Déjà 15 années de passées depuis la crise du verglas qui a frappé le Québec en janvier 1998. La continuité des affaires a fait un pas en avant depuis mais il reste encore beaucoup à faire dans les organisations. La présente formation vise à expliquer et distinguer les stratégies de continuité des affaires, la relève TI et la relève opérationnelle.
La formation sera segmentée en trois :
- Concepts et pratiques professionnelles selon le DRI et le BCI
- Démarche visant à mettre en œuvre un programme de continuité des affaires
- Exercices visant à développer l’habilité des participants
Nouveau cadre de gouvernance de la sécurité de l'information
La continuité des affaires et la relève TI
1. LA CONTINUITÉ DES AFFAIRES ET
LA RELÈVE TI
BENOÎT JOURDAIN, CBCP, ISO 27001 ISMS A, ITIL V3
JEUDI LE 24 JANVIER 2013
http://www.isaca-quebec.ca
2. OBJECTIF ET AGENDA
Objectif
Expliquer et distinguer les stratégies de continuité des affaires,
la relève TI et la relève opérationnelle.
Agenda
Introduction
Concepts et pratiques professionnelles selon le DRI et le BCI
Pause
Démarche visant à mettre en œuvre un programme de
continuité des affaires
Exercices visant à développer l’habilité des participants
2
3. INTRODUCTION
La planification de la continuité des affaires est
une discipline qui s’intéresse au contrôle des
risques auxquels sont exposés les activités
essentiels d’une entreprise, dont ses systèmes
informatiques partagés et ses réseaux de
communication, par suite de sinistres,
d’incidents causés par l’homme ou encore
d’incidents de nature politique qui menaceraient
la conduite de ses activités.
3
4. INTRODUCTION
Disaster Recovery Institute International (DRII)
DRII est un organisme de formation et de certification en BCM.
En tant que tel, il établit la norme pour les professionnels en
continuité des activités depuis 1988.
Il compte plus de 8000 professionnels actifs en continuité des
activités de diverses industries et les secteurs d'activité et
supporte les certifications internationales à travers le monde.
Business Continuity Institute (BCI)
BCI a été créé en 1994 pour permettre aux membres d'obtenir
des conseils et du soutien des autres praticiens en continuité
d'activité.
Le BCI compte actuellement plus de 7000 membres dans plus
de 100 pays.
4
5. CONCEPTS
Sinistre (synonyme de désastre)
Un événement soudain, imprévu et grave, causant
d’importants dommages ou pertes.
Dans le milieu des affaires, tout événement plaçant
l’entreprise dans l’incapacité d’accomplir ses fonctions
d’affaires critiques, durant une période prédéterminée.
5
6. CONCEPTS
Situations de sinistre
• Hiver 1998, crise du verglas en Montérégie
• Été 2003, Panne d’électricité majeure
Leçons à retenir de ces événements
6
7. SITUATION DE SINISTRE
LEÇONS À RETENIR DE CES ÉVÉNEMENTS :
Il faut tenir compte de tous les types de menaces;
Il faut analyser soigneusement toute relation de dépendance ou
d'interdépendance;
Il ne faut pas oublier que le personnel stratégique peut ne pas être
disponible;
Il faut considérer que les télécommunications sont un facteur
essentiel;
Il faut s’assurer que les sites de repli doivent être à bonne distance
du site principal;
Il faut assurer le soutien du personnel stratégique et tenir compte
des surcharges de travail actuelles de ces derniers.
Source : DRIE Canada
7
8. SITUATION DE SINISTRE
LEÇONS À RETENIR DE CES ÉVÉNEMENTS :
Il faut entreposer les copies des plans dans un emplacement
sécurisé situé à l'extérieur du site;
Il ne faut pas oublier qu’un large périmètre de sécurité autour du
lieu d'incidents risque d'empêcher le personnel de retourner au
bureau;
Il faut comprendre que malgré leurs lacunes, les PCA en place avant
les évènements de sinistre se sont avérés indispensables à l'effort
de continuité;
Il faut maintenir à jour les plans et les mettre régulièrement à
l'essai;
Il faut être conscients que l'incertitude accrue (après une
interruption à haut degré d'impact) risque de prolonger le délai
avant le retour à la normale des activités.
Source : DRIE Canada
8
9. CONCEPTS ET PRATIQUES PROFESSIONNELLES
DÉFINITIONS
Gestion de la continuité d’activités (GCA)
Processus de gestion qui identifie les risques, menaces et
vulnérabilités pouvant affecter l’opération continue d’une entité
et qui fournit un cadre pour développer la résilience et la
capacité d’intervention efficace.
Résilience
Aptitude d’un système, d’une collectivité ou d’une société
potentiellement exposé à des aléas à s’adapter, en résistant ou
en changeant, en vue d’établir et de maintenir des structures et
un niveau de fonctionnement acceptables.
9
10. CONCEPTS ET PRATIQUES PROFESSIONNELLES
DÉFINITIONS
Plan de continuité des affaires
Outils organisationnel hiérarchisé permettant d’assurer le
maintien des services essentiels d’une organisation en situation
de sinistre.
Plan de relève technologique
Ce plan a pour but la reprise des services TI après un sinistre
important touchant un ou des systèmes d’information. Il s'agit de
redémarrer les services en respectant le délai maximum
d’indisponibilité avec le minimum de perte de données.
10
11. CONCEPTS ET PRATIQUES PROFESSIONNELLES
PROGRAMME ET PLAN DE CONTINUITÉ DES AFFAIRES
Plan de mesures d’urgence
Plan de continuité des affaires
Plan de sauvegarde Plan de relève TI
Plan de continuité des opérations
Plan de communication Plan de retour à la normale
Programme de CA
11
12. CONCEPTS ET PRATIQUES PROFESSIONNELLES
1. Démarrage et gestion de projet
2. Évaluation des risques et contrôles
3. Bilan des impacts d’affaires
4. Développement de stratégies de continuité d’activités
5. Mesures et opérations d’urgence
6. Développement et implantation de Plans de continuité
d’activités
7. Programmes de sensibilisation et de formation
8. Maintenance et exercice des Plans de continuité d’activités
9. Communication de crise
10. Coordination avec les agences externes
Disaster Recovery Institute International (DRII)
13. CONCEPTS ET PRATIQUES PROFESSIONNELLES
1. Politique du MCA
2. Gestion du programme MCA
3. Compréhension de l’organisation
4. Détermination de la stratégie de continuité d’activité
5. Développement et mise en œuvre des réponses
6. Exercice, maintenance et revue des dispositions du MCA
7. Intégration du MCA dans la culture de l’organisation
Management de la Continuité d’Activité (MCA)
Business Continuity Institute (BCI)
14. DÉMARCHE VISANT À METTRE EN ŒUVRE
UN PROGRAMME DE CA
On commence par s’informer, sensibiliser, collaborer :
• Savoir d’où origine le besoin, la demande, l’exigence …
• Nommer un gestionnaire responsable du PCA dans votre
organisation (si possible pas relié aux département TI)
• Sensibiliser la haute direction et les gestionnaires
• Trouver les alliés dans l’organisation
• Requiert un mandat clair avec des échéances et un suivi
• Aller chercher un budget et le faire inscrire le projet
• Attacher le projet aux stratégies de l’organisation et des TI
• Avoir une cible atteignable sur deux ans
14
15. DÉMARCHE DU PCA
P
Gestion des changements Formation Maintien Reddition r
o
g
Exercices périodiques
r
a
Développement et mise en œuvre du PCA m
m
Stratégies P e
r
o
Analyse d’impacts
J
e
Analyse de risques t
Envergure Politique Ressources Organisation
Démarrage et gestion de projet
15
16. DÉMARCHE DU PCA
PLAN DE RELÈVE TI
Élaboration des hypothèses, de la stratégie de relève,
évaluation des coûts, identification du ou des sites de
relève, des services TI requis, des équipements, rôles et
responsabilités
• Localisation des services TI (site de relève, fournisseur)
• Identification des composantes technologiques requises
• Identifications des sources d’approvisionnement et des délais
• Établir le plan de travail par équipe pour faire face à un
sinistre
16
17. DÉMARCHE DU PCA
TESTER LE PLAN - TYPES D’EXERCICE
P
Gestion des changements Formation Maintien Reddition r
o
g
Exercices périodiques
r
a
m
m
e
17
18. EXERCICES
Exercice 1 – Identifier les risques dominants
Exercice 2 – Trouver une faille dans le PCA
Exercice 3 – Trouver une faille dans le PRI
Exercice 4 – Identifier les services essentiels
18