Le cloud n’est pas un PRA
Publié sur LinkedIn le 1 juillet 2026
On entend encore trop souvent :
“C’est dans le cloud, donc c’est résilient.”
Non.
Le cloud peut être un formidable accélérateur de résilience. Il apporte de l’élasticité, de l’automatisation, de la redondance, des services managés, des régions, des zones de disponibilité, des mécanismes de sauvegarde et de supervision.
Mais le cloud n’est pas un PRA.
Mettre une application fragile dans le cloud ne la transforme pas en architecture résiliente.
Si l’application est monolithique, fortement couplée, mal documentée, dépendante d’un seul compte, d’un seul tenant, d’une seule région, d’un seul annuaire ou d’un fournisseur unique, le cloud ne règle pas le problème.
Il le déplace.
Parfois même, il le rend plus discret.
Une vraie stratégie de reprise dans le cloud demande des choix d’architecture.
Multi-zone ou multi-région ?
Sauvegardes séparées du périmètre compromis ?
Données restaurables dans les délais attendus ?
Identités et privilèges maîtrisés ?
Secrets isolés ?
Journalisation disponible après incident ?
Capacité à reconstruire automatiquement ?
Procédures de bascule testées ?
Ordre de reprise validé avec les métiers ?
Coûts de résilience arbitrés et assumés ?
Le cloud donne des briques.
La résilience dépend de la façon dont on les assemble.
Une infrastructure peut être hautement disponible sur le papier, mais impossible à reprendre proprement si les dépendances ne sont pas connues, si les accès d’urgence ne fonctionnent pas, si les sauvegardes sont dans le même périmètre d’administration, ou si personne n’a jamais testé le scénario de perte régionale.
Le sujet n’est donc pas :
“Sommes-nous dans le cloud ?”
Le sujet est :
“Sommes-nous capables de reprendre un service critique dans le cloud, dans un délai réaliste, avec des données cohérentes et des équipes prêtes ?”
Un PRA cloud doit être aussi concret qu’un PRA on-premise.
Il doit préciser les scénarios.
Il doit définir les rôles.
Il doit documenter les prérequis.
Il doit intégrer les dépendances.
Il doit prévoir le mode dégradé.
Il doit être testé.
Il doit produire des preuves.
Le cloud n’exonère pas de la discipline opérationnelle.
Il ne remplace ni la cartographie, ni les sauvegardes, ni les runbooks, ni les exercices, ni les arbitrages métier.
Et surtout, il ne remplace pas la responsabilité.
Externaliser une infrastructure ne signifie pas externaliser la continuité d’activité.
Le fournisseur fournit une plateforme.
L’entreprise reste responsable de son architecture, de ses données, de ses accès, de ses priorités et de sa capacité à reprendre.
Le cloud peut être un excellent socle de résilience.
Mais uniquement si l’on conçoit la reprise dès le départ.
Sinon, ce n’est pas un PRA.
C’est juste une dépendance de plus, joliment facturée à la minute.
La nuance compte vraiment.
PS : Si vous découvrez mon contenu (veille CERT, Post), je vous invite à me suivre ici sur LinkedIn
hashtag#Cloud hashtag#Résilience hashtag#PRA hashtag#PCA hashtag#CyberRésilience hashtag#ProductionIT hashtag#DSI hashtag#RSSI