Formation PCA / PRA
Continuité d'Activité
Maîtrisez la continuité d'activité : différencier PCA/PRA, cadre DORA-NIS2-ISO 22301, BIA (RTO/RPO), stratégies, sauvegardes 3-2-1, communication de crise, REX Saint-Gobain, OVHcloud, COVID-19. 4 modules · 5h30 de contenu dense.
Travail-Industrie n'est pas un organisme habilité à délivrer des certifications ISO ou professionnelles. Ce module fournit les connaissances théoriques fondamentales mais ne remplace pas une formation présentielle certifiante (ISO 22301 Lead Implementer 5 jours, CBCP, MBCI) délivrée par des organismes spécialisés (AFNOR Compétences, CLUSIF, PECB, DRI International). L'examen final est auto-évaluatif et ne donne lieu à aucune attestation reconnue.
organisations certifiées ISO 22301 en France au 1er janvier 2025 (AFNOR Certification)
des PME ne se relèvent pas d'un sinistre majeur sans plan de continuité (étude Gartner 2023)
coût moyen d'une violation de données / cyberattaque en France en 2024 (IBM Cost of a Data Breach Report)
Programme complet de la formation
4 modules pour maîtriser la doctrine PCA/PRA et la mettre en œuvre.
Cadre & obligations PCA / PRA
Définitions et différences PCA / PRA / DRP, normes ISO 22301 et ISO 27031, cadre réglementaire (LPM 2013, NIS2 2024, DORA UE 2022/2554) et public concerné (OIV, OSE, banque/assurance, grands groupes).
- Différencier PCA, PRA, DRP, BCP : définitions et périmètres (ISO 22301)
- Cadre réglementaire : LPM 2013, NIS2 (UE 2022/2555), DORA (UE 2022/2554 — 17/01/2025)
- Public concerné : OIV, OSE, banque/assurance, grands groupes — qui est obligé, qui devrait
- Quiz du Module 1
Analyse des risques & BIA
Business Impact Analysis (BIA), indicateurs RTO/RPO/MAO/MTPD, cartographie des risques (cyber, naturel, humain, sanitaire) et stratégies de continuité (redondance, sites de secours, cloud, télétravail).
- Business Impact Analysis (BIA) : RTO, RPO, MAO, MTPD, criticité des processus
- Cartographie des risques : cyber, naturel, humain, technique, sanitaire (COVID-19)
- Stratégies de continuité : redondance, sites froid/tiède/chaud, cloud, télétravail
- Quiz du Module 2
Rédiger & déployer le plan
Structure d'un PCA, politique, équipes de gestion de crise, fiches réflexes, plan de communication, PRA technique (sauvegardes 3-2-1, restauration) et cellule de crise.
- Structure d'un PCA : politique, équipes, fiches réflexes, organigramme de crise
- Le PRA informatique : sauvegardes 3-2-1, restauration, RTO technique, immutabilité
- Communication de crise : cellules, porte-parole, médias, salariés, réseaux sociaux
- Quiz du Module 3
Tests, maintien & retours d'expérience
Types d'exercices (table top, fonctionnel, grandeur réelle), maintien en conditions opérationnelles, indicateurs et retours d'expérience (NotPetya/Saint-Gobain 2017, COVID-19, OVHcloud SBG2 2021).
- Types d'exercices : table top, fonctionnel, grandeur réelle & fréquences
- Maintien en conditions opérationnelles (MCO) : audits, mises à jour, KPI
- REX : NotPetya/Saint-Gobain 2017, COVID-19, OVHcloud SBG2 2021, Colonial Pipeline 2021
- Quiz du Module 4
Examen final : 25 questions
Validez vos acquis avec un examen blanc auto-évaluatif. Barème +2 / -1 / 0 abstention, 5 kill questions sur les fondamentaux PCA/PRA, seuil 33/50.
La continuité d'activité : une discipline qui ne tolère plus l'amateurisme
D'où vient la doctrine PCA/PRA ?
La discipline de la continuité d'activité est née de l'informatique des années 1970, quand les banques américaines ont commencé à dépendre vitalement de leurs systèmes d'information. Le « Disaster Recovery » (équivalent du PRA) est alors la seule préoccupation. Les attentats du 11 septembre 2001 ont marqué un tournant : la destruction du World Trade Center a tué plus de 700 collaborateurs de Cantor Fitzgerald (entreprise de courtage qui occupait les étages 101 à 105 de la Tour Nord). L'entreprise a survécu grâce à un PCA exemplaire impliquant ses bureaux européens et de secours — mais le drame humain a révélé que la continuité ne pouvait pas se limiter à la technique.
2024-2025 : le tournant réglementaire DORA et NIS2
Le paysage européen vient de basculer. La directive NIS2 (UE 2022/2555), applicable depuis le 18 octobre 2024, étend les obligations de cybersécurité (incluant continuité d'activité) à plus de 15 000 entités en France (entités essentielles et importantes, 18 secteurs critiques). Le règlement DORA (UE 2022/2554), applicable depuis le 17 janvier 2025, impose aux acteurs financiers européens (banques, assurances, fintechs, infrastructures de marché, prestataires TIC critiques) un cadre de résilience opérationnelle numérique uniforme. À cela s'ajoutent l'ISO 22301:2019 (norme de management de la continuité, certifiable), la LPM 2013 pour les OIV, et le règlement RGPD 2016/679 qui exige la disponibilité des données personnelles. Aucune grande entreprise française ne peut désormais ignorer ces obligations.
Pourquoi les DAF en font une priorité 2025
La direction administrative et financière est devenue le pilote naturel du PCA pour plusieurs raisons. Côté risque, elle pilote l'assurance — or les assureurs cyber exigent désormais un PCA documenté pour accorder ou maintenir la couverture (étude AMRAE 2024 : prime cyber +75 % en 2 ans). Côté conformité, DORA, NIS2 et l'ISO 22301 deviennent des sujets d'audit légal des comptes annuels. Côté stratégie, après l'incident OVHcloud SBG2 en mars 2021 (destruction du datacenter de Strasbourg, 3,6 millions de sites web impactés), les CFO ont compris que la continuité n'est plus un sujet IT — c'est un sujet de soutenabilité financière de l'entreprise. Un sinistre majeur sans PCA peut détruire la valeur d'une entreprise en quelques semaines.
Les indicateurs clés : RTO, RPO, MAO, MTPD
Tout le dimensionnement du PCA repose sur quatre indicateurs issus du Business Impact Analysis (BIA). Le RTO (Recovery Time Objective) est le temps maximal accepté avant la reprise d'un processus métier critique. Le RPO (Recovery Point Objective) est la quantité maximale de données acceptée en perte (en heures ou jours). Le MAO (Maximum Acceptable Outage) ou MTPD (Maximum Tolerable Period of Disruption) est le seuil au-delà duquel la survie de l'organisation est compromise. Ces indicateurs déterminent la stratégie technique du PRA : un RTO de 4 h impose de la haute disponibilité (réplication synchrone, sites actifs/actifs), un RTO de 48 h tolère un site froid avec restauration par bande. Les choix techniques découlent directement de ces objectifs métier.
La sauvegarde 3-2-1 face à la menace ransomware
L'explosion des attaques ransomware (LockBit, Conti, ALPHV, Akira) a obligé la doctrine PRA à évoluer. La règle traditionnelle 3-2-1 (3 copies, 2 supports, 1 hors site) est devenue 3-2-1-1-0 : 3 copies, 2 supports, 1 hors site, 1 immuable (anti-tampering, écriture unique), 0 erreur lors des tests de restauration. L'immutabilité (S3 Object Lock, bandes WORM, Veeam Hardened Repository) est devenue la dernière ligne de défense contre les ransomwares qui chiffrent à la fois les données de production ET les sauvegardes connectées. L'agence nationale de cybersécurité ANSSI publie depuis 2022 des guides spécifiques sur cette doctrine.
Pour qui cette formation ?
Directeurs administratifs et financiers (DAF), Risk Managers (membres AMRAE), responsables sécurité (RSSI, DPO), responsables IT (DSI, directeurs production), responsables conformité, contrôleurs internes et auditeurs, responsables QHSE / managers de la continuité, dirigeants de PME-ETI souhaitant initier une démarche PCA. La formation suppose une culture managériale ou technique mais reste accessible à toute personne motivée par la résilience organisationnelle.