La continuité des activités informatiques Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008
Pas de recette toute faite!!! Vérité n 1 : «il existe autant de PCA différents que de sociétés» Votre projet de continuité dépendra de votre organisation interne vos besoins les moyens humains, financiers et organisationnels que vous êtes prêts à y consacrer le cadre d application de la continuité dans votre environnement l importance de votre infrastructure et les technologies la composant Pas de recette applicable à tous les cas mais un projet spécifique à votre contexte
«Si vis pacem para bellum» Vérité n 2 : «il y a 2 types de sociétés : celles qu i ont souffert d un désastre et celles qui en souffriront» Face à un désastre majeure Beaucoup d entreprises disparaissent Peu se relèvent et auront changé pour toujours Très peu y étaient préparés La préparation est une activité constante Un PCA est un plan et comme tous les plans, il doit être maintenu, revu et corrigé
Un projet interdisciplinaire!!! Vérité n 3 : «la continuité opérationnelle n est pas seulement une problématique technologique» Réduire la continuité des activités à la seule informatique donne un faux sentiment de sécurité Un plan de continuité implique l informatique mais également la logistique ou les «moyens généraux» les RH l ensemble des processus métiers Un plan de continuité réussi intègre l identification des processus métier critiques l inventaire et l analyse des moyens (informatiques) les supportant
Une méthodologie générique Dénominateur commun Son objectif : mettre en place les mesures humaines, techniques, financières et organisationnelles nécessaires afin de permettre aux activités opérationnelles d une entreprise de se dérouler dans la continuité, avec le minimum d interruptions et pertes de revenus correspondantes Son cadre d application général : les personnes, la technologies et les processus L évaluation des risques et l analyse des impacts métiers L implication de la direction Il s agit d un projet d entreprise et doit être mené par la direction Mais l élaboration d un PCA n est pas nécessairement un très gros projet
Les phases (selon ITIL) Analyse des impacts Implémentation matérielle et logistique Sensibilis. Training/drill Kick off Évaluation des risques Planification organisationnelle Elaboration des plans de reprise Procédures et tests Revue régulière Stratégie de continuité Implémentation des mesures de réduction des risques Gestion du changement Tests Kick off Besoins Implémentation Gestion
Les phases : Kick-off Phase de définition du projet Activités Définition du scope Élaboration de la mission Vente du concept (buy-in) Définition des moyens (humains et financiers) Organisation du projet et des moyens de suivi et de mesure Communication et implication de la direction Ce n est pas un projet informatique, c est un projet d entreprise avec une composante informatique!!!!!
Les phases : Définition des besoins Phase de définition des besoins et de sélection des options principales (stratégie de continuité) Activités Analyse des impacts métier Évaluation des risques Stratégie de continuité Qu est-ce que je risque de perdre? Quel risques réels menacent mon entreprise? Quelles sont les options pour protéger mon entreprise? Dommages ou pertes potentielles à mon entreprise en cas de désastre - Quels risques - Menaces et vulnérabilités - Niveaux de risques - Mesures de réduction - Options de reprises - Alternatives organisationnelles
Analyse des impacts métier Doit identifier les grands processus critiques de l entreprise (supply chain, procurement, ) les dommages et pertes aux affaires pouvant résulter d un désastre et les conséquences humaines, financières et intangibles y relatives les composantes clés de l infrastructure soutenant les processus critiques (supply chain = ERP SAP = infrastructure logicielle et matérielle SAP) mais aussi les personnes/services/installations clés soutenant les processus critiques le niveau minimal d opérations pour assurer la survie de l entreprise pendant le temps de la reprise (mode dégradé) le temps maximal pendant lequel l entreprise peut vivre en mode dégradé
Évaluation des risques Grandes familles technologiques soutenant les processus critiques Probabilité qu une interruption de service survienne sur cette infrastructure Conséquence sur le processus critique de la survenance d une menace Composantes clés de l infrastructure Menaces réelles sur cette infrastructure Vulnérabilités Risques Mesures de prévention, réduction, mitigation
Stratégie de continuité Mesures de prévention, réduction, mitigation Outsourcing Redondance Externalisation Contrôles Procédures Priorité par lots fonctionnels ou organisationnels Reprise à froid Haute disponibilité Options de reprise Analyse coûtsbénéfices
Les phases : implémentation Planification organisationnelle Implémentation matérielle et logistique Elaboration des plans de reprise Procédures et tests Implémentation des mesures de réduction des risques Conduite traditionnelle du projet de réalisation Représente la composante lourde du projet
Etapes de l implémentation (1) Planification organisationnelle Implémentation matérielle et logistique Acquisition de matériel et logiciel pour l équipement d un site secondaire Installation du site secondaire et accostage Négociation éventuelle avec des fournisseurs de services (hébergeurs) Implémentation des mesures de prévention et réduction des risques, par exemple Externalisation Système à tolérance de panne Équipements redondants
Etapes de l implémentation (2) Élaboration et rédaction du plan Plan d évaluation des dégâts Plan de crise Plan de bascule en mode dégradé Plan d opérations en mode dégradé (composantes métier et IT) Plan de retour en mode nominal Rédaction des procédures et tests Procédures d installation et tests des équipements et locaux de remplacement Procédures de restauration des données dans un état connu Procédures de tests de simulation complète ou partielle
Les phases : gestion du plan Sensibilis. Training/drill Revue régulière Gestion du changement Tests C est là que le vrai travail commence Il s agit de faire vivre le plan Le faire connaître au sein de l entreprise et en faire comprendre son importance Former/entrainer les équipes informatiques IT et métier aux procédures Revoir régulièrement l adéquation du plan aux besoins et sa correspondance à l infrastructure Gérer le changement Tester régulièrement en simulation grandeur nature (partielle ou complète)
Calibrer votre projet et les investissements relatifs Éviter / Éviter / éliminer éliminer $ R Ensemble des Ensemble des risques risques opérationnels opérationnels f * i Risque résiduel Risque résiduel f * i Réduire Réduire Risque Risque résiduel résiduel f * i Transférer Transférer Risque Risque résiduel résiduel f * i Accepter Accepter Risque Risque résiduel résiduel Assurer Assurer Risque Risque Toléré Toléré $ f*i La somme des mesures d évitement, de réduction, de transfert, d assurance des risques ($ R ) additionnée au risque résiduel toléré ($ rrt ) ne doit pas être supérieure à l ensemble des risques valorisés (S f*i )
Pragmatisme Impact croissant RISQUES MAJEURS Fréquence faible Impact fort Fréquence forte Impact fort Fréquence faible Impact faible Fréquence forte Impact faible Scénario de risques Objet de l analyse Fréquence croissante
Quand invoquer le plan? Le plan de crise doit définir, sur la base d une évaluation des dégâts d une évaluation de la durée d interruption des services de l impact estimée sur la conduite des affaires d autres facteurs spécifiques à votre entreprise si le déclenchement du mode désastre est nécessaire Il faut également prévoir le mode de communication du plan de crise à l ensemble de l entreprise pour activer les relais prévus et testés
Merci de votre attention