HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Documents pareils
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

La conformité et sa dérive par rapport à la gestion des risques

Sinistres majeurs : comment assurer la continuité d activité?

Les clauses «sécurité» d'un contrat SaaS

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

D ITIL à D ISO 20000, une démarche complémentaire

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Prestations d audit et de conseil 2015

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Gestion des incidents

Christophe Casalegno Groupe Digital Network

ISO/CEI 27001:2005 ISMS -Information Security Management System

THEORIE ET CAS PRATIQUES

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Outils et moyens pour implanter la continuité des opérations dans votre organisation

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Brève étude de la norme ISO/IEC 27003

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Club toulousain

Novembre 2007 Recommandations en matière de Business Continuity Management (BCM)

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

LA CONTINUITÉ DES AFFAIRES

Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Management de la. Continuité. Implémentation ISO Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre

SMSI et normes ISO 27001

Gestion de la continuité des activités. Mémento

Montrer que la gestion des risques en sécurité de l information est liée au métier

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

Plan de secours. Annie Butel. CLUSIF Septembre PCA ppt

Excellence. Technicité. Sagesse

Information Technology Services - Learning & Certification.

Contractualiser la sécurité du cloud computing

Actualités de la normalisation au Luxembourg

La continuité d activité des Prestations de Service Essentielles Externalisées

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Fiche conseil n 16 Audit

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

Menaces et sécurité préventive

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

le management de la continuité d activité

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

PGSSI-S : Politique générale de sécurité des systèmes d information de santé Guide Pratique Plan de Continuité Informatique Principes de base V 0.

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Partie 1 : Introduction

LEXIQUE. Extraits du document AFNOR (Association Française de Normalisation) NF EN ISO 9000 octobre 2005

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Les clauses sécurité dans un contrat de cloud

Livre Blanc ISO Sécurité sociétale Systèmes de Gestion de la Continuité des Activité EXCELLENCE. COMPÉTENCE. RECONNAISSANCE.

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

ITIL Examen Fondation

Notre offre PCA/PRA

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Mise en place d une démarche qualité dans un système d information

ITIL V3. Objectifs et principes-clés de la conception des services

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

La politique de sécurité

Le Plan de Continuité d Activité (PCA / BCP)

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Les travaux de normalisation dans les domaines de la gestion de crise et de la continuité des activités

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

ISO conformité, oui. Certification?

Administration canadienne de la sûreté du transport aérien

2012 / Excellence. Technicité. Sagesse

L Audit selon la norme ISO27001

Groupe Eyrolles, 2006, ISBN :

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Introduction à l ISO/IEC 17025:2005

ITIL Gestion de la continuité des services informatiques

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

Formation «Système de gestion des documents d activité (SGDA)»

Rapport d'audit étape 2

Retour sur investissement en sécurité

Guide de bonnes pratiques de sécurisation du système d information des cliniques

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Mise en œuvre de la certification ISO 27001

Alignement du Système de Management des Services Informatiques avec la version 2011 de la norme ISO et préparation de l audit de suivi

Continuité des opérations

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité (SMCA) RSSIA 2013, Bordeaux 21 juin 2013 Thomas Le Poetvin Hervé Schauer

Introduction Système de management ISO 22301 SMCA Continuité d'activité 2 ISO 22313 ISO 27031

Continuité d'activité : vocabulaire Plan de Continuité d'activité (PCA) Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l entreprise, puis la reprise planifiée des activités (CRBF 2004/02) Procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite d'une interruption (ISO 22301 3.6) 3

Continuité d'activité : vocabulaire Plan de Secours Informatique (PSI) Ensemble des procédures et dispositions pour garantir à l entreprise la reprise de son système informatique en cas de sinistre. Sous ensemble du PCA qui couvre les moyens informatiques et télécoms (AFNOR) Appelé PTCA dans la norme ISO 27031:2011 : Préparation des Technologies de l'information et de la Communication (TIC) à la Continuité d'activité Plan de Reprise d Activité (PRA) Ensemble de procédures qui permettent de repartir à partir d un point d interruption donné (CCA) «reprise» suppose qu il y eut interruption [ ]. Identifiée comme la partie purement métier du PCA. 4

Continuité d'activité : vocabulaire SMCA / BCMS SM / MS PCA / BCP PSI / DRP PGC / CP PRA / BRP PCA : Plan de Continuité d'activité / Business Continuity Plan PSI : Plan de Secours Informatique / Disaster Recovery Plan PRA : Plan de Reprise d'activité / Business Recovery Plan PGC : Plan de Gestion de Crise / Contingency Plan 5

Introduction Système de management ISO 22301 Point sur les normes Continuité d'activité 6 ISO 22313 ISO 27031

Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization 163 pays représentés par leur agence de normalisation En France : AFNOR Normalisation TC223 : sécurité sociétale Créé en 2001, normes ISO 22 3XX TC262 : management du risque Créé en 2011, normes ISO 31 0XX JTC1 : informatique Cas particulier : comité joint entre l'iso et l'iec créé en 1987 JTC1/SC27 : sécurité 7 CrééCopyright en 1991, ISO 27 0XX Hervénormes Schauer Consultants 2000-2013 - Reproduction Interdite

Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Autres organismes de normalisation HL7 IEEE UIT/ITU IETF IEC 8

Normes en continuité d'activité ISO 22301:2012 : Preparedness and Continuity Management Systems Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'activité, SMCA Exigences pour des systèmes de management de la continuité d'activité ISO 22313:2012 : Guideline for incident preparedness and operational continuity management Guide de mise en œuvre de l'iso 22301 ISO 27031:2011 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 22301) 9

Introduction Système de management ISO 22301 SMCA Continuité d'activité 10 ISO 22313 ISO 27031

ISO 22301 Norme utile pour (1) Établir, mettre en œuvre, maintenir et améliorer un SMCA Assurer la conformité avec la politique de continuité d'activité Démontrer cette conformité à des tiers Certifier son SMCA par un organisme de certification accrédité Auto-évaluer et auto-déclarer sa conformité 11

Système de management Organisation Système de Management Partenaires Fournisseurs Formulent des exigences Planification Plan Clients Pouvoirs publics Satisfait les exigences Action Correction Do Act Services Vérification Check 12

ISO 22301 : PDCA (0.3) Plan 0.3 4) Contexte, besoin, périmètre 5) Engagement de la direction, politique 6) Planification 7) Gestions des moyens Do Act 8) Exploitation, BIA, Gestion des risques, plans, tests 10) Amélioration Check 9) Réexamens, audits, revue de direction 13

ISO 22301 Phase PLAN (0.2) Compréhension du contexte (4.1) Compréhension des besoins et des exigences des tiers (4.2) Périmètre du SMCA (4.3) Engagement de la direction (5.2) Politique (5.3) Organisation, rôles et responsabilités (5.4) 14

ISO 22301 Phase PLAN (0.2) Détermination des objectifs stratégiques et principes directeurs du SMCA dans son ensemble Détermination des orientations pour aborder les risques et les opportunités (6.1) Détermination des objectifs et des moyens pour atteindre ceux-ci (6.2) 15

ISO 22301 Phase PLAN (0.2) Gestion des moyens (7) Ressources (7.1) Compétences (7.2) Formation P o litiq u e e t o b je c tifs d u S M C A Sensibilisation (7.3) Communication (7.4) Interne Documentation (7.5) Couvre tout ce que demande la norme et tout ce que l'organisme jugera nécessaire pour le SMCA Contribue à la conformité aux exigences légales, réglementaires et contractuelles Fournit des preuves 16

ISO 22301 Phase DO (0.2) Exploitation (8) ou gestion opérationnelle (8.1) Nécessaire à la réalisation des actions planifiées au (6) 17

ISO 22301 Phase DO (0.2) Analyse des impacts métier (Business Impact Analysis) (8.2.2) Identification des activités critiques en évaluant les impacts de leur indisponibilité pour l'organisme Détermination des exigences métier en matière de continuité pour priorisation Identification des dépendances (ressources et moyens) nécessaires aux activités critiques Appréciation des risques (8.2.3) Identification des risques d'indisponibilité des actifs concernés : métiers, ressources et moyens supports aux processus métier (RH, IT, bâtiments...) Analyse, et évaluation des risques d'indisponibiiités et identification des traitements proportionnés, en tenant compte des objectifs de continuité d'activité, et conformément à l'appétit du risque de l'organisation. 18

ISO 22301 Phase DO (0.2) Stratégies de Continuité (8.3) Moyens de maîtrise des risques et des impacts métier Détermination et choix des solutions de continuité (8.3.1) à partir des résultats issus étape 8.2 (BIA et AP) conformes aux exigences et aux objectifs de continuité Identification des ressources et moyens supports (8.3.2) pour la mise en œuvre des solutions retenues Protection et rétablissement des activités prioritaires (8.3.3) Mise en place des actions pour réduire la probabilité de survenance et la durée de la perturbation, et, in fine, limiter les conséquences 19

ISO 22301 Phase DO (0.2) Gestion des incidents perturbateurs (8.4.1, 8.4.2, 8.4.3) Disruptive incidents Structure générale des documents (8.4.1) Mise en place d'une structure de gestion des incidents (8.4.2) Avertissement et communication (8.4.3) Dispositif d'alerte et escalade Plans et procédures de continuité (8.4.4) Plan de gestion de crise, plan de secours informatique 20

ISO 22301 Phase DO (0.2) Tests et exercices (8.5) Cohérents avec la stratégie Basés sur des scénarios significatifs Menés régulièrement Valident le caractère opérationnel des plans de continuité et solutions associées 21

ISO 22301 Phase CHECK (0.2) Réexamen périodique (9.1) Surveillance Mesurage Analyse Évaluation Audit interne (9.2) À intervalles planifiés Revue de direction (9.3) A intervalles réguliers 22

ISO 22301 Phase ACT (0.2) Prendre les mesures résultant des constatations faites lors de la phase de vérification Si constatation de non-conformité Réagir à la non-conformité (10.1.b) Actions entreprises immédiatement Gérer les conséquences de la non-conformité (10.1.b.2) Prendre les actions correctives pour éliminer les causes de la nonconformité (10.1.c) Planification d'actions sur le moyen et long terme Revoir toute action corrective prise (10.1.e) Faire tout changement sur le SMCA lui-même (10.1.f) Et toujours améliorer la pertinence, l'adéquation et l'efficacité du SMCA (10.2) 23

Vision opérationnelle de la continuité Dispositif organisationnel ou technique permettant de Réduire les risques (proactif) Sites Travail manuel Vraisemblance et durée de la perturbation Impacts Assurer la continuité d'activité (réactif) Personnel Matériels & logiciels Données Réseaux 24 Gérer l'incident Poursuivre les activités Finalité de la discipline «Continuité d'activité»

Système de management de la continuité d'activité (SMCA) Direction Pilotage du SMCA Gestion des Impacts sur l'activité Gestion des Actions Correctives et Préventives Gestion de la Surveillance et du Réexamen 25 Gestion de la Conformité Gestion des Stratégies de continuité Gestion des Incidents perturbateurs Gestion des Risques Gestion de la Documentation et des Enregistrements Gestion des Ressources, des Compétences et Sensibilisation

Séquencement d'un incident perturbateur 26

Intégration dans le SMCA Hiérarchie documentaire Approche descendante (top-down) Coté maîtrise d'ouvrage Périmètre et Politique du SMCA ISO 22301 8.2.3 a) b) c) ISO 31000 5.4 ISO 22301 8.2.2 Appréciation du risque Analyse des impacts sur l'activité Stratégie de continuité d'activité 1) Stratégies de continuité d'activité 2) Exigences sur les ressources 3) Protection et atténuation 27 ISO 22301 4.3 ISO 22301 5.3 ISO 22301 8.2.3 d) ISO 22301 8.3.3 ISO 31000 5.5

Atouts de la norme ISO 31000 Consensus international sur le management des risques Compréhension mutuelle mondiale Vise à harmoniser les processus de management du risque dans les normes existantes et à venir : sans les remplacer Comparaisons plus faciles entre les secteurs d'activités et les risques de nature différentes : continuité, SSI, santé, industriel,... les techniques d'appréciation des risques Prône des principes importants en gestion des risques Gestion dans la durée et amélioration continue (ISO31000 3 j & k) Approche systématique (ISO31000 chapitre 3 e) : méthodique, répétable, appropriable par une procédure pas à pas (Business Dictionnary) Impose à la direction générale et aux parties prenantes d'être parfaitement informées (ISO31000 3 i) 28

Défauts de la norme ISO 31000 Payante Norme Ne constitue pas une méthode utilisable Lignes directrices générales Absence de base de connaissances Ne se suffit pas à elle-même Imprécise sur les composantes d'un risque Accorde une liberté qui peut conduire à Erreurs dans l'identification des composantes du risque Appréciation trop superficielle ou trop détaillée 29

Approches aux cultures différentes Américaine : DRII D'abord l'adr Ressources supports pour le BIA Scénarios pour le BIA Pas de vision précise du périmètre métier Visions DG & Métier indispensables Approche par scénario d'incident perturbateur Cadre l'application du plan Multiplication des Plans Ne favorise pas l'adaptabilité des acteurs du PCA 30 Britannique : BCI D'abord le BIA Conséquences pour l'adr Facilite l'identification des ressources supports Pas de risques validés Approche par processus Imbrication logique des Plans par briques Les acteurs du PCA doivent appliquer intelligemment les Plans Pas simple en phase de stress Cadre global

Dans la pratique... La Direction Générale a déjà une vision sur Ses activités critiques Les scénarios d'incidents perturbateurs à couvrir BIA et AdR réalisés en parallèle Mutualisation des entretiens S'alimentent l'un l'autre Définition des Plans de Continuité d'activité Un maximum par processus et fonctions supports Des plans spécifiques pour les incidents perturbateurs transverses Pandémie Coupure électrique générale... 31

Introduction Système de management ISO 22301 SMCA Continuité d'activité 32 ISO 22313 ISO 27031

ISO 22301 par rapport à ISO 22313 33 ISO 22301 ISO 22313 10 Chapitres d'exigences Description pour chaque chapitre de moyens de mise en œuvre

ISO 22301 par rapport à ISO 22313 ISO 22301 Exigences pour le SMCA Guide de mise en œuvre Usage du verbe Usage du verbe SHALL Volumétrie Nombre total de pages 32 Certification possible 34 ISO 22313 SHOULD Volumétrie Nombre total de pages 60 Pas de certification possible

Introduction à l'iso 22301 Système de management ISO 22301 SMCA Continuité d'activité 35 ISO 22313 ISO 27031

ISO 27031 Directives liées à la continuité des activités IT alignées sur le SMCA Développée et publiée avant l'iso 22301 et l'iso 22313 PTCA : Préparation des TIC pour la Continuité d'activité (4) Couramment appellé PSI (Plan de Secours Informatique) ICT readiness for Business Continuity Référence les normes : ISO 27001 : Système de Management de la Sécurité de l'information ISO 27002 : Mesures de sécurité ISO 27005 : Gestion des risques en sécurité de l'information 36 ISO 27035 : Gestion des incidents liés à la sécurité de l'information

ISO 27031 PTCA : Préparation des TIC pour la Continuité d'activité (4) Fait partie intégrante du PCA et par transitivité du SMCA SMCA / BCMS SM / MS Plan de Continuité d'activité (PCA) Plan Secours Informatique (PSI) Plan de Réponse à Incident Plan de Reprise d'activité (PRA) ISO 27031 37

Phases PDCA de la PTCA / du PSI 38

Intégration de la PTCA dans le SM La PTCA s'intègre dans le SMCA mais peut également être gérée comme un processus holistique Utilisation du cycle PDCA (5.6) : différent de la 22301 Engagement de la Direction (5.7.1) Politique PTCA (5.7.2) Direction Pilotage du SMCA Ressources (6.2) et compétences du personnel PTCA (6.2.2) Programme de sensibilisation, compétence et formation (7.5) Maîtrise des documents (7.6) Gestion des Ressources, des Compétences et Sensibilisation Gestion de la Documentation et des Enregistrements Suivi et revue (7.6) Mesure des critères de performance (8.4) Audit interne (8.2) Gestion de la Surveillance et du Réexamen Revue de direction (8.3) Amélioration de la PTCA (9) 39 Gestion des Actions Correctives et Préventives

Intégration de la PTCA dans le PCA La PTCA s'intègre complètement dans le PCA Fait partie intégrante du processus de management de la continuité d'activité (5.1) Gestion des Impacts sur l'activité Gestion des Risques Suppose que l'organisme a déjà procédé un BIA en amont (6.3.1) Activités métiers priorisées en termes de continuité Les exigences de continuité d'activité se traduisent en délais de reprise : RTO, RPO & OMCA (Objectif Minimal de CA : correspondance DIMA) Plusieurs étapes inhérentes à une appréciation des risques (6.3.2 & 6.3.3) Identifier des services IT critiques et leurs composants (ressources) Apprécier les risques d'interruption ou de détérioration des services Identifier les écarts entre l'it et les exigences de continuité d'activité Détermination des options de stratégie PTCA (6.4) Gestion Réaction aux incidents Essai et exercice (8.1.3) 40 (7.3) Gestion des Incidents perturbateurs des Stratégies de continuité

La PTCA en amont des projets Concevoir et intégrée la PTCA en amont de la création des services IT (5.5) Intégration de la continuité d'activité dans les projets Bénéfices Stratégie de la PTCA globale cohérente Niveaux de services IT en adéquation avec les objectifs de continuité d'activité Établissement en amont la communication entre les métiers et l'it Résilience au meilleur coût 41

Conclusion Levier d'apport de confiance Permet de démontrer que l'on a fait ce que l'on devait faire dans un domaine où c'est difficile Avantage concurrenciel Exigences contractuelles Normes qui deviendront incontournables Questions? Herve.Schauer@hsc.fr www.hsc.fr 42

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back