PRA et PCA : les piliers de la continuité d’activité pour les sites web d’assurance

Ce que DORA a changé pour les sites web d’assurance depuis janvier 2025 ■

Avant DORA, le PRA et le PCA étaient des sujets principalement traités par la DSI dans le cadre de Solvabilité II (pilier 2, gouvernance des SI). Les sites web institutionnels et les espaces clients étaient souvent en zone grise : pas assez critiques pour justifier un site de secours à chaud, pas assez négligeables pour être ignorés. DORA a mis fin à cette ambiguïté en imposant une résilience documentée et testable sur l’ensemble des services TIC — sans distinction entre les systèmes « core » (gestion, tarification) et les systèmes « front » (sites web, parcours digitaux). Notre article sur l’impact de DORA sur les sites assurance détaille l’ensemble des implications.

Concrètement, l’ACPR peut désormais demander à un assureur de produire, lors d’un contrôle sur place ou sur pièces, la documentation de continuité de son site web : quel est le RTO (temps maximum d’indisponibilité toléré), quel est le RPO (perte maximale de données acceptable), quelle est la procédure de basculement, quand a eu lieu le dernier test, quel en a été le résultat. Un assureur qui ne peut pas répondre à ces questions pour son site institutionnel, son parcours devis-souscription ou son espace client en assurance s’expose à un constat de non-conformité DORA — avec des sanctions pouvant atteindre 2 % du CA mondial.

PRA et PCA : deux plans complémentaires, pas interchangeables ■

La confusion entre PRA et PCA est fréquente, y compris chez les responsables digitaux. Le PRA (Plan de Reprise d’Activité) est un plan technique : il définit comment restaurer un service informatique après un incident majeur (panne serveur, cyberattaque, défaillance datacenter, erreur humaine). Il documente les procédures de restauration, la politique de sauvegarde, l’architecture du site de secours et les RTO/RPO cibles. Le PRA répond à la question : « comment remettre en service le site après une coupure ? ».

Le PCA (Plan de Continuité d’Activité) est un plan organisationnel : il définit comment maintenir un service minimum acceptable pendant que le PRA est en cours d’exécution. Pour un site d’assurance, cela signifie : quels parcours sont basculés sur un mode dégradé (formulaire de contact en remplacement du parcours de devis, numéro de téléphone d’urgence sinistre affiché en page d’accueil), qui communique vers les adhérents et les courtiers, comment les flux de souscription en cours sont sécurisés. Le PCA répond à la question : « comment servir les clients pendant la coupure ? ». Les deux plans sont complémentaires et doivent être documentés ensemble dans le registre DORA.

RTO et RPO cibles par actif digital : le tableau de référence ■

Le dimensionnement du PRA/PCA dépend directement de la criticité de chaque actif digital. Un site institutionnel de 200 pages statiques ne justifie pas le même investissement qu’un espace adhérent connecté au SI de gestion. Le tableau ci-dessous synthétise les objectifs de reprise que nous recommandons à nos clients assureurs, mutuelles et institutions de prévoyance.

Les trois niveaux de secours — à chaud (réplication temps réel, basculement automatique en quelques minutes), à tiède (serveur pré-provisionné, restauration depuis un backup récent, basculement en 30 minutes à 2 heures), à froid (serveur provisionné à la demande, restauration depuis un backup journalier, basculement en 4 à 24 heures) — correspondent à des investissements très différents. Le choix dépend directement de la criticité business de l’actif : un espace adhérent qui traite 500 connexions par jour et des remboursements en temps réel justifie un secours à chaud ; un blog qui reçoit 200 visites par jour peut se contenter d’un backup quotidien.

Les cinq scénarios de crise à documenter dans le PRA d’un site d’assurance ■

Un PRA crédible au regard de DORA ne se contente pas de documenter une procédure de restauration générique : il détaille les scénarios spécifiques qui peuvent affecter le site et les actions correspondantes. Les cinq scénarios que nous documentons systématiquement pour nos clients sont les suivants.

Le premier scénario est la panne serveur ou datacenter : le serveur principal est indisponible (défaillance matérielle, panne réseau datacenter, incident électrique). La réponse PRA est le basculement vers le site de secours, dont le temps de basculement dépend du niveau choisi (chaud/tiède/froid). Le deuxième scénario est la cyberattaque (ransomware, DDoS, intrusion) : le site est compromis ou saturé. La réponse PRA est l’isolation du site principal, l’activation du WAF (Web Application Firewall) en mode blocage, le basculement vers une infrastructure propre et la restauration depuis un backup non compromis. Ce scénario est celui qui nécessite la coordination la plus étroite entre l’hébergeur, l’agence et le RSSI de la compagnie.

Le troisième scénario est l’erreur humaine (suppression de base de données, déploiement défectueux, écrasement de fichiers) : le site est fonctionnel mais son contenu est corrompu. La réponse PRA est la restauration ciblée depuis le dernier backup valide, avec un RPO qui détermine la perte maximale de données. Le quatrième scénario est l’incident chez un prestataire tiers (hébergeur, CDN, fournisseur d’API) : le site est fonctionnel mais un service critique est indisponible (tarificateur, SSO, flux de paiement). La réponse PCA est l’activation du mode dégradé (pages statiques de remplacement, formulaire de rappel, redirection vers le téléphone). Le cinquième scénario est la catastrophe naturelle ou l’événement climatique majeur (tempête, inondation du datacenter) : la réponse est la géo-redondance (site de secours dans un datacenter physiquement distant). Notre offre d’infogérance et hébergement intègre la géo-redondance pour les niveaux de service les plus exigeants.

Tests obligatoires et gouvernance DORA : la discipline qui sauve ■

DORA impose que les PRA/PCA soient testés régulièrement — pas simplement documentés sur étagère. Pour un site d’assurance, la bonne pratique est un test de basculement complet au moins deux fois par an (un test planifié et un test surprise), avec un rapport documenté incluant le temps de basculement réel, les écarts par rapport aux RTO/RPO cibles, les incidents rencontrés et les actions correctives. Ce rapport est un livrable DORA que l’ACPR peut demander lors d’un contrôle.

La gouvernance du PRA/PCA s’inscrit dans le dispositif de TMA WordPress et conformité DORA : le prestataire qui maintient le site est responsable de l’exécution des tests de basculement, de la mise à jour des procédures et de la production des rapports. Le responsable digital côté assureur est responsable de la gouvernance : définir les RTO/RPO cibles, arbitrer les investissements entre niveaux de secours et valider les rapports de test. C’est un sujet que nous traitons en comité trimestriel avec nos clients dans le cadre de la refonte de site de marque dans l’assurance et de la TMA en run.

En conclusion : le PRA/PCA n’est plus un luxe — c’est une obligation DORA ■

Avant DORA, un assureur pouvait considérer la continuité d’activité de son site web comme un sujet technique secondaire. Depuis janvier 2025, c’est un sujet de conformité auditable par l’ACPR, avec des sanctions lourdes (jusqu’à 2 % du CA mondial). L’investissement est pourtant modéré : 5 000 à 20 000 € HT par an selon le niveau de résilience, soit moins de 0,1 % du budget digital d’un assureur de taille moyenne. Le vrai coût n’est pas l’infrastructure — c’est l’indisponibilité non préparée. Un site de mutuelle santé qui tombe pendant 48 heures en pleine campagne de janvier (pic de souscription) sans PCA documenté perd des souscriptions, dégrade son NPS, et s’expose à un constat ACPR. Contactez notre équipe pour un audit de résilience de vos actifs digitaux ou consultez notre grille tarifaire 2026.

Questions fréquentes sur PRA et PCA d’un site d’assurance ■

Si vous nous contactiez pour échanger sur votre projet digital ? ■

Ils nous font confiance ■