Pour le technicien qui intervient.
Un test reussi ne dit pas si l'objectif est atteint. Mesurer le RTO (temps reel de bascule, du declenchement a la reprise nominale) et le RPO (decalage maximal de données observe). Comparer aux cibles documentées. Tout ecart doit etre justifie : ajustement de cible ou amelioration de l'infrastructure.
Un PRA qui sait basculer mais ne sait pas revenir en nominal genere une seconde crise lors du retour. Tester la bascule ET le retour en nominal, avec la synchronisation des données produites pendant l'incident. Cette phase est souvent la plus complexe et la plus oubliee.
Si chaque exercice teste la perte du site principal, on est aveugle aux autres scenarios : ransomware, perte de personnel clé, panne telecom, attaque DDOS. Varier les scenarios sur 3 ans pour couvrir le spectre des sinistres credibles. Documenter l'historique des scenarios testes.
Un PCA qui suppose la disponibilite d'un sous-traitant non teste est fragile. Inclure les sous-traitants critiques dans l'exercice : hebergeur, fournisseur telecom, prestataire infogerance. Negocier en amont leur participation dans le contrat. Sans implication des partenaires, le PCA reste theorique.
Pour le responsable / gestionnaire.
Un test reussi ne dit pas si l'objectif est atteint. Mesurer le RTO (temps reel de bascule, du declenchement a la reprise nominale) et le RPO (decalage maximal de données observe). Comparer aux cibles documentées. Tout ecart doit etre justifie : ajustement de cible ou amelioration de l'infrastructure.
ISO 22301 (continuite d'activite) et la directive NIS2 art. 21 imposent un test au minimum annuel du PCA et du PRA. Un plan jamais teste n'est pas un plan. Documenter dans la politique : fréquence, perimetre, methode. Inclure ce test dans le programme d'audit interne ISO 27001 A.17.
Si chaque exercice teste la perte du site principal, on est aveugle aux autres scenarios : ransomware, perte de personnel clé, panne telecom, attaque DDOS. Varier les scenarios sur 3 ans pour couvrir le spectre des sinistres credibles. Documenter l'historique des scenarios testes.
Pour l'audit, conserver les preuves : invitation, scenario, comptes rendus, mesures objectives (RTO, RPO), RETEX, plan d'actions et son suivi. Stocker dans un emplacement non modifiable pour 5 ans. C'est l'une des preuves les plus demandees lors d'un audit ISO 22301 ou NIS2.
Un PCA qui suppose la disponibilite d'un sous-traitant non teste est fragile. Inclure les sous-traitants critiques dans l'exercice : hebergeur, fournisseur telecom, prestataire infogerance. Negocier en amont leur participation dans le contrat. Sans implication des partenaires, le PCA reste theorique.
Pour l'auditeur et le contrôle de conformité.
ISO 22301 (continuite d'activite) et la directive NIS2 art. 21 imposent un test au minimum annuel du PCA et du PRA. Un plan jamais teste n'est pas un plan. Documenter dans la politique : fréquence, perimetre, methode. Inclure ce test dans le programme d'audit interne ISO 27001 A.17.
Pour l'audit, conserver les preuves : invitation, scenario, comptes rendus, mesures objectives (RTO, RPO), RETEX, plan d'actions et son suivi. Stocker dans un emplacement non modifiable pour 5 ans. C'est l'une des preuves les plus demandees lors d'un audit ISO 22301 ou NIS2.