Durant cette soirée, Stéphane Perroud aura le plaisir de partager avec vous ses compétences de praticien sur les différents aspects des risques à identifier et à évaluer, et vous montrera comment trouver des solutions pour rendre le business plus résilient. Il ne faut pas oublier que le but d’un PCA (plan de continuité d’activité) est d'accroître la robustesse du business en renforçant les dispositifs de prévention et de protection.
Plan de continuité des activités: le vrai enjeu stratégique
1. Plan de continuité des activités
Le vrai enjeu stratégique
Lausanne, 5.11.2013
Stéphane Perroud, Minimarisk Sàrl
ITIL V3 Foundation
2. Orateur Stéphane Perroud
Stéphane Perroud
www.sperroud.ch
consulting@sperroud.com
Formations
Ingénieur ETS / HES
Economiste HEC
Master en Management de la Sécurité des SI (MSSI)
Expériences
Développeur J2EE et Web (LODH)
Auditeur informatique (PwC)
Consultant en Gouvernance, Audit et Management de la
Sécurité des SI (Minimarisk)
Formateur en Gouvernance, Sécurité et Audit (COBIT,
CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion
des Risques) (HEG Genève et Digicomp)
Certifications et examens
CAS en gestion appliquée de projets, COBIT Foundation
4.1 & 5, Management of Risk, ISO 27005, CISA, CISM,
ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000,
ISO 22301, ISO27001, Lead Implementer ISO 27001
Page 2
5. Quand tout va bien…
Vision réduite des risques de l’entreprise.
Impossible de tout prévoir.
Systèmes complexes, vulnérables.
Il faut se préparer !
Page 5
7. 11 Sept. 2001 – New York City
19 terroristes
2997 victimes
1134 entreprises impactées
60-1000 milliards de $ de pertes
Page 7
8. 11 Sept. 2001 - 2 histoires
Société financière
Gère les principaux fonds de pensions américains.
Reprend les activités en moins de 1 semaine.
Sauvée de la faillite.
Société IT
Perd la plupart de ses collaborateurs.
Backup IT dans l’autre tour.
Fait faillite.
Page 8
10. Principaux risques des entreprises
Les principaux risques surviennent sur trois niveaux:
1. De la société elle-même
Erreurs humaines.
Forte dépendance sur certains collaborateurs.
2. De son environnement immédiat
Perte d’un client ou fournisseur important.
3. Du plan macroéconomique
Variations des taux de change, fluctuations conjoncturelles.
Changements réglementaires.
Page 10
11. Les principales menaces (selon ISO 27005)
Dommages physiques
Evénements naturels
Perte de services essentiels
Perturbation due à des radiations
Information compromise
Pannes techniques
Actions non autorisées
Fonctions compromises
Page 11
12. Situation en Suisse (selon Melani)
DDoS – attaques massives en Suisse aussi
Serveurs DNS détournés pour des attaques DDoS.
Surveillance des communications sur Internet
Prism (NSA), GCHQ (câbles sous-marins).
Advanced Persistent Threats
Cyberattaques raffinées.
Les systèmes de gestion de contenu (CMS)
Essor des chevaux de Troie dans la téléphonie mobile
Phishing et courriels munis de lien vers des sites infectés
Vague de SMS de fraude à la commission
Page 12
16. Que faire lors d’une interruption ?
Gérer l’urgence
v 1.0
Mode «désastre»
Plan de gestion des
incidents (PGI/IMP)
Assurer la continuité
Mode «désastre»
Plan de continuité
(PCA/BCP)
Rétablir le système
Mode «normal»
Plan de reprise et
récupération
(PRA/DRP)
Analyse des risques et normes
Page 16
19. Etapes du plan de continuité
Project
Initiation
BIA
Strategy
Development
Plan
Development
Implementation
Testing
Maintenance
Page 19
20. Analyse des impacts métier (BIA)
Quoi
Identifier, quantifier et qualifier les conséquences d’une perte ou d’une
interruption d’une activité métier sur l’ensemble de l’organisation
Pourquoi
Documenter les impacts d’une interruption au cours du temps
Identifier le Délai Maximal d’Interruption Admissible (DMIA)
Identifier la Perte de Données Maximale Admissible (PDMA)
Identifier les dépendances entre les activités
Comment
Identifier les processus principaux et leurs propriétaires
Etablir un graphe des dépendances entre ces processus
Identifier les impacts et évaluer quand ils deviennent inacceptables
Page 20
22. Stratégie de continuité
Identification et sélection des stratégies :
Coûts vs. vitesse de reprise
Respect des RTO (<= DMIA)
Respect des RPO (<= PDMA)
Internaliser vs. externaliser les activités
On-site vs. off-site
Reprise manuelle, à froid, tiède ou à chaud, accord réciproque
Clouds
Virtualisation
Si impact important immédiat réduction du risque
Si impact peu important immédiat plan de reprise
Page 22
24. 11 Sept. 2001 - Leçons retenues
1. Toutes les menaces doivent être considérées.
2. Le personnel clé peut être indisponible. Le support aux employés est
important.
3. Les infrastructures peuvent être inaccessibles.
Nov. 2003 HSBC Istanbul.
Une bombe explose.
26 tués, 450 blessés
Page 24
25. 11 Sept. 2001 - Leçons retenues
4. Les plans doivent être mis à jour et testés périodiquement. Des copies des
plans doivent être conservées dans des lieux distants sécurisés.
5. Les sites alternatifs ne doivent pas être situés trop près du site primaire.
Août 2003
“En 3 minutes, 21 centrales
électriques s’éteignent
Page 25
26. 11 Sept. 2001 - 2 histoires
6. Les dépendances et interdépendances doivent être analysées avec soin.
7. Les télécommunications sont essentiels.
Oct. 2008
D.Telekom se fait voler les
données de 17 millions
d’utilisateurs de mobiles
Page 26
27. Digicomp et PCA: What’s next?
ISO 22301 Business Continuity Foundation
2 jours avec certification.
Prochain cours : 25, 26 nov. 2013.
ISO 22301 Business Continuity Lead Auditor
5 jours avec certification.
Prochain cours : 13-17 janv. 2014.
ISO 27005 Risk Manager
3 jours avec certification.
Prochain cours : 10-12 fév. 2014.
Page 27
Dix mille cas par an. Le chiffre des infractions commises au sein des entreprises enSuisse et mesuré par KPMG est loin d’être négligeable. Gestion déloyale, vol d’argent,escroquerie, corruption...La progression du vol de données, qui devient l’infraction principalesubie par les sociétés helvétiques.Les fraudeurs sont en majorité issus des rangs de l’employeur, le management étant mêmeimpliqué dans presque 40% des cas de conduites répréhensibles.
Dommages physiques: feux, eau, pollution, gel, …Evénements naturels: climat, sismique, volcan, inondation, météo.Perte de services essentiels: HVAC, alimentation électrique, télécommunication.Perturbation due à des radiations: électromagnétique, thermique.Information compromise: espionnage, vol, divulgation, source non trusted.Pannes techniques: soft, hard.Actions non autorisées: fraude, utilisation non autorisée, corruption de données, copie de soft.Fonctions compromises: erreur, abus de droits, DOS, disponibilité du personnel.
Il vous faut impérativement un PCA si : Vous œuvrez dans un secteur d’activité qui impose règlementairement l’existence et la maintenance d’un PCA. C’est le cas notamment du domaine bancaire. Vous travaillez avec des grands comptes ou administrations qui le réclament dans le cadre de leur propre politique de sécurité (notamment dans le contexte ISO 27001). Sinon, vous devez élaborer un PCI si : La bonne marche de votre entreprise est étroitement dépendante de votre système d’information. Concrètement, posez-vous par exemple la question suivante : puis-je tolérer sans dommage un arrêt de plus de 24h de ma messagerie, de mon ERP, ou de mon logiciel de paie ou de facturation ? Si la réponse est non, il faut un PCI, sinon un PRA peut suffire. Si votre activité est peu dépendante de l’informatique, ou si vos moyens budgétaires sont réduits, vous pouvez opter dans un premier temps pour un PRA.