Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

PRA Définitions, Concepts, Bonnes Pratiques & Enquête Février 2011 LIVRE BLANC

PRA Définitions, Concepts, Bonnes Pratiques & Enquête Février 2011 LIVRE BLANC LUC VRIGNAUD FRANÇOIS TETE Club des Responsables d’Infrastructure et de Production en association avec Le Club de la Continuité d’Activité L ’OBSERVATOIRE des Directeurs d’Infrastructures et de Production -Avant-propos : le groupe de travail PRA 5 -Éditorial de Luc Vrignaud (CRIP), pilote du GT PRA 6 -Éditorial de François Tête (CCA), copilote du GT PRA 7 -Les participants 8 Chapitre 1 : Continuité, PRA, … et compagnie : introduction 9 Chapitre 2 : Architecture et cohérence applicative 16 2.1 Introduction 16 2.2 Architecture 18 2.3 Bonnes pratiques 23 2.4 En conclusion 26 2.4.a Mettre en place une gestion du PRA par « groupe d’applications » 26 (pour les reprises : rejeu, élimination des doublons, etc.) 2.4.b Créer des « points stables » 26 2.4.c Revoir l’urbanisation du SI 26 2.4.d S’en remettre aux constructeurs ( ?...) 27 2.4.e Un mix de ces quatre pistes 27 Chapitre 3 : Déclenchement du PRA et gestion de crise 28 3.1 Introduction 28 3.2 Résumé du chapitre 28 3.3 La genèse : “Le PRA naquit de l’incident majeur” 29 3.4 La gestion de crise : une organisation et un processus 30 3.4.a Organisation 30 3.4.b Processus 31 3.5 Les critères de déclenchement 32 3.5.a Un objectif de temps 32 3.5.b Un objectif de service 35 3.6 Des outils pour établir ses priorités 36 3.7 Une organisation des équipes au service du PRA 38 3.8 Communication ciblée de crise 39 3.9 Retour à une situation normale 40 3.10 Quelques leçons à tirer 41 Chapitre 4 : Validation probante du PRA 42 4.1 Introduction 42 4.2 Résumé du chapitre 42 4.3 Définitions 42 4.4 Quelques critères pour qualifier un exercice probant 44 4.5 Écueils et bonnes pratiques 46 Chapitre 5 : Maintien en Condition Opérationnelle du PRA 48 5.1 Introduction 48 5.2 Résumé du chapitre 48 5.3 Principes du MCO 48 5.4 MCO d’un PRA à froid 49 5.5 MCO d’un PRA à chaud 50 5.6 MCO d’un PRA en haute disponibilité 51 5.7 Enjeux et gouvernance 51 5.8 Écueils et bonnes pratiques 52 Chapitre 6. Contrat de service et PRA 54 6.1 Introduction 54 6.2 Résumé du chapitre 54 6.3 Points à prendre en compte en amont de la rédaction du contrat de service 54 6.3.a Cas général, que le contrat soit interne ou externe 55 6.3.b Zoom sur l’externalisation du PRA 55 6.3.c Périmètre de l’externalisation du PRA 55 6.4 La caractérisation des niveaux de service 56 6.4.a La contractualisation des niveaux de service du MCO du PRA 56 6.4.b La contractualisation des niveaux de services applicables aux opérations de tests du PRA 57 6.4.c La contractualisation des niveaux de services en cas de déclenchement du PRA 57 6.5 Pilotage du contrat de service 58 6.6 Écueils et bonnes pratiques 58 T able matières des PAGE 3 PAGE 4 Chapitre 7 : Le vocabulaire PRA dans ce Livre Blanc 60 Conclusion 65 Annexes 66 A propos du CCA – Club de la Continuité d’Activité 69 A propos du CRIP – Club des Responsable d’Infrastructures et de Productivité 71 Table des figures Figure 1 : le plan de continuité d’entreprise 9 Figure 2 : le plan de continuité d’activité 10 Figure 3 : les différentes solutions de secours 12 Figure 4 : les coûts : indisponibilité/reprise d’activité 13 Figure 5 : niveaux de maturité d’un PRA 15 Figure 6 : PCA et gestion de crise 17 Figure 7 : architecture de secours à froid 19 Figure 8 : architecture de secours à chaud 20 Figure 9 : architecture de secours en haute disponibilité 21 Figure 10 : le processus de gestion de crise 30 Figure 11 : la pyramide d’escalade 31 Figure 12 : schéma simplifié du processus opérationnel de gestion de crise 31 Figure 13 : RPO et RTO 32 Figure 14 : le RTO par type de secours : secours à froid 33 Figure 15 : le RTO par type de secours : secours à chaud 33 Figure 16 : le RTO par type de secours : secours en haute disponibilité 34 Figure 17 : le BIA 36 Figure 18 : classification des processus 37 Figure 19 : matrice technique d’impact 37 PRA : Définitions, Concepts, Bonnes Pratiques & Enquête PAGE 5 «La veille d’un incident, le ROI d’un système de sécurité est nul, le lendemain il est infini …» Dennis Hoffman de RSA Le groupe de travail PRA rassemble des membres du CRiP et des adhérents du Club de la Continuité d’Activité (CCA). Il fonctionne comme un observatoire des plans de reprise d’activité, avec une dimension avant tout opérationnelle ; une approche qui se veut complémentaire des démarches d’études prospectives proposées par d’autres groupes de travail du CRiP. Le paradoxe et la difficulté qui caractérisent le domaine des PRA restent entiers : le retour sur investissement (ROI) et la réduction des coûts pèsent d’un côté ; les obligations réglementaires et la sécurité tirent de l’autre. Tout est illustré dans la petite citation de Dennis Hoffman. La difficulté pour le groupe de travail PRA a consisté à ne pas proposer le nième rapport sur la nécessité d’un PRA/PCA, sur les obligations réglementaires et légales, sur la maturité des technologies, etc., mais à appréhender certains sujets plus spécifiques et concrets, dans un objectif d’amélioration de nos pratiques : - Définitions et types d’architectures, - Gestion de la cohérence applicative, - Déclenchement du PRA et Gestion de crise, - Valeur probante d’un PRA, - Maintien en Condition Opérationnelle, - Négociation d’un contrat d’outsourcing du PRA, - Les concepts et le vocabulaire. L ’objectif de ce livre blanc est bien de partager des retours d’expériences, des schémas, des abaques, du vocabulaire... transposables au domaine d’activité de chacun. Parallèlement à cette approche, le groupe a lancé un questionnaire auprès de ses membres pour estimer approximativement la maturité des grands comptes français en matière de PRA, tant en termes de stratégie qu’en termes d’innovation. Bonne lecture à tous FRANÇOIS TETE & LUC VRIGNAUD Avant- Propos le groupe de travail PRA LiVRE BLANC PAGE 6 Bonjour à tous, Après plusieurs mois de participation collégiale à son élaboration, nous vous livrons enfin le livre blanc sur les plans de reprise d’activité. Nous avons voulu offrir au lecteur un panorama de l’existant sur les PRA. Cependant depuis le lancement du groupe de travail, nous assistons à une mutation des stratégies selon plusieurs axes : • L ’évolution des technologies dans les offres des fournisseurs (par exemple les nouvelles solutions de haute disponibilité chez les fournisseurs de baies de stockage, la généralisation de la sauvegarde sur disques et l’emprise croissante de la déduplication, les nouveaux usages de la virtualisation dans une optique de résilience, etc.). • Un accroissement de la contrainte déjà exercée par les régulateurs dans les domaines de la reprise et de la continuité d’activité (audits in- ternes, audits par commissaires aux comptes, directive Solvency II, directive Bâle 2, …) • Le constat d’une difficulté grandissante à maintenir en condition opérationnelle des infrastructures de secours complexes non- utilisées. • L ’apparition d’une nouvelle offre : le cloud computing. Au cours de nos échanges, nous avons tous sen- ti que ces nouvelles orientations émergeaient d’un besoin de service grandissant, lui-même issu de l’interconnexion de nos partenariats, de l’intensification de nos échanges internatio- naux, d’une complexification globale du fonc- tionnement des entreprises dans un environne- ment mondialisé. Cela m’a rappelé les propos échangés lors d’une table ronde du dernier salon itiForums en juin 2010 : « La nouvelle problématique des risques : quelles conséquences pour la conti- nuité d’activité ? ». Si je devais résumer la teneur des débats tenus ce jour-là, je titrerais « L’effet papillon : bête noire de la gestion du risque ? ». En deux mots : dans les dix dernières années, se sont multipliés des phénomènes extrêmes et peu probables (attentats du 11 septembre 2001, ouragan Katrina, crise mondiale de 2008, volcan islandais Eyjafjöll, phénomènes climatiques extrêmes, …) qui ont impacté toutes les entreprises à diverses échelles. On est passé de la gestion du risque à la gestion de l’incertitude ; avec un vieux constat : tout est interconnecté et interdépendant. Ces événements nous rappellent donc qu’il est judicieux de concevoir la continuité d’activité en cherchant en premier lieu à déterminer ce qui est critique – des processus et des hommes ; et ceci indépendamment de causes pouvant survenir. Le PRA, au fil de cette évolution, passe du statut d’assurance risques au statut de process opérationnel indispensable à la continuité d’activité de l’entreprise. Bonne lecture à tous LUC VRIGNAUD, Pilote du Groupe de travail PRA MACIF Edito rial PRA : Définitions, Concepts, Bonnes Pratiques & Enquête PAGE 7 LiVRE BLANC Bonjour à tous, La notion de secours informatique suite à un sinistre est née en France, suite aux événements de Mai 68. Les dirigeants de trois grandes sociétés industrielles françaises prirent alors conscience du risque de blocage qui menaçait toute entreprise. Ils décidèrent en conséquence de créer un centre informatique de secours mutualisé, qui vit le uploads/Management/ continuite-d-x27-activite.pdf