# PCA / PRA managé — plan de continuité / reprise
> Catégorie : **Services managés** · Slug : `pca-pra-manage` · Source canonique :
**Définition courte** : Plan de Continuité d'Activité et Plan de Reprise d'Activité managés par l'hébergeur, avec RTO/RPO contractualisés et tests réguliers.
## Statistiques sur les 404 hébergeurs HDS
- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **70**
## Définition
**PCA** (Plan de Continuité d'Activité) et **PRA** (Plan de Reprise d'Activité) désignent deux dispositifs complémentaires :
- **PCA** : maintien d'un service dégradé mais disponible pendant un incident, **sans interruption visible** pour l'utilisateur final. Vise un niveau de service minimum (« mode dégradé acceptable »).
- **PRA** : remise en service après un sinistre majeur ayant rendu l'infrastructure principale inopérante. Vise une **reprise** rapide à un état fonctionnel sur infrastructure de secours.
Le caractère « managé » signifie que l'hébergeur :
- Définit contractuellement le **RTO** (Recovery Time Objective — délai max de reprise) et le **RPO** (Recovery Point Objective — perte de données max acceptable).
- Opère lui-même les processus de bascule et la documentation.
- Teste régulièrement les procédures et fournit les rapports de test.
Pour le périmètre santé, le PCA/PRA managé exige les **activités HDS 5 et 6 cumulées** (administration et exploitation + sauvegarde externalisée).
## Pourquoi c'est important pour un hébergeur HDS
Trois enjeux :
1. **Continuité de soins** : un incident d'hébergement peut avoir des conséquences cliniques directes (DPI inaccessible, PACS imagerie indisponible, prescription électronique gelée). Les exigences ARS et CSP sont strictes.
2. **Conformité réglementaire** : RGPD (art. 32), NIS2, HDS, DORA pour la partie financière → tous exigent une politique de continuité documentée et testée.
3. **Protection ransomware** : un PRA conçu avec sauvegardes immuables hors ligne est la dernière ligne de défense contre les ransomwares modernes qui chiffrent les sauvegardes en ligne.
## Comment ce critère est attribué dans le comparateur
- **✓ Vérifié** : l'hébergeur documente publiquement son offre PCA/PRA, avec mention des RTO/RPO standardisés et des activités HDS 5+6.
- **◐ Revendiqué** : mention « PCA/PRA » sans détail vérifiable sur les niveaux de service.
- **⚠ Hors périmètre HDS** : service mentionné mais activité HDS 5 ou 6 non couverte — vérifier la sous-traitance déclarée.
- **? Non documenté** : pas d'offre publique.
**Règle de cohérence critique** : un PCA/PRA managé nécessite **les deux activités HDS 5 et 6** ensemble. Un hébergeur certifié seulement activité 1+2 ne peut pas légitimement vendre du PCA/PRA managé en propre sur du périmètre santé.
## Pour quel profil c'est critique
| Profil | RTO/RPO typique |
|---|---|
| Hôpital MCO 24/7 | RTO 2-4h, RPO 15 min |
| EHPAD | RTO 24h, RPO 4h |
| Mutuelle santé | RTO 8h, RPO 1h |
| Recherche clinique en cours | RTO 24h, RPO 4h |
| Éditeur SaaS santé multi-tenant | RTO 1-4h, RPO 15 min |
| Médecine de ville | RTO 48h, RPO 24h |
## Composantes d'une offre PCA/PRA managée
1. **Architecture multi-site** : réplication entre deux datacenters HDS distants (typiquement Paris ↔ Lyon, Paris ↔ Marseille).
2. **Sauvegardes** : quotidiennes incrémentielles + hebdomadaires complètes + mensuelles long terme, avec au moins une copie offline ([cf. Sauvegarde immuable](/criteres/sauvegarde-immuable/)).
3. **Procédures de bascule** : runbooks documentés, équipe d'astreinte 24/7, points de décision.
4. **Tests réguliers** : minimum 1 test partiel/an + 1 test complet/an, avec rapport d'audit.
5. **Documentation** : DICT (Document d'Information pour la Continuité du Travail), DRP (Disaster Recovery Plan).
## Plus-value vs coût
Le PCA/PRA est un poste de coût significatif (réplication, exploitation 24/7, tests) — typiquement 15 à 30 % du coût d'hébergement primaire. Mais c'est aussi un poste d'**assurance** : une indisponibilité majeure non couverte peut coûter à un hôpital plusieurs millions d'euros en pertes opérationnelles, sans compter les conséquences cliniques et la responsabilité civile.
## FAQ
**Différence PCA managé vs sauvegarde managée ?**
La sauvegarde managée garantit la récupération des données (RPO). Le PRA managé garantit en plus la **remise en service de l'infrastructure** (RTO) — beaucoup plus complexe et coûteux.
**Quels SLA sont raisonnables sur un PCA/PRA santé ?**
RTO 4h et RPO 15min sont des standards atteignables avec une bonne architecture. Au-delà (RTO 1h, RPO 1min), les coûts explosent — actifs/actifs synchrone, infrastructure entièrement dédiée.
**Le PRA inclut-il le cas ransomware ?**
Oui si le PRA est conçu avec sauvegardes immuables hors ligne ([cf. sauvegarde immuable](/criteres/sauvegarde-immuable/)). Un PRA basé sur des sauvegardes en ligne sera lui-même chiffré par le ransomware moderne — c'est précisément pour ça que le critère « offline » est crucial.
**Doit-on tester le PRA chaque année ?**
La bonne pratique (et l'exigence de plusieurs référentiels) est **au moins un test complet par an**, en plus de tests partiels trimestriels. Sans test, le PRA est théorique — l'expérience montre que les PRA non testés ne fonctionnent pas le jour J.
## Glossaire
- **RTO** : Recovery Time Objective — délai max acceptable pour reprendre le service après un incident.
- **RPO** : Recovery Point Objective — perte de données max acceptable mesurée en temps.
- **Bascule active-passive** : un site est en attente, activé en cas de sinistre.
- **Bascule active-active** : les deux sites traitent en parallèle, basculement transparent.
- **Runbook** : procédure opérationnelle documentée pour un scénario donné.
## Hébergeurs satisfaisant ce critère
### ◆ Revendiqué sur source publique (70)
- [AB6 (ABSCISSE INFORMATIQUE)](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ab6-abscisse-informatique/)
- [ABBANA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/abbana/)
- [ACCESS GLOBAL SECURITY](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/access-global-security/)
- [ACMI](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acmi/)
- [ACRONIS INTERNATIONAL GMBH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acronis-international-gmbh/)
- [ADISTA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/adista/)
- [ADMI AGENCE DE MAINTENANCE INFORMATIQUE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/admi-agence-de-maintenance-informatique/)
- [ALE INTERNATIONAL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ale-international/)
- [ANTEMETA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/antemeta/)
- [APX INTEGRATION EXERÇANT SOUS LA MARQUE COMMERCIALE AXIANS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/apx-integration-exercant-sous-la-marque-commerciale-axians/)
- [ASTEN CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/asten-cloud/)
- [ATEMIS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/atemis/)
- [ATOS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/atos/)
- [AURIC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/auric/)
- [AVENIR TELEMATIQUE (ATE)](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/avenir-telematique-ate/)
- [AXESS GROUPE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/axess-groupe/)
- [AZNETWORK](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/aznetwork/)
- [BERGER LEVRAULT](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/berger-levrault/)
- [BRETAGNE TELECOM](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/bretagne-telecom/)
- [CEGEDIM.CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cegedim-cloud/)
- [CELESTE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/celeste/)
- [CHEOPS TECHNOLOGY FRANCE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cheops-technology-france/)
- [CIRIL GROUP](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ciril-group/)
- [CISCO SYSTEMS, INC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cisco-systems-inc/)
- [CLEVER CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/clever-cloud/)
- [CLOUD ADVICE (SÆPIENS)](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cloud-advice-s-piens/)
- [DATA ONE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/data-one/)
- [DIATEM](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/diatem/)
- [DIGDEO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/digdeo/)
- [DXC TECHNOLOGY FINANCIAL SERVICES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/dxc-technology-financial-services/)
- [DYNAMIPS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/dynamips/)
- [ECRITEL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ecritel/)
- [ELIONIS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/elionis/)
- [EURO SYSTEME D'INFORMATION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/euro-systeme-d-information/)
- [EXODATA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/exodata/)
- [FIDECIEL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/fideciel/)
- [FOLIATEAM](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/foliateam/)
- [GAIA AG](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/gaia-ag/)
- [GALEON](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/galeon/)
- [GIP OKTANTIS ISLE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/gip-oktantis-isle/)
- [GPCA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/gpca/)
- [GROUPE OCI](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/groupe-oci/)
- [Guardis](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/guardis/)
- [HEXANET](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/hexanet/)
- [I VISION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/i-vision/)
- [IBM CLOUD INFRASTRUCTURE AS A SERVICE (IaaS)](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ibm-cloud-infrastructure-as-a-service-iaas/)
- [INETUM](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/inetum/)
- [INGECAP SARL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ingecap-sarl/)
- [ITGEST IS - INFRAESTRUTURAS E SEGURANÇA, LDA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/itgest-is-infraestruturas-e-seguranca-lda/)
- [ITINSELL CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/itinsell-cloud/)
- [ITS INTEGRA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/its-integra/)
- [KAPPALYS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/kappalys/)
- [KENORA TECHNOLOGIES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/kenora-technologies/)
- [KIWI BACKUP](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/kiwi-backup/)
- [LEVIIA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/leviia/)
- [MIND TECHNOLOGIES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/mind-technologies/)
- [NETEXPLORER](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/netexplorer/)
- [NEXTIRAONE OCEAN INDIEN](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/nextiraone-ocean-indien/)
- [NUMIH FRANCE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/numih-france/)
- [OCI OUEST](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/oci-ouest/)
- [OSPI](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ospi/)
- [PARTITIO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/partitio/)
- [PRISMA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/prisma/)
- [SCALAIR](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/scalair/)
- [SIB](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/sib/)
- [SYNOVO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/synovo/)
- [SYNTEN](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/synten/)
- [TERSEDIA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/tersedia/)
- [WIDIP](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/widip/)
- [WORLDLINE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/worldline/)
## Méthodologie et limites
- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète :
- Équité Guardis vs concurrents :
---
_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._