📉 Votre PRA est-il prĂȘt ?

Le test du vendredi matin (celui que personne ne veut vraiment faire)

Le vendredi matin. Il fait beau, les équipes sont détendues, le café coule à flot.
Et si on testait
 le PRA ? Le quoi ?! 😰

Ah, ce fameux Plan de Reprise d’ActivitĂ©, document sacrĂ©, souvent planquĂ© dans un SharePoint oubliĂ©, mis Ă  jour « normalement tous les ans » (c’est-Ă -dire jamais), et qui dort paisiblement entre un plan d’évacuation incendie et une politique de mot de passe de 2013.

Aujourd’hui, on le teste. Et lĂ , ça pique. Voici un test de rĂ©alitĂ© (pas d’intrusion) sur ce que vous pensez ĂȘtre un PRA. Spoiler : ce n’est pas un PowerPoint avec des flĂšches bleues.

1. 📎 Est-ce que votre PRA est un fichier Word que seul Jacques peut ouvrir ?

Et encore, Jacques est en retraite depuis 2019. Le fichier est protégé par un mot de passe que tout le monde a oublié.
Mais rassurez-vous, on a « un export PDF quelque part ».

👉 Un PRA vivant, versionnĂ©, testĂ© = un PRA utile.
Sinon c’est un conte de fĂ©e ISO 27001-friendly.

2. 🧠 Quelqu’un SAIT-IL vraiment quoi faire quand tout tombe ?

Soyons honnĂȘtes : 90% des gens pensent que « redĂ©marrer le serveur » est un plan de reprise.
Le reste du personnel espĂšre juste que « l’IT va gĂ©rer ».

👉 Un PRA implique une organisation claire, des rĂŽles dĂ©finis, un plan de communication, et surtout, des gens formĂ©s.

Parce que quand la base de donnĂ©es est chiffrĂ©e, ce n’est pas le moment de googler « restaurer MySQL aprĂšs attaque ransomware ».

3. đŸ§Ș Le PRA a-t-il dĂ©jĂ  Ă©tĂ© TESTÉ en simulation ?

« Oui, oui, on l’a testé  en 2018
 en thĂ©orie. »
Traduction : on a lu le plan Ă  voix haute un vendredi Ă  16h en mangeant des viennoiseries.

👉 Un vrai test PRA, c’est :

  • une simulation rĂ©aliste (panne, crypto, feu, coupure Ă©lec
)
  • un timing mesurĂ©,
  • des retours d’expĂ©rience documentĂ©s,
  • et des mises Ă  jour aprĂšs le test.

Sinon, c’est du thĂ©Ăątre d’entreprise.

4. 🕑 En combien de temps ĂȘtes-vous capables de reprendre rĂ©ellement l’activitĂ© ?

Le fameux RTO (Recovery Time Objective). Celui qu’on fixe Ă  « 2 heures » dans le tableau Excel, parce que ça sonne bien.

Dans la vraie vie, il faut :

  • retrouver les sauvegardes,
  • croiser les doigts qu’elles soient complĂštes ET restaurables,
  • reconfigurer les accĂšs,
  • vĂ©rifier les interconnexions (AD, ERP, Exchange
),
  • et tout ça sous pression, pendant que le COMEX panique et que la hotline sature.

👉 Un bon PRA doit tenir compte de la rĂ©alitĂ© terrain, pas de la fiction ITIL.

5. 🧯 Avez-vous un plan si le sinistre est physique ? (incendie, inondation, cafĂ© sur l’ESX
)

Non, tout ne s’arrĂȘte pas Ă  une attaque ransomware. Un bon vieux dĂ©gĂąt des eaux dans la salle serveur, et bim : plus de prod, plus de sauvegarde, plus rien.

👉 Votre PRA doit prĂ©voir les cas extrĂȘmes : autre sitecloudhĂ©bergement temporairematĂ©riel de secours
 ou au moins un bon parapluie.

6. 🔒 Vos sauvegardes PRA sont-elles sĂ©curisĂ©es ?

(Et surtout, hors de portée du malware ?)

Une erreur classique : faire des sauvegardes… accessibles par le rĂ©seau et en lecture/Ă©criture.
Le ransomware n’en demandait pas tant.

👉 Le PRA, ce n’est pas juste « j’ai une sauvegarde ».
C’est : oĂč elle est, qui y accĂšde, est-elle chiffrĂ©e, testĂ©e, isolĂ©e, et combien de temps elle tient ?

7. 🎭 Qui gùre la communication de crise ?

Ah, la com’. Soit oubliĂ©e, soit catastrophique.
Sans plan, ça donne :

  • « C’est une maintenance prĂ©vue »
  • « Ce n’est pas une attaque » (alors que les murs brĂ»lent)
  • « On gĂšre la situation » (spoiler : non)

👉 Le PRA inclut la gestion de la communication (interne, externe, clients, CNIL
).
Pas de panique publique, pas de fuite d’info. Juste du calme, et un modĂšle de mail dĂ©jĂ  prĂȘt.

8. 📉 Est-ce que vos dĂ©pendances applicatives sont cartographiĂ©es ?

Parce que relancer l’ERP ne sert Ă  rien si le serveur LDAP est Ă©teint.
Et que votre outil de paie sans DNS, c’est juste un fichier Excel.

👉 Une cartographie des flux applicatifs, c’est l’oxygĂšne du PRA. Sans ça, vous rĂ©animez un bras sans le reste du corps.

9. đŸ€Ą Qui peut relancer les serveurs critiques si le sysadmin est en vacances ?

Le « bus factor » classique. Le seul Ă  savoir oĂč sont les scripts, les accĂšs VPN, le mot de passe de vSphere… est sur la plage, sans rĂ©seau.

👉 Redondance humaine, documentation claire, accĂšs d’urgence = PRA viable.
Sinon, le plan repose sur une divinité ou un retour miraculeux de Kevin.

10. đŸŽČ Vous ĂȘtes assurĂ©s. Mais votre assurance vous couvrira-t-elle vraiment ?

Eh oui. Beaucoup de contrats cyber prĂ©cisent des prĂ©requis techniques.
Si vous n’avez pas testĂ© le PRA, pas de MFA, pas de journalisation

La compagnie peut poliment vous dire : « non ».

👉 Testez, documentez, corrigez.
Et ne laissez pas l’assurance ĂȘtre votre seule ligne de dĂ©fense.

đŸ§© Conclusion : le PRA, ce n’est pas un PDF dans un dossier « SĂ©curitĂ©_Archive_OLD »

C’est un dispositif vivant, testĂ©, Ă©prouvĂ©, documentĂ©, connu par les Ă©quipes.
Et ce test du vendredi matin, aussi douloureux soit-il, est peut-ĂȘtre ce qui sauvera votre entreprise d’une mort numĂ©rique lente et ridicule.

Voir aussi : Les obligations en cybersĂ©curitĂ© des entreprises industrielles et Prestataires IT : Vos Obligations Cyber en 2025 – Le Guide Sans Bullshit

Et si vous pensez que tout est prĂȘt : faites tomber volontairement votre DC primaire maintenant, et regardez la rĂ©action de la salle.

📉 Votre PRA est-il prĂȘt ?
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut