Embed Size (px)
Citation preview
s
lU
PLAN DE CONTINUITE
D'ACTIVITE ET SYSTEME D'INFORMATION
Vers I'entreprise resiliente
^ B fc .^—i
Matthieu Bennasar
Preface de Paul Theron
CAMPUl PRa 2̂ edition
DUNOD
Table des matieres
Preface V
Avant-propos XVII
Premiere partie - Manager la continuity d*activit6
Chapitre 1 - La problematique et les acteurs de la continuite d'activite 3
1.1 Quelques faits et chiffres 3
1.1.1 L e r i s q u e m a j e u r f a c e a u x s i n i s t r e s de n o t r e temps 3
i . J. 2 L e c o u t et l a c r i t i c i t e des i n t e r r u p t i o n s de SI 4
1.1.3 L a situation des e n t r e p r i s e s f r a n ^ a i s e s , c o m p a r ^ e s a u r e s t e d u m o n d e 4
i . J .4 L^n b e n c h m a r k i n g f r a n ^ a i s s u r l a m a t u r i t e des e n t r e p r i s e s en t e r m e s de P C A . . . 5
1.1.5 Q u e l q u e s exemples f r a p p a n t s 5
1 . 1 . 6 B i l a n 7
1.2 Se preparer au pire : une vision pessimiste du monde ? 7
1.3 Contours et domaines de la continuite d'activite 10
1.3.1 U n e opproc/ie h o l i s t i q u e d u m a n a g e m e n t 11
1.3.2 Gouvemement d'entreprise, management des r i s q u e s et continuite' d ' a c t i v i t e . . . 12
1.3.3 L e p l a n de c o n t i n u i t e d ' a c a v i t i : u n e d e f i n i t i o n 13
i .3.4 De /'incident a u sinistre majeur 14
1.5.5 Ce qui n'est pas d u r e s s o r t de l a c o n t i n u i t e d ' a c t i v i t e 15
• Plan de continuity d'activite et s y s t i m e d'information
1.4 La reglementation et quelques normes 15
1.41 L a r e g k m e n x a t i o n 15
1.4.2 Les n c r r m e s et s t a n d a r d s 19
J. 4.3 Autxes r e g l e m e n t a t x o n s et normes 24
J.4-4 Synthese 26
1.5 P C A , P R A , P C O , P C M , PSi , P G C , etc.; qu'en est-il ? 27
1.5.1 Vne t e r m i n o l o g y en q i ^ t e de n o f m a H i s a x i o n 27
/.5.2 F r o p o s i n m de d e f i n i t i o n s 27
1.5.3 T a b l e a u c o m p a r a t x f 29
1.6 Les acteurs 29
1.6.1 L a direction ge'neroie 29
1.6.2 L e r i s k manager 29
i . 6.3 Les d i r e c t i o n s m e t i e r 31
1.6.4 Le Respomoble d u P C A ( R P C A ) 31
i .6.5 L e Responsible de l a s e c u r i t e d u systeme d ' i n f o r m a t i o n (RSSI) 32
i .6.6 ResponsahiUtes et niveau h i e r a r c h i q u e 32
Chapitre 2 - Decider la mise en place de la continuite d'activite 35
2.1 U n projet d'entreprise 35
2.1.1 Mandat et sponsor 35
2.1.2 P i l o t a g e de l a d e m a r c h e 36
2.1.3 C o n d u i t e d u c/iangement 36
2 . 1 . 4 Re'gime eiatii 37
2.1.5 Se/aire aider ou pas 37
2.1.6 Quelques e c u e i l s c o u r a n t s 38
2.2 Decider de mettre en place un P C A 44
2.2. J Les bonnes raisons de mettre en place un M C A 44
2.2.2 Q u e l q t t e s p r e a l a b l e s 47
2.2.3 Les quatre p r i n c i p a u x composants d ' u n P C A 47
2.2.4 Le R O I p a r c o n s t r u c t i o n 48
2.2.5 Le - R O i - inquanti/ioble 51
2.2.6 Quelques c o n s e i l s aux d e c i d e u r s 54
Table des matiires a Deuxieme partie - Methodes et outils de la continuite d'activite
Chapitre 3 - Mettre en place la continuite d'activite : methodologie commentee . 63
3.1 Demarche generale 63
3.1.1 De expertise » en c o n t i n u i t e d ' a c t i v i t e 63
3.1.2 Les t r r i n c i p a u x composants d ' u n d i s p o s i t i f de continuite d ' a c t i v i t e 64
3.1.3 L a d e m a r c h e E = M C A en six phases 65
3.1.4 Notes sur l e f o r m a U s m e u t i l i s e p o u r d e c r i r e l a m e t h o d o l o ^ e 66
3.2 Phase 1 - Mieux connaTtre son activity : T^tape decisive 67
3.2.1 Etape I . A : c a r t o g r a p h i e et s c e r w r i o s de s i n i s t r e s 67
3.2.2 Etape 1 .B : B i l a n d ' l m p a c t sur I ' A c t i v i t e ( B I A ) 69
3.2.3 t t a p e I . C : A n a l y s e des Risques ( A R j 72
3.2.4 Premiere etape/ocultative de lap/iose 1 : a n a l y s e de c o u v e r t u r e des c o n t r a t s d'assuraru:es 74
3.2.5 D e u x i e m e etape f a c u l t a t i v e de l a phase I ; diagnostic de p r e v e n t i o n 75
3.3 Phase 2 - Orienter la strat^gie de continuite d'activite 77
3.3.1 E t a p e 2.A : s t r a t e ^ e g l o b a l e de c o n t i n u i t e 77
3.3.2 Etape 2.B : s t r a t i ^ l o c a l e de c o n t i n u i t e 78
3.3.3 Etape 2 .C : c h o i x des s o l u t i o n s techniques de c o n t i n u i t e 80
3-4 Phase 3 - Developper le Plan de continuite d'activite ( P C A ) 82
3.4.1 E t a p e 3 . A : P l a n d e G e s t i o n de C r i s e ( P G C ) 82
3.4.2 E t a p e 3.B : p l a n s transverses ( P U , G P , P R ) 86
3.4.3 E t a p e 3.C-I : Plan de Continuite Metier ( P C M ) 87
3.4.4 Etape 3 .C '2 ; Plan de Continuite du SI (PCSIJ 88
3.5 Phase 4 - Mettre en place les solutions fonctionnelles et techniques de continuite 90
3.5.1 Etape 4 . A ; mise en place des i n f r a s t r u c t u r e s de c o n a n u i t i 90
3.5.2 E t a p e 4.B ; P r o c e d u r e s F o n c t i o n n e U e s de C o n t i n u i t e ( P F C ) 92
3.5.3 Etape 4 . C : P r o c e d u r e s I n f o m m t i q u e s de Continuite' (PIC) 93
3.5.4 E t a p e 4 .D ; test des cUspositifs techniques de continuite 94
3.6 Phase 5 - Deployer et maintenir en conditions operationnelles 96
3.6.1 ^tape 5 .A ; s e n s i b i l i s a t i o n , /ormation et c o m m u n i c a t i o n 97
3.6.2 Etape 5.B : maintien en conditiom o p e r a t i o n n e l l e s d u P C A 99
3.6.3 Etape 5 .C : test d u P C A 100
a Han de continuity d'activite et systime d'infomiauon
3.6.4 E i a p e S . D •.controleduPCA 102
3.7 Phase 6 - Piloter le management de la continuite d'activite 104
3.7.1 t i a p e 6 .A ; pilotage du projet P C A 104
3.7.2 Etape 6.B : pii<Jiage du M C A 105
3.8 Synoptiques recap it ulatifs de la methodologie E = M C A 107
3.9 Quelques cas particuliers 116
3.9.1 Le secteur banques et/inance 116
3.9.2 Le s e c t e u r P U E j P U l 116
3.9.3 L e s e c t e u r p u b l i c 117
3.9.4 LeSZin/ogere 118
Chapitre 4 - Panorama des solutions techniques de secours 119
4.1 Les solutions de secours des moyens informatiques 119
4 . i . l So/utiom de secours du SI 120
4.1 -2 TypoitJgie des moyens de seccmrs (S/) : avantages et limiles 120
4.1.3 De la bonne d i s t a n c e du site de s e c o u r s i S \ 123
4.1 4 D i s p o n i h i l i t e des solutions ; c o n s e q u e n c e s s u r les p r i n c i p a u x composants de la c h a i n e S I 124
4.1.5 Mener I'analyse couts/benefices e t a v a n t a g e s / i n c o n v e n i e n t s s u r les s o l u t i o n s de s e c o u r s (SI) 124
4.1.6 Le rruirche e t les priru:ipaux f o u m i s s e u r s de s e r v i c e s e t s o l u t i o n s de s e c o u r s (SI) 126
4.1.7 Un mot sur l a s p e c t conrrociuei du s e c o u r s i n f o r m a t i q u e 128
4-2 Les solutions de secours des moyens de production 130
4.2.1 Une p r o b l e r r m t i q u e b i e n differente de celle d u S l I 130
4.2.2 Axes de reflexion e t r e t o u r s d'exp&rierKe 131
4 3 Les solutions de secours des locaux et ^quipements 132
4.3.1 Sauvetage des iocaux et equipements 132
4.3.2 S e c o u r s des l o c a u x e t e q u i p e r r ^ n t s 132
4 4 Le secours des ressources humaines 133
4.5 Les systfemes d'information du M C A { S I M C A ) 134
4.5.1 O i i /'on definit u n S M C A 134
4.5.2 Les/onctionnalites d'un S I M C A 135
4.5.3 Q u e l q u e s raisor\s p o u r m e t t r e e n p l a c e u n S I M C A 135
4.5.4 Crii^es de s u c c ^ s p o u r la mise e n a e u v r e d ' u n S / M C A 136
Table des matures xiii]
102
:4
:4
:5
116
116
116
117
118
119
119
120
120
123
124
124
126
128
130
130
131
132
132
132
133
134
134
135
135
136
4.5.5 Q u e l q u e s o u t i l s 136
4-5.6 L e c o i u d ' u n S / M C A i n t e g c e 137
4-6 La question des couts du secours 138
4 -6. / Aspects f m a n c i e r s l i e s a l a m i s e e n p l a c e d e la p a r t i e j o n c t i o r m e U e d ' u n p l a n d e c o n t i n u i t e d ' a c t i v i t e 138
4.6.2 O r d r e s d e g r a n d e u r fxnarxciers p o u r l a s o l u t i o n t e c h n i q u e d e s e c o u r s (SI) 141
Chapitre 5 - Considerations techniques sur les solutions de secours 145
5.1 Sauvegarde, restauration et disponihilite des donnees 145
5. / . I M e t h o d e s d e s a u v e g a r d e 147
5 . 1 . 2 C a s p a r a c u l i e r s d e s a u v e g a r d e 148
5.1.3 Technologies d e sauvegarde et arc/u'teccure de liaute disponihiUte des d o n n e e s . . . 149
5.1.4 Critdres de c h y i x d e s solutxorxs d e s a u v e g a r d e 156
5.2 Considerations techniques sur les composants critiques du S I ; strategies de secours 157
5.2.1 S e r v e u r s 158
5.2.2 R l s e a u h c a i 159
5.2.3 R e s e a u W A N 160
5.2.4 Sites w e b 161
5.3 Considerations techniques sur les outils et moyens peripheriques 162
5.3. / P a s t e s et s t a t i o n s de t r a v a i l 162
5.3.2 Te'le'p/ionie 164
5.3.3 I m p r e s s i o n 164
5.3.4 Internet 165
Chapitre 6 - Etudes de cas 167
6.1 Cas n° 1 - Mise en place d'un plan de continuity informatique local 167
6.1./ L'e'nonce du prob/eme 168
6. / .2 L'approclie p r o p o s e e et la d e m a r c h e mise en ceuvre 169
6. / .3 Etape 1 - Mieux connojtre I ' a c t i v i t e 169
6. / .4 Etape 2 - Orienter la strategic de continuite 171
6./ .5 Etape 3 - Mettre e n p l a c e la s o l u t i o n t e c h n i q u e d e c o n t i n u i t e 171
6./.6 C o r \ c l u s i o n 172
6.2 Cas n° 2 - Audit d'un plan de continuite informatique et definition du P C A . 172
6.2.1 L'enonce'du prob/eme 173
Plan dc continuite d'aaiviti et systeme d'infonnation
6 . 2 . 2 V a p p r o c h e proposee e t la d e m a r c h e m i s e e n o e u v r e 174
6.2.3 L e s Uvrahles et les resuUats 176
6.2.4 C o n c l u s i o n 178
6.3 Cas n° 3 - Mise en place d'un plan de continuity metier ( P C M ) 179
6.3./ L ' i n o n c i d u p r o b l h n e 180
6.3.2 L a p p r o c h e proposee e t la d e m a r c h e m i s e e n a e u v r e 181
6.3.3 ^ t a p e I - Mieux c o n n a i t r e l a c t i v i t i 182
6.3.4 Etape 3 : D e v e l o p p e r le p l a n de c o n t i n u i t e d ' a c t i v i t d 191
6.3.5 ^tape 5 - A s s u r e r la c o r u i u i t e d u changement, le d e p l o i e m e n t d u P C M et son rruiintien e n condidom operationnel/es 196
6.3.6 C o n c l u s i o n 201
6.4 Cas n^ 4 - Retour d'experience pour une crise majeure : les attentats de Londres 201
Troisieme partie - Perspectives
Chapitre 7 - Vers un systeme de management de la continuite d'activite et une entreprise resiliente ? 205
7.1 Les principaux systfemes de management de I'entreprise 206
7.1.1 Qualjte(/SO900/) 206
7.1.2 Securite et sante au irai-aj'UOHSAS /800i) 206
7 . 1 3 Environnement(/SO/400i) 206
7.1.4 securite de I'in/ormation (ISO 2 7 0 0 2 e t I S O 2 7 0 0 1 ) 207
7.1.5 ^ t h i q u e e t r e s p o n s a h i l i t e s o c i a k i S A 8 0 0 0 ) 207
7.1.6 S>stemes propres a I'entreprise 207
7.2 L'integration des divers syst^mes de management: vers un SMI 208
7.2.1 L e s c o n c e p t s i n t e g r a t e u r s 208
7.2.2 L a c o r \ s t r u c t i o n d u troru: c o m m u n 212
7.2.3 Les at'antoges 212
7.3 Proptwition d'un Systeme de management de la continuite d'activite ( S M C A ) 214
7.3.1 Un systeme de management de la continuite'd'activite' 214
7.3.2 Vers le management uni^ ' 214
7-4 Vers la resilience 216
7.4.1 Vous a v e z dit r i s i l i e r \ c e ? 216
7.4.2 C o n s t r u i r e la r e s i l i e n c e 217
Table des matHres
74
76
78
79
.SO
•>!
.S2
191
196
: o i
: o i
205
206
206
206
206
207
207
207
208
208
212
212
214
214
214
216
216
217
7.5 Conclusion 219
Conclusion 221
ANNEXES
Annexe A - Sigles et abrevtations 227
Annexe B - Quelques illustrations documental res de la methodologie 229
Annexe C - Les demarches connexes et les methodes associees 275
References bibliographiques 291
Index 299
I N F O P R O IVPE O O U V R A C I
ItSSENTIEL I M FORMER pSS/fNCi
M a t t h i e u Bennasa r
P r e f a c e d e Paul Theron
PLAN DE CONTINUITE D'ACTIVITE ET SYSTEME D'INFORMATION Vers I'entreprise resiliente
Cet ouvrage s'adresse aux decideurs de I'entreprise ainsi qu'aux maitres d'oeuvre de la continuite d'activite ( R P C A , r i s k m a n a g e r s , RSSI et D S I ) .
Le management de la continuite d'activite permet de preparer I 'entreprise a t'aire face aux crises qu i peuvent paralyser ses activites. II se materialise notamment par un plan de continuite d'activite (PCA) pragmatique, a jour et teste.
Structure en trois parties, cet ouvrage actualise sur les normes europeennes d o n n e une v i s i o n strategique de la con t inu i t e d'activite : • La premiere partie est destinee aux decideurs qui y trouveront les
grands principes du management de la continuite d'activite. • La deuxieme partie propose une methodologie en vue d'assurer
la continuite d'activite avec le detail des etapes de sa mise en oeuvre : bilan d ' impact sur I'activite (BIA), analyse des risques, tests du P C A . . . Elle presente aussi des etudes de cas.
• La t ro i s ieme part ie trace les perspectives d'evolution, du management de la con t inu i t e d ' ac t iv i t e vers la r e s i l i ence d'entreprise.
MANAGEMENT DtS SVSTtMES D'INFORMATION
AHPLJCAIIONS MtllIRS
tlUDtS, OtVElOPPEMENT. INTtCRAllON
tXFlOIIAIlON (I ADMINISTRATION
KtStAUX & t^LfCOMS
2̂ e d i t i o n
MATTHIEU BENNASAR
MBCI et CISM Ancien auditeur informatique chez PricewalerhouseCoopefs, tl esl aujourd'hui manager res-ponsable de I'offre ResiliefKe & Continuite d'Activite du groupe LEXSI. II esi charge de cours i I'lAE de Lyon et a I'lMI, et membre du BCI.
L.I [jrernifre tkljljon de cet uuvrage a re^u le prix AFISI 2006 du meilleur livre informatique de langue fran^aise.
« Cette n o u v e l l e e d i t i o n t i e n t largemenl comple des E v o l u t i o n s de la d i s c i p l i n e , notamment en France. E l l e apportera une aide certaine a tous ceux q u i d o i v e n t developper en detail des plans de c o n t i n u i t e . Les etudes de cas s o n t extremement bien ciblees et developpees avec p r e c i s i o n . I ' a p p r e c i e t o u t p a r t i c u l i e r e m e n t le nouveau chapitre sur la resilience q u i est evidemment le devenir de la gestion de la c o n t i n u i t e d'activite. »
Pierre-Dominique LANSARD Vice-president du Club de la Continuite d'Attivrte
6902399 ICflUPUS PLAN CONTIN
I x ; Business Continuity Institute
.1 82 GO 546556 D U N O D
WW w. u nod. com
