PCA et PRA au Maroc : Guide Complet pour PME 2026
PCA et PRA au Maroc 2026 : obligations légales, méthodologie ISO 22301, coûts réels en DH et guide de mise en place pour les PME marocaines.
Quand votre serveur tombe un lundi matin, combien de temps votre entreprise peut-elle survivre sans accès à ses données ? Une heure ? Une journée ? Une semaine ? Pour la plupart des PME marocaines, la réponse honnête est : pas longtemps. Et pourtant, moins de 20 % d'entre elles disposent d'un plan documenté pour faire face à ce scénario.
Ce guide explique ce qu'est un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA), pourquoi les deux sont devenus nécessaires pour les entreprises marocaines en 2026, comment les mettre en place pas à pas, et ce que cela coûte réellement.
PCA et PRA : définitions et différences
Les deux termes sont souvent utilisés de façon interchangeable. C'est une erreur qui coûte cher quand un incident survient.
Le Plan de Continuité d'Activité (PCA) est un document stratégique et organisationnel. Son objectif : permettre à l'entreprise de maintenir ses fonctions critiques pendant une crise, même en mode dégradé. Il répond à la question "comment continuons-nous à travailler si X se produit ?" Le PCA couvre les processus, les rôles, les procédures de communication, les sites alternatifs, les fournisseurs de secours.
Le Plan de Reprise d'Activité (PRA) est plus technique et plus ciblé. Il définit comment le système informatique redémarre après une interruption. Il répond à la question "comment récupérons-nous nos systèmes et données après X ?" Le PRA couvre les sauvegardes, les infrastructures de repli, les procédures de restauration, les délais cibles.
En pratique, les deux plans sont complémentaires : le PCA organise la survie de l'activité, le PRA reconstruit l'outil informatique qui la supporte.
| Critère | PCA | PRA |
|---|---|---|
| Périmètre | Toute l'entreprise (processus, RH, communication) | Systèmes informatiques et données |
| Question centrale | Comment continuer à fonctionner pendant la crise ? | Comment récupérer l'IT après la crise ? |
| Acteurs principaux | Direction, tous les départements | DSI, équipe IT, prestataires |
| Déclenchement | Dès l'apparition d'un événement perturbateur | Après décision de basculer sur le plan de reprise |
| Norme de référence | ISO 22301 | ISO 22301 (volet technique) |
| Durée de préparation | 3 à 9 mois | 2 à 6 mois |
| Coût typique PME (10-50) | 30 000 - 60 000 DH | 25 000 - 50 000 DH |
Un PCA sans PRA est incomplet : vous savez comment réorganiser vos équipes mais vous n'avez pas de système pour travailler. Un PRA sans PCA est insuffisant : vos serveurs redémarrent, mais personne ne sait qui fait quoi pendant la crise.
Pourquoi c'est critique pour les PME marocaines
Le contexte marocain justifie une attention particulière à la résilience des systèmes d'information. Trois types de menaces se cumulent.
Les risques physiques restent réels
Le Maroc n'est pas épargné par les événements naturels. En septembre 2024, les inondations dans le sud-est marocain (régions de Guelmim, Drâa-Tafilalet) ont paralysé des dizaines d'entreprises locales pendant plusieurs jours. En octobre 2024, les pluies qui ont touché Marrakech ont causé des coupures de courant affectant des zones commerciales entières. Les coupures d'électricité, même en dehors des catastrophes naturelles, restent un phénomène fréquent dans plusieurs zones industrielles.
Une entreprise sans générateur de secours et sans plan de bascule vers un système d'information répliqué s'arrête simplement. Les données des clients, les commandes en cours, la facturation : tout s'immobilise.
La menace cyber s'est intensifiée
Selon les données de la DGSSI, plus de 21 millions de tentatives de cyberattaques ont été détectées au Maroc au premier semestre 2025 seulement. En 2024, plus de 62 % des entreprises marocaines ont signalé avoir subi au moins une tentative d'intrusion. La cyber-extorsion (ransomware) représente 58 % des incidents enregistrés.
Pour une PME victime d'un ransomware, le scénario sans PRA est brutal : l'intégralité des fichiers est chiffrée, les sauvegardes locales sont souvent également atteintes, et la seule option devient de payer la rançon ou de tout reconstruire de zéro. Le coût moyen d'une cyberattaque pour une PME marocaine est estimé à 2,3 millions de DH, selon les chiffres compilés par les acteurs du secteur en 2024-2026 - un montant qui inclut les pertes d'exploitation, les frais de restauration et l'impact commercial.
La pression réglementaire s'accentue
Les établissements financiers, assureurs et opérateurs télécoms sont déjà soumis à des obligations formelles de continuité d'activité. Pour les autres secteurs, la pression vient des donneurs d'ordre et des partenaires plutôt que de la loi directement. Notre service de conformité réglementaire aide les entreprises à identifier et respecter ces obligations sectorielles.
21M+
Cyberattaques détectées au Maroc (S1 2025)
2,3 MDH
Coût moyen d'une attaque pour une PME marocaine
58%
Des incidents sont des ransomwares (chiffrement de données)
<20%
Des PME marocaines ont un PCA documenté
Les obligations réglementaires au Maroc
Le secteur financier : une obligation formelle
Bank Al-Maghrib impose aux établissements de crédit et assimilés la mise en place d'un PCA opérationnel. La réglementation prudentielle de la banque centrale prévoit que les établissements doivent se doter de l'organisation, des procédures et des moyens nécessaires pour faire face aux perturbations opérationnelles majeures - inondations, tremblements de terre, pannes prolongées, pannes des systèmes d'information critiques. Les établissements sont tenus de rendre compte de leur PCA dans leur rapport annuel de contrôle interne.
Pour les compagnies d'assurance et de réassurance, l'ACAPS (Autorité de Contrôle des Assurances et de la Prévoyance Sociale) formule des attentes similaires en matière de gestion des risques opérationnels.
La DGSSI : un guide de référence
En mars 2023, la DGSSI a publié un guide officiel intitulé "Guide relatif à l'élaboration d'un plan de continuité et de reprise d'activités". Ce document, disponible sur le site dgssi.gov.ma, fournit une méthodologie structurée pour toute organisation - publique ou privée - souhaitant formaliser sa démarche. Si ce guide n'a pas force obligatoire pour les entreprises privées hors secteur financier, il constitue la référence technique que retiennent les auditeurs et les organismes certificateurs.
La DNSSI (Directive Nationale de Sécurité des Systèmes d'Information), dans sa version de janvier 2023, prévoit que les opérateurs d'infrastructures vitales (OIV) désignés par l'État doivent disposer de plans de continuité et de reprise. Pour une vue d'ensemble du cadre réglementaire imposé par la DGSSI aux organisations marocaines, notre guide sur la conformité DGSSI au Maroc couvre l'ensemble des obligations de la loi 05-20.
ISO 22301 : le référentiel international
La norme ISO 22301 est le standard international pour les systèmes de management de la continuité d'activité (SMCA). Elle s'inscrit dans la même famille de normes que l'ISO 27001, avec laquelle elle partage des exigences de gouvernance. Elle n'est pas obligatoire pour les PME marocaines, sauf si un contrat ou un appel d'offres l'exige explicitement. Cependant, structurer son PCA/PRA selon ISO 22301 présente deux avantages concrets : la méthodologie est éprouvée, et la certification démontre la maturité de l'organisation à tout partenaire ou client qui la demande. Notre service de certification ISO accompagne les entreprises marocaines dans cette démarche, de l'analyse d'écart initiale jusqu'à l'audit de certification.
Les 6 étapes pour mettre en place un PCA
Étape 1 : L'analyse d'impact métier (BIA)
La BIA (Business Impact Analysis) est le fondement de tout le reste. Elle répond à une question simple : si tel processus s'arrête, quel est l'impact sur l'entreprise, et à partir de quand cet impact devient-il inacceptable ?
Pour chaque processus métier identifié (facturation, production, livraison, service client, paie, etc.), on mesure :
- Le MTPD (Maximum Tolerable Period of Disruption) : combien de temps ce processus peut-il s'arrêter avant de causer un préjudice irréversible ?
- Les ressources nécessaires à son fonctionnement (applications, données, équipements, personnel, fournisseurs)
- Les impacts financiers, réglementaires et commerciaux d'une interruption
Une PME de 30 personnes dans la distribution aura souvent deux processus vraiment critiques : la gestion des commandes et la facturation. Tout le reste peut s'arrêter quelques jours sans dommage majeur. La BIA permet de concentrer les efforts (et le budget) là où ils comptent vraiment.
Étape 2 : L'évaluation des risques
Une fois les processus critiques identifiés, on cartographie les menaces qui pourraient les interrompre. Panne de courant, ransomware, incendie, départ du responsable informatique, défaillance d'un fournisseur critique, inondation - les scénarios varient selon le secteur et la localisation de l'entreprise.
Pour chaque scénario, on évalue la probabilité d'occurrence et la gravité des impacts identifiés lors de la BIA. Cette matrice des risques permet de prioriser les mesures préventives et les stratégies de reprise.
Étape 3 : La stratégie de continuité
La stratégie répond à "que faisons-nous quand ça arrive ?" pour chaque scénario prioritaire. Les options typiques incluent :
- Redondance : dupliquer les systèmes critiques (double connexion internet, serveurs de secours)
- Repli : identifier un site alternatif de travail (téléwork, site secondaire, espace de coworking)
- Externalisation : confier les fonctions critiques à un prestataire qui peut absorber la charge
- Procédures dégradées : définir comment travailler manuellement si les outils informatiques sont indisponibles
Étape 4 : La rédaction du plan
Le PCA est un document opérationnel, pas un rapport de direction. Il doit être rédigé pour les personnes qui vont l'utiliser sous stress, lors d'une crise. Les bonnes pratiques :
- Des fiches réflexes par scénario, pas des paragraphes de texte
- Des listes de contacts à jour (équipe de crise, fournisseurs, prestataires, autorités)
- Des procédures pas à pas, numérotées, sans ambiguïté
- Des arbres de décision pour les choix critiques
- Un tableau de bord de crise pour suivre l'avancement de la reprise
Étape 5 : Les tests et exercices
Un plan non testé est un plan qui échoue lors du premier vrai incident. Il existe trois niveaux de tests, du moins perturbant au plus réaliste :
- Test sur table (tabletop exercise) : réunion où l'équipe de crise joue un scénario fictif, identifie les lacunes, sans rien toucher aux systèmes
- Test technique partiel : on déclenche réellement la procédure de basculement sur un composant (test de restauration des sauvegardes, bascule du site de secours)
- Test grandeur nature (simulation complète) : l'entreprise se comporte comme si l'incident avait réellement eu lieu
Pour les PME, un test sur table annuel est un minimum. Un test technique de restauration des sauvegardes devrait être trimestriel.
Étape 6 : La maintenance et la mise à jour
Le PCA devient obsolète dès que l'entreprise change. Nouveau logiciel, nouveau prestataire, déménagement, croissance de l'équipe : chaque changement significatif doit déclencher une mise à jour du plan. Une revue formelle annuelle est recommandée, avec validation par la direction.
Besoin d'un accompagnement ?
Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.
Les 5 composantes d'un PRA informatique
Le PRA se construit autour de cinq éléments techniques que chaque PME doit avoir documentés et testés.
1. La sauvegarde des données
C'est la base, et c'est souvent mal fait. Une bonne stratégie de sauvegarde suit la règle 3-2-1 :
- 3 copies des données (production + 2 sauvegardes)
- 2 supports différents (disque local ET cloud, par exemple)
- 1 copie hors site (inaccessible depuis le réseau principal de l'entreprise)
Cette dernière condition est particulièrement importante pour la protection contre le ransomware : si vos sauvegardes sont sur un lecteur réseau connecté à votre serveur, un ransomware les chiffre aussi. Une copie déconnectée physiquement ou hébergée sur un service cloud avec authentification multifacteur est hors de portée.
2. L'infrastructure de repli
L'infrastructure de repli est l'environnement vers lequel on bascule quand le système principal est hors service. Selon le niveau de protection souhaité, cela peut être :
- Un serveur de secours dans les locaux (local failover)
- Un serveur hébergé chez un prestataire tiers (datacenter secondaire)
- Une infrastructure cloud configurée pour absorber la production en quelques minutes
L'option cloud hybride est devenue la plus accessible pour les PME marocaines : les coûts d'entrée sont maîtrisés et les fournisseurs comme Azure, AWS ou les datacenters marocains certifiés (TIER III) offrent des SLA compatibles avec des objectifs de reprise stricts. Un prestataire d'infrastructure IT peut concevoir cette architecture en tenant compte des contraintes budgétaires et réglementaires spécifiques au Maroc.
3. Les procédures de restauration
Les procédures définissent, étape par étape, comment restaurer chaque système critique. Elles doivent être écrites avec suffisamment de détail pour qu'un technicien qui n'a jamais travaillé sur le système puisse les exécuter - parce que lors d'un incident majeur, le responsable habituel est peut-être lui-même indisponible.
Chaque procédure doit préciser les prérequis, les étapes dans l'ordre, les tests à réaliser pour valider la reprise, et les contacts à prévenir à chaque jalon.
4. Le RTO et le RPO
Ce sont les deux indicateurs clés de tout PRA. Ils méritent une explication claire.
Le RTO (Recovery Time Objective) est le temps maximum pendant lequel le système peut rester indisponible avant que l'impact devienne inacceptable. C'est votre tolérance à l'interruption. Un RTO de 4 heures signifie que vos systèmes doivent être opérationnels en moins de 4 heures après le déclenchement du PRA.
Le RPO (Recovery Point Objective) est la quantité maximale de données que vous acceptez de perdre. Il est exprimé en durée : un RPO de 24 heures signifie que vous acceptez de perdre les données des dernières 24 heures en cas de sinistre. Cela définit directement la fréquence de vos sauvegardes : si votre RPO est de 4 heures, vous devez sauvegarder toutes les 4 heures au maximum.
| Profil | RTO typique | RPO typique | Infrastructure nécessaire |
|---|---|---|---|
| TPE commerce/service | 24-48h | 24h | Sauvegarde cloud quotidienne |
| PME industrie/distribution | 4-8h | 4-8h | Sauvegarde automatique + serveur de repli |
| ETI ou secteur financier | 1-2h | 1h | Réplication temps réel + datacenter secondaire |
| Opérateur critique | < 15 min | ~0 (RPO nul) | Cluster haute disponibilité |
Ces objectifs doivent être définis avant de choisir les solutions techniques, pas après. C'est une erreur fréquente : on achète d'abord les outils, puis on réalise qu'ils ne permettent pas d'atteindre les RTO/RPO réellement nécessaires.
5. Les tests de restauration
La règle d'or : si vous ne testez pas vos sauvegardes, vous n'avez pas de sauvegardes. Un fichier de sauvegarde corrompu ou mal configuré ne sert à rien lors d'un incident. Les tests doivent inclure une restauration complète dans un environnement isolé, avec validation que les données sont bien intègres et que les applications fonctionnent correctement.
Un test trimestriel de restauration sur un environnement de test est une pratique minimale raisonnable pour une PME. Pour les services managés qui incluent la supervision des sauvegardes, ces tests sont souvent automatisés et documentés dans des rapports mensuels.
Combien coûte la mise en place d'un PCA/PRA ?
Les prix ci-dessous reflètent le marché marocain en 2026. Ils varient selon la complexité du système d'information, le nombre de sites, et le niveau de certification visé.
Coûts d'initialisation (mission de conseil + mise en place technique)
| Profil | PCA (conseil + rédaction) | PRA (technique) | Total estimé |
|---|---|---|---|
| TPE (moins de 10 employés) | 15 000 - 30 000 DH | 10 000 - 25 000 DH | 25 000 - 55 000 DH |
| PME (10 à 50 employés) | 30 000 - 60 000 DH | 25 000 - 50 000 DH | 55 000 - 110 000 DH |
| ETI (50 à 200 employés) | 60 000 - 120 000 DH | 50 000 - 100 000 DH | 110 000 - 220 000 DH |
Ces fourchettes supposent un système d'information de complexité standard (pas de développements hautement personnalisés, pas de réplication entre 3 sites ou plus). Les projets avec des ERP fortement paramétrés ou des contraintes réglementaires sectorielles spécifiques (banque, assurance) sont généralement dans la fourchette haute.
Coûts récurrents annuels
Au-delà de la mise en place initiale, un PCA/PRA génère des coûts annuels qui doivent être budgétés.
| Poste | Coût annuel estimé |
|---|---|
| Hébergement infrastructure de repli (cloud ou datacenter) | 12 000 - 60 000 DH/an |
| Test annuel grandeur nature (simulation ou test technique) | 8 000 - 25 000 DH |
| Mise à jour documentaire (révision annuelle du plan) | 5 000 - 15 000 DH |
| Formation et sensibilisation de l'équipe de crise | 5 000 - 12 000 DH |
| Total récurrent estimé (PME) | 30 000 - 112 000 DH/an |
Pour une PME de 30 personnes, l'investissement total sur 3 ans (mise en place + deux années de maintenance) se situe entre 115 000 et 330 000 DH. Comparé au coût moyen d'une cyberattaque estimé à 2,3 millions de DH, le calcul est assez direct.
L'hébergement de l'infrastructure de repli et la supervision du PRA sont en pratique souvent confiés à un prestataire d'infogérance. Notre calculateur de coût d'infogérance permet d'estimer en 30 secondes le budget mensuel correspondant à votre périmètre.
Certification ISO 22301 : coût supplémentaire
Si l'entreprise vise la certification ISO 22301, un budget additionnel de 60 000 à 150 000 DH est à prévoir pour la préparation (analyse d'écart, documentation formelle, audit interne) et les frais d'audit de certification par un organisme accrédité. Cet investissement est surtout pertinent pour les ETI, les sous-traitants de grands groupes, et les entreprises exportant vers des marchés qui exigent cette certification.
Sans PCA/PRA
- Ransomware : tout est chiffré, sauvegardes incluses
- Panne serveur le lundi : 48h d'arrêt minimum
- Personne ne sait quoi faire ni qui appeler
- Données perdues depuis la dernière sauvegarde manuelle (3 semaines)
- Coût total estimé : 300 000 à 1 200 000 DH
Avec PCA/PRA
- Ransomware : bascule sur sauvegardes hors ligne en 4h
- Panne serveur : repli sur infrastructure de secours en 2h
- Plan déclenché en 15 min : rôles définis, contacts connus
- Perte de données max 4h grâce à sauvegardes automatiques
- Coût total de l'incident : 20 000 à 50 000 DH
PCA/PRA : erreurs fréquentes à éviter
1. Le plan n'a jamais été testé
C'est de loin l'erreur la plus répandue. Des PME dépensent plusieurs dizaines de milliers de dirhams pour faire rédiger un PCA, le rangent dans un tiroir (ou un dossier réseau), et découvrent lors d'un vrai incident que les procédures sont incomplètes, que les contacts ont changé, et que les sauvegardes ne restaurent pas correctement. Un plan non testé offre un faux sentiment de sécurité, ce qui est parfois pire qu'aucun plan du tout.
2. La documentation est obsolète
Le PCA a été rédigé il y a trois ans. Depuis, l'entreprise a changé de serveur ERP, recruté un responsable IT, ouvert un nouveau site, et changé d'hébergeur. Le plan décrit une infrastructure qui n'existe plus. La mise à jour du PCA/PRA doit être un processus continu, déclenché automatiquement par tout changement significatif du système d'information.
3. Les fournisseurs critiques sont ignorés
Beaucoup de PME se concentrent sur leurs propres systèmes et oublient que leur activité dépend aussi de prestataires externes. Un ERP hébergé chez un éditeur SaaS, une connexion internet via un seul opérateur, des livraisons assurées par un seul transporteur : chacun de ces points de défaillance uniques doit être identifié et avoir une alternative documentée.
4. Les RTO et RPO sont irréalistes
Définir un RTO de 30 minutes sans investir dans une infrastructure de haute disponibilité, c'est se donner l'impression d'être protégé sans l'être. Les objectifs de reprise doivent être calés sur les moyens réellement déployés. Un audit d'évaluation des risques permet de définir des objectifs cohérents avec le budget disponible et les processus réellement critiques.
5. La communication de crise est absente
Quand un incident survient, deux groupes ont besoin d'informations rapides : l'équipe interne (qui fait quoi, où, avec quels outils de secours) et les parties prenantes externes (clients en attente de livraisons, fournisseurs attendant des paiements, partenaires dont l'activité dépend de la vôtre). Un PCA sans plan de communication de crise laisse ces personnes dans le vide et amplifie l'impact commercial de l'incident.
6. La direction n'est pas impliquée
Le PCA n'est pas un projet IT. C'est un projet d'entreprise. S'il est uniquement porté par le responsable informatique sans mandat de la direction, il sera sous-financé, sous-dimensionné, et ses décisions (investissement dans une infrastructure de repli, budget pour les tests) seront difficiles à faire approuver quand le moment viendra.
L'approche RMG Solutions
Votre PCA/PRA ne vaut rien si votre infrastructure n'est pas fiable. C'est le problème des consultants qui rédigent des plans pour des systèmes qu'ils ne gèrent pas : le jour J, le plan décrit un environnement qu'ils ne maîtrisent pas. Chez RMG Solutions, nous construisons l'infrastructure (serveurs, sauvegardes, cloud hybride) ET nous rédigeons le plan. Votre PRA est adossé à une infrastructure que nous connaissons serveur par serveur, parce que c'est nous qui l'avons déployée et qui la supervisons.
Nous sommes le seul partenaire IT au Maroc à couvrir infrastructure, cybersécurité et GRC sous un même toit. Concrètement : vos sauvegardes hors ligne, votre site de repli cloud, votre segmentation réseau et votre plan documentaire sont gérés par la même équipe. Pas de trou entre le consultant PCA et le prestataire infrastructure -- ce trou est exactement là où les incidents deviennent des catastrophes.
Basés à Hay Riad (Rabat), nous intervenons le jour même sur site. Première étape : un audit gratuit de 30 minutes pour évaluer votre maturité PCA/PRA actuelle et identifier les failles critiques. Contactez-nous pour planifier le vôtre.
Questions Fréquentes
Quelle est la différence concrète entre un PCA et un PRA ?
Le PCA (Plan de Continuité d'Activité) organise la façon dont l'entreprise maintient ses opérations essentielles pendant une crise, tous departements confondus. Le PRA (Plan de Reprise d'Activité) est sa composante technique : il définit comment les systèmes informatiques et les données sont restaurés après une interruption. En résumé, le PCA répond à "comment on travaille pendant la crise" et le PRA répond à "comment on récupère les outils après la crise". Les deux sont nécessaires et complémentaires.
Mon entreprise est-elle légalement obligée d'avoir un PCA au Maroc ?
L'obligation légale formelle ne s'applique actuellement qu'aux établissements de crédit (Bank Al-Maghrib), aux assureurs (ACAPS), et aux opérateurs d'infrastructures vitales désignés par l'État (loi 05-20). Pour les PME des autres secteurs, il n'existe pas d'obligation directe. Cependant, certains appels d'offres publics ou contrats avec des grandes entreprises ou des partenaires étrangers exigent de plus en plus un PCA documenté ou une certification ISO 22301.
Qu'est-ce que le RTO et le RPO et comment les définir pour mon entreprise ?
Le RTO (Recovery Time Objective) est le temps maximum pendant lequel vous acceptez que vos systèmes soient indisponibles. Le RPO (Recovery Point Objective) est la quantité de données que vous acceptez de perdre, exprimée en durée (exemple : RPO de 4h signifie que vous acceptez de perdre 4h de transactions au maximum). Pour les définir, la bonne approche est de commencer par la BIA : identifiez vos processus critiques et estimez leur coût d'interruption heure par heure. Cela permet de fixer des objectifs réalistes et d'allouer le budget correspondant.
Combien de temps faut-il pour mettre en place un PCA/PRA dans une PME marocaine ?
Pour une PME de 10 à 50 employés avec un système d'information standard, le délai réaliste est de 3 à 6 mois du kick-off jusqu'au premier test complet. La phase d'analyse d'impact (BIA) et d'évaluation des risques dure généralement 3 à 6 semaines. La rédaction du plan et la mise en place technique représentent 6 à 12 semaines supplémentaires. La phase de tests et d'ajustements complète le projet. Des projets plus complexes (plusieurs sites, ERP fortement personnalisé, secteur réglementé) peuvent prendre 9 mois.
Peut-on faire un PCA/PRA sans consultant externe ?
Techniquement oui, mais c'est rarement efficace. Les PME qui tentent de construire leur PCA en interne produisent souvent des documents incomplets qui rassurent sans protéger vraiment. Les principales difficultés sont : la BIA demande une méthodologie structurée pour être objectif sur ses propres processus, les tests révèlent des lacunes qui nécessitent un regard extérieur, et la documentation doit répondre à des standards précis si elle doit servir à une certification ou à rassurer un auditeur. Un consultant externe apporte la méthode et l'objectivité. L'entreprise apporte la connaissance de ses propres opérations. Les deux sont nécessaires.
Quelle est la fréquence minimale pour tester un PCA ?
La norme ISO 22301 recommande des tests réguliers sans fixer de fréquence minimale absolue. En pratique, le minimum raisonnable pour une PME est un test sur table (simulation en réunion) une fois par an, et un test de restauration technique des sauvegardes tous les trimestres. Une simulation grandeur nature devrait être réalisée au moins tous les deux ans. Après chaque modification significative de l'infrastructure ou après un vrai incident, un test de validation doit être déclenché.
Comment un PCA/PRA s'articule-t-il avec une démarche ISO 22301 ?
La norme ISO 22301 définit un Système de Management de la Continuité d'Activité (SMCA) - un cadre complet qui englobe le PCA et le PRA mais va au-delà. Elle exige notamment une politique de continuité formelle, une gouvernance définie, un processus de revue par la direction, et une amélioration continue documentée. Un PCA/PRA bien conçu est la base sur laquelle se construit une certification ISO 22301 : environ 60 à 70 % du travail initial est réutilisable. Pour les PME non exposées à des exigences de certification, appliquer la méthode ISO 22301 sans viser la certification reste pertinent car elle impose une rigueur qui évite les plans de façade.
Par RMG Solutions
Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC
Dernière mise à jour : 30 avril 2026