PCA, PRA, BIA : les trois piliers de la continuité d’activité selon ISO 22301

La question n’est pas de savoir si un incident majeur surviendra, mais si votre organisation y survivra en bon ordre. C’est tout l’objet de la continuité d’activité. La norme ISO 22301 en fournit le cadre de référence. Trois sigles y reviennent sans cesse, souvent confondus : BIA, PCA et PRA. Remettons chacun à sa place.

Le BIA : savoir ce qui compte vraiment

Le Bilan d’Impact sur l’Activité (Business Impact Analysis) est le point de départ de toute démarche de continuité d’activité. D’abord, il identifie les activités critiques de l’entreprise. Ensuite, il évalue les conséquences de leur interruption dans le temps. Enfin, il en déduit deux paramètres structurants : le RTO, durée maximale d’interruption admissible, et le RPO, perte de données maximale acceptable. En effet, sans BIA, un plan de continuité protège au hasard. Ainsi, il sur-protège l’accessoire et sous-protège l’essentiel.

Le PCA : maintenir l’activité

Le Plan de Continuité d’Activité organise le maintien des activités critiques pendant la crise. Concrètement, il prévoit des modes dégradés, des procédures manuelles de substitution, des sites de repli, la réaffectation des équipes et la communication interne comme externe. C’est un plan d’entreprise, pas un plan informatique. Ainsi, il mobilise les métiers, les RH, la communication et la direction.

Le PRA : reconstruire l’IT

Le Plan de Reprise d’Activité est le volet technique. Il restaure les systèmes, les applications et les données dans les délais fixés par le BIA. Il couvre les sauvegardes et leur isolement, notamment face aux rançongiciels. Il traite aussi les environnements de secours, l’ordre de redémarrage et les procédures de bascule. Ainsi, le PRA transforme les RTO et RPO théoriques en capacité réelle de reconstruction.

Ce qu’ISO 22301 apporte à la continuité d’activité

La norme articule ces briques dans un système de management complet. Elle couvre l’engagement de la direction, l’analyse de risques, un BIA méthodique, les stratégies de continuité et des plans documentés. Surtout, elle impose l’amélioration continue. En effet, elle exige ce que les organisations oublient le plus volontiers : tester. Ainsi, il faut au minimum un exercice de crise par an, des scénarios réalistes, et des enseignements tracés puis corrigés.

L’erreur classique : le classeur

Beaucoup d’organisations disposent d’un PCA formellement complet, mais pratiquement inutilisable. En effet, il a été rédigé il y a trois ans, jamais testé, avec des contacts obsolètes et des procédures qui supposent des systèmes disparus. Or, en situation réelle, le classeur ne répond pas au téléphone. Ainsi, la valeur d’un dispositif se mesure à la dernière date d’exercice, pas à l’épaisseur de la documentation.

Continuité d’activité : ce qu’il faut retenir

Le BIA dit ce qu’il faut protéger. Le PCA maintient l’activité. Le PRA reconstruit l’IT. Enfin, ISO 22301 tient l’ensemble dans la durée. De plus, en contexte M&A, un dispositif de continuité d’activité doit survivre à la séparation ou à l’intégration. En effet, un PCA hérité du groupe vendeur ne protège plus une entité devenue autonome.

Votre dispositif de continuité tiendrait-il un exercice surprise ? Découvrez le volet continuité d’activité et gestion de crise, ou parlons de votre situation.
Partager cet article
Lien copié