PRI, PRA, PCA. Ces trois acronymes reviennent régulièrement dans les discussions sur la résilience informatique et la continuité d’activité des PME. Ils sont fréquemment utilisés de façon interchangeable — parfois au sein d’un même document — comme s’ils désignaient la même chose.

Or, ils couvrent trois périmètres distincts, trois niveaux de responsabilité différents et trois horizons temporels qui ne se substituent pas l’un à l’autre. Comprendre leurs frontières, c’est comprendre comment les articuler efficacement — et par lequel commencer quand les ressources sont limitées.

Les trois plans : définitions précises

Le PRI — Plan de Reprise Informatique

Le PRI couvre la couche technique. Il décrit les procédures et les moyens permettant de redémarrer le système d’information après un incident majeur : sinistre physique, cyberattaque, panne grave. Son objet est exclusivement informatique — serveurs, données, applications, réseaux.

Ce qu’il fait : restaurer les systèmes dans un état fonctionnel, dans un délai défini (RTO), en limitant la perte de données (RPO).

Ce qu’il ne fait pas : organiser la reprise des équipes, gérer les relations fournisseurs ou clients, ou maintenir l’activité pendant la crise. Ce n’est pas son rôle.

Le PRA — Plan de Reprise d’Activité

Le PRA couvre la couche métier. Il définit comment l’organisation reprend ses activités après un incident — pas seulement ses systèmes informatiques. Il s’appuie sur le PRI pour la partie technique, mais va bien au-delà.

Ce qu’il fait : identifier les processus métiers critiques, définir des modes de fonctionnement dégradés, prévoir la réaffectation des équipes, gérer la communication interne et externe et organiser la reprise progressive des opérations.

Ce qu’il ne fait pas : assurer la continuité de l’activité pendant la crise. Il prend le relais une fois l’incident terminé ou stabilisé.

Le PCA — Plan de Continuité d’Activité

Le PCA couvre la couche stratégique. Il vise à maintenir l’activité à un niveau dégradé acceptable pendant un incident, sans attendre que les systèmes soient intégralement restaurés.

Ce qu’il fait : anticiper les scénarios de crise — pandémie, sinistre multi-sites, indisponibilité d’un fournisseur critique — définir les seuils d’activation, organiser la résilience organisationnelle et prévoir les ressources alternatives.

Ce qu’il ne fait pas : se substituer au PRI ou au PRA. Il les présuppose et s’en nourrit.

En résumé
PRI = redémarrer les systèmes.
PRA = redémarrer l’activité.
PCA = continuer à fonctionner pendant la crise.
Les trois sont complémentaires, pas substituables.

Tableau comparatif : PRI, PRA, PCA

Critère PRI PRA PCA
Périmètre Systèmes informatiques Processus métiers Organisation globale
Responsable DSI / Prestataire IT Direction + DSI Direction générale
Déclenchement Après l’incident Après l’incident Pendant l’incident
Livrable clé Runbook, RTO, RPO, annexe technique Procédures métiers, annuaire de crise Stratégie de continuité, plans d’astreinte
Dépendances Infrastructure IT, outils de reprise PRI + équipes métiers PRI + PRA + ressources alternatives
Testé par Tests mensuels + annuels Exercices de crise Simulations de scénarios

Les trois plans forment une chaîne, pas une liste

L’erreur la plus fréquente consiste à traiter ces trois plans comme des alternatives indépendantes. En réalité, ils forment une chaîne de dépendances fonctionnelles :

  • Le PCA présuppose que vous savez, dans les grandes lignes, comment reprendre les opérations (PRA) et que les systèmes peuvent être remis en état (PRI).
  • Le PRA présuppose que l’infrastructure informatique est récupérable dans un délai acceptable — ce que garantit, ou non, le PRI.
  • Le PRI est la fondation. Sans lui, les deux autres plans reposent sur une hypothèse non vérifiée : que le système d’information redémarrera un jour.

Un plan de continuité d’activité sans PRI documenté et testé, c’est un plan qui suppose implicitement que quelqu’un saura se débrouiller le moment venu. C’est rarement suffisant.

Pourquoi les PME doivent commencer par le PRI

Pour une PME aux ressources limitées, la question n’est pas de choisir entre les trois plans — c’est de les construire dans le bon ordre, par étapes.

Le PRI doit passer en premier pour trois raisons concrètes.

1. Il est le seul à pouvoir être contractualisé et mesuré objectivement

Un RTO de 4 heures, un taux de réussite des réplications de 99 %, un test mensuel avec rapport : ce sont des indicateurs mesurables. Le PRI s’appuie sur une infrastructure technique précise, des outils de réplication et des engagements de service.

C’est le seul des trois plans qu’un prestataire peut prendre en charge avec des SLA contractuels.

2. Il est la condition préalable à tout le reste

Vous pouvez rédiger un excellent PRA décrivant comment vos équipes reprennent le travail après un sinistre. Si le système d’information ne redémarre pas dans des délais raisonnables, ce plan n’aura aucune prise sur la réalité.

Le PRI est la fondation sur laquelle tout le reste peut être construit.

3. Il est le plus souvent absent ou obsolète

La majorité des PME françaises disposent d’une solution de sauvegarde. Très peu ont un PRI formalisé, documenté, testé et maintenu à jour.

C’est précisément ce déficit que le contrat MCO PRI Alticap adresse : non seulement mettre en place le dispositif, mais le maintenir en condition opérationnelle dans la durée.

Ce que le contrat MCO PRI Alticap couvre — et ce qu’il ne couvre pas

Par souci de transparence, il est important de préciser les limites du contrat MCO PRI.

Périmètre couvert

  • Réplication d’images serveurs et VMs
  • Supervision de la réplication
  • Tests mensuels de restauration avec rapport
  • Test annuel d’activation du PRI avec runbook
  • Engagements RTO et RPO contractuels
  • Documentation technique : relevé de configuration, RACI, runbook
  • Support hotline en heures ouvrées

Hors périmètre — de la responsabilité du client

  • Organisation de la reprise d’activité métier (PRA)
  • Processus de continuité d’activité pendant la crise (PCA)
  • Gestion de la communication de crise
  • Conformité réglementaire des données personnelles (RGPD)
  • Systèmes non listés dans l’annexe technique

Cette délimitation n’est pas une limitation : c’est une clarté contractuelle qui évite les malentendus en situation de crise.

Le PRI Alticap fait ce qu’il dit, mesure ce qu’il fait, et ne prétend pas couvrir ce qui relève de l’organisation interne du client.

Questions fréquentes

Une PME a-t-elle vraiment besoin d’un PRA et d’un PCA ?

La réponse dépend de la taille de l’entreprise, de son secteur et de ses obligations contractuelles ou réglementaires. En revanche, toute PME qui dépend de son système d’information pour facturer, livrer ou produire a besoin d’un PRI.

C’est le minimum indispensable. Le PRA et le PCA peuvent être construits ensuite, par étapes.

Le PRI remplace-t-il une assurance cyber ?

Non. Le PRI est le dispositif technique qui limite l’impact d’un incident sur votre système d’information. L’assurance cyber est un mécanisme de transfert du risque financier résiduel.

Les deux sont complémentaires : la plupart des assureurs cyber exigent d’ailleurs la mise en place de dispositifs de reprise documentés comme condition de souscription ou d’indemnisation.

Quelle est la différence entre un PRI et un contrat de sauvegarde classique ?

Un contrat de sauvegarde couvre la restauration granulaire de fichiers, de bases de données ou d’applications — typiquement pour récupérer un document supprimé ou une version antérieure d’un fichier.

Un PRI couvre la reprise complète du système d’information après un incident majeur, avec des objectifs de temps de reprise contractualisés et un runbook d’activation.

Les deux coexistent et remplissent des fonctions différentes.

Votre SI est-il prêt à redémarrer après un incident majeur ?

Nos experts Alticap analysent votre infrastructure, co-construisent votre annexe technique et vous accompagnent dans la mise en place d’un PRI adapté à votre activité.

→ Demander un audit PRI gratuit :
https://www.alticap.com/je-souhaite-etre-contacte