•  
  •  Accueil 
  •  Veille CERT 
  •  Veille Techno 
  •  CyberSécurité 
  •  Livrables gratuits 
  •  Articles LinkedIn 
  •  A propos 
  •  

     

     

     

     

  • Un PRA non testé n’est pas un PRA. C’est une croyance.

  •  

  • Publié sur LinkedIn le 17 juin 2026
  •  

  • Beaucoup d’organisations ont un PRA. Un beau document. Un RTO validé en comité. Un RPO affiché dans une matrice de risques. Des applications classées critiques. Des procédures stockées quelque part dans SharePoint. Et pourtant, le jour où la production tombe, une question brutale apparaît : Est-ce que quelqu’un a déjà vraiment testé tout ça ? Parce qu’un PRA non testé ne prouve rien. Il ne prouve pas que les sauvegardes sont restaurables. Il ne prouve pas que les équipes savent quoi faire. Il ne prouve pas que les dépendances sont maîtrisées. Il ne prouve pas que les accès d’urgence fonctionnent. Il ne prouve pas que les délais annoncés sont tenables. Il ne prouve pas que les métiers savent dans quel ordre reprendre. Il prouve seulement une chose : quelqu’un a écrit un plan. Et c’est déjà utile. Mais ce n’est pas suffisant. La résilience IT ne se décrète pas dans un document. Elle se démontre par l’exercice. Un test PRA sérieux doit répondre à des questions très concrètes : Sommes-nous capables de restaurer les données dans les délais attendus ? Les procédures sont-elles compréhensibles sous stress ? Les rôles sont-ils clairs entre production, sécurité, réseau, cloud, métiers et management ? Les dépendances techniques sont-elles réellement connues ? Les scénarios de reprise tiennent-ils quand on retire une brique critique ? Les outils de crise sont-ils accessibles si le SI principal est indisponible ? Le vrai sujet n’est pas d’avoir un PRA parfait. Le vrai sujet est d’avoir un PRA vivant, testé, corrigé, rejoué, documenté et compris par ceux qui devront l’exécuter. Un PRA efficace n’est pas un classeur de conformité. C’est une capacité opérationnelle. Et cette capacité se construit avec des tests réguliers, des exercices réalistes, des retours d’expérience honnêtes et des plans d’action suivis. La question à poser en comité n’est donc pas : “Avons-nous un PRA ?” Mais plutôt : “Quelle est la dernière preuve que notre PRA fonctionne réellement ?” Parce qu’en situation de crise, les croyances ne redémarrent pas les serveurs. Les tests, oui. hashtag#RésilienceIT hashtag#PRA hashtag#ContinuitéDActivité hashtag#CyberRésilience hashtag#DSI hashtag#RSSI hashtag#ProductionIT