Méthode

PCA et PRA : la différence, et pourquoi NIS2 vous impose les deux

Publié le 1 juin 2026 · L’équipe Expert NIS2 (BKube)

C’est l’une des confusions les plus fréquentes que nous rencontrons : « on a un PRA, donc on est couverts » — ou l’inverse. Les deux plans sont cousins, mais ils répondent à deux questions différentes, et NIS2 (article 21.c : continuité des activités, gestion des sauvegardes, reprise, gestion de crise) attend qu’on réponde aux deux.

Le PCA répond à : « comment continue-t-on PENDANT ? »

Le plan de continuité d’activité organise la survie de l’entreprise pendant la crise, quand l’informatique — ou les locaux, ou un fournisseur critique — est indisponible. Ses questions : comment prend-on les commandes sans l’ERP ? Comment paie-t-on les salaires si le SIRH est chiffré ? Qui décide, qui communique, avec quels moyens ? Le PCA est un plan métier : son unité de compte est le processus (facturer, produire, livrer), pas le serveur.

Un bon PCA de PME tient en un document actionnable : les processus vitaux, leur mode dégradé réaliste (travail hors ligne, procédures manuelles temporaires, site de repli ou télétravail), l’organisation de crise avec suppléants, et un annuaire accessible même quand tout est à terre — détail trivial qui a fait échouer des plans entiers.

Le PRA répond à : « comment redémarre-t-on APRÈS ? »

Le plan de reprise d’activité organise la reconstruction de l’informatique après le sinistre. C’est un plan technique, gouverné par deux chiffres fixés service par service : le RTO (combien de temps ce service peut rester arrêté) et le RPO (combien de données on accepte de perdre). Ces deux chiffres dictent tout le reste — l’architecture de secours, la fréquence des sauvegardes, et le budget.

Le cœur du PRA, c’est l’ordre de reprise : on ne redémarre pas une application avant sa base de données, ni la base avant son serveur, ni le serveur avant le réseau. Cet ordre se déduit de la cartographie des dépendances — raison pour laquelle un PRA écrit sans cartographie sérieuse est une fiction technique.

Pourquoi il faut les deux

Le PCA sans PRA promet une continuité qui ne pourra jamais s’arrêter : l’entreprise fonctionne en mode dégradé… indéfiniment, faute de savoir reconstruire. Le PRA sans PCA laisse l’entreprise paralysée pendant la reconstruction : l’informatique reviendra dans 5 jours, mais que fait-on d’ici là ? Les deux plans partagent d’ailleurs leur fondation — le bilan d’impact (BIA) et la cartographie — ce qui explique pourquoi nous les vendons volontiers en pack : le gros du travail est mutualisé.

Le critère qui les départage tous : le test

NIS2 attend des plans maintenus et éprouvés. Notre conviction, forgée par des années de restaurations réelles : un plan non testé n’existe pas. Le PCA se teste par un exercice sur table (une demi-journée, scénario réaliste, tout le monde joue son rôle) ; le PRA se teste en restaurant vraiment — pas en vérifiant que « la sauvegarde a tourné ». Les deux tests produisent un rapport : c’est lui, la preuve qu’un contrôleur ou un assureur demandera.

Un doute sur l’état de vos plans ? C’est l’un des points que notre audit NIS2 évalue systématiquement — et l’une des découvertes les plus fréquentes.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.