HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité (SMCA) RSSIA 2013, Bordeaux 21 juin 2013 Thomas Le Poetvin Hervé Schauer
Introduction Système de management ISO 22301 SMCA Continuité d'activité 2 ISO 22313 ISO 27031
Continuité d'activité : vocabulaire Plan de Continuité d'activité (PCA) Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l entreprise, puis la reprise planifiée des activités (CRBF 2004/02) Procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite d'une interruption (ISO 22301 3.6) 3
Continuité d'activité : vocabulaire Plan de Secours Informatique (PSI) Ensemble des procédures et dispositions pour garantir à l entreprise la reprise de son système informatique en cas de sinistre. Sous ensemble du PCA qui couvre les moyens informatiques et télécoms (AFNOR) Appelé PTCA dans la norme ISO 27031:2011 : Préparation des Technologies de l'information et de la Communication (TIC) à la Continuité d'activité Plan de Reprise d Activité (PRA) Ensemble de procédures qui permettent de repartir à partir d un point d interruption donné (CCA) «reprise» suppose qu il y eut interruption [ ]. Identifiée comme la partie purement métier du PCA. 4
Continuité d'activité : vocabulaire SMCA / BCMS SM / MS PCA / BCP PSI / DRP PGC / CP PRA / BRP PCA : Plan de Continuité d'activité / Business Continuity Plan PSI : Plan de Secours Informatique / Disaster Recovery Plan PRA : Plan de Reprise d'activité / Business Recovery Plan PGC : Plan de Gestion de Crise / Contingency Plan 5
Introduction Système de management ISO 22301 Point sur les normes Continuité d'activité 6 ISO 22313 ISO 27031
Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization 163 pays représentés par leur agence de normalisation En France : AFNOR Normalisation TC223 : sécurité sociétale Créé en 2001, normes ISO 22 3XX TC262 : management du risque Créé en 2011, normes ISO 31 0XX JTC1 : informatique Cas particulier : comité joint entre l'iso et l'iec créé en 1987 JTC1/SC27 : sécurité 7 CrééCopyright en 1991, ISO 27 0XX Hervénormes Schauer Consultants 2000-2013 - Reproduction Interdite
Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Autres organismes de normalisation HL7 IEEE UIT/ITU IETF IEC 8
Normes en continuité d'activité ISO 22301:2012 : Preparedness and Continuity Management Systems Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'activité, SMCA Exigences pour des systèmes de management de la continuité d'activité ISO 22313:2012 : Guideline for incident preparedness and operational continuity management Guide de mise en œuvre de l'iso 22301 ISO 27031:2011 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 22301) 9
Introduction Système de management ISO 22301 SMCA Continuité d'activité 10 ISO 22313 ISO 27031
ISO 22301 Norme utile pour (1) Établir, mettre en œuvre, maintenir et améliorer un SMCA Assurer la conformité avec la politique de continuité d'activité Démontrer cette conformité à des tiers Certifier son SMCA par un organisme de certification accrédité Auto-évaluer et auto-déclarer sa conformité 11
Système de management Organisation Système de Management Partenaires Fournisseurs Formulent des exigences Planification Plan Clients Pouvoirs publics Satisfait les exigences Action Correction Do Act Services Vérification Check 12
ISO 22301 : PDCA (0.3) Plan 0.3 4) Contexte, besoin, périmètre 5) Engagement de la direction, politique 6) Planification 7) Gestions des moyens Do Act 8) Exploitation, BIA, Gestion des risques, plans, tests 10) Amélioration Check 9) Réexamens, audits, revue de direction 13
ISO 22301 Phase PLAN (0.2) Compréhension du contexte (4.1) Compréhension des besoins et des exigences des tiers (4.2) Périmètre du SMCA (4.3) Engagement de la direction (5.2) Politique (5.3) Organisation, rôles et responsabilités (5.4) 14
ISO 22301 Phase PLAN (0.2) Détermination des objectifs stratégiques et principes directeurs du SMCA dans son ensemble Détermination des orientations pour aborder les risques et les opportunités (6.1) Détermination des objectifs et des moyens pour atteindre ceux-ci (6.2) 15
ISO 22301 Phase PLAN (0.2) Gestion des moyens (7) Ressources (7.1) Compétences (7.2) Formation P o litiq u e e t o b je c tifs d u S M C A Sensibilisation (7.3) Communication (7.4) Interne Documentation (7.5) Couvre tout ce que demande la norme et tout ce que l'organisme jugera nécessaire pour le SMCA Contribue à la conformité aux exigences légales, réglementaires et contractuelles Fournit des preuves 16
ISO 22301 Phase DO (0.2) Exploitation (8) ou gestion opérationnelle (8.1) Nécessaire à la réalisation des actions planifiées au (6) 17
ISO 22301 Phase DO (0.2) Analyse des impacts métier (Business Impact Analysis) (8.2.2) Identification des activités critiques en évaluant les impacts de leur indisponibilité pour l'organisme Détermination des exigences métier en matière de continuité pour priorisation Identification des dépendances (ressources et moyens) nécessaires aux activités critiques Appréciation des risques (8.2.3) Identification des risques d'indisponibilité des actifs concernés : métiers, ressources et moyens supports aux processus métier (RH, IT, bâtiments...) Analyse, et évaluation des risques d'indisponibiiités et identification des traitements proportionnés, en tenant compte des objectifs de continuité d'activité, et conformément à l'appétit du risque de l'organisation. 18
ISO 22301 Phase DO (0.2) Stratégies de Continuité (8.3) Moyens de maîtrise des risques et des impacts métier Détermination et choix des solutions de continuité (8.3.1) à partir des résultats issus étape 8.2 (BIA et AP) conformes aux exigences et aux objectifs de continuité Identification des ressources et moyens supports (8.3.2) pour la mise en œuvre des solutions retenues Protection et rétablissement des activités prioritaires (8.3.3) Mise en place des actions pour réduire la probabilité de survenance et la durée de la perturbation, et, in fine, limiter les conséquences 19
ISO 22301 Phase DO (0.2) Gestion des incidents perturbateurs (8.4.1, 8.4.2, 8.4.3) Disruptive incidents Structure générale des documents (8.4.1) Mise en place d'une structure de gestion des incidents (8.4.2) Avertissement et communication (8.4.3) Dispositif d'alerte et escalade Plans et procédures de continuité (8.4.4) Plan de gestion de crise, plan de secours informatique 20
ISO 22301 Phase DO (0.2) Tests et exercices (8.5) Cohérents avec la stratégie Basés sur des scénarios significatifs Menés régulièrement Valident le caractère opérationnel des plans de continuité et solutions associées 21
ISO 22301 Phase CHECK (0.2) Réexamen périodique (9.1) Surveillance Mesurage Analyse Évaluation Audit interne (9.2) À intervalles planifiés Revue de direction (9.3) A intervalles réguliers 22
ISO 22301 Phase ACT (0.2) Prendre les mesures résultant des constatations faites lors de la phase de vérification Si constatation de non-conformité Réagir à la non-conformité (10.1.b) Actions entreprises immédiatement Gérer les conséquences de la non-conformité (10.1.b.2) Prendre les actions correctives pour éliminer les causes de la nonconformité (10.1.c) Planification d'actions sur le moyen et long terme Revoir toute action corrective prise (10.1.e) Faire tout changement sur le SMCA lui-même (10.1.f) Et toujours améliorer la pertinence, l'adéquation et l'efficacité du SMCA (10.2) 23
Vision opérationnelle de la continuité Dispositif organisationnel ou technique permettant de Réduire les risques (proactif) Sites Travail manuel Vraisemblance et durée de la perturbation Impacts Assurer la continuité d'activité (réactif) Personnel Matériels & logiciels Données Réseaux 24 Gérer l'incident Poursuivre les activités Finalité de la discipline «Continuité d'activité»
Système de management de la continuité d'activité (SMCA) Direction Pilotage du SMCA Gestion des Impacts sur l'activité Gestion des Actions Correctives et Préventives Gestion de la Surveillance et du Réexamen 25 Gestion de la Conformité Gestion des Stratégies de continuité Gestion des Incidents perturbateurs Gestion des Risques Gestion de la Documentation et des Enregistrements Gestion des Ressources, des Compétences et Sensibilisation
Séquencement d'un incident perturbateur 26
Intégration dans le SMCA Hiérarchie documentaire Approche descendante (top-down) Coté maîtrise d'ouvrage Périmètre et Politique du SMCA ISO 22301 8.2.3 a) b) c) ISO 31000 5.4 ISO 22301 8.2.2 Appréciation du risque Analyse des impacts sur l'activité Stratégie de continuité d'activité 1) Stratégies de continuité d'activité 2) Exigences sur les ressources 3) Protection et atténuation 27 ISO 22301 4.3 ISO 22301 5.3 ISO 22301 8.2.3 d) ISO 22301 8.3.3 ISO 31000 5.5
Atouts de la norme ISO 31000 Consensus international sur le management des risques Compréhension mutuelle mondiale Vise à harmoniser les processus de management du risque dans les normes existantes et à venir : sans les remplacer Comparaisons plus faciles entre les secteurs d'activités et les risques de nature différentes : continuité, SSI, santé, industriel,... les techniques d'appréciation des risques Prône des principes importants en gestion des risques Gestion dans la durée et amélioration continue (ISO31000 3 j & k) Approche systématique (ISO31000 chapitre 3 e) : méthodique, répétable, appropriable par une procédure pas à pas (Business Dictionnary) Impose à la direction générale et aux parties prenantes d'être parfaitement informées (ISO31000 3 i) 28
Défauts de la norme ISO 31000 Payante Norme Ne constitue pas une méthode utilisable Lignes directrices générales Absence de base de connaissances Ne se suffit pas à elle-même Imprécise sur les composantes d'un risque Accorde une liberté qui peut conduire à Erreurs dans l'identification des composantes du risque Appréciation trop superficielle ou trop détaillée 29
Approches aux cultures différentes Américaine : DRII D'abord l'adr Ressources supports pour le BIA Scénarios pour le BIA Pas de vision précise du périmètre métier Visions DG & Métier indispensables Approche par scénario d'incident perturbateur Cadre l'application du plan Multiplication des Plans Ne favorise pas l'adaptabilité des acteurs du PCA 30 Britannique : BCI D'abord le BIA Conséquences pour l'adr Facilite l'identification des ressources supports Pas de risques validés Approche par processus Imbrication logique des Plans par briques Les acteurs du PCA doivent appliquer intelligemment les Plans Pas simple en phase de stress Cadre global
Dans la pratique... La Direction Générale a déjà une vision sur Ses activités critiques Les scénarios d'incidents perturbateurs à couvrir BIA et AdR réalisés en parallèle Mutualisation des entretiens S'alimentent l'un l'autre Définition des Plans de Continuité d'activité Un maximum par processus et fonctions supports Des plans spécifiques pour les incidents perturbateurs transverses Pandémie Coupure électrique générale... 31
Introduction Système de management ISO 22301 SMCA Continuité d'activité 32 ISO 22313 ISO 27031
ISO 22301 par rapport à ISO 22313 33 ISO 22301 ISO 22313 10 Chapitres d'exigences Description pour chaque chapitre de moyens de mise en œuvre
ISO 22301 par rapport à ISO 22313 ISO 22301 Exigences pour le SMCA Guide de mise en œuvre Usage du verbe Usage du verbe SHALL Volumétrie Nombre total de pages 32 Certification possible 34 ISO 22313 SHOULD Volumétrie Nombre total de pages 60 Pas de certification possible
Introduction à l'iso 22301 Système de management ISO 22301 SMCA Continuité d'activité 35 ISO 22313 ISO 27031
ISO 27031 Directives liées à la continuité des activités IT alignées sur le SMCA Développée et publiée avant l'iso 22301 et l'iso 22313 PTCA : Préparation des TIC pour la Continuité d'activité (4) Couramment appellé PSI (Plan de Secours Informatique) ICT readiness for Business Continuity Référence les normes : ISO 27001 : Système de Management de la Sécurité de l'information ISO 27002 : Mesures de sécurité ISO 27005 : Gestion des risques en sécurité de l'information 36 ISO 27035 : Gestion des incidents liés à la sécurité de l'information
ISO 27031 PTCA : Préparation des TIC pour la Continuité d'activité (4) Fait partie intégrante du PCA et par transitivité du SMCA SMCA / BCMS SM / MS Plan de Continuité d'activité (PCA) Plan Secours Informatique (PSI) Plan de Réponse à Incident Plan de Reprise d'activité (PRA) ISO 27031 37
Phases PDCA de la PTCA / du PSI 38
Intégration de la PTCA dans le SM La PTCA s'intègre dans le SMCA mais peut également être gérée comme un processus holistique Utilisation du cycle PDCA (5.6) : différent de la 22301 Engagement de la Direction (5.7.1) Politique PTCA (5.7.2) Direction Pilotage du SMCA Ressources (6.2) et compétences du personnel PTCA (6.2.2) Programme de sensibilisation, compétence et formation (7.5) Maîtrise des documents (7.6) Gestion des Ressources, des Compétences et Sensibilisation Gestion de la Documentation et des Enregistrements Suivi et revue (7.6) Mesure des critères de performance (8.4) Audit interne (8.2) Gestion de la Surveillance et du Réexamen Revue de direction (8.3) Amélioration de la PTCA (9) 39 Gestion des Actions Correctives et Préventives
Intégration de la PTCA dans le PCA La PTCA s'intègre complètement dans le PCA Fait partie intégrante du processus de management de la continuité d'activité (5.1) Gestion des Impacts sur l'activité Gestion des Risques Suppose que l'organisme a déjà procédé un BIA en amont (6.3.1) Activités métiers priorisées en termes de continuité Les exigences de continuité d'activité se traduisent en délais de reprise : RTO, RPO & OMCA (Objectif Minimal de CA : correspondance DIMA) Plusieurs étapes inhérentes à une appréciation des risques (6.3.2 & 6.3.3) Identifier des services IT critiques et leurs composants (ressources) Apprécier les risques d'interruption ou de détérioration des services Identifier les écarts entre l'it et les exigences de continuité d'activité Détermination des options de stratégie PTCA (6.4) Gestion Réaction aux incidents Essai et exercice (8.1.3) 40 (7.3) Gestion des Incidents perturbateurs des Stratégies de continuité
La PTCA en amont des projets Concevoir et intégrée la PTCA en amont de la création des services IT (5.5) Intégration de la continuité d'activité dans les projets Bénéfices Stratégie de la PTCA globale cohérente Niveaux de services IT en adéquation avec les objectifs de continuité d'activité Établissement en amont la communication entre les métiers et l'it Résilience au meilleur coût 41
Conclusion Levier d'apport de confiance Permet de démontrer que l'on a fait ce que l'on devait faire dans un domaine où c'est difficile Avantage concurrenciel Exigences contractuelles Normes qui deviendront incontournables Questions? Herve.Schauer@hsc.fr www.hsc.fr 42