Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Systèmes de Management de la Continuité d’Activité
  3. Continuité IT
Extrait - Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301
Extraits du livre
Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301 Revenir à la page d'achat du livre

Continuité IT

Les stratégies de continuité IT

Nous avons longuement abordé les stratégies de continuité dans le chapitre Stratégies de continuité d’activité. Celles que nous abordons ici concernent spécifiquement le système d’information. Vous retrouverez cependant les mêmes principes dans ces déclinaisons informatiques des stratégies, ce qui est normal.

1. Redondance entre centres de données

La redondance des centres de données s’appuie sur l’idée fondamentale d’avoir plusieurs installations prêtes à prendre le relais en cas de défaillance de l’une d’entre elles. Ces installations, bien qu’indépendantes, ont la capacité d’assurer l’intégralité des opérations de l’entreprise en stockant et en gérant toutes les données et applications nécessaires.

On distingue plusieurs variantes à cette stratégie. La redondance géographique, par exemple, consiste à placer les centres de données dans différentes régions, afin de se prémunir contre les catastrophes régionales. En revanche, la redondance sur site dispose de plusieurs centres de données situés sur un même lieu, réduisant ainsi les coûts, mais offrant moins de protection contre les catastrophes d’ampleur régionale.

Il existe également des modèles de redondance active. Dans le modèle active-active, tous les centres de données sont fonctionnels et répartissent entre eux la charge de travail, garantissant ainsi une transition fluide en cas de défaillance de l’un d’entre eux. Dans le modèle active-passive, un ou plusieurs centres de données restent en veille et ne sont activés qu’en cas de panne du centre de données principal.

La mise en œuvre de la redondance des centres de données requiert une analyse minutieuse des besoins de l’entreprise et une planification rigoureuse. L’entreprise doit disposer de suffisamment de capital pour financer la construction ou la location de ces installations et avoir une équipe de gestion de projet compétente pour superviser la mise en œuvre. Une infrastructure réseau robuste, capable de gérer...

Les sites de repli

Un site de repli dans le cadre d’un plan de continuité d’activité est une installation ou un fournisseur de services qui peut être utilisé pour assurer la continuité des opérations en cas de sinistre ou de défaillance du site principal. Il est essentiel de sélectionner le bon site de repli pour répondre aux besoins spécifiques de l’entreprise et garantir la disponibilité continue des services essentiels. 

Le BIA et l’analyse de risque sont des documents importants qui doivent nous aider dans le choix du site de repli. Grâce à ces études, nous sommes en mesure de savoir où localiser le site, comment le dimensionner, comment l’équiper et quelles sont les précautions à prendre pour qu’il soit opérationnel.

Le site de repli ne doit pas être trop loin pour être facilement accessible mais pas trop près pour éviter qu’une menace identifiée puisse affecter le site de repli et le site principal en même temps.

Le BIA nous donne les informations pour savoir dans quels délais le site de repli doit être disponible et pour connaître l’évolution des besoins et du taux d’occupation au cours du temps.

images/10-19.png

Le site de repli

Les fournisseurs spécialisés dans la continuité d’activité, tels que SunGard Availability Services, IBM et Hewlett Packard Enterprise (HPE), proposent des solutions de site de repli dédiées ou mutualisées. Ils offrent une infrastructure robuste, des connexions réseau fiables et des services...

Les plans de la continuité IT

images/dp10.png

1. Définition du PRA

Vous pourriez considérer que nous entrons maintenant dans le vif du sujet en abordant la continuité du système d’information. En fait, comme vous le savez, il serait erroné de penser que la conception du PRA est le but unique de tout le travail que nous avons réalisé dans les étapes précédentes.

Le PRA et ses composantes sont bien évidemment un élément majeur du dispositif de continuité d’activité de l’organisme. C’est en particulier vrai pour toutes les entreprises modernes qui sont de plus en plus dépendantes de leur système d’information. Le PRA couvre donc un périmètre important du dispositif mais il est complété par d’autres éléments aussi importants comme la continuité des métiers, la gestion de la crise, etc.

L’appellation PRA est exclusivement francophone et signifie plan de reprise des activités. Elle correspond au DRP, Disaster Recovery Plan, des Anglo-Saxons. D’un point de vue normatif et méthodologique, le PRA n’a pas d’existence officielle. C’est un élément du plan de continuité d’activité mais il n’est pas un plan à part entière. Vous ne le trouvez pas dans la norme ISO 22301 ni dans toutes les méthodes...

La structure du PRA

Nous pouvons obtenir une variante de PRA spécifique à chacun de nos interlocuteurs lorsque nous interrogeons un panel de professionnels de la continuité d’activité. Il est évident que le contenu dépend fortement de l’organisme et de son système d’information. Les différents types que nous évoquons concernent la façon dont nous structurons la documentation et la portée du plan que nous rédigeons.

La définition du CCA limite le PRA au plan d’action et aux procédures qui décrivent la reprise des activités informatiques.

Selon certaines sources, le PRA est plus étendu et comporte les sections suivantes :

  • 1. Objectifs et portée : définition claire des objectifs du PRA, de la portée des activités de reprise et des systèmes ou processus critiques inclus dans le plan.

  • 2. Équipe PRA : identification des membres de l’équipe responsable de la gestion de la reprise après sinistre, avec leurs rôles et responsabilités définis. Cela peut inclure un responsable de la continuité informatique, des représentants des départements clés, des responsables des technologies de l’information, etc.

  • 3. Inventaire des actifs critiques : recensement et documentation des systèmes, des applications, des données et des infrastructures technologiques critiques qui doivent être récupérés rapidement pour assurer la continuité des activités.

  • 4. Analyse d’impact sur les activités (BIA) : évaluation de l’impact financier, opérationnel et stratégique de l’interruption des systèmes informatiques sur l’organisation. Cette analyse aide à...

Niveau de détail du PRA

Rédiger les détails du plan de continuité informatique pendant les exercices présente des avantages pratiques indéniables. C’est pourquoi nous vous conseillons de ne pas aller trop loin dans les détails de la première version non testée du PRA et de reporter la finalisation au moment des exercices. Cette approche permet d’exploiter immédiatement les retours d’expérience et les leçons tirées des exercices pour renforcer la pertinence et l’efficacité du plan. Voici comment procéder en détail, en s’appuyant sur des exemples concrets :

Former une équipe dédiée

Lors des exercices, il est essentiel de constituer une équipe spécialement dédiée à la rédaction des détails du plan de continuité informatique. Cette équipe doit comprendre des représentants des différentes parties prenantes impliquées dans la gestion de la continuité informatique, tels que des responsables informatiques, des spécialistes en sécurité informatique, des utilisateurs clés et des experts techniques.

Documenter les scénarios d’exercice

Les scénarios d’exercice servent de base pour rédiger les détails du plan de continuité informatique. Pendant les exercices...

L’équipe PRA

La mise en place et la gestion d’un plan de reprise d’activité (PRA) nécessitent l’implication de plusieurs profils compétents. Voici les profils clés généralement requis pour le PRA :

1. Responsable de la continuité informatique : c’est le professionnel chargé de superviser l’ensemble du processus de continuité informatique, y compris la gestion du PRA. Il doit avoir une solide compréhension des systèmes informatiques, des risques associés et des meilleures pratiques de continuité d’activité. Ce rôle peut être occupé par un responsable spécifique de la continuité informatique ou par un membre de l’équipe de gestion des risques.

2. Responsable des technologies de l’information : ce professionnel est responsable de la gestion des infrastructures technologiques de l’organisation. Il doit avoir une connaissance approfondie des systèmes, des réseaux, des bases de données et des applications utilisées, ainsi qu’une expertise en matière de sauvegarde, de restauration et de reprise après sinistre.

3. Analyste des risques : ce spécialiste est chargé d’identifier, d’évaluer et de hiérarchiser les risques informatiques et leurs impacts potentiels sur les activités...

Rédiger les procédures du PRA

Nous avons dressé une liste de procédures que nous avons classées par ordre chronologique : avant la crise, immédiatement au déclenchement de la crise, quelques jours après, . . . , après la crise.

Il y a peu de règles concernant la rédaction et le contenu varie en fonction des organismes et des stratégies de continuité informatique choisies. Voici ce qui devrait être adopté comme bonnes pratiques pour organiser et rédiger le contenu des procédures PRA :

  • Être précis et factuel.

  • Rédiger le contenu grâce à la technique QQOQCP : Qui ? Quoi ? Où ? Quand ? Comment ? Pourquoi ?

  • Choisir les acteurs de la procédure en fonction de leurs compétences. Une procédure ne doit pas être rédigée pour n’importe qui mais pour une personne qui a les compétences pour la mettre en œuvre.

  • Ne pas expliquer son métier à l’acteur de la procédure. Le contenu du document doit renseigner la personne sur ce qui doit être fait dans le cadre du processus PRA et elle doit lever les ambiguïtés par rapport à une activité en situation normale.

  • Faire rédiger la procédure par une personne compétente sur le sujet traité et la faire relire et valider par une personne ayant le même profil.

  • Se méfier des ordinogrammes qui ne s’appliquent pas toujours au processus tel qu’il doit être modélisé.

  • Être pragmatique et ne rédiger que les procédures qui le nécessitent car elles expliquent un principe nouveau ou complexe.

Avec ces quelques recommandations, nous vous proposons une liste assez complète de procédures associée au PRA. Elles sont classées par groupe chronologique et doivent être déclinées en fonction des solutions de PRA :

  • Procédures à activer avant le sinistre :

  • Procédure d’identification des actifs critiques : identifie les actifs et les processus critiques nécessaires à la continuité des activités.

  • Procédure de test et d’exercice du PRA : planifie, exécute et évalue régulièrement...