Logo Ayi NEDJIMI Consultants
Intelligence & Forensics
Forensics Corrélation Logs
Besoin d'un audit de sécurité ?
Devis personnalisé sous 24h
Outils & Méthodologie
Wazuh SIEM/XDR Threat Hunting
Guides Conformité & Réglementations 2026
Active Directory Infrastructure Cloud Kubernetes Microsoft 365 Virtualisation Forensics Solutions IA
Articles Guides Gratuits Livres Blancs Blog
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1 S-SDLC & Secure by Design HDS 2026 SecNumCloud 2026 Cryptographie Post-Quantique
Réglementations 2026
DORA 2026 NIS 2 Directive NIS 2 AI Act 2026 CRA RGPD 2026 SBOM Cyber-assurance
Sécurité Opérationnelle
NIS2/DORA/RGPD Mapping IEC 62443 Audit Sécurité SI PRA/PCA Cyber PASSI ANSSI
IA & Certifications
RGPD & Règlement IA ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor Juridique & Éthique IA
News
Conformité / Résilience Cyber

PRA/PCA Cyber : Plan de Reprise et Continuité d'Activité face aux Cyberattaques

Par Ayi NEDJIMI 1 mars 2026 Lecture : 30 min ~5200 mots
#PRA #PCA #CyberRésilience #NIS2 #DORA #Backup #Ransomware

1. Introduction : pourquoi le PRA/PCA Cyber est devenu une priorité absolue

En 2025, une entreprise sur deux en Europe a subi au moins un incident cyber majeur ayant entraîné une interruption de service. Les ransomwares ont provoqué en moyenne 23 jours d'indisponibilité par attaque, pour un coût moyen de 4,7 millions d'euros incluant la rançon, la reconstruction et la perte de chiffre d'affaires. Face à cette réalité, disposer d'un Plan de Reprise d'Activité (PRA) et d'un Plan de Continuité d'Activité (PCA) spécifiquement adaptés aux menaces cyber n'est plus une option -- c'est une obligation réglementaire et une condition de survie.

Les plans de continuité traditionnels, conçus pour des sinistres physiques (incendie, inondation, panne électrique), sont structurellement inadaptés aux cyberattaques. Un ransomware ne détruit pas un datacenter -- il chiffre simultanément les données de production et les sauvegardes accessibles, compromet l'Active Directory qui contrôle tous les accès, et persiste dans l'infrastructure via des backdoors que la simple restauration de sauvegardes ne supprime pas. La reconstruction après une cyberattaque exige une approche radicalement différente : vérification d'intégrité, forensique préalable, reconstruction from scratch des systèmes compromis.

Les régulateurs l'ont compris. La directive NIS 2 impose aux entités essentielles et importantes des obligations explicites de gestion de crise et de continuité d'activité. Le règlement DORA, applicable au secteur financier depuis janvier 2025, exige des tests de résilience opérationnelle numérique incluant des scénarios cyber. L'ISO 27001 dans son annexe A.17 adresse la continuité de la sécurité de l'information. Ignorer ces exigences expose les organisations à des sanctions financières significatives -- jusqu'à 10 millions d'euros ou 2 % du CA mondial sous NIS 2.

Ce guide propose une méthodologie complète pour construire, tester et maintenir un PRA/PCA Cyber robuste. Nous couvrons l'ensemble du cycle : de l'analyse d'impact métier (BIA) à la définition des objectifs RTO/RPO, en passant par les stratégies de sauvegarde, la reconstruction de l'Active Directory, la communication de crise et les exercices de simulation. Chaque section intègre des retours d'expérience issus de nos missions d'accompagnement en gestion de crise cyber.

Point clé : Un PRA/PCA Cyber qui n'a jamais été testé est un document de conformité, pas un plan de survie. L'exercice régulier est ce qui transforme un plan théorique en capacité de réponse opérationnelle.

Prérequis de cet article

Cet article est destiné aux RSSI, DSI, responsables de la continuité d'activité et architectes sécurité. Pour une compréhension approfondie des menaces ransomware, consultez notre article sur l'anatomie d'une kill chain ransomware. Pour les aspects forensiques post-incident, référez-vous à notre guide de chronologie forensique d'intrusion.

2. PRA, PCA, PSI : comprendre les différences fondamentales

2.1 Définitions et périmètres

La confusion entre PRA, PCA et PSI est fréquente et source d'erreurs stratégiques. Chaque plan répond à un objectif distinct et s'inscrit dans un continuum de résilience :

Plan Objectif principal Temporalité Déclencheur
PCA (Plan de Continuité d'Activité) Maintenir les activités critiques pendant l'incident Immédiat à court terme (heures/jours) Tout événement perturbateur
PRA (Plan de Reprise d'Activité) Restaurer les activités après l'incident Moyen terme (jours/semaines) Incident majeur avec interruption
PSI (Plan de Secours Informatique) Reconstruire l'infrastructure IT Variable selon la complexité Sinistre impactant le SI
PCO (Plan de Continuité des Opérations) Maintenir les opérations métier en mode dégradé Pendant la phase de reconstruction Activation du PRA/PCA

Le PCA est le plan-cadre qui englobe l'ensemble de la stratégie de résilience. Il décrit comment l'organisation maintient ses activités critiques à un niveau acceptable pendant et après un événement perturbateur. Le PCA inclut des volets organisationnels (cellule de crise, communication, ressources humaines), logistiques (sites de repli, fournitures) et techniques (PSI/PRA).

Le PRA, quant à lui, est spécifiquement focalisé sur la reprise des activités après interruption. Il détaille les procédures de restauration, l'ordre de redémarrage des systèmes, les vérifications d'intégrité et les critères de retour à la normale. Dans un contexte cyber, le PRA doit intégrer une dimension forensique : on ne restaure pas un environnement compromis sans s'assurer que l'attaquant n'y persiste pas.

Le PSI est la composante technique du PRA. Il décrit les architectures de secours, les mécanismes de bascule, les procédures de reconstruction et les configurations de référence. Pour les environnements Active Directory, le PSI doit inclure des procédures spécifiques de reconstruction des contrôleurs de domaine, car AD est le socle d'authentification de l'ensemble de l'infrastructure.

2.2 Spécificités du PRA/PCA Cyber par rapport au PRA/PCA classique

Un PRA classique part du principe que l'incident est localisé et que les systèmes de secours sont intègres. Une cyberattaque invalide ces deux hypothèses :

  • Propagation latérale : Le ransomware se propage à l'ensemble du réseau, y compris les sites de secours connectés. Les réplications de données propagent le chiffrement aux copies secondaires.
  • Compromission des sauvegardes : Les groupes de ransomware ciblent systématiquement les systèmes de sauvegarde -- suppression des shadow copies, chiffrement des volumes de backup, destruction des bandes accessibles en réseau.
  • Compromission de l'identité : L'Active Directory compromis signifie que tous les comptes, tous les mots de passe, tous les certificats sont potentiellement sous contrôle de l'attaquant. La restauration d'une sauvegarde AD restaure aussi les backdoors.
  • Persistance : Les attaquants déploient des mécanismes de persistance (tâches planifiées, services malveillants, comptes dormants) qui survivent à une simple restauration.
  • Incertitude sur le périmètre : Contrairement à un incendie dont les dégâts sont visibles, le périmètre d'une compromission cyber est souvent inconnu au moment du déclenchement du PRA.
  • Dimension forensique : Avant de restaurer, il faut comprendre le vecteur d'attaque pour ne pas réintroduire la vulnérabilité exploitée. La chaîne de preuve numérique doit être préservée pour d'éventuelles poursuites judiciaires.

Bonne pratique : le PRA Cyber doit être un document distinct

Ne tentez pas de "patcher" votre PRA classique avec quelques lignes sur le ransomware. Un PRA Cyber est un document autonome avec ses propres procédures, ses propres critères de déclenchement et ses propres exercices. Il s'articule avec le PRA classique mais ne s'y substitue pas.

3. Business Impact Analysis (BIA) : le socle de votre stratégie

3.1 Méthodologie BIA pour le contexte cyber

Le Business Impact Analysis (BIA) -- ou analyse d'impact métier -- est le fondement de tout PRA/PCA. Il consiste à identifier les processus métier critiques, évaluer l'impact de leur interruption et définir les objectifs de reprise. Sans BIA rigoureux, le PRA repose sur des intuitions plutôt que sur des données factuelles.

La démarche BIA pour un PRA Cyber se décompose en cinq étapes :

  1. Inventaire des processus métier : cartographier tous les processus métier de l'organisation, de la production à la comptabilité en passant par la relation client et la logistique.
  2. Classification par criticité : évaluer chaque processus selon son impact sur le chiffre d'affaires, les obligations légales, la réputation et la sécurité des personnes en cas d'interruption.
  3. Mapping SI/processus : identifier les applications, bases de données, serveurs et services cloud qui supportent chaque processus. C'est cette étape qui fait le lien entre le métier et la technique.
  4. Évaluation des dépendances : cartographier les interdépendances entre systèmes. Active Directory est presque toujours une dépendance critique de tous les autres systèmes.
  5. Définition des objectifs RTO/RPO : pour chaque processus critique, définir le temps d'interruption maximal tolérable (RTO) et la perte de données maximale acceptable (RPO).

3.2 RTO et RPO : définitions et implications techniques

Ces deux métriques fondamentales déterminent toute la stratégie technique du PRA :

RTO (Recovery Time Objective) : durée maximale d'interruption acceptable pour un processus métier. Un RTO de 4 heures signifie que le processus doit être opérationnel dans les 4 heures suivant l'incident. Le RTO conditionne le choix des solutions de reprise : un RTO de quelques minutes nécessite une réplication synchrone et un basculement automatique ; un RTO de 48 heures peut être adressé par des sauvegardes classiques.

RPO (Recovery Point Objective) : quantité maximale de données que l'organisation accepte de perdre en cas d'incident. Un RPO de 1 heure signifie que les sauvegardes doivent être effectuées au moins toutes les heures. Un RPO zéro nécessite une réplication synchrone temps réel.

RTO / RPO : Comprendre les Objectifs de Reprise INCIDENT RPO Perte de données max. RTO Temps d'arrêt max. Dernière sauvegarde Reprise d'activité Exemples de RTO/RPO par criticité : Critique (ERP, AD) : RTO 4h / RPO 1h Important (Email, CRM) : RTO 24h / RPO 4h Standard (Intranet) : RTO 72h / RPO 24h Non critique (Archive) : RTO 1 sem / RPO 1 sem

3.3 Matrice BIA : modèle pratique

Voici un modèle de matrice BIA adaptée au contexte cyber, que nous utilisons lors de nos missions d'accompagnement :

Processus métier Applications / Systèmes Impact financier (par jour) Impact réglementaire RTO cible RPO cible
Authentification / Accès Active Directory, Entra ID Blocage total du SI NIS 2, DORA 4h 0 (réplication)
Production / ERP SAP, Oracle, bases métier 500K - 2M EUR Contractuel 8h 1h
Messagerie Exchange Online, Teams 50K - 200K EUR RGPD 24h 4h
Paie / RH SIRH, logiciel de paie Variable Code du travail 72h 24h
Site web / e-commerce CMS, plateforme e-commerce 100K - 1M EUR Contractuel 4h 15 min

4. Scénarios cyber majeurs à intégrer dans le PRA

4.1 Scénario 1 : Ransomware avec chiffrement généralisé

C'est le scénario le plus fréquent et le plus dévastateur. Un groupe de ransomware obtient un accès initial (phishing, vulnérabilité, accès RDP exposé), effectue une reconnaissance latérale pendant 5 à 15 jours, élève ses privilèges jusqu'au niveau Domain Admin, désactive les sauvegardes accessibles, puis déploie le chiffrement simultanément sur l'ensemble du parc.

Impact PRA : l'ensemble du SI est indisponible. Les contrôleurs de domaine sont chiffrés, ce qui bloque toute authentification. Les serveurs de sauvegarde ont été ciblés. La reconstruction nécessite une approche from scratch avec des sauvegardes offline si elles existent.

4.2 Scénario 2 : Compromission de l'Active Directory

L'attaquant obtient le contrôle complet de l'AD via des techniques comme le Kerberoasting, le DCSync ou l'exploitation de certificats ADCS. Même sans ransomware, cette compromission donne accès à l'intégralité des données de l'organisation.

Impact PRA : tous les comptes, mots de passe et certificats doivent être considérés comme compromis. La reconstruction de l'AD nécessite la création d'une nouvelle forêt, la migration progressive des objets et la rotation de tous les secrets. C'est l'un des scénarios les plus complexes et les plus longs à traiter.

4.3 Scénario 3 : Attaque supply chain

Un fournisseur de logiciel ou un prestataire infogérance est compromis, et l'attaque se propage via une mise à jour empoisonnée ou des accès VPN partagés. Ce scénario est particulièrement difficile à gérer car l'organisation ne contrôle pas le vecteur initial.

Impact PRA : nécessité d'isoler immédiatement les connexions avec le fournisseur compromis, d'identifier tous les systèmes potentiellement affectés et de qualifier l'étendue de la compromission avant toute reprise.

4.4 Scénario 4 : Exfiltration de données avec menace de publication

Le double extorsion est devenu la norme : les attaquants exfiltrent les données avant le chiffrement, menaçant de les publier si la rançon n'est pas payée. Ce scénario impose des obligations de notification (RGPD Article 33 : notification CNIL sous 72h) et impacte fortement la stratégie de communication de crise.

5. Stratégie de sauvegarde 3-2-1-1-0 : le bouclier ultime

5.1 De la règle 3-2-1 à la règle 3-2-1-1-0

La règle de sauvegarde classique 3-2-1 (3 copies, sur 2 supports différents, dont 1 hors site) est insuffisante face aux ransomwares modernes. La règle 3-2-1-1-0 ajoute deux dimensions essentielles :

  • 3 copies de chaque donnée
  • 2 types de supports différents (disque, bande, cloud)
  • 1 copie hors site (datacenter secondaire, cloud)
  • 1 copie offline ou air-gapped (physiquement déconnectée du réseau)
  • 0 erreur de restauration vérifiée (tests de restauration réguliers)

Le "1" supplémentaire (copie offline/air-gapped) est le contrôle le plus critique. Un ransomware ne peut pas chiffrer ce qu'il ne peut pas atteindre. Les solutions de stockage immuable (WORM -- Write Once Read Many) constituent une alternative technique à l'air-gap physique, en rendant les données non modifiables pendant une durée définie.

Stratégie de Sauvegarde 3-2-1-1-0 3 COPIES Production + 2 sauvegardes Redondance 2 SUPPORTS Disque + Bande ou Disque + Cloud Diversification 1 HORS SITE DC secondaire ou Cloud distant Géoredondance 1 OFFLINE Air-gapped ou Immuable WORM Anti-ransomware 0 ERREUR Tests de restauration Vérification Architecture de Sauvegarde Cyber-Résiliente Production Données live Backup Disque Réseau segmenté Cloud / Hors site Chiffré en transit Air-Gapped Bandes LTO offline Auto Réplication Manuel Tests de restauration automatisés + manuels (mensuel / trimestriel) Zone isolée

5.2 Sauvegardes Active Directory : le cas critique

La sauvegarde de l'Active Directory mérite une attention particulière car AD est le pilier fondamental de l'infrastructure. Sans AD, aucune authentification, aucun accès réseau, aucune application n'est accessible. Les bonnes pratiques de sauvegarde AD incluent :

  • Sauvegarde System State : inclut la base NTDS.dit, le SYSVOL, le registre et les certificats. À effectuer quotidiennement sur chaque contrôleur de domaine.
  • Sauvegarde bare metal : image complète du serveur permettant une restauration rapide. Conservation d'au moins 3 générations.
  • Export de la base NTDS.dit offline : copie de la base AD sur un support déconnecté, chiffrée et stockée en coffre physique.
  • Documentation des secrets : mot de passe DSRM (Directory Services Restore Mode), clés de récupération BitLocker, mots de passe des comptes de service, stockés dans un coffre-fort physique -- jamais uniquement dans un gestionnaire de mots de passe connecté au réseau.

Erreur fréquente : la sauvegarde AD dans le périmètre réseau

Nous observons régulièrement que les sauvegardes AD sont stockées sur des partages réseau accessibles depuis le domaine. Un attaquant ayant compromis un compte Domain Admin peut détruire ces sauvegardes. La sauvegarde AD critique doit être physiquement déconnectée ou stockée dans un vault immuable avec authentification hors-domaine.

6. Reconstruction Active Directory : procédure de référence

6.1 Les deux approches de reconstruction

Après une compromission confirmée de l'AD, deux approches sont possibles :

Approche 1 : Restauration d'une sauvegarde saine. Si l'on dispose d'une sauvegarde System State antérieure à la compromission (identifiée grâce à la timeline forensique), il est possible de restaurer les contrôleurs de domaine à un état sain. Cette approche est plus rapide mais comporte un risque : si la date de compromission initiale est mal estimée, les backdoors seront restaurées avec la sauvegarde.

Approche 2 : Reconstruction from scratch (forêt vierge). C'est l'approche la plus sûre mais aussi la plus longue. Elle consiste à créer une nouvelle forêt AD, migrer les objets nécessaires depuis un export de l'ancienne forêt (après nettoyage), et redéployer progressivement les services. Cette approche est recommandée en cas de compromission profonde (Golden Ticket, persistence au niveau des certificats ADCS).

6.2 Étapes de reconstruction from scratch

  1. Environnement isolé : Installer un environnement réseau physiquement isolé (air-gapped) pour la reconstruction. Aucune connexion avec le réseau compromis.
  2. Premier DC : Installer un serveur propre (OS fraîchement installé, non joint au domaine compromis), promouvoir en contrôleur de domaine d'une nouvelle forêt avec un nouveau nom de domaine.
  3. Durcissement immédiat : Appliquer l'ensemble des mesures de durcissement AD dès la création : politique de mots de passe forte, Tiering administratif, LAPS, désactivation des protocoles obsolètes (NTLMv1, LM hash).
  4. Import des objets : Importer les utilisateurs, groupes et OU depuis un export nettoyé. Ne pas importer les comptes de service sans vérification individuelle. Forcer le changement de mot de passe pour tous les utilisateurs.
  5. PKI : Déployer une nouvelle infrastructure de certificats (PKI/ADCS) avec de nouvelles autorités de certification. Ne jamais réutiliser les clés CA de l'ancienne infrastructure.
  6. Tests : Valider l'intégrité de l'annuaire, la réplication entre DC, le fonctionnement DNS et les stratégies de groupe avant toute mise en production.
  7. Migration progressive : Migrer les postes de travail et serveurs vers la nouvelle forêt par lots, en commençant par les systèmes les plus critiques.

7. Cellule de crise et communication

7.1 Composition et activation de la cellule de crise

La cellule de crise cyber doit être prédéfinie, documentée et exercée régulièrement. Sa composition type inclut :

  • Directeur de crise : membre du COMEX, autorité décisionnelle (DG, DAF ou DSI selon la gouvernance)
  • RSSI : pilotage technique de la réponse, interface avec les prestataires cyber
  • DSI : coordination des équipes IT pour la reconstruction
  • Responsable juridique : notifications réglementaires (CNIL, ANSSI), gestion contractuelle
  • Responsable communication : communication interne, externe, média, réseaux sociaux
  • DRH : gestion du personnel, communication aux salariés, recours à des renforts
  • Responsable métier : priorisation des processus métier à restaurer
  • Prestataire forensique : investigation technique, identification du vecteur d'attaque

Point critique : moyens de communication alternatifs

Si le SI est intégralement chiffré, les moyens de communication habituels (messagerie, Teams, téléphonie IP) sont indisponibles. La cellule de crise doit disposer de moyens de communication hors SI : téléphones mobiles personnels avec annuaire papier, messagerie Signal ou WhatsApp sur mobiles personnels, salle de réunion physique prédéfinie. Ces éléments doivent être documentés dans une fiche réflexe accessible sans connexion au SI (format papier ou clé USB).

7.2 Communication de crise : les règles essentielles

La communication pendant une crise cyber obéit à des règles strictes :

  • Communication interne en premier : les collaborateurs doivent être informés avant les médias. Un message clair et factuel, sans minimiser ni dramatiser.
  • Porte-parole unique : toute communication externe passe par un interlocuteur unique, formé à la communication de crise.
  • Ne jamais révéler les détails techniques : ne pas communiquer sur le vecteur d'attaque, les systèmes affectés ou les négociations avec les attaquants.
  • Notifications réglementaires dans les délais : CNIL sous 72h en cas de violation de données personnelles, ANSSI pour les OIV et entités NIS 2, autorités sectorielles le cas échéant.
  • Anticiper les questions : préparer des Q&A pour les clients, partenaires, actionnaires et médias.

8. Exercices de simulation et RETEX

8.1 Types d'exercices

Un PRA/PCA non testé est un PRA/PCA qui échouera le jour J. Les exercices doivent être réguliers, progressifs et couvrir différents niveaux de complexité :

Type d'exercice Fréquence recommandée Objectif Participants
Revue documentaire Semestrielle Vérifier l'actualité et la cohérence des plans RSSI, DSI
Exercice sur table (tabletop) Annuelle Tester les processus décisionnels face à un scénario Cellule de crise complète
Test technique partiel Trimestrielle Valider la restauration d'un système critique Equipes IT / Backup
Exercice grandeur nature Annuelle Simulation complète incluant communication de crise Toute l'organisation
Test de restauration AD Semestrielle Restaurer un DC dans un environnement isolé Equipe AD / Sécurité

8.2 Méthodologie d'exercice tabletop

L'exercice tabletop est le format le plus accessible et le plus riche en enseignements. Voici une méthodologie éprouvée :

  1. Préparation (2 semaines avant) : définir le scénario, préparer les injects (messages simulant l'évolution de la crise), convoquer les participants, réserver la salle.
  2. Introduction (15 min) : rappeler les règles du jeu, présenter le contexte de départ ("Il est 6h lundi matin, le SOC vous appelle...").
  3. Injection séquentielle (2-3h) : soumettre les injects toutes les 15-20 minutes, forçant les participants à prendre des décisions sous pression et avec des informations incomplètes.
  4. Débriefing à chaud (30 min) : recueillir les impressions des participants, identifier les points de blocage immédiats.
  5. RETEX formel (1 semaine après) : rédiger un rapport structuré avec les constats (positifs et négatifs), les actions correctives et les responsables associés.

8.3 RETEX : transformer l'expérience en amélioration

Le Retour d'Expérience (RETEX) est la clé de l'amélioration continue. Qu'il soit issu d'un exercice ou d'un incident réel, le RETEX doit suivre une structure formelle :

  • Chronologie factuelle : reconstitution minute par minute des événements et décisions
  • Ce qui a fonctionné : identifier et valoriser les bonnes pratiques
  • Ce qui a échoué : identifier les défaillances sans chercher de coupables (culture "blame-free")
  • Actions correctives : chaque constat négatif doit générer une action avec un responsable et une échéance
  • Suivi : les actions correctives doivent être suivies dans un registre et vérifiées lors de l'exercice suivant

Un exercice de type Purple Team peut compléter utilement les exercices de crise en testant les capacités de détection et de réponse technique face à des scénarios d'attaque réalistes.

9. Intégration réglementaire : NIS 2, DORA, ISO 22301

9.1 Exigences NIS 2 en matière de continuité

La directive NIS 2 (article 21) impose aux entités essentielles et importantes des mesures de gestion des risques incluant explicitement :

  • La continuité des activités, y compris la gestion des sauvegardes et la reprise après sinistre
  • La gestion des crises, incluant les procédures d'escalade et de communication
  • La sécurité de la chaîne d'approvisionnement, avec évaluation des fournisseurs
  • Des tests réguliers d'efficacité des mesures de gestion des risques

Les sanctions pour non-conformité peuvent atteindre 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles. La directive prévoit également la responsabilité personnelle des dirigeants, qui doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité.

9.2 Exigences DORA pour le secteur financier

Le règlement DORA, applicable depuis janvier 2025, va plus loin que NIS 2 pour le secteur financier :

  • Tests de résilience opérationnelle numérique obligatoires, incluant des scénarios d'attaque cyber
  • Threat-Led Penetration Testing (TLPT) pour les entités significatives, basé sur le framework TIBER-EU
  • Gestion des risques liés aux tiers prestataires TIC, incluant des plans de sortie et de continuité
  • Notification des incidents majeurs aux autorités de surveillance financière
Mapping Réglementaire PRA/PCA Cyber PRA/PCA CYBER NIS 2 Art. 21 - Continuité Gestion de crise Sanctions: 10M EUR / 2% CA DORA Résilience opérationnelle TLPT / Tests réguliers Secteur financier ISO 27001 A.17 Continuité sécurité BIA, PCA, tests Certification volontaire ISO 22301 Continuité d'activité SMCA complet Norme dédiée PCA RGPD Art. 32 - Sécurité / Art. 33 - Notification 72h Sanctions: 20M EUR / 4% CA

9.3 ISO 22301 : le référentiel de la continuité d'activité

La norme ISO 22301 est le standard international dédié au management de la continuité d'activité. Elle fournit un cadre complet pour établir, implémenter, maintenir et améliorer un SMCA (Système de Management de la Continuité d'Activité). Bien que non spécifique au cyber, elle constitue le socle méthodologique idéal pour structurer un PRA/PCA Cyber, en complément de l'ISO 27001 pour les aspects sécurité de l'information.

10. Checklist PRA/PCA Cyber : les 30 points essentiels

Utilisez cette checklist pour évaluer la maturité de votre PRA/PCA Cyber. Chaque point non validé représente une vulnérabilité potentielle de votre capacité de résilience :

Gouvernance et Organisation

  • Le PRA/PCA Cyber est un document distinct du PRA classique
  • Un BIA a été réalisé avec implication des métiers dans les 12 derniers mois
  • Les RTO/RPO sont définis pour chaque processus critique et validés par la Direction
  • La cellule de crise est constituée, avec des remplaçants désignés
  • Un annuaire de crise papier (ou hors SI) est maintenu à jour
  • Des moyens de communication hors SI sont identifiés et testés

Sauvegardes

  • La stratégie 3-2-1-1-0 est appliquée pour les données critiques
  • Une copie de sauvegarde est physiquement offline ou immuable
  • Les sauvegardes AD (System State + bare metal) sont effectuées quotidiennement
  • Le mot de passe DSRM est documenté et accessible hors SI
  • Les tests de restauration sont effectués mensuellement
  • Les durées de rétention sont cohérentes avec les RPO définis

Procédures de reprise

  • Une procédure de reconstruction AD from scratch est documentée et testée
  • L'ordre de redémarrage des systèmes est défini et documenté
  • Les procédures de vérification d'intégrité post-restauration existent
  • Un environnement de reconstruction isolé est disponible (ou rapidement déployable)
  • Les configurations de référence (golden images, IaC) sont stockées hors du périmètre compromis

Communication et juridique

  • Des modèles de communication de crise sont prêts (interne, clients, médias)
  • Le processus de notification CNIL sous 72h est formalisé
  • Un contrat de réponse à incident est en place avec un prestataire qualifié
  • La couverture cyber-assurance est adéquate et les conditions de déclenchement sont connues
  • Les obligations contractuelles envers les clients sont identifiées

Exercices et amélioration continue

  • Un exercice tabletop est réalisé annuellement
  • Un test technique de restauration complète est réalisé annuellement
  • Les RETEX sont formalisés avec des actions correctives suivies
  • Le PRA/PCA est mis à jour après chaque exercice et changement majeur du SI
  • Les scénarios d'exercice sont variés (ransomware, compromission AD, supply chain, exfiltration)
  • La conformité NIS 2 / DORA est vérifiée dans le PRA/PCA

Besoin d'accompagnement pour votre PRA/PCA Cyber ?

Nos experts vous accompagnent dans la construction, le test et le maintien de votre plan de reprise et continuité d'activité face aux cybermenaces.

Besoin d'une expertise en cybersécurité ?

Protégez votre organisation avec un PRA/PCA Cyber robuste et éprouvé

Nos Services