Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

12 mai 2014 Module n°2 : Plans de Continuité d'Activité (PCA) QSE : qualité et

12 mai 2014 Module n°2 : Plans de Continuité d'Activité (PCA) QSE : qualité et gouvernance des systèmes d’information 2 Agenda 1. Introduction à la continuité d'activité ► 1. 1 Concepts clés 1. 2 Démarche de mise en place d'un PCA 2. Plan de Continuité Informatique 3. Plan de Continuité des Opérations 12 mai 2014 - Propriété de Solucom, reproduction interdite 3 Introduction à la continuité d’activité Des menaces pèsent sur les entreprises Inondation Panne électrique ... Panne matérielle Incendie Défaillance de prestataires Coupure informatique Panne logicielle Grèves Séisme Les entreprises 12 mai 2014 - Propriété de Solucom, reproduction interdite 4 Introduction à la continuité d’activité Des menaces bien réelles ! 21 septembre 2001 Explosion de l’usine AZF 11 mars 2011 Séisme au large du Japon 2011 Printemps arabe …et 2014 ? 17 avril 2011 Intrusion sur le Playstation Network 17 novembre 2004 Panne nationale du réseau Bouygues Telecom 11 septembre 2001 Attentats du World Trade Center 24 avril 2013 Catastrophe de Dacca au Bengladesh TerrorismePiratagePannes techniquesSites à risquesCatastrophes naturellesPhénomènes sociétaux 1127 morts, 2500 rescapés, destruction de plusieurs ateliers de confection, de commerce et une banque. 2750 morts, 800 000 m² de bureaux rasés. 350 entreprises et 40 000 personnes étaient présentes sur le site. 31 morts, des milliers de blessés. Destruction du site et des alentours (150 bus de transport public, plusieurs entreprises touchées, un lycée, une salle de concert, …) Impossible de passer et recevoir des appels pendant 1 journée suite à une panne informatique. Coût estimé de 20 millions d’euros et dégâts d’image considérables. Séisme puis tsunami et catastrophe nucléaire. 20 000 morts, conséquences majeures sur les infrastructures, forte perturbation de l’activité économique du pays. Vol de données personnelles et bancaires. Mise hors ligne du service pendant 1 mois. Un coût évalué à plusieurs centaines de millions d’euros. Révoltes importantes dans une quinzaine de pays arabes. Instabilité sociale et politique entraînant la suspension des activités de plusieurs entreprises internationales dans certaines zones. Accidents 12 mai 2014 - Propriété de Solucom, reproduction interdite 5 Introduction à la continuité d’activité Des menaces qui ont des impacts multiples L’indisponibilité d’activités clés peut causer des impacts majeurs et multiples pour les organisations Interne Ex : des incidents à répétition sur les systèmes informatiques pourraient entraîner des mécontentements clients en agences et une dégradation des conditions de travail des agents. Image Ex : une perturbation importante des activités entraînerait une dégradation de l’image de marque de la banque vis-à-vis du public et des autres acteurs de la place. Juridique Ex : la continuité des activités vitales des banques est rendue obligatoire par la règlementation (CRBF 97-02). Client Ex : un incident informatique pourrait entraîner la perception avec retard des prestations sociales. Financier Ex : la perturbation de certaines activités critiques (ex : salles de marchés) peut entraîner rapidement des impacts de plusieurs millions d’euros. Exemples d’impacts pour une grande banque 12 mai 2014 - Propriété de Solucom, reproduction interdite 6 Introduction à la continuité d’activité Exemple de menace : la crue de Seine… Une menace ancrée dans l’histoire de Paris Plus grandes crues connues Crues les plus récentes 27 février 1658 : 8,96 m 06 janvier 1924 : 7,32 m 28 janvier 1910 : 8,62 m 23 janvier 1955 : 7,12 m 26 décembre 1740 : 8,05 m 14 janvier 1982 : 6,16 m 09 février 1799 : 7,65 m 24 mars 2001 : 5,21 m 28 janvier 1802 : 7,62 m Différents scénarios à envisager, pas uniquement celui de la crise extrême 60% du débit de 1910 115% du débit de 1910 Une dynamique de crise relativement lente, mais une crise de longue durée Crue « lente » : 10 à 15 jours entre l’atteinte de la cote d’alerte et la cote maximale Décrue tout aussi lente, de l’ordre de 15 jours… … mais qui peut aller jusqu’à 40 jours (1910) Une crise dont l’ampleur n’est pas prévisible Au moment de l’alerte, le pic de crue ne peut pas encore être déterminé Pour les crues majeures, les fortes évolutions de l’urbanisme en Ile de France depuis 1910 rendent difficile toute prévision  Une menace dont on ne peut se prémunir totalement 12 mai 2014 - Propriété de Solucom, reproduction interdite 7 Introduction à la continuité d’activité …aux impacts significatifs Impacts sur la région Ile-de-France Eau potable : 5 000 000 de personnes seraient privées d’eau potable Électricité : 870 000 foyers et 2 640 sites de haute tension sont concernés par le risque de coupure électrique Télécommunications : Sous-répartiteurs situés dans les sous- sols inondables Réseau dépendant de l’alimentation électrique Transports en commun : Arrêt de fonctionnement des RER A, B et C, des gares de Lyon et d’Austerlitz et des lignes de métro (par tronçons) Transport routier : • 100% des ponts à Paris et en Petite Couronne seront inaccessibles • Les autoroutes A86, A4 et A6 coupées à certains endroits • Engorgement des voies de circulation Énergie : Usagers ne seraient plus alimentés par le chauffage urbain De nombreux centres de distribution d’hydrocarbures sont inondés Assainissement : Les égouts débordent et l’élimination des déchets ménagers est rendue très difficile 12 mai 2014 - Propriété de Solucom, reproduction interdite 8 Introduction à la continuité d’activité Des risques que l’on peut traiter de différentes manières Scénario de risque Accepter Éviter Transférer Réduire probabilité Limiter impacts Accepter Accepter la menace et ses impacts potentiels pour l’entreprise Éviter Ne pas lancer ou arrêter une activité à cause des risques encourus Réduire la probabilité Traiter le risque en amont, en réduisant sa probabilité d’occurrence Transférer Déporter le risque sur un tiers (prise d’une assurance, transfert d’une activité à un prestataire, …) Limiter les impacts Plan de Continuité d’Activité (PCA) : ensemble de dispositifs permettant de limiter les impacts lorsqu’un ou plusieurs scénarios de risques sont avérés  Un dispositif relevant d’un équilibre coût / couverture de risques Couverture de risques Coût 12 mai 2014 - Propriété de Solucom, reproduction interdite 9 Introduction à la continuité d’activité Quelques définitions : PCA, PCO et PCI Le Plan de Continuité d’Activité englobe l’ensemble des actions, processus et organisations permettant la continuité des activités critiques de l’Entreprise Le PCA est une démarche qui couvre à la fois les métiers et l’informatique SI Métier Le PCI (Plan de Continuité Informatique) se focalise sur la disponibilité des données et des ressources informatiques PCA Le PCO (Plan de Continuité des Opérations) se focalise sur les actions des Métiers pour la poursuite de leurs opérations vitales PCO PCI Ex. de solutions : site de secours, solutions de haute disponibilité ou de reprise informatique Ex. de sinistre : incendie ou inondation d’un datacenter Ex. de solutions : site de repli utilisateurs, modes de fonctionnement dégradés Ex. de sinistre : indisponibilité du siège ou d’une agence, pandémie 12 mai 2014 - Propriété de Solucom, reproduction interdite 10 Introduction à la continuité d’activité Définitions : DIMA et PDMA  Deux critères essentiels sont utilisés pour l’expression des besoins de continuité. Ils permettent de déterminer la criticité des applications et des infrastructures informatiques sous-jacentes Délai d’Interruption Maximal Admissible, DIMA (Métiers et informatique) Durée maximale d’interruption d’une ressource que peuvent tolérer les Métiers utilisateurs de la ressource On parle également de Recovery Time Objective (RTO) Perte de Données Maximale Admissible, PDMA (Informatique) Durée maximale acceptable entre la dernière sauvegarde et l’incident survenu, quantifiant ainsi les données que les Métiers tolèrent de perdre au maximum On parle également de Recovery Point Objective (RPO) Période de reprise Période non présente sur les sauvegardes Dernière Sauvegarde T-x Reprise T+y DIMA Incident majeur à T Application disponible à nouveau PDMA Un autre critère à ne pas oublier : le niveau de performance retrouvée (Informatique) 12 mai 2014 - Propriété de Solucom, reproduction interdite 11 Introduction à la continuité d’activité Les différentes composantes d’un PCA Procédures RH exceptionnelles Suppléance du personnel Acheminement du personnel Référentiel documentaire Mesures d’anticipation, de contournement, formulaires Métiers Engagement (contractuel) des fournisseurs clés, stratégie achat multifournisseurs, capacité à ré-internaliser… Sites de repli et d’hébergement Plan de Continuité Informatique et Télécoms • Stratégie de secours • Procédures • Organisation • Ressources humaines • Ressources techniques Stockage ou approvisionnement des ressources matérielles nécessaires, … Fournisseurs Coordination / Maintenance du PCA (Responsables, correspondants, …) Organisation de crise (Cellules de crise, moyens, procédures, …) Sites Informatique et télécoms Positions de travail Procédures Organisation et personnel Secours ACTIVITE METIER Ressources à secourir 12 mai 2014 - Propriété de Solucom, reproduction interdite 12 Introduction à la continuité d’activité Une norme pour le PCA : ISO 22301… Conduire l’analyse des risques, le BIA (Bilan d’Impact sur Activité) Définir et mettre en œuvre les plans d’action Contrôler et mesurer l’efficacité Gérer les incidents et crises de continuité Sensibiliser et former à la continuité d’activité Piloter et améliorer le SMCA Gérer la documentation et les enregistrements Plan Do Check Act Système de Management de la Continuité d’Activité (SMCA) Publié en 2012, l’ISO 22301 est la référence en matière de management de la continuité d’activité. Elle spécifie les exigences pour mettre en place et améliorer un Système de uploads/Finance/ plans-de-continuite-dactivite-1-0.pdf