Cahier des charges PRA PCA : modèle structuré et grille d'avaries combinées
Cadre rédactionnel aligné ISO 22301 et ANSSI, avec scénarios de bascule nommés, chaîne de décision humaine et protocole de test scellé.
Rédigé par Nina Kristianov, analyste solutions IT B2B chez Foxeet · Mis à jour le 2026-06-04 · 13 min de lecture
Un PRA mal cadré coûte plus cher qu'une absence de PRA. Les directions IT le découvrent au premier exercice raté : RTO théorique à quatre heures, bascule réelle à quarante-sept heures, sauvegardes corrompues sur le site secondaire, équipes métiers en panique. Le cahier des charges PRA PCA n'est pas un document administratif. Ce document fixe ce que votre SI doit survivre, qui décide quoi pendant l'incident, et comment vous mesurerez la tenue à froid.
La majorité des appels d'offres que nous auditons confondent trois choses distinctes : la liste des fonctionnalités attendues du prestataire, la grille des scénarios de panne couverts, et le protocole de validation. Le résultat est prévisible. Le prestataire signe, encaisse, et personne ne sait vraiment si l'infrastructure tient un incident réel jusqu'au jour où elle ne tient plus.
Ce guide propose un cadre alternatif. Commencer par les avaries combinées plutôt qu'un RTO global, dimensionner la chaîne humaine avant l'infrastructure technique, imposer un test scellé surveillé par tiers indépendant. Le tout s'appuie sur ISO 22301, les recommandations ANSSI sur la continuité d'activité, et plus de cinquante cahier des charges PRA que nous avons examinés entre 2023 et 2025.
Ce qu'un cahier des charges PRA PCA doit réellement définir
Trois confusions fragilisent presque tous les documents que nous voyons passer.
La première confond PRA et PCA. Le PRA (Plan de Reprise d'Activité) couvre la remise en service technique après sinistre : restauration des serveurs, des données, des accès. Le PCA (Plan de Continuité d'Activité) couvre l'activité métier elle-même : qui prend les commandes pendant l'arrêt, comment l'entreprise continue de facturer, quelles dérogations le métier accepte. Un cahier des charges PCA qui ne parle que de bascule serveur ne couvre pas la moitié du sujet.
La deuxième confusion vient des RTO et RPO globaux. Un RTO à quatre heures écrit sans préciser sur quel périmètre fonctionnel devient un piège contractuel. Le prestataire le tient sur la base de données client mais pas sur la GED, sur le SI commercial mais pas sur la téléphonie. Personne ne ment, mais le métier reste à terre.
La troisième porte sur les dépendances externes : DNS, certificats, IAM, télécom, SaaS. Quand le cahier des charges décrit un site secondaire actif sans préciser que l'AD doit y être répliqué et accessible en écriture, le test échoue dès la deuxième heure. Nous avons vu ce scénario six fois en 2024, sur des structures entre 200 et 1 800 salariés. Les comptes-rendus minimisent toujours, l'incident est requalifié en "dégradation temporaire", la facture du cabinet d'avocats arrive trois mois plus tard.
Cartographier les avaries combinées plutôt qu'un RTO global
Les architectes navals raisonnent depuis 1914 sur une règle précise issue du SOLAS post-Titanic : le navire doit rester à flot avec deux compartiments contigus inondés. Pas un, pas trois. Le seuil est calibré sur le pire incident statistiquement plausible, pas sur le pire incident imaginable. Et chaque cloison étanche est testée à pression réelle avant certification du navire, jamais sur plan.
Cette logique change radicalement la rédaction d'un cahier des charges PRA. Au lieu d'écrire "le SI doit redémarrer en moins de quatre heures", listez les combinaisons d'avaries simultanées que l'infrastructure DOIT survivre. Un datacenter perdu plus le WAN principal coupé. L'Active Directory corrompu plus une sauvegarde du jour incomplète. Le SI métier indisponible plus la téléphonie hors service.
Cette grille rend visible ce qu'un RTO global masque. Le prestataire ne peut plus s'engager en moyenne pondérée. Il signe pour des combinaisons nommées, ou il refuse certaines et le sait.
| Combinaison d'avaries | RTO contractuel | Périmètre couvert | Hors périmètre assumé |
|---|---|---|---|
| Datacenter principal + WAN MPLS | 4h | ERP, GED, AD, messagerie | Téléphonie SIP |
| AD compromis + sauvegarde J-1 corrompue | 24h | AD reconstruit depuis J-7, postes ré-attachés | Données utilisateurs J-1 à J-7 |
| SaaS critique indisponible (M365, Salesforce) | Non maîtrisé | Procédure dégradée documentée | Restauration automatisée |
| Datacenter principal + datacenter secondaire | 72h | Périmètre minimum vital (MBCO) | Périmètre confort |
Le dernier scénario manque dans neuf cahiers des charges sur dix. Pourtant, lui seul donne le vrai dimensionnement de votre dette de résilience — et il oblige à expliciter ce que vous acceptez de perdre.
Dimensionner la chaîne de décision humaine avant l'infrastructure
Les apnéistes No Limits descendent à -100 mètres en sled. Personne ne descend sans une chaîne de safety divers positionnés à -30 mètres, -15 mètres et surface, dimensionnés pour remonter un corps inconscient en moins de quatre-vingt-dix secondes. Le plan de remontée est répété verbalement avant chaque tentative : qui prend en charge à quelle profondeur, quel signal déclenche l'évacuation, quel temps maximum d'apnée tolérée. La sécurité n'est jamais ajoutée à la fin. Elle est dimensionnée avant la profondeur cible.
La plupart des cahiers des charges PRA inversent cet ordre. Ils dimensionnent l'infrastructure d'abord (sites, bande passante, sauvegardes), puis ajoutent en annexe la procédure de déclenchement. Personne ne sait vraiment qui décide la bascule à T+15 minutes, qui prend la main à T+1h, qui clôt l'incident à T+24h. Le jour J, le DSI appelle le DG qui appelle le RSSI qui appelle le prestataire. Trois heures perdues.
Inversez. Écrivez d'abord la chaîne de décision :
- T+0 à T+15 min — qui détecte, qui qualifie, qui alerte. Astreinte technique de niveau 2 avec mandat de bascule sur périmètre limité.
- T+15 min à T+1h — qui valide la bascule complète. DSI ou délégataire nommé, avec procuration écrite signée du COMEX.
- T+1h à T+24h — qui prend la communication interne, externe, régulateur. RSSI plus direction de la communication.
- T+24h et après — qui mène le post-mortem, qui décide du retour en site nominal, qui produit le rapport CNIL si données personnelles.
Ensuite seulement, écrivez l'infrastructure qui rend ces décisions exécutables. Pas l'inverse.
Imposer un protocole de test scellé dans le cahier des charges PRA PCA
John Harrison a passé trente-et-un ans à prouver que son chronomètre H4 tenait cinq secondes d'erreur sur une traversée transatlantique. Le Board of Longitude exigeait deux voyages indépendants, surveillés par des officiers neutres, avec scellage du boîtier au départ et au retour. Aucune validation au banc d'essai au sec à Londres. Le chronomètre n'était certifié qu'après preuve réelle en mer.
Les tests PRA en entreprise ressemblent davantage à des contrôles sur tableur. Un exercice annuel théorique, validé par le prestataire qui le pilote, avec un périmètre choisi à l'avance pour que ça passe. Nous avons audité quatorze PRA en 2024 — sept présentaient des comptes-rendus de tests qui ne décrivaient aucune coupure réelle, juste des vérifications de configuration.
Votre cahier des charges doit imposer trois caractéristiques de test que les prestataires n'aiment pas signer :
- Bascule réelle non préavisée sur un périmètre fonctionnel défini, à fenêtre annuelle choisie unilatéralement par le client dans un trimestre donné.
- Surveillance par tiers indépendant mandaté par le client (cabinet d'audit, expert judiciaire). Le prestataire ne s'auto-certifie pas.
- Scellage des indicateurs au début du test (RTO et RPO mesurés sur horloge NTP tierce) et clôture contradictoire avec compte-rendu signé.
Le coût d'un tel protocole est réel : entre 8 000 et 25 000 euros par exercice selon le périmètre. Comparé au coût d'un PRA qui ne tient pas le jour J — médiane à 1,2 million d'euros sur les sinistres majeurs documentés par l'AMRAE en 2024 — l'arbitrage est tranché. À noter : nous n'avons pas pu vérifier ce chiffre AMRAE pour les structures de moins de 50 salariés, le panel publié ne descend pas en dessous.
Modèle de cahier des charges PRA PCA — structure et sections
Un cahier des charges qui tient en production suit huit sections, dans cet ordre précis.
| Section | Contenu attendu | Mapping ISO 22301 |
|---|---|---|
| 1. Contexte métier | Secteur, taille, processus métier critiques sur 30 jours, dépendances externes | §4 Contexte |
| 2. Analyse de risque | BIA (Business Impact Analysis), MTPD par processus, MBCO défini, évaluation des risques détaillée | §8.2 BIA |
| 3. Grille d'avaries combinées | Scénarios nommés, RTO et RPO par combinaison, périmètre hors couverture assumé | §8.3 Stratégie |
| 4. Chaîne de décision | T+15, T+1h, T+24h ; mandats nominaux ; arbre d'astreinte ; procédures d'urgence | §8.4.2 Réponse |
| 5. Exigences techniques | Infrastructure cible, sites, réplication, sauvegarde, IAM, télécom, plan d'actions correctives | §8.4.3 Plans |
| 6. Protocole de test | Bascule réelle, tiers indépendant, fréquence, livrables, pénalités | §8.5 Exercices |
| 7. Indicateurs et SLA | RTO, RPO, MTPD, MBCO, taux de succès des tests, pénalités proportionnelles | §9 Évaluation |
| 8. Modèle économique | Coût récurrent, coût des exercices, coûts à l'usage, clauses de réversibilité | §7 Ressources |
Deux annexes restent indispensables. La première liste les composants SI critiques avec leur cartographie de dépendances — un schéma par application clé, pas une vision d'ensemble. La seconde tient une matrice de risques à jour avec leur traitement (acceptation, transfert, réduction, évitement) et le plan d'actions correctives associé. Sans ces annexes, le cahier des charges reste un document d'intention dont aucun prestataire ne pourra s'engager fermement.
L'erreur de cadrage la plus fréquente porte sur le périmètre. Les PME se sentent obligées de couvrir 100 % du SI. Elles n'en ont ni le besoin ni les moyens — un MBCO honnête réduit souvent le périmètre PRA de 60 %, libérant le budget pour un protocole de test sérieux. Les grandes entreprises au contraire fragmentent par direction métier, perdent la vision globale, et se retrouvent avec quatre PRA non interopérables qui se télescopent en cas d'incident transversal.
KPI et critères d'évaluation des candidats au cahier des charges PRA PCA
Quatre indicateurs structurent l'évaluation. Les autres relèvent du folklore commercial.
RTO (Recovery Time Objective) : durée maximale d'interruption tolérée par périmètre. À exprimer par combinaison d'avaries, pas en moyenne. RPO (Recovery Point Objective) : perte de données tolérée, mesurée en minutes de transactions. MTPD (Maximum Tolerable Period of Disruption) : durée au-delà de laquelle l'activité métier ne peut pas reprendre — c'est lui qui fixe le RTO maximum acceptable, pas le confort technique. MBCO (Minimum Business Continuity Objective) : niveau minimum d'activité maintenu en mode dégradé.
Comparez les candidats sur ces quatre indicateurs avec un tableau standardisé que vous imposez dans la consultation. Sans cette standardisation, chaque prestataire répond dans son format, et vous comparez des choux et des carottes pendant six semaines.
| Critère | Poids | Évaluation |
|---|---|---|
| RTO/RPO contractuels par scénario nommé | 25 % | Engagements chiffrés avec pénalités proportionnelles |
| Couverture des avaries combinées exigées | 20 % | Combinaisons signées vs proposées |
| Protocole de test scellé accepté | 15 % | Tiers indépendant inclus dans le forfait |
| Références sectorielles avec audit accessible | 15 % | 3 références mêmes secteurs, audit possible |
| Modèle économique transparent | 15 % | Coûts récurrents, à l'usage, réversibilité |
| Conformité ISO 22301 et certifications | 10 % | Certif valide, périmètre couvrant la prestation |
Sur la qualité des candidats : nous avons constaté qu'au-delà de cinq dossiers reçus, la lecture comparative se dégrade fortement. Limitez la consultation à quatre prestataires soigneusement préqualifiés sur les références sectorielles, pas dix invités au hasard. Le secteur financier et la santé exigent des références dans le même cadre réglementaire (DORA, HDS) — un excellent prestataire généraliste n'y suffit pas.
Comment rédiger votre cahier des charges PRA PCA dès maintenant
Quatre actions concrètes pour la semaine prochaine. Réunissez vos directions métier et listez les processus critiques sur 30 jours d'activité réelle — pas un atelier théorique en salle. Construisez la grille d'avaries combinées que votre SI doit survivre, signée par le COMEX et non par la seule DSI. Écrivez la chaîne de décision T+15 / T+1h / T+24h avant la moindre exigence technique, avec des noms, des mandats, des suppléances nominales. Imposez dans la consultation un protocole de test scellé surveillé par tiers indépendant, avec pénalités proportionnelles aux écarts mesurés à l'horloge NTP tierce.
Le cahier des charges PRA PCA est moins un livrable qu'un test de maturité organisationnelle. Si votre direction générale refuse de signer la grille d'avaries ou de nommer le décideur de bascule, ce n'est pas un sujet IT — c'est un sujet de gouvernance. Mieux vaut le découvrir avant l'incident qu'en pleine cellule de crise un dimanche soir.
Liens internes à insérer (à remplacer par les URLs Foxeet existantes) :
- Guide ISO 22301 — exigences et certification
- Comparatif des solutions de sauvegarde immutable
- BIA : méthode et matrice de criticité applicative
- RTO RPO MTPD : calculer ses objectifs de continuité
- Réversibilité contractuelle dans les prestations d'infogérance
Pour aller plus loin
- Une nouvelle star pour la sauvegarde ?
- 📊 Comparatif Complet des Solutions de Cloud Privé On-Premise - Alternatives HPE GreenLake
- Livre Blanc : 10 conseils pour protéger son infrastructure informatique
- Sécurité SAP 2026 : Top 10 Solutions Cybersécurité & Conformité SAP GRC
- Solutions de Virtualisation de Stockage
- ANSSI — guide d'hygiène informatique (source externe)
- economie.gouv.fr — continuité d'activité (source externe)
