Une cyberattaque ne se résume pas à un problème technique : c'est une interruption d'activité avec impacts humains, financiers, commerciaux, juridiques. La résilience repose sur trois piliers : le plan de continuité d'activité (PCA), le plan de reprise d'activité (PRA) et l'assurance. Chacun joue un rôle distinct.
Plan de continuité d'activité (PCA)
Le PCA répond à la question : comment continuer à servir mes clients pendant la crise ?Il définit les processus métiers critiques, les modes dégradés possibles (papier, manuel, partiellement informatisé), les ressources alternatives, les rôles et responsabilités, les seuils de déclenchement. Un bon PCA tient en 15 à 30 pages, est testé chaque année et révisé après chaque évolution majeure de l'organisation.
Plan de reprise d'activité (PRA)
Le PRA est le pendant technique du PCA. Il définit comment reconstruire le SIaprès sinistre : ordre de remontée des serveurs, architecture de secours, RTO (Recovery Time Objective : durée maximale acceptable d'interruption) et RPO (Recovery Point Objective : perte de données maximale acceptable). Pour une PME, RTO classique : 24 à 72h. RPO : 4 à 24h. Pour un e-commerce, RTO : 2 à 8h. RPO : 1h.
L'assurance cyber comme troisième pilier
PCA et PRA gèrent l'opérationnel. L'assurance gère le financier et l'orchestration experte. Elle apporte trois choses que ni le PCA ni le PRA ne peuvent fournir : les moyens financiers pour absorber le coût total du sinistre, l'expertise externe (forensic, juridique, communication) que la PME n'a pas en interne, l'orchestration de la cellule de crise dans les premières 72 heures.
L'articulation des trois
Lors d'un sinistre, la séquence-type. Heure 1 : déclenchement PCA, basculement en mode dégradé, alerte hotline assureur. Heures 1 à 6 : forensic mobilisé par l'assureur, isolation périmètre, début PRA pour les systèmes non touchés. Heures 6 à 72 : restauration progressive (PRA), notification CNIL si nécessaire, communication clients pilotée par l'assureur. Jours 4 à 21 : retour au nominal, post-mortem, indemnisation. Sans l'un des trois piliers, la séquence se grippe.
Bâtir un PCA pour PME en 7 étapes
1. Cartographier les processus métiers et identifier les critiques. 2. Définir les RTO/RPO par processus. 3. Identifier les modes dégradésacceptables. 4. Documenter les rôles de la cellule de crise. 5. Lister les ressources de secours : sites alternatifs, prestataires de remplacement, contacts clés. 6. Tester au moins une fois par an, idéalement à blanc et sans préavis. 7. Maintenir le document vivant, pas un PDF qui prend la poussière.
Ce que l'assureur regarde
Lors de la souscription, l'assureur vérifie l'existence d'un PCA et d'un PRA testés. Une PME avec PCA/PRA à jour bénéficie d'une réduction de prime de 10 à 20 %et de plafonds de garantie supérieurs. À l'inverse, une PME sans aucun plan peut se voir refuser ou contraindre à des prérequis avant souscription. Sur les segments à risque (santé, finance, e-commerce, > 50 salariés), le PCA/PRA devient quasi obligatoire.
Quand actualiser le triptyque
Quatre événements doivent déclencher une revue : changement majeur du SI(migration cloud, nouvel ERP, refonte e-commerce), évolution réglementaire(NIS2, mise à jour RGPD), incident vécu chez vous ou chez un pair, changement de gouvernance (nouveau dirigeant, nouvelle organisation). À défaut, revue annuelle minimum. La résilience n'est pas un état, c'est une discipline continue.