500-1 500 € (temps technique)

Restauration d'un échantillon de données (ex : 1 base de données + 100 documents) dans un environnement de test. Permet de valider l'intégrité technique des sauvegardes.

#### Niveau 3 — Test de bascule applicatif

Durée : 1-2 jours Fréquence : semestrielle Coût : 1 500 - 5 000 €

Basculement complet d'1 ou 2 applications sur le site DR ou environnement de récupération. Vérification du fonctionnement nominal. Test invisible pour les utilisateurs.

#### Niveau 4 — Test complet (Disaster Drill)

Durée : 1 journée complète Fréquence : annuelle Coût : 5 000 - 15 000 €

Simulation grandeur nature : basculement complet du SI sur l'environnement de récupération, avec utilisateurs. Mesure RTO et RPO réels. Indispensable pour NIS2 + ISO 27001 + DORA.

8. Coûts d'un PRA PME 2026

Forfait Essentiel (TPE 1-10 pers)

| Poste | Coût annuel | | --- | ---: | | Solution backup cloud immutable | 600 - 1 500 € | | Stockage 1-2 To | inclus ou 300 € | | Tests trimestriels (interne) | 0 € | | Documentation PRA simplifiée | 800 € one-shot | | Total année 1 | 1 700 - 2 600 € | | Total année 2+ | 600 - 1 500 € |

Forfait Pro (PME 10-50 pers)

| Poste | Coût annuel | | --- | ---: | | Solution backup pro (Veeam, Acronis) | 2 400 - 4 800 € | | Cloud Object Lock 5-10 To | 800 - 2 000 € | | Tests semestriels niveau 2-3 | 1 200 € | | Documentation PRA + IR plan | 3 500 € one-shot | | Audit annuel | 2 500 € | | Total année 1 | 10 400 - 13 800 € | | Total année 2+ | 6 900 - 10 000 € |

Forfait Business (PME 50-150 pers)

| Poste | Coût annuel | | --- | ---: | | Backup + DR site secondaire | 6 000 - 12 000 € | | Cloud Object Lock + réplication 20+ To | 2 400 - 5 000 € | | Test complet annuel | 5 000 € | | Documentation PRA + PCA | 8 000 € one-shot | | Audit externe + ISO 27001 prep | 8 000 € | | Total année 1 | 29 400 - 38 000 € | | Total année 2+ | 21 400 - 30 000 € |

Pour mémoire

| Comparaison | Coût | | --- | ---: | | PRA Pro PME 50 pers (an 1) | 10 400 € | | Coût attaque ransomware moyenne PME | 120 000 € | | ROI préventif | × 11,5 |

9. Solution 1Acces — PRA intégré à la suite ERP

Notre approche

Le PRA est inclus par défaut dans nos forfaits Pro et Business 1Acces :

  • ✅ Sauvegarde immutable 3-2-1-1-0 quotidienne
  • ✅ Rétention 90 jours (Pro) à 365 jours (Business)
  • ✅ Test de restauration trimestriel automatisé
  • ✅ Documentation PRA pré-rédigée (template personnalisable)
  • ✅ Procédures cellule de crise intégrées
  • ✅ Hébergement multi-AZ AWS Paris (haute disponibilité)
  • ✅ DR site secondaire (Business uniquement)
  • ✅ Support 24/7 cellule de crise (Business)
  • ✅ Audit annuel PRA inclus (Business)

Tarifs

| Forfait | PRA inclus | Prix /mois | | --- | --- | --- | | Essentiel | Backup quotidien 30 j rétention | 89 € HT | | Pro | PRA standard 90 j rétention + tests | 280 € HT | | Business | PRA complet + DR site + test annuel | 580 € HT | | Premium SecNumCloud | PRA souverain Outscale + audit ANSSI | Sur devis |

Pourquoi intégrer son PRA à 1Acces ?

1. Cohérence : PRA conçu pour votre suite ERP/CRM/GED (pas une couche externe) 2. Économie : 30-40 % moins cher que cumul backup + PRA externes 3. Test automatique : pas de manipulation manuelle 4. Conformité : NIS2, RGPD, ISO 27001 compatibles par défaut

**Demander un devis PRA personnalisé**

10. FAQ — questions fréquentes PRA PME

À quelle fréquence faut-il tester le PRA ?

Minimum semestriellement (test de bascule applicatif). Annuellement, test complet grandeur nature. Pour secteurs régulés (NIS2, DORA, HDS), test trimestriel ou continu.

Mon PRA est-il valide sans test ?

Non, juridiquement et opérationnellement. NIS2 article 21 exige plan testé. RGPD article 32 exige mesures éprouvées. Sans test, votre PRA n'a aucune valeur en cas d'incident.

Que faire si le test échoue ?

Excellente nouvelle : vous avez détecté le problème avant un incident réel. Identifier la cause (sauvegarde corrompue, procédure incomplète, équipe non formée), corriger, re-tester sous 30 jours.

Faut-il un site de Disaster Recovery (DR) dédié ?

Pour PME 10-50 personnes : pas nécessaire, le cloud Object Lock suffit. Pour PME 50+ avec exigence RTO < 1h ou NIS2 essentielle : oui.

Combien de temps prend la rédaction d'un PRA ?

  • Template personnalisé : 1-2 semaines (avec template prêt)
  • PRA from scratch : 4-8 semaines
  • PRA certifiant ISO 27001 : 3-6 mois

Le PRA peut-il être externalisé ?

Oui, plusieurs niveaux : - Documentation par cabinet conseil (1-5 k€) - PRA managé (BaaS - Backup as a Service) par prestataire IT (3-15 k€/an) - DR site mutualisé chez prestataire cloud (5-30 k€/an)

Mon cloud (Microsoft 365, Google Workspace) inclut-il un PRA ?

Partiellement. Les versions Enterprise incluent une rétention 30-90 jours et de la redondance multi-DC. Mais : - ⚠️ Pas de sauvegarde immutable contre ransomware - ⚠️ Pas de PRA documenté pour vos données - ⚠️ Microsoft / Google recommandent eux-mêmes une sauvegarde tierce (Veeam M365, Spanning, Datto)

Quel coût en cas d'absence totale de PRA ?

Statistiques 2025 ANSSI pour PME victime ransomware sans PRA : - Coût direct moyen : 120 000 € - Indisponibilité moyenne : 22 jours - Probabilité de fermeture sous 18 mois : 50 %

Le PRA est-il obligatoire en 2026 ?

Pour les entités NIS2 (essentielles + importantes) : OUI, article 21. Pour les autres : pas légalement obligatoire mais fortement recommandé (cyber-assurance, contrats clients B2B, conformité RGPD article 32).

Combien de temps pour reconstituer un PRA après une refonte SI ?

  • Refonte légère (ajout d'1 application) : 2-4 semaines
  • Refonte majeure (changement ERP) : 2-3 mois
  • Migration cloud complète : 6-12 mois

Tester immédiatement après toute refonte SI.

Conclusion — checklist 90 jours pour démarrer

Mois 1 — Diagnostic - [ ] Inventaire des fonctions critiques + RTO/RPO cibles - [ ] État des lieux sauvegardes existantes - [ ] Test de restauration sur 5 fichiers (constat actuel)

Mois 2 — Mise en place outils - [ ] Déployer sauvegarde immutable (Veeam + S3 Object Lock ou équivalent) - [ ] Configurer rétention 90 jours min - [ ] Premier test de restauration partielle

Mois 3 — Documentation et formation - [ ] Rédaction PRA (template + adaptation) - [ ] Identification cellule de crise + contacts d'urgence - [ ] Procédures pré-rédigées (isolation, communication) - [ ] Sensibilisation équipe IT + dirigeants

Mois 4-6 — Itération - [ ] Premier test de bascule applicatif - [ ] Mise à jour PRA selon retours - [ ] Souscription cyber-assurance (PRA est un facteur de prime favorable) - [ ] Audit externe PRA (recommandé)

Année 1+ — Maintien - [ ] Tests trimestriels - [ ] Test complet annuel - [ ] Revue PRA après tout changement SI - [ ] Reporting indicateurs MTTD/MTTR

---

À lire aussi sur le cluster Cybersécurité PME :

Pour aller plus loin :

Pret a moderniser votre telephonie ?

Testez gratuitement nos solutions VoIP pendant 14 jours, sans engagement.

Essai gratuitParler a un expert
Retour au blog