Gouvernance de la sécurite des Systèmes d'Information Volet-2

VOLET 2

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET II

� Module N°1 : Contexte� Contexte

� Problématique

� Domaine et périmètre de la continuité d’activité

� Module N°2 : Grandes étapes du plan de secours informatique� Cinématique de la crise

� Organisation, acteurs - responsabilités,

� Cellule de crise - déclenchement,

� Dispositif de secours, documentations


� Module N°3 : Panorama des solutions techniques de secours� Typologie des moyens de secours

� Disponibilité des moyens de secours

� Marché des principaux fournisseurs de solutionsde secours

� Solutions de secours des locaux & équipements

� Secours des ressources humaines & astreintes

� Aspects financiers - Ordre de grandeur

� Module N°4 : Aspects physiques des solutions de secours� Choix du site Implantation des locaux - Locaux techniques

� Climatisation – Filtration et pollution de l’air– Énergie

� Dégât des eaux – Protection incendie

� Formation – sensibilisation

� Maintenance et plan de tests du PSI

AGENDA VOLET II


� Pour aller plus loin� Livre

� Magazine

� Articles - Web

� Module N°5 : Aspects techniques des solutions de secours informatiques� Approche du marché des intégrateurs

� Tolérance aux pannes – Réseau – Serveur – Disques

� Modes de sauvegarde – plans de sauvegarde -Externalisation

� Technologies de sauvegarde – Mirroring

� Architectures – Virtualisation

TRAVAIL PERSONNEL

� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture du chapitre suivant

� Chapitre 4.5 Continuité des services et gestion de crises


MODULE N°1 : CONTEXTE


CHIFFRES ET EXEMPLES - ÉVÉNEMENTS

COÛT DES INTERRUPTIONS DE SERVICE - TYPES D’INTERRUPTION

RÉGLEMENTATIONS, NORMES & STANDARDS

NOTIONS DE BASE - DISTINCTION ENTRE PCA ET PSI

POSITIONNEMENT DU PSI DANS LE PROCESSUS GLOBAL DE SÉCURITÉ

DOMAINE ET PÉRIMÈTRE DE LA CONTINUITÉ D’ACTIVITÉ

� Pourquoi mettre un plan de secours informatique ?� Les catastrophes naturelles

� Les accidents

� Les malveillances

� Les interruptions planifiées causes d’erreurs

� …


PROBLÉMATIQUE & CONTEXTE



Tempête Xynthia 2010

Octobre 2013 : Typhon Haiyan aux Philippines

Janvier 2014 : inondation dans le Var

Une proportion très importante d’entreprises nesurvit pas à un sinistre majeur, que celui-ci soitinformatique, naturel, industriel ou criminel.

Selon les sources, la proportion varie de 30% à80%.




� L’analyse détaillée et permanente de la sinistralité informatique le montre

10

L’absence ou le défaut de cohérence

des plans de secours mettent particulièrement en péril les entreprises

Plus de la moitié des sociétés qui ont

connu un sinistre majeur ont cessé leur activité dans les 2 ans qui ont suivi (source CLUSIF)

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés


� Pour les entreprises françaises – étude Clusif



12

Il existe deux types d'interruption : imprévue et planifiée.

Interruption imprévueIl est surprenant de constater que lesinterruptions imprévuesreprésentent moins de5 à 10% pour cent de toutes lesinterruptions.

Ces événements comprennent lesviolations de sécurité, la corruption desdonnées, les coupures de courant,l'erreur humaine, les échecs de mise àniveau, les catastrophes naturelles, etc.



13

Interruption planifiéeLes événements imprévus font l'objet de plus d'attention, pourtant ce sont lesinterruptions planifiées qui représentent le plus grand défi pour le fonctionnement d'uneentreprise.

La maintenance régulière (quotidienne/hebdomadaire) des bases de données, desapplications ou des systèmes causent habituellement des interruptions de services.

Des études prouvent que interruptions planifiées sont lacause de plus de 70-90 % des interruptions.




Entreprise

Risque fournisseur

Défaillance de fournisseurs

essentiels

Risque informatique

Défaillance du Système

d’Information, hacking, …

Facteur humain

Mouvement social

Indisponibilité de

personnel

Risque technologique

Accident industriel,

défaillance nucléaire, …

Risques internes

Fraudes,

acte de malveillance , …

Réglementation

Couvre feu imposé en cas

de mouvement social

national ou guerre civile

Risque sanitaire

Pandémie

Insécurité du personnel

Sinistres naturels

Tempête, inondation

Neige et intempéries

LIMITATION AUX SINISTRES INFORMATIQUES

Source Entreprise Lexis


� Notions de base� Le concept de « disponibilité » est très subjectif : selon les entreprises à

qui l'on s'adresse, il se situe quelque part entre une situation catastrophique(de nombreuses heures d'interruption avec perte importante de données) etune situation idéale (des temps de fonctionnement en temps réel 24 heures sur24 et 7 jours sur 7 sans aucune perte de données).

� Votre définition de la disponibilité dépend des besoins de v otreentreprise , de vos exigences en termes de données et d'applications, ainsique de votre structure. Pourtant, l'objectif logique devrait être d'éviter que lesinévitables interruptions du système n’affectent la production de l'entreprise.



� Un plan de continuité d’activité (PCA) est constitué de deux composantes liées entre elles : PCO & PSI

� Le PCO (Plan de Continuité des Opérations) s’applique à définir des procédureset des marches à suivre pour permettre aux différents corps de métier del’entreprise de continuer à être opérationnels après un sinistre.

� Le PSI (Plan de Secours Informatique) vise à garantir l’exploitabilité du systèmed’information de l’entreprise, même lors de son indisponibilité, qu’elle soit due àune destruction causée par une catastrophe naturelle, à une impossibilitéd’accéder au lieu de travail, ou à une attaque informatique menée par un tiersmalveillant.




PRI / PCI


� Le plan de continuité d’activité

� Vise à assurer la poursuite des activités nécessaires au maintienéconomique, commercial, social et relationnel de l'entreprise en toutescirconstances d'événements gravement perturbateurs.

� L’activité informatique constitue un sous-ensemble majeur d’un plande continuité d’activité



� Le plan de secours informatique

� La continuité d ’activité est aujourd’hui étroitement liée aufonctionnement du système d’information.

� Le plan de secours informatique vise à supprimer ou à réduire lesconséquences d'indisponibilité du système informatique.

� Le Plan de Secours Informatique peut être vu comme un desderniers remparts contre la panique et la confusion,lorsqu’une situation de crise se présente et nécessite des moyensformels pour être résolue dans des délais acceptables.


PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Contexte

Chiffres clés

événements

Domaine et périmètre de la

continuité d’activité

MODULE N°2 : GRANDES ÉTAPES DU PLAN DE SECOURS INFORMATIQUE


CINÉMATIQUE DE LA CRISE

ORGANISATION, ACTEURS - RESPONSABILITÉS,

CELLULE DE CRISE - DÉCLENCHEMENT,

DISPOSITIF DE SECOURS, DOCUMENTATIONS

FORMATION – SENSIBILISATION

MAINTENANCE ET PLAN DE TESTS DU PSI

GRANDES ÉTAPES DU PLAN DE SECOURS INFORMATIQUE

� Cinématique de la crise

23

Exposition maximum Vulnérabilité maximumDélai de prise de décision

Plan de secours informatique


GRANDES ÉTAPES DU PLAN DE SECOURS INFORMATIQUE� Cinématique de la crise


Source Lexis


� Composants principaux d’un PSI� Organisation - Gestion de crise

� Formalisation - Système documentaire

� Mémorisation des états stables du SI - Stratégie de sauvegarde

� Industrialisation du secours - Solution technique de secours

25

Plan de secours



� Organisation

26

Cellule de crise

Cellule de coordination

Equipes d’intervention

Services utilisateurs



� Organisation� Cellule de crise – Anticipation – pro activité – décision

� Analyse des premières informations� Prend les principales décisions� Décision de partir ou non en secours et du retour à la normale

� Lieu de réunion, téléphone et moyens de communication doivent être prédéfinis


Cellule de

crise

Services généraux

Communication

Informatique

MétiersUtilisateurs


� Organisation� Cellule de coordination – décharger la cellule de crise

� Pilotage des opérations de secours� Composée d’un nombre restreint de personnes – responsable PSI, personnes en charge de

la coordination des opérations informatiques et de la logistique� Délégation de responsabilité - activation par anticipation de certains dispositifs

� Equipes d’intervention

� Réalisation des tâches de secours� Selon les compétences requises, la disponibilité et le lieu d’intervention� S’assurer que les contrats de travail soient compatibles avec le déplacement des équipes

concernées sur un autre site

� Services utilisateurs

� Prise en charge de leur propre plan de secours mis à leur disposition� Organisation du redémarrage (en mode normal ou dégradé)� Communication auprès des utilisateurs sur les procédures de contournement éventuelles



29

Procédures d’escalade sont essentielles

- Selon le type et la gravité de l’incident connaître les personnes à contacter

- Définir qui est habilité à déclencher la structure de crise

Activation du PSI



� Les dispositifs de secours� Mobilisation des ressources nécessaires

� Mobilisation des équipes d’intervention� Réservation des moyens de secours (alerte des prestataires externes)� Récupération des sauvegardes et de la documentation

� Secours informatique

� Restauration des environnements systèmes� Adaptation technique si nécessaire sur le matériel de secours� Restauration des applications et validation des restaurations� Basculement des liaisons de secours réseau ou redirection des flux� Re-routage des appels téléphoniques� Reprise des traitements� Adaptation des procédures d’exploitation� Récupération de flux de synchronisation des données� Validations fonctionnelles des applicatifs



� Les dispositifs de secours� Logistique

� Transports, fournitures, rotation des équipes, prise en compte des situations individuelles

� Préparation du site d’accueil

� Relogement

� Organisation du logement d’urgence� Préparation des sites d’accueil

� Reprise des activités des services utilisateurs

� Organisation d’un service minimum� Travaux exceptionnels – procédures de contournement, rattrapages, ….



� Les dispositifs de secours� Communication de crise

� Interne (personnel, autres entités)� Externe (clients, usagers, partenaires)

� Dispositif de reprise

� Dispositif préalable et d’accompagnement (assurance, remise en état des locaux, sauvetage des matériels)

� Dispositif de retour à la normal (constitue un plan spécifique avec les plans de restaurations et de reprise de données)


33

Organisation - synthèse

Cellule de crise

Plan de secours

PCSécu

Astreinte

Assistance externe

Utilisateurs

Moyens de secours Moyens normaux

Equipesde secours

Plan de secours

Alerte

Procéduresdégradées

Equipestechniques



� Fréquence des tests des plans de secours pour les entreprises françaises – étude CLUSIF



� Formation – Sensibilisation

� Tous les acteurs de la continuité doivent être formés : � Le RSSI, le comité de direction

� Les personnels de l'équipe de secours

� Les référents des utilisateurs

� Il doivent être formés à :� La mise en œuvre du PSI,

� La mise en œuvre des équipements techniques de secours,

� L'emploi des moyens du plan de secours (communication, transport, etc. ...)


Le test réel du PSI est lui-même un atelier de formation pour les parties prenantes et développe la polyvalence dans les équipes

PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Cinématique de la crise

Organisation, acteurs -

responsabilités,

Cellule de crise -déclenchement,

MÉTHODOLOGIE

ANALYSE DU CONTEXTE

CHOIX DE LA STRATÉGIE DE CONTINUITÉ

MISE EN PLACE DE LA SOLUTION DE SECOURS

OUTILS

MÉTHODOLOGIE ET OUTILS

38 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés




40

Phase N°1

• Analyse du contexte et des enjeux de l’entreprise

Phase N°2• Choix de la stratégie de continuité

Phase N°3• Mise en place de la solution de secours


MÉTHODOLOGIE ET OUTILS� Phase N°1 : Analyse du contexte et des enjeux de l’entreprise

� Diagnostic initial

� Cartographies & scénarios de sinistres

� Cartographie du système d’information : applications, infrastructure, site

� Bilan d’impact sur l’activité

� Analyse de couverture de vos polices d’assurance

� Livrables � Rapport d’audit – Vulnérabilités identifiées - Cartographie du système d’information

� Cartographies des sinistres & scénarios de sinistres retenus

� Impacts des sinistres sur l’activité – Contraintes (réglementaires commerciales)

� Plans de réduction des risques par activité et ou ressource critique

� Ressources clés (RH, infrastructure et locaux SI, données sensibles, fournisseurs) & SPOF (Single Point Of Failure)

� Méthodes, Outils, Normes� Norme ISO-27002 – ISO 22301 - Méthode d’analyse de risque EBIOS, MEHARI



� EXEMPLE DE MESURE DES CONSÉQUENCES DE L’INTERRUPTION DE SERVICE ET DONC DE LA CRITICITÉ DE CHAQUE PROCESSUS


MÉTHODOLOGIE ET OUTILS : BILAN D’IMPACT SUR L’ACTIVITÉ (BIA)


Sinistres retenus a priori Conséquences possibles

1Sinistre de la salle informatique de production(incendie, coupure électrique, panne de climatisation, etc.)

• Indisponibilité durable (plusieurs jours) de toutes les applications

de la société X � Impact direct sur la santé des patients et surl’organisation de la société X

2

Rupture d’un composant d’infrastructure vital hébergé

en salle(cœur de réseau, cœur de téléphonie, etc.)

• Indisponibilité durable (plusieurs jours) de toutes les applications

de la société X � Impact direct sur la santé des patients

3Rupture du lien Internet(défaillance opérateur, coupure physique du lien, etc.)

• Impossibilité d’accéder aux applications hébergées à l’extérieur• Impossibilité d’échanger avec les partenaires� Impact potentiel

sur l’organisation

4

Rupture d’une connexion réseau interne (inter-site ou

inter-bâtiment)(coupure physique d’un lien, défaillance d’un commutateur

réseau, etc.)

• Impossibilité pour les services du bâtiment d’accéder aux applications

• Impossibilité pour les services du site d’accéder aux applications• Indisponibilité durable (plusieurs jours) et/ou corruption de

données d’applications échangeant des données entre elles� Exemple : Eventuel impact sur la santé des patients

5

Indisponibilité du Système d’Information suite à une

défaillance matérielle ou logique des systèmes critiques(attaque virale massive, panne physique de systèmes critiques,

etc.)

• Indisponibilité significative (quelques heures à plusieursjours) des applications critiques de la société X � ExempleImpact direct sur la santé des patients


� Notions fondamentales qui découlent de la phase N°1


Sinistre

Redémarrage système

Redémarrage applications

Récupération des données

DIMA (RTO) :

Durée d’Interruption Maximale AdmissiblePDMA (RPO) :

Perte de Données Maximale Admissible

Dernière sauvegarde

DIMAPDMA


� Notions fondamentales qui découlent de la phase N°1

� RPO - Recovery Point Objective� désigne, pour sa part, la durée maximum d'enregistrement des données qu'il est

acceptable de perdre lors d'une avarie

� Impose des objectifs de sauvegarde

� RTO - Recovery Time Objective� spécifie le délai maximum que l'entreprise tolère avant de reprendre son activité. Il peut

être de quelques secondes à quelques heures.

� Impose un type d’architecture

Déterminer les exigences RPO et RTO de votre entrep rise pour ensuite déterminer la solution technique – ET N ON l’INVERSE





� Source CLUSIF 2014


GRANDES ÉTAPES DU PRI – VUE DSI


Périmètre du PRAPérimètre du PRI

48 PRONETIS©2011 - Droits d'utilisation ou de reproduction réservés

Système

Données

Opérations

T-1 T0 T1 T2

RPO SINISTRE

Fin de crise

Dernière sauvegarde

RepriseSystème

Procédures Fonctionnelles dégradées

Restaurationsauvegarde

SynchroData T-1

ActivitéNormale

Perte acceptable de données

Système d’information de nouveau opérationnel (Mails, Internet, Réseau, et données resynchronisées depuis T-1)Attention : inclure le délai du déroulement des fiches de test

RTO

Délai de reprise acceptable

Fin du

DRP

RPO : Recovery Point Objective - Perte de Données Maximum AutoriséeRTO : Recovery Time Objective en anglais - Délai d'Interruption Maximum AutoriséDRP : Data Recovery Process / PRI Informatique / PRA Activité

Fin de l’indisponibilité vue par les métiers ( données ressaisies et intègres)

RPO

RTO

TravailDe remédiation T-1

Délai deRéaction

Délai de réaction Inclut la GTI + le délai de diagnostic


� Phase N°2 : Choix de la stratégie de continuité� Modélisation des données et des flux – volumétrie – consommation – fraîcheur

des données – degré de duplication

� Stratégie de continuité notamment en fonction du RTO et du RPO

� Préconisation de solutions en matière de secours

� Stratégie de gestion des personnes de secours

� Choix de la solution technique de secours

� Livrables � Scénarios de gestion de la continuité d’activité et préconisations

� Rapport d’analyse des solutions caractérisées et préconisations

� Méthodes, Outils, Normes� Calcul de ROI, Analyse SWOT (Force, Faiblesse, Opportunité, Menace)

� Etudes ou rapports d’étude de solutions




PERSONNESET ORGANISATION

DATACENTERSET SALLESINFORMATIQUES

RESEAUXET SERVICESD’INFRASTRUCTURE

SERVEURSET APPLICATIONS

STOCKAGEET DONNEES

PROCEDURESET STRATEGIE

Moyens humains et organisationnels Continuité des métiers

Ensemble des moyens mis en œuvre par la Direction des Systèmes d’Information

pour permettre la reprise des services critiquesfournis par les SI:

Infrastructure choisie en fonction de la stratégie de continuité


� Phase N°3 : Mise en place de la solution de secours� Mise en place de l’infrastructure technique

� Organisation autour de la solution technique

� Définir les scénarios et plan de tests hiérarchisés (objectifs et résultats attendus)

� Recette de la solution mise en place – Définition des tests et résultats attendus

� Tests en grandeur nature

� Livrables � Solution technique de secours y compris les procédures d’exploitation du plan de secours

� Procédures organisationnelles du plan de secours informatique

� Conclusion et rapport du plan de tests – Ecarts constatés

� Méthodes, Outils, Normes� Outils de gestion de planning (MS-Project, PS Next) et de reporting

� Définition des rôles, responsabilités et des backups du personnel

� Cas aux limites – Astreintes : week-end et jours fériés, nuits, période de congés



� Logiciels pour la gestion d’un plan de secours

� Outils intégrés

� FrontGRC Continuity, PARAD XP (XP Conseil), XT BORA (IBM), Paragon (Sungard), Risk Matrix (Arkfirst), HyperVisionSecours (Bull), RecoverEASE (Global Magnitude), …

� Outils génériques

� Outils de gestion de projet et de messagerie : MS-PROJECT, Outlook, Sharepoint� Outils de bureautique : Word et Excel� Outils de cartographie des processus : MEGA…. Voir VISIO éventuellement pour des

organisations de taille moyenne ….


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


MéthodologieAnalyse du

contexte

Mise en place de la solution de

secoursOutils

Choix de la stratégie de continuité

MODULE N°3 : PANORAMA DES SOLUTIONS TECHNIQUES DE SECOURS


TYPOLOGIE DES MOYENS DE SECOURS

DISPONIBILITÉ DES MOYENS DE SECOURS ET STRATÉGIE DE SECOURS PRINCIPAUX FOURNISSEURS DE SOLUTIONS DE SECOURS

SOLUTIONS DE SECOURS DES LOCAUX & ÉQUIPEMENTS

SECOURS DES RESSOURCES HUMAINES & ASTREINTES

ASPECTS FINANCIERS

PANORAMA DES SOLUTIONS TECHNIQUES DE SECOURS

� Eléments de définition d’une salle serveur


Disponibilité

Emplacement

Bâti

Urbanisation Opérateur

Électricité

Réseau

Climatisation Protection incendie

Sécurité

Alertes

Affichage


� Type de moyens de secours� Salle miroir (domaine de la haute disponibilité)

� Salle redondante entièrement par rapport à la salle nominale� Equipements, applicatifs, systèmes, données maintenus en permanence à

niveau� Avantage : allégement des procédures de sauvegarde du à la duplication sur

un environnement distant, la plus fiable, la plus disponible� Inconvénient : solution la plus couteuse

� Cas particulier du secours mobile� Réalisé par le biais d’un camion équipé en moyens informatiques (exemple :

Main Frame) pour répondre à un besoin de secours� Efficace si cela fait l’objet d’un spécification entre le fournisseur et l’entreprise� Limitation : délai d’acheminement et la configuration des lieux limitent le

recours à ce type de solution




Bâtiment en dur Shelter

Surface au sol Fixe Évolutive (de 10 m² à plusieurs centaines de m²)

PUE > 2 1,2 < 2

Délais moyens de mise en production

15 à 18 mois 4 à 6 mois

Coût de construction 100 k€ 25 k€

Intégration dans l’environnement

Optimal Limité au bardage

PUE : Power Usage Effectiveness = PU Datacenter / PU SYS INFOPU Datacenter : Énergie totale consommée par le datacenterPU SYS INFO : Énergie totale consommée par les systèmes informatiques

PANORAMA DES SOLUTIONS TECHNIQUES DE SECOURS� Type de moyens de secours :

� Salle miroir (domaine de la haute disponibilité)

� Backup d’astreinte : solution « active-passive », secours quasi temps réelpour applications critiques� Effectue le secours sur une durée courte en attendant la mise en place

d’un secours de plus grande ampleur.� Secours dédié, ne participe pas à la production.

� Site de production répartie : propose une répartition de l’exploitationinformatique.� Avantage : solution « active-active », assurance du niveau de

configuration homogène entre le secours et le secouru, test permanent,économie grâce à l’exploitation répartie

� Inconvénient : dégradation des performances si les sites ne sont passurdimensionnés


60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés60

Cluster FWÉtendu

VM VM

ESX

Datacenter 2Datacenter 1

Cœur De réseau

SAN HDV

VM VM

ESX

VM VM

ESX

VM VM

ESX

DMZ virtualisée

FAI MIT

Firewall

BAIE SAN

SAN

Réplication VM + Dataraw device

Internet

Cœur De réseau

SITES

FO

SIEGE SITE

Sites fédérateursSite

Stockage des

sauvegardeset archives

Téléphonie

LAN

SAN

BAIE SANSAN NRO

VMVM

ESX

VMVM

ESX

VMVM

ESX

VMVM

ESX

FO

LAN

FAXTéléphonie

FO

TSM / VEEAMDMZ virtualisée

1 x T2 COMPLETEL (téléphonie In/Out)

Cellule de Crise de la DSIHDV

Firewall

FAI MIT

Sauvegardevirtualisés

FT2 x T0

COMPLETEL4 x T2 FT (FAX)

Bascule de toutes les SDAvers un autre site

2611

1 x T2 FT Téléphone Out


� Lieu du site de secours

� La continuité de service doit prendre en compte le lieu où doit s'effectuer la reprise d'activité.

� La notion de continuité de service s'applique à deux domaines :

� la reprise d'activité de l'exploitation (les utilisateurs)� la reprise d'activité de la production (les informa ticiens)

� Le lieu de la reprise peut être situé :

� sur le même site� sur un autre site

61

Conséquence : des contraintes organisationnelles et humaines très différentes



� Distance du site de secours� Dépend du sinistre contre lequel

on se protège

Ouragan, incendie, éruption volcaniqueInondations …..

� Dépend également des limitations

de la technologie employée

Réplication synchrone = distance limitée < 10 km

� Distance moyenne est de 150 km

pour 60% des entreprises sondées*

*Etude en 2005 par la société PreEmpt aux USA

62

sur un site distant



� Disponibilité des solutions de secours et stratégie ad hoc

� Haute disponibilité : reprise quasi immédiate de l’ordre de la minute sans perte de données au quasi nulle

� La moyenne disponibilité : secours en quelques heures entre 6 et 24 heures et limite de manière importante la perte de données entre quelques minutes et quelques heures

� La faible disponibilité : caractérise les secours réalisés en général au-delà de 48 heures avec une perte de données du même ordre de grandeur

Les tests permettent d’éviter de sur estimer les délais et donc de recadrer le délai de disponibilité de la solution


PANORAMA DES SOLUTIONS TECHNIQUES DE SECOURS� Disponibilité des solutions de secours et stratégie ad hoc

64

Domaines fonctionnels

Objectif du secours Stratégie de secours

Relation clientpartenaire – Fonctions critiques pour le CA

Dispo. 99,99%(<45 mn par mois d’interruption)

RTO = 2HRPO = 0H

Réplication synchrone ou externalisée - Infrastructure de réplication en triangle couplant réplication synchrone (courte ou moyenne distance) et asynchrone (longue distance) pour assurer un secours contre les sinistres locaux et régionaux

Fonctions génératrices de revenus moins critiques – Fonctions logistiques

Dispo. 99,5% (<210 mn par mois d’interruption)RTO = 8 à 24HRPO = 4H

Site distant de type salle rouge ou salle miroir, réplication synchrone ou asynchrone vers un site de secours d’entreprise ou externalisé (courte et moyenne distance)

Fonctions supports de l’entreprise

Dispo. 99% (<300 mn par mois d’interruption)RTO = 3 JRPO = 1 J

Sauvegarde à distance journalière ou continue dans des coffres forts électroniques d’entreprise ou externalisés –Restauration sur des plates-formes de secours externalisées, dédiées ou mutualisées (salles orange)

Fonctions locales Dispo. 98% (<810 mn par mois d’interruption)RTO = 4 à 5 JRPO = 1 J

Sauvegardes hebdomadaires et journalières – Transport des supports de sauvegarde hebdomadaire dans des coffres d’entreprise ou externalisés – Site de secours de type salle blanche



� Marché des principaux fournisseurs de solutions de secours� Solutions traditionnelles

� IBM Global Services : offre BCRS – Business Continuity & Recovery Services et pack 15 ou 25 postes utilisateurs de secours – 130 sites de secours dans le monde

� Sungard Availability Services : 10.000 clients, 40.000 km de réseau, 300.000 m² d’infrastructure …

� Nouvelles solutions dans le Cloud – nouvelle approche

� Cloud computing IBM� Cloud public et PRA de Orange Business� Cloud computing Numergy



� Solutions de gestion des stockage de données� Dans les premiers : EMC² , IBM (Tivoli) , NetApp , HP , Equalogic

� Sauvdata (groupe UTC) : société française spécialisée dans l’externalisation de sauvegardes et la restauration dans le cadre d’un PSI

� PCM Assistance : société française spécialisée dans la récupération de données

� Backup Avenue : propose des services de sauvegarde et d’archivage à distance –Solution Safe Backup

� Antemeta : société française spécialisée dans le SAN en particulier

� Bull …





� Et les solutions de secours des moyens de production ?� Par nature, les moyens de production industriel ne sont pas sta ndards

contrairement aux équipements informatiques

� Ne peu aboutir à des délais de reprise après sinistre comparables à ceux du SI

� Mais pour l’essentiel du secteur tertiaire (banques, assurances, services, télécoms, communication, etc.) l’outil de production est le système d’information




� Sauvetage des locaux et équipements� Recours aux prestataires spécialisés dans le sauvetage des locaux et

équipements

Exemple Société Datalab : désenfumage, assèchement, protection contre l’atmosphère corrosive en cas d’incendie.

� Recours à des spécialistes de la récupération et reconstitution des informations (data retrievers)

Exemple Société Ibas, GS2i, OnTrack, Vogon : récupération de données sur disques durs corrodés, bandes magnétiques noyées, archives papiers inondées

� Surveillance de site sinistré pour prévenir du vol, vandalisme – sociétés de gardiennage




� Secours des locaux et équipements

� Accords de réciprocité : au sein d’une même organisation, définir une plate-forme d’accueil aux équipes et aux équipements

� Contrat de location

� Utilisation d’un stock d’équipements

� Remplacement des équipements par acquisition : accords pouvant être conclus avec des fournisseurs (délai, quantité de fourniture)

� Hybride : Stock stratégique + remplacement par acquisition



� Solutions de secours des ressources humaines & astreintes

� Stratégie de secours de RH � Mise en place de binôme de compétence : identification des postes clés

� Recours aux astreintes

� Recours à l’intérim

� Dispositif de télétravail

� Relocalisation du personnel clé

� Aménagement des contrats de travail : rémunération, prime en cas de mobilisation



� Aspects financiers – Ordre de grandeur� Coût du m² d’une salle blanche en région parisienne : [100-130] euros m².mois

� Coût d’un logiciel intégré de PSI : 5.000 euros

� Solution de secours de type dual sites - Miroir synchrone (RTO < 1h RPO 2h) – 8téraoctets utiles – Centre hospitalier – 2000 personnes – 20 applications dont 5critiques – 200k€ (investissement matériel, logiciel et mise en œuvre hors construction de la sallephysique)

� Solution de secours de type reprise d’activité sur site de se cours -pour uneentreprise industrielle -(RTO=RPO=2 heures) – 100 personnes - 4 Téra utile dedonnées – 6 applications dont 1 critique – 120k€ (investissement matériel, logicielet mise en œuvre hors construction de la salle physique)


Un PSI est coûteux : consommateur de ressources, indirectement productif, mais particulièrement rentable lorsque le sinistre survient.

PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Disponibilité des moyens

de secours et stratégie de

secours

Solutions de secours des

locaux & équipements

Secours des ressources humaines & astreintes

Fournisseurs de solutions de secours

Aspects financiers -

Ordre de grandeur

MODULE N°4 : ASPECTS PHYSIQUES DES SOLUTIONS DE SECOURS


CHOIX DU SITE – IMPLANTATION DES LOCAUX - LOCAUX TECHNIQUES

CLIMATISATION – FILTRATION ET POLLUTION DE L’AIR– ÉNERGIE

DÉGÂT DES EAUX – PRÉVENTION ET INTERVENTION INCENDIE – PROTECTION INCENDIE

ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS INFORMATIQUES

� Choix du site� En fonction des risques industriels et environnementaux, naturels (zones sismiques)

� Implantation des locaux� Contraintes d’infrastructure du bâtiment dans le cas d’une copropriété ou location

� Conditions environnementales (poussière, inondation, foudre, incendie),

� Dimension de la salle

� Zone accessible au public,

� Accessibilité pour les intervenants

� Lieux de stockages des matériels, consommables et des médias



� Locaux techniques� Hauteur des plafonds

� 2,6 à 2,9 mètres pour la circulation de l’air, étanchéité totale (poussières et particules proscrites)

� Dégagement des points d’accès :

� Escaliers, monte-charge pour les charges lourdes et volumineuses

� Plancher sur élevé :

� Installation de gaine pour le passage de câble et la circulation de l’air dans le faux plancher� Charge 1500 kg/m² - Dimensions des dalles – 600x600mm

� Nettoyage : équipement adapté, personnel formé

� Sécurité des personnes – travailleurs isolés

� Point de contact dans la salle informatique avec l’équipe de gardiennage



� Climatisation – Filtration et pollution de l’air� Air conditionné : [18-22]°C et 45% hygrométrie

� Contrôle la température� Contrôle l’hygrométrie� Deux systèmes distincts – dont un de secours



� Climatisation – Filtration et pollution de l’air� Filtration de l’air

� Normalement recyclé avec un apport de 1 à 1,5 Volume/heure d’air neuf filtré – Code du travail R232.5.3 – 25m3/h/par occupant

� Entretien des filtres et gaines de climatisation� Mettre en légère surpression le local : mouvement d’air vers l’extérieur

� Baies réfrigérées pour les serveurs lames

� Refroidissement allant jusqu’à 40kw




� Énergie� Distribution électrique conforme aux normes (NF C15-100, UTE C15-900)

� Tableau électrique alimenté par une ligne électrique indépendante

� Système de disjonction SI (Super Immunisé) – Mise à la terre et régime du neutre

� Séparation courants forts et courants faibles

� Identification des câbles et connecteurs

� Onduleur

� Groupe de secours électrogène (ou sur batterie) – procédure de ravitaillement



� Onduleurs : différentes technologies� Off-Line ou Passive stand-by : en attente passive (environnement stable ou peu perturbé)

� Line Interactive : fonctionnant en interaction avec le réseau (environnement perturbé)

� One-line : double conversion (environnement très perturbé)

� Groupe électrogène informatique� Alimentations sécurisées d’équipement,

� Centrales de secours « très haute disponibilité »

pour centres de calculs (DATA CENTER).

ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS INFORMATIQUES� Dégât des eaux

� Choix de l’implantation du site

� Choix des chemins de toutes les conduites d’eau

� Conception de drainage du bâtiment

� Système de détection d’inondations dans les faux planchers

� Faux planchers – système de pompe

� Attention aux joints de dilatation dans une salle informatique

� Prévention et intervention incendie� Système de détection et de signalisation (détecteur de fumée)

� Matériaux résistant au feu (norme EN-1047-2)

� Système d’intervention :

� Extincteurs fixes CO2 : protection du personnel� Système Halon interdit depuis le 1 janvier 2004.� Extincteurs portables homologués « feu électrique »� Moyen d’évacuation en respect avec le code du travail� Protection des têtes de lignes et locaux télécoms



� Protection physique� Accès contrôlé : digicode, par badge RFID, fermé à clé

� Cumuler au moins deux systèmes : Digicode avec un code mensuel + badge

� Vidéosurveillance à l’intérieur de la salle et à l’extérieur au niveau de l’entrée

� Gardiennage du site

Pour la conception des salles informatiques sensibles

– se référer aux normes APSADen vigueur depuis le 26 janvier 2006


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Choix du site – Implantation des locaux -

Locaux techniques

Choix du site –Implantation des locaux - Locaux

techniques

Dégât des eaux – Prévention et

intervention incendie –Protection incendie

MODULE N°5 : ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS INFORMATIQUES


APPROCHE DU MARCHÉ DES INTÉGRATEURS

TOLÉRANCE AUX PANNES – RÉSEAU – SERVEUR – DISQUES

MODES DE SAUVEGARDE – PLANS DE SAUVEGARDE - EXTERNALISATION

TECHNOLOGIES DE SAUVEGARDE – MIRRORING

ARCHITECTURES – VIRTUALISATION


Adéquation des solutions de disponibilités aux exigencesdes temps de fonctionnement

� Comment obtenir les RTO et RPO optimums adaptés à votre entreprise ?

� Sauvegarde sur bande/solutions d’archivage

� Sauvegarde sur disques et disponibilité pratique

� Haute disponibilité réseaux (load balancing) – systè mes (Cluster)

� Virtualisation des applications et des services

� NAS – SAN – réplication synchrone - asynchrone



88

SAN High-End

SAN Low/Midrange

NAS

Disaster Recovery

Archive & Compliance

Backup

Virtualisation

L’approche du marché

Différents matérielsDifférents logicielsDifférentes compétencesDifférentes procédures


À supprimer


� La disponibilité représente le temps de panne acceptable par an. Il s'exprime en pourcentage.

89

Indisponibilité % de dispo. Classe

50.000 mn (34 jours, 17 heures et 20 min) 90% 1

5.000 mn (3 jours, 11 heures et 20 min) 99% 2

500 mn (8 heures 20 minutes) 99,9% 3

50 mn (un peu moins d'une heure) 99,99% 4

5 mn 99,999% 5

0,5 mn (30 secondes) 99,9999% 6

0,05 mn (3 secondes) 99,99999% 7



� Tolérance de panne sur le réseau – Partage de charge et haute disponibilité� Différents standards :

� IEEE 802.3ad � Etherchannel de Cisco� A partir de plusieurs liens physiques former un seul lien logique � Agréger les débits et diminuer les défaillances matérielles

� Modes de fonctionnement

� Failover - Load balancing - Bandwidth increase

� D’autres solutions existent au niveau du réseau pour assurer une meilleure disponibilité

� VRRP (de CISCO)



� Tolérance de panne des serveurs – Redondance matérielle� Alimentations redondées

� Plusieurs barrettes mémoires ECC

� Multiprocesseurs

� Multicartes réseaux – NIC ou HBA

� Carte mère durcie – MTBF optimal

� Hot Swaping : remplacement à chaud d’un composant défectueux

� HD SATA – SAS



� Tolérance de panne des serveurs – Clustering de serveurs� Mettre les données critiques sur un disque partagé ou miroir et en cas de défaillance,

récupérer le disque partagé entre les nœuds (les boîtes bleues) - Redémarrer l'application en cas de panne.

� Appelé “HA clusters” pour limiter les SPOF (Single Point of Failure)

� Ce type de solution est livré par les constructeurs de plate-forme avec leurs serveurs.

� Exemples : Bull ARF, IBM HA-CMP, Windows MSCS, RedHat Linux Cluster, NEC ExpressCluster...


ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS INFORMATIQUES� Tolérance de panne des serveurs - Clustering de serveurs - Illustration



� Solutions de stockage en réseau� Tendance et évolution

� Etat de l’art des technologies

� Rappel sur les grands principes de fonctionnement

� Principaux acteurs du marché

Trois technologies de stockage en réseau se distinguentdésormais – NAS, SAN et iSCSI - chacune avec ses proprescaractéristiques, adaptées selon les besoins spécifiques destockage.



� Technologie NAS (Network Attached Storage)� Architecture de stockage basée sur les fichiers

� Dispositif de stockage connecté sur un réseau local

� Architecture éprouvée et fiable pour des applications nécessitant le partage de données au niveau des fichiers comme les emails, web hosting, base de données, fichiers communs

� Gestion des fichiers au niveau de la baie de stockage – capacité évolutive



� Technologie SAN (Storage Area Network)� Réseau dédié exclusivement au stockage de grande capacité, fiable et performant� Utilise un canal fibre pour connecter les serveurs et les baies de stockage� Fournit un qualité de service - Solution évolutive et haute disponibilité

� Utilisation� Ressources reliées par des canaux de types SCSI, SSA, ESCON ou FC� Connexion des serveurs avec des cartes HBA – commutateurs fibres interconnectés� Accès de bas niveau aux baies de stockage (mode bloc) – chaque serveur voit l’espace disque d’un

baie SAN auquel il a accès comme son propre disque dur – administration des LUN et du zoning� Solution efficace pour les sites de secours de proximité

� Avantages - Inconvénients

� Coût d’acquisition élevé, complexité de mise en œuvre� Haute disponibilité – en doublant au minimum chacun des éléments – HBA, commutateurs et

l’écriture des données� Limitation de distance – en théorie 10 km – en pratique souvent moins



� Technologie SAN (Storage Area Network)



� Technologie iSCSI (Internet Small Computer System Interface)� En forte croissance – technologie mûre et accessible� Construction économique d’un SAN en s’appuyant sur une infrastructure Ethernet pour relier les serveurs

aux ressources de stockage

� Utilisation

� Repose sur des équipements standards IP – câblage Catég. 6 – commutateurs et cartes Ethernet� Solution efficace pour les sites de secours longue distance (FCIP, IFCP, iSCSI)

� Avantages - Inconvénients

� Utilisation de l’infrastructure IP existante� Largement plus économique qu’un SAN FC – coût d’acquisition moindre avec un meilleur ROI� Nécessite moins de formation des administrateurs – plus facile à administrer – technologie connue� Offre des performances moins bonnes que le SAN FC� Solution idéale pour des sites de secours de longue distance� Accès aux données au niveau des blocs plutôt qu’au niveau des fichiers par rapport au NAS


ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS INFORMATIQUES� Technologie iSCSI (Internet Small Computer System Interface)



� Les supports de stockage� Duplication sur bandes DLT, LTO, DDS, AIT, VXA, SLR … (obsolète)

� Sauvegardes régulières de données pour de faibles volumes � Technologie DDS, AIT, VXA, SLR, DLT� Pour des volumes importants – Technologies S-AIT, SDLT,LTO� Inconvénient : durée de vie des supports qqs années – par rapport à l’archivage légal à long

terme (comptabilité, santé)

� Disques durs

� SATA (capacitif mais lent)� SAS (rapide et cher)� SSD (ultra rapide – mais obsolescence rapide – et cap acité reduite)

� Duplication sur disques – Tendance actuelle - SnapVau lt

� Disques en réseau� Rapidité d’écriture et de restauration, durée de vie des disques� Optimisation du coût / Capacité / Performance� Remplacement des duplications sur bandes



� Tolérance de panne sur les disques durs - RAID

� Principe: consiste à accroître la tolérance de panne et de diminuer le temps moyens entre deux défaillances (le MTBF)

� RAID 1 – RAID 10 – RAID 5 – RAID 5/0 – RAID 6



102

� RAID-6 (2P)Tolère 2 pannes disques quelconque

� RAID5 (1P)Tolère 1 seule panne disque

� RAID50 (2 RAID5)Tolère 2 pannes disques dans des RAID5 distinctes

� RAID10 (Stripe de Miroir)Tolère plusieurs pannes mais dans des miroirs distinctes

parity disks

RAID 6

parity disks

RAID 5

RAID 5/0

mirror disks

RAID 1/0

parity disk

RAID 6 2000 à 4000x sécurité d’un RAID5 - Gestion globale des spares par contrôleur - plus

économique que le RAID 1 - Impact négligeable sur les performances



� Plan de sauvegarde - Méthode de sauvegarde logique� Sauvegarde complète

� Sauvegarde incrémentale

� Sauvegarde différentielle

� Journalisation

� Rotation en fonction – combinaison de différents types de sauvegarde� Du type de sauvegarde, de la volumétrie, de la durée de conservation.

� Rotation GFS : Grandfather-Father-Son� Sauvegardes complètes hebdomadaires combinées à des sauvegardes

incrémentielles et différentielles quotidiennes.

� Intervalle minimum standard et cohérent utilisé pour la rotation et le retrait du média.



� Plan de sauvegarde – Externalisation et cloud� Séparer physiquement le serveur de sauvegarde et le système de sauvegarde rattaché

du reste des serveurs.

� Pour les petites structures, avec un seul serveur, l’externalisation est primordiale.

� L’externalisation consiste à enlever régulièrement du site une bande de sauvegarde full et de la conserver dans un endroit sécurisé dans un coffre ignifugé par exemple, soit sur un autre site

� Sauvegarde à distance sur le site de secours

� Consiste à réaliser des sauvegardes sur un support distant type coffre fort électronique généralement sur le site de secours


Simple, flexible et économique

Proposition de valeur

Bénéfices

� Simple

– Paramétrage et basculement� Flexible

– Miroir de/ vers toute baie SAN/NAS– FC ou IP (iSCSI)– Synchrone ou Asynchrone

� Economique

– Possibilité de miroir asymétrique (vers un système moins performant)

– Utilisation efficace du stockage et de la bande passante

– Utilisation possible de la copie déportée

Technologie éprouvée

Centre de données primaire

Site de secours

MirroringSynchonreAsynchrone

SAN SAN

Aspects techniques des solutions de secours informatiques



� Réplication synchrone (mirroring) � Chaque modification est répercutée instantanément sur le serveur de secours

� Nécessite une bande passante importante (fibre optique) et une distance inférieure à 10 km

� Amélioration significative du RTO et RPO

� Réplication asynchrone� Copie entre disques pour répliquer toute modification apportée au serveur nominal

sur le serveur répliqué.

� Mise à jour du serveur répliqué ne se fait pas en temps réel mais par lots pour éviter la dégradation des performances sur le serveur nominal

� RTO et RPO sont moins bons que la solution synchrone


ContinuousApplicationAvailability


AffordableDisaster Recovery

High AvailabilitySystems

Disponibilité continue des applications

Remote DR SiteData Center

� Solution actif / actif� Mise en place de la

technologie


LAN/SAN

Major Data Center Nearby Office

ContoleursSAN

Disks

Configurations

�Protection de type Campus

-Distance jusque 500*m

�Protection de type régionale

-Distance jusque 100km avec interconnexion SAN

Architecture unique combinant les besoins de hautedisponibilité et de solution de PRA

108




� Mirror synchrone des volumes (aggregates)

� Les deux copies (or plexes) sont mises à jour en écriture en synchrone, et sont toujours consistantes

� Des erreurs disques multiples n’affectent pas la disponibilité des données

� Amélioration des performances en lecture

� Lecture depuis les 2 « plexes »

� Le % de gain varie selon la distance entre les « plexes »

� Ecriture overhead & latence

� Miroir hardware

� Aucun impact sur le second contrôleur

A A1A

Plex 0 Plex 0 Plex 1

Volume1 Volume1

Ecriture sur volume non mirroré

Ecriture sur volume mirroré

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés109


� La virtualisation dans le cadre d’un plan de secours informatique

� 2 grandes classes de virtualisation de systèmes� Virtualisation par hyperviseur

� Para-virtualisation (relation entre l’hyperviseur et les systèmes invités)

� Produits du marché : � VMWare ESX, Workstation

� Microsoft avec Hyper-V

� Xen Citrix



� Continuité de service

� Tolérance aux pannes et temps de reprise amélioré à condition de doubler les serveurs de virtualisation

� Facilité de reconstruction d’une machine virtuelle

� Réduction des vulnérabilités

� Segmentation des machines virtuelles entre elles� Exécution en « bac à sable » pour le déroulement de programmes sensibles� Contrôle des partages de ressources (parade aux déni de service)

� Infrastructures de sécurité

� Economie d’échelle et de bande passante réseau pour le déploiement de relais sur les sites distants (antivirus, navigation Internet, télédistribution…)

� Intégration d’applications et de système d’exploitation hétérogènes et/ou obsolètes� Optimisation de l'exploitation et de la gestion des ressources du serveur hôte


EXEMPLE POUR UNE ETI DE 1000 PERSONNES


Site secondaireSite primaire

VM VM

DMZvirtualisée

Sauvegarde& archivage

2 X FW

VM VM

ESX ESX

SAN

Sauvegarde

1 X FAI

VM VM

ESX

VM VM

DMZvirtualisée 2 X FW

VM VM

ESX ESX

SAN

1 X FAI

VM VM

ESX

PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Approche des intégrateurs

Tolérance aux pannes

Technologies

De mirroringArchitectures

Modes et plans de sauvegardes

POUR ALLER PLUS LOIN

� Livre

� Plan de continuité d'activité et système d'information : Vers l'entreprise résiliente Broché – 24 février 2010 de Matthieu Bennasar

� Magazine

� http://boutique.ed-diamond.com/ (revue MISC)

� Web

� https://www.clusif.fr/fr/production/ouvrages/.../PlanContinuiteActivite.pdf� http://www.sgdsn.gouv.fr/IMG/pdf/Guide_PCA_SGDSN_110613_normal.pdf� http://www.tab-beim-bundestag.de/en/publications/reports/ab141.html�

115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés115 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

FIN DU VOLET

MERCI POUR VOTRE ATTENTION


Education

Gouvernance de la sécurite des Systèmes d'Information Volet-2