La continuité d'activité

Transcription

1 La continuité d'activité 1. la distinction entre sauvegarde et archivage L'archivage consiste à recueillir, classer et conserver des données et documents à des fins de consultation ultérieure, voire à des fins de preuve. Il ne faut pas confondre archivage et sauvegarde. L'archivage implique des moyens permettant de conserver les données et documents d'une manière fiable et de permettre leur restitution fidèle, même après une longue période (plusieurs années, voire plusieurs dizaines d'années), alors que la sauvegarde est effectuée pour des raisons de sécurité et sert à restaurer tout ou partie d'un système, suite à une défaillance. Une sauvegarde a une vocation transitoire. Elle est remplacée par une nouvelle version suivant le calendrier des sauvegardes et la rotation des supports retenus. 2. le périmètre d'une sauvegarde Le périmètre d'une sauvegarde correspond: aux services, matériels, sites, utilisateurs, etc, à prendre en compte lors des sauvegardes; aux données à sauvegarder (fichiers utilisateurs, fichiers serveurs, documents contractuels, e- mails, bases de données, etc.). Le contenu de la sauvegarde évolue dans le temps avec l'ajout de nouvelles applications ou données. Cette contrainte doit être prise en compte dans la définition du périmètre afin de veiller à la complétude des sauvegardes. 3. Les besoins auxquels répond l'archivage L'archivage répond à trois besoins distincts: le besoin de preuve: les entreprises doivent justifier de leur activité vis-à-vis des autorités de tutelle, de l'état, des auditeurs, voire, lors de contentieux, produire les pièces nécessaires à la défense de leurs droits et de leurs intérêts; le besoin de réutilisation des données dans le cadre d'un nouveau projet (capitalisation des connaissances) ; le besoin de préserver la mémoire pour constituer une culture d'entreprise et communiquer avec des tiers (clients, partenaires, salariés, etc.). 4. Les enjeux de l'archivage Les enjeux de l'archivage sont de maîtriser les risques suivants: le risque juridique: le principal risque pour une entité est de ne pas pouvoir produire des données pouvant être retenues comme éléments de preuve valides. Pour pallier ce risque, les données doivent avoir été archivées et présenter des caractéristiques d'authenticité, d'intégrité et de non-répudiation; le risque logistique: les données ont été archivées mais il est impossible d'y accéder car elles n'ont pas été indexées pour pouvoir effectuer des recherches ou elles ne sont pas exploitables; le risque sécuritaire: des données confidentielles (données stratégiques, financières, etc.) risquent d'être divulguées parce qu'elles sont peu ou pas protégées, ou encore parce qu'elles auraient dû être détruites; le risque technique: le risque se situe tant au niveau de l'interopérabilité entre systèmes qu'au niveau de la pérennité des données sur le long terme, face à l'obsolescence des formats, supports et outils de restitution; le risque financier: l'enjeu financier est de ne pas supporter le coût d'un redressement fiscal ou d'une condamnation judiciaire suite à la non-réutilisation de données archivées. 5. Comment la norme OSI doit procéder pour déterminer les besoins d'archivage Pour déterminer les besoins d'archivage, la DSI devra travailler en étroite collaboration avec les directions métiers et la direction générale pour: réaliser la cartographie des données à archiver: la DSI devra isoler les données à archiver, c'est-à-dire celles qui sont validées et qui ne seront plus modifiées afin de tracer un événement à un instant donné. De plus, elle devra les catégoriser en: informations vitales, 1/13 07-COURS_MSI_Securite_SI_exo_Corr

2 données légales ou réglementaires, archives défendant les intérêts de l'entreprise en cas de litige, données réutilisables pour l'activité future et informations historiques; déterminer la criticité des données: la OSI devra déterminer le degré de sensibilité des informations, la fréquence et l'urgence de consultation de chacune d'elles afin d'apprécier leur criticité et de prendre des mesures visant à optimiser le stockage des données; connaître les exigences de conservation: en fonction des textes en vigueur (exemple: règles fiscales et comptables), des risques de contentieux et des besoins de réutilisation, la OSI choisira la durée d'archivage requise pour chaque type d'information. Comme l'entreprise est responsable de la conservation des données, elle devra également s'assurer que l'archivage donne une date certaine au document et permette une authentification de son auteur, que le support informatique soit pérenne et que les données soient intelligibles; déterminer les volumes à stocker et les autorisations d'accès aux données: la masse de données à archiver nécessitera un classement selon les priorités de gestion analysées, mais aussi une définition claire des besoins matériels adéquats. Les accès aux diverses données seront autorisés selon les degrés de sécurité et de confidentialité adaptés. 6. le lien entre politique de sauvegarde et politique de continuité d'activité Une politique de sauvegarde d'un système d'information minimise les risques d'arrêt d'activité d'une entité. Elle est l'élément indispensable à route politique de continuité d'activité puisqu'elle permet la reprise des opérations. En effet, les mesures de réparation ou de reconstruction d'un plan de continuité ont lieu à partir de sauvegardes. La qualité des sauvegardes de données est fondamentale pour un retour à l'activité normale d'une entreprise après un sinistre. 7. le rôle de l'organisation internationale de normalisation ISO et des normes ISO L'ISO (International Organization for Standardisation) est le plus important producteur et éditeur mondial de normes internationales. Cette Organisation internationale de normalisation représente un réseau d'instituts de normalisation couvrant 160 pays, établissant un consensus sur des solutions répondant aux exigences du monde économique et aux besoins de la société. 2/13 07-COURS_MSI_Securite_SI_exo_Corr

3 Selon l'iso, «les normes ISO: permettent de développer, fabriquer et fournir des produits et services plus efficaces, plus sûrs et plus propres; facilitent le commerce entre les pays et le rendent plus équitable; fournissent aux gouvernements une base technique pour la santé, la sécurité et la législation relative à l'environnement, ainsi que l'évaluation de la conformité; assurent le partage des avancées technologiques et des bonnes pratiques de gestion; contribuent à diffuser l'innovation; servent à protéger les consommateurs, et les utilisateurs en général, de produits et services; simplifient la vie en apportant des solutions aux problèmes communs», 8. les apports de la norme ISO pour les entreprises et les auditeurs La norme ISO permettra à ses adoptants d'émettre un signal positif à destination des tiers de l'organisation (clients, fournisseurs, banques, etc.) étant donné qu'elle montrera son intention d'améliorer sa politique de continuité d'activité. Ce signal sera d'autant plus important que la norme appartiendra à la catégorie «système de gestion» et visera à se rapprocher d'une cible de bonnes pratiques plutôt que de proposer des bonnes pratiques à appliquer. Ainsi, l'engagement de la direction générale sera nécessaire pour définir la politique de continuité répondant aux exigences de la norme mais adapté à l'entité et à suivre dans le temps dans un cycle d'amélioration (PDCA, Plan, Do, Check, Act). La norme facilitera la vérification de son application réelle par des auditeurs en précisant les exigences à respecter en matière de continuité d'activité. En effet, la norme précise un ensemble de points à conduire comme la définition du périmètre sur lequel le système de gestion va porter, une analyse des risques et un BIA (Business Impact Analysis), la définition et le choix d'options de continuité, la mise en place de procédures, la construction des Business Continuity Plans, la vérification des procédures, la mise en place d'actions correctives et de maintenance. La norme pourra constituer un cadre de référence pour les auditeurs en complément du référentiel de gouvernance des systèmes d'information CobiT (Control OBjectives for Information and related Technology), par exemple. 3/13 07-COURS_MSI_Securite_SI_exo_Corr

4 Infogérance et évaluation financière d'un projet NAS Première partie - Étude de la solution d'infogérance 1. le coût de la solution d'infogérance pour les quatre premières années Coût de la prestation fournie par la SSII Coût du changement N N+1 N+2 N Coût total de l'informatique Coûts cumulés l'intérêt, au plan financier, d'opter pour l'infogérance Coût interne de l'informatique N N+1 N+2 N+3 Coût total de l'informatique Coûts cumulés Comparaison des coûts cumulés N N+1 N+2 N+3 Solution d'infogérance Solution actuelle Écart Il existe un écart favorable de pour la solution d'infogérance par rapport à la solution actuelle. Si la solution d'infogérance représente un coût plus important la première année en raison des frais de transition de et du coût du changement de , elle s'avère avantageuse dès la deuxième année, avec un écart favorable de Au travers de l'analyse des coûts cumulés, il résulte que la solution d'infogérance devient financièrement intéressante à partir de la troisième année. 3. Les différentes formes d'infogérance, ses avantages et ses limites On peut distinguer différentes formes d'infogérance: le FM (Facilities Management) global: la prise en charge du système d'information du client est totale. Elle porte à la fois sur les infrastructures et sur le parc applicatif. Ce genre de FM se généralise de plus en plus; le FM partiel: seule une partie du SI du client est confiée au prestataire; la fourniture d'énergie informatique: ce service permet à un client d'utiliser les ressources d'une unité centrale d'un prestataire; le service bureau: un client confie à un prestataire la gestion de certains de ses services internes. Dans le cas du service bureau, le prestataire traite pour le compte de plusieurs clients certaines de leurs applications (paie, comptabilité... ) selon ses propres moyens logistiques; l'hébergement: un environnement logistique complet et sécurisé est mis à disposition du client. Dans ce cas, le client assure lui-même l'exploitation de ses applications et l'hébergeur se charge du bon fonctionnement des applications. L'infogérance présente de réels atouts mais les limites de cette solution viennent freiner son déploiement. Avantages Recentrage sur le métier de base. Optimisation de la gestion du SI grâce aux compétences du prestataire qui permet un gain de temps, une réduction des coûts (des moyens matériels et Limites Dépendance du résultat de l'entreprise au SI. Dépossession de compétences informatiques. 4/13 07-COURS_MSI_Securite_SI_exo_Corr

5 Avantages logiciels et de personnel), une plus grande flexibilité et un service de qualité. Réduction des risques (de départ des hommes clés, d'obsolescence). Solution de transition lorsqu'une entreprise doit gérer sa croissance, voire une restructuration. Solution pour résoudre un problème spécifique, technique ou organisationnel en l'absence de compétences internes. Limites Dépendance vis-à-vis du prestataire. Toutefois, pour remédier à un tel danger, le prestataire s'engage en général, quelle que soit la cause de l'arrivée du terme du contrat, à prendre toutes les dispositions utiles ou à apporter à son client son concours pour assurer la réversibilité de son système informatique. Cette réversibilité permettra au client de reprendre l'exploitation de son système informatique. Risque de défaillance du prestataire. Solution pour se consacrer à la mise en place de nouvelles applications, en externalisant les anciennes («FM de migration»). Risque de gonflement des coûts. Deuxième partie - Évaluation financière du projet NAS 4. L'utilité de l'intranet pour une entreprise Un intranet est un ensemble de services Internet accessibles par les postes d'un réseau local ou d'un ensemble de réseaux définis, utilisant les standards client/serveur d'internet (protocoles TCP/IP).II induit un coût relativement faible, se réduisant au coût du matériel, de son entretien et de sa mise à jour, avec des postes clients fonctionnant avec des navigateurs. D'autre part, en raison de la nature «universelle» des moyens mis en jeu, n'importe quel type de machine peut être connecté au réseau local, donc à l'intranet. Un intranet permet de mettre à la disposition des utilisateurs ou des groupes d'utilisateurs une base de documents de tous types (textes, images, vidéos, sons, etc.), dont les accès peuvent être définis par des droits d'accès (lecture, écriture, modification, suppression). De plus, il peut réaliser une fonction de «groupware» (en français, «collectique»), qui représente les méthodes et les outils logiciels (appelés «collecticiels») permettant à des utilisateurs de mener un travail collaboratif. Il offre également les fonctions suivantes: annuaire du personnel, messagerie électronique, conférence électronique, forums de discussion, listes de diffusion, moteur de recherche, publication d'informations sur l'entreprise (rapports de gestion), de documents internes (documentation technique), échange de données entre acteurs, gestion de projets, etc. Un intranet favorise la communication, la coopération et la coordination au sein de l'organisation et limite les erreurs dues à la mauvaise circulation d'une information. Toutefois, l'information disponible sur l'intranet doit être mise à jour régulièrement. 5. Le serveur NAS et ses avantages Un NAS (Network Attached Storage) ou serveur NAS est un périphérique de stockage relié à un réseau dont la principale fonction est le stockage de données en un gros volume centralisé pour des clients réseau hétérogènes. Un NAS est un serveur à part entière disposant de son propre système d'exploitation et d'un logiciel de configuration paramétré avec des valeurs par défaut convenant dans la majorité des cas. La technologie RAID (Redundant Array of Inexpensive Disks) est employée pour sécuriser les données stockées contre la défaillance d'un ou de plusieurs disques durs. Le serveur NAS a pour vocation d'être accessible depuis des serveurs clients à travers le réseau pour y stocker des données. Il permet ainsi la gestion centralisée de fichiers, ce qui procure plusieurs avantages: la gestion facilitée des sauvegardes des données d'un réseau; un accès par plusieurs serveurs clients aux mêmes données stockées sur le NAS; la réduction des coûts informatiques par l'achat de disques de grande capacité plutôt que l'achat de disques en grand nombre à installer sur chaque serveur du réseau; la réduction du temps d'administration des serveurs clients en gestion d'espace disques. 5/13 07-COURS_MSI_Securite_SI_exo_Corr

6 Par ailleurs, le NAS augmente la sécurité des données présentes sur celui-ci étant donné que: le système RAID autorise la défaillance de disque sans perte de données; la simplicité du système d'exploitation ainsi que des applications présentes réduisent le nombre de failles de sécurité. 6. Le TRI du projet, le délai de récupération du capital investi et l'opportunité de cet investissement ANNÉE 0 N N+1 N+2 N+3 Chiffre d'affaires Charges spécifiques Dotation aux amortissements Résultat avant IS IS Résultat après IS Dotation aux amortissements CAF Investissement FNT FNT cumulés TRI 19,41 % DRCI Détail des calculs: 2 ans, 9 mois et 12 jours CA N = (8 x 2 000) + (2 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N+ 1 = (6 x 2 000) + (4 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N + 2 = ( 4 x 2 000) + (4 x 3 000) + (4 x 4 000) + (1 x 6 000) = CA N+ 3 = (4 x 2 000) + (3 x 3 000) + (5 x 4 000) + (1 x 6 000) = DRCI = 2 ans et (360 x ! 22167) jours = 2 ans 9 mois et 12 jours Conclusion Le projet est très rentable sur quatre années avec un TRI avec prise en compte de la fiscalité de 19,41 %. Le délai de récupération du capital investi, sans actualisation des Aux nets de trésorerie. est de 2 ans et 9 mois, et s'avère acceptable pour ce projet où le GIE exige comme critère de recevabilité une récupération du capital investi dans un délai de (rois ans. Toutefois, il aurait été plus pertinent de réaliser ce calcul avec actualisation. Le projet au regard du TRI et du critère de récupération du capital investi doit donc être jugé intéressant. 6/13 07-COURS_MSI_Securite_SI_exo_Corr

7 RCOM Première partie: mise en conformité PCI / DSS 1. Analyse des écarts : Fautes qu'a pu commettre l'entreprise par rapport aux 12 points évoqués dans le tableau de synthèse 1) Installez et maintenez un firewall pour protéger vos données. Puisqu'un fraudeur extérieur a pu rentrer dans le système de l'entreprise RCOM, c'est que la protection par firewall était défaillante. 2) N'utilisez pas les mots de passe par défaut fournis avec les équipements et les logiciels. La politique de changement périodique de mots de passe permet en particulier d'éviter les problèmes de personnel ayant quitté l'entreprise et conservant des accès possibles au système d'information. 3) Protégez les données stockées. Le meilleur moyen de protéger les données stockées est de les chiffrer (exemple en 3 DES) et de les déchiffrer à la volée afin que tout accès illicite ne puisse conduire qu'à la consultation de données chiffrées et donc incompréhensibles. 4) Toutes les transmissions contenant des données bancaires sur des réseaux publics (Internet, X25) doivent impérativement être correctement chiffrées (VPN, SSL). C'est le cas en particulier à 2 moments dans la transaction: quand l'utilisateur rentre ses données bancaires pour le paiement de la transaction, et à ce moment l'utilisation de TLS ou SSL est préconisée, et quand le commerçant communique ces informations à la banque (ici le Crédit Financier), et là un chiffrement 3 DES sur un VPN est recommandé. 5) Utilisez et maintenez des antivirus à jour. C'est effectivement un des moyens pour les fraudeurs de rentrer dans le système de l'entreprise ISA (virus, cheval de Troie) : la protection par antivirus pouvait être défaillante. 6) Développez et maintenez la sécurité de vos systèmes et de vos applications (appliquez les correctifs de sécurité). Les constructeurs fournissent des patchs, ou des releases afin de maintenir les systèmes d'exploitation dans un état de sécurité au niveau connu à un instant T. Il convient donc en permanence d'effectuer les mises à jour de sécurité préconisées. 7) Restreignez l'accès aux seules données dont l'utilisateur (employés compris) a besoin (<< business need-to-know»). Une politique de sécurité est un tout et la plus petite faille peut être un point d'entrée pour les fraudeurs. Dans le cas de l'entreprise 1 SA, il faut se demander si le stockage des données de numéros de carte était vraiment utile. La réponse est dans la majorité des cas que ce stockage est inutile. 8) Chaque utilisateur doit posséder un identifiant unique. Les codes d'accès personnel que plusieurs personnes utilisent posent le problème de l'absence possible de traçabilité en cas de fraude ou de suspicion de fraude. 9) Restreignez l'accès physique aux serveurs contenant des données sur les cartes bancaires des clients. Si la réponse à la recommandation W 7 impliquait le stockage sécurisé des numéros de cartes bancaires, l'accès à ces données doit être très limité et très sécurisé tant du point de vu physique que logique. 10) Surveillez et stockez les événements d'accès aux ressources et aux données bancaires des clients (Conservation et analyse de logs). La conservation des traces doit être accompagnée de l'analyse périodique, mais aussi impromptue, de ces logs. 11) Testez régulièrement la sécurité de vos systèmes et de vos processus par des audits de sécurité. 7/13 07-COURS_MSI_Securite_SI_exo_Corr

8 L'audit de sécurité s'applique au système informatique lui-même, mais aussi aux procédures PCI/DSS. 12) Assurez le maintien et la communication de la politique de sécurité pour tous les collaborateurs. 80% des fraudes commerçants impliquent une complicité, une inconséquence, une maladresse ou une incompétence de la part d'un employé de la société. La mise en uvre d'une politique de sécurité requiert de communiquer sur les actions entreprises mais aussi des tests périodiques permettant de maintenir le personnel en éveil. 2. Mise en oeuvre de protection : Principaux items d'un Plan de Sécurité des Systèmes d'information destiné à éviter qu'un tel incident se reproduise - Commentaire La mise en place de la PSSI sur l'exploitation va permettre de : Rendre le fonctionnement du SI moins dépendant des personnes qui le composent. Sensibiliser l'ensemble des utilisateurs du SI à l'usage et aux risques inhérents au SI. Améliorer les relations avec les fournisseurs et les intervenants extérieurs en fixant des règles claires et admises par tous. Assurer la sécurité et la qualité de l'information contenue dans le SI et sur les postes nomades. Assurer la confiance dans l'utilisation des applications métiers et de la messagerie. Assurer le contrôle des échanges dans et à l'extérieur du SI. Inversement, si le PSSI est inexistant, les risques sont: Le système informatique dépend d'une personne qui détient la connaissance. Sans le savoir, un utilisateur peut contaminer votre système informatique. Un prestataire peut sortir des données sensibles hors de l'entreprise lors d'une opération de maintenance. Les concurrents peuvent voler sans que vous le sachiez des données en s'introduisant dans votre réseau. Les items du PSS : 1. Définir chacune des fonctions de l'entreprise, faire un schéma pour chacune d'elles Production (chaîne 1,2, 3... ), gestion, contrôle, comptabilité Lister les biens à protéger Données clients et entreprises, logiciels, équipements, savoir-faire Lister les menaces associées à chaque bien Corruption volontaire de données, panne machine... 4) Décrire les vulnérabilités du SI (faille du système) Accès, équipements, applications, hommes... 5) Calculer, pour chaque vulnérabilité, les risques associés Si attaque sur les numéros de carte => le serveur de données doit être arrêté => les données clients ne sont plus accessibles. 6) Associer à chaque fonction la stratégie de l'entreprise Prioriser les fonctions (temps d'arrêt possible), définir la confidentialité des informations, choisir de mettre en oeuvre (non-répudiation des transactions, authentification des utilisateurs... )... 7) Définir les contre-mesures possibles et estimer les coûts correspondants Back up distant, identification forte des utilisateurs, formation des hommes. 8) Valider les choix en direction générale: Ne rien faire, s'assurer contre tout ou partie du risque, ou mettre en uvre les contre-mesures proposées. 8/13 07-COURS_MSI_Securite_SI_exo_Corr

9 Deuxième partie: mise en place de plans d'action en cas de crise 3. Principales actions à entreprendre pour la mise en oeuvre des différents plans Les crises les plus faciles à résoudre sont celles. qui ne se déclenchent pas. Bonne gestion d'une situation sensible. Gestion du «silence». La gravité d'une crise dépend des premières heures Nécessité de disposer d'un excellent système d'alerte et... d'être préparé. Identification en amont des risques. Les personnes responsables de ces différents plans sont les suivantes: a) PGC: Plan de Gestion de Crise Le Plan de Gestion de Crise est basé un système d'alerte: Il faut mettre en place un veilleur qui doit établir un diagnostic préliminaire à partir des éléments de l'alerte: Comptabilité: balance carrée... Production: taux d'incident... RH : absentéisme des employés... Projet: retard moyen... Commerciaux: enquête de satisfaction clients... Stratégie: évolution des parts de marché... Informatique: taux d'incidents... Financier: évolution de la trésorerie... Communication: image perçue de l'entreprise... Achat: état de santé des sous traitants; Dès l'apparition de l'alerte, le veilleur doit: Se rendre sur le site concerné (s'il n'y est déjà) ; Établir un diagnostic préliminaire. Le veilleur doit comprendre les signaux d'alerte et identifier les risques latents. Pour cela, il doit: Écouter ; Analyser ; Veiller ; 9/13 07-COURS_MSI_Securite_SI_exo_Corr

10 Anticiper. Le veilleur doit déclencher un plan d'alerte L'objectif général de ce plan est d'informer le personnel de l'entreprise, du site concerné, de l'existence du sinistre, et de convoquer les équipes de secours; Le veilleur doit, suite de son diagnostic, informer la Direction Générale. Selon la nature de ce diagnostic, la DG peut décider de convoquer une Cellule de Crise, et cette réunion décisionnelle statuera sur de la suite à donner. A l'issue de la réunion de la cellule de crise, la décision d'activer ou non un scénario de secours doit être prise. Il faut prévoir de mettre en oeuvre cette cellule de crise, dont les rôles sont: - Coordination de l'action; Décision, si nécessaire, de convoquer les équipes de secours; Définition de la communication interne; Définition de la communication externe; Convocation des représentants des directions; Estimation du planning de reprise. La cellule de crise a pour vocation de constater la réalité du sinistre et d'évaluer la situation. La question majeure est de savoir si l'exploitation peut être reprise, même en mode dégradé, dans un temps inférieur au délai de reprise en configuration de secours. Cependant, il faut en avoir préalablement identifié les membres (car au moment de la survenance de cette crise, le temps est un facteur crucial). Cette Cellule comprend généralement: Un Responsable de la Cellule de Crise; Une équipe Communication (interne et externe) ; Les Directeurs des Métiers à reprendre après la crise; Les collaborateurs de crise pour chaque Direction; En soutien, une équipe Logistique avec le Responsable Opérationnel du site principal et ses Correspondants Locaux. Il faut définir un plan d'action de la cellule de crise, dont les décisions concernent également: l'évaluation des dommages et les possibilités de remise en état; la définition et la mise en oeuvre des politiques de communication interne et externe; la sélection de la stratégie la mieux adaptée aux circonstances. b) PRA: Plan de Reprise d'activité Il faut prévoir le retour à la normale Guide des actions de retour à la normale: quelles actions doivent être menées pour assurer la reprise d'activité en mode normal? Planning de retour à la normale: la mise à disposition d'une configuration technique de secours et d'un site de repli utilisateurs est limitée dans le temps. Il est donc indispensable, dès stabilisation de la solution de secours, d'organiser la transition vers la situation normale ou vers une autre situation de type similaire. La problématique majeure est donc de maîtriser le planning de ce retour, et de disposer d'une visibilité suffisante sur l'avancement des travaux pour pouvoir, si nécessaire, adapter la stratégie de retour à la normale. Il convient donc d'écrire les procédures qui mettent la stratégie en oeuvre. Ceci inclut les procédures d'intervention immédiate - Qui prévenir? 10/13 07-COURS_MSI_Securite_SI_exo_Corr

11 Qui peut démarrer le plan et sur quels critères? Où les équipes doivent-elles se réunir? Le Plan de Reprise d'activité est placé sous la responsabilité du Responsable du Système d'information (OSI). Il contient les informations suivantes: La composition et le rôle des «équipes de pilotage du plan de reprise» ; Les dirigeants qui ont autorité pour engager des dépenses; Le porte-parole en charge des contacts avec les tiers: les clients et les fournisseurs, etc. ; Au niveau tactique, les responsables qui coordonnent les actions; Au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement. Les membres des équipes doivent recevoir une formation. Les procédures pour rétablir les services essentiels, y compris le rôle des prestataires externes. Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d'indisponibilité des bâtiments. Le plan doit être régulièrement essayé au cours d'exercices. Un exercice peut être une simple revue des procédures, Un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter: A la reprise d'une ressource (par exemple, le serveur principal), A une seule fonction du plan (par exemple, la procédure d'intervention immédiate). Le but de l'exercice est multiple: Vérifier que les procédures permettent d'assurer la continuité d'activité; Vérifier que le plan est complet et réalisable; Maintenir un niveau de compétence suffisant parmi les équipes de pilotage; Évaluer la résistance au stress des équipes de pilotage. c) PCA: Plan de Continuité d'activité C'est un système organisé qui garantit la continuité des opérations en cas de crise. Il doit être mis en oeuvre Lorsqu'un risque majeur survient et qu'il rend le site inaccessible ou inexploitable pour plus de 24 heures. Il doit permettre : d'assurer un lien permanent avec ses clients, ses fournisseurs et les collaborateurs; de garantir l'excellence opérationnelle. Les procédures actuelles ne prennent pas tout en compte. Cependant, plusieurs axes doivent être explorés: - Pérennité de l'organisation en cas de crise; Minimiser l'arrêt d'exploitation (gestion des flux) ; Offrir une Qualité de Service satisfaisante; Piloter et Manager les risques en les anticipant. Le Plan de Continuité d'activité impose la nomination d'un chef de projet indépendant de la OSI : Le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information (OSI). Il est en effet censé réaliser des préconisations organisationnelles et technologiques avec statut de consultant, au même titre que d'autres départements de l'entreprise jugés critiques. Il peut être par exemple détaché par la direction générale auprès du département de gestion des risques (Risk Management). 11/13 07-COURS_MSI_Securite_SI_exo_Corr

12 Le Plan de Continuité d'activité doit s'appuyer sur un audit des activités critiques de l'entreprise Lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales. Dans ce but, il est conseillé d'interviewer les responsables de chaque activité, en vue de cerner leurs besoins en termes humains et de reprise applicative. Une méthodologie qui permettra de sensibiliser les responsables à la démarche tout en faisant le point sur leur niveau d'exigence. Le Plan de Continuité d'activité doit conduire à la réalisation d'un document de synthèse Il formalise une classification des activités par niveau d'exigence (ou niveau de criticité). Il précise également les liens existant entre elles pour en assurer le bon fonctionnement «Les forces politiques existantes dans l'entreprise doivent absolument être prises en compte dans cette hiérarchisation pour éviter tout blocage des manageurs lors de la phase de mise en uvre». Le Plan de Continuité d'activité doit s'appuyer sur la validation des niveaux d'exigence La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de responsables des directions administratives et financières, sans oublier les départements correspondant aux activités jugées critiques. Le Plan de Continuité d'activité permet l'élaboration d'un cahier des charges Un cahier des charges est réalisé. Pour chaque activité, il passe en revue les éléments nécessaires au plan de reprise, en termes: D'infrastructure logicielle et matérielle (nombre de positions de travail, de serveurs, d'accès réseau, etc.) ; D'applications (outils métier, etc.) ; De ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par applications et de pertes de données. Les interdépendances entre applicatifs sont formalisées. Le Plan de Continuité d'activité doit être formalisé Décrire clairement les processus à mettre en place. L'objectif est de structurer les actions nécessaires à la préservation des moyens indispensables à la continuité des activités; L'ensemble des ressources qui doivent être mises en oeuvre par chaque direction pour permettre la continuité de service en cas d'indisponibilité d'un ou plusieurs sites; - Informatique (applications métiers, bureautique) ; Télécommunications (liaisons informatiques, téléphonie) ; Logistique (bureaux, matériels... ) ; Sauvegarde des écrits (documents commerciaux et légaux... ). Déterminer les profils humains et les moyens techniques nécessaires. Détailler la cascade d'alertes à activer lors de l'incident. Détailler les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose. Le Plan de Continuité d'activité doit être testé et maintenu Soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. 12/13 07-COURS_MSI_Securite_SI_exo_Corr

13 Maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise. «Tests et configurations successives doivent être clairement historisés». Le PCA en place, celui-ci n'en est pas pour autant appelé à demeurer figé. En effet, l'organisation de l'entreprise et son système d'information connaîtront inévitablement des évolutions. Cela impose ainsi de définir les responsabilités et les procédures pour maintenir le PCA dans un état opérationnel. A défaut de mise à jour, les risques sont élevés d'être confronté à une défaillance au moment de la crise, sans compter les frais découlant d'une réinitialisation du PCA, et en l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant A défaut d'une mise à jour de la procédure de reconstruction du site de secours, l'activité, au lieu démarrer en 24 heures, ne reprendra qu'au bout de 3 ou 4 jours, voire plus. 13/13 07-COURS_MSI_Securite_SI_exo_Corr