{
    "uuid": "e7f69c32f036cf0628b0a275e10ff35c",
    "slug": "audit-pra-bcp",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "a224c03f30b048c1ad8de9381b2790bf",
            "category": "regulatory",
            "audience": [
                "manager",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "Realiser un bilan d'impact (BIA) prealable",
            "content": "Le PCA et le PRA reposent sur un bilan d'impact (Business Impact Analysis) qui identifie les processus critiques et leurs délais de tolerance. ISO 22301 et la directive NIS2 imposent un BIA documenté et reactualise. Sans BIA, le PRA ne peut pas etre dimensionne correctement : il sera soit surinvesti soit insuffisant."
        },
        {
            "uuid": "bc5db682af514ed7a483a536277194b7",
            "category": "operational",
            "audience": [
                "manager",
                "technician"
            ],
            "severity": "critical",
            "title": "Cartographier tous les processus critiques",
            "content": "Pour chaque processus critique : RTO cible, RPO cible, dependances techniques (applications, infrastructure, données), dependances humaines (competences), dependances externes (fournisseurs). Cette cartographie est la base du PRA. Une seule dependance critique non identifiee suffit a faire echouer la reprise."
        },
        {
            "uuid": "85f97e2a236c4edfb5c0ede078c32366",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "mandatory",
            "title": "Documenter precisement chaque procedure de reprise",
            "content": "Une procedure de type 'restaurer la sauvegarde' n'est pas une procedure. Documenter : qui declenche, quels prerequis, quelles etapes detaillees, quelles verifications, qui valide la reprise. Tester la procedure avec un collaborateur qui ne la connait pas pour valider qu'elle est suffisamment explicite."
        },
        {
            "uuid": "0c125467ea7145d190792d716a55cc19",
            "category": "regulatory",
            "audience": [
                "auditor",
                "manager"
            ],
            "severity": "mandatory",
            "title": "Vérifier la validite des contrats de service de secours",
            "content": "Les contrats avec les fournisseurs de site de secours (datacenter froid, cloud, prestataires telecom) doivent etre verifies annuellement : engagements RTO/RPO, capacite reservee, procedure de bascule, conditions financieres. Un contrat oublie ou expiré decouvre lors de la crise est un risque majeur."
        },
        {
            "uuid": "412a7542060e45b9ab17b79789fc45c1",
            "category": "training",
            "audience": [
                "manager",
                "technician"
            ],
            "severity": "recommended",
            "title": "Former les equipes aux procedures",
            "content": "Une procedure non connue n'est pas une procedure. Former régulièrement les equipes opérationnelles a leurs taches en cas de crise : restauration de sauvegarde, bascule réseau, communication. Une formation annuelle minimum, et a chaque changement de procedure. Conserver les preuves de formation."
        },
        {
            "uuid": "6db3bbafa1bc4bd5a3e8a39f7b6354ad",
            "category": "operational",
            "audience": [
                "manager"
            ],
            "severity": "recommended",
            "title": "Maintenir une version papier accessible hors ligne",
            "content": "En crise majeure (ransomware, incendie datacenter), le PRA stocke sur le SI compromis devient inaccessible. Maintenir une version papier ou stockee hors ligne (clé USB chiffree dans coffre) des procedures critiques. Les coordonnees des contacts clés doivent egalement etre disponibles hors SI."
        }
    ]
}