AccueilÀ propos TutorielsFormations PortfolioContact
← Tous les tutoriels | Cybersécurité
Cybersécurité

PCA/PRA : concevoir un Plan de Continuité d'Activité pour une organisation africaine

📅 12 mars 2026 ⏱ 15 min de lecture Intermédiaire ✍️ Souleymane Condé

Introduction

Dans un contexte africain marqué par des coupures d'électricité fréquentes, une connectivité instable et des ressources humaines IT limitées, la mise en place d'un Plan de Continuité d'Activité (PCA) ou Plan de Reprise d'Activité (PRA) est non seulement une bonne pratique — c'est une nécessité opérationnelle absolue.

Ce tutoriel s'appuie sur mon expérience terrain à la CNSS Guinée et auprès de plusieurs ministères pour vous livrer une méthode concrète et adaptée aux réalités locales.

Note : Le PCA couvre la continuité pendant un incident (maintien du service dégradé), tandis que le PRA couvre la reprise après un incident. Les deux sont complémentaires et souvent regroupés sous l'appellation PCA/PRA.

Étape 1 — Analyse d'impact métier (BIA)

La Business Impact Analysis identifie les processus critiques et leur tolérance à l'interruption. Pour chaque processus, on définit :

  • RTO (Recovery Time Objective) : délai maximum admissible pour remettre le service en marche
  • RPO (Recovery Point Objective) : perte de données maximale acceptable (en temps)
  • MTD (Maximum Tolerable Downtime) : durée absolue maximale d'indisponibilité avant impact irréversible
Exemple de tableau BIA simplifié
Processus              | RTO   | RPO   | Priorité
-----------------------|-------|-------|----------
Paiement pensions      | 2h    | 1h    | CRITIQUE
Messagerie interne     | 8h    | 4h    | HAUTE
Gestion RH             | 24h   | 12h   | NORMALE
Intranet               | 48h   | 24h   | BASSE

Étape 2 — Inventaire et cartographie des risques

En Afrique de l'Ouest, les risques les plus fréquents diffèrent de ceux des pays européens. Voici les menaces à prioriser dans votre registre des risques :

  • Coupures électriques prolongées (6–12h dans certaines zones de Conakry)
  • Défaillance de la connectivité Internet (opérateur unique, fibre coupée)
  • Ransomware et phishing ciblant les institutions publiques
  • Chaleur excessive endommageant les équipements (climatisation en panne)
  • Départ soudain de personnel clé (fuite des compétences IT)
  • Inondations en saison des pluies (protection physique des équipements)
Attention : En Guinée, la dépendance à un seul fournisseur d'électricité (EDG) sans groupe électrogène de secours est l'une des causes principales d'indisponibilité des SI institutionnels.

Étape 3 — Architecture de résilience

Sur la base de la BIA, on conçoit l'architecture de résilience minimale pour les processus critiques :

Architecture minimale recommandée
Site Principal
├── Onduleurs UPS (autonomie 30 min minimum)
├── Groupe électrogène diesel (72h de carburant)
├── Double lien Internet (opérateurs différents)
├── Baie de serveurs avec redondance RAID
└── Sauvegardes locales quotidiennes (NAS)

Site de Secours (ou cloud)
├── Réplication des données critiques (async)
├── Serveurs de basculement (warm standby)
└── Procédures de bascule documentées

Étape 4 — Rédaction du document PCA

Le PCA doit être compris par tous, pas seulement les techniciens. Il contient obligatoirement :

  1. Périmètre et objectifs du plan (quels systèmes, quelles entités)
  2. Équipe de gestion de crise avec contacts 24/7 (noms, téléphones, suppléants)
  3. Procédures de détection et déclaration d'incident (qui décide de déclencher le PCA)
  4. Fiches de basculement par scénario (coupure électrique, ransomware, panne serveur...)
  5. Procédures de retour à la normale (critères de fin d'incident)
  6. Calendrier de tests et d'exercices
Conseil terrain (Sman) : Imprimez toujours une version papier du PCA et rangez-la dans une pochette scellée. En cas de panne totale du SI, le document numérique sera inaccessible. C'est une erreur que j'ai vue dans plusieurs institutions guinéennes.

Étape 5 — Test et maintien du plan

Un PCA non testé est un PCA inutile. Planifiez au minimum ces exercices annuels :

  • Test de bureau (tabletop exercise) : simulation verbale trimestrielle — chaque responsable décrit ce qu'il ferait
  • Test de basculement partiel : test mensuel du groupe électrogène (10 min de fonctionnement réel)
  • Test complet de reprise : simulation annuelle complète avec basculement sur le site de secours
Référentiel : Pour aller plus loin, référez-vous à la norme ISO 22301 (Système de management de la continuité d'activité) et à l'ITIL v4 pour l'intégration avec la gestion des incidents IT.

Conclusion

Le PCA/PRA n'est pas un luxe réservé aux grandes entreprises. Dans un contexte africain où les perturbations sont fréquentes, c'est l'outil qui fait la différence entre une institution qui tient et une institution qui s'effondre face à l'incident. Commencez par un BIA simple, identifiez vos 3 processus les plus critiques, et construisez à partir de là. Un PCA imparfait mais testé vaut mieux qu'un PCA parfait jamais exercé.

Souleymane Condé
Souleymane « Sman » Condé
Consultant Senior · Transformation Digitale & Infrastructures IT Critiques · Membre PMI · Conférencier
← Tous les tutoriels Formations en ligne → Me contacter →