Conseil et Expertise
au service
de vos projets
Date :Auteur :
6 décembre 2006Mathieu BENNASAR
Sinistres majeurs : comment assurer la Sinistres majeurs : comment assurer la continuitcontinuitéé dd’’activitactivitéé ??
2
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
SommaireSommaire
Sommaire
• Le problème…
• La continuité d’activité en question
• La méthodologie E=MCA
• Quelques conseils…
3
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
SommaireSommaire
• Sommaire
• Le problème…
• La continuité d’activité en question
• La méthodologie E=MCA
• Quelques conseils…
4
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
CôtCôtéé faits : le faits : le «« climatclimat »» (1/2)(1/2)
AZF 21/09/2001Inondations Gard 09/09/2002
11/09/2001Lorsqu’elles n’y sont pas préparées, 43 % des entreprises ferment au moment d’un sinistre, et 29 % de celles qui surviventpériclitent dans les 2 ans qui suivent
Disaster Recovery Institute International, Canada
5
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
CôtCôtéé faits : le faits : le «« climatclimat »» (2/2)(2/2)
• Tempête décembre 99
• Coupures massives d’électricité septembre 2003 (NYC, Italie)
• Canicule été 2003
• Crues centennales de la Seine (200?)
• Madrid 11/03/2004
• Tsunami du Sud-Est asiatique décembre 2004
• Attentats Londres 2005
• Katrina 2005
• Émeutes en France fin 2005
• Coupures électriques 11/2006
• …
Évolution des pertes économiques dues aux catastrophes naturellesau cours de la période 1950 –2003 (source München Ré)
6
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
CôtCôtéé chiffres : en France (1/2)chiffres : en France (1/2)
(source E&Y : La sécurité des systèmes d’information dans les entreprises françaises en 2004)
7
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
CôtCôtéé chiffres : en France (2/2)chiffres : en France (2/2)
(Source CLUSIF : Politiques de sécurité d’information et sinistralité en France Bilan 2003)
8
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Des rDes rééponses rponses rééglementaires glementaires et normativeset normatives
• Loi de Sécurité Financière (LSF)
• CRBF 2004-02
• Bâle II
• ISO/TS 16949 (§6.2.4 plans d’urgence)
• ISO 17799 (§11)
• Sarbanes-Oxley Act
• Recommandations AMF (Autorité des Marchés Financiers)
• Code du Commerce (Art. 123-20, al. 2)
• PCG 1999, Art. 120-1
• Norme I.A.S.C. N°1 paragraphe 7
• …
9
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Des rDes rééponses rponses rééglementaires glementaires et normatives : synthet normatives : synthèèsese
USAXNYSE 446
USAXNASD 3510/3520
UKXCivil Contingencies Act
XXComptabilités informatisées
XXIASC
XXPlan comptable général
XXCode commerce
XXAMF
Autres
USAXSarbanes-Oxley
XXCRBF
XXLSF
InternationaleXBâle IIPrincipales
Réglem
entations
AutreFranceSpécifique MCA
Générale
USAXNFPA 1600 - 2004
AustralieXHB 221 - 2004
InternationaleXITILAutres
UKXBSI PAS 56
InternationaleXGuides DRJ/DRII
InternationaleXGPG BCI
InternationaleXISO 17799
InternationaleXTL 9000
InternationaleXISO/TS 16949
PrincipalesN
ormes
AutreFranceSpécifique MCA
Générale
10
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Une terminologie en quête de Une terminologie en quête de normalisationnormalisation
• Plan de gestion de crise : PGC (Crisis Management Pl an)
• Plan de continuité d’activité : PCA (Business Continu ity Plan)
• Plan de reprise d’activité : PRA (Disaster Recovery Plan)
• Plan de reprise d’application : PRAp
• Plan de secours informatique : PSI
• Plan de continuité d’opérations : PCO (Continuity of Operations Plan)
???
11
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
PropositionProposition……
PRAppPRAPSIPCO
PCAPGC
Monde informatiqueMonde fonctionnel
12
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
PropositionProposition……
Cellule de criseDirection généraleDirection SI + équipesDirections métierÉquipes d’intervention définiesDirection communicationDRHAutorités civiles, etc.
Le responsable PCAAssurer la résilience de l’entreprise en :minimisant l’impact d’un sinistre majeur sur l’activité de
l’entrepriseassurant le fonctionnement des activités critiques
pendant la crisepermettant un retour maîtrisé à la situation nominale
L’entreprisePlan de continuitéd’activité
PCA
Cellule de criseDirection de la communicationDRHServices générauxAutorités civiles
Souvent un membre de la cellule de crise
Assurer la gestion maîtrisée d’une crise (en particulier la coordination entre toutes les parties intéressées, les mesures de communication interne et externe et la protection du personnel)
La partie de l’entreprise concernée par la crise
Plan de gestion de crise
PGC
La cellule de criseLes directions métier
Les directions métierAssurer le fonctionnement dégradé mais acceptable des activités critiques pendant une crise (interruption du SI en général)
Les activités métier critiques
Plan de continuitéd’opérations
PCO
La cellule de criseLes équipes informatiquesLes équipes d’intervention et les
utilisateurs
Le directeur du SIAssurer le secours des fonctions centrales du SI. Ne s’intéresse normalement pas aux activités métier
Le SIPlan de secours informatique
PSI
La cellule de criseLes équipes informatiquesLes équipes d’intervention et les
utilisateurs
Le directeur du SI ou le responsable d’exploitation
Reprendre l’activité du SI après une interruption. En général, la reprise s’effectue sur un site distant. Se limite aux interruptions majeures avec des effets àlong terme
Le SIPlan de reprise d’activité
PRA
Le pilote d’application (MOA)L’équipe informatique liée à
l’application (développement, maintenance et production)
Le pilote d’application (MOA)
Assurer le secours d’une application critique en cas d’interruption
Une applicationPlan de reprise d’application
PRAp
Principaux acteursResponsableObjectifPérimètreIntituléAcron.
13
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
SommaireSommaire
• Sommaire
• Le problème…
• La continuité d’activité en question
• La méthodologie E=MCA
• Quelques conseils…
14
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Plan de continuitPlan de continuitéé dd’’activitactivitéé : : ddééfinitionfinition
• « Plan de continuité de l’activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, desprestations de services essentielles de l’entreprise puis la reprise planifiée des activités » (CRBF 2004-02 )
RéagirRéagirPrévenirPrévenir GérerGérer Normaliserle retour
Normaliserle retour MaintenirMaintenir
SinistreSinistre
•Diagnostiquer•Activer le PCA
• Activer le Plan de Continuité d’Activité : communiquer, organiser, gérer
Fin de crise
Crise
Plan de continuité d’activité
15
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Plan de continuitPlan de continuitéé dd’’activitactivitéé ::les 4 piliersles 4 piliers
1. Organisation de gestion de
crise
4. Système documentaire
2. Stratégie de
sauvegarde
3. Solution technique de
secours
Plan de Secours Informatique
16
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
1. Organisation de gestion de crise1. Organisation de gestion de crise
• Des rôles et responsabilités :
�Clairement définis
�Connus de tous les intéressés
�Déjà éprouvés par des tests
�À 2 niveaux :�Décisionnel
�Opérationnel
• Des moyens adéquats :
�QG de crise opérationnel
�Documents et « malette » de crise
�Moyens de communication de secours
�Schéma d’organisation et séquencement
Cellule de crise
Équipe Informatique
Équipe LogistiqueÉquipe
Intervention
17
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
2. Strat2. Stratéégie de sauvegardegie de sauvegarde
• Une stratégie de sauvegarde « de recours » efficace et testée
�Toutes sauvegardes nécessaires en cas d’indisponibi lité :�Données
�Paramétrages et configurations
�Documents vitaux (contrats, annuaires, TDB, etc.)
�Etc.
�Caractéristiques :�Hors site
�Complètes
�Opérationnelles par sécurisation renforcée
�Opérationnelles car testées récemment
�Procédures documentées !
�Attention : les objectifs sont différents�Sauvegardes d’archivage : valeur probante ou obligation légale
�Sauvegardes de production : réaction à un incident
18
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
3. Solution technique de secours : 3. Solution technique de secours : ggéénnééralitralitééss
• Épine dorsale du plan de continuité d’activité
• Concerne :
�Principalement le cœur SI (serveurs, LAN)
�La téléphonie centrale
• Ne concerne généralement pas :
�La bureautique (PC, impression, fax, photocopieur,…)
�L’infrastructure et les locaux
• Solutions diverses suivant les doléances du BIA :
�Haute, Moyenne ou Faible disponibilité
�Accords de réciprocité, secours mutualisés, moyens dédiés
�Moyens fixes ou mobiles
19
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
3. RTO, RPO et classes de reprise3. RTO, RPO et classes de reprise
20
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
3. Classes de reprise3. Classes de reprise
Sauvegardes hebdomadaires et journalières.Transport des bandes de sauvegarde hebdomadaire dans des coffres d’entreprise ou externalisés.Site de secours de type salle blanche.
Disponibilité de 98 % (moins de 13,5 heures par mois d’interruption)RTO = 4 à 5 joursRPO = 1 jour
Fonctions locales4
Sauvegarde à distance journalière ou continue, dans des coffres-forts électroniques d’entreprise ou externalisés.Restauration sur plates-formes de secours externalisées, dédiées ou mutualisées (salle orange ).
Disponibilité de 99 % (moins de 5 heures par mois d’interruption)RTO = 3 joursRPO = 1 jour
Fonctions supports de l’entreprise
3
Site distant de type salle rouge ou salle miroir. Mirroringou réplication asynchrone vers un site de secours d’entreprise ou externalisé (courte ou moyenne distance).
Disponibilité de 99,5 % (moins de 3,5 heures par mois d’interruption)RTO = 8 à 24hRPO = 4h
Fonctions génératrices de revenus moins critiques.Fonctions logistiques
2
Réplication synchrone interne ou externalisée.Infrastructure de réplication en triangle couplant réplication synchrone (courte ou moyenne distance) et asynchrone (longue distance) pour assurer un secours contre les sinistres locaux et régionaux.
Disponibilité de 99,99 % (moins de 45 minutes par mois d’interruption)RTO = 2hRPO = 0h
Relation client ou partenaire.Fonctions critiques pour le chiffre d’affaires.
1
Stratégie de secoursObjectifs de secoursDomaines fonctionnels
Classe
21
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
4. Syst4. Systèème documentaireme documentaire
• Adapté au contexte
• A jour (outil, modalités, responsabilités)
• Testé : tests fonctionnels, par module, exercices sur table
• Disponible le jour du sinistre
22
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
4. Exemple client 14. Exemple client 1
PGC (Plan de Gestion de Crise)PGCPGC (Plan de Gestion de Crise)
Cellule de Crise Décisionnelle
Procédures CCD
Cellule de Crise Décisionnelle
ProcProcéédures CCDdures CCD
Cellule de crise pour les Activités Essentielles Opérationnelles
• Procédures Opérationnelles Dégradées des Métiers• Plans Fonctionnels propres
Cellule de crise pour les ActivitCellule de crise pour les Activit éés Essentielles s Essentielles OpOpéérationnellesrationnelles
• Procédures Opérationnelles Dégradées des Métiers• Plans Fonctionnels propres
Procédures Transverses àl’Établissement
Procédures Transverses àl’ÉtablissementSystème d’Information
• Plan pour compte propre• Plan de support
SystSyst èème dme d ’’ InformationInformation• Plan pour compte propre• Plan de support
Logistique & Sécurité• Plan pour compte propre• Plan de support
Logistique & SLogistique & S éécuritcurit éé• Plan pour compte propre• Plan de support
Communication• Plan pour compte propre• Plan de support
CommunicationCommunication• Plan pour compte propre• Plan de support
Ressources Humaines• Plan pour compte propre• Plan de support
Ressources HumainesRessources Humaines• Plan pour compte propre• Plan de support
EXEMPLE
EXEMPLE
EXEMPLE
EXEMPLE
23
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
4. Exemple client 24. Exemple client 2
Mode de réaction globale de crise :
♦ Présentation du PCA
♦ QG de crise
♦ Gestion globale de crise
♦ Test du PCA
♦ Maintenance du PCA
♦ Annexes informatives
PCA GLOBAL PCA LOCAUX
Mode de réaction locale de crise :
♦Responsabilités
♦Acteurs
♦Arbre de décision
♦“ Check lists ”
♦Annexes informatives
Mode de réaction immédiate en cas de crise :
♦ Mode d’alerte♦ Réaction face aux différents
types de sinistres♦ Disponibles pour tout employé
FICHES REFLEXES
EXEMPLE
EXEMPLE
EXEMPLE
EXEMPLE
24
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
SommaireSommaire
• Sommaire
• Le problème…
• La continuité d’activité en question
• La méthodologie E=MCA
• Quelques conseils…
25
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
La dLa déémarche E=MCAmarche E=MCA
Mieux connaître
son activité
Orienter la stratégie de
continuité
Mettre en place le plan de secours
informatique
Développer le Plan de Continuitéd’Opérations
Piloter le MCA
�
�
��
�
�
en conditions opérationnelles
Assurer conduite du
changement,déploiement du PCA et maintien
1A- Diagnostic de prévention1B- Cartographies et scénarios de sinistres1C- Bilan d’Impact sur l’Activité1D- Analyse de Risques1E- Analyse de couverture des polices d’assurance
2A- Stratégie globale de continuité2B- Stratégie locale de continuité2C- Choix de la solution technique de secours (SI)
3A- Mise en place de l’infrastructure technique (SI)3B- Organisation autour de la solution technique (SI)3C- Test de la solution technique (SI) et du plan de secours informatique
4A- Organisation de crise4B- Alerte et activation du PCA4C- Gestion de crise4D- Procédures fonctionnelles dégradées
5A- Sensibilisation, formation et communication5B- Maintien en conditions opérationnelles5C- Test du PCA5D- Contrôle du PCA
Méthodologie validée par le
26
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Exemple rExemple réésultats Phases 1 et 2 sultats Phases 1 et 2 (E=MCA) (1/4)(E=MCA) (1/4)
Durée d’interruption
Coût
1j 3j 1s
0k€
50k€
100k€
200k€
> 200k€ •Pertes de revenus
•Surcoût de fonctionnement
•Coût de reconstitution
Impact financier d’une interruption
27
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Exemple rExemple réésultats Phases 1 et 2 sultats Phases 1 et 2 (E=MCA) (2/4)(E=MCA) (2/4)
Impact indirect d’une interruption
Durée d’interruption
Sévérité de l’impact
1j 3j 1s
Nul
Faible
Moyen
Grave
Critique
Clients
Image
Règlementaire
28
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Exemple rExemple réésultats Phases 1 et 2 sultats Phases 1 et 2 (E=MCA) (3/4)(E=MCA) (3/4)
Synthèse RTO
>1sN/AN/AN/A>1sN/APaie
1sN/A>1s1sN/A1sInternet
3j3j>1s1s3j1sTéléphone
3j3j>1s1s4j1sMessagerie
1j2j1j1j1s1sFichiers
3j3j>1s1sN/A1sFax
>1sN/AN/AN/AN/A>1sTrésorerie
3jN/A1s3jN/AN/AGPAO
>1s>1sN/AN/AN/AN/ACRM
3j1s1s3jN/AN/AWMS
>1sN/AN/A>1sN/AN/AGMAO
1sN/A1sN/AN/AN/AQUALITE
3j3j1s3jN/A4-5jERP
RésuméDir. Comm.Dir. Qualit éDir. Indus.DRHSec. galeApplications
29
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Exemple rExemple réésultats Phases 1 et 2 sultats Phases 1 et 2 (E=MCA) (4/4)(E=MCA) (4/4)
Le point d’équilibre théorique
Durée d’interruption
Coût
1j 3j 1s
0k€
50k€
100k€
200k€
> 200k€Coût de
l’interruption
Investissement pour préparer le secours
30
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
SommaireSommaire
• Sommaire
• Le problème…
• La continuité d’activité en question
• La méthodologie E=MCA
• Quelques conseils…
31
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Du côtDu côtéé du ROI... (1/2)du ROI... (1/2)
• Pragmatisme + adéquation / enjeux => ROI par constr uction
Impact du sinistre / temps d’interruption
Coût de la solution / délai de reprise
Zone d’équilibre
32
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Du côtDu côtéé du ROI... (1/2)du ROI... (1/2)
• Au-delà des critères financiers directs :
�Impacts financiers des sinistres
�primes d’assurance
�élément différenciant
�image auprès du grand public
�vision cœur de métier
�vision synthétique de « ce qui compte »
�opportunité (plans de progrès, optimisation de proce ssus,…)
�structuration et formalisation des pratiques essent ielles
�culture de la gestion des risques
�Conformité réglementaire et contractuelle
33
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Quelques erreurs frQuelques erreurs frééquentesquentes
• Vendre la couverture 100% des risques
• Penser la CA en terme de solution technique
• Ne pas sélectionner de scénarios de sinistres
• Définir la stratégie technique de secours avant le BIA
• Vendre la tranquillité d’esprit d’un dispositif qui s’auto-régule, d’un système de secours
• Confondre QdS et CA
• Transférer l’intelligence sur le dispositif
• Penser le PCA comme un projet one-shot
• Réaliser le BIA sans homogénéiser les résultats
• Ne pas intégrer les évolutions
34
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Quelques conseils (1/2)Quelques conseils (1/2)
• « Mieux vaut prévenir que guérir » : Sécurité et prévention, sécuritéinfo, etc.
• Engager la direction
• Dépasser l’objectif de secours informatique
• Adapter la démarche aux enjeux
• Écouter la MOA
• Mettre à jour le dispositif en permanence (E/S personnel, évolutionstechniques, stratégie d’entreprise,…)
• Prévoir un délai de projet suffisant
• Garder le système de secours à niveau
• Tester, tester, tester…
• Nommer un responsable PCA
35
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
Quelques conseils (2/2)Quelques conseils (2/2)
• Attention aux évolutions réglementaires
• Définir la politique de sauvegardes en conséquence
• Soigner le BIA (aide extérieure ?)
• Ne pas surestimer le dispositif
• Engager des actions de communication
• Utiliser les avantages du PCA (assurance, core business,…)
• Décider de la stratégie de secours après une analyse de plusieurs solutions
36
Sinistres majeurs : Comment assurer la continuitéd’activité?
Conseil et Expertise au service de vos projets
XS PÔLE SECURITE -2006 Tous droits réservés
� Pour aller plus loin :− Méthodologies NIST et BCI− Le Plan de Secours Informatique (Clusif, 2003)− Plan de Continuité d’Activité et Système d’Information, vers l’entreprise
résiliente (M. Bennasar, Dunod, 2006)
� Contact :− Matthieu Bennasar : [email protected], 06 13 33 19 01
Merci pour votre attention...