SlideShare une entreprise Scribd logo

Plan de continuité des activités: le vrai enjeu stratégique

Télécharger en tant que PPTX, PDF
Digicomp Academy Suisse Romande SA
Digicomp Academy Suisse Romande SA

Durant cette soirée, Stéphane Perroud aura le plaisir de partager avec vous ses compétences de praticien sur les différents aspects des risques à identifier et à évaluer, et vous montrera comment trouver des solutions pour rendre le business plus résilient. Il ne faut pas oublier que le but d’un PCA (plan de continuité d’activité) est d'accroître la robustesse du business en renforçant les dispositifs de prévention et de protection.

1  sur  29
Plan de continuité des activités Le vrai enjeu stratégique Lausanne, 5.11.2013 Stéphane Perroud, Minimarisk Sàrl ITIL V3 Foundation
Orateur Stéphane Perroud Stéphane Perroud www.sperroud.ch consulting@sperroud.com Formations  Ingénieur ETS / HES  Economiste HEC  Master en Management de la Sécurité des SI (MSSI) Expériences  Développeur J2EE et Web (LODH)  Auditeur informatique (PwC)  Consultant en Gouvernance, Audit et Management de la Sécurité des SI (Minimarisk)  Formateur en Gouvernance, Sécurité et Audit (COBIT, CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp) Certifications et examens  CAS en gestion appliquée de projets, COBIT Foundation 4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001 Page 2
Agenda       Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A Page 3
Introduction Page 4
Quand tout va bien…  Vision réduite des risques de l’entreprise.  Impossible de tout prévoir.  Systèmes complexes, vulnérables. Il faut se préparer ! Page 5
Quand tout va mal… Page 6
11 Sept. 2001 – New York City 19 terroristes 2997 victimes 1134 entreprises impactées 60-1000 milliards de $ de pertes Page 7
11 Sept. 2001 - 2 histoires  Société financière  Gère les principaux fonds de pensions américains.  Reprend les activités en moins de 1 semaine.  Sauvée de la faillite.  Société IT  Perd la plupart de ses collaborateurs.  Backup IT dans l’autre tour.  Fait faillite. Page 8
Les principaux risques des entreprises romandes Page 9
Principaux risques des entreprises Les principaux risques surviennent sur trois niveaux: 1. De la société elle-même  Erreurs humaines.  Forte dépendance sur certains collaborateurs. 2. De son environnement immédiat  Perte d’un client ou fournisseur important. 3. Du plan macroéconomique  Variations des taux de change, fluctuations conjoncturelles.  Changements réglementaires. Page 10
Les principales menaces (selon ISO 27005)         Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises Page 11
Situation en Suisse (selon Melani)  DDoS – attaques massives en Suisse aussi  Serveurs DNS détournés pour des attaques DDoS.  Surveillance des communications sur Internet  Prism (NSA), GCHQ (câbles sous-marins).  Advanced Persistent Threats  Cyberattaques raffinées.     Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission Page 12
Conséquences Impacts directs    Destructions Indisponibilités Perte de données Impacts indirects    Erreurs Surcharge de travail Retards de livraison Effets à long terme    Pertes de réputation Pertes de clients Procès Page 13
Le plan de continuité Page 14
Chronologie des catastrophes Page 15
Que faire lors d’une interruption ? Gérer l’urgence   v 1.0 Mode «désastre» Plan de gestion des incidents (PGI/IMP) Assurer la continuité   Mode «désastre» Plan de continuité (PCA/BCP) Rétablir le système   Mode «normal» Plan de reprise et récupération (PRA/DRP) Analyse des risques et normes Page 16
10: Amélioration v 1.0 Analyse des risques et normes Page 17
Gestion de la continuité des activités Page 18
Etapes du plan de continuité Project Initiation BIA Strategy Development Plan Development Implementation Testing Maintenance Page 19
Analyse des impacts métier (BIA)  Quoi  Identifier, quantifier et qualifier les conséquences d’une perte ou d’une interruption d’une activité métier sur l’ensemble de l’organisation  Pourquoi     Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités  Comment  Identifier les processus principaux et leurs propriétaires  Etablir un graphe des dépendances entre ces processus  Identifier les impacts et évaluer quand ils deviennent inacceptables Page 20
Les solutions de repli Page 21
Stratégie de continuité  Identification et sélection des stratégies :  Coûts vs. vitesse de reprise  Respect des RTO (<= DMIA)  Respect des RPO (<= PDMA)      Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation  Si impact important immédiat  réduction du risque  Si impact peu important immédiat  plan de reprise Page 22
Conclusions Page 23
11 Sept. 2001 - Leçons retenues 1. Toutes les menaces doivent être considérées. 2. Le personnel clé peut être indisponible. Le support aux employés est important. 3. Les infrastructures peuvent être inaccessibles. Nov. 2003 HSBC Istanbul. Une bombe explose. 26 tués, 450 blessés Page 24
11 Sept. 2001 - Leçons retenues 4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés. 5. Les sites alternatifs ne doivent pas être situés trop près du site primaire. Août 2003 “En 3 minutes, 21 centrales électriques s’éteignent Page 25
11 Sept. 2001 - 2 histoires 6. Les dépendances et interdépendances doivent être analysées avec soin. 7. Les télécommunications sont essentiels. Oct. 2008 D.Telekom se fait voler les données de 17 millions d’utilisateurs de mobiles Page 26
Digicomp et PCA: What’s next?  ISO 22301 Business Continuity Foundation  2 jours avec certification.  Prochain cours : 25, 26 nov. 2013.  ISO 22301 Business Continuity Lead Auditor  5 jours avec certification.  Prochain cours : 13-17 janv. 2014.  ISO 27005 Risk Manager  3 jours avec certification.  Prochain cours : 10-12 fév. 2014. Page 27
Contact Raphael Rues Digicomp Academy Suisse Romande SA Phone: +41 21 321 65 00 E-Mail: raphael.rues@digicomp.ch Web: http://www.digicomp.ch/fr Page 28
Questions & réponses Page 29

Recommandé

Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité Edem ALOMATSI
 
PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?Hapsis
 
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...Plan de Continuité d’Activités dans une entreprise industrielle ou de service...
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...Jean-Antoine Moreau
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 

Recommandé

Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité Edem ALOMATSI
 
PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?Hapsis
 
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...Plan de Continuité d’Activités dans une entreprise industrielle ou de service...
Plan de Continuité d’Activités dans une entreprise industrielle ou de service...Jean-Antoine Moreau
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...polenumerique33
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 
Plan de Reprise d'Activité
Plan de Reprise d'ActivitéPlan de Reprise d'Activité
Plan de Reprise d'ActivitéitSMF France
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
Sécurité &amp; Continuité
Sécurité &amp; ContinuitéSécurité &amp; Continuité
Sécurité &amp; ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneeOlivier Bourgeois
 

Contenu connexe

Tendances

Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...polenumerique33
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 
Plan de Reprise d'Activité
Plan de Reprise d'ActivitéPlan de Reprise d'Activité
Plan de Reprise d'ActivitéitSMF France
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 

Tendances (20)

Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...
 
Plan de Reprise d'Activité
Plan de Reprise d'ActivitéPlan de Reprise d'Activité
Plan de Reprise d'Activité
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Management des risques
Management des risques Management des risques
Management des risques
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 

Similaire à Plan de continuité des activités: le vrai enjeu stratégique

livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneeOlivier Bourgeois
 
L'informatique en nuage_20101202
L'informatique en nuage_20101202L'informatique en nuage_20101202
L'informatique en nuage_20101202jamccarn
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesPECB
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéTDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéTDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéTDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéTDF
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, InsuranceVSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, InsuranceVeritas Technologies LLC
 
Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014Patricia NENZI
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Stratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les RansomwaresStratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les RansomwaresJUNIOR SORO
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 

Similaire à Plan de continuité des activités: le vrai enjeu stratégique (20)

Sécurité &amp; Continuité
Sécurité &amp; ContinuitéSécurité &amp; Continuité
Sécurité &amp; Continuité
 
livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donnee
 
L'informatique en nuage_20101202
L'informatique en nuage_20101202L'informatique en nuage_20101202
L'informatique en nuage_20101202
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédibles
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, InsuranceVSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
 
Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Stratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les RansomwaresStratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les Ransomwares
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 

Plus de Digicomp Academy Suisse Romande SA

Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cDigicomp Academy Suisse Romande SA
 

Plus de Digicomp Academy Suisse Romande SA (20)

Innovation et gestion de projet
Innovation et gestion de projetInnovation et gestion de projet
Innovation et gestion de projet
 
VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?
 
What's new in Windows 10 ?
What's new in Windows 10 ?What's new in Windows 10 ?
What's new in Windows 10 ?
 
Customer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixCustomer Case : Citrix et Nutanix
Customer Case : Citrix et Nutanix
 
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10
 
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
 
Google Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeGoogle Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneuriale
 
L'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersL'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiers
 
Digicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : Upate
 
Digicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : Mobility
 
Digicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : Introduction
 
Digicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : Keynote
 
MS Project VS ProjectLibre
MS Project VS ProjectLibreMS Project VS ProjectLibre
MS Project VS ProjectLibre
 
Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12c
 
Maximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cMaximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12c
 
Oracle Database 12c : Multitenant
Oracle Database 12c : MultitenantOracle Database 12c : Multitenant
Oracle Database 12c : Multitenant
 
Augmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateurAugmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateur
 
L'expérience utilisateur
L'expérience utilisateurL'expérience utilisateur
L'expérience utilisateur
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010
 

Plan de continuité des activités: le vrai enjeu stratégique

  • 1. Plan de continuité des activités Le vrai enjeu stratégique Lausanne, 5.11.2013 Stéphane Perroud, Minimarisk Sàrl ITIL V3 Foundation
  • 2. Orateur Stéphane Perroud Stéphane Perroud www.sperroud.ch consulting@sperroud.com Formations  Ingénieur ETS / HES  Economiste HEC  Master en Management de la Sécurité des SI (MSSI) Expériences  Développeur J2EE et Web (LODH)  Auditeur informatique (PwC)  Consultant en Gouvernance, Audit et Management de la Sécurité des SI (Minimarisk)  Formateur en Gouvernance, Sécurité et Audit (COBIT, CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp) Certifications et examens  CAS en gestion appliquée de projets, COBIT Foundation 4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001 Page 2
  • 3. Agenda       Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A Page 3
  • 5. Quand tout va bien…  Vision réduite des risques de l’entreprise.  Impossible de tout prévoir.  Systèmes complexes, vulnérables. Il faut se préparer ! Page 5
  • 6. Quand tout va mal… Page 6
  • 7. 11 Sept. 2001 – New York City 19 terroristes 2997 victimes 1134 entreprises impactées 60-1000 milliards de $ de pertes Page 7
  • 8. 11 Sept. 2001 - 2 histoires  Société financière  Gère les principaux fonds de pensions américains.  Reprend les activités en moins de 1 semaine.  Sauvée de la faillite.  Société IT  Perd la plupart de ses collaborateurs.  Backup IT dans l’autre tour.  Fait faillite. Page 8
  • 9. Les principaux risques des entreprises romandes Page 9
  • 10. Principaux risques des entreprises Les principaux risques surviennent sur trois niveaux: 1. De la société elle-même  Erreurs humaines.  Forte dépendance sur certains collaborateurs. 2. De son environnement immédiat  Perte d’un client ou fournisseur important. 3. Du plan macroéconomique  Variations des taux de change, fluctuations conjoncturelles.  Changements réglementaires. Page 10
  • 11. Les principales menaces (selon ISO 27005)         Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises Page 11
  • 12. Situation en Suisse (selon Melani)  DDoS – attaques massives en Suisse aussi  Serveurs DNS détournés pour des attaques DDoS.  Surveillance des communications sur Internet  Prism (NSA), GCHQ (câbles sous-marins).  Advanced Persistent Threats  Cyberattaques raffinées.     Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission Page 12
  • 13. Conséquences Impacts directs    Destructions Indisponibilités Perte de données Impacts indirects    Erreurs Surcharge de travail Retards de livraison Effets à long terme    Pertes de réputation Pertes de clients Procès Page 13
  • 14. Le plan de continuité Page 14
  • 16. Que faire lors d’une interruption ? Gérer l’urgence   v 1.0 Mode «désastre» Plan de gestion des incidents (PGI/IMP) Assurer la continuité   Mode «désastre» Plan de continuité (PCA/BCP) Rétablir le système   Mode «normal» Plan de reprise et récupération (PRA/DRP) Analyse des risques et normes Page 16
  • 17. 10: Amélioration v 1.0 Analyse des risques et normes Page 17
  • 18. Gestion de la continuité des activités Page 18
  • 19. Etapes du plan de continuité Project Initiation BIA Strategy Development Plan Development Implementation Testing Maintenance Page 19
  • 20. Analyse des impacts métier (BIA)  Quoi  Identifier, quantifier et qualifier les conséquences d’une perte ou d’une interruption d’une activité métier sur l’ensemble de l’organisation  Pourquoi     Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités  Comment  Identifier les processus principaux et leurs propriétaires  Etablir un graphe des dépendances entre ces processus  Identifier les impacts et évaluer quand ils deviennent inacceptables Page 20
  • 21. Les solutions de repli Page 21
  • 22. Stratégie de continuité  Identification et sélection des stratégies :  Coûts vs. vitesse de reprise  Respect des RTO (<= DMIA)  Respect des RPO (<= PDMA)      Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation  Si impact important immédiat  réduction du risque  Si impact peu important immédiat  plan de reprise Page 22
  • 24. 11 Sept. 2001 - Leçons retenues 1. Toutes les menaces doivent être considérées. 2. Le personnel clé peut être indisponible. Le support aux employés est important. 3. Les infrastructures peuvent être inaccessibles. Nov. 2003 HSBC Istanbul. Une bombe explose. 26 tués, 450 blessés Page 24
  • 25. 11 Sept. 2001 - Leçons retenues 4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés. 5. Les sites alternatifs ne doivent pas être situés trop près du site primaire. Août 2003 “En 3 minutes, 21 centrales électriques s’éteignent Page 25
  • 26. 11 Sept. 2001 - 2 histoires 6. Les dépendances et interdépendances doivent être analysées avec soin. 7. Les télécommunications sont essentiels. Oct. 2008 D.Telekom se fait voler les données de 17 millions d’utilisateurs de mobiles Page 26
  • 27. Digicomp et PCA: What’s next?  ISO 22301 Business Continuity Foundation  2 jours avec certification.  Prochain cours : 25, 26 nov. 2013.  ISO 22301 Business Continuity Lead Auditor  5 jours avec certification.  Prochain cours : 13-17 janv. 2014.  ISO 27005 Risk Manager  3 jours avec certification.  Prochain cours : 10-12 fév. 2014. Page 27
  • 28. Contact Raphael Rues Digicomp Academy Suisse Romande SA Phone: +41 21 321 65 00 E-Mail: raphael.rues@digicomp.ch Web: http://www.digicomp.ch/fr Page 28

Notes de l'éditeur

  1. Dix mille cas par an. Le chiffre des infractions commises au sein des entreprises enSuisse et mesuré par KPMG est loin d’être négligeable. Gestion déloyale, vol d’argent,escroquerie, corruption...La progression du vol de données, qui devient l’infraction principalesubie par les sociétés helvétiques.Les fraudeurs sont en majorité issus des rangs de l’employeur, le management étant mêmeimpliqué dans presque 40% des cas de conduites répréhensibles.
  2. Dommages physiques: feux, eau, pollution, gel, …Evénements naturels: climat, sismique, volcan, inondation, météo.Perte de services essentiels: HVAC, alimentation électrique, télécommunication.Perturbation due à des radiations: électromagnétique, thermique.Information compromise: espionnage, vol, divulgation, source non trusted.Pannes techniques: soft, hard.Actions non autorisées: fraude, utilisation non autorisée, corruption de données, copie de soft.Fonctions compromises: erreur, abus de droits, DOS, disponibilité du personnel.
  3. Il vous faut impérativement un PCA si : Vous œuvrez dans un secteur d’activité qui impose règlementairement l’existence et la maintenance d’un PCA. C’est le cas notamment du domaine bancaire. Vous travaillez avec des grands comptes ou administrations qui le réclament dans le cadre de leur propre politique de sécurité (notamment dans le contexte ISO 27001). Sinon, vous devez élaborer un PCI si : La bonne marche de votre entreprise est étroitement dépendante de votre système d’information. Concrètement, posez-vous par exemple la question suivante : puis-je tolérer sans dommage un arrêt de plus de 24h de ma messagerie, de mon ERP, ou de mon logiciel de paie ou de facturation ? Si la réponse est non, il faut un PCI, sinon un PRA peut suffire. Si votre activité est peu dépendante de l’informatique, ou si vos moyens budgétaires sont réduits, vous pouvez opter dans un premier temps pour un PRA.
  4. Externaliser: télétravailDatacenters: SunGard, Green, Dfi, VTX, Safehost, GaneshHosting.Clouds: Amazon (IaaS), Google (SaaS), Kodeo (Meyrin), Evok (Fribourg).Virtualisation: Vmware, vSphere, Hyper-V.