Pourquoi un PRA non testé ne sert à rien
Un PRA décrit : en cas d'incident grave, comment redémarrer l'activité IT. Quels systèmes prioritaires, quelle durée acceptable d'interruption (RTO), depuis quelles sauvegardes (RPO), avec quelles équipes.
Le problème : les conditions changent en permanence. Un nouveau serveur, une migration cloud, un changement de prestataire, une mise à jour majeure : chacun de ces événements peut casser silencieusement le PRA. Sans test régulier, le plan dérive et personne ne le sait.
Le test annuel n'est pas optionnel. C'est ce qui transforme un document mort en assurance opérationnelle.
Trois niveaux de test PRA
Niveau 1 — Test de table (table-top exercise) : 90 minutes
L'équipe se réunit autour d'une table. On annonce un scénario : « Vendredi 17h, ransomware actif sur les contrôleurs AD ». Chacun déroule son rôle : qui fait quoi, dans quel ordre, avec quels contacts.
Pas de manipulation technique. Juste un parcours à voix haute. Les écarts apparaissent immédiatement : « Tiens, qui sait où est la clé du local serveur le week-end ? », « Le numéro du prestataire de sauvegarde, on l'a ? ».
C'est le test minimum à faire tous les ans, idéalement deux fois.
Niveau 2 — Test partiel : une demi-journée
On choisit un système et on le restaure réellement, dans un environnement de test. Par exemple :
- Restauration d'une VM serveur de fichiers depuis une sauvegarde de la veille, sur un hyperviseur de test.
- Bascule manuelle d'une boîte mail Microsoft 365 vers un compte de secours.
- Restauration d'une base de données métier (Sage, Cegid, EBP) sur un environnement isolé.
Mesurer le temps réellement écoulé. Comparer au RTO annoncé dans le PRA. Documenter les écarts.
Niveau 3 — Test complet : 1 à 2 jours
Reconstruction d'un environnement complet en parallèle de la production, idéalement chez un hébergeur de secours ou en cloud. Démarrage des services métier critiques. Test que les utilisateurs peuvent réellement travailler.
C'est lourd, c'est cher, c'est rare en PME. À faire tous les 2-3 ans pour les structures critiques (cabinets juridiques, expertise comptable en période fiscale).
Le scénario de test minimum pour une PME
Une fois par an, bloquez 4 heures sur un samedi matin. Annoncez à l'équipe qu'il y aura un exercice. Préparez un scénario simple :
« Lundi 8h, tous les postes Windows ne démarrent plus. Message d'écran rouge avec demande de rançon. Internet ne fonctionne pas, le téléphone fixe non plus. Que fait-on dans les 3 premières heures ? »
L'exercice consiste à :
- Identifier qui appelle qui (numéros mobiles, prestataire IT, assureur cyber, CSIRT).
- Vérifier que tous les contacts sont à jour. Tester effectivement deux ou trois numéros.
- Localiser physiquement les sauvegardes hors ligne. Combien de temps faut-il pour y accéder ?
- Vérifier l'accès à la documentation IT en mode dégradé (sans réseau).
- Lister les décisions à prendre dans les 24 premières heures.
Voir aussi notre article Piratage en PME : le rôle de la CNIL pour la partie notification réglementaire.
Les pièges qu'on retrouve à chaque test
- Documentation IT inaccessible : stockée sur SharePoint Online, qui est lui-même indisponible pendant l'incident.
- Une seule personne sait : et elle est en vacances ou injoignable. Le bus factor est de 1.
- Téléphones de secours qui ne fonctionnent plus parce que l'abonnement est attaché à un compte M365 compromis.
- Sauvegardes hors ligne dans un coffre dont seul l'ancien dirigeant a la clé.
- Procédure de notification CNIL non écrite. On découvre le formulaire en heure 70 sur 72.
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte évalue l'existence et la maturité de votre PRA. Notre offre Infrastructure & Systèmes couvre la rédaction du PRA initial et l'animation des tests annuels avec votre équipe.