COLLOQUEMercredi 21 mars 2012

L’IFACI est affilié àThe Institute of Internal Auditors

En partenariat avec :

Organisé en collaboration avec :Arjuna

Baccou Bonneville Consultants Mica

Le Plan de Secours InformatiqueAuditer son Plan de Secours Informatique

et détecter ses vulnérabilités

Serge BaccouDirecteur Associé

Baccou Bonneville Consultants

Continuité Informatique :Les normes internationales

L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes :

BS 25777 : CT continuity management

PD 25666 : Guidance on exercising and testing for continuity and contingency programmes

ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires

ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM)

2Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment

maîtriser vos dispositifs pour plus d’efficacité ?

Les éléments organisationnels

Auditer l’existence des éléments organisationnels suivants :– Existence d’une politique de continuité

informatique– Attribution d’un budget à cette problématique– Responsable nommé sur cette activité

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3

Politique

+ +Budget Responsable

Auditer les Business Impact Analysis (BIA)

• La criticité des activités est-elle bien établie?

• Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ?Y compris les infrastructures ?

• Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la DSI ? Sont-ils jugés réalistes ?

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4

Activitécritique

RessourcesInformatiques(applications et

matériels)

Ressourceshumaines

Bâtiments

A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?

Le concept de SPOF(Single Point of Failure)

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5

• Pour éviter les pannes, on double les équipements

• Un SPOF est un équipement non redondé

• Chasser les SPOF, c’est trouver « la petite bête »

• Faire des vérifications simplesEx. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre.

SPOF

Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique !

Auditer les aspects données du plan de secours informatique

• Audit des mécanismes de réplication– Toute les données importantes sont-elles répliquées ?

• Audit de la sauvegarde / restauration– Les données importantes sont-elles sauvegardées ?– Les sauvegardes sont-elles externalisées ?– La restauration est-elle testée régulièrement ?

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6

Baie destockage

Robot desauvegarde

Auditer le PSIAutres vulnérabilités

• Obsolescence matérielle

• Obsolescence logicielle

• Performance

• Failles de sécurité

Note :

La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique.

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7

Auditer les exercices de continuité informatique

• Sont-ils représentatifs ?Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ?

• Sont-ils réalisés régulièrement ?Recommandation : au moins une fois par an.

• Font-ils l’objet d’un compte-rendu ?Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique.

• D’un plan d’action ?Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées.

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8

Auditer le Maintien en Conditions Opérationnelles (MCO) du plan

• Un PSI doit être maintenu à jour :– Le plan doit refléter la réalité– La configuration matérielle et logicielle entre le

nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles)

• Or, les changements informatiques sont réguliers (quotidiens).

• Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer…

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9

Auditer le lien entre Gestion des incidents et Gestion de crise

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10

Temps

Qualitéde service

Niveaude serviceattendu

Premières alertes(supervision, alerting fonctionnel)

Gestiond’incidents

Escalade et déclenchementde la gestion de crise

Activation du plan

Seuilà déterminer

Continuité InformatiqueLe rôle de l’auditeur

• Sensibiliser la Direction Générale

• Sortir la Direction Informatique du corner

• Renforcer les liens entre PCA, PSI et Gestion de crise

• Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique

Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11