Beruflich Dokumente
Kultur Dokumente
L'ESSENTIEL
SE FORMER
RETOURS
D'EXPRIENCE
Matthieu Bennasar
Prface de Paul Thron
EXPLOITATION
ET ADMINISTRATION
RSEAUX
& TLCOMS
PCA et SI
M. BENNASAR
INFOPRO
PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente
Matthieu Bennasar
Prface de Paul Thron
ISBN 2 10 049603 4
www.dunod.com
PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Urbanisation et BPM
Le point de vue dun DSI
2e dition
Yves Caseau
320 pages
Dunod, 2006
PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente
Matthieu Bennasar
Consultant en scurit et gouvernance du SI
Charg de cours lIAE de Lyon
Prface de
Paul Thron
Reprsentant en France du Business Continuity Institute
Prface
Ce qui frappe une direction gnrale lorsque survient une crise, cest souvent le
sentiment du manque de prparation pour y faire face.
Pour Gilbert (in GEM 20021), les crises sont des situations o, en raison de la
disproportion existant entre les problmes apparaissant et les moyens de les traiter,
les organisations en charge des activits risques se trouvent de fait dpossdes
de ces problmes par de nombreux et divers acteurs intervenant et voient leur
comptence et leur lgitimit remises en question (du fait, notamment, de
lintervention de la justice, etc.) . Pour le European Center of Technological
Safety (in GEM 2002), la crise est dfinie ainsi : Derived from the Greek krisis,
meaning a crucial turning point in the course of anything, an unstable condition
in which an abrupt or decisive change is impending. A major, unpredictable
event that has potentially negative results. The event and its aftermath may
significantly dammage an organization and its employees, products, services,
financial condition, and reputation. A crisis, like an accident, is a disruption
that physically affects a system as a whole and also threatens the priority goals of
an organization and challenges the traditional behaviors and values shared in a
organization .
Crise = rupture = risque de dommage.
Cest cette quation du risque que le Business Continuity Management (BCM
ou MCA pour Management de la Continuit dActivit en franais) tente
dapporter une rponse.
La notion de continuit doit tre bien comprise. Il ne sagit pas simplement de faire en sorte que les chanes de production ou les serveurs et rseaux
1. Groupement des coles des Mines, 2002. Terminologie en Science du Risque. Recueil de dfinitions.
Documents recueillis et prsents par Chlo GRIOT et Pierre-Alain AYRAL. GEM, Juin 2002.
Prface
VII
Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
La continuit dactivit en question . . . . . . . . . . . . . . . . . . . . . . . XVII
Pourquoi un livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVIII
La spcificit franaise . . . . . . . . . . . . . . . . . . . . . . . . . . XVIII
Le retour dexprience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Les objectifs du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
qui sadresse ce livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XX
Structure du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XXI
PREMIRE PARTIE
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3
4
5
6
8
10
. . . . . . . . .
11
.
.
.
.
.
.
.
.
13
14
15
16
. . . . . . . . . . . . . . . . . .
16
.
.
.
.
.
.
.
.
16
19
24
25
26
26
26
27
27
1.6.1
1.6.2
1.6.3
1.6.4
1.6.5
1.6.6
La rglementation . . .
Les normes et standards
Autres . . . . . . . . .
Synthse . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
33
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
34
35
35
35
36
. . . . . . . . . . . . . . . . . . .
43
43
45
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
27
29
29
30
30
31
Mandat et sponsor . . . .
Pilotage de la dmarche .
Conduite du changement
Rgime tabli . . . . . .
Se faire aider ou pas ? . .
Quelques cueils courants
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
dinformation (RSSI)
. . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
La direction gnrale . . . . . . . . . .
Le risk manager . . . . . . . . . . . .
Les directions mtier . . . . . . . . . .
Le responsable du PCA . . . . . . . .
Le Responsable de la scurit du systme
Responsabilits et niveau hirarchique .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2.2.3
2.2.4
2.2.5
2.2.6
dun PCA
. . . . . .
. . . . . .
. . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
XI
46
47
50
53
DEUXIME PARTIE
61
61
3.1.1
3.1.2
3.1.3
3.1.4
tape
tape
tape
tape
tape
.
.
.
.
61
62
65
65
. . . . . . . . .
67
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
67
69
71
74
77
. . . . . . . . . .
78
78
79
81
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . .
83
83
85
86
88
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
88
89
91
92
93
.
.
.
.
94
97
99
101
102
102
104
105
112
3.9.1
3.9.2
3.9.3
3.9.4
tape
tape
tape
tape
Le
Le
Le
Le
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
94
.
.
.
.
.
.
.
.
112
112
113
114
117
117
4.1.1
4.1.2
4.1.3
4.1.4
Solutions de secours du SI . . . . . . . . . . . . . . . . . . . . . . .
Typologie des moyens de secours (SI) : avantages et limites . . . . . .
De la bonne distance du site de secours (SI) . . . . . . . . . . . . . .
Disponibilit des solutions : consquences sur les principaux composants
de la chane SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.5 Mener lanalyse cots/bnfices et avantages/inconvnients
sur les solutions de secours (SI) . . . . . . . . . . . . . . . . . . . .
4.1.6 Le march et les principaux fournisseurs de solutions de secours (SI) .
4.1.7 Un mot sur laspect contractuel du secours informatique . . . . . . . .
118
119
122
122
129
129
130
131
131
131
133
123
125
127
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
133
134
135
135
136
137
137
137
138
141
143
143
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . .
. . . .
144
145
. . . .
. . . .
146
153
154
5.2.1
5.2.2
5.2.3
5.2.4
.
.
.
.
155
156
157
158
159
5.3.1
5.3.2
5.3.3
5.3.4
Serveurs . . .
Rseau local .
Rseau WAN
Sites web . . .
.
.
.
.
.
.
.
.
Postes et stations de
Tlphonie . . . .
Impression . . . .
Internet . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
travail
. . . .
. . . .
. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . .
. . . . . . .
disponibilit
. . . . . . .
. . . . . . .
.
.
.
.
.
.
.
133
.
.
.
.
.
.
.
.
.
.
.
.
.
.
XIII
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
159
161
162
162
165
165
166
167
167
169
169
170
170
6.2.1
6.2.2
6.2.3
6.2.4
Lnonc du problme . . . . . . . . .
Lapproche propose et la dmarche mise
Les livrables et les rsultats . . . . . .
Conclusion du cas n 2 . . . . . . . .
. . . . . .
en uvre
. . . . . .
. . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
171
173
174
177
178
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
Lnonc du problme . . . . . . . . . . . . . . . . . . . . .
Lapproche propose et la dmarche mise en uvre . . . . . .
tape 1 : Mieux connatre lactivit . . . . . . . . . . . . . .
tape 4 : Dvelopper le plan de continuit dactivit . . . . . .
tape 5 : Assurer la conduite du changement, le dploiement du
et son maintien en conditions oprationnelles . . . . . . . . . .
6.3.6 Conclusion du cas n 3 . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
. . . .
. . . .
. . . .
. . . .
PCO
. . . .
. . . .
6.4 Cas n 4 : Retour dexprience pour une crise majeure : les attentats
de Londres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
179
180
181
191
197
201
201
TROISIME PARTIE
PERSPECTIVES
Chapitre 7 Vers un systme de management de la continuit dactivit ? .
205
206
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.1.6
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
206
206
206
207
207
207
208
208
212
214
XV
215
215
215
7.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
216
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
ANNEXES
Annexe A Sigles et abrviations . . . . . . . . . . . . . . . . . . . . . . . .
225
227
B.1 Avertissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
228
228
230
249
249
256
261
265
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
Sithotque MCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
275
Avant-propos
1. Daprs Chak-Tong Chau in Preparing for the unexpected, 2004 ; on ne dispose que de peu
dinformations similaires sur les crises majeures franaises rcentes (explosion de lusine AZF,
temptes de dcembre 1999 par exemple) parce que le retour dexprience est encore peu organis
dans notre pays.
humaines. Le recours une stratgie dfensive base sur lassurance est de nature
limiter les pertes, mais cette approche ne couvre pas toujours la baisse de productivit, rarement la perte de clients, les dgts sur limage et les pnalits rglementaires
pour non-respect de ses obligations. En fait, il est estim que, lorsquelles ny sont
pas prpares, 43 % des entreprises ferment au moment dun sinistre majeur, et
29 % de celles qui survivent, priclitent dans les deux ans qui suivent 1 .
On ne reprochera pas une entreprise dtre victime dun sinistre majeur.
Mais cest un risque en soi que de faire affaire, en toute connaissance de cause,
avec une entreprise qui na pas prvu une gestion des situations de crise dans un
monde o limpact ngatif des seules catastrophes naturelles crot selon une courbe
quasi exponentielle depuis 50 ans. juste titre, ladjonction dun critre relatif
la continuit des oprations dans les lments de choix lors dappels doffre et de
consultations devient de plus en plus systmatique : la mise en place dune solution
de secours efficace devient ainsi un lment diffrenciant. Au Royaume-Uni,
une entreprise ne peut ainsi prtendre tre fournisseur du gant de la distribution
Tesco si elle ne peut faire la preuve de lefficacit de son plan de continuit
dactivit. Sous limpulsion de la norme TL9000, il en va de mme dans le
monde des tlcoms avec Orange UK ou Tele2. Depuis peu, lassureur AGF exige
de ses fournisseurs et prestataires critiques un plan de continuit oprationnel 2.
La continuit dactivit est une discipline nouvelle qui plonge ses racines
dans la scurit des systmes dinformation mais dont les branches ont
aujourdhui pouss jusqu la gestion de crise et jusquaux dmarches processus.
Selon la dfinition du CRBF3, le plan de continuit dactivit est l ensemble
de[s] mesures visant assurer, selon divers scnarios de crises, y compris face
des chocs extrmes, le maintien, le cas chant de faon temporaire selon un
mode dgrad, des prestations de services essentielles de lentreprise puis la
reprise planifie des activits 4. Cest de la dfinition et de la mise en uvre de
telles mesures quil est question dans ce livre.
POURQUOI UN LIVRE?
La spcificit franaise
En France, le sujet de la continuit dactivit a inspir plusieurs livres blancs,
quelques articles gnralistes dans la presse spcialise et un ouvrage du Clusif 5
1. Disaster Recovery Institute International, Canada, 2001.
2. Daprs un entretien de Marie-Hlne Moitier (AGF) sur planetefacility.cabestan.com,
novembre 2005.
3. Comit de la rglementation bancaire et financire.
4. CRBF 2004-02.
5. Club de la scurit des systmes dinformation franais.
Avant-propos
XIX
qui traite du plan de secours informatique1 mais qui aborde peu la problmatique
plus large de la continuit dactivit. Une recherche sous amazon.com, amazon.fr,
fnac.com ou le catalogue Opale Plus de la Bibliothque nationale de France
donnait fin 2005 les rsultats du tableau a.1 pour continuit dactivit ou
business continuity :
Tableau a.1 Rsultats de recherche sur le sujet de la continuit dactivit
amazon.com
amazon.fr
continuit
dactivit
3 rsultats
non pertinents
business
continuity
403 rsultats
dont 120 pertinents environ
Opale Plus
0 rsultat
fnac.com
3 rsultats
non pertinents
On voit que le sujet, qui est largement couvert dans la littrature anglosaxonne, est fort peu trait en langue franaise. Ce livre vise apporter une
vision un peu plus franaise de cette discipline relativement nouvelle quest la
continuit dactivit2.
Le retour dexprience
Lexprience professionnelle de lauteur la plac plusieurs reprises dans des
situations daccompagnement dentreprise pour la mise en place de plans de
continuit dactivit, de plans de secours informatiques ou de plans de reprises
dactivit3. Le sujet est abord ici avec le dsir de partager cette exprience,
de transmettre une vision condense et adapte de la littrature anglo-saxonne
et doffrir quelques points de vue personnels.
Avant-propos
XXI
STRUCTURE DU LIVRE
Trois parties composent lexpos :
La premire partie est avant tout destine aux dcideurs qui y trouveront
une synthse des points cls, les grands principes pour la russite dun
management de la continuit dactivit et lexpos des rles et responsabilits
en la matire.
Le chapitre 1 pose la problmatique de la continuit dactivit et dfinit
lorganisation humaine qui la sous-tend. Il expose ce quest et nest pas
la continuit dactivit, le cadre normatif et rglementaire dans lequel
la dmarche peut sinscrire, et propose un langage commun sur les
concepts qui y sont attachs.
Le chapitre 2 donne quelques conseils pour la mise en uvre dun management de la continuit dactivit dans une entreprise.
La deuxime partie prsente la mthodologie propose par lauteur en vue
dassurer la continuit dactivit (E=MCA1), les considrations techniques
sur les solutions de secours et les tudes de cas.
1. tapes vers le management de la continuit dactivit.
Avant-propos
XXIII
REMERCIEMENTS
Je tiens exprimer ma gratitude toutes les personnes qui ont permis, directement
ou indirectement la rdaction de ce livre.
En tout premier lieu, ma femme Natacha et mes enfants, Joseph, Leia et
lose, pour leur soutien et leur patience pendant une intense priode de rdaction
et de mise au point qui venait sajouter une forte activit professionnelle.
eux va toute ma reconnaissance. galement ma mre, qui a mis au point le plan
de continuit de mes rvisions de concours. mon pre aussi, qui na jamais
cess de croire que je pourrais faire autre chose que de gravir des montagnes.
Ensuite mes collgues, anciens collgues et clients 1 qui ont, par leur
richesse, donn lessentiel de ce quon trouvera dans ce livre. En particulier :
Alain CHAMPENOIS, ancien consultant manager chez Bureau Veritas Consulting
et enseignant lIMI (UTC) pour sa vision panoramique du management des
SI ; Martine PASSA, consultante chez Cosmosbay pour son approche du management de projet ; Dominique JOUNIOT, ancien responsable de la scurit du
systme dinformation de Bureau Veritas pour sa passion communicative pour la
scurit des SI ; Frdric CAILLAUD, ancien directeur du dpartement SI de
Bureau Veritas Consulting pour son regard sur le management des risques ;
Jean-Marc ALANCHE, directeur technique chez Alcatel (DSI, production) ;
Jean-Pierre MARTIN, ancien consultant manager chez Bureau Veritas Consulting
et expert en qualit du SI ; Herv QUMIN et Claude ROBERT, responsables du
plan de reprise dactivit chez Alcatel (DSI, production) ; Dr Wolfgang KAUSCHKE,
Business Continuity Program Manager pour Alcatel.
1. Pour ne pas trahir lanonymat des missions ralises, je ne peux citer que quelques clients. Les
autres se reconnatront.
Premire partie
Manager
la continuit dactivit
1
La problmatique
et les acteurs
de la continuit dactivit
1.1
Cot d1 heure
dinterruption
du SI
Dlai admissible
dinterruption du SI
avant risque de faillite
> 1 M$
8%
72 h
De 501 k$ 1 M$
9%
48 h
De 251 500 k$
9%
24 h
De 101
250 k$
De 51 100 k$
13 %
15 %
46 %
< 50 k$
40 %
21 %
19 %
8h
8%
4 h
9%
1h
7%
Procdures de stockages
hors des sites des sauvegardes
53 %
Plan de continuit
dactivit conomique
16 %
18 %
10 %
Plan de crise
10 % 20 % 30 % 40 % 50 %
5 (trs bonne)
9%
10 %
21 %
37 %
36 %
37 %
2
17 %
12 %
1 (faible)
17 %
4%
10 % 20 % 30 % 40 % 50 %
France
Monde
1. Business Continuity Research, 2005, Key findings at a glance , Business Continuity Institute.
2. Dans le monde anglo-saxon, on citera la mmorable coupure dalimentation lectrique du
6 dcembre 1999 chez e-Bay qui provoqua un arrt de 22 heures des systmes, cota environ
quatre millions de dollars et fit vaciller le cours de laction de 26 % (source Gartner Group).
1.1.5 Bilan
Mme si les chiffres et exemples exposs tendent au catastrophisme (cest le
cur du sujet !), ils rvlent les enjeux de la continuit dactivit. Les entreprises
franaises ne se montrent pas aussi convaincues vis--vis de la continuit dactivit que leurs homologues trangres, anglo-saxonnes en particulier. Des progrs
considrables ont toutefois t enregistrs, en particulier depuis lessor de la
fonction de responsable de la scurit du systme dinformation (RSSI).
1.2
Non seulement la frquence et lintensit des sinistres majeurs croissent rapidement mais leurs impacts conomiques semblent augmenter encore plus rapidement. Lillustration de ces tendances est saisissante quand on se penche sur
lvolution des pertes conomiques dues aux seules catastrophes naturelles au
cours de la priode 1950-2003 (figure 1.4) :
> 120
80
70
60
50
40
30
20
10
1950
1960
1970
1980
1990
2000
Figure 1.4 volution des pertes conomiques mondiales dues aux catastrophes
naturelles au cours de la priode 1950-2003 (daprs Munich Re)
Bien sr, ces statistiques refltent surtout la complexit croissante de nos organisations. Leffet domino li linterpntration et linterdpendance des principaux rseaux a bien t ressenti en France lors des temptes de dcembre 1999.
La fragilisation qui en rsulte a t dcrite par X. Guilhou et P. Lagadec : Nos
socits complexes ne sont plus quenchevtrements de nuds, concentrant des
pouvoirs de diffraction colossaux. Il en rsulte des problmes de scurit particulirement aigus, faits deffets de seuils, deffets de complexit, deffets de rsonance
jusqualors inconnus 1.
Mais les sinistres et les catastrophes naturelles ont bel et bien des tendances
inflationnistes depuis la fin du XXe sicle, la fois en frquence et en gravit.
Dans le mme temps, les demandes des clients et, plus gnralement, du public,
1. P. Lagadec et X. Guilhou, La fin du risque zro, Eyrolles, 2002.
tendent vers une exigence du risque zro : cest ce que lon peut appeler le grand
cart du risque ! Pour rpondre cette double problmatique antagoniste (davantage de sinistres, davantage de scurit), les modes classiques de scurisation
(principalement ports par les pouvoirs publics dans leur rle rgalien de protection civile) sadaptent mais peinent prendre la mesure des nouveaux enjeux.
Mais du ct de lconomie, les entreprises ne peuvent pas se reposer sur la
protection civile pour assurer la sauvegarde de leur patrimoine, ni se retrancher
derrire la fatalit dun phnomne local pour justifier des pertes dans une
conomie mondialise.
Par ncessit, lentreprise doit aujourdhui passer dune gestion ractive et
dfensive du risque (principalement par le biais de lassurance et la r-assurance)
une gestion qui se veut pro-active et offensive : cest dans ce dernier cadre que
la notion de gestion de la continuit dactivit dentreprise prend tout son sens.
Se prparer au pire dans ce contexte procde ds lors plus dune vision raliste et
pragmatique du monde que dune angoisse apocalyptique.
1.3
11
13
Ris
qu
es
ne
er
t
ex
R
i
s
qu
es
Ris
q
ne
er
t
ex
rne
te
ex
ue
s
rne
te
ex
R
i
s
qu
es
Ainsi :
Sil est fond sur une solution technique de secours du systme dinformation (SI), le PCA ne sy limite pas : cest un ensemble de mesures comprenant
une organisation, des modes de raction, des actions de communication, etc. ;
Le PCA doit permettre de couvrir des situations de chocs extrmes : il
sinscrit bien dans la raction aux sinistres prsents en introduction dont
la violence, on la vu, peut tre extrme ;
Le PCA doit tre conu pour faire face divers scnarios de crises : cela
suppose que des scnarios ont t tudis et quune dcision a t prise quant
aux scnarios contre lesquels le dispositif du PCA devra se rvler efficace ;
Le mode de raction au sinistre peut tout fait savrer tre un mode
dgrad de services mais pour dgrad quil soit, il devra couvrir les activits
essentielles de lentreprise : celles-ci auront donc t dfinies au pralable ;
La mise en place du PCA sera temporaire puisquune reprise planifie des
activits en mode nominal aura t prvue : les conditions de retour la
normale et les critres de retour auront donc t dfinis.
1. COSO Enterprise Risk Management Framework (ERM).
15
En rsum, le dispositif que lon dfinit comme le plan de continuit dactivit permettra de limiter les impacts adverses dun sinistre majeur sur lactivit
dune entreprise pour lui permettre un retour efficace une situation nominale,
comme lillustre le synoptique suivant :
Sinistre
Fin
de
crise
Crise
Ragir
Plan de continuit dactivit
Prvenir
Prvenir
laborer
et tester
le PCA
Ragir
Diagnostiquer
Activer le PCA
Grer
Normaliser
le retour
Maintenir
Activer le PCA :
Communiquer
Organiser
Grer
1.4
1.4.1 La rglementation
La capacit assurer la continuit dactivit est un critre que les investisseurs et
rgulateurs prennent de plus en plus en compte. La plupart des textes rglementaires relatifs aux activits commerciales et financires imposent des exigences de
matrise des risques et de contrle interne qui touchent, plus ou moins directement,
la continuit dactivit. Cest le cas pour les dcisions du comit de Ble II, de la loi
de scurit financire, du rglement CRBF 2004-02 et du Sarbanes-Oxley Act.
17
(Ble II ) ses recommandations pour introduire un nouveau ratio de solvabilit : le ratio Mc Donough remplacera ds 2007 lancien ratio Cooke.
Les ratios de solvabilit mesurent la sant des institutions financires sur le
constat que leur stabilit dpend de fonds propres adapts aux risques auxquels
elles doivent faire face.
La nouveaut de Ble II (et du ratio Mc Donough) est dajouter aux risques
classiques de crdit et de march la prise en compte dun risque oprationnel.
Selon la dfinition de Ble II, le risque oprationnel est un risque de pertes
rsultant de procdures internes inadquates ou dfaillantes, du personnel, des
systmes ou dvnements extrieurs. Il inclut pleinement (bien quil ne sy
limite pas) les risques du SI lis la problmatique de continuit dactivit.
En 2003, le Comit a publi des bonnes pratiques de gestion du risque oprationnel1, dont le principe 7 nonce (extraits) :
Les banques devraient mettre en place des plans de secours et de continuit
dexploitation2 pour garantir un fonctionnement sans interruption et limiter les
pertes en cas de perturbation grave de lactivit.
19
exigences de la loi. Dans certains cas, la mise en place dun PCA sera sans doute
du bon sens. Dans tous les cas, ltape initiale dun projet PCA :
dterminera si le reporting financier (dans ses contraintes rglementaires)
rentre dans les activits critiques de lentreprise et, si oui, quel niveau
(dans le cadre du bilan dimpact sur lactivit) ;
mettra en uvre une analyse fine des risques pour dterminer les risques et
vulnrabilits de lentreprise : cette analyse de risques fait partie des
exigences de la loi Sarbanes-Oxley (section 404 en particulier).
La mise en marche dun projet PCA, sil nest pas exig par la loi SarbanesOxley1, peut tre un levier fort pour atteindre la conformit un grand nombre
des exigences de la loi. Le management de la continuit dactivit doit tre vu
comme un outil et une opportunit dans ce cadre-l.
LISO/TS 16949 propose ainsi des exigences complmentaires (souvent supplmentaires) pour la planification et la mise en uvre dun systme de management
de la qualit dans lindustrie automobile.
Le paragraphe 6.3.2 Plans durgence, contient des exigences que la mise en
uvre dun plan de continuit dactivit permet de satisfaire : Lorganisme
doit laborer des plans durgence afin de satisfaire les exigences du client en
situation durgence, par exemple suite des problmes dapprovisionnement,
une pnurie de main-duvre, une dfaillance dquipement cl ou des remplacements de pices en clientle .
Il est bien entendu que des mesures conservatoires basiques peuvent satisfaire
convenablement ces exigences et que la mise en uvre dun plan de continuit
dactivit nest pas clairement impose par la norme. Ceci tant, lesprit dans lequel
ces exigences ont t rajoutes indique un chemin qui mne, terme, au PCA.
TL9000
La norme TL9000, quant elle, est la dclinaison aux entreprises du secteur des
tlcoms de la norme ISO 9001. De mme que lISO/TS 16949 pour le monde
automobile, la TL9000 propose des exigences supplmentaires pour la planification
et la mise en uvre dun systme de management de la qualit dans lindustrie
des tlcoms.
Son paragraphe 7.1.C.3 stipule que : Lorganisme doit laborer et maintenir
des mthodes de reprise dactivit en cas de sinistre, pour garantir sa capacit
rtablir et fournir le produit tout au long de son cycle de vie. 1
Le processus de management de la continuit dactivit est ici clairement
indiqu.
21
Ces guides sont gratuits mais ne sont pas disponibles en langue franaise.
Fin 2005, une deuxime version de ces guides a t publie pour tenir compte
des volutions vers la future norme PAS 56 (voir paragraphe BSI PAS 56). Ils
sont tous regroups en un seul document beaucoup plus lger (77 pages) et, plus
proche dans lesprit1, de la mthodologie E=MCA prsente au chapitre 3.
Le guide des bonnes pratiques DRJ/DRII (Generally Accepted Practices for Business
Continuity Practitioners)
Le Disaster Recovery Journal (DRJ) et le Disaster Recovery Institute International (DRII), deux organismes amricains ont produit en aot 2005 une version
provisoire de leur guide de bonnes pratiques lattention des professionnels de la
continuit dactivit.
Ce guide prsente des check-lists dtailles sur dix domaines2 de la mise en
uvre dune dmarche PCA :
Lancement et management de projet ;
Analyse et contrle des risques ;
Bilan dimpact sur lactivit ;
Dfinition des stratgies de continuit ;
Gestion de crise et des oprations ;
Dveloppement des plans de continuit dactivit ;
Sensibilisation et formation ;
Maintenance et tests des plans ;
Communication de crise et relations publiques ;
Coordination avec les autorits civiles.
Quoique non encore finalises, ces check-lists reprsentent une aide fort utile
et complmentaire aux guides mthodologiques du BCI. Elles prsentent une
vision trs pragmatique et constituent un pense-bte apprciable. Elles seront
utiles en particulier dans les revues de fin de phase et pour les audits de PCA,
plus dailleurs que pour la planification et la dfinition de la mthode o les
guides mthodologiques BCI apporteront un clairage plus pertinent.
1. Cette proximit de vue est fortuite (mais heureuse !) dans la mesure o un diffrend juridique
entre le BCI et le principal contributeur (David Smith) a retard la publication de ce document,
quasiment jusqu la date de remise du manuscrit du prsent livre lditeur.
2. Ces dix domaines se trouvent tre les domaines pour lesquels le DRII et le BCI ont conjointement dvelopp leur schma de qualification et de certification des professionnels de la continuit dactivit.
23
BSI PAS 56
Rendue publique en 2003, la spcification PAS 56 Guide to Business Continuity
Management (PAS pour Publicly Available Specification) du British Standards
Institute (BSI) prfigure la norme de rfrence dans le domaine du management
de la continuit dactivit.
Elle a t produite par les efforts conjoints du British Standards Institute,
du Business Continuity Institute et du cabinet Insight Consulting. Des acteurs du
monde conomique anglais (Sainsburys, The Post Office, EDS, OGC) ont galement particip son dveloppement.
La PAS 56 est un document de 58 pages qui comprend, outre les annexes et
la bibliographie les sections suivantes1 :
Primtre
Vocabulaire et dfinitions
Abrviations
Aperu
Pilotage du programme MCA
Comprendre lactivit
Stratgies de MCA
Dvelopper et mettre en place des plans MCA
Construire et diffuser une culture MCA
Tests, maintenance et audit des dispositions MCA
Les principes et dtails de la PAS 56 sont trs largement inspirs des Good
Practice Guidelines du BCI. Les tapes prconises sont en particulier identiques.
Le vocabulaire adopt est quasi identique. Les deux approches diffrent nanmoins en ce que lune est une approche normative (qui dfinit donc plutt des
niveaux dexigence) et lautre une approche mthodologique (qui propose plutt
un chemin pour atteindre les exigences). La PAS 56 nest pas disponible en
langue franaise et est en vente sur le site www.pas56.com. La PAS 56 a t
vendue 4 500 exemplaires dans le monde la fin 2005.
1. Traduction libre.
1.4.3 Autres
Il existe bien dautres rglementations et normes qui abordent le sujet de la
continuit dactivit ou un des sujets qui lui sont affilis (stratgie darchivage
par exemple).
Autres rglementations
Concernant les rglementations, on peut citer en France :
Certaines recommandations AMF (voir www.amf-france.org, recherche
sur le thme),
Le code du commerce (Art. 123-20, al. 2),
Le plan comptable gnral (PCG 1999, Art. 120-1),
La rglementation qui concerne les comptabilits informatises,
La rglementation qui concerne lindustrie pharmaceutique (bonnes pratiques
de fabrication, bonnes pratiques de distribution, contrainte de libration
de la production, contrainte de validation des processus, rgime dautorisation de mise sur le march des mdicaments, etc.) : si elle ne fait pas
explicitement rfrence au management de la continuit dactivit, elle
sous-entend des mesures lies au fonctionnement en mode dgrad de
lactivit et la prise en compte des situations durgence.
Au Royaume-Uni, le Civil Contingencies Act du 18 novembre 2004 exige pour
les principaux services publics (dans les domaines de ladministration publique,
des services durgence, des services de sant, des services de transport, dlectricit, de tlcommunications publiques) que des mesures dvaluation des risques
et de continuit dactivit soient mis en place. En particulier, ces services sont
tenus de maintenir des plans dans le but dassurer, autant que faire se peut, la
continuit de leurs activits en cas durgence 1.
Aux tats-Unis, outre le Sarbanes-Oxley Act, on trouve :
Les normes IASC2 (n 1 paragraphe 7) ;
Le rglement NASD3 3510/3520 ;
Le rglement NYSE4 446.
1.
2.
3.
4.
25
Autres normes
Concernant les documents de type normatif, on citera :
Le standard international ITIL, Service Delivery, section 7 : IT Service
Continuity Management ;
La norme australienne HB 221 - 2004 : Business Continuity Management ;
Linstruction gnrale 170/98 : Business Continuity du Defence Council
britannique ;
La norme amricaine NFPA 1600 - 2004 : Standard on Disaster/Emergency
Management and Business Continuity Programs.
1.4.4 Synthse
Tableau 1.1 Rcapitulatif des normes et rglementations
Autres
Rglementations
Principales
LSF
CRBF
Sarbanes-Oxley
AMF
Code commerce
IASC
Comptabilits informatises
Principales
Autres
Normes
Autre
Internationale
USA
UK
NASD 3510/3520
USA
NYSE 446
USA
ISO/TS 16949
Internationale
TL 9000
Internationale
ISO 17799
Internationale
GPG BCI
Internationale
Guides DRJ/DRII
Internationale
BSI PAS 56
UK
ITIL
Internationale
HB 221 - 2004
Australie
USA
1.5
27
1.6
LES ACTEURS
Cellule de crise
Direction gnrale
Direction SI + quipes
Directions mtier
quipes dintervention dfinies
Direction communication
DRH
Autorits civiles, etc.
Le responsable
PCA
Lentreprise
Plan
de continuit
dactivit
PCA
Cellule de crise
Direction de la communication
DRH
Services gnraux
Autorits civiles
Souvent
un membre
de la cellule
de crise
La partie
de lentreprise
concerne
par la crise
Plan de gestion
de crise
PGC
La cellule de crise
Les directions mtier
Les directions
mtier
Les activits
mtier critiques
Plan
de continuit
doprations
PCO
La cellule de crise
Les quipes informatiques
Les quipes dintervention et les utilisateurs
Le directeur du SI
Le SI
Plan de secours
informatique
PSI
La cellule de crise
Les quipes informatiques
Les quipes dintervention et les utilisateurs
Le directeur du SI
ou le responsable
dexploitation
Le SI
Plan de reprise
dactivit
PRA
Principaux acteurs
Le pilote dapplication (MOA)
Lquipe informatique lie lapplication
(dveloppement, maintenance et production)
Responsable
Le pilote dapplication (MOA)
Une application
Plan de reprise
dapplication
PRAp
Objectif
Primtre
Intitul
Acron.
29
31
Il faut toutefois remarquer quon observe une volution marque (et heureuse !)
vers la deuxime dfinition. Ce glissement suit naturellement celui de la scurit
informatique qui est devenu scurit des systmes dinformation avant de devenir
scurit de linformation et bientt cyberscurit.
Le Livre blanc de la scurit 20041 met ainsi en lumire llvation sensible
du niveau hirarchique de rattachement du RSSI. 44 % dentre eux sont ainsi
rattachs au niveau dun membre du comit de direction de lentreprise en 2004
contre 35 % peine en 2003. Cette tendance suit llvation gnrale de la
fonction informatique dans lentreprise mais tmoigne galement de llargissement
des comptences du RSSI.
Ainsi, 66 % des RSSI daujourdhui sont impliqus dans les plans de continuit dactivit. Ces 66 % correspondent-ils une mme proportion de RSSI
ayant les comptences les plus diversifies ? Il est certain que le RSSI peut jouer
un rle prpondrant dans la mise en place du PCA, condition que sa fonction
corresponde, comme pour le risk manager, la notion moderne, large et leve
dans la hirarchie du RSSI.
Dailleurs, ses comptences de base gnralement techniques lui donnent une
posture avantageuse pour complter un ventuel tandem de projet avec le risk
manager qui lui, a souvent plus une comptence gestion.
Pendant la crise
Les responsabilits pour lexcution du PCA pendant la crise sont donnes dans
le tableau 1.4 (page suivante).
1. Les Assises de la scurit, Livre blanc, Octobre 2004 (P.-L. Refalo et al.).
2. Source : daprs ITIL, IT Service Continuity Management.
Responsabilits
Comit de direction
Direction
Encadrement
Supervision et excution
Niveau hirarchique
Responsabilits
Comit de direction
(reprsente par
la cellule de crise)
Direction
Encadrement
Supervision et excution
Excute
Participe aux quipes dintervention
2
Dcider la mise en place
de la continuit dactivit
2.1
UN PROJET DENTREPRISE
La mise en place dun PCA est un projet dentreprise. Cest mme un projet
majeur et structurant pour lentreprise. Cest une dmarche qui na de chances
daboutir que si elle est dote dune structure et de modalits de mise en uvre
de type projet. Il faut un sponsor au niveau hirarchique appropri, un chef de
projet, un comit de pilotage, des instances de reporting, un suivi rgulier, des
dlgations dautorit, un planning suivi et rajust en permanence, une
mthodologie de gestion de projet, des tableaux de bord, un plan dassurance
qualit projet Le projet naboutira que sil est peru et trait comme un enjeu
majeur.
35
37
4) Raliser le bilan dimpact sur lactivit (BIA) sans homogniser les rsultats
Le bilan dimpact sur lactivit (BIA) est possible lorsque les scnarios de sinistres
majeurs ont t choisis et approuvs par la direction gnrale.
Le BIA est une des phases les plus dlicates et les plus importantes pour la
dfinition des besoins de continuit dactivit. Elle permet notamment la dtermination des activits et ressources critiques de lentreprise.
39
Cest une phase qui demande tact et diplomatie pour sa ralisation dans la
mesure o la question fondamentale qui est pose chaque manager de lentreprise se rsume : quel serait limpact de tel sinistre sur votre activit ?
Mme si ce nest pas la question pose, la question qui est souvent entendue
par chaque manager est : quelle importance est-ce que jai dans cette entreprise ?
Suivant les sensibilits de chacun, les rponses vont traduire le poids que chacun
veut saccorder
Le pige principal pour lquipe qui ralise le BIA est de se laisser dicter les activits critiques de lentreprise par ceux qui ne voient que par le petit bout de leur
lorgnette. Une dconvenue classique est la dcouverte aprs des semaines
defforts et dentretiens en BIA que toutes les activits sont critiques !
En consquence, la ralisation du BIA ncessite :
La dfinition et la validation dune grille de critres objectifs et homognes pour valuer les impacts directs et indirects des sinistres retenus sur les
activits de lentreprise.
La ralisation dune validation finale et collgiale des rsultats du BIA o
les classements vont sharmoniser et shomogniser dans la discussion
de groupe.
41
On peut estimer nanmoins que dans une entreprise classique, les principales
informations ncessaires la cohrence globale dun PCA ne varient pas une
frquence infrieure un an.
En revanche, beaucoup dinformations de dtails, fort utiles la mise en
uvre du PCA voluent beaucoup plus rapidement (fonctions, coordonnes
professionnelles et personnelles, contacts de fournisseurs, etc.).
Les modes dvolutions actuelles des entreprises (fusion, acquisition, cession,
relocalisation, rorganisation, etc.) tendent galement raccourcir les cycles
dobsolescence de linformation.
Dans ce contexte, il est clair quun PCA qui nest pas revu et mis jour
devient compltement obsolte en un an.
Il est donc recommand de :
Raliser une opration de maintenance complte une frquence a
minima annuelle.
Systmatiser la mise jour des informations chaque changement majeur
(dmnagement, rorganisation, cession, etc.).
Oprer des mises jour partielles plusieurs fois par an.
En rsum
2.2
43
Obligation rglementaire : cest le cas o la loi et les rglements contraignent lentreprise disposer de mesures de continuit dactivit (SarbanesOxley, LSF, Ble II, etc.) ;
Obligation fournisseur ou groupe : lincitation provient cette fois dune
politique du groupe dappartenance ou dun client avec lequel les relations
commerciales ne peuvent tre entames ou maintenues que sous conditions de mise en place dun PCA (exemple : Tesco, Orange UK, AGF) ;
Ambition scuritaire (mesure dfensive) : il sagit ici dune volont proactive de protger son activit des chocs extrmes ;
Logique de best-in-class : le moteur de la dmarche est cette fois la
volont doffrir sur le march la meilleure comptitivit et de figurer parmi
les pionniers dune bonne pratique pour accrotre ses avantages comptitifs ;
Dsir de cration de valeur : dans ce dernier cas, la mise en place dun
PCA nest plus seulement vue comme un poste de cot dans le compte de
rsultats mais comme une activit de cration de valeur pour lentreprise :
cela suppose galement que la mise en uvre soit pense et ralise
comme telle.
Chacune des raisons nonces prcdemment est une bonne raison, mais :
Le retour sur investissement ne sera pas peru de la mme faon selon la
philosophie adopte ;
Ladhsion du personnel pourra varier selon que le mobile est subi ou
choisi ;
Limplication des cadres pourra diffrer selon que la motivation est externe
(mise en conformit rglementaire par exemple) ou interne (comptitivit,
cration de valeur) ;
Les freins au changement seront plus ou moins forts selon que le sinistre
est potentiellement menaant ou dj subi.
Il semble dailleurs, comme pour les dmarches qualit, que les motivations
deviennent progressivement plus offensives, passant du dsir de minimiser
limpact ngatif dun vnement peu probable la volont de maximiser la
productivit. Les facteurs offensifs prennent de plus en plus de poids dans le
choix, comme en tmoigne la figure 2.21.
1. Source : Business Continuity Research, 2005, Incentives and drivers for Business Continuity
Management , BCI.
Optimiser la productivit
14 %
Exigences rglementaires/
client/ assurance
16 %
45
10 %
7%
24 %
Protger le personnel
19 %
10 %
10 %
20 %
30 %
1. Arbres de dfaillance, AMDEC, Ebios, @Nets, Management des risques projet, etc.
Solution
technique de
secours
Stratgie de
sauvegarde
Organisation de
gestion de crise
Systme
documentaire
47
Point dquilibre
Cot de la solution /
dlai de reprise
Suivant la nature des activits protger, le point dquilibre pourra notablement varier comme illustr dans la figure 2.5.
Production
Impact du sinistre /
temps dinterruption
Cot de la solution /
dlai de reprise
Cot de la solution /
dlai de reprise
49
Le ROI dun projet PCA est le rapport entre le cot total du projet (investissement et fonctionnement) et les gains attendus (gains ngatifs provenant
de lvitement de risques et gains positifs rsultant davantages intrinsques
acquis par latteinte des objectifs du projet) sur une priode donne.
Le calcul du cot total du projet devra prendre en compte :
Les investissements initiaux et ponctuels :
matriel (autour de la solution technique de secours en particulier) ;
prestations pour la mise en uvre du PCA ;
charges de personnel induites (participation aux analyses, au pilotage
du projet, la mise en uvre, etc.).
Les cots rcurrents induits par le projet en rgime tabli :
exploitation de la solution technique ;
tests du dispositif ;
maintenance et contrle du PCA ;
charges dadministration (responsable PCA, formation, communication,
actualisation, etc.).
La question de la quantification des gains attendus par la mise en place dun
PCA est sans doute plus complexe parce quelle fait intervenir des gains intangibles (protection de limage de marque par exemple). Tous les enjeux mtier,
tangibles et intangibles, devraient nanmoins tre abords (mme succinctement) lors dun calcul de ROI. Certains enjeux seront clairement plus facilement
quantifiables que dautres mais tous devraient pouvoir tre objectivs.
Il me semble que chacune des pertes potentielles suivantes devrait tre prise en
compte mme si la pondration que les entreprises leur donneront pourra varier :
Pertes quantifiables :
cots et impacts tangibles des sinistres : pertes de revenus, pertes de
productivit, cots du surcrot de travail en fonctionnement dgrad,
cot de reconstitution des donnes, cots dassurance, cots juridiques
(pnalits), pertes de parts de march, etc.
gain de performance : il sagit des gains positifs possiblement induits par
51
Un lment diffrenciant
Nous lavons vu, le gant britannique de la grande distribution Tesco exige de ses
fournisseurs quils aient fait la preuve de lefficacit de leur PCA avant de traiter
avec eux.
Si je ne connais que peu dquivalents dans lHexagone (Bouygues Telecom,
AGF2), il est clair quaujourdhui, les entreprises mme de dmontrer leur
capacit faire face dans de (relativement) bonnes conditions un sinistre
majeur possdent une longueur davance sur leurs concurrents.
Si jtais la tte dune entreprise qui manage la continuit dactivit, je
mempresserais dajouter un paragraphe ce sujet dans toutes les offres de services
ou de fournitures que je pourrais mettre.
tion, cela peut tre psychologiquement dangereux pour ceux qui ne comptent
pas vraiment !
53
Engagez-vous !
Ce slogan consonance militaire insiste simplement sur limportance du paragraphe 2.1.1 Mandat et sponsor. Le PCA est, par essence, un projet qui rclame
limplication forte de la direction et une approche top-down .
Un projet de management de la continuit dactivit va du haut vers le bas.
55
57
Et encore, cette remarque ne tient pas vraiment compte du danger que reprsente le
sentiment erron de scurit que gnre la prsence dun PCA non test
En rsum
Les 14 commandements
1.
2.
Engagez-vous !
3.
4.
5.
6.
7.
8.
9.
Deuxime partie
Mthodes et outils
de la continuit
dactivit
3
Mettre en place la continuit
dactivit: mthodologie
commente
3.1
DMARCHE GNRALE
63
Une stratgie de tests : les tests des remontes de sauvegarde sont dterminants pour accrotre lassurance du bon fonctionnement en cas de
dclenchement du plan de continuit dactivit. Ils devraient tre
soigneusement planifis par les modalits dfinies dans le dveloppement
de celui-ci et raliss conformment. 1
Tableau 3.1 Trame dune procdure de sauvegarde 1
Paragraphe
Contenu
Finalit
Nature
complte/incrmentale/diffrentielle/journalisation,
physique/logique/applicative/systmes
Contenu
Informations sauvegardes
Responsabilits
Frquence
Dure de conservation
Nombre de gnrations
Outils
Indicateurs
Localisation
Conditions de stockage
Modalits de transfert
Modalits test
Contraintes de
restauration
Contraintes spcifiques
1. Pour plus de prcisions sur les termes utiliss, on se reportera au paragraphe 5.1, Sauvegarde,
restauration et disponibilits des donnes.
65
Assurer
conduite du
changement,
dploiement du
PCA et maintien
en conditions
oprationnelles
Mieux
connatre
son activit
Piloter le
MCA
Dvelopper
le Plan de
Continuit
dOprations
Orienter la
stratgie de
continuit
Mettre en
place le plan
de secours
informatique
6.A
6.B
6.B
1.A
1.E
1.B
2.A
2.B
2.C
3.A
3.B
3.C
1.D
1.C
5.A
5.B
4.A
4.B
5.C
4.D
4.C
5.D
5.B
67
3.2
Cette premire phase correspond une phase de spcifications fonctionnelles qui dlimitera le contour des
solutions de continuit dactivit possibles (organisationnelles et techniques). ce titre, cest au cours de
cette phase que les erreurs daiguillage se traduiront
dans les phases ultrieures par les carts les plus importants.
Objectif
Lobjectif du diagnostic de prvention est de :
Identifier les vulnrabilits ;
Dfinir un plan dactions en rduction des vulnrabilits pour fiabiliser et
scuriser au maximum lentreprise.
Dmarche
Audits
Inspections
Outils et mthodes
Toutes les mthodes et rfrentiels daudit visant scuriser et protger son
patrimoine, ses actifs et son activit.
En particulier :
Scurit SI : ISO 17799, MEHARI, EBIOS ;
Scurit et sant au travail : ISRS, OHSAS 18001, rglementation sur la
scurit industrielle (protection incendie, lectricit, appareil de levage,
atmosphres explosives, etc.) ;
Sret industrielle : analyse de risques (HAZOP, HACCP, AMDEC,
etc.), tudes de danger, etc.
Environnement : rglementation (ICPE1, Seveso, ISO 14001, etc.) ;
IT Gouvernance et contrle interne : CobiT, CobiT for Sox, ITIL.
Par ailleurs, la mise en place de mesures visant prvenir ou minimiser les
sinistres majeurs va dans le sens de la prvention dont il est ici question :
Installation dun systme GTC/GTB2 permettant la supervision des installations techniques, des principaux circuits de fluide (lectricit, climatisation,
chauffage, gaz, eau sanitaire, etc.) ;
Mise en place dun secours de lalimentation lectrique par onduleurs et
groupes lectrognes (rgulirement tests et rapprovisionns) ;
Mise en place de systmes de climatisation pour rguler la temprature des
salles machines ;
Installation de systmes de vidosurveillance et de dtection dintrusion
physique ;
Mesures de gardiennage de sites ;
Systme de dtection et dextinction dincendie ;
Systme de dtection et dalerte dgts des eaux ;
Stockage prventif de bches plastiques pour protger du matriel sensible
en cas de dgts des eaux ;
Stockage prventif de conteneurs tanches et/ou rsistants la chaleur
pour prserver les dossiers non lectroniques ;
Mise en place dune stratgie adquate de sauvegarde ;
Observatoire des mouvements sociaux internes et externes, etc.
69
Donnes de sorties
Vulnrabilits identifies ;
Actions en rduction mener.
Livrables
Rapports daudit ;
Plan prioris dactions de prvention.
Astuces et conseils
Cest en gnral le SI que lon cherche scuriser au maximum dans ce diagnostic
de prvention. En consquence, on cherchera surtout raliser un tat des lieux
de la scurisation du SI (audit gnraliste de scurit SI).
Si parmi les donnes dentre, on dispose dun diagnostic Scurit et sant ou
dune tude de danger, on sen servira mais ces donnes ne feront en gnral pas
lobjet dun investissement particulier sinon.
Objectif
Lobjectif de la cartographie des sinistres est de retenir les scnarios de sinistres
contre lesquels lentreprise cherchera se prmunir au travers de son PCA.
Dmarche
Identifier les menaces qui psent sur lactivit de lentreprise et qui pourraient causer une discontinuit de lactivit ;
valuer pour chaque menace la probabilit doccurrence et limpact
potentiel de la menace ;
Outils et mthodes
Typologie de risques et sinistres : on trouvera dans la littrature plusieurs
typologies exhaustives de risques grce auxquelles la cartographie des sinistres
pourra se construire. On citera pour illustration lune des plus compltes qui
se trouve dans la mthodologie danalyse des risques EBIOS1.
Grille dvaluation des impacts des sinistres : cette grille est spcifique
chaque entreprise mais peut tre construite partir des modles classiques.
Il est impratif de ladapter aux enjeux de lentreprise (en particulier pour
les seuils financiers qui ltablissent).
chelle dvaluation des sinistres : les risques sont valus selon le couple
[probabilit, impact] qui les caractrise. Si la probabilit est souvent issue
de statistiques externes ou internes lentreprise (donnes mtorologiques, donnes constructeur), le calcul de limpact est, quant lui, entirement driv de la grille dvaluation des risques prdfinie. On procde
en gnral en valuant chaque lment du couple [probabilit, impact] sur
une chelle ayant un nombre pair dchelon (pour viter laccumulation
de cotations sur lchelon mdian). Lchelle de 1 4 est souvent retenue.
Elle ne suppose cependant pas quun risque dimpact potentiel 2 a un
impact potentiel deux fois plus grand quun risque de niveau 1. Le passage
de chaque chelon est plutt le passage dun ordre de grandeur (ou dun
zro). Il sagit en fait plutt dune chelle logarithmique (1, 10, 100).
Sil est difficile de distinguer deux risques dont les impacts potentiels
peuvent tre doubles lun de lautre, il est en revanche relativement ais
de chiffrer un ordre de grandeur ( un zro prs ).
La svrit (ou criticit) dun risque est value comme tant le produit
de sa probabilit doccurrence par son impact potentiel. Plus ce produit
sera lev, plus le risque ncessitera des mesures de rduction.
La cotation de chaque risque se fera, dans un premier temps, dans labsolu,
cest--dire sans tenir compte des mesures de rduction des risques dj en
place pour le matriser. Dans un deuxime temps, on rvaluera les cotations
en prenant en considration ces mesures pour aboutir une cotation relle.
Par ailleurs, les techniques suivantes pourront tre utilises dans la collecte
dinformation et la validation des rsultats :
Interviews orientes ;
1. Voir annexe C, le paragraphe C.2, La scurit des SI/EBIOS.
71
Sminaire ;
Validation des conclusions de la cartographie et prsentation des rsultats.
Astuces et conseils
La validation des scnarios de sinistres au plus haut niveau est fondamentale dans
la mesure o elle conditionne toute la dmarche. Le cas chant, si le PCA venait
ne pas permettre la continuit dactivit en cas de sinistre, il conviendra bien de
dterminer si lchec est li une mauvaise mise en uvre de la politique MCA ou
des hypothses cartes lors de cette tape de cartographie des sinistres.
La cartographie des sinistres devra tre mise jour chaque changement important de lentreprise (nouveau site, modifications de linfrastructure existante).
La ralisation de la cartographie des sinistres est une tape dans laquelle il
faudra tre prudent pour ne pas engager trop de dpenses : il sagit vraiment de
dgager quelques macro-scnarios en vue de prciser le BIA et non de caractriser
finement tous les types de sinistres.
Il faut se rappeler quune tape danalyse des risques et des vulnrabilits suit
ltape de BIA.
La bonne dmarche est donc :
1. Une cartographie sommaire des sinistres pour orienter le BIA ;
2. Un BIA orient par les scnarios retenus et orientant lanalyse plus
fine des risques de ltape qui le suit ;
3. Une analyse plus dtaille des risques oriente par le BIA qui braque le
projecteur sur les processus et activits qui comptent .
Objectif
En fonction des scnarios de sinistres retenus, lobjectif du BIA est de :
Identifier les activits critiques de lentreprise, les classer ;
Valider les objectifs de secours (reprise ou continuit) pour chaque activit ;
Identifier les ressources cls lies aux activits critiques afin de dterminer
les modes dgrads de fonctionnement ;
Identifier les points de dfaillance2 uniques et les dpendances ;
valuer les impacts dinterruption de lactivit.
Dmarche
Identification des processus et/ou activits de lentreprise analyser ;
Identification des interlocuteurs mme danalyser globalement limpact
dun sinistre sur un processus : pilote de processus par exemple ;
Identification des ressources cls en fonction du temps dinterruption
dactivit (en gnral, plus linterruption prvue est longue, plus il faudra
de personnel pour lactivit en mode dgrad) ;
Identification des temps critiques du MCA : Recovery Point Objective
(RPO), Recovery Time Objective (RTO)3 ;
Interviews orientes + questionnaires ;
Sminaire ;
Validation des conclusions du BIA et prsentation des rsultats.
1. Reprise dactivit : noubliez pas le backup Thierry Jacquot, 01 Informatique, 30 juin 2005.
2. lment dun systme qui, sil est dfaillant, met en chec toute la chane. Concept issu de la
sret de fonctionnement.
3. Ou, respectivement degr de fracheur de donnes (quantit, exprime en temps, de donnes
quon accepte de perdre) et dlai de reprise (temps maximal admissible de reprise).
73
Outils et mthodes
Grille de critres BIA ;
Questionnaire BIA ;
Matrice BIA.
Donnes de sorties
RTO ;
RPO ;
Ressources cls (RH, infrastructure et locaux, SI, donnes et informations,
fournisseurs) ;
Impacts des sinistres sur lactivit ;
Points de dfaillance uniques et dpendances ;
Contraintes (rglementaires ou commerciales).
Livrables
Matrice BIA.
Astuces et conseils
Le besoin de crdibilit auprs des managers interrogs voudrait que lon opre
en une seule passe. Par ailleurs, pour assurer la cohrence des rsultats entre
eux, il est souvent ncessaire dhomogniser les rsultats du BIA, en sminaire par exemple, o tous les rsultats sont exposs et compars entre eux par
les diffrents acteurs.
Si des mesures de prvention et de matrise des risques sont en place, lvaluation
les prendra en compte.
La validation de la grille de critres par un directeur financier crdibilise la
mthode. Quand un effet de saisonnalit influence lanalyse de limpact, il est
prfrable de considrer les conditions les plus dfavorables pour raliser le BIA.
Raliser un BIA sans un mandat clair et connu de tous serait suicidaire pour
la dmarche. Ce mandat doit venir du sponsor du projet PCA.
1. Daprs Michael D. Porter, professeur de stratgie la Harvard Business School.
75
Objectif
Lobjectif de lAR est de dfinir des plans de rduction des risques pour les
processus, activits et ressources identifis comme critiques lors du BIA.
Dmarche
Identifier les risques qui psent sur lactivit, les processus et les ressources
critiques de lentreprise tels quils sont ressortis du BIA.
valuer pour chaque risque la probabilit doccurrence et limpact potentiel.
Dfinir la stratgie de gestion des risques pour chaque risque caractris.
Dfinir les plans de rduction des risques.
La svrit (ou criticit) dun risque est value comme tant le produit
de sa probabilit doccurrence par son impact potentiel. Plus ce produit
sera lev, plus le risque ncessitera des mesures de rduction.
La cotation de chaque risque se fera, dans un premier temps, dans labsolu,
cest--dire sans tenir compte des mesures de rduction des risques dj en
place pour le matriser. Dans un deuxime temps, on rvaluera les cotations
en prenant en considration ces mesures pour aboutir une cotation relle.
On pourra dans un troisime temps, tenir compte des mesures prventives
prconises dans ltape 1 et en cours de dploiement pour obtenir une
cotation au plus proche de la ralit.
Lutilisation des techniques et mthodes exposes permet ltablissement des
cartographies des risques par processus, activits et/ou ressource critique, tels
quidentifis dans le BIA.
Les stratgies de gestion des risques correspondantes seront alors choisies
parmi les possibilits suivantes :
Transfrer le risque : recours aux assurances en particulier ;
Accepter le risque : en gnral quand sa probabilit doccurrence et son
impact potentiel sont faibles ;
Rduire le risque : au moyen de la mise en place de plans de rduction des
risques ;
viter le risque : en adoptant une stratgie de contournement ou dvitement
(en supprimant par exemple la cause du risque).
Par ailleurs, les techniques et mthodes classiques danalyse des risques pourront
tre utilises : AMDEC, HAZOP, HACCP, arbres des causes, arbres des dfaillances,
etc.
Donnes de sorties
Cartographie des risques par processus, activits et/ou ressource critique, tels
quidentifis dans le BIA.
77
Livrables
Plans de rduction des risques par processus, activits et/ou ressource critique.
Astuces et conseils
LAR doit tre mise jour chaque changement important de lentreprise
(nouveau site, modifications de linfrastructure existante, changement du primtre dutilisation du SI).
La mise en uvre dune analyse des risques doit se faire au bon niveau de
dtails, celui o les moyens mis en uvre pour la raliser sont en adquation
avec les risques encourus.
Donnes de sorties
Sinistres et risques non couverts par les contrats dassurances ;
Risques couverts mais franchise suprieure aux impacts.
Livrables
Matrice de couverture des polices dassurances.
3.3
Orienter la stratgie de continuit dactivit, cest prdfinir les mthodes et moyens alternatifs qui permettront lentreprise de continuer son activit en cas de
sinistre majeur.
Dmarche
Analyse des scnarios possibles de gestion globale de la continuit dactivit ;
Alignement des scnarios sur la stratgie de lentreprise (mission, objectifs, volutions attendues, cibles commerciales, risques, axes de dveloppement privilgis) ;
Analyse comparative et prconisations sur les scnarios retenus ;
Choix de la stratgie globale de gestion de la continuit dactivit.
Outils et mthodes
Analyse prospective financire (calcul des ratios cots/gains, calcul des
ROI des scnarios envisags, etc.) ;
Analyse comparative des stratgies envisages (avantages/inconvnients,
SWOT1, analyse dcarts, mise en place de critres de comparaison, etc.) ;
Diagnostic dexpert (pr-diagnostic sur la solution de secours du SI, proposition dune organisation industrielle dgrade en cas de crise, analyse des
stratgies possibles de communication, bilan sur les solutions possibles
dorganisation de crise, diagnostic de conformit rglementaire, etc.) ;
Normes et standards reconnus (PAS 56, GPG du BCI, etc.) ;
lments daide la dcision des chapitres 4 et 5 du livre.
1. SWOT : Strength, Weaknesses, Opportunities, Threats.
79
Donnes de sorties
Scnarios de gestion globale de la continuit dactivit et prconisations.
Livrables
Stratgie globale de gestion de la continuit dactivit. Par exemple, celle-ci
pourra prciser les grands choix en matire de :
Politique dapprovisionnement dgrad ;
Stratgie dutilisation des moyens partags dans un groupe (accords de
rciprocit pour la continuit dactivit) ;
Stratgie de gestion des ressources humaines en cas de crise ;
Choix, prconisations et exclusions en matire de secours des ressources
informatiques, etc.
Astuces et conseils
Dans un grand groupe, la stratgie globale de continuit dfinit le cadre dans
lequel devront venir sinscrire les stratgies locales de continuit. Dans ce cadre,
on prcisera les principales prconisations et les exclusions qui seront ensuite
appliques localement.
Dmarche
Dfinition du contour choisie : identification des processus et ressources
critiques ;
Donnes de sorties
Scnarios de gestion locale de la continuit dactivit et prconisations.
Livrables
Stratgie locale de gestion de la continuit dactivit. Par exemple, celle-ci
pourra prciser les grands choix en matire de :
Stratgie de secours du SI1 ;
1. Voir en particulier ce sujet ltape 2.C : Choix de la solution technique de secours (SI).
81
Astuces et conseils
Dans certains cas (pour un bon nombre de PME/PMI par exemple), les notions
de stratgie locale et globale pourront tre quasiment confondues et seront traites
dans une seule et mme tape.
Dmarche
Synthtiser le besoin fonctionnel de secours technique en rassemblant les
principales conclusions de la phase 1 ;
Spcifier des solutions techniques rpondant au cahier des charges fonctionnelles issues de la phase 1 (nombre de solutions caractriser dfinir
en fonction de lampleur de la solution, des contraintes, de lexprience de
lentreprise dans la mise en uvre de solutions de secours, etc.) ;
Comparer les diffrentes solutions ;
Effectuer des prconisations motives lattention des dcideurs ;
Choisir une solution technique de secours.
Outils et mthodes
Les chapitres 4 et 5 de cet ouvrage proposent des lments concrets de
caractrisation des solutions et daide la dcision ;
Cahier des charges fonctionnelles simplifi ;
Cahier des charges techniques ;
Pr-consultation de fournisseurs afin daffiner le cahier des charges ;
Consultation de fournisseurs de solutions ;
Rglementation des marchs publics (si le projet se droule dans le secteur
public) ;
Donnes de sorties
Cahier des charges fonctionnelles simplifi pour la solution de secours ;
Cahier des charges techniques des solutions de secours ;
Rponses la consultation (par les fournisseurs de solutions) ;
Analyse des solutions caractrises et prconisations.
Livrables
Rapport danalyse des solutions caractrises et prconisations.
Astuces et conseils
Jai trouv que la meilleure aide la dcision pour prciser le contour technique
des solutions techniques envisages est constitue par les Fiches guides danalyse
des risques situes en annexe de louvrage du Clusif : Plan de continuit dactivit
Stratgie et solutions de secours du SI (pp. 42 54). Ces fiches spcifient, pour un
panel de menaces typiques, et par composant du SI, les meilleures parades
considrer.
Avec une solution caractrise fonctionnellement, les fiches guides permettent
dorienter intelligemment le choix de la solution technique.
Par ailleurs, on se souviendra quil ny a de choix que si plusieurs solutions
sont tudies, compares et que des prconisations sont formules. Ces prconisations seront labores en fonction des contraintes et des enjeux rvls en
phase 1, sachant quaucune solution nest idale sur tous les tableaux (cot,
RTO/RPO, maintenabilit, fiabilit, couverture de sinistres, etc.)
3.4
83
Mme si ce type de projet est ralis depuis longtemps dans les entreprises
franaises, on ninsistera jamais assez sur le fait que cette phase comporte bien
trois tapes et ne se limite pas la premire tape (mise en place de linfrastructure
technique).
Ltape qui vise dfinir les processus organisationnels autour de la solution
technique (tape B) est dterminante : quand elle est occulte ou survole, lefficacit du plan de secours en cas dactivation est fondamentalement diminue,
voire inexistante.
Ltape de test de la solution technique, quant elle, est seule garante du
caractre oprationnel de la solution de secours.
Dmarche
La dmarche correspond une dmarche classique dans un projet dinfrastructure SI, largement amorce dans les phases 1 (recueil des besoins et cahier des
charges fonctionnelles et techniques sommaires) et 2 (spcifications fonctionnelles et techniques dtailles, choix de la solution).
Outils et mthodes
Outils classiques de gestion de projet :
Outils de planification (MS Project, PSN7, etc.) ;
Outils de suivi de lactivit et de reporting ;
Donnes de sorties
En particulier :
Cahier des charges techniques dtailles ;
Plan projet ;
Planning de projet ;
Cartographie des risques projet ;
Plan de rduction des risques projet ;
Autres livrables de la mthodologie retenue ;
Rapports intermdiaires de suivi ;
Procdures techniques du plan de secours informatique :
Stratgie de sauvegarde ;
Procdure de bascule des plateformes ;
1. On pourra sappuyer, ce sujet, sur la norme ISO 9126 qui propose un modle de la qualit du
logiciel en six caractristiques (capacit fonctionnelle, fiabilit, rendement, facilit dutilisation,
maintenabilit et portabilit).
2. PR2IHSM : Programme de rduction des risques par lidentification, la hirarchisation, le suivi
et la matrise (cf. Index).
3. Project Management Institute.
85
Livrables
Solution technique de secours en opration (y compris les procdures
techniques du plan de secours).
Astuces et conseils
Cest la seule partie de la mise en uvre dun PCA qui, dans la plupart des cas,
ncessitera le recours des fournisseurs.
La mise en uvre de linfrastructure de secours est un projet part entire et
il doit tre trait comme tel. Plus le projet est important (cots, charges, etc.),
plus la mthodologie, les instances de dcision, les jalons, les livrables et les
critres de test seront soigns.
Astuces et conseils
Si le travail effectu dans cette tape est en grande partie ralise chronologiquement avant ltape 3.C de recette de la solution technique de secours, il
faut noter que la ralisation des tests grandeur nature de ltape 3.C permet, en
gnral, de complter notablement les procdures organisationnelles (niveau de
dtails, ordonnancement en situation relle, etc.).
Par ailleurs, lorganisation de crise du plan de secours informatique devra tre
en parfaite cohrence avec lorganisation de crise gnrale qui sera spcifie dans
le PCA (tape 4.A).
Dmarche
Dfinir le primtre, ltendue et les objectifs du test.
Assurer la mise en place des conditions de test (budget, ressources, scnarios, impacts sur le SI en production).
Raliser le test.
Consigner les rsultats et observations.
Rdiger le rapport de test.
Prsenter les principales conclusions aux parties intresses.
Assurer la mise en uvre des actions correctives issues des constats.
87
Outils et mthodes
Risk-based testing1 (80 % de leffort de test sur les 20 % dlments qui sont
les plus critiques, qualifis selon le couple [impact, probabilit]) ;
Implication des utilisateurs pour la validation des applications secourues.
Donnes de sorties
Scnarios de tests renseigns ;
Plan de tests hirarchis ;
Observations et consignations des rsultats de tests.
Livrables
Rapport de tests du plan de secours informatique : cadre, enjeux et limites ;
carts constats ; risques et recommandations associs ; plan dactions de
scurisation de la solution technique de secours.
Astuces et conseils
Lapproche par les risques (risk-based testing) prend ici tout son sens et permet de
gagner un temps prcieux. Cette approche sappuie sur un constat gnralis :
20 % des tests peuvent permettre de couvrir 80 % des zones risque de la solution
technique de secours.
Par ailleurs, le test de la solution technique est rellement une validation
de la solution. Il ne constitue pas une opportunit pour raliser des exercices de
continuit dactivit. Cela est plutt rserv ltape 5.C.
On ne ngligera pas laspect organisationnel du secours dans la mise en uvre
du test de la solution. Les scnarios de test seront dfinis en consquence. La
mise en place dobservateurs lors de la ralisation des tests fournit en gnral des
conclusions trs pertinentes sur les lacunes organisationnelles.
Enfin, la ralisation de tests sur la solution technique sera conue pour
impacter le moins possible le SI de production.
1. Voir ce sujet lannexe C, le paragraphe C.3, Le management des risques.
3.5
89
On prendra soin de dfinir avec soin le QG1 de crise dans ses composantes
matrielles afin den assurer la disponibilit et le caractre oprationnel en cas
de crise. Par exemple, des moyens de communication de secours, des copies de la
documentation lie la gestion de la continuit, des moyens bureautiques et
logistiques, etc. seront prvus.
Donnes de sorties
Schma dorganisation de crise ;
Rles et responsabilits des acteurs de lorganisation de crise ;
Dfinition et mise en uvre de moyens matriels pour assurer la gestion de
crise par lorganisation de crise.
Livrables
Chapitre organisation de crise du PCO.
Astuces et conseils
Sil est gnralement convenu quil est utile dintgrer lorganisation de crise
un reprsentant de chaque acteur majeur de la gestion de crise, il est galement
reconnu quau-del de cinq six intervenants, la ractivit de linstance de
crise est remise en question.
Par ailleurs, la formation des acteurs de lorganisation de crise sera un vecteur
dterminant de propagation de la culture MCA et un prrequis incontournable
au succs du PCA.
Lorganisation et la gestion de crise viseront contrer, notamment, les
pathologies les plus graves qui vont de pair avec les nouvelles formes de crise : le
blocage de la rflexion 2.
Dmarche
Il sagit essentiellement de dfinir les tches et leur enchanement logique, depuis
loccurrence dun sinistre jusqu la dcision de dclencher ou non le PCA. Sont
galement dfinis dans cette tape quelques outils daide la dcision.
Les jalons de la dmarche peuvent tre :
Dfinir le mode de remonte dalerte ;
Dfinir les acteurs du processus danalyse et de dcision, leurs rles et
responsabilits ;
Dfinir les critres dvaluation des sinistres ;
Dfinir les tapes, les responsabilits et autorits du processus de dcision
dactivation du PCA ;
Prdfinir les modes de communication et dinteraction avec les services
publics de crise ;
Dfinir les actions de communication interne et externe au voisinage
immdiat de la crise ;
tablir, valider et communiquer le schma de dclenchement du PCA.
Outils et mthodes
Logigramme ;
Diagramme denchanement des tches ;
Arbres de dcision ;
Arbre dalerte (call tree) ;
Annuaire interne et externe (pour les autorits civiles) ;
Check-list dalerte et activation du PCA ;
Note dorganisation.
Donnes de sorties
Logigramme dalerte et dactivation du PCA ;
Rles et responsabilits ;
Critres denchanement des tapes du logigramme.
91
Livrables
Chapitre Alerte et activation du PCA du PCO.
Astuces et conseils
L encore, le niveau de dtails auquel on parvient doit tre adapt au contexte. On
cherchera constamment trouver le bon point dquilibre entre un logigramme
complexe qui aborde les dtails, par type de sinistre, du dclenchement du PCA et
un schma de dclenchement succinct qui napporte que peu daide la dcision.
Il me semble quil ne devrait exister quun logigramme dactivation du PCA
quel que soit le sinistre envisag et que les critres dexamen de la gravit dun
sinistre devraient tre prtablis et formaliss.
Dmarche
Dfinition des tches gnriques de gestion de crise effectuer ;
Rpartition des tches sur les acteurs de lorganisation de crise ;
Dfinition des critres, conditions et responsabilits pour assurer le retour
la normale ;
Rdaction et validation des check-lists de gestion de crise (y compris le
retour la normale).
Outils et mthodes
Sminaire de travail ;
Modle de check-lists de gestion de crise.
Donnes de sorties
Check-lists de gestion de crise ;
Check-lists de sortie de crise (retour la normale).
Livrables
Chapitre gestion de crise du PCO.
Astuces et conseils
Le chapitre gestion de crise doit tre concis et se concentrer sur les informations essentielles utiles une gestion de crise. Il faut se rappeler que la pression
ressentie par les acteurs de la gestion dune crise majeure est telle quelle justifie
la systmatisation et la prdtermination de certaines actions.
La mise en place dun plan de gestion de crise spar du reste du PCA est
souvent recommande. On se souviendra quune des grandes leons des attentats
du 11 septembre 2001 concernait un niveau de dtails trop important et une
complexit excessive dans les plans de continuit des entreprises touches 1.
On gardera galement lesprit qu il y a une clef que lon voit dans toutes
les crises. La premire chose que les crises annihilent instantanment chez les
gens qui ne sont pas suffisamment prpars lexceptionnel [], cest la capacit
prendre distance et se poser des questions .2
Les check-lists de gestion de crise seront rparties par acteur (ou quipe) de
lorganisation de crise.
Le recours des annexes, pour toutes les informations non directement essentielles la gestion immdiate de la crise, sera systmatique (exemples : lments
issus du BIA, coordonnes et contacts, donnes de rfrence sur les sites, etc.).
Dans certains cas, le retour la normale permet de revenir une situation identique celle prcdant le sinistre (lorsque les dommages subis sont temporaires,
notamment). Dans une majorit de cas (plus particulirement, lorsque les dommages subis sont irrversibles et dfinitifs, lors dun incendie par exemple), le retour
la normale ncessite des travaux, voire une relocalisation permanente. En gnral,
le retour la normale ne pourra tre dcrt quaprs le test des nouvelles dispositions (comprenant parfois une analyse des risques rsiduels).
93
Dmarche
Mise en uvre de la stratgie locale de continuit dactivit pour les
processus critiques ;
Dfinition des modes dgrads de ralisation de lactivit ;
Rdaction et validation des procdures fonctionnelles dgrades.
Outils et mthodes
Chapitre 4 et 5 du livre pour les stratgies de secours des ressources et
processus.
Astuces et conseils
Si, dans certains cas, les procdures fonctionnelles dgrades seront intgres au
PCO, elles en seront la plupart du temps distinctes.
On trouvera en gnral une procdure dgrade pour tous les processus critiques
identifis lors du BIA.
Inventaires des ressources critiques (avec les informations qui peuvent tre
utiles au remplacement, comme la configuration, le type, lanne de fabrication, les technologies, etc.) ;
Informations sur les sauvegardes de donnes (rfrence, localisation, nature,
etc.) ;
Rfrences des procdures oprationnelles pertinentes ;
Matrice dvaluation des dgts et des impacts ;
Premires consignes de scurit et procdures durgence ;
Fiches signaltiques des sites concerns par le PCA.
3.6
95
Objectif
Cette tape vise assurer le transfert dinformations, de connaissances et de
comptences en lien avec le management de la continuit dactivit.
Dmarche
Conception du programme de sensibilisation et formation :
Dfinir le primtre, les objectifs et les enjeux de la sensibilisation et de
la formation (en lien avec la politique de management de la continuit
dactivit) ;
Dfinir les moyens ncessaires latteinte des objectifs de sensibilisation
et formation ;
Dfinir les cibles (audiences) et les modalits (frquence, supports, formats,
dures, etc.) du programme de sensibilisation et formation ;
Dfinir les contenus des actions de sensibilisation et formation ;
valuer lefficacit des actions de sensibilisation et formation ;
Amliorer le programme de sensibilisation et de formation.
Conception des supports et vecteurs de sensibilisation et formation :
Dfinir le contenu dtaill des actions de sensibilisation et formation ;
Dfinir les supports, mthodes et vecteurs mme dassurer le plus efficacement latteinte des objectifs de sensibilisation et formation ;
Dfinir les actions de suivi pour assurer lappropriation des informations,
connaissances et comptences.
Mise en uvre du programme de sensibilisation et formation ;
Conception et mise en uvre dun plan de communication interne et externe
lentreprise.
Outils et mthodes
Sensibilisation :
Diffusion dinformations sur les sujets MCA (mls, newsletter, Intranet,
etc.) ;
Livres blancs ;
Participation des tests du PCA ;
Sessions de sensibilisation sur supports e-learning ;
Sessions de sensibilisation en classes ;
Participation des groupes de rflexion sur le MCA ;
Mise en uvre dune campagne de communication interne, etc.
Formation :
Autoformation sur Internet ;
Veille technique sur le sujet MCA ;
Formations en classes, internes ;
Formations externes ;
Formations universitaires ;
Cursus de certifications professionnelles (BCI, DRII) ;
Formations distance ;
Participation des tests du PCA, etc.
Communication :
Campagne daffichage interne ;
Publication dune newsletter MCA ;
Encouragement la participation des salaris aux rflexions MCA
(cercle MCA, recueil dides) ;
Publication darticles dans la presse ;
Mise jour des documents marketing et commerciaux pour y inclure la
dmarche MCA, etc.
Donnes de sorties
Programme de sensibilisation et de formation ;
Actions de sensibilisation ;
Actions de formation ;
Meilleur niveau dinformation, de connaissances et de comptences sur le
sujet MCA ;
Plan et actions de communication.
Livrables
Supports de sensibilisation et de formation ;
Supports de communication.
97
Astuces et conseils
La mise en uvre de la sensibilisation et de la formation se fera imprativement
dans le cadre dun programme de sensibilisation et formation. Ce programme
dfinira des objectifs, des moyens et des contrles.
Les actions de formation et de sensibilisation seront avantageusement menes
en collaborant avec les services formation des dpartements ressources humaines
(plan formation, DIF1, etc.).
Les actions de communication seront proportionnes aux besoins en la matire.
Dmarche
Dans un premier temps, on dfinit les modalits de maintenance (qui peuvent
tre formalises comme un plan de maintien en conditions oprationnelles
part entire) :
Responsabilits en matire de maintenance du PCA ;
Frquence ;
Primtre et tendue ;
Nature du cycle ddition, de rvision et de validation ;
vnements dclencheurs exceptionnels : changement structurel de
lentreprise (fusion, acquisition, nouveau partenariat stratgique, etc.),
changement technologique majeur, etc.
Dans un second temps, on assure la mise en uvre du plan dfini.
Outils et mthodes
En gnral, les rvisions et oprations de maintenance prendront en compte les
changements qui concernent :
Lorganisation de lentreprise (personnel, infrastructure et gographie,
fusion/acquisition, nouveaux marchs, etc.) ;
1. Droit individuel la formation.
Donnes de sorties
Plan de maintien en conditions oprationnelles (intgr au document PCO
ou distinct) ;
Systme documentaire du PCA jour.
Livrables
PCA jour et correspondant la situation courante de lentreprise.
Astuces et conseils
Si les rvisions et oprations de maintenance concernent au premier chef la
documentation, il serait dangereux doublier les impacts organisationnels et
techniques sur le PCA.
La charge de maintenance nest pas sous-estimer puisquelle conditionne le
caractre oprationnel du PCA.
99
Dmarche
Dfinir la stratgie de test du PCA :
Primtre ;
Acteurs ;
Nature et ordonnancement des tests ;
Dfinition des scnarios et hypothses de test ;
Programme rcurrent de droulement ;
Modalits, etc.
Dfinir et mettre en uvre le plan dactions de la stratgie ;
Raliser les tests ;
Rdiger un rapport de tests ;
Analyser les rsultats des tests et proposer des actions de correction et
damlioration.
Outils et mthodes
Risk-based testing (80 % de leffort de test sur les 20 % dlments qui
sont les plus svres : impact + probabilit)
Exercices pratiques : cest le plus simple et le moins coteux mettre en
uvre. Les participants aux sessions sont choisis parmi les acteurs impliqus dans la gestion de la continuit dactivit. Ils doivent drouler les
procdures de continuit dactivit en raction un cas fictif de sinistre qui
leur est propos. Ils ne ralisent dans la ralit aucune opration grandeur
nature. Il sagit dune rvision collective des mesures prconises, des actions
mettre en uvre et un partage dexprience.
Tests techniques du PCA : il sagit cette fois de valider par des tests les
composants techniques du PCA (solution de secours informatique, solution
de reprise de la production, etc.)
Donnes de sorties
Stratgie de test du PCA ;
Programme annuel de test du PCA ;
Scnarios, cas, situations tester.
Livrables
Rapport de tests du PCA (constats, observations, carts, opportunits
damlioration, priorisation, plan dactions, etc.)
PCA valid par lexprience ;
Comptences en MCA accrues pour les acteurs du PCA.
Astuces et conseils
Comme pour le test de la solution technique, on planifiera les tests du PCA de
faon que leur impact sur lactivit de lentreprise soit quasi nul.
Le panachage des types de tests permet den optimiser lutilisation. Certains
sont en effet plus probants mais aussi plus coteux que dautres. Un test grandeur
nature aura ainsi un impact fort sur la production et cotera trs cher. Sa prparation sera trs longue. Mais il constituera la meilleure preuve de lefficacit du
PCA sil est probant.
En revanche un exercice pratique sur table pourra tre organis frquemment, et sera simple mettre en uvre et peu coteux. Il constituera un excellent moyen de raliser une partie de la sensibilisation et de la formation en
raison de sa frquence leve. Mais il napportera que de faibles garanties quant
au caractre oprationnel de lensemble du PCA.
101
Dmarche
laboration dun programme annuel daudit du PCA ;
Ralisation daudits (prparation du plan daudit, ralisation de laudit,
restitution orale des rsultats, conclusions et rdaction du rapport daudit) ;
Suivi du plan dactions damlioration en rsultant.
Outils et mthodes
Les principaux outils restent :
Le systme de management de la continuit dactivit de lentreprise et,
en premier lieu son PCA ;
Les normes et rfrentiels dvaluation du management de la continuit
dactivit et, en particulier :
La norme PAS 56 ;
Les Generally Accepted Practices for Business Continuity Practitioners
(dveloppes conjointement par le DRII et le DRJ) ;
Le Business Continuity Maturity Model ;
La mthodologie E=MCA.
Le rfrentiel propritaire daudit ou de contrle de lentreprise ;
Les mthodologies et principes classiques daudit : chantillonnage, piste
daudit, observation, programme daudit, rapport daudit, preuves, qualification et indpendance des auditeurs, etc.
Donnes de sorties
Points forts et points damlioration ;
carts entre les pratiques et le rfrentiel (cart documentaire, cart
dapplication, non-conformit majeure ou mineure, etc.) ;
Prconisations.
Livrables
Rapport daudit (constats, carts, opportunits damlioration, priorisation,
plan dactions, etc.)
Acteurs
Les auditeurs internes qualifis ;
Les ventuels auditeurs externes.
Astuces et conseils
Parmi les entreprises britanniques qui ont un PCA (ou sont en cours de dploiement), 21 % effectuent leur audit par rapport au rfrentiel PAS 56 et 13 % par
rapport aux Guides de bonnes pratiques du BCI1.
La mise en place centralise dun plan daction MCA regroupant toutes les
actions en rduction des carts permet un suivi efficace de lamlioration du MCA.
3.7
103
Dmarche
Mise en uvre dune dmarche classique mais efficace de gestion de projet.
Outils et mthodes
Outils classiques de gestion de projet :
Outils de planification (MS Project, PSN7, etc.) ;
Outils de suivi de lactivit et de reporting ;
Plan projet (ou plan qualit projet) ;
Rapport de suivi du statut du projet (tableau de bord projet).
Mthodologie et outils de management des risques projet (de type
PR2IHSM1) : cartographie priorise et vivante des risques projet, plan de
rduction des risques projet ;
Mthodologie de gestion de projet de type PMI2 adapte au contexte et
la taille du projet ;
Organisation de projet (instances de dcision, dexcution, de reporting ;
rles et responsabilits, etc.).
Donnes de sorties
Plan projet ;
Planning de projet ;
Cartographie des risques projet ;
Plan de rduction des risques projet ;
Autres livrables de la mthodologie retenue ;
Rapports intermdiaires de suivi, etc.
Livrables
Projet qui atteint ses objectifs (PCA efficace) dans le respect des dlais et
budgets !
1. PR2IHSM : Programme de rduction des risques par lidentification, la hirarchisation, le suivi
et la matrise (cf. Index).
2. Project Management Institute.
Astuces et conseils
Lutilisation de la mthodologie maison de gestion de projet est garante de la
familiarit des intervenants avec les tapes, jalons, livrables et autres lments
de la bonne marche du projet.
Un point de repre : il est gnralement convenu que la gestion de projet
reprsente environ 10 % du budget (en charge) dun projet.
Dmarche
Attribution de la responsabilit globale sur le management de la continuit dactivit un dirigeant de lentreprise ;
Dfinir la politique MCA de lentreprise ;
Dfinir la stratgie de dploiement des mesures MCA ;
Orchestrer la mise en uvre du PCA ;
Grer le budget du management de la continuit dactivit ;
Piloter les fournisseurs et suivre les contrats ;
Prendre en compte les rsultats de test et de contrle du PCA ;
Dfinir et suivre le plan dactions MCA ;
Assurer que la stratgie MCA cadre avec les volutions stratgiques et les
objectifs de lentreprise ;
Assurer la conformit des pratiques aux exigences rglementaires qui
psent sur lentreprise ;
Dcider de la stratgie de communication interne et externe de la dmarche ;
Assurer le reporting pour le droulement du MCA, etc.
Outils et mthodes
Dfinition des objectifs MCA de lentreprise et alignement avec la stratgie
de lentreprise ;
Participation des groupes professionnels sur le sujet ;
Veille technique sur lvolution des pratiques de la profession ;
105
Livrables
Politique de management de la continuit dactivit : dfinition du MCA,
engagement de la direction, principes et objectifs, exigences et cadre de
rfrence (bonnes pratiques, normes, etc.), dsignation dautorit et
responsabilits ;
Programme de management de la continuit dactivit (objectifs, organisation, budget, reporting, stratgie de dploiement, ROI, revue et amlioration, etc.).
Astuces et conseils
En France, il nexiste pas encore un groupement dintrt ddi pour les professionnels du MCA. On trouvera auprs du Clusif (et des Clusir), du Cigref, du
Cercle de la Scurit ou de lADIRA (en rgion lyonnaise), des associations
professionnelles qui abordent le sujet. Ces groupes ne sintressent au MCA que
comme une composante (parmi de nombreuses autres) de leurs centres dintrt.
Le chapitre franais du Business Continuity Institute tait inexistant quand
jai commenc rdiger ce livre. Il est maintenant officiellement organis et
comprend moins dune dizaine de membres.
3.8
Diagnostic
de prvention
Cartographie
et scnarios
de sinistres
Bilan dimpact
sur lactivit
Analyse
des risques
Analyse
de couverture
des assurances
Intitul
de ltape
Contrats dassurances
Cartographie des sinistres
Statistiques de la sinistralit
RTO
RPO
Ressources cls (RH, infrastructure et locaux,
SI, donnes et informations, fournisseurs)
Impacts des sinistres sur lactivit
Points de dfaillance uniques et dpendances
Contraintes (rglementaires ou commerciales)
Vulnrabilits identifies
Actions en rduction mener
lments
de sorties
lments dentre/
Composants
Matrice de couverture
des polices dassurances
Plans de rduction
des risques par processus,
activits et/ou ressource
critique
Matrice BIA
Rapports daudit
Plan prioris dactions
de prvention
Livrables
Stratgie
globale
de continuit
Stratgie
locale
de continuit
Choix
de la solution
technique
de secours
(SI)
Intitul
de ltape
Stratgie locale
de gestion de la
continuit dactivit
Rapport danalyse
des solutions
caractrises
et prconisations
Matrice BIA
Identification des points de dfaillance uniques
(processus et ressources)
Identification des dpendances (processus
et ressources)
Rsultats de lanalyse de risques
Cartographie des processus de lentreprise
Stratgie globale de gestion de la continuit dactivit
Stratgie globale
de gestion de la
continuit dactivit
Livrables
lments
de sorties
lments dentre/
Composants
107
Mise en place
de linfrastructure
technique (SI)
Organisation autour
de la solution technique
(SI)
Test de la solution
technique (SI)
et du plan de secours
informatique
Intitul
de ltape
Livrables
lments
de sorties
lments dentre/
Composants
Organisation
de crise
Alerte
et activation
du PCA
Gestion
de crise
Procdures
fonctionnelles
dgrades
Intitul
de ltape
Chapitre
gestion de crise
du PCO
Chapitre
Alerte et activation
du PCA du PCO
Organisation de crise
Scnarios de sinistres retenus
Chapitre alerte et activation de crise du PCO
Chapitre
organisation
de crise du PCO
Livrables
lments
de sorties
lments dentre/
Composants
109
Sensibilisation,
formation et
communication
Maintien
en conditions
oprationnelles
du PCA
Test du PCA
Contrle
du PCA
Intitul
de ltape
Rapport daudit
Supports de sensibilisation
et de formation
Supports de communication
Livrables
lments
de sorties
lments dentre/
Composants
Tableau 3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA et son maintien en conditions oprationnelles
Pilotage
du projet PCA
Pilotage
du MCA
Intitul
de ltape
lments dentre/
Composants
Livrables
Projet qui atteint ses
objectifs (PCA efficace)
dans le respect des
dlais et budgets
Plan projet
Planning de projet
Cartographie des risques projet
Plan de rduction des risques projet
Autres livrables de la mthodologie retenue
Rapports intermdiaires de suivi
lments
de sorties
111
3.9
113
Les fournisseurs,
Lquipement,
Le march,
La trsorerie.
Ces sept piliers devraient constituer les points focaux de la dmarche de PCA
au sein dune PME/PMI. En particulier, les bonnes questions quune PME/PMI
peut se poser pour la mise en uvre dun PCA dans ce secteur pourraient tre :
Que se passe-t-il en cas de sinistre majeur et dabsence du patron ? Qui est
autoris le remplacer dans ces circonstances ?
quels risques naturels, technologiques et industriels notre lieu de travail
est-il expos ?
Quels sont les personnes cls dans notre organisation ? Comment est prvu
leur remplacement en cas dabsence ? Le personnel est-il suffisamment
entran pour faire face une situation durgence ? Comment est perue la
continuit dactivit ?
Comment avons-nous prvu de pallier une grave dfaillance dun fournisseur
critique ?
Quels sont les points de dfaillance unique dans notre infrastructure et
notre quipement ? Quels sont nos quipements critiques ? Vers qui pouvonsnous nous tourner en cas de dfaillance dun quipement cl ?
Sommes-nous dpendants dun sinistre majeur qui pourrait frapper notre
march ou notre primtre gographique daction ?
Quels peuvent tre nos ressources, nos recours et nos sources de financement
pour faire face au surcot immdiat engendr par une situation sinistre ?
La prise en compte de ces questions en amont dune situation catastrophique
peut faire basculer lavenir dune PME/PMI qui fait face un sinistre majeur. Il
serait dommage de ne pas se les poser.
3.9.4 Le SI infogr
La continuit dactivit des systmes dinformation infogrs prsente les mmes
exigences et contraintes que celle dun systme dinformation gr en interne
lentreprise.
Lexprience montre que la pratique de linfogrance a tendance dresponsabiliser lentreprise qui y a recours. Cest particulirement vrai en ce qui concerne
les responsabilits relatives la scurit et au management de la continuit
dactivit. On se rappellera que :
Si, dans un systme dinformation infogr, lexploitation est sous-traite, les
responsabilits relatives la scurit et la continuit dactivit ne peuvent
certainement pas ltre.
115
4
Panorama des solutions
techniques de secours
4.1
119
Salles rouges (hot sites) : une salle rouge est une salle blanche qui possde
un environnement peupl latent , cest--dire lensemble des quipements informatiques ncessaires au secours, maintenu en tat de marche.
Les donnes et applicatifs ne sont en revanche installs quen cas de dclenchement du plan de secours. En gnral, la salle rouge dispose dun personnel ddi prt mettre en place le secours en permanence (24h/24, 7j/7). Le
cot annuel dune salle rouge devient significatif et peut atteindre plusieurs
pour-cent du budget informatique. Il existe quelques cas particuliers de salles
rouges, classes ici par degr croissant de disponibilit des informations
(pour une description technique des technologies associes, on se rfrera au
paragraphe 5.1, Sauvegarde, restauration et disponibilit des donnes) :
Salle rouge + Sauvegarde distance (Electronic Vaulting)
Salle rouge + Journalisation distante (Remote Journaling)
Salle rouge + rplication asynchrone (Shadowing)
Salles miroir (mirrored sites) : avec les salles miroir, on entre dans le
domaine de la haute disponibilit. Il sagit de salles pleinement redondantes
par rapport la salle secourir. Ainsi, en plus de lquipement informatique
complet, les donnes, systmes et applicatifs sont maintenus en permanence au niveau du SI secourir. Cette image fidle du site nominal (miroir)
comporte des avantages importants (allgement des procdures de sauvegarde d la prsence dun environnement identique distant) et quelques
inconvnients (sensibilit certaine aux sinistres logiques par exemple). Il sagit
de la solution la plus coteuse, la plus fiable et la plus disponible. Le secours
est ddi (il ne participe pas la production) et les moyens de mirroring
peuvent diffrer technologiquement (en gnral rplication synchrone ou
virtualisation). Enfin, dans cette catgorie, deux cas particuliers existent :
Le backup dastreinte propose un secours quasi-temps rel dapplications critiques (systmes flux tendus, systmes de paiement bancaire,
site de commerce lectronique, etc.) sur une dure courte pendant quun
secours de plus grande ampleur se met en place. Les backup dastreinte
permettent ainsi la rmanence du SI. Du fait de leur mode de fonctionnement en drivation du SI nominal, la dgradation des donnes
quils contiennent est rapide. La rcupration des donnes du backup
dastreinte lors de la mise en place de la solution de secours long terme
est dlicate car le degr de corruption des donnes du backup dastreinte
est difficile valuer. Mais ce nest pas l lobjectif premier du backup
dastreinte : il vise avant tout assurer la continuit dactivit !
Les sites production rpartie proposent une rpartition de lexploitation
informatique entre le site de secours et le site secouru. Cette solution
prsente dnormes avantages (essentiellement lis au fait que la solution
121
quipement
Tlcoms
Dlai de reprise
Salle blanche
Faible
Aucun
Aucun
Long
Salle orange
Moyen
Partiel
Partiel/complet
Moyen
Salle rouge
Moyen/lev Complet
Complet
Court
Salle miroir
lev
Complet
Complet
Aucun
Partiel
Partiel
Moyen
1. 97 entreprises amricaines.
123
Fonctions gnratrices de
revenus moins critiques.
Fonctions logistiques
Fonctions supports
de lentreprise
Fonctions locales
Disponibilit de 98 % (moins de
13,5 heures par mois dinterruption)
RTO = 4 5 jours
RPO = 1 jour
Objectifs
de secours
Stratgie
de secours 1
1. Voir le paragraphe 5.1.3, Technologies de sauvegarde et architecture de haute disponibilit des donnes .
Domaines
fonctionnels
Classe
125
127
4.2
4.3
131
1. Il est frquent quun mme local de secours soit lou plusieurs dizaines (souvent entre 25 et 40)
dentreprises pour des besoins de secours similaires.
4.4
133
4.5
135
137
4.6
La question est : combien plus ? Dans le cas du MCA, tant de paramtres influent
sur lestimation financire quil est difficile de les citer tous mais les principaux
me semblent :
La taille de lentreprise ;
Lactivit de lentreprise ;
Le nombre de sites couvrir dans le PCA ;
La complexit, la taille et la criticit du systme dinformation ;
Les scnarios de sinistres retenus ;
Le type de stratgie de continuit adopte ;
La prsence ou non des pralables culturels dans lentreprise (voir paragraphe 2.2.2, Quelques pralables) ;
Le recours une aide extrieure, ltendue et la profondeur de laide.
On pourrait rver dune sorte dabaque (comme cela peut exister pour certaines
prestations daudit qualit par exemple) qui dfinisse des charges prvisionnelles
en fonction des paramtres dimensionnants. Dans notre cas cependant, ces
derniers ne se limitent pas un nombre de sites et une taille approximative de
socit.
139
Tableau 4.3 Estimation des charges (en jour homme) de mise en place
Consultant
Responsable
projet PCA
(interne)
Autres
(interne)
10-15 1
10
10-20
10-15
10-25
10-15
40-50
15-20
10-15
25-30
5-10
20
40-50
15-20
55-95
60-70
125-145
1. Cette fourchette suppose que la ralisation du bilan dimpact sur lactivit se fait via un ou
plusieurs sminaires de travail avec les membres du comit de direction. Si lon procde par
entretiens individuels des mmes personnes, on aura compris que lestimation donne ici est
plutt faible.
141
Tches
Responsable
projet PCA
(interne)
Autres
(interne)
Ractualisation
annuelle du BIA
et de lAR
10
Ractualisation
annuelle du PSI
Test du PSI
15-20
20-30
10-15
20
30-40
10-15
65-80
60-80
Mises jour
Formation
Communication
Sensibilisation
Tests
Contrle PCA
TOTAL
Matriel
Logiciel +
licence
Frais
divers 1
Test
Fournitures
Type de salle
de secours
Blanche
Orange
Rouge
Miroir
Sauvegarde
Externe
Matriel
remplac
Mobile
SLA
Interne
Stockage
Utilisation
moins de louer des surfaces importantes, sur une longue dure (les fournisseurs engagent alors une construction) ;
Pour l unit de base du secours : gros serveur Wintel pourvu dune baie
de disques avec capacit de rplication, environ 100 000 euros (hors cots
rseau) et environ 0,2 ETP (quivalent temps plein) pour les oprations
(maintenance, monte de version, etc.) ;
Pour une solution de secours mutualise de gros systmes :
1 000 MIPS1 et 3 To : de lordre de 150 000 euros par an ;
2 500 MIPS et 10 To : de lordre de 750 000 euros par an.
Solution de secours complte pour la rgion Europe dune entreprise industrielle du CAC 40 : 30 serveurs, 40 000 utilisateurs rpartis dans toute
lEurope, huit applications majeures et critiques reprises en 4 h : environ
deux millions deuros annuels (infrastructure et locaux, cots tlcoms,
matriels, entretien, consommation lectrique, personnel dexploitation,
etc.)
5
Considrations techniques
sur les solutions de secours
5.1
1. Par opposition aux sauvegardes dexploitation dont le but est de pallier les incidents courants
dexploitation.
145
147
La sauvegarde en ligne
De plus en plus rpandue, la technologie de sauvegarde sur Internet prsente un
rapport cot/capacit excellent, ne demande pas de comptences internes sur les
systmes de sauvegarde courants et permet une diminution de la charge de travail
non ngligeable. Elle propose en outre un gain de place (elle vite les montagnes de
bandes et lautomate qui occupe une salle entire) et prsente des garanties satisfaisantes en matire de scurit et de services de remonte de sauvegardes. Les principaux freins lis cette technologie sont la limitation de performance due lInternet
(dbit) et le pas psychologique franchir pour confier ses donnes un tiers.
Bien quelles permettent une restauration depuis la dernire sauvegarde, ces
trois technologies ne permettent pas la restauration des donnes modifies
postrieurement. Les technologies qui suivent permettent de combler cette
lacune en assurant une disponibilit leve des donnes sur les architectures de
production ou des architectures ddies.
Technique
Avantages/Inconvnients
RAID-0
Striping
RAID-1
Mirroring
Simple
Information redonde compltement
Perte de 50 % de la capacit de stockage cause de la technique
employe et donc onreux
Bien adapt une utilisation haute disponibilit
RAID-2
Striping
au niveau bit
RAID-3
Striping
au niveau bit
plus parit
149
Technique
Avantages/Inconvnients
RAID-3
Striping
au niveau bit
plus parit
RAID-4
Striping au niveau
de blocs dinformation plus parit
RAID-5
Striping au niveau
de blocs dinformation plus parit
distribue
RAID-1+0
(ou RAID-10)
Superposition
des techniques
RAID-1 (mirroring
de disques)
et RAID-0 (striping)
151
La virtualisation1 :
Au sens informatique premier, on appelle virtualisation, lensemble des technologies matrielles et/ou logicielles qui permettent de faire fonctionner plusieurs
systmes dexploitation et/ou plusieurs applications sur une mme machine,
sparment les uns des autres, comme sils fonctionnaient sur des machines
physiques distinctes. 2
Dans le cas qui nous intresse (sauvegarde et disponibilit des donnes), la
virtualisation consiste en la mise en commun logique dlments de stockage
qui taient indpendants lorigine (diffrentes baies de stockage par exemple).
On peut rassembler dans un stockage virtuel des lments dissemblables (DAS,
NAS, SAN)3, provenant de constructeurs diffrents et utilisant des protocoles
de gestion fichiers diffrents 4.
Les principales technologies de virtualisation qui ont une utilisation en architecture de haute disponibilit sont les architectures de stockage en rseau (par
opposition lattachement direct de type DAS) principalement reprsentes par
les NAS et SAN.
Dans le cas du NAS, le rseau dont on parle est le rseau IP (de type Ethernet)
qui permet de mutualiser les donnes stockes sur les serveurs de fichiers relis
entre eux par le LAN (Local Access Network) de lentreprise. Dans celui du
SAN, il nest pas question dinfrastructure IP. Ce que la notion recouvre en fait
savoir la mise en relation de serveurs avec des baies de disques qui stockent des
donnes routes et hirarchises via des commutateurs est un rseau physique,
le plus souvent constitu par des cbles en fibre optique (Fiber Channel).
Si les possibilits offertes par le SAN sont nettement suprieures celles du
NAS, le cot induit est aussi plus lev. Autre avantage du SAN : il assure la
redondance du stockage (cest--dire laccessibilit au systme de stockage en cas
de panne de lun de ses lments) en doublant au minimum chacun des lments
du systme : les lments critiques des serveurs (cartes), les commutateurs et
lcriture des donnes sur les disques. Le NAS, lui, ne permet pas cette fonction
vitale pour certaines applications (banques, assurances, sites de commerce lectronique, etc.)
Le tableau 5.2 propose un aperu des principaux avantages et inconvnients
des techniques prsentes, ainsi quun avis sur lapplicabilit de chaque technique
au management de la continuit dactivit.
1. Daprs M. Lemesle, JDNet, Stockage : San, Nas, iSCSI, iFCP, FCIP, Infiniband, etc. : trouvez
vos marques ! , 15 janvier 2002.
2. Source : Wikipdia.
3. DAS : Direct Attached System ; NAS : Network Attached Storage ; SAN : Storage Area Network.
4. Source : guideinformatique.com
RAID
Journalisation
distante
Rpartition
de charges
Rplication
asynchrone
Virtualisation
Rplication
synchrone
Sauvegarde
distance
(tlsauvegarde)
Disponibilit faible
Inconvnients
Simple
Matriel peu onreux
Avantages
Sauvegarde
classique
Technique
Application MCA
153
On laura compris, en raison de leur sensibilit la distance entre site nominal et site de secours, les solutions de haute disponibilit ne proposent pas un
secours efficace contre les sinistres dchelle rgionale. Si le RTO retenu dans le
bilan dimpact sur lactivit1 impose la haute disponibilit et si la cartographie
des scnarios de sinistres2 retient des scnarios de sinistre de cette chelle,
lentreprise devra alors envisager une solution de secours hybride, qui pourrait
tre construite ainsi :
Une solution de type haute disponibilit (rplication synchrone en gnral)
sur un site proche.
Une solution de type moyenne ou faible disponibilit (sauvegarde
distance, journalisation distante, ou rplication asynchrone en gnral)
sur un site loign (plusieurs centaines de kilomtres) afin de se protger
des sinistres dampleur rgionale.
Les cots engendrs par une telle solution seront bien entendu un facteur
limitant, de mme que la complexit de mise en uvre, de mise en cohrence et
dadministration.
5.2
155
5.2.1 Serveurs
Les serveurs constituent lunit de base de la chane du systme dinformation.
Les considrations prsentes ci-dessous sappliquent gnriquement pour la
plupart des types de serveur. On adaptera cependant les choix selon que lon
travaille en environnement trs centralis (type mainframe) ou au contraire en
environnement de type systme distribu (type clients/serveurs).
Solutions de secours
Pour les solutions de secours des serveurs, on se rfrera intgralement au paragraphe 5.1, Sauvegarde, restauration.
Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Rseau local sans fil (Wireless LAN ou WLAN) : une solution sans fil
peut tre une excellente solution de secours une dfaillance du LAN. Si
la facilit de mise en uvre de cette solution est dmontre, elle ne doit
pas faire oublier les difficults scuriser ce type de rseau (un cryptage
robuste est incontournable).
Redondance des infrastructures : la redondance dlments critiques de
linfrastructure LAN peut permettre une solution de secours en mode
dgrad. Il faudra alors faire preuve de discernement et de bon sens dans le
choix de linfrastructure redonde : le rle et la criticit des routeurs, des
switchs, des hubs et du cblage devraient alors tre analyss et donner lieu
la mise en place dune infrastructure redonde adapte.
157
Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des lignes de communication : les lignes redondantes devraient
tre du mme type que les lignes secourir, moins quun secours dgrad
soit accept. Une attention particulire devrait tre porte la sparation
physique des liens secourus pour sassurer quun mme sinistre ne dtruit
pas les redondances en mme temps que les lignes nominales.
Redondance des fournisseurs daccs aux rseaux : pour atteindre la
haute disponibilit, le point prcdent (redondance des lignes de communication) devrait tre mis en uvre par des fournisseurs distincts, en
sassurant que les fournisseurs choisis nutilisent en aucun point les mmes
infrastructures.
Redondance des matriels daccs au rseau : linterface avec le rseau
interne (LAN), les matriels (routeur, pare-feu et switchs principalement)
peuvent tre redonds. Cette approche assure, dune part une meilleure
tolrance la dfaillance dun composant, dautre part, la possibilit de
mettre en uvre une rpartition de charge sur le rseau.
Solution de secours chez les fournisseurs daccs : la prsence dune architecture de secours chez les fournisseurs daccs augmente la robustesse du
rseau WAN.
159
Solutions de secours
La solution de secours suivante pourra tre considre :
Rpartition de charge (load balancing) : cette solution permet de rpartir
le trafic Internet sur un cluster de serveurs (vu comme un seul serveur pour
linternaute) en temps normal et de basculer sur un seul serveur si lautre
est dfaillant. La rpartition de charge sur un site web est gnralement mise
en uvre par la technologie DNS/BIND ou au moyen dun Reverse Proxy.
5.3
Solutions de secours
Lessentiel des solutions de secours concernant les postes de travail rside dans
les solutions de sauvegarde. Seront principalement dcrits ici les moyens techniques envisager pour la sauvegarde des postes de travail. On se rfrera au paragraphe ddi, 5.1 Sauvegarde, restauration, pour des considrations plus gnrales
sur les sauvegardes. Les solutions incluent :
Les disquettes : solution quelque peu tombe en dsutude en raison de sa
faible capacit, de sa lenteur et de la disparition progressive des lecteurs de
disquette des configurations standard de postes.
Les disques amovibles : il sagit des priphriques (solution locale) grant
les cartouches de type Jaz ou Zip : plus vraiment dactualit non plus en
raison dun format spcifique et de la gnralisation des lecteurs CD/DVD
sur les postes.
Les CD et DVD : beaucoup plus rpandus en raison de la capacit de
stockage intressante, de la rapidit de gravage et daccs linformation ; la
dure de vie de ces supports convient par ailleurs beaucoup dapplications
classiques.
Les bandes/cartouches : cette solution peut avoir quelques applications
locales (postes quips), notamment pour les petits volumes de donnes
mais concerne surtout les sauvegardes centralises.
Les sauvegardes sur disque : celles-ci se font sur des disques en rseau,
soit par le partage de ces disques entre des utilisateurs et la copie rgulire
de donnes, soit par le pilotage programm de sauvegardes via un outil ddi.
La sauvegarde en ligne : peut avoir des applications videntes dans le secours
des postes de travail.
Outre les solutions de sauvegarde, les solutions suivantes devraient tre
analyses en vue de mettre en place la stratgie de secours :
Limage disque : le stockage dune image standard des configurations de
postes de travail permet la restauration rapide de stations corrompues ou
dtruites. Facilite grandement par la standardisation des configurations du
parc, cette technique reprsente le moyen le plus simple pour reconstituer
161
un parc dtruit. Cette solution ne permettant pas, en elle-mme, la restauration des donnes, on aura soin dencourager vivement la sauvegarde
personnelle rgulire, seule garante dune restauration complte des postes.
Secours de lalimentation : les mthodes classiques (onduleurs, ligne de
secours, groupe lectrogne) seront considres.
Cryptage de linformation : le recours de plus en plus frquent au cryptage
des informations sur les disques durs des postes de travail (en particulier
sur les portables) rend la gestion des cls de chiffrement cruciale : on aura
soin de stocker des doubles de ces cls et de dfinir une stratgie idoine
sous peine de perdre toutes les donnes des postes crypts.
5.3.2 Tlphonie
Stratgies de prvention et de secours
On se reportera intgralement aux stratgies gnriques de prvention et de secours.
Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des quipements : un autocommutateur matre et un autocommutateur satellite synchronis permettent un secours de type haute
disponibilit.
Renvoi automatique dappels sur un site secondaire : il peut sagir dun site
de secours ddi ou dun site faisant lobjet dun accord de rciprocit avec le
site secourir. Les conditions et procdures du reroutage des appels doivent
tre prcisment tablies en amont pour que cette solution soit efficace.
Existence de lignes directes de secours (hors autocommutateur) : il
sagit alors de secourir quelques lignes stratgiques.
Tlphonie mobile (type GSM) : il est vident que cette solution de secours
est sduisante et, dans la plupart des cas, savrera suffisante. Il convient de
rappeler nanmoins quen cas de sinistre majeur (rgional par exemple),
la saturation du rseau mobile est vite atteinte et peut rendre compltement
inoprante une stratgie de secours reposant sur le recours cette solution.
Tlphonie satellitaire : si la mise en uvre et le cot de cette solution la
cantonnent aujourdhui des fonctions stratgiques, elle reste, pour une
population restreinte, une solution apprciable pendant la dure de
gestion de la crise lie au sinistre subi.
Pour le raccordement au rseau : les mmes prconisations et solutions
que celles dcrites pour le secours du rseau WAN sappliquent.
5.3.3 Impression
Le secours des moyens dimpression ne fait gnralement pas partie des offres
packages des fournisseurs de solutions de secours. Si limpression ne savre
critique que dans quelques cas bien spcifiques (billettique par exemple), elle
peut tre sensible pour la plupart des entreprises. On considrera galement le
secours ventuel des moyens de mise sous pli.
Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Secours dgrad des lignes dimpression : cette solution vise lutilisation
de moyens existants internes pour secourir les moyens mis hors service.
Ceci implique la sparation physique de lignes dimpression (souvent sur
un site distant) et la mise en place dune procdure dgrade.
Contractualisation dun secours externe : il sagit cette fois davoir
recours un fournisseur (imprimeur, socit de mailing).
5.3.4 Internet
Stratgies de prvention et de secours
On se reportera intgralement aux stratgies gnriques de prvention et de secours.
Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des accs Internet : tout comme les solutions de secours du
rseau WAN, on pourra considrer le secours par raccordement deux
163
accs distincts (soit chez le mme FAI, soit, pour plus de scurit, chez
deux FAI diffrents).
Reroutage du trafic Internet : lors de la bascule sur le site de secours, si
laccs est fourni par le mme FAI que sur le site nominal, le plan dadressage IP est inchang. Si ce nest pas le cas, il faut avoir prvu un nouveau
plan dadressage IP et la mise jour des DNS.
6
tudes de cas
6.1
167
Dmarche
On droule la mthodologie E=MCA partiellement, essentiellement pour les
phases 1 (Mieux connatre lactivit), 2 (Orienter la stratgie de continuit) et 3
(Mettre en place la solution technique de secours).
La ralisation de la phase 1 passe par des entretiens avec les acteurs locaux cls :
Le responsable dagence,
Un utilisateur rfrent de lapplication Asset (ayant une vision managriale),
Un panel reprsentatif dutilisateurs des moyens du rseau local,
Le responsable informatique,
Un technicien informatique comptent sur les aspects rseau et sur laspect
technique de lapplication Asset.
RTO
Serveur dauthentification
48 h
Serveur Asset
48 h
Serveur Messagerie
4 jours
48 h
Un hub
48 h
Cblage
48 h
Alimentation
48 h
Imprimante
4 jours
169
6.2
171
Il sagit dun cas qui impose une application pragmatique et simplifie des concepts
et mthodes dcrits dans ce livre.
Lorganisation
Le systme dinformation est sous la responsabilit du directeur administratif
dun point de vue fonctionnel. Un responsable informatique gre le quotidien.
Lapplication
Lapplication est au cur de la gestion de lactivit de lentreprise :
Plusieurs centaines dutilisateurs (chargs de clientle) utilisent lapplication
quotidiennement, comme principal outil de travail ;
La facturation issue de loutil se chiffre en plusieurs centaines de milliers
de factures chaque anne ;
173
Mthodologie et outils
Pour traiter chacun des points inscrits la proposition de service, on va alors
sappuyer sur des lments de la mthodologie E=MCA et de lexpertise en solution
technique de secours :
Pour lanalyse critique du PRA technique : on sappuiera sur la connaissance dveloppe en solution technique de secours (voir les chapitres 4
et 5) et sur les principes dvelopps dans les phases 2 et 3 de E=MCA ;
Pour la dfinition des besoins fonctionnels de secours : on utilisera essentiellement ltape reine de E=MCA, le BIA ;
Pour la dfinition du PRA oprationnel : on se basera sur les rsultats
du BIA de ltape prcdente et on dveloppera le PRA oprationnel
selon les principes et indications de la phase 4 de E=MCA.
Dmarche
Cette mission, par nature de courte dure (ralise en une dizaine de jours),
comprendra les tapes et travaux suivants :
Lancement de la mission : cadrage mthodologique, revue des objectifs,
validation du planning, des jalons et des interlocuteurs, etc.
Prise de connaissance documentaire : documentation de lapplication,
documentation lie au PRA ;
Tutoring du consultant sur lapplication pour comprendre les principales
fonctionnalits et enjeux ;
Entretien avec les principaux rdacteurs du PRA technique ;
Sminaire BIA avec un panel dacteurs intresss (utilisateurs cls tous
les niveaux hirarchiques, responsable informatique) ;
Validation du BIA ;
Proposition et validation du PRA oprationnel .
175
Le mode de dclenchement du PRA nest pas dfini (alerte, arbre de dcision, etc.).
Rsultats du BIA
Le BIA est ralis par un sminaire auquel est invit un panel dacteurs intresss
qui deviendront par la suite le noyau de la cellule de crise dans le PRA oprationnel . Participent au sminaire :
Le directeur administratif,
Le responsable informatique,
Un directeur de rgion qui reprsente la vision utilisateur lchelle rgionale,
Un directeur dagence qui reprsente la vision utilisateur plus proche du
terrain,
Une charge de clientle (utilisatrice de lapplication au quotidien),
Un contrleur de gestion fortement impliqu au moment de la spcification
de lapplication.
Influenc par la vision donne par le directeur administratif, le dbat soriente,
dans un premier temps, vers la caractrisation des impacts dune interruption de
courte dure : la solution de reprise propose par les quipes informatiques est
une solution de moyenne disponibilit (reprise en 15 heures) mais il est possible
que le besoin soit un besoin de haute disponibilit (cest le sentiment du directeur
administratif).
Rapidement cependant, devant les critres de la grille danalyse BIA (voir
lexemple du tableau 6.7), les participants du sminaire recadrent la ralit du
terrain par rapport aux enjeux qui sont les leurs. Le tableau 6.2 prsente lvaluation
des principaux impacts en fonction de la dure dinterruption de lapplication.
Lanalyse des rsultats permet de conclure que :
les impacts directs (perte de CA, cot de fonctionnement en mode dgrad et
cots induits pour la reconstitution et le rattrapage du travail) et les
impacts indirects externes (relation clients, image, rglementaire) ne
deviennent significatifs quaprs une interruption dune semaine et critiques
que pour une interruption denviron trois semaines ;
limpact indirect interne (impact psychologique sur le personnel : dcrdibilisation du management, dmotivation des quipes, etc.) atteint son
niveau de criticit beaucoup plus tt en revanche, et devient llment
dimensionnant pour les contraintes de reprise.
Domaine 2
(environ 60 % CA)
Fonctionnalits
impactes
Facturation
Planification
Gestion des rapports
Facturation
Impact
1 semaine
Impact
2 semaines
Impact significatif
Un mois de dlai pour
rattraper les saisies
Difficult de pilotage (vrification de la planification)
Impact
3 semaines
En raison de lhistorique de lapplication (dmarrage catastrophique, dbauchage du prcdent directeur des SI), limpact psychologique est critique
bien avant limpact financier et oprationnel !
Il est ds lors convenu que les dlais de reprise annoncs dans le PRA technique seront considrs comme amplement suffisants pour autant que :
Ils soient valids par un test formel ;
Des mesures conservatoires et prventives soient prises, essentiellement
lies limpression papier systmatique de certains tats de lapplication.
177
Le PRA oprationnel
Au cours du sminaire BIA, les principales ressources mtier sont identifies et
le fonctionnement en mode dgrad en cas dinterruption prolonge de lapplication est esquiss.
Ds lors, le PRA oprationnel peut tre dvelopp. Il dfinit en particulier :
Lorganisation de crise : cellule de crise et quipes locales de crise ;
Les modalits de gestion de crise : alerte et activation du plan, check-list
de gestion de crises (pour la cellule de crise et lorganisation locale de
crise) ;
Les procdures fonctionnelles dgrades ;
Les conditions de retour la normale ;
Les modalits de maintenance du PRA oprationnel ;
Les modalits de test du PRA : scnarios de crise pour les tests, les modules
de test et leur ordonnancement.
titre dillustration, le tableau 6.3 (sur la page suivante) donne le schma
dalerte et dactivation du PRA oprationnel (une illustration plus complte
dun PCO est donne en annexe).
6.3
ACTION
ACTEUR
<T0
Alerte
Lalerte peut provenir de deux sources : remonte dutilisateurs ou alarme des pilotes dexploitation (en central ou
supervision rseau)
Lalerte (dune nature ou dune autre) est transmise
linformatique France
Support
Exploitation
<T0
Qualification de lalerte
Linformatique France qualifie lalerte :
Confirmation auprs des pilotes dexploitation (sil sagit
dune remonte utilisateurs)
Premier diagnostic sil sagit dune alerte dexploitation
Suivant les conclusions de ce premier diagnostic, lalerte
est qualifie
Informatique
France
T0
Confirmation de lindisponibilit
Toute alerte confirme donne lieu :
Une transmission dalerte au dir. admin. ou son supplant
une information du service support pour diffusion dinformation
Informatique
France
Entre T0
et T0+3h
Support
T0+3h
Dir. Admin.
T0+4h
Cellule de crise
179
PCO est en dlicatesse avec la direction informatique qui ne veut pas donner
accs son plan de secours, jug absolument confidentiel. Lentreprise en question possde neuf sites en rgion parisienne et cherche se prmunir contre le
risque de sinistre global.
Afin de prserver lanonymat, beaucoup dlments factuels ne sont pas
prsents.
Lorganisation
Les principales directions de lentreprise sont :
La direction gnrale,
La direction marketing,
La direction commerciale,
La direction du dveloppement international,
La direction ressources humaines,
La direction financire,
La direction des systmes dinformation (la plus nombreuse en effectif)
avec de nombreuses ramifications,
La direction de la communication,
Le service gestion des risques,
Les services gnraux (qui comprennent le service juridique).
La demande du client
Le client fait appel un consultant pour dfinir son plan de continuit doprations.
La mission fait suite une mission pralable de ralisation dun inventaire des
donnes et dossiers vitaux pour lentreprise.
181
Les tapes 1 (Mieux connatre lactivit) et 4 (Dvelopper le plan de continuit dactivit) sont presque intgralement ralises. Ltape 5 (Assurer la conduite
du changement, le dploiement du PCO et son maintien en conditions oprationnelles) est ralise seulement dans sa deuxime composante (maintien en
conditions oprationnelles).
Dmarche
Dans le cadre de cette mission, peu dadaptations sont ralises lors de la mise en
uvre de la mthodologie E=MCA. Cest le cas qui suit le plus fidlement les
principes noncs.
La dmarche de classification des activits critiques de lentreprise se base sur
la cartographie des processus dfinie.
Incendie
O/N
Les serveurs sont dans une salle ddie
Commentaire
Gaz Inergen
Moyens de secours
Intrusion
Incendie
O/N
Commentaire
Arrive seulement
Entre uniquement
15 jours
Plusieurs
Contrle rglementaire
183
Local autocom
O/N
Commentaire
Partiellement
confirmer
Oui
Oui
Non
Mouvements sociaux
Non
Non
Non
Origine
humaine
Oui
Oui
Oui
Foudre (incendie)
Origine
technique
Oui
Oui
Oui
Attentats/actes terroristes
Oui
Inaccessibilit physique
Inondation
SINISTRES
Origine
humaine
Origine
naturelle
ORIGINES
Non
Non
Non
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Destruction
de biens
ou matriels
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Perte
dinformations
IMPACTS
Oui
Oui
Oui
Oui
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Scurit
des
personnes
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Dfaillance
ressources
techniques
MOYEN
MOYEN
MOYEN
GRAVE
GRAVE
GRAVE
GRAVE
CRITIQUE
CRITIQUE
CRITIQUE
CRITIQUE
CRITIQUE
CRITIQUE
CRITIQUE
GRAVITE
185
187
<
Faible
Nul
0,1
Moyen
Grave
Nul
Cots de
fonctionnement
>
Revenus
Critique
Gravit
Impacts directs
0,1
Cots de
reconstitution
Nul
Interne
Local
Rgional
National
Image
Critres de quantification
Nul
Plainte
Litige
Mention RCS
Suspension
activit
Rglementaire
12
Directs
Nul
Pts de vente
Local
Rgional
National
Satisfaction
clients
Impacts indirects
SCL
Indirects
Quantification
189
Origine
humaine
Origine
naturelle
Types
dorigine
O/N
Risque multisite
O
Couverture
police
dassurance
Facteur
aggravant
Foudre (incendie)
Tempte/orage (y compris
grle, neige et verglas), ouragans, tornades, cyclones
Pluies torrentielles
Inondation
Sinistres
possibles
Dommages et
pertes dexploitation informatique
Aucune
Aucune
Aucune
Multirisques
immeubles
Multirisques
immeubles
Multirisques
immeubles
Multirisques
immeubles
Police
dassurance
Contrat multirisques immeubles : permet dtre couvert en cas de sinistre naturel si ltat de catastrophe
naturelle est dclar par les autorits publiques
Commentaires / Limites
191
QG2 de crise
Le QG de crise est linstance centrale de dcision, de coordination et de pilotage
pour tous les sinistres consquents. Le recours au QG de crise nest pas systmatique
et nombre de crises de faible ampleur peuvent tre traites au niveau local. Le QG de
crise est particulirement utile pour des sinistres touchant plusieurs sites.
1. On verra galement ce sujet lannexe B Quelques illustrations documentaires de la mthodologie
o un exemple de PCO est donn.
2. Pour Quartier Gnral.
PCA GLOBAL
PCA LOCAUX
Prsentation du PCA
Responsabilits
QG de crise
Acteurs
Arbre de dcision
Test du PCA
Checklists
Maintenance du PCA
Annexes informatives
FICHES REFLEXES
Annexes informatives
193
195
Gestion de crise
La gestion de crise est simplement dfinie par des check-lists qui traduisent les
responsabilits des instances de lorganisation de crise (QG de crise, cellule de
crise locale et quipes de crise).
Des consignes particulires sont dfinies pour le QG de crise et les instances
centrales afin dassurer la gestion dune crise multisite (sinistres naturels de forte
ampleur : inondations, temptes, pluies torrentielles ; attaques terroristes ou
attentats simultans ; paralysie des infrastructures de transport ; sinistres rsultant
dun climat social tendu : mouvements sociaux et grves, manifestations, arrts
de travail). En raison du caractre transverse dune crise multisite, le rle de
coordination des instances transverses (et, en particulier du QG de crise) est
prpondrant. Cest elles de centraliser les informations utiles relatives tous
les sites sinistrs (ex : la capacit daccueil et dhbergement des sites non sinistrs
pour dduire les besoins en relocalisation externe le cas chant). Cest elles de
coordonner la mise en uvre des PCO locaux entre eux pour optimiser les temps
de raction et minimiser les pertes de temps. ce sujet, les tches suivantes
reposent sur les instances centrales :
Assurer le rle de point de contact central ;
Enregistrer intgralement les appels entrants et sortants ;
Prolonger laction des sites pour obtenir les ressources ncessaires ;
XX
197
Retour la normale
Le retour la normale passe par trois phases (matrialises chacune par une
check-list) :
Rparations,
Remplacement des quipements et fournitures,
Tests de linstallation (nouvelle ou rpare).
Le retour la normale est pilot et valid par la cellule locale de crise (ou le
QG de crise sil a t dclench).
Maintenance du dispositif
Les modalits de maintenance du dispositif PCO (PCO global, PCO local et
fiches rflexe) ont t dfinies selon les rgles prcises dans le tableau 6.10.
Test du dispositif
Afin de sassurer que le PCO fonctionne dans les situations durgence, des exercices
pratiques et des tests fonctionnels rguliers sont dfinis :
Des sessions dexercices pratiques : cest le plus simple et le moins coteux
mettre en uvre. Les participants aux sessions sont choisis parmi les acteurs
impliqus dans la gestion de la continuit dactivit et spcifis dans les PCO
locaux (ci-aprs dnomms acteurs de la continuit dactivit ). Ils doivent
drouler les procdures de continuit dactivit en raction un cas fictif de
sinistre qui leur est propos. Ils ne ralisent dans la ralit aucune opration
grandeur nature. Il sagit dune rvision collective des mesures prconises et
actions mettre en uvre et dun partage dexprience.
Fiches
rflexes
PCO
local
PCO
global
Maintenance du
document + revue
de cohrence avec
lensemble du PCO
Information des
responsables de
cellule de crise
locale
chaque
changement
majeur
2 fois/an
2 fois/an
Responsable
PCO global
Responsable
PCO global
Maintenance du
document (soin
particulier pour
les annexes)
2 fois/an
Responsable
cellule de
crise locale
Quoi ?
Maintenance du
document + revue
de cohrence avec
lensemble du PCO
Quand ?
2 fois/an
dfinir
Qui ?
Membre du service
XXX dsign par le
directeur du service
XXX
Directeur XXX
DG
Membres de lorganisation
locale de crise
(responsable technique
de site + cellule locale de
crise + trois quipes terrain)
Membres de
la cellule de
crise locale
Responsable
cellule de
crise locale
Membre de
la cellule de crise
locale dsign par
son responsable
DG
Directeur XXX
Membre du service
XXX dsign par
le directeur service
XXX
Diffusion
Validation
Vrification
Proposition
Comment ?
199
Exercices pratiques
Il est prvu que soit organise une session par site et par an laquelle sont invits
les acteurs de la continuit dactivit tels que spcifis dans le PCO local du site.
La session dexercice pratique est anime par le coordonnateur PCO du service
gestion des risques. Les participants convis sont la cellule locale de crise, le
responsable technique de site, les membres des quipes dintervention, logistique
et relocalisation et SI. Un programme type dune telle session est donn titre
indicatif dans le tableau 6.11.
Tableau 6.11 Session dexercices pratiques PCO
Programme
Contenu
Dure
Introduction
la continuit dactivit
30
30
1 h 15
Exercice en organisation
locale de crise
1 h 30
Debriefing
Debriefing de session
15
Tests fonctionnels
Les tests fonctionnels visent simuler au plus prs la situation de crise. Trois
scnarios de tests sont proposs pour chacune des phases du PCO. Les tests fonctionnels consistent simuler la raction des acteurs face un ou plusieurs des
trois scnarios de crise.
On divise les simulations en trois modules chronologiques dans le droulement du PCO et un module chronologiquement indpendant (module 4). Les
modules peuvent tre tests indpendamment les uns des autres. Pour chaque
module, les rsultats des tests sont enregistrs pour tre postrieurement analyss
et donner ventuellement lieu une volution du PCO. Le service gestion des
risques agit comme organisateur et observateur des tests fonctionnels.
Chaque srie annuelle de tests fonctionnels se doit de tester chaque module
(pour chaque site) pour le scnario de crise retenu pour lanne. Le tableau 6.12
donne un exemple de programme tri-annuel de tests fonctionnels pour un site.
Tableau 6.12 Exemple de programme tri-annuel pour un site
Module 1
Alerte et activation du plan
Module 2
Gestion
de crise
Module 3
Retour
la normale
Module 4
QG de crise
Scnario 1
2003
2003
2003
Scnario 2
2004
2004
2004
Scnario 3
2005
2005
2006
6.4 Cas n 4 : Retour dexprience pour une crise majeure : les attentats de Londres
201
6.4
Troisime partie
Perspectives
7
Vers un systme
de management de
la continuit dactivit?
La proposition faite dans ce chapitre est de dcrire succinctement une organisation possible du management de la continuit dactivit suivant un modle de
systme de management. Il est ds lors utile de prsenter les principaux systmes
de ce type et de comprendre comment la continuit dactivit peut sincrire dans
un systme de management.
7.1
207
Il est vident que plus un systme rpond des critres rpandus, plus son
intgration avec dautres systmes reconnus est aise.
7.2
PDCA
La roue de Demming (PDCA pour Plan Do Check Act ou Planifier dployer
contrler agir) est le schma de base du fonctionnement dun systme de management. Le principe est chronologique et perptuel : il reprsente schmatiquement les principales tapes dun processus damlioration continue.
Dans chacune des quatre phases du processus de Demming, on trouvera diffrents niveaux dintervention :
le niveau de planification, de dcision et dorientation stratgique ;
le niveau de mise en uvre et de dploiement tactique ;
le niveau dexcution et de ralisation oprationnelle.
1. SMI : Systme de management intgr.
209
Les indicateurs, les mesures, les contrles, la finesse des dtails dans les procdures diffreront ainsi notablement suivant le niveau auquel on se situe.
Plan (planifier)
Pour un systme de management, la partie plan du PDCA consistera principalement en :
Lengagement univoque de la direction gnrale dans le systme de management ;
La dfinition de la politique, des objectifs et des moyens dans le domaine
considr (qualit, scurit, environnement, etc.) ;
La dfinition des rles, responsabilits et autorits dans le domaine concern ;
La mise en place dun systme documentaire adapt permettant de formaliser les rgles et modes dactions : ce systme documentaire est en gnral
compos dun manuel central (niveau stratgique, par exemple le manuel
qualit), de procdures associes (niveau tactique, par exemple la procdure de matrise documentaire) et dinstructions dtailles (niveau oprationnel, par exemple les modes opratoires dautocontrle sur une chane
de production) ;
La dfinition des processus de lentreprise et des conditions dans lesquelles
ceux-ci sont aptes atteindre efficacement leur but, dans le respect des
exigences particulires des diffrents domaines (qualit, environnement).
Do (dployer)
Il sagira dans cette phase dassurer la ralisation des processus tels que planifis
et conformment aux exigences des rfrentiels choisis. titre dexemple, on
peut citer :
La mise en uvre des politiques dfinies (qualit, environnement, scurit
et sant au travail, scurit des SI, etc.) ;
Check (contrler)
Le contrle du systme de management sexercera, entre autres, au travers
dactions de :
Audits internes du systme de management (par des auditeurs internes
dment qualifis) ;
Audits externes (de certification ou de surveillance) ;
Mesure de lefficacit des processus mis en place via la tenue dindicateurs
de performance (ralise en gnral par les pilotes des processus et consolids par le responsable du systme de management concern) ;
Remonte des constats de drive (non-conformit pour la qualit, fiches
dincidents de scurit pour la scurit des SI, fiches daccidents pour la
SST, etc.) ;
Mesures spcifiques faites sur lactivit (impacts sur lenvironnement pour
lISO 14001, contrle qualit pour lISO 9001, statistiques daccidentologie
pour la SST, par exemple) ;
coute des clients ou principales parties intresses par la dmarche (au
travers de fiches de rclamation clients, prise en compte des remarques
faites par les acteurs eux-mmes via des fiches damlioration ou une bote
ides, par exemple, etc.) ;
Prise en compte globale (niveau managrial) de lensemble des rsultats de
contrle, lors des revues de direction des systmes de management (souvent
annuellement), etc.
Act (agir)
Les actions entreprises pour agir aprs contrle peuvent tre varies, allant dune
action ponctuelle curative et immdiate, une action de rorganisation impliquant
211
de nombreux acteurs et stalant sur plusieurs mois. Parmi cet arsenal dactions
possibles, on citera, entre autres :
La mise en place dactions prventives, correctives et curatives ;
La mise en uvre des plans dactions dfinis suite aux revues de direction ;
La mise en uvre de plans dactions immdiats par les pilotes dun processus
dont les indicateurs de performance indiquent une drive ;
La convocation de runions multidisciplinaires pour la mise en place
dactions de fond, etc.
Approche processus
Selon la norme FD X 50-176 1, un processus est un ensemble dactivits qui
utilisent des ressources pour transformer des lments entrants en lments de
sortie .
Note : cest une succession dactivits ralises laide de moyens (personnel,
quipement, matriel, informations) et dont le rsultat final attendu est un
produit. Un processus prsuppose :
Des lments entrants mesurables,
Une valeur ajoute,
Des lments de sortie mesurables, conformes des critres dacceptation,
Un caractre reproductible.
1. FD X 50-176 Management des processus, AFNOR, juin 2000.
213
politique unique
fiches de description des processus
uniques
procdures uniques (avec plusieurs
volets)
enregistrements unifis (fiches dcarts
et/ou incidents, fiches damlioration,
actions correctives, etc.)
Financiers
Humains
Communication
Image amliore
Relation avec les parties intresses plus transparente
Conformit rglementaire mieux matrise
1. Daprs ric BRUNELLE, Llaboration dun systme de management intgr : Qualit et Environnement,
thse de Master, Universit de Sherbrooke, 2005.
7.3
215
Une organisation
de MCA
Un suivi du SMCA
Un systme documentaire
7.4
CONCLUSION
Lbauche de modle organisationnel prsent dans ce chapitre (systme de
management de la continuit dactivit) nest quun modle parmi dautres dans
lequel peut sinscrire le MCA dune entreprise. Ses limites sont nombreuses et
plaident pour une rflexion plus approfondie qui sort du cadre et des objectifs de
cet ouvrage. Si les principaux systmes de management de lentreprise traitent
1. BCI, traduction de unifying process.
7.4 Conclusion
217
Conclusion
La semaine dernire, un VRP est pass chez moi pour nous vendre un adoucisseur deau. Dans ces multiples dmonstrations et calculs de retour sur investissement du systme, il nous a vant les conomies que nous pourrions faire en
eau minrale en bouteille moyennant lacquisition du systme. Quand ma
femme lui a dit que nous aurions de toute faon des rserves deau pour les cas
durgence, il lui a rpondu, un peu agac : Mais madame, il y aura toujours de
leau au robinet !
Il oubliait sans doute les rcents pisodes franais de pnurie locale deau, la
distribution deau en bouteille dans des zones temporairement sinistres, le
rationnement dornavant habituel pendant les priodes de scheresse. Ma famille
et moi conservons toujours chez nous un stock deau potable pour les cas
durgence.
La vision agace du VRP me fait malheureusement penser lattitude
ambiante vis--vis de la sinistralit. On attend beaucoup des pouvoirs publics en
de tels cas. Trop mon sens. Il me semble entendre dans la voix du VRP les
dizaines dchos que jentends longueur danne : Mais monsieur, ce type de
sinistre ne nous arrivera pas ! Je lespre de tout cur mais ne peux mempcher de penser que lon disait la mme chose la Nouvelle-Orlans il y a peu.
Les experts rclamaient depuis une trentaine dannes un budget de quelques
milliards de dollars pour le renforcement des digues de protection de la ville. Les
pouvoirs publics avaient toujours refus de considrer srieusement la possibilit
dun ouragan de type 4. Les premires estimations des pertes financires de
Katrina ouragan de type 4 avancent le chiffre dsastreux de 200 milliards
de dollars. Sans compter le bilan humain et social bien plus proccupant.
Le sens actuel de lhistoire ne laisse malheureusement pas trop de doutes
quant lutilit dun PCA pour une entreprise. Le management de la continuit
dactivit est une discipline qui me semble, tout aussi malheureusement, promu
un bel avenir.
Si lon ne peut attendre tout des pouvoirs publics en cas de crise, on doit en
attendre beaucoup en amont, pour informer et clairer. Je lance ainsi une invitation
leur attention : le sujet de la continuit dactivit et de la gestion des crises ne
bnficie pas aujourdhui daction concerte de leur part. La sensibilisation du
march sur le sujet est mene par une poigne de consultants et professionnels,
engags dans un travail de mise en garde et de pdagogie. Le tissu conomique
franais, et en particulier, celui des PME/PMI a besoin dveil, de conseils, de
soutien mthodologique et daccompagnement pour traiter correctement ce brlant
sujet. Il y a un besoin criant pour la promotion de pratiques saines, systmatiques, mthodiques et rigoureuses pour aborder les sujets cls que sont la gestion
des risques et le management de la continuit dactivit. Cela relve de la sant
conomique du pays moyen terme et ce ne sont pas les seuls efforts de fourmi
de quelques consultants qui changeront la donne.
Quelques actions symboliques pourraient dj faire beaucoup : la diffusion
dune brochure dinformation, la mise en place de guides mthodologiques adapts
et disponibles gratuitement, la nomination dune mission ministrielle pour la
continuit dactivit, une campagne de communication cible dans la presse
spcialise, la mise en place de pages Internet ddies, etc.
Pour aller plus loin, Patrick Lagadec, directeur de recherches lcole polytechnique et spcialiste mondial de la gestion de crise proposait rcemment de
mettre en place :
des clubs de partage, de questionnement et dexprience [] 1 ;
des forces de rflexion rapide, [] groupes culture diversifie [] mobilisables pour de lappui multiforme en cas dpreuve lourde ;
des partenariats dans laction et les prparations : les crises mergentes
conduisant [] des problmes sans frontires organisationnelles, il
devient urgent dengager les oprateurs notamment les gestionnaires de
rseau des questionnements, des entranements en commun. 2
Sur ce dernier point, il est intressant de noter que le 28 novembre 2005 au
Royaume-Uni, un test grande chelle des plans de continuit des entreprises
du secteur bancaire a t orchestr par plus de mille acteurs des trois institutions
britanniques du domaine (HM Treasury, Bank of England, Financial Services
Authority). 80 entreprises ont particip cet exercice, profitant de llan cr
1. Il y aurait beaucoup attendre des retours dexprience de crises comme celle dAZF en 2001.
2. P. Lagadec, Scurit collective et nouvelles menaces, revue Prventique Scurit (n79 et n80).
Conclusion
221
Annexes
A
Sigles et abrviations
AR
Analyse de risques
BCI
BCM
BIA
CRM
DG
DRH
DRII
DSI
E=MCA
ERP
FAI
GED
GIE
LAN
MCA
MTBF
PCA
PCO
PGC
226 Annexes
PMI
PRA
PRAp
PSI
RAID
RCS
RH
Ressources humaines
ROI
RPO
RSSI
RTO
SAN
SGBD
SI
Systme(s) dinformation
SIMCA
SMCA
SLA
SLM
WAN
VLAN
B
Quelques illustrations
documentaires
de la mthodologie
B.1
AVERTISSEMENT
Les trois illustrations documentaires figurant dans ce paragraphe prsentent des
exemples issus de cas rels. En tant que tels, ils ne peuvent prtendre sappliquer
gnriquement un grand nombre de situations. Ils peuvent nanmoins constituer une intressante base de travail, ou mieux, un point de comparaison dans
une phase avance dun projet PCA.
On trouvera par ailleurs, dans les tudes de cas du chapitre 6, dautres illustrations documentaires de la mthodologie.
228 Annexes
B.2
Cellule de Crise
Dcisionnelle
Plan de communication
Procdures
Transverses
Plan de reprise du Systme
dInformation
B.3
229
Contraintes : en particulier, les contraintes rglementaires et celles concernant les autorits de tutelle seront analyses, notamment les contraintes
de reporting lgal.
Saisonnalit : loccurrence dun sinistre prsente-t-il une criticit plus grande
sur lactivit un moment de lanne qu un autre (clture des comptes,
priodes de vente privilgies, priode prcdant immdiatement la fermeture
annuelle dune usine, etc.).
Analyse dimpact : selon la grille des critres dfinis, il sagit de quantifier
les impacts (directs et indirects) sur lactivit : perte de chiffre daffaires,
surcot de fonctionnement dgrad, cot de reconstitution de linformation,
impact sur limage, impact rglementaire, impact oprationnel sur dautres
processus, etc.
Ressources humaines cls : il sagit didentifier les membres du personnel
ncessaire un fonctionnement dgrad.
Ressources systmes dinformation cls : on cherche identifier cette
fois les applications, bases de donnes auxquelles laccs est ncessaire
pour la poursuite de lactivit.
Ressources dinfrastructure cls : il peut sagir de la bureautique (tlphones, fax, imprimantes, copieurs, logiciels locaux, etc.), des locaux
(postes de travail, bureaux, salle de runion, tableaux, etc.), des moyens du
rseau (rseau local, serveurs ou PC local, accs Internet, etc.) ou des
moyens de production spcifiques (machines de production, quipements
individuels de protection, etc.).
Dossiers et informations vitaux : contrats commerciaux, tats papier,
sauvegardes rcentes, copies lectroniques de documents, archives essentielles, etc.
Liens de dpendances entre ressources critiques : les principaux liens de
dpendance entre les ressources cls seront identifis.
Temps dinterruption maximal acceptable : on dfinira pour les ressources cls les temps maximums tolrables dinterruption ou dindisponibilit
pour dfinir les priorits de reprise. Pour les lments du SI, il sagira tout
simplement des RTO et RPO.
Procdures dgrades dj en place : sil existe dj des modes dgrads
prdfinis de gestion de lactivit en cas de problme.
Stratgie de secours possible : par exemple le tltravail, la relocalisation
temporaire sur un site voisin ou le transfert de production sur une autre
usine.
Retour dexprience sur sinistre : si une exprience de sinistre a t vcue,
on identifiera les principales leons en tirer.
230 Annexes
B.4
1.X
1.X
1.X
Date
metteur
Vrificateur
Sommaire
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
231
236
Gestion de crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
236
Retour la normale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
239
Annexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
241
Introduction
1.1 Objectif
Ce plan de continuit local vise dfinir un mode local de raction face un
sinistre affectant la continuit de lactivit de [entreprise]. Les principaux objectifs
de ce plan sont de :
Minimiser limpact dun sinistre sur les activits de [entreprise] en proposant
une dmarche structure en trois phases :
alerte et activation du plan
gestion de crise
retour la normale
231
1.2 Primtre
Le primtre dapplication de ce document est le site de [ complter] de [entreprise]. Cette dfinition inclut :
les locaux ;
les acteurs attachs au site (personnel et prestataires) ;
le matriel : immobilisations corporelles (matriels de bureau, matriel
informatique hardware, etc.) et incorporelles (logiciels en particulier) de
[entreprise] sur le site ;
linformation : les donnes et documents sous toutes formes (papier, base
de donnes, sauvegardes, archives, CD-Rom, etc.).
232 Annexes
Constitution
La cellule locale de crise est constitue des :
Responsable de la cellule de crise du site : en gnral un reprsentant de
lentit majeure du site ou de lactivit stratgique
Responsable de lquipe dintervention
Responsable de lquipe logistique et relocalisation
Responsable de lquipe SI
Responsable communication
La cellule locale de crise se runit sur avis du responsable de la cellule locale
de crise dans le local prvu cet effet (tel que dfini dans lannexe 10 : fiche
signaltique de site). En situation de crise, ce local devient le lieu de travail de la
cellule locale de crise.
Nom
Fonction PCA
Responsable
cellule de crise
Responsable
quipe
dintervention
Responsable
quipe logistique
et relocalisation
Responsable
quipe SI
Responsable
communication
Adresse
personnelle
Tlphone
personnel
Tlphone
portable
Statut
(Titulaire /
Supplant)
Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant
233
Constitution
Nom
Fonction
PCA
Adresse
personnelle
Tlphone
personnel
Tlphone
portable
Statut
(Titulaire /
Supplant)
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
234 Annexes
Constitution
Nom
Fonction
PCA
Adresse
personnelle
Tlphone
personnel
Tlphone
portable
Statut
(Titulaire /
Supplant)
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
235
2.6 quipe SI
Constitution
Nom
Fonction
PCA
Adresse
personnelle
Tlphone
personnel
Tlphone
portable
Statut
(Titulaire /
Supplant)
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
236 Annexes
Gestion de crise
La cellule locale de crise et chaque quipe de crise se voient attribuer une liste
dactions mener ds que la phase dalerte a conduit lactivation du plan.
Les actions senchanent chronologiquement ce qui permet den optimiser le
droulement.
Cette liste de rfrence constitue une check-list qui sera la base du reporting
entre, dune part, lquipe et la cellule locale de crise, et dautre part, entre la
cellule locale de crise et le QG de crise de [entreprise] (le cas chant).
237
EN CRISE
Action
Fait
POST-CRISE
Action
Fait
quipe dintervention
Action
Coordonner les efforts entre les autorits civiles (le cas chant) et le personnel
Coordonner la prise en charge des membres du personnel ventuellement
blesss (en corrlation avec les autorits civiles et la DRH)
Se mettre disposition des autorits civiles (le cas chant) pour les aider
dans leur mission
Assurer la mise en scurit du personnel par lapplication des consignes
Fait
238 Annexes
Action
Fait
Fait
239
quipe SI
Action
Fait
Retour la normale
Les modalits de retour la normale dcrites ci-dessous permettent de grer au
mieux un retour une situation nominale.
Dans certains cas, ce retour la normale permet de revenir une situation
identique celle prcdant le sinistre (lorsque les dommages subis sont temporaires,
notamment).
240 Annexes
Dans une majorit de cas (plus particulirement, lorsque les dommages subis
sont irrversibles et dfinitifs, lors dun incendie par exemple), le retour la
normale ncessite des travaux, voire une relocalisation permanente.
Le retour la normale passe habituellement par 3 phases :
Rparations
Remplacement des quipements et fournitures
Tests de linstallation (nouvelle ou rpare)
Le retour la normale est pilot par la cellule locale de crise. Si un QG de
crise a t mis en place pour le dclenchement du plan de continuit, le retour
la normale ne peut seffectuer sans laccord exprs de celui-ci.
En plus des trois phases numres, le retour la normale passe obligatoirement
par linformation du personnel.
Rparations
Action
Fait
Fait
Action
Thme
Analyse de risques
241
Fait
Action
Tests fonctionnels
Tests de performance
Tests de scurit
Scurit physique
Scurit logique
Scurit des communications
Scurit de lenvironnement
Annexes
Annexe 0 : Les principaux contacts utiles en interne
Annexe 1 : Coordonnes du personnel du site
Annexe 2 : Coordonnes des principaux fournisseurs
Annexe 3 : Numros durgence (autorits civiles)
Annexe 4 : Inventaires du site
Annexe 5 : Sauvegardes de donnes
Annexe 6 : Procdures doprations (systme)
Annexe 7 : Matrice dvaluation des dgts et de classification du sinistre
Annexe 8 : Solutions de secours suivant la gravit des scnarios de sinistre
Annexe 9 : Premires consignes de scurit ou procdures durgence
Annexe 10 : Fiche signaltique de site
Nom
Adresse
personnelle
Poste
tl.
sur site
Tl.
personnel
Tl.
portable
242 Annexes
Nom
Adresse
personnelle
Poste
tl.
sur site
Tl.
personnel
Tl.
portable
Commentaires/
Domaine
Bureautique
Bureautique
Site de repli
ou de secours
Stockage externalis
Supports
magntiques
Supports papier
Fluides
Groupe (Fuel)
Mobilier et fournitures
de bureau
Fax
Photocopieur
Fournitures
Prestataires de service
Ascenseurs
Tlviseurs
Rseau interne
Bureautique
Groupe
Onduleurs
Gardiennage
Nom
Adresse
Tlphone
243
Commentaires/
Domaine
Nom
Adresse
Tlphone
Matriel informatique
Site de repli ou de
secours
Stockage externalis
Tlcoms
Mobilier et fournitures
de bureau
Prestataires de service
Champ daction
Tlphone
Police
17
Pompiers
18
SAMU
15
Centre antipoison
Hpitaux de proximit
Services brls
Chirurgie de la main
Etc.
244 Annexes
Bureautique
Type quipement
Modle
Configuration
Quantit
Commentaire
Configuration
Quantit
Commentaire
Modle
Note de criticit
Format (lectronique
ou papier)
Commentaire
Hardware informatique
Type quipement
Modle
Configuration
Quantit
Commentaire
Quantit
Commentaire
Software
Type quipement
Applications et Version
Intitul
Version jour
Disponible
245
Identification
Mdia (CD,
DLT, etc.)
Nombre
de copies
Intitul
Version jour
Disponible
Objet
Configuration
ncessaire
Responsable fonctionnel/
Coordonnes
Localisation
Auteur :
Date :
Fait ?
Nature du sinistre
Y a-t-il plus dun site impact ? (Si oui, lesquels ?)
Y a-t-il des blesss ? (Si oui, gravit ?)
quelle dure estimez-vous limpact du sinistre sur
la continuit dactivit ? (1h/ 1 jour/ 1 semaine / 1 mois)
La gestion des oprations et la production sont-ils en jeu ?
Limpact ventuel sur le CA et les pertes financires
indirectes serait :
< 100 keuros ? (faible)
>100 keuros et < 1 Meuros ? (moyen)
> 1 Meuros et < 5 Meuros ? (grave)
> 5 Meuros ? (critique)
246 Annexes
Auteur :
Date :
Fait ?
Quel est le nombre approximatif demploys dans limpossibilit dexercer leur activit ? (1/ 5/ 10/ 30/ 50/ plus ?)
Y a-t-il un risque de retombes mdiatiques dfavorables
pour lentreprise court ou moyen terme ?
Limpact prvisible sur la satisfaction des clients
est-il critique, grave, moyen, faible, nul ?
Limpact rglementaire prvisible est-il critique, grave,
moyen, faible, nul ?
Remarques
Processus [ complter]
Infrastructure
RH
1 jour
1 semaine
1 mois
Commentaires
SI
Applications
Autres
Version de rfrence
Rfrence
Intitul
Version jour
Disponible
247
2. Nombre tages
3. Superficie
4. Proprit du site
5. Partition
6. Nombre de
personnes sur site
7. Responsable de
site / coordonnes
9. Sous-sol
12. Accs TC
14. Zone
dimplantation
15. Autre
Environnement
11. Sites sensibles
proximit
22. Nombre de
bureaux
23. Infrastructure
24. Matriels
divers
32. Informatique
mtier
33. Tlphonie
34. Liaisons
35. Autre
43. Tlphonie
44. Liaisons
45. Autre
quipements du site
31. Informatique
support
quipements de secours
41. Informatique
support
42. Informatique
mtier
Notes :
1.
2.
Au-dessus du sol
3.
En m2
4.
248 Annexes
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
21.
22.
23.
24.
31.
32.
33.
34.
35.
41.
42.
43.
44.
45.
C
Les dmarches connexes
et les mthodes associes
C.1
ISO 9001
Le rfrentiel ISO 9001 est le plus connu et le plus rpandu dans le monde. Il a
pour vocation ddicter les exigences pour la mise en place dun systme de
management de la qualit afin den faire un outil de pilotage de lactivit visant
assurer la satisfaction des clients.
La dernire version du rfrentiel (2000) fonde le systme de management
sur une approche processus de lentreprise, lcoute du client.
Cest surtout en raison de sa notorit, de sa lisibilit sur la scne internationale
et de la possibilit dobtenir une certification quil est choisi.
250 Annexes
ISO SPICE
ISO SPICE (norme XP ISO/CEI TR 15504, dite ISO SPICE) est un modle
dvaluation de la maturit des processus du logiciel. SPICE est lacronyme de
Software Process Improvement Capability dEtermination. Si son but premier ntait
pas tant la modlisation que lvaluation, son usage a t souvent dtourn pour
en faire un modle dans la dfinition des processus du cycle du gnie logiciel
(capitalisant en cela les travaux effectus sur lISO 12207). ISO SPICE est clairement orient tudes et dveloppement (au contraire dITIL par exemple qui
est rsolument orient production et services informatiques).
Inities en 1993, les rflexions qui ont abouti la publication du rfrentiel
ISO SPICE visaient spcifier un standard en matire de pratique de dveloppement dapplication. Aujourdhui, le rfrentiel propose un modle de management
de processus ainsi quun ensemble dexigences et de conseils pour lvaluation et
lamlioration de ces processus.
Ce modle propose deux dimensions qui permettent de dcrire la maturit de
chaque processus :
Une dimension Processus qui dfinit les activits majeures du gnie logiciel,
regroupes en cinq familles (activits lies au client, activits dingnierie,
activits de support, activits dorganisation et activits de management) ;
Une dimension Aptitude qui propose des modes dapplication et de gestion
de ces activits en tendant vers des processus de plus en plus efficaces.
Le rfrentiel normatif de SPICE est lui-mme compos de neuf parties dont
la principale est lXP ISO/CEI TR 15504-5 qui prsente le modle lui-mme. Les
autres parties visent dcrire les modalits dvaluation, les critres de qualification
des valuateurs, le vocabulaire associ, etc.
Le modle ISO SPICE propose ainsi 36 processus type, dfinis par des pratiques
de base, et chacun de ces processus type peut tre mis en uvre au sein dune
entreprise un niveau de maturit qui va du niveau 0 (processus incomplet) au
251
252 Annexes
ITIL
LInformation Technology Infrastructure Library (ITIL) est laboutissement
dannes de rflexion et dexprience pratique des problmes poss par la gestion
de la production informatique. Le concept cl dITIL est la notion que le service
informatique est prestataire de services auprs des utilisateurs. Lobjectif dITIL
est de constituer un rfrentiel de bonnes pratiques pour la fourniture de services
informatiques. ce titre, il na pas dquivalent en terme dexhaustivit, de
structure et dadoption.
la fin des annes 1980, des groupes de travail de professionnels des services
informatiques (responsables oprationnels, consultants et experts) ont t runis
par la Central Computer & Telecommunications Agency (CCTA), agence gouvernementale britannique charge damliorer lefficacit et la qualit des services
informatiques centraux des ministres. Les rsultats ont t publis sous forme de
guides de bonnes pratiques bientt regroups et commercialiss sous le nom de
Information Technology Infrastructure Library (ITIL).
ITIL sest depuis rapidement rpandu en Europe (en particulier aux Pays-Bas) et
aux tats-Unis o il connat un succs croissant. En France, son utilisation est
encore en retrait mais la prochaine traduction en franais des deux rfrentiels
fondamentaux (Service Delivery et Service Support) acclrera sans doute un mouvement dadoption qui prend rgulirement de la vitesse depuis quelques annes.
Trois concepts cls sous-tendent la construction et lesprit dITIL. Ces trois
concepts ont dailleurs t largement repris dans la nouvelle version de lISO 9001 :
Customer focus (coute client) : le client (lutilisateur) doit tre plac au
centre des proccupations de la direction des SI (la DSI na pas de raison
dtre sans lui).
Lifecycle management (gestion du cycle de vie) : les problmatiques de services
informatiques ne dbutent pas la mise en production des applications et
doivent tre prises en compte ds les phases dtudes et de dveloppement.
Process management (approche processus) : la qualit de service a plus de
chances dtre satisfaisante si on la considre comme rsultant dune
bonne gestion des processus de services.
253
254 Annexes
dfinis, lanalyse porte sur tous les scnarios pouvant conduire lchec du processus.
On audite alors le mode de fonctionnement du processus en regard des risques et
on dfinit les mesures complmentaires de rduction des risques pour scuriser
son fonctionnement.
Cette mthode dapproche processus par lanalyse des risques nest pas un
outil de cartographie des processus mais permet davoir une approche pragmatique
lors des redfinitions de processus.
255
Description des engagements de service tant ct fournisseur (disponibilit, dlai de mise en uvre, garantie de mise disposition de personnel,
frquence et modalits de test de la solution, etc.) que ct client (respect
des procdures dalerte et descalade, fourniture du bon niveau dinformation,
mise disposition des donnes des sauvegardes de recours, fourniture des
scnarios et pilotage des tests, etc.).
Dfinition des conditions de satisfaction des engagements.
Description des modalits de contrle du respect des engagements (audit,
tests, visites impromptues, questionnaires, etc.).
Description des pnalits associes au non-respect des engagements : ce
sont souvent des contreparties financires associes aux prjudices subis
par le non-respect des engagements du fournisseur. Dans le cas qui nous
intresse, on voit que ces pnalits peuvent tre importantes. Elles sont en
partie dictes par les tudes menes lors de la phase de bilan dimpact sur
lactivit.
Modalits de rvision du document (frquence, domaines susceptibles
dtre rviss, conditions daccord, etc.).
La mthode AASMA1 (Alignement, attentes, spcification, monitoring,
amlioration), oriente fournisseur de services, reprend les principales tapes
pour la mise en place dune convention de service ou, plus gnralement, dune
dmarche de Service Level Management :
Alignement sur les
objectifs stratgiques
Ajustement et
amlioration
Monitoring
(outils +processus)
Recueil
des attentes clients
Proposition et
ngociation du SLA*
256 Annexes
C.2
LA SCURIT DES SI
Traditionnellement, deux coles coexistent en scurit des systmes dinformation :
lapproche mthode et lapproche bonnes pratiques .
La premire vise dfinir les outils permettant un organisme qui souhaite assurer la scurit de son SI de construire une solution de scurit couvrant ses besoins.
Elle passe par le recensement des risques et vulnrabilits, la dfinition des besoins
de scurit, la dfinition des dispositifs, techniques et humains qui vont donner le
niveau de scurit recherch. Lentreprise est considre comme un objet auquel on
va appliquer une mthode de scurit. Cest une dmarche spcifique chaque
entreprise. On trouve dans cette premire cole les mthodes EBIOS, MEHARI et
@NETS par exemple (il en existe bien dautres, comme OCTAVE ou loutil
COBRA, mais moins rpandues en France). Cette approche est exhaustive, trs
adapte aux besoins spcifiques mais lourde mettre en uvre.
La deuxime postule que les principes et moyens scurit se ressemblent pour
toutes les entreprises et que lessentiel des moyens de scurisation se rsume un
socle commun : les bonnes pratiques. Dans cette approche, lentreprise nest pas
lobjet dune tude spcifique. Lanalyse de scurisation est un diagnostic dcart
(gap analysis) entre les bonnes pratiques et les pratiques de lentreprise. La scurisation passera par la mise en conformit des pratiques aux bonnes pratiques . Cette approche est beaucoup plus pragmatique, plus lgre mettre en
uvre et bien adapte une structure et une activit dentreprises classiques. Les
deux principaux rfrentiels de bonnes pratiques sont dorigine anglo-saxonne :
ITIL et lISO 17799.
Les deux approches ne saffrontent pas sans cesse. La complmentarit des
deux, lorsquelle est bien orchestre par un spcialiste de la scurit, est mme fortement recommande : une analyse de risques base sur une mthode de scurit,
257
suivie dune mise niveau par rapport un rfrentiel de bonnes pratiques est un
compromis idal entre le cot de mise en uvre et ladaptation aux enjeux et
aux spcificits de lentreprise. Il est de toute faon difficile de faire limpasse sur
une analyse des risques et vulnrabilits, ft-elle simplifie, mme si lon recourt
plus volontiers une approche de type bonnes pratiques .
EBIOS
EBIOS (Expression des besoins et lidentification des objectifs de scurit) est la
mthode de la DCSSI (Direction centrale de la scurit des systmes dinformation, centre focal de ltat pour la scurit des systmes dinformation ) pour
lapprciation et le traitement des risques relatifs la scurit des systmes
dinformation. Elle sinspire de certains travaux de lOTAN. Elle permet de rdiger
diffrentes formes de cahier des charges de scurit des SI (FEROS, profils de
protection...) et de contribuer llaboration du rfrentiel dun organisme
(schma directeur SSI, politique de scurit des systmes dinformation, tableaux
de bord SSI...). EBIOS sorganise en quatre tapes principales :
Ltude du contexte
Lexpression des besoins
Ltude des risques
Lidentification des objectifs de scurit
EBIOS est une mthode trs complte, qui permet daborder de faon systmatique lanalyse des risques et des vulnrabilits dun systme dinformation.
Elle est utilise notamment dans ladministration franaise. EBIOS propose des
outils et guides pratiques qui permettent sa mise en uvre autonome. Autre
avantage, EBIOS est dans le domaine public. Sa mise en uvre est toutefois
complexe et gourmande en ressources : son exhaustivit et son langage technique
(beaucoup dacronymes et de concepts propritaires) exigent une grande pratique.
Pour ces raisons, EBIOS ne me semble pas convenir, tel quel, aux enjeux de la
plupart des entreprises franaises.
En revanche, sans aller jusqu une mise en uvre complte dEBIOS, beaucoup
dentreprises pourront sinspirer de son outillage pour raliser la phase 1 de la
mise en place dun plan de continuit dactivit (analyse du contexte) : en particulier, les rpertoires des menaces et des vulnrabilits proposent des typologies
fort intressantes pour stimuler la rflexion dun groupe de travail qui se penche
sur la cartographie des risques et vulnrabilits.
Une autre utilisation pragmatique dEBIOS me semble lutilisation de la
dmarche globale de Construction de la scurit dun systme dinformation 1
1. EBIOS, Guide technique, V1.02, p. 13, figure 1.
258 Annexes
MEHARI
MEHARI (MEthode HArmonise danalyse des RIsques) est une mthode
danalyse de risques dveloppe par le Clusif partir de deux mthodes plus
anciennes : MELISA (dveloppe par la DGA et la DCN) et MARION (initi
par le Clusif et lAPSAD). MEHARI est compatible avec le rfrentiel de
bonnes pratiques ISO 17799.
MEHARI est une mthodologie modulable dont le dploiement complet
permet principalement :
Lanalyse des vulnrabilits de lentreprise,
La dtermination des enjeux et la classification des actifs,
Lanalyse des situations risques.
Les applications sont ds lors trs nombreuses :
Classification des actifs dans le cadre de la mise en conformit ISO 17799,
Mise en place dun tableau de bord de la scurit,
Ralisation du bilan dimpact sur lactivit pour la mise en uvre dun PCA,
Dfinition du plan de scurisation dune entreprise,
Management des risques projet,
Mise en conformit aux exigences Ble II,
Audit de scurit, etc.
La modularit de MEHARI et son outil support (le logiciel RISICARE) en
font une mthode apprcie. Mais l encore, son utilisation dans des structures
de type PME/PMI se rvle souvent peu pragmatique.
@Nets
Comme larobase qui dbute son nom le laisse prsager, la mthode @NETS
(issue des travaux de la fdration franaise des socits dassurance) est une
mthode danalyse des risques lis au Net. Elle sapparente aux mthodes classiques MARION et MEHARI mais se veut :
rsolument moins formelle (et moins lourde) mettre en uvre ;
adapte un contexte de rseau ouvert, de type Web.
259
260 Annexes
261
ITIL
Nous avons dcrit le rfrentiel ITIL prcdemment. Nous nous bornerons ici
indiquer quun des volets de ce rfrentiel concerne la scurit de linformation :
il sagit du volet Security Management.
C.3
La sret de fonctionnement
La sret de fonctionnement (SdF) a pour objet ltude des mcanismes qui
conduisent aux incidents et aux accidents et la mise en uvre dactions et dispositifs visant atteindre le niveau dexigences dun systme en terme de fiabilit,
maintenabilit, disponibilit et scurit (critre FMDS).
Lobtention du niveau dexigences implique la prise en compte globale du
systme (approche systmique) pour dtecter les maillons faibles , les points
de dfaillance uniques, les dpendances, etc.
La SdF a pris son essor dans les projets lis des systmes critiques (dfense,
espace, nuclaire, transports, etc.) au sortir de la seconde guerre mondiale.
Finalement, mettre en place un plan de continuit dactivit revient raliser
une tude de sret de fonctionnement applique une organisation (considre
alors comme un systme trs complexe). Il peut ainsi tre utile de transposer
quelques outils de la SdF au contexte PCA.
On trouve dans cette discipline des outils et mthodes destins analyser et
dcrire les causes de dysfonctionnement dun systme. On retiendra en particulier
les mthodes suivantes qui pourront inspirer des approches lors dun bilan
dimpact sur lactivit :
AMDEC (analyse des modes de dfaillance, leurs effets et leurs criticit),
cette mthode vise tudier :
les modes possibles de dfaillance dun systme ;
les effets de ces dfaillances sur les critres FMDS ;
les moyens envisageables pour lamlioration du niveau de sret du
systme.
Arbres de dfaillances, arbres de causes, arbres dvnements : ces mthodes de SdF permettent de reprsenter la logique des combinaisons de faits
ou de conditions qui ont conduit, conduisent ou pourraient conduire des
incidents ou accidents.
262 Annexes
263
Dans tous ces cas, la mise en place dune dmarche de management des
risques projet met disposition du chef de projet un puissant outil de management de projet. Lexternalisation du management des risques projet est une
alternative intressante dans la mesure o elle garantit :
Lindpendance des mesures de rduction des risques prconises.
Lexternalisation des frictions lies la mise en uvre et la ralisation des
actions en rduction des risques (le management des risques est trop
souvent peru comme une dmarche connexe sans valeur ajoute).
La prennit de la dmarche tout au long du projet.
chaque fois que jai pu raliser pour le compte dun client ce type de dmarche, jai tenu jour des indicateurs permettant de mesurer lefficacit et le retour
sur investissement dun management des risques projet. Mes observations
semblent montrer que :
La baisse de la criticit globale (somme des produits de la probabilit doccurrence par limpact potentiel, pour chaque risque identifi) de lensemble des
risques pesant sur un projet et imputable la mise en uvre dune dmarche
de management des risques (de type PR2IHSM) volue dans une fourchette
comprise entre 40 et 65 %.
Ce rsultat est rapprocher du cot gnr par la mise en uvre dun management des risques projet. Un ordre de grandeur de ce cot (en charge de travail,
hors budget dinvestissement matriel) peut tre avanc ainsi :
Environ 1 2 % de la charge du projet pour le pilote de la dmarche.
Sans doute proche de 3 4 % de la charge du projet pour les responsables
dactions de rduction des risques. Cette dernire estimation est difficile
donner prcisment tant donn :
quil sagit de tches dilues dans les responsabilits oprationnelles des
acteurs du projet ;
que cette dmarche de management des risques formalise de nombreuses actions qui devraient, de facto, faire partie de ces tches oprationnelles mais sont souvent dlaisses.
La mthode PR2IHSM est un programme qui reprend les quatre tapes classiques de management des risques projet.
264 Annexes
RISQUES
PR2 IHSM
Risk-based testing
La notion de stratgie de test base sur les risques (risk-based testing) reprend les
concepts dvelopps pour toutes les stratgies dinvestigation bases sur les
risques. Tout comme lauditeur financier ou linspecteur de travaux BTP focalisent leurs investigations sur les zones risques de leur champ dtude (faute de
pouvoir tre exhaustifs), le responsable du test dun systme (ou dune application)
peut orienter la stratgie de test sur les zones du systme prsentant, son sens,
les plus grands risques.
Lintrt dune telle approche est videmment un retour sur investissement
de la dmarche trs intressant. On considre gnralement que la rgle des 80/20
sapplique : 80 % des risques sont couverts si lon focalise les tests sur les 20 % du
primtre tudi qui prsentent le plus de risques.
Si lapproche est la mme entre le test dun systme (ou dune application),
laudit financier et linspection de chantiers, on aura compris que toute la diffrence provient de la capacit de lun ou lautre des acteurs dlimiter avec
discernement et jugement professionnel les zones risques dans son activit.
D
Matrice de correspondance
entre la mthodologie E=MCA
et les Good Practices
Guidelines du BCI
Stage 5 : Exercising,
maintenance & audit
Stage 4 : Developing
a BCM culture
Stage 3 : Developing
a BCM response
Stage 1 :
Understanding your
business
Stage 2 : BCM
strategies
Business Continuity
Management
BCM Policy
Managing the programme
Incident readiness and
response
Organisation Strategy
BIA
Risk assessment
Organisation (Corporate)
strategy
Process level strategy
Ressource recovery
strategy
Crisis management plan
BCP
Business units
resumption plans
Assessing awareness
Developing a BCM
culture
Monitoring cultural
change
Exercising
Maintenance
Audit
tape/Step
Phase 1 :
Mieux connatre son activit
E=MCA
Phase 4 :
Phase 3 :
Dvelopper le PCA
Mettre en place
le secours
Phase 5 :
Conduire le
changement
Phase 6 :
Piloter
Projet PCA
Maintien en
cond. oprat.
Sensib., form.
et com.
Gestion de
crise
Alerte et
activation
Organisation
de crise
Test de la
solution tech.
Organisation
Mise en place
infra. tech.
Choix solution
technique
Stratgie
locale
Stratgie
globale
Couverture
assurances
AR
BIA
Cartographie
des sinistres
Diagnostic
Prvention
Phase 2 :
Orienter la
stratgie MCA
D. Matrice de correspondance entre la mthodologie E=MCA et les Good Practices Guidelines du BCI
266
MCA
Contrle du
PCA
Test du PCA
Retour la
normale
Procdures
dgrades
Bibliographie
US NATIONAL FIRE PROTECTION AGENCY (NFPA) NFPA 1600 : 2004, Standard on Disaster/
Emergency Management and Business Continuity Programs, norme, 2004.
DISASTER RECOVERY INSTITUTE INTERNATIONAL Seven-step business continuity planning
model, mthode, 2003.
US GENERAL ACCOUNTING OFFICE (ACCOUNTING AND INFORMATION MANAGEMENT DIVISION) Year 2000 computing crisis, Business Continuity and Contingency Planning,
aot 1998.
CHANCELLERIE FDRALE (SUISSE) Principes de conduite, pendant, aprs et avant une crise,
aide-mmoire, 2003.
AUSTRALIAN NATIONAL AUDIT OFFICE (ANAO - COMMONWEALTH OF AUSTRALIA) Better
Practice Guide on Business Continuity Management, guide de bonnes pratiques, 2000.
RECOVERY JOURNAL)
Bibliographie
269
GLOVER I. (INSIGHT CONSULTING) Business Continuity Planning : Training is the key, article,
sans date.
BENVENUTO N. & ZAWADA B. (PROTIVITI) The relationship between business continuity and
Sarbanes-Oxley, article, sans date.
TTE F. (XP CONSEIL) La continuit des activits, la sauvegarde des donnes, le plan de secours,
prsentation, aot 2004.
01INFORMATIQUE Les systmes dinformation en pleine transformation, enqute, 30 juin 2005.
CITSEC Citsec Business Continuity Overview, article et mthodologie, sans date.
01INFORMATIQUE Reprise dactivit : noubliez pas le backup, article, 30 juin 2005.
CONTINUITY INSIGHTS (ROJAS B.) BCP the Mariott way, article, 2004.
ROBSON RHODES Steady State Technology solutions for maintaining business continuity plans,
tude comparative des logiciels MCA, 2004.
GROSJEAN C. (DECISION INFORMATIQUE) Sauvegarde sur bandes : superlecteurs ou automates ?, article, 2 fvrier 2005.
LVY-ABGNOLI T. (ZDNET.FR) Sauvegarde sur disque : une approche complmentaire de la
bande, article, 1er dcembre 2004.
RSM ROBSON RHODES Steady State : Technology solutions for maintaining business continuity
plans, livre blanc, 2004.
CORNISH M. (FBCI, RMI) Business Continuity Software, tude ralise initialement pour le
BCI South East Forum, mars 2004.
CORNISH M. (FBCI, RMI) Business Continuity Software - Questionnaire, grille de critres,
2004.
CONTINUITY CENTRAL Business Continuity Software Survey Results, enqute, 29 octobre 2004.
HONEY P. (MERRIL LYNCH & CO) Creating the Master Plan, prsentation, 2004.
INSTITUTE OF DIRECTORS (IOD) Business Continuity Helping directors build a strategy for a
secure future, livre blanc, dcembre 2000.
BUSINESS CONTINUITY INSTITUTE Information & communications survey report, 7th July 2005,
enqute, 2005.
HILES A. Business Continuity : Best Practices, livre, 2e dition, 2004.
VON ROESSING R. Auditing Business Continuity : Global Best Practices, livre, 2002.
PREEMPT INC. How far is far enough ?, rsultats denqute, septembre 2005.
TRIPARTITE STANDING COMMITTEE ON FINANCIAL STABILITY Financial Sector Business
Continuity Annual Report, rapport, octobre 2005.
ET
Bibliographie
271
AFNOR XP ISO/CEI TR 15504 dite ISO SPICE, valuation de processus du logiciel, norme,
dcembre 1998.
CLUSIF Retour sur investissement en scurit des systmes dinformation : quelques cls pour
argumenter, rapport du groupe de travail ROSI, octobre 2004.
SOFTWARE ENGINEERING INSTITUTE (SEI) US DEPARTMENT OF DEFENSE & CARNAGIE
MELLON UNIVERSITY Capability Maturity Model Integration (CMMi) V1.1, mars 2002.
CFO RESEARCH SERVICES & PRICEWATERHOUSECOOPERS IT moves from Cost Center to
Business Contributor, rapport, septembre 2004.
CASES LUXEMBOURG Prjudices financiers, fiche thmatique 017, sans date.
VICKOFF J.-P. (RAD) Organisation des dveloppements SEI-CMM & ISO SPICE, article,
2000.
CHAMPENOIS A. Infogrance, livre, ditions Dunod, 2002.
OECD OECD Principles of Corporate Governance, livre blanc, 2004.
Scurit de linformation
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 17799 : Information Technology Security Techniques Code of practice for information security management, code de bonnes pratiques, 15 juin 2005.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 27001 : Information Technology Security Techniques Information Security Management Systems Requirements, norme, 15 octobre 2005.
BRITISH STANDARDS INSTITUTE (BSI) BS7799-2 : 2002, Information Security Management
System (ISMS), norme, 2002.
FDRATION FRANAISE DES SOCITS DASSURANCE @Nets, Mthode dAnalyse des Risques
lis au Net, mthode V3, 2000.
CLUSIF MHARI : Mthode Harmonise dAnalyse des Risques V3, mthode, 2004.
DIRECTION CENTRALE DE LA SCURIT DES SYSTMES DINFORMATION (DCSSI) EBIOS,
Expression des Besoins et Identification des Objectifs de Scurit, mthode, 2005.
CLUSIF Management de la scurit de linformation, une approche normative : BS7799-2,
dossier technique dcembre 2004.
LUCENT TECHNOLOGY Information security management : understanding ISO 17799, white
paper, avril 2004.
LES ASSISES DE LA SCURIT (P.-L. REFALO ET AL.) Livre blanc : pour un management stratgique des cyber-risques, livre blanc, octobre 2004.
CNRS Scurit informatique (numro 34), magazine avril 2001.
CIGREF Scurit des systmes dinformation : quelle politique globale de gestion des risques ?,
rapport, septembre 2002.
ERNST&YOUNG (ANTONINI P.) La scurit des systmes dinformation dans les entreprises
franaises en 2004, tude, dcembre 2004.
Systmes de management
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 9001 : 2000, Systmes de
management de la qualit, norme, 2000.
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 14001 : 2004, Systmes
de management environnemental, norme, 2004.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 17799 : Information Technology Code of practice for information security management, code de bonnes
pratiques, 2000.
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 9001 : 2000, Systmes de
management de la qualit, norme, 2000.
BRITISH STANDARDS INSTITUTE (BSI) Occupational Health and Safety Assessment Series
(OHSAS), OHSAS 18001 :1999, Occupational health and safety management systems Specification, norme, 1999.
BRITISH STANDARDS INSTITUTE (BSI) BS8800 :1996 : Guide to occupational health and
safety management systems, norme, 1996.
SOCIAL ACCOUNTABILITY INTERNATIONAL (SAI) SA 8000 : 2001, Social Accountability,
norme, 2001.
AFNOR FD X 50-176 : Management des processus, norme, juin 2000.
BRUNELLE E. Llaboration dun systme de management intgr : qualit et environnement,
thse de Master, Universit de Sherbrooke, 2005.
DUCHAMP A. (VOIRIN CONSULTANTS) Le management intgr : un enjeu de performance,
article, aot 2004.
Sitothque MCA
www.drii.org (****) : le site du Disaster Recovery Institute International (cr en 1988 et, ce
titre, une des plus anciennes institutions sur le sujet) ; site amricain gnraliste sur le
MCA ; beaucoup de ressources en ligne (certification professionnelle, emplois, mthodologies, articles, news, calendrier et vnements, etc.) ; lergonomie nest pas des plus
modernes mais le contenu est l !
www.continuitycentral.com (****) : site gnraliste (britannique) qui propose de nombreux
articles et un moteur de recherche performant pour y accder (par thme, rgion du
monde, secteur dactivit, etc.) ; les articles sont en accs libre et sans enregistrement
pralable ; comprend galement une section mthode et conseils de mise en uvre.
www.drj.com (****) : site du Disaster Recovery Journal ; vitrine pour la publication du
mme nom mais propose un contenu trs riche au-del (outils, articles, nombreux white
papers, mthodologies, liens vers la plupart des ressources MCA, modles de documents,
etc.) ; attention, une partie non ngligeable du contenu est rserve aux abonns la
revue, mais labonnement est gratuit pour laccs en ligne !
www.thebci.org (***) : site institutionnel du Business Continuity Institute (britannique) ;
propose les fameux Good Practices Guidelines du MCA et le schma professionnel de
certification (dvelopp conjointement avec le DRI International).
www.contingencyplanning.com (***) : site amricain ; beaucoup darticles archivs en
accs libre (aprs enregistrement) ; outils et mthodologies galement accessibles ;
propose aussi un panthon des personnalits amricaines du MCA (Rudolph Giuliani
par exemple !)
Index
Symboles
@Nets 258
A
AA 1000 207
AASMA 254
Air France 250
alerte et activation du PCA
89
Amadeus 250
AMDEC 261
AMF 24
analyse
de couverture des contrats dassurances 77
des risques 74
APAR 212, 253
AR 74
aspect contractuel du secours
informatique 127
B
backup dastreinte 120
BIA (Bilan dimpact sur
lactivit) 29, 38, 50, 55,
71, 145, 175
BS-7799-2 259
BS8800 206
BSI PAS 56 23
C
Capability Maturity Model
Integration 251
Central Computer & Telecommunications Agency
252
choix de la solution technique
de secours 81
client/serveur 156
Clusif 4
CMMi 211, 251
COBRA 256
COFACE 250, 251
Comit de la rglementation
bancaire et financire
XVIII, 14
composants
critiques du SI 154
dun PCA 46
comptabilits informatises
24
continuit dactivit XVII
Continuity of Operations Plan
26
contrle du PCA 101
cot
dune heure
dinterruption 4
du secours 137
CRBF XVIII, 14
CRBF 2004-02 XVIII
Crisis Management Plan 26
CRM 11
D
DAS 151
DCSSI 257
diagnostic de prvention 67
direction
gnrale 27
mtier 29
Disaster Recovery Institute
International 10, 22
Disaster Recovery Journal 22
Disaster Recovery Plan 26
disponibilit des solutions 122
DRII 22
DRJ 22
duplication
sur bandes/cartouches
146
sur disque 147
E
E=MCA XXI
EBIOS 257
276
cueils courants 36
electronic vaulting 150
Ernst & Young 5
ERP 262
tudes de cas 165
F
faible disponibilit 122
FD X 50-176 211
formation 94
fournisseurs de solutions
de secours (SI) 125
J
journalisation 144
distante 150
L
Lagadec 9, 220, 270
GED 134
gestion
de crise 55, 91
de la relation client 11
lectronique de la
documentation 134
Good Practice Guidelines 21,
23
gouvernement dentreprise
12, 13
guides mthodologiques
du BCI 21
H
haute disponibilit 122
HB 221 : 2004 25
I
IASC 24
impression 162
industrie pharmaceutique 24
Information Technology
Infrastructure Library
(ITIL) 26, 252, 261
Internet 162
ISO 12207 250
ISO 14001 206
ISO 17799 20, 207, 259
ISO 27001 207, 259
ISO 9001 206, 249
N
NAS 151
NASD 3510/3520 24
NFPA 1600 : 2004 25
normes et standards 19
NYSE 446 24
O
OCTAVE 256
OHSAS 18001 206
organisation
autour de la solution
technique (SI) 85
de crise 88
outils et moyens
priphriques 159
P
PCA 14, 26
PCAI 26
PCE 26
PCF 26
PCO 26, 88
PDCA 208
peer-to-peer 156
PGC 26, 88
pilotage
du MCA 104
du projet PCA 102
plan
comptable gnral 24
dassurance qualit 34
de continuit dactivit
14, 26
de continuit dactivit
informatique 26
de continuit
dexploitation 26
de continuit
doprations 26, 88
de continuit
fonctionnelle 26
de gestion de crise 26, 88
de reprise dactivit 26
de reprise dapplication
26
de secours informatique
26
postes et stations de travail
159
PPCM 212
PR2IHSM 84, 103, 262
PRA 26
PRAp 26
procdure fonctionnelles
dgrades 92
processus unificateur 216
PSI 26
Index
Q
qualit (domaine SI) 249
R
RAID 147
rcupration et reconstitution des informations 131
Redundant Array of Inexpensive
Disks 147
remote journaling 150
rpartition de charge 149
rplication
asynchrone 150
synchrone 150
rseau
local 156
local sans fil 156
WAN 157
responsable
de la scurit du systme
dinformation 30
du PCA 30
ressources humaines 55
risk manager 29
Risk-based testing 87, 99, 264
ROI 47
roue de Demming 208
RSSI 30
S
SA 8000 207
salles
blanches 119
miroir 120
oranges 119
rouges 120
SAN 151
sauvegarde
distance 150
applicative 145
complte 144
diffrentielle 144
en ligne 147
incrmentale 144
logique 145
physique 145
restauration et disponibilit des donnes 143
systmes 146
sauvetage des locaux
et quipements 131
secours mobile 121
secteur
banques et finance 112
PME/PMI 112
public 113
scurit des SI 256
sensibilisation 94
serveurs 155
Service Level Management
conventions de service
254
SGBD 144
shadowing 150
SI infogr 114
SIES/ISRS 206
SIMCA 133
sites
production rpartie
120
web 158
SMCA 215
SMI 208
Social Accountability 207
277
solutions
de secours des moyens
de production 129
de secours du SI 118
stockage en rseau 151
stratgie
globale de continuit 78
locale de continuit 79
sret de fonctionnement
261
SWOT 78, 80, 82
systme de management
de la continuit
dactivit 205, 215
de la scurit
de linformation
(SMSI) 259, 260
intgr 260
systmes dinformation
du MCA 133
T
tlphonie 161
mobile 161
satellitaire 161
tlsauvegarde 150
test
de la solution technique
(SI) 86
du PCA 99
TL9000 20
typologie des moyens
de secours (SI) 119
V
virtualisation 151
voyages-sncf.com 251
TYPE DOUVRAGE
L'ESSENTIEL
SE FORMER
RETOURS
D'EXPRIENCE
Matthieu Bennasar
Prface de Paul Thron
EXPLOITATION
ET ADMINISTRATION
RSEAUX
& TLCOMS
PCA et SI
M. BENNASAR
INFOPRO
PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente
Matthieu Bennasar
Prface de Paul Thron
ISBN 2 10 049603 4
www.dunod.com