Assurer la disponibilité des services essentiels de la collectivité PCA & PRA

Le Plan de Continuité d’Activité (PCA) garantit la poursuite des missions prioritaires en cas de crise. Le Plan de Reprise d’Activité (PRA) rétablit les systèmes d’information à un niveau nominal à la suite d’un incident majeur.

Services critiques couverts

100%

Objectif de disponibilité

99,9%

RPO cible

< 15 min

RTO cible

< 2 h

Pourquoi mettre en place un PCA/PRA ?

Maintenir les services citoyens (état civil, restauration scolaire, aide sociale, eau, déchets, urbanisme…)
✔ Continuité des services aux citoyens
État civil, scolaire, social, eau, déchets… même en cas de crise.

✔ Réduction des impacts
Moins de pertes financières, juridiques et d’image.

✔ Protection face aux risques majeurs
Cyberattaques, pannes, aléas climatiques, erreurs humaines.

✔ Conformité & bonnes pratiques
Alignement ANSSI, RGPD et normes de résilience.

Démarche en 6 étapes

✅ Gouvernance & périmètre — Sponsor, pilotes métiers, DPO, RSSI, DSI.
✅ BIA (Business Impact Analysis) — MTPD, dépendances, priorités de reprise.
✅ Stratégie PCA, organisation, sites de repli, télétravail de crise, procédures.
✅ Stratégie PRA, cibles RPO/RTO, niveaux de service, architecture.
✅ Mise en œuvre, sauvegardes immuables, réplication, automatisation, runbooks.
✅ Test & amélioration continue — exercices, retours d’expérience, KPI.

Définir RPO & RTO

RPO : perte de données maximale acceptable.
RTO : délai de rétablissement maximal.

Fixer des cibles réalistes par niveau de criticité, validées par les métiers.

    • Aligner avec la MTPD (Maximum Tolerable Period of Disruption)
    • Mesurer régulièrement les RPO/RTO réels lors des tests
    • Arbitrer coûts vs. niveaux de service

Calcul rapide du budget d’arrêt

Une interruption de service peut représenter bien plus qu’un simple arrêt technique :

    • Coût/heure × RTO cible
    • Coût de re-saisie × nombre de dossiers
    • Valeur des données non recouvrables (RPO)

Obligations & référentiels

    • Code général des collectivités, continuité du service public.
    • RGPD, disponibilité et intégrité des données personnelles.
    • RGS / PSSI-E / ANSSI, bonnes pratiques de sécurité du SI.
    • Schéma Directeur / PCA communal,  articulation avec la gestion de crise.

Livrables attendus

    • Cartographie des processus et priorisation (MTPD)
    • Analyse d’impact (BIA) & Analyse de risques
    • Stratégie de continuité & scénarios de sinistre
    • Plan d’actions, procédures, fiches réflexes et annuaires
    • Rapports de tests & mise à jour annuelle

Plan de tests

    • Test documentaire (revue des procédures)
    • Test technique (restauration, bascule applicative)
    • Exercice de crise (PC de crise, communication)
    • Chaos engineering (fenêtre contrôlée)

Fréquence conseillée

    • Niveau 1 : trimestriel
    • Niveau 2 : semestriel
    • Niveau 3 : annuel

Architecture de reprise

Composants

    • Réplication des VM/bases (synchrones/asynchrones)
    • Sauvegardes immuables et chiffrées (WORM)
    • Stockage objet « air‑gap » / cloud public
    • Site de secours (cloud, datacenter interco, autre collectivité)
    • Services réseau intelligents
    • DNS dynamique, load balancer, bastion d’admin
    • Scripts/runbooks d’orchestration de bascule
    • Tests de bascule programmés et non perturbants

Niveaux de service

Catégorie
Niveau 1 Critique
Niveau 2 Important
Niveau 3 Standard
Exemples
État civil, paie, secours
Affaires scolaires, cantine
Intranet, GED
RPO
< 15 min
< 1 h
< 24 h
RTO
< 2 h
< 8 h
< 72 h