Plan de reprise après sinistre PME Sénégal 2026

Plan reprise sinistre : pourquoi une PME sénégalaise ne peut plus s'en passer en 2026

En 2024-2025, plusieurs incidents marquants au Sénégal ont rappelé l'importance du Plan de Continuité d'Activité (BCP) et du Plan de Reprise après Sinistre (DRP / PRA) : panne Sonatel régionale 18 h en 2023, coupure backbone fibre Dakar 2 jours 2024, ransomware sur prestataire bancaire local 2024 (11 jours d'arrêt), incendie data center commercial 2025.

Une PME sans plan se trouve devant 3 issues : 1) improviser dans la panique (souvent désastreux), 2) payer une rançon ou un prestataire d'urgence à des tarifs extrêmes, 3) fermer définitivement (40 % des PME victimes d'un sinistre majeur sans plan ferment dans les 12 mois).

J'ai aidé 9 PME sénégalaises à structurer leur BCP/DRP. Voici la méthode.

H2 : BCP vs DRP — comprendre la différence

BCP (Business Continuity Plan / Plan de Continuité d'Activité). Plan global : comment l'entreprise continue à fonctionner pendant un sinistre. Couvre tous les aspects : RH, locaux, fournisseurs, communication clients, IT, finance.

DRP (Disaster Recovery Plan / Plan de Reprise d'Activité - PRA). Sous-ensemble du BCP, focalisé sur l'IT : comment restaurer les systèmes informatiques après un sinistre. Procédures techniques, RPO/RTO, équipes IT, prestataires.

Pour une PME 10-50 employés : un seul document combiné BCP/DRP de 15-30 pages suffit. Pas besoin d'une bibliothèque de 200 pages comme dans les grands groupes.

H2 : Identifier les fonctions critiques (matrice de criticité)

Pour chaque fonction : définir RPO / RTO en fonction de la criticité. Les fonctions CRITIQUES méritent RPO ≤ 1h et RTO ≤ 4h. Les MOYENNES peuvent supporter RPO 24h et RTO 48h.

H2 : Architecture technique de reprise

Niveau 1 — Sauvegarde 3-2-1 classique. Pour PME basiques (RTO 24-48h). Restauration depuis sauvegarde locale ou cloud. Coût faible, complexité faible.

Niveau 2 — Snapshots cloud automatisés. Microsoft 365 / Google Workspace / Wasabi / S3 ont des snapshots intégrés. Restauration partielle en 15-60 min. Idéal pour PME numérisées.

Niveau 3 — Réplication continue (Veeam, Datto, Zerto, AWS Backup). Pour fonctions critiques. RPO 15 min, RTO 1-4h. Coût mensuel : 80 000-280 000 FCFA selon volume.

Niveau 4 — Site de secours (DR site). Infrastructure répliquée prête à activer. Très cher (5-25 M FCFA / an). Réservé aux PME avec forte exigence continuité (e-commerce gros volume, fintech).

Pour la majorité des PME sénégalaises : combinaison niveaux 1 + 2 suffit. Niveau 3 pour les fonctions critiques identifiées. Niveau 4 uniquement si CA dépend totalement de la disponibilité (e-commerce > 500 commandes/jour, fintech).

H2 : Plan de communication crise

Avant la crise.

• Liste de diffusion clients VIP, fournisseurs clés, employés (téléphones perso + WhatsApp + email perso)
• Modèles de messages préparés (3 versions : panne courte, panne longue, sinistre majeur)
• Canal de secours identifié : si email down, utiliser WhatsApp ; si Sonatel down, opérateur secondaire (Free / Expresso)
• Porte-parole désigné (DG ou DAF) + suppléant

Pendant la crise.

• Communiquer DÈS qu'on sait : "Nous rencontrons un incident, équipe mobilisée, prochaine mise à jour dans 1h"
• Ne JAMAIS dire "nous ne savons pas" sans contexte : dire "investigation en cours, faits confirmés à T+1h"
• Mises à jour régulières (toutes les 1-2h) même sans nouveauté
• Statut public : page status.votredomaine.sn (Uptime Robot, Statuspage, Cachet)

Après la crise.

• Communication post-mortem publique sous 7 jours (transparence renforce confiance)
• Compensations clients si pertinent
• Retours d'expérience interne sous 30 jours
• Mise à jour du BCP/DRP en conséquence

H2 : Exercices semestriels — la règle pour rester opérationnel

Un BCP/DRP écrit mais jamais testé est de la fiction. Pratiques minimales :

Tests trimestriels (par équipe).

• Sauvegarde / restauration partielle (un dossier)
• Restauration test sur infra de secours
• Bascule email (failover SMTP)

Exercices semestriels (toute l'entreprise).

• Simulation table-top : "Imaginez que demain le data center brûle. Que faisons-nous ?". 2h de discussion guidée par scénario réaliste.
• Vérification listes de diffusion à jour
• Test communication crise (envoyer message test à liste VIP)

Exercices annuels (réel).

• DR complet : simulation totale, restauration sur infra alternative, mesure du RTO réel vs cible
• Audit externe optionnel par consultant cybersécurité

H2 : Exemples Sénégal récents — leçons à tirer

Cas 1 — Cabinet d'avocats Dakar (2024). Ransomware via macro Word piégée. 100 % du serveur de fichiers chiffré. Sauvegardes locales également chiffrées (pas d'air-gap). Heureusement : sauvegarde Backblaze hors site intacte. Restauration en 4 jours (RTO réel). Coût total : 12 M FCFA (perte productivité + restauration + audit forensic + hardening).

Cas 2 — E-commerce mode Dakar (2024). Serveur OVH France down 11h suite à incident réseau OVH. Pas de plan de reprise. Site indisponible 11h, perte directe ~280 K FCFA + perte SEO temporaire. Aurait pu être évité avec CDN Cloudflare + page de maintenance dynamique.

Cas 3 — Cabinet médical Almadies (2025). Vol physique serveur NAS principal (vol nocturne dans bureau). Données patients perdues. Heureusement : sauvegarde NAS secondaire dans autre pièce + sauvegarde Wasabi cloud. Reprise en 36h. Aurait été catastrophique sans sauvegardes 3-2-1 (perte données médicales + amende CDP probable).

Cas 4 — PME logistique Bel-Air (2024). Incendie partiel bureau, salle serveur touchée. Pas de sauvegarde cloud, uniquement disques durs externes dans le même bâtiment. 100 % données perdues. Fermeture définitive 6 mois plus tard.

FAQ

Combien coûte un BCP/DRP pour une PME 20 employés ?

Réalisation initiale : 1,5-4 M FCFA (audit, rédaction, tests initiaux). Maintenance annuelle : 350 000-850 000 FCFA (mises à jour, exercices, formation nouveaux employés). Outils techniques (sauvegarde, monitoring, réplication) : 280 000-650 000 FCFA / mois (cf article sauvegarde cloud).

Combien de pages pour un BCP/DRP PME ?

15-30 pages typiquement. Contenu : matrice criticité, RPO/RTO par fonction, procédures restauration, plan communication, contacts urgence, prestataires de secours, journal exercices. Document vivant, mis à jour 1-2 fois par an.

Faut-il faire certifier son BCP/DRP ?

Pas obligatoire pour PME sénégalaises. ISO 22301 (continuité d'activité) est utile uniquement si vous répondez à des appels d'offres internationaux exigeant cette certification. Coût certification : 5-15 M FCFA. Pour la majorité : se concentrer sur un BCP/DRP solide non certifié.

Quels prestataires de secours identifier ?

1) Sauvegarde cloud (Backblaze, Wasabi, AWS), 2) Hébergement de secours (OVH, Hetzner, Scaleway, ou local sénégalais : Sonatel Cloud, Solid IT, Atos Sénégal), 3) Consultant cybersécurité réactif (intervention sous 4h en cas d'incident), 4) Avocat data (notification CDP si fuite données personnelles).

Que faire si un incident arrive avant qu'on ait un BCP ?

1) Isoler les systèmes touchés (déconnecter du réseau), 2) Préserver les preuves (ne pas redémarrer, ne pas écraser), 3) Appeler consultant cybersécurité réactif Sénégal ou international, 4) Notifier CDP sous 72h si données personnelles touchées, 5) Communiquer aux clients/partenaires avec mesure, 6) Post-incident : démarrer le projet BCP/DRP en priorité.

Discutons de votre cas

Si vous voulez bâtir un BCP/DRP pour votre PME sénégalaise, nous pouvons concevoir cette mission de A à Z (audit, rédaction, exercices, formation). WhatsApp +221 77 596 93 33.