Cyberattaque, panne informatique majeure, incendie, inondation, pénurie de personnel…
Dans un hôpital ou une association de santé, chaque interruption d’activité a un impact direct sur la sécurité des patients et des usagers.
C’est précisément à cela que servent le PCA (Plan de Continuité d’Activité) et le PRA (Plan de Reprise d’Activité) : permettre à la structure de continuer à soigner et accompagner, même en cas de crise grave.
1. PCA / PRA : de quoi parle-t-on exactement ?
Le PCA : tenir la barre pendant la tempête
Un Plan de Continuité d’Activité (PCA) est un document stratégique qui décrit comment un établissement maintient ses missions essentielles pendant une crise majeure (cyberattaque, panne électrique, inondation, pandémie, etc.).
Il s’agit d’identifier les activités vitales (urgences, hébergement, pharmacie, dossier patient, paie, etc.) et de prévoir les ressources de secours (locaux, SI, procédures papiers, renforts humains…).
Dans la santé, le PCA ne se limite pas à l’informatique, et peut s’intégrer au plan blanc pour couvrir les ressources humaines, les bâtiments, les fournisseurs, la logistique, etc.
Le PRA : redémarrer après le choc
Le Plan de Reprise d’Activité (PRA) complète le PCA : il décrit comment on remet en route ce qui a été arrêté, en particulier les systèmes d’information.
La CNIL le rappelle : la reprise d’activité regroupe toutes les actions nécessaires pour relancer un système à l’arrêt après un incident.
Concrètement, le PRA précise par exemple :
- dans quel ordre redémarrer les applications (dossier patient, imagerie, RH, etc.),
- à partir de quelles sauvegardes,
- avec quels délais cibles (RTO, RPO),
Dans le secteur public comme dans la santé, les guides nationaux recommandent d’ailleurs de penser PCA + PRA ensemble, parfois sous la forme d’un PCRA (Plan de Continuité et de Reprise d’Activité).
2. Pourquoi c’est crucial pour les hôpitaux et associations de santé ?
Continuité des soins et protection des personnes vulnérables
Un PCA/PRA bien conçu sert avant tout à assurer la continuité des soins et de l’accompagnement, même en pleine crise. Pour un hôpital ou une association de santé, cela veut dire limiter au maximum les ruptures de prise en charge : éviter la fermeture de services entiers, maintenir la surveillance des patients fragiles, garantir la distribution des traitements, préserver l’accueil et la sécurité des résidents.
Des menaces très concrètes, notamment cyber
Une cyberattaque peut aujourd’hui paralyser tout un SI hospitalier et exposer des données de santé sensibles.
Sans PCA/PRA, les équipes se retrouvent sans consignes claires, les décisions se prennent dans l’urgence et le risque d’erreurs médicales, de pertes d’information ou de chaos organisationnel explose.
Avec un PCA/PRA travaillé en amont, les équipes disposent au contraire d’un scénario prêt à jouer : qui fait quoi, avec quels outils, dans quel ordre. Les retours d’expérience montrent que :
-
les patients bénéficient d’une meilleure continuité de soins,
-
les données sont mieux protégées grâce à des sauvegardes et procédures de restauration éprouvées,
-
le personnel sait quoi faire, ce qui réduit le stress et les erreurs en pleine crise.
Un attendu clair des autorités
Les autorités (ANS, ANSSI, ARS) demandent désormais des PCA et PRA formalisés, notamment via la fonction « stratégie de continuité et de reprise d’activité » dans les programmes de cybersécurité comme CaRE.
En clair : pour un établissement de santé, ne pas disposer de PCA/PRA robustes n’est plus une option – c’est une condition pour protéger les patients, les équipes et les donnée.
3. Comment mettre en place un PCA / PRA dans un établissement médico-social ?
Étape 1 – Poser la gouvernance et le sponsoring
Un PCA/PRA ne peut pas être “un document de la DSI”. Il doit être porté par la direction et co-construit avec les métiers.
Concrètement, on identifie un sponsor (direction générale ou direction de l’association), on met en place un comité PCA/PRA réunissant DSI, direction des soins, direction médicale, qualité/gestion des risques, logistique, RH, RSSI, etc., et on nomme un chef de projet clair.
Ce cadre permet d’arbitrer les priorités, les budgets et les choix techniques sans rester bloqué.
Étape 2 – Identifier les activités vitales (analyse d’impact)
L’objectif est de répondre à deux questions simples :
Quelles activités ne doivent jamais s’arrêter ? (urgences, bloc opératoire, unité protégée, astreintes, hotline médicale, etc.)
Avec quel niveau de service minimal et combien de temps d’interruption acceptable ?
On réalise pour cela une analyse d’impact (BIA) : cartographie des processus essentiels, identification des dépendances (applications, locaux, prestataires, personnels clés) et définition des objectifs de reprise (RTO/RPO). C’est ce qui donne la boussole du PCA/PRA.
Étape 3 – Travailler sur les scénarios de crise
Le kit PCA/PRA de l’ANS recommande de couvrir au moins quatre grands scénarios :
indisponibilité des ressources humaines (absentéisme massif, grève, pandémie), des bâtiments (incendie, inondation, sinistre technique), des fournisseurs (médicaments, restauration, téléphonie…), et bien sûr du système d’information(cyberattaque, panne majeure).
Pour chaque scénario, on décrit les impacts concrets sur les activités vitales : ce qui devient impossible, ce qui doit absolument être maintenu, et à quel niveau. Cela permet de sortir des généralités pour entrer dans le réel.
Étape 4 – Construire le PCA : comment continuer à fonctionner ?
Le PCA répond à une question simple : “Comment continue-t-on à travailler quand tout va mal ?”
On cherche des solutions de continuité réalistes, parfois imparfaites mais actionnables : bascule de certains services vers un autre site, procédures papier pour la prescription et la traçabilité quand le SIH est indisponible, plans de renfort ou redéploiement du personnel, stocks de sécurité (médicaments, consommables, équipements), moyens de communication de secours (téléphonie de repli, talkies, messagerie externe sécurisée…).
Ces choix sont rassemblés dans un plan lisible, avec des fiches réflexe courtes par service, des listes de contacts et numéros d’urgence à jour, et un schéma de pilotage de crise (cellule de crise, rôle de chacun, fréquence des points, décisions clés).
Étape 5 – Construire le PRA : comment redémarrer proprement ?
La partie PRA s’intéresse à la reprise des systèmes d’information : quelles applications redémarrer en premier, dans quels délais, à partir de quelles sauvegardes, et avec quelles précautions pour éviter de ré-infecter le SI après une cyberattaque.
On définit une stratégie de sauvegarde réellement testée, des procédures détaillées de restauration et une coordination étroite entre DSI, RSSI, prestataires, hébergeurs HDS, etc. L’idée est d’éviter le “on pensait que ça marchait” au moment où tout est à l’arrêt.
Étape 6 – Tester, former, améliorer
Un PCA/PRA qui dort dans un classeur ne protège personne. Les autorités de cybersécurité recommandent de tester régulièrement les plans, notamment via des exercices de gestion de crise sur scénario cyber.
Dans la pratique, cela passe par des exercices “table-top” (autour d’une table, sur un scénario fictif), des tests techniques de bascule/restauration, puis des retours d’expérience systématiques pour améliorer le dispositif. Une mise à jour au moins annuelle du PCA/PRA permet de rester aligné avec la réalité du terrain.
4. L’expertise Phishia : un PCA/PRA ancré dans la réalité cyber du secteur santé
Chez Phishia, nous accompagnons au quotidien hôpitaux, GHT et associations de santé sur la cybersécurité opérationnelle et la résilience face aux attaques (rançongiciels, compromission de comptes, phishing ciblé, etc.).
Notre force : relier très concrètement vos PCA/PRA à vos risques numériques réels, plutôt que produire un document théorique de plus.
Ce que nous faisons pour vous
Diagnostic flash PCA/PRA & cyber
Revue de vos plans, procédures, sauvegardes et organisation de crise, identification des écarts avec les recommandations ANS/ANSSI et le programme CaRE, cartographie rapide des activités critiques et de leurs dépendances numériques.Co-construction du PCA/PRA avec vos équipes
Ateliers avec soignants, directions et fonctions support, élaboration de scénarios réalistes (cyberattaque bloquant le SIH, perte d’un site, rupture d’un fournisseur clé…), rédaction de fiches réflexe simples, utilisables en situation de stress.Intégration avec votre cybersécurité existante
Alignement du PRA avec vos stratégies de sauvegarde, de segmentation réseau, de durcissement des postes de travail et de supervision, intégration des plans dans votre dispositif de gestion de crise cyber (SOC, RSSI, prestataires de réponse à incident).Tests & montée en puissance dans la durée
Organisation d’exercices de crise (table-top, simulations de cyberattaque), accompagnement à la mise à jour périodique des plans, sensibilisation des équipes via campagnes de phishing simulé et modules pédagogiques.
L’objectif : le jour où la crise arrive, vos équipes ne découvrent pas les procédures… elles les appliquent.
5. Et si on parlait de votre PCA / PRA ?
Que vous partiez de zéro ou que vous souhaitiez mettre à jour un PCA/PRA vieillissant, c’est le bon moment pour :
- vérifier que vos plans couvrent bien les risques actuels (cyber, pénuries, crises sanitaires),
- les rendre concrets et exploitables par vos équipes,
- et les aligner avec les exigences des autorités françaises.
Vous souhaitez un regard extérieur sur votre PCA/PRA ou construire une démarche adaptée à votre hôpital ou à votre association de santé ?
Nous pouvons en discuter lors d’un échange sans engagement pour comprendre vos enjeux et vous proposer un accompagnement sur mesure.
