Sie sind auf Seite 1von 270

EMMANUEL

BESLUAU

Préface de François Tête
Préface
de
François
Tête

CON

NUITE D’ACTIVITE – PCA • PLAN DE REPRISE – PRA • CONTINUITE DE SERVICE • PLAN DE CONTINUITE D’ACTIV

– PCA

REPRISE

CONTINUITE

PR

PLAN

DE

Management de la

CONTINUITE

D’ACTIVITE

PLAN

PRA

DE

REPRISE

PRA

CONTINUITE

DE

PCA

PLAN

DE

CONTINUITE

DE

SERVICE

PLAN

REPRISE

PRA

CONTINUITE

DE

SERVICE

PLAN

DE

CONTINUITE

DE

CONTINUITE

D’ACTIVITE

PCA

SERVICE

D’ACTIVITE

PLAN

DE

PLAN

DE

REPRISE

PCA

PLAN

Continuité

DE

SERVICE

PLAN

DE

CONTINUITE

D’ACTIVITE

PCA

PLAN

PCA

PLAN

DE

REPRISE

PRA

REPRISE

PRA

CONTINUITE

DE

CONTINUITE

DE

SERVICE

PLAN

DE

CONTINUITE

DE

SERVICE

PLAN

SERVICE

PLAN

DE

CONTINUITE

CONTINUITE

D’ACTIVITE

PCA

DE

REPRISE

PRA

DE

CONTINUITE

D’ACTIVITE

PCA

D’ACTIVITE

PLAN

DE

PLAN

DE

activité

CONTINUITE

PCA

PLAN

DE

PRA

PCA

REPRISE

PLAN

PRA

DE

REPRISE

PRA

CONTINUITE

DE

CONTINUITE

DE

SERVICE

PLAN

DE

SERVICE

PLAN

DE

CONTINUITE

DE

CONTINUITE

D’ACTIVITE

D’ACTIVITE

PCA

PLAN

DE

PLAN

DE

REPRISE

PRA

SERVICE

D’ACTIVITE

PLAN

CONTINUITE

SERVICE

DE

DE

PLAN

SERVICE

DE

P

d’ D’ACTIVITE

PLAN

PRA

DE

DE

DE

REPRISE

CONTINUITE

CONTINUITE

D’ACTIVITE

SERVICE

PCA • PLAN DE REPRISE – PRA • CONTINU

PRA

DE

CONTINUITE

DE

PLAN

SERVICE

P

DE

CONTINU

CONTINUITE

PCA

REPRISE

CONTINUITE

CONTINUITE

SERVICE • PLAN DE CONTINUITE D’ACTIVITE – PCA • PLAN DE REPRISE – PRA • CONTINUITE DE SERVICE • PLAN

DE

CONTINUITE D’ACTIVITE – PCA • PLAN DE REPRISE – PRA • CONTINUITE DE SERVICE • PLAN DE CONTINUITE D’

TIVITE

PC

PLAN

PLAN DE REPRISE – PRA • CONTINU

DE

DE

CONTINU

D’ACTIVITE

D’ACTIVITE – PCA • PLAN DE REPR

– PRA

REPR

SERVICE

CONTINUITE

PLAN

– PRA

DE

DE

DE

PCA

REPRISE

CONTINUITE

PLAN

SERVICE

CONTINUITE

D’ACTIVITE

Implémentation ISO 27001

GESTION

DU

RISQUE

-

ANALYSE

DES

IMPACTS

STRATEGIE

DE

CONTINUITE

-

PLAN

DE

CONTINUITE

D'ACTIVITE

(PCA)

MISE

EN

ŒUVRE

ORGANISATIONNELLE

ET

INFORMATIQUE

Assurer la pérennité de l , entreprise:

ET

MAINTENANCE

-

INGENIERIE

DE

LA

TESTS

CONTINUITE

GOUVERNANCE

-

SENSIBILISATION

-

NORMALISATION

planification, choix techniques et mise en œuvre

planification, choix techniques et mise en œuvre Gratuit ! • 60 modèles de livrables prêts à
planification, choix techniques et mise en œuvre Gratuit ! • 60 modèles de livrables prêts à

Gratuit !

• 60 modèles de livrables prêts à l’emploi

• un outil de création de business plan

et mise en œuvre Gratuit ! • 60 modèles de livrables prêts à l’emploi • un

Management de la

Continuité d’ activité

Assurer la pérennité de l , entreprise:

planification, choix techniques et mise en œuvre

CHEZ LE MÊME ÉDITEUR

Dans la collection Solutions d’entreprise

A. FernAndez-Toro, préFAce de H. ScHAuer. Management de la sécurité de l’information.

Implémentation ISO 27001. Mise en place d’un SMSI et audit de certification. N°12218, 2007, 256 pages.

c. dumonT. – ITIL pour un service informatique optimal. Mis à jour avec ITIL V3 et la norme ISO 20000.

N°12102, 2 e édition, 2007, 378 pages.

S. B ord A ge, d. T H évenon, L. d upA quier, F. B rou SS e. Conduite de projet Web.

60 modèles de livrables prêts à l’emploi. Un outil de création de business plan. 3 études de cas.

N°12325, 4 e édition, 2008, 408 pages.

É. o’neiLL. – Conduite de projets informatiques offshore.

N°11560, 2005, 336 pages.

Ouvrages sur la gestion de projet

F. p inck A er S, g. g A rdiner. – Tiny ERP/Open ERP. Pour une gestion d’entreprise efficace et intégrée.

N°12261, 2008, 278 pages (collection Accès libre).

v. meSSAger roTA. – Gestion de projet. Vers les méthodes agiles.

n°12165, 2007, 258 pages (collection Architecte logiciel).

p. mAngoLd. – Gestion de projet informatique.

N°11752, 2006, 120 pages (collection Compact).

F. VALL ée. – UML pour les décideurs.

N°11621, 2005, 282 pages (collection Architecte logiciel).

Autres ouvrage

L. BLocH, c. WoLFHugeL. – Sécurité informatique. Principes et méthode.

N°12021, 2007, 262 pages (Collection Blanche).

c. LLorenS, L. Levier, d. vALoiS. – Tableaux de bord de la sécurité réseaux.

N°11973, 2 e édition, 2006, 560 pages (collection Blanche).

B. BouTHerin, B. deLAunAy. – Sécuriser un réseau Linux.

N°11960, 3 e édition, 2007, 250 pages (collection Cahiers de l’Admin).

p. LegAnd. – Sécuriser enfin son PC. Windows XP et Windows Vista.

N°12005, 2007, 500 pages (collection Sans taboo).

d. Séguy, p. gAmAcHe. – Sécurité PHP 5 et MySQL.

N°12114, 2007, 240 pages (Collection Blanche).

F. m A nz A no. Mémento VMware Server. Virtualisation de serveurs.

N°12320, 2008, 14 pages.

r. Bergoin, c. Bourg. Mémento Cisco. IOS – Configuration générale.

N°12347, à paraître 2008, 14 pages.

EMMANUEL BESLUAU

Préface de François Tête

Management de la

Continuité d’ activité

Assurer la pérennité de l , entreprise:

planification, choix techniques et mise en œuvre

ÉDITIONS EYROLLES 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-eyrolles.com

Saint-Germain 75240 Paris Cedex 05 www.editions-eyrolles.com Le code de la propriété intellectuelle du 1 e r

Le code de la propriété intellectuelle du 1 er juillet 1992 interdit en effet expressément la photocopie à usage collectif sans autorisation des ayants droit. Or, cette pratique s’est généralisée notamment dans les établissements d’enseignement, provoquant une baisse brutale des achats de livres, au point que la possibilité même pour les auteurs de créer des œuvres nouvelles et de les faire éditer correctement est aujourd’hui menacée. En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage, sur quelque support que ce soit, sans autorisation de l’éditeur ou du Centre Français d’Exploitation du Droit de Copie, 20, rue des Grands-Augustins, 75006 Paris. © Groupe Eyrolles, 2008, ISBN : 978-2-212-12346-3

Préface

Il est toujours trop tard, quand le sinistre arrive, pour mettre en œuvre un plan

Un proverbe chinois illustre ce propos : « les tuiles qui

protègent de la pluie ont toutes été posées par beau temps ». Enfin un ouvrage complet, pratique et documenté sur la continuité d’activité, en français de surcroît ! Ayant moi-même vécu en entreprise des situations de sinistre, je peux témoi- gner de la nécessité d’être préparé à de telles situations, malheureusement plus fréquentes qu’on ne le croit. Un jour, la salle informatique de la banque dans

laquelle je travaillais a brûlé. Nous n’avions aucun plan, ni rien de prévu dans

une telle situation, à l’exception d’une sauvegarde externalisée

aurait dû disparaître. Or c’était en 1977, et l’informatique n’avait pas l’impor- tance vitale qu’elle possède à présent. La banque a pu redémarrer, au prix fort, dans les cinq jours suivants, grâce à des locaux et des moyens fournis par un constructeur. Nous ne sommes revenus à une situation normale que six mois plus tard. Après ce sinistre, qui avait enfin décidé la direction générale à mettre en place des solutions de secours et un plan associé, j’ai pris conscience de la valeur qu’il faut attribuer à une bonne préparation et aux démarches du type de celles pré- sentées dans ce livre pratique. En outre, dans ma vie professionnelle, j’ai côtoyé et conseillé de nombreux res- ponsables d’entreprise. Tous m’ont fait part de leur souhait d’y voir enfin plus clair dans la démarche visant à mettre en place de manière pragmatique le management de la continuité d’activité dans leur entreprise. En effet, la mise en place d’un plan de continuité est un projet atypique. C’est un projet transverse qui prend en compte globalement toutes les activités et processus de l’entre- prise. Le Club de la Continuité d’Activité réunit tous les acteurs œuvrant dans ce domaine. Il a pour missions de partager les points de vue et retours d’expé- rience, de parfaire la maîtrise des solutions et de pérenniser la place du manage- ment de la continuité dans l’entreprise. Par là, il joue un rôle moteur auprès des organismes de normalisation et du législateur. Le Club de la Continuité d’Activité accueille avec intérêt tout ce qui peut contri- buer à développer les bonnes pratiques, comme le fait cet ouvrage. Riche d’une expérience très diversifiée de la production informatique, Emmanuel Besluau

La banque

de continuité d’activité

V
V

Management de la continuité d’activité

connaît bien tout ce que l’on peut attendre des technologies. Son approche, qui présente à la fois les principes d’organisation et les architectures techniques, se révèle très intéressante et assez unique. Nul doute que ce livre contribuera à faire avancer la prise de conscience sur ce sujet important qu’est la continuité d’activité.

François TÊTE Président du Club de la Continuité d’Activité www.clubpca.eu

VI
VI

Table des matières

Avant-propos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

1

Remerciements

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 2

Partie I – L’entreprise dans un monde de risques

 

Chapitre 1 – La maîtrise du risque

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 5

Appréciation des risques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 5

Identification des menaces

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 6

Conséquences sur les actifs de la société

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

12

Chiffrage des probabilités annuelles

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

15

Calcul du risque

. Autres méthodes d’analyse pratiquées

. Analyse contrastée par entités

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

17

19

21

Évaluation des options face aux risques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

23

Les quatre options de traitement du risque

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

23

Le chiffrage coût/efficacité

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

26

. Le dossier d’étude des risques

L’aversion au risque

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

28

29

Prise de décision

.

. Réévaluation des options par le comité décisionnaire

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

31

31

Documentation de l’ensemble

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

32

Mise en œuvre des options

Suivi et contrôle des plans d’actions

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

32

33

Chapitre 2 – L’analyse d’impact sur les activités

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

Chronologie d’un sinistre

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

Déroulement d’un sinistre

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

Du point de vue de l’utilisateur…

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

Cadrage de l’analyse

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

38

VII
VII

Management de la continuité d’activité

Déterminer les activités critiques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.39

Un exercice difficile

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.39

Identifier les activités

.

.

.

.

.

.

.

.

.

.

.40

Estimer les impacts financiers et opérationnels

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.41

Identifier les processus critiques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.42

Déterminer les configurations

.

.

.

.

.

.

.

.

.

.

.44

MTD et priorités

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.44

Systèmes et applications informatiques critiques

Autres ressources critiques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

RTO et WRT

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.46

.47

Déterminer les paramètres de reprise

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.48

.49

Ajustements sur les MTD

.

.

.

.

.

.

.

.

.

.

.49

. Procédures de secours

RPO

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. Documentation de l’analyse d’impact sur les activités

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.51

.53

.53

Chapitre 3 – Le développement d’une stratégie de continuité

.

.

.

.

.

.

.

.

.

.55

Phase 1 – Expression des besoins en termes de reprise

.

.

.

.

.

.

.

.

.

.56

Exigences des processus critiques

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.56

Étude des besoins

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. Phase 2 – Étude des options possibles pour la reprise

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.56

.58

Catégories d’options ouvertes

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.59

Options envisagées

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.60

Phase 3 – Confrontation des options aux exigences métier

 

.64

Définition des délais d’activation

.

.

.

.

.

.

.

.

.

.

.