View
885
Download
0
Category
Preview:
DESCRIPTION
Durant cette soirée, Stéphane Perroud aura le plaisir de partager avec vous ses compétences de praticien sur les différents aspects des risques à identifier et à évaluer, et vous montrera comment trouver des solutions pour rendre le business plus résilient. Il ne faut pas oublier que le but d’un PCA (plan de continuité d’activité) est d'accroître la robustesse du business en renforçant les dispositifs de prévention et de protection.
Citation preview
ITIL V3 Foundation
Plan de continuité des activitésLe vrai enjeu stratégique
Lausanne, 5.11.2013
Stéphane Perroud, Minimarisk Sàrl
Orateur Stéphane PerroudFormations
Ingénieur ETS / HES Economiste HEC Master en Management de la Sécurité des SI (MSSI)
Expériences Développeur J2EE et Web (LODH) Auditeur informatique (PwC) Consultant en Gouvernance, Audit et Management de la
Sécurité des SI (Minimarisk) Formateur en Gouvernance, Sécurité et Audit (COBIT,
CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp)
Certifications et examens CAS en gestion appliquée de projets, COBIT Foundation
4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001
Stéphane Perroudwww.sperroud.ch
consulting@sperroud.com
Page 2
Agenda
Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A
Page 3
Introduction
Page 4
Quand tout va bien…
Vision réduite des risques de l’entreprise. Impossible de tout prévoir. Systèmes complexes, vulnérables.
Il faut se préparer !
Page 5
11 Sept. 2001 – New York City
19 terroristes
2997 victimes
1134 entreprises impactées
60-1000 milliards de $ de pertes
Page 7
11 Sept. 2001 - 2 histoires
Société financière Gère les principaux fonds de pensions américains. Reprend les activités en moins de 1 semaine. Sauvée de la faillite.
Société IT Perd la plupart de ses collaborateurs. Backup IT dans l’autre tour. Fait faillite.
Page 8
Les principaux risques des entreprises romandes
Page 9
Principaux risques des entreprises
Les principaux risques surviennent sur trois niveaux:1. De la société elle-même
Erreurs humaines. Forte dépendance sur certains collaborateurs.
2. De son environnement immédiat Perte d’un client ou fournisseur important.
3. Du plan macroéconomique Variations des taux de change, fluctuations conjoncturelles. Changements réglementaires.
Page 10
Les principales menaces (selon ISO 27005)
Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises
Page 11
Situation en Suisse (selon Melani)
DDoS – attaques massives en Suisse aussi Serveurs DNS détournés pour des attaques DDoS.
Surveillance des communications sur Internet Prism (NSA), GCHQ (câbles sous-marins).
Advanced Persistent Threats Cyberattaques raffinées.
Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission
Page 12
Conséquences
Page 13
Impacts directs Destructions Indisponibilités Perte de données
Impacts indirects Erreurs Surcharge de travail Retards de livraison
Effets à long terme Pertes de réputation Pertes de clients Procès
Le plan de continuité
Page 14
Chronologie des catastrophes
Page 15
Que faire lors d’une interruption ?
Gérer l’urgence Mode «désastre» Plan de gestion des
incidents (PGI/IMP)
Analyse des risques et normes
Page 16v 1.0
Assurer la continuité Mode «désastre» Plan de continuité
(PCA/BCP)
Rétablir le système Mode «normal» Plan de reprise et
récupération (PRA/DRP)
10: Amélioration
Analyse des risques et normes
Page 17v 1.0
Gestion de la continuité des activités
Page 18
Etapes du plan de continuité
Page 19
Project Initiation
StrategyDevelopment
PlanDevelopment
Implementation Testing Maintenance
BIA
Analyse des impacts métier (BIA)
Quoi Identifier, quantifier et qualifier les conséquences d’une perte ou d’une
interruption d’une activité métier sur l’ensemble de l’organisation
Pourquoi Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités
Comment Identifier les processus principaux et leurs propriétaires Etablir un graphe des dépendances entre ces processus Identifier les impacts et évaluer quand ils deviennent inacceptables
Page 20
Les solutions de repli
Page 21
Stratégie de continuité
Identification et sélection des stratégies : Coûts vs. vitesse de reprise
Respect des RTO (<= DMIA) Respect des RPO (<= PDMA)
Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation
Si impact important immédiat réduction du risque Si impact peu important immédiat plan de reprise
Page 22
Conclusions
Page 23
11 Sept. 2001 - Leçons retenues
1. Toutes les menaces doivent être considérées.
2. Le personnel clé peut être indisponible. Le support aux employés est important.
3. Les infrastructures peuvent être inaccessibles.
Nov. 2003 HSBC Istanbul.Une bombe explose.26 tués, 450 blessés
Page 24
11 Sept. 2001 - Leçons retenues
4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés.
5. Les sites alternatifs ne doivent pas être situés trop près du site primaire.
Août 2003“En 3 minutes, 21 centrales
électriques s’éteignent
Page 25
11 Sept. 2001 - 2 histoires
6. Les dépendances et interdépendances doivent être analysées avec soin.
7. Les télécommunications sont essentiels.
Oct. 2008D.Telekom se fait voler les
données de 17 millions d’utilisateurs de mobiles
Page 26
Digicomp et PCA: What’s next?
ISO 22301 Business Continuity Foundation 2 jours avec certification. Prochain cours : 25, 26 nov. 2013.
ISO 22301 Business Continuity Lead Auditor 5 jours avec certification. Prochain cours : 13-17 janv. 2014.
ISO 27005 Risk Manager 3 jours avec certification. Prochain cours : 10-12 fév. 2014.
Page 27
Contact
Raphael Rues
Digicomp Academy Suisse Romande SAPhone: +41 21 321 65 00
E-Mail: raphael.rues@digicomp.chWeb: http://www.digicomp.ch/fr
Page 28
Recommended