100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
RATIO
ÉTUDE STRUCTURELLE · OPÉRATION DINDON · JUIN 2026
◆◆◆
LE PCA DOUX
La Continuité d'Activité comme Geste Musculaire
Pourquoi le PCA Hyperscaler est une Architecture
et le PCA Infogéreur est un Réflexe
◆ LA THÈSE

Le Plan de Continuité d'Activité est la responsabilité personnelle du DSI quand l'infrastructure tombe. Les hyperscalers le vendent comme une propriété architecturale automatique. Les infogéreurs souverains le pratiquent comme un geste musculaire répété. Cette étude documente la différence entre ces deux réalités — et pourquoi elle est décisive pour les organisations qui veulent une continuité d'activité réelle, pas une continuité d'activité documentée.

◆◆◆
FORMULE
ARCHI
VS
RÉFLEXE
ANGLE
RATIO
COMPARATIF
WATERMARK
RATIO
Amine RAITI — Architecte Infrastructure & SRE
Ancien professeur en école d'ingénieurs · Formateur depuis 2006
Document public · CC BY-NC-SA 4.0 · Opération Dindon · Juin 2026
RATIO
1
SECTION 1 · LE MENSONGE DE CONFORT — CE QUE LE PCA HYPERSCALER DIT VRAIMENT
MULTI-AZ · MULTI-REGION · FAILOVER AUTOMATIQUE — ET POURTANT

Les hyperscalers vendent le PCA comme une propriété architecturale native. Multi-AZ signifie que vos ressources sont réparties sur plusieurs zones de disponibilité dans la même région. Multi-region signifie que vos données sont répliquées dans une autre région géographique. Failover automatique signifie que la bascule se fait sans intervention humaine. Ces trois promesses sont vraies — dans certaines conditions, pour certains services, selon certaines configurations. Ce qu'elles ne disent pas est plus important que ce qu'elles disent.

◆ CE QUE MULTI-AZ NE DIT PAS

Les zones de disponibilité partagent le même backbone réseau régional. En décembre 2021, un incident AWS us-east-1 a mis hors service des services théoriquement "multi-AZ" parce que le plan de contrôle (le service qui orchestre le failover) était lui-même centralisé et affecté. Le multi-AZ protège contre la panne d'un datacenter physique. Il ne protège pas contre les pannes du plan de contrôle, du réseau régional, ou des services de gestion communs.

De plus, le multi-AZ coûte. Chaque ressource dupliquée est facturée. Le trafic entre AZ est facturé. Un RDS Multi-AZ coûte environ 2x un RDS Single-AZ. Une architecture multi-AZ complète peut coûter 1,5x à 2x l'infrastructure primaire — sans compter les egress fees de réplication.

◆ CE QUE MULTI-REGION NE DIT PAS

La réplication multi-region est réelle mais complexe. Elle exige de résoudre le problème de cohérence des données : en mode synchrone (zéro perte de données), la latence entre régions dégrade les performances. En mode asynchrone (RPO non nul), il faut accepter une fenêtre de perte de données. Ce choix architectural n'est pas trivial — il dépend de la nature des données, du métier, des exigences réglementaires.

La mise en œuvre exige la maîtrise de Route 53 (DNS failover avec health checks), Aurora Global Database ou DynamoDB Global Tables, S3 Cross-Region Replication, CloudFront, WAF, ACM (certificats dans chaque région), et des dizaines d'autres services — chacun avec ses subtilités, ses modes de défaillance, ses coûts cachés. Un PCA multi-region AWS bien fait coûte entre 2x et 5x le coût de l'infrastructure primaire.

◆ LE TEST DE BASCULE QUE PERSONNE NE FAIT

Tester un failover multi-region en production est une opération de haute chirurgie. Elle requiert une fenêtre de maintenance, une coordination entre les équipes, un plan de rollback. Elle est coûteuse — le trafic de test est facturé comme du trafic de production. Et elle fait peur — une erreur de configuration peut aggraver l'incident au lieu de le résoudre.

Résultat : dans la majorité des organisations, le PCA multi-region n'est testé qu'en environnement de staging — qui n'est jamais identique à la production. Quand l'incident réel arrive à 3h du matin, les DevOps découvrent que le Terraform du site de secours n'a pas été mis à jour depuis la dernière migration de base de données. Que le certificat du load balancer de la région secondaire a expiré. Que le DNS TTL est encore à 3600 secondes.

RATIO
2
SECTION 2 · LE GESTE MUSCULAIRE — CE QUE LE PCA INFOGÉREUR FAIT VRAIMENT
LA BASCULE PHYSIQUE · LE RUNBOOK VIVANT · L'ADAPTATION AUX BESOINS RÉELS

Un infogéreur expérimenté dispose de deux datacenters — souvent reliés par une fibre dédiée qu'il possède ou loue au niveau physique, en dehors du backbone Internet public. Il connaît les alimentations, les onduleurs, les groupes électrogènes, les switchs de cœur, les routeurs de bordure. Il a construit cette infrastructure. Il sait ce qui se passe à chaque couche quand une bascule est déclenchée.

◆ LA CHAÎNE PHYSIQUE MAÎTRISÉE

La bascule infogéreur commence au niveau physique — là où le PCA hyperscaler commence au niveau logiciel. Quand le datacenter A perd son alimentation principale, l'onduleur prend le relais (quelques millisecondes), puis le groupe électrogène démarre (30 à 60 secondes). Pendant ce temps, les flux réseau sont reroutés vers le datacenter B via la fibre dédiée — pas via le backbone Internet, dont la disponibilité est hors de contrôle de l'infogéreur.

Cette maîtrise de la couche physique est ce que le cloud ne peut pas offrir. Quand le problème est un câble transoceanique coupé, un incident BGP majeur, un backbone régional saturé — le PCA logiciel du cloud ne fait rien. L'infogéreur qui contrôle sa fibre dédiée a une résilience orthogonale aux incidents d'infrastructure Internet.

◆ LE PCA ADAPTÉ AUX BESOINS APPLICATIFS RÉELS

L'infogéreur ne propose pas un catalogue de services PCA — il conçoit une architecture de continuité adaptée aux besoins réels du client. Cette conversation commence par les questions fondamentales :

RPO (Recovery Point Objective) : combien de données peut-on perdre ? La base de facturation : RPO zéro (synchrone, pas de perte). Les logs applicatifs : RPO 4h acceptable (asynchrone). Les sessions utilisateurs : RPO 15 minutes (semi-synchrone).

RTO (Recovery Time Objective) : en combien de temps doit-on être opérationnel ? Le site web : RTO 5 minutes (basculement DNS + HAProxy). Le back-office : RTO 30 minutes. Les traitements batch : RTO 4h.

Ces nuances, un infogéreur les implémente en scripts, en configurations HAProxy sur mesure, en règles de réplication MySQL ou PostgreSQL spécifiques. Chaque service a son propre mécanisme de continuité, adapté à son niveau de criticité métier.

◆ LE RUNBOOK VIVANT — PAS LE DOCUMENT QU'ON NE LIT PAS

L'équipe de l'infogéreur a un Runbook de bascule pour chaque type d'incident. Ce Runbook n'est pas un document bureaucratique — c'est un guide opérationnel testé et mis à jour à chaque incident réel ou simulé. Il dit exactement : qui fait quoi, dans quel ordre, avec quelle commande, avec quel critère de succès. Et il mentionne les pièges : le service X prend toujours 3 minutes de plus que prévu, le service Y nécessite un redémarrage manuel si la bascule a duré plus de 10 minutes.

RATIO
3
SECTION 3 · LE TEST DE BASCULE — LA DIFFÉRENCE QUI COMPTE
UN COPIL ANNUEL AVEC BASCULE RÉELLE · PAS UN POWERPOINT SUR LA RÉSILIENCE
◆ LE TEST HYPERSCALER — CE QUI SE PASSE VRAIMENT

Dans la plupart des organisations cloud, le test de PCA suit ce scénario :

Mois 1 : l'équipe décide de tester le failover. Elle réalise que l'environnement de staging n'est pas à jour.
Mois 2 : mise à jour de staging. Test en staging. Ça fonctionne partiellement — 3 services sur 12 ne basculent pas correctement.
Mois 3 : corrections. Re-test en staging. Mieux, mais pas parfait.
Mois 4 : décision de ne pas tester en production cette année — "trop risqué avant les fêtes".
Mois 12 : incident réel. Le Terraform de production diverge du staging depuis 4 mois. La base de données secondaire a un retard de réplication de 6 heures. Le certificat SSL de la région secondaire a expiré depuis 3 semaines. RTO réel : 4 heures au lieu des 15 minutes promis.

◆ LE TEST INFOGÉREUR — LE COPIL DE BASCULE

Un infogéreur qui se respecte intègre le test de PCA dans le cycle de vie contractuel du client. Pas comme un projet ponctuel — comme un événement récurrent, planifié, avec un COPIL dédié.

Déroulé type d'un test de bascule infogéreur :
J-30 : communication au client de la date et de la fenêtre de maintenance. Vérification que tous les services cibles sont documentés et que le Runbook est à jour.
J-7 : revue technique — quels services basculent dans quel ordre, quels sont les critères de succès, quelle est la procédure de rollback.
Jour J, fenêtre de maintenance : bascule réelle sur production. Le client est présent (en salle ou en visio). Il observe. Il valide. Il mesure le RTO réel.
Après la bascule : COPIL de retour d'expérience. Quels services ont mis plus de temps que prévu ? Pourquoi ? Qu'est-ce qu'on modifie dans le Runbook ? Le Runbook est mis à jour avant la fin de la semaine.

Le client rentre chez lui avec une conviction : son PCA fonctionne. Pas avec un schéma d'architecture.

◆ LA FORMULE DÉFINITIVE

Le PCA hyperscaler est une architecture documentée dans un Confluence que personne ne lit, testée en staging qui n'est jamais identique à la production, validée par une checklist que personne n'a remplie depuis 8 mois.

Le PCA infogéreur est un geste musculaire répété jusqu'à ce que l'équipe le fasse les yeux fermés, documenté dans un Runbook vivant mis à jour après chaque incident, validé par un COPIL où le client a vu sa production basculer et revenir.

Le PCA hyperscaler est une promesse. Le PCA infogéreur est une démonstration.

RATIO
4
SECTION 4 · TABLEAU COMPARATIF — PCA HYPERSCALER VS PCA INFOGÉREUR
TERME PAR TERME · DIMENSION PAR DIMENSION
DIMENSION
PCA HYPERSCALER
PCA INFOGÉREUR
Nature
Architecture logicielle (services managés propriétaires)
Geste musculaire (procédure physique maîtrisée)
Couche physique
Non maîtrisée — dépend du backbone AWS/GCP/Azure
Maîtrisée — fibre dédiée, alimentation, refroidissement
Coût
2x à 5x l'infrastructure primaire + egress fees de réplication
Inclus dans le contrat ou forfait fixe prévisible
RPO/RTO
Définis par les capacités des services managés
Définis par les besoins métier réels du client
Test de bascule
Rare, coûteux, fait peur. Souvent fait en staging seulement.
Planifié, contractualisé, fait en production avec le client.
Documentation
Confluence non mis à jour depuis la dernière migration
Runbook vivant, mis à jour après chaque incident ou test
Adaptation applicative
Case à cocher dans un catalogue (Aurora Global, DynamoDB Global)
Scripts sur mesure, HAProxy, réplication MySQL/PG adaptée au RPO
Incident câble réseau
PCA logiciel inutile si le problème est physique (backbone)
Fibre dédiée hors backbone — résilience orthogonale
Résultat pour le DSI
Une promesse dans un schéma d'architecture
Une conviction acquise en ayant vu sa production basculer
RATIO
5
SECTION 5 · LE PCA DOUX — POURQUOI "DOUX" ?
PAS DE RUPTURE · PAS DE PANIQUE · PAS DE SURPRISE

Le terme "doux" dans "PCA Doux" n'est pas une métaphore — c'est une description de la nature de la bascule infogéreur bien conçue. Doux par opposition à brutal. La bascule hyperscaler en cas d'incident réel est brutale — les services tombent les uns après les autres dans un ordre imprévisible, les équipes courent après les logs, les décisions sont prises sous pression avec des informations incomplètes. La bascule infogéreur bien préparée est douce — elle suit un ordre prédéfini, elle est exécutée par des gens qui l'ont déjà fait, et elle a un rollback documenté si quelque chose ne se passe pas comme prévu.

◆ LES TROIS PROPRIÉTÉS DU PCA DOUX

Progressif : la bascule se fait service par service, dans l'ordre des dépendances. D'abord la base de données (source de vérité), puis les APIs qui la consomment, puis le frontend. Chaque étape est validée avant de passer à la suivante. Il n'y a pas de "tout bascule en même temps" — parce que "tout bascule en même temps" crée des problèmes de timing imprévisibles.

Réversible : chaque étape de la bascule a une procédure de rollback documentée. Si le service Y ne démarre pas correctement sur le site B, on sait exactement comment revenir au site A sans aggraver la situation. Cette réversibilité est testée — pas supposée.

Observé : la bascule est observée en temps réel par les équipes de l'infogéreur et du client. Les métriques clés sont monitorées (latence, taux d'erreur, connexions actives). Les décisions "on continue" ou "on rollback" sont prises sur des données réelles, pas sur des suppositions.

◆ LE LIEN AVEC LE CORPUS — L'EXODUS ACCOMPAGNÉ ET LA SORTIE DOUCE

Le PCA Doux est la déclinaison de continuité d'activité de deux thèses du corpus. "La Sortie Douce" propose une migration progressive sans rupture — le PCA Doux applique le même principe à la bascule d'urgence. "L'Exodus Accompagné" propose un infogéreur comme guide de migration — le PCA Doux fait du même infogéreur le guide de la continuité.

L'organisation qui a migré vers l'infogéreur via l'Exodus Accompagné a, en bonus, un PCA Doux — parce que l'infogéreur connaît l'infrastructure qu'il a lui-même migrée, a rédigé le DAT, et a intégré le PCA dans la conception initiale plutôt qu'en ajout ultérieur.

◆◆◆

Le DSI qui a vu sa production basculer et revenir
lors d'un test contractualisé avec son infogéreur
dort mieux la nuit que celui qui a lu
le schéma multi-region de son architecture AWS.

L'un a une promesse. L'autre a une démonstration.

◆◆◆
NEMO SUPRA LEGEM EST