Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :



Documents pareils
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Sinistres majeurs : comment assurer la continuité d activité?

Prestations d audit et de conseil 2015

THEORIE ET CAS PRATIQUES

Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Les clauses «sécurité» d'un contrat SaaS

Outil 5 : Exemple de guide d évaluation des auditeurs internes

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Panorama général des normes et outils d audit. François VERGEZ AFAI

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

Mettre en œuvre son Plan de Gestion de Crise

ISO conformité, oui. Certification?

D ITIL à D ISO 20000, une démarche complémentaire

REF01 Référentiel de labellisation des laboratoires de recherche_v3

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

ITIL v3. La clé d une gestion réussie des services informatiques

Guide pour aider à l évaluation des actions de formation

ISO/CEI 27001:2005 ISMS -Information Security Management System

CATALOGUE DE FORMATIONS

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Programme Hôpital numérique

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

Questionnaire de vérification pour l implantation de la norme ISO dans une entreprise

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

exemple d examen ITMP.FR

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS

CERTIFICATION CERTIPHYTO

RAPPORT D AUDIT INTERNE

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

STRATÉGIE DE SURVEILLANCE

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

FAIRE FACE A UN SINISTRE INFORMATIQUE

REFERENTIEL DE CERTIFICATION

Dossier d'étude technique

Audit interne. Audit interne

Partager l expérience de l ASECNA dans la mise en œuvre du SMS et du SMQ :

Classification : Non sensible public 2 / 22

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Objet : Commentaires relatifs à l exposé-sondage IES 6, Évaluation de la compétence professionnelle (Assessment of Professional Competence)

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

la conformité LES PRINCIPES D ACTION

Gestion de la continuité des activités. Mémento

Autodiagnostic des Organismes de formation du Languedoc-Roussillon

Norme ISA 510, Audit initial Soldes d ouverture

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Atelier " Gestion des Configurations et CMDB "

Montrer que la gestion des risques en sécurité de l information est liée au métier

Enquête ITIL et la performance en entreprise 2007 CONNECTING BUSINESS & TECHNOLOGY

ITIL V3. Objectifs et principes-clés de la conception des services

La continuité d activité des Prestations de Service Essentielles Externalisées

LIVRET DE QUALIFICATION PRESTATAIRE NETTOYAGE GARES ET LOCAUX

PGSSI-S : Politique générale de sécurité des systèmes d information de santé Guide Pratique Plan de Continuité Informatique Principes de base V 0.

le management de la continuité d activité

FNSA 91, avenue de la République PARIS

QUESTIONNAIRE DE PRE-AUDIT. Rubrique n 1 : Présentation de l entreprise

Catalogue de services standard Référence : CAT-SERVICES-2010-A

INTERNET ET SANTÉ. Proposition de titre : La certification : un moyen d améliorer la qualité des sites dédiés à la santé

TIERCE MAINTENANCE APPLICATIVE

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

PASSI Un label d exigence et de confiance?

Règles de certification

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Certification ISO 9001 de la prise en charge médicamenteuse

Management de la. Continuité. Implémentation ISO Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre

FORMULAIRE DE DECLARATION DU RISQUE RESPONSABILITE CIVILE SSII

Identifier et comprendre vos clients

Guide d auto-évaluation

Pour le Développement d une Relation Durable avec nos Clients

Questionnaire relatif à la participation à l assurance chômage

TROPHEE RSE DE LA PROFESSION COMPTABLE 2014 CATEGORIE MEILLEURE DEMARCHE RSE

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Modalités de déclinaison opérationnelle du cadre stratégique commun (élaboration des contrats de progrès) Mise à jour de Décembre 2013

COLLEGE ANDRE LAHAYE

Information Technology Services - Learning & Certification.

Checklist pour Services IOS

GROUPE DE CONTACT DES DIRECTEURS

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

Sommaire Préface...XV Introduction générale... XVII Introduction à la 2e édition... XXI Définir le tableau de bord...1

Misereor a-t-elle besoin «d études de base»? Document d information à l intention des partenaires

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Transcription:

Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise ou administration) à poursuivre son fonctionnement et l atteinte de ses objectifs à un niveau acceptable défini par avance, suite à la survenance d un évènement perturbateur. L audit s appuie sur un référentiel et sur les normes existantes : ISO 22301, ISO 27001, etc. La profondeur et la précision de l audit sont étroitement liées au niveau de maturité de l organisme audité en matière de continuité d activité. La continuité d activité doit être évaluée par les PCA, le Système de Management de la Continuité d Activité (SMCA) et le service rendu aux clients. En partenariat avec Pour être sûre et valide, la continuité d activité nécessite une évaluation L audit de la continuité d activité doit être perçu comme une opération positive et constructive pour l organisme. Il entre directement dans le processus d amélioration continue de la Roue de Deming (PDCA) en proposant un plan visant à améliorer la continuité d activité de l organisme. Pour les entreprises de services, la norme ISAE 3402 (évolution de SAS 70) permet de démontrer à ses clients la conformité de son organisation à leurs exigences réglementaires en matière financière. Elle permet d éviter les audits de PCA par les clients de ces entreprises. Les trois domaines cibles d évaluation de la continuité : Les trois domaines cibles d évaluation de la continuité : Le Plan de Continuité d Activité (PCA), Le Système de Management de la Continuité d Activité (SMCA) (cf. norme certifiante ISO 22301 publiée en mai 2012), Les services rendus à ses clients (cf. International Standard on Assurance Engagements (ISAE 3402, évolution de SAS 70), norme internationale publiée en décembre 2009 par l International Auditing and Assurance Standards Board (IAASB), qui fait partie de la Fédération Internationale des Comptables (IFAC). Cela nécessite l utilisation d un vocabulaire commun entre l audité et l auditeur. Le Lexique structuré de la continuité d activité du Club de la Continuité d Activité (CCA) propose des définitions admises par la profession. NB. : L audit de la gestion de crise n a pas été traité dans cette fiche pratique. Mai 2014 1

Introduction L audit aide l organisme à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernance, et en faisant des propositions pour renforcer leur efficacité (source : définition adoptée le 21/03/2000 par le Conseil d Administration de l IFACI, Institut Français de l Audit et du Contrôle Internes). Trois formes d audit existent :. l audit interne,. l audit externe,. l audit de certification. Les critères d audit du Plan de Continuité d Activité (PCA) Comment peut-on évaluer le caractère opérationnel d un PCA? Les critères d évaluation suivants sont à prendre en compte : 1. Expression de besoin des processus métier et support (aux métiers) a. Les processus métier et support ont-ils exprimé leurs besoins de continuité d activité? b. Les besoins et les dispositifs de continuité ont-ils été validés par la Direction de l organisme? c. Les plans de retour à une situation normale ont-ils été prévus? d. Les besoins exprimés dans le BIA (Bilan d Impacts sur l Activité) font-ils partie du contrat de service? e. Le niveau de dégradation d activité suite au sinistre a-t-il été défini et validé? Oui Non 2. Degré de couverture du PCA en termes d impacts sur le fonctionnement de l organisme a. Est-ce que les risques ont été analysés et leurs impacts évalués? b. Toutes les dépendances externes (tierces parties) à l organisme ont-elles un PCA conforme aux besoins validés par la Direction Générale? c. A-t-on pris en compte toutes les exigences légales et réglementaires inhérentes au secteur d activité? d. Les risques sur les activités ont-ils été validés par la Direction Générale? e. Les priorités de reprise d activité sont-elles clairement définies? f. Les impacts des risques communs entre l organisme et ses fournisseurs externes critiques ont-ils été pris en compte? 3. Moyens de continuité a. Les responsabilités d exécution du PCA ont-elles été définies pour tous les acteurs aux différentes étapes (construction et exécution)? b. Les salles de crise, en particulier leurs moyens de communication, sont-elles secourues? c. Les moyens de communication entre tous les acteurs sont-ils suffisants? d. Les moyens de secours et de repli sont-ils non impactés par les scénarios prévus d indisponibilité des ressources? e. Les moyens de continuité ont-ils été identifiés et justifiés pour être mis en œuvre en conformité avec les besoins exprimés et validés? 4. Efficacité du PCA : adéquation des besoins de continuité aux réponses techniques a. Les conditions de reprise d activité observées (RTO, RPO, positions de repli et de stock) sont-elles conformes aux conditions attendues par les processus métier et support en termes de délai de reprise, perte de données, positions de repli et de stock? 2

b. Les moyens de secours et de repli sont-ils suffisamment dimensionnés pour assurer les besoins de continuité validés? c. La cellule de crise décisionnelle est-elle unique? Oui Non 5. Documentation et outils du PCA a. Y a-t-il un système de gestion documentaire? b. La documentation du PCA est-elle accessible immédiatement quoi qu il arrive? c. La documentation est-elle exhaustive et à jour : contacts, fiches réflexe, procédures (toute la documentation nécessaire pour exécuter le PCA)? d. Le PCA est-il exécutable par d autres personnes compétentes qui n ont pas écrit les procédures? e. Y a-t-il un plan de coordination de l exécution du PCA? f. Les informations du PCA sont-elles classifiées et leur diffusion est-elle contrôlée (habilitations définies)? 6. Maintien en condition opérationnelle a. Les changements du SI, des locaux, de l organisation fonctionnelle, sont-ils répercutés dans le PCA? b. Disposez-vous de processus de contrôle autres que les tests techniques et exercices de validation? c. Y a-t-il un processus de formation continue du personnel de l organisme? d. Y a-t-il à l issue des tests et exercices un retour d expérience et un plan d amélioration du PCA? e. Le plan de validation prévoit-il une progressivité des tests et exercices sur plusieurs années? f. Y a-t-il des exercices de validation inopinés ou avec un minimum de préparation? 7. Pilotage d exécution du PCA a. Tous les décideurs de la cellule de crise décisionnelle sont-ils entraînés au pilotage de crise? b. Y a-t-il des critères d aide à la décision pour déclencher ou non le PCA? c. Les communications interne et externe sont-elles préparées par type de scénarios de risques? 8. Degré d implication du personnel impliqué dans le PCA a. Toutes les parties prenantes (interne et externe) du PCA sont-elles formées, entraînées, et savent-elles ce qu elles doivent faire en cas de besoin? b. Tous les intervenants sont-ils en nombre suffisant en permanence (7j/7, 24h/24)? c. La formation des personnes a-t-elle été prévue? Les critères d audit du Système de Management de la Continuité d Activité (SMCA) La gestion de la continuité d activité est un processus de management holistique qui identifie les menaces potentielles pour un organisme ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l activité de l organisme. Ce même processus fournit un cadre pour construire la résilience de l organisme avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeur (norme ISO 22301 Système de Management de la Continuité d Activité). Les critères d évaluation du SMCA sont classés selon les thèmes de la Roue de Deming : 3

1. Plan (planifier) a. Y a-t-il un périmètre défini pour le SMCA? b. Y a-t-il un engagement de la Direction (sponsoring)? c. Le SMCA fait-il l objet d une politique de l organisme? d. Les exigences légales et réglementaires sont-elles prises en compte? e. Les ressources projet (Responsable PCA, Correspondant PCA, contributeurs) sont-elles définies? Oui Non 2. Do (mettre en œuvre) a. Avez-vous mis en œuvre un plan de communication interne et externe? b. Le BIA et la stratégie de continuité sont-ils réalisés? c. L analyse et le traitement des risques en termes d impacts ont-ils été réalisés? d. Le Groupe de pilotage de la continuité est-il constitué? e. Le PCA est-il construit? 3. Check (vérifier) a. A-t-il été mis en œuvre un processus de contrôle du PCA? b. Les exercices sont-ils réalisés conformément à la politique de continuité? c. Les compétences des personnes en charge du PCA sont-elles évaluées périodiquement? d. Y a-t-il un plan de suivi des indicateurs de performance du PCA? e. Un processus d audit interne existe-t-il? 4. Act (agir/ajuster) a. La révision du SMCA prend-t-elle en compte les écarts constatés entre le «Do» et le «Check»? b. Un plan d amélioration continue existe-t-il? Les critères d audit des services rendus aux clients, selon la norme ISAE 3402, au regard du PCA La norme ISAE 3402 (International Standard on Assurance Engagements) offre aux entreprises de services qui sont soumises à la loi Sarbanes-Oxley (ou à d autres lois de sécurité financière), la possibilité de certifier la conformité de leur organisation aux exigences réglementaires. Cette norme est portée par l IAASB (International Auditing and Assurance Standards Board), organisme qui fait lui-même partie de l IFAC (International Federation of Accountants). Le recours à la norme ISAE 3402 s inscrit dans un processus comprenant plusieurs étapes. L entreprise doit d abord formaliser précisément son dispositif de contrôle interne, ses objectifs de contrôle et les contrôles associés, puis établir un document décrivant l ensemble de ce dispositif. C est sur la base de ce document que l auditeur rédigera son rapport. En pratique, il existe deux types de rapports : Un rapport de type I, dans lequel l auditeur vérifie la bonne description des contrôles et leur adéquation par rapport aux objectifs fixés. Ce rapport est effectué une fois par an, à un moment donné ; Un rapport de type II, dont l objectif est de vérifier l efficacité opérationnelle des contrôles décrits dans le rapport de type I, sur une période de six mois (en général). Ce dernier rapport comprend quatre sections : 1. Le rapport de l auditeur proprement dit, 2. La description des contrôles, 3. La description des tests effectués par l auditeur ainsi que leurs résultats, 4. Autres informations fournies par l entreprise prestataire de services (facultatif). 4

La certification ISAE 3402 de type II est donc la certification la plus complète. Elle intègre non seulement un audit au moment de la certification, mais ensuite des contrôles réguliers pour s assurer que les procédures mises en place restent bien appliquées. Pour chaque service audité, une grille de contrôle a été mise en place avec une liste des objectifs de contrôle, des activités contrôlées, des plans de tests, des observations et recommandations. Extrait des recommandations de l AICPA (American Institute of Certified Public Accountants) : Si une entreprise prestataire de services souhaite décrire son PCA, elle doit le faire dans la section 4 (Autres informations fournies par l entreprise prestataire de services), car un plan n est pas un contrôle. Les différents sous-ensembles du PCA PCA PGC PSI PRA-I PRA-M PCO PCS IT Métier Un plan de continuité d activité (PCA) est constitué de 6 sous-ensembles : PGC, PCS et PSI, PCO. Sigle Intitulé Périmètre Objectif PCA Plan de Continuité d Activité Organisme PCO Plan de Continuité des Opérations Activités métier critiques PCS PGC Plan de Continuité des Services Plan de Gestion de Crise Partie(s) de l organisme concernée(s) par la crise Partie(s) de l organisme concernée(s) par la crise PSI Plan de Secours Informatique Le Système d Information PRA-I Plan de Reprise d Activité - Informatique Le Système d Information Assurer la résilience de l organisme Assurer le fonctionnement acceptable des activités critiques Protection et disponibilité des ressources Assurer une gestion maîtrisée du pilotage des plans Assurer le secours des fonctions centrales du SI Reprise de l activité du SI après interruption PRA-M Plan de Reprise d Activité - Métier Activités métier critiques Rendre l activité métier 5

3. Conclusion L audit de la continuité d activité couvre, outre les ripostes prévues par les scénarios de risques (PCA), le management et l organisation de la continuité d activité. Il offre une vision globale de la préparation et du fonctionnement de l organisme en cas de sinistre, car il interroge sur : la criticité des processus métier, la couverture des procédures de continuité d activité, la mise à jour de ces procédures face aux nouveaux contextes et référentiels. L audit interne, qui sert à rassurer la Direction sur la bonne maîtrise de ses risques et la résilience de l organisme, doit être associé à un audit externe qui lui est complémentaire. A ce titre, il a le regard tourné vers les interactions extérieures, car il atteste de la sécurisation des activités auprès les parties prenantes et permet, en cas de conformité du Système de Management, d obtenir une certification ISO 22301 (sécurité sociétale et management de la continuité d activité). Annexe et liens utiles Définition des termes employés : Lexique structuré de la continuité d activité, version 3, du Club de la Continuité d Activité (www.clubpca.eu) La nouvelle norme ISO 22301 présente bien des avantages pour l organisme certifié : Elle s intègre aisément aux autres systèmes de management présents dans l organisme, Elle l inscrit dans un processus d amélioration continue en questionnant sur l adaptabilité du système face aux nouveaux enjeux, Elle crée un rapport de confiance entre les parties prenantes et ledit organisme, Elle permet d étayer les réponses aux appels d offre lorsque la problématique de la continuité d activité est abordée. Il est néanmoins important de signaler que les auditeurs n émettent qu une recommandation de certification, laquelle n est prononcée que par un organisme certificateur habilité. Guide pour réaliser un Plan de Continuité d Activité, SGDSN, 2013 (www.sgdsn.gouv.fr/site_article128.html) ISAE 3402 (www.isae3402.com) Rédaction : Groupe de Travail PRA-PCA - Pilotes François Tête - CCA, Pascal Antier - ADP GSI - Création Fred.lameche - www.anousdejouer.fr Club des Responsables d Infrastructures et de Production 24 rue Erlanger 75016 Paris - contact@crip-asso.fr www.crip-asso.fr Club de la Continuité d Activité 73 rue Anatole France 92300 Levallois Perret - contact@clubpca.eu www.clubpca.eu En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back