29
ITIL V3 Foundation Plan de continuité des activités Le vrai enjeu stratégique Lausanne, 5.11.2013 Stéphane Perroud, Minimarisk Sàrl

Plan de continuité des activités: le vrai enjeu stratégique

Embed Size (px)

DESCRIPTION

Durant cette soirée, Stéphane Perroud aura le plaisir de partager avec vous ses compétences de praticien sur les différents aspects des risques à identifier et à évaluer, et vous montrera comment trouver des solutions pour rendre le business plus résilient. Il ne faut pas oublier que le but d’un PCA (plan de continuité d’activité) est d'accroître la robustesse du business en renforçant les dispositifs de prévention et de protection.

Citation preview

Page 1: Plan de continuité des activités: le vrai enjeu stratégique

ITIL V3 Foundation

Plan de continuité des activitésLe vrai enjeu stratégique

Lausanne, 5.11.2013

Stéphane Perroud, Minimarisk Sàrl

Page 2: Plan de continuité des activités: le vrai enjeu stratégique

Orateur Stéphane PerroudFormations

Ingénieur ETS / HES Economiste HEC Master en Management de la Sécurité des SI (MSSI)

Expériences Développeur J2EE et Web (LODH) Auditeur informatique (PwC) Consultant en Gouvernance, Audit et Management de la

Sécurité des SI (Minimarisk) Formateur en Gouvernance, Sécurité et Audit (COBIT,

CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp)

Certifications et examens CAS en gestion appliquée de projets, COBIT Foundation

4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001

Stéphane Perroudwww.sperroud.ch

[email protected]

Page 2

Page 3: Plan de continuité des activités: le vrai enjeu stratégique

Agenda

Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A

Page 3

Page 5: Plan de continuité des activités: le vrai enjeu stratégique

Quand tout va bien…

Vision réduite des risques de l’entreprise. Impossible de tout prévoir. Systèmes complexes, vulnérables.

Il faut se préparer !

Page 5

Page 7: Plan de continuité des activités: le vrai enjeu stratégique

11 Sept. 2001 – New York City

19 terroristes

2997 victimes

1134 entreprises impactées

60-1000 milliards de $ de pertes

Page 7

Page 8: Plan de continuité des activités: le vrai enjeu stratégique

11 Sept. 2001 - 2 histoires

Société financière Gère les principaux fonds de pensions américains. Reprend les activités en moins de 1 semaine. Sauvée de la faillite.

Société IT Perd la plupart de ses collaborateurs. Backup IT dans l’autre tour. Fait faillite.

Page 8

Page 10: Plan de continuité des activités: le vrai enjeu stratégique

Principaux risques des entreprises

Les principaux risques surviennent sur trois niveaux:1. De la société elle-même

Erreurs humaines. Forte dépendance sur certains collaborateurs.

2. De son environnement immédiat Perte d’un client ou fournisseur important.

3. Du plan macroéconomique Variations des taux de change, fluctuations conjoncturelles. Changements réglementaires.

Page 10

Page 11: Plan de continuité des activités: le vrai enjeu stratégique

Les principales menaces (selon ISO 27005)

Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises

Page 11

Page 12: Plan de continuité des activités: le vrai enjeu stratégique

Situation en Suisse (selon Melani)

DDoS – attaques massives en Suisse aussi Serveurs DNS détournés pour des attaques DDoS.

Surveillance des communications sur Internet Prism (NSA), GCHQ (câbles sous-marins).

Advanced Persistent Threats Cyberattaques raffinées.

Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission

Page 12

Page 13: Plan de continuité des activités: le vrai enjeu stratégique

Conséquences

Page 13

Impacts directs Destructions Indisponibilités Perte de données

Impacts indirects Erreurs Surcharge de travail Retards de livraison

Effets à long terme Pertes de réputation Pertes de clients Procès

Page 15: Plan de continuité des activités: le vrai enjeu stratégique

Chronologie des catastrophes

Page 15

Page 16: Plan de continuité des activités: le vrai enjeu stratégique

Que faire lors d’une interruption ?

Gérer l’urgence Mode «désastre» Plan de gestion des

incidents (PGI/IMP)

Analyse des risques et normes

Page 16v 1.0

Assurer la continuité Mode «désastre» Plan de continuité

(PCA/BCP)

Rétablir le système Mode «normal» Plan de reprise et

récupération (PRA/DRP)

Page 17: Plan de continuité des activités: le vrai enjeu stratégique

10: Amélioration

Analyse des risques et normes

Page 17v 1.0

Page 18: Plan de continuité des activités: le vrai enjeu stratégique

Gestion de la continuité des activités

Page 18

Page 19: Plan de continuité des activités: le vrai enjeu stratégique

Etapes du plan de continuité

Page 19

Project Initiation

StrategyDevelopment

PlanDevelopment

Implementation Testing Maintenance

BIA

Page 20: Plan de continuité des activités: le vrai enjeu stratégique

Analyse des impacts métier (BIA)

Quoi Identifier, quantifier et qualifier les conséquences d’une perte ou d’une

interruption d’une activité métier sur l’ensemble de l’organisation

Pourquoi Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités

Comment Identifier les processus principaux et leurs propriétaires Etablir un graphe des dépendances entre ces processus Identifier les impacts et évaluer quand ils deviennent inacceptables

Page 20

Page 22: Plan de continuité des activités: le vrai enjeu stratégique

Stratégie de continuité

Identification et sélection des stratégies : Coûts vs. vitesse de reprise

Respect des RTO (<= DMIA) Respect des RPO (<= PDMA)

Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation

Si impact important immédiat réduction du risque Si impact peu important immédiat plan de reprise

Page 22

Page 24: Plan de continuité des activités: le vrai enjeu stratégique

11 Sept. 2001 - Leçons retenues

1. Toutes les menaces doivent être considérées.

2. Le personnel clé peut être indisponible. Le support aux employés est important.

3. Les infrastructures peuvent être inaccessibles.

Nov. 2003 HSBC Istanbul.Une bombe explose.26 tués, 450 blessés

Page 24

Page 25: Plan de continuité des activités: le vrai enjeu stratégique

11 Sept. 2001 - Leçons retenues

4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés.

5. Les sites alternatifs ne doivent pas être situés trop près du site primaire.

Août 2003“En 3 minutes, 21 centrales

électriques s’éteignent

Page 25

Page 27: Plan de continuité des activités: le vrai enjeu stratégique

Digicomp et PCA: What’s next?

ISO 22301 Business Continuity Foundation 2 jours avec certification. Prochain cours : 25, 26 nov. 2013.

ISO 22301 Business Continuity Lead Auditor 5 jours avec certification. Prochain cours : 13-17 janv. 2014.

ISO 27005 Risk Manager 3 jours avec certification. Prochain cours : 10-12 fév. 2014.

Page 27

Page 28: Plan de continuité des activités: le vrai enjeu stratégique

Contact

Raphael Rues

Digicomp Academy Suisse Romande SAPhone: +41 21 321 65 00

E-Mail: [email protected]: http://www.digicomp.ch/fr

Page 28