Le test du vendredi matin (celui que personne ne veut vraiment faire)
Le vendredi matin. Il fait beau, les équipes sont détendues, le café coule à flot.
Et si on testait… le PRA ? Le quoi ?! 😰
Ah, ce fameux Plan de Reprise d’Activité, document sacré, souvent planqué dans un SharePoint oublié, mis à jour « normalement tous les ans » (c’est-à-dire jamais), et qui dort paisiblement entre un plan d’évacuation incendie et une politique de mot de passe de 2013.
Aujourd’hui, on le teste. Et là, ça pique. Voici un test de réalité (pas d’intrusion) sur ce que vous pensez être un PRA. Spoiler : ce n’est pas un PowerPoint avec des flèches bleues.
1. 📎 Est-ce que votre PRA est un fichier Word que seul Jacques peut ouvrir ?
Et encore, Jacques est en retraite depuis 2019. Le fichier est protégé par un mot de passe que tout le monde a oublié.
Mais rassurez-vous, on a « un export PDF quelque part ».
👉 Un PRA vivant, versionné, testé = un PRA utile.
Sinon c’est un conte de fée ISO 27001-friendly.
2. 🧠 Quelqu’un SAIT-IL vraiment quoi faire quand tout tombe ?
Soyons honnêtes : 90% des gens pensent que « redémarrer le serveur » est un plan de reprise.
Le reste du personnel espère juste que « l’IT va gérer ».
👉 Un PRA implique une organisation claire, des rôles définis, un plan de communication, et surtout, des gens formés.
Parce que quand la base de données est chiffrée, ce n’est pas le moment de googler « restaurer MySQL après attaque ransomware ».
3. 🧪 Le PRA a-t-il déjà été TESTÉ en simulation ?
« Oui, oui, on l’a testé… en 2018… en théorie. »
Traduction : on a lu le plan à voix haute un vendredi à 16h en mangeant des viennoiseries.
👉 Un vrai test PRA, c’est :
- une simulation réaliste (panne, crypto, feu, coupure élec…)
- un timing mesuré,
- des retours d’expérience documentés,
- et des mises à jour après le test.
Sinon, c’est du théâtre d’entreprise.
4. 🕑 En combien de temps êtes-vous capables de reprendre réellement l’activité ?
Le fameux RTO (Recovery Time Objective). Celui qu’on fixe à « 2 heures » dans le tableau Excel, parce que ça sonne bien.
Dans la vraie vie, il faut :
- retrouver les sauvegardes,
- croiser les doigts qu’elles soient complètes ET restaurables,
- reconfigurer les accès,
- vérifier les interconnexions (AD, ERP, Exchange…),
- et tout ça sous pression, pendant que le COMEX panique et que la hotline sature.
👉 Un bon PRA doit tenir compte de la réalité terrain, pas de la fiction ITIL.
5. 🧯 Avez-vous un plan si le sinistre est physique ? (incendie, inondation, café sur l’ESX…)
Non, tout ne s’arrête pas à une attaque ransomware. Un bon vieux dégât des eaux dans la salle serveur, et bim : plus de prod, plus de sauvegarde, plus rien.
👉 Votre PRA doit prévoir les cas extrêmes : autre site, cloud, hébergement temporaire, matériel de secours… ou au moins un bon parapluie.
6. 🔒 Vos sauvegardes PRA sont-elles sécurisées ?
(Et surtout, hors de portée du malware ?)
Une erreur classique : faire des sauvegardes… accessibles par le réseau et en lecture/écriture.
Le ransomware n’en demandait pas tant.
👉 Le PRA, ce n’est pas juste « j’ai une sauvegarde ».
C’est : où elle est, qui y accède, est-elle chiffrée, testée, isolée, et combien de temps elle tient ?
7. 🎭 Qui gère la communication de crise ?
Ah, la com’. Soit oubliée, soit catastrophique.
Sans plan, ça donne :
- « C’est une maintenance prévue »
- « Ce n’est pas une attaque » (alors que les murs brûlent)
- « On gère la situation » (spoiler : non)
👉 Le PRA inclut la gestion de la communication (interne, externe, clients, CNIL…).
Pas de panique publique, pas de fuite d’info. Juste du calme, et un modèle de mail déjà prêt.
8. 📉 Est-ce que vos dépendances applicatives sont cartographiées ?
Parce que relancer l’ERP ne sert à rien si le serveur LDAP est éteint.
Et que votre outil de paie sans DNS, c’est juste un fichier Excel.
👉 Une cartographie des flux applicatifs, c’est l’oxygène du PRA. Sans ça, vous réanimez un bras sans le reste du corps.
9. 🤡 Qui peut relancer les serveurs critiques si le sysadmin est en vacances ?
Le « bus factor » classique. Le seul à savoir où sont les scripts, les accès VPN, le mot de passe de vSphere… est sur la plage, sans réseau.
👉 Redondance humaine, documentation claire, accès d’urgence = PRA viable.
Sinon, le plan repose sur une divinité ou un retour miraculeux de Kevin.
10. 🎲 Vous êtes assurés. Mais votre assurance vous couvrira-t-elle vraiment ?
Eh oui. Beaucoup de contrats cyber précisent des prérequis techniques.
Si vous n’avez pas testé le PRA, pas de MFA, pas de journalisation…
La compagnie peut poliment vous dire : « non ».
👉 Testez, documentez, corrigez.
Et ne laissez pas l’assurance être votre seule ligne de défense.
🧩 Conclusion : le PRA, ce n’est pas un PDF dans un dossier « Sécurité_Archive_OLD »
C’est un dispositif vivant, testé, éprouvé, documenté, connu par les équipes.
Et ce test du vendredi matin, aussi douloureux soit-il, est peut-être ce qui sauvera votre entreprise d’une mort numérique lente et ridicule.
Voir aussi : Les obligations en cybersécurité des entreprises industrielles et Prestataires IT : Vos Obligations Cyber en 2025 – Le Guide Sans Bullshit
Et si vous pensez que tout est prêt : faites tomber volontairement votre DC primaire maintenant, et regardez la réaction de la salle.
