Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Gestion de la continuité d’activité La série complète peut être téléchargée sur

Gestion de la continuité d’activité La série complète peut être téléchargée sur le site Web de l’IIA : www.theiia.org/technology. Cette série de guides, rédigés dans des termes simples et traitant chacun d’un thème d’actualité concernant la gestion, le contrôle et la sécurité des SI, constitue un précieux outil pour les responsables de l’audit interne, qui peuvent ainsi s’informer sur les différents risques associés aux technologies de l’information et sur les pratiques recommandées. Les contrôles des systèmes de l’infor- mation Les sujets abordés passent en revue les concepts du contrôle des SI, l’impor- tance de ces contrôles, les rôles et responsabilités dans l’organisation susceptibles d’assurer l’efficacité du contrôle des SI et des techniques de surpervision. Contrôles de la gestion du change- ment et des patchs : un facteur clé de la réussite pour toute organisation Décrit les sources de changements et leurs impacts probables sur les objectifs de l'entreprise, explique en quoi le contrôle du processus de gestion des changements participe à la réduction des risques et des coûts des SI, et indique ce qui, dans la pratique, fonc- tionne ou pas. Audit continu : Répercussions sur l’assurance, le pilotage et l’évaluation des risques Traite du rôle de l’audit continu dans l’environnement actuel d’audit interne, de la relation entre audit continu, surveillance continue et assurance conti- nue, précise où s’applique l’audit continu et examine la mise en place de l’audit continu. Management de l’audit des systèmes d’information Définit les risques liés aux SI et l’univers d’audit, explique comment conduire un audit des SI et gérer les ressources d’audit. Le management et l’audit des risques d’atteinte à la vie privée Présente les principes et le cadre de protection de la vie privée, un modèle de risques d’atteinte à la vie privée et le contrôle du respect de la vie privée, le rôle de l’audit interne, les dix questions à se poser concernant la protection de la vie privée lors de la mission d’audit, et bien plus encore. Gérer et auditer les vulnérabilités des technologies de l’information Analyse, entre autres, le cycle de gestion des vulnérabilités, la délimitation de l’audit des vulnérabilités et des indica- teurs qui permettent d’évaluer les pratiques de gestion des vulnérabilités. L’infogérance Examine comment choisir le bon pres- tataire de services d’infogérance et présente les principaux éléments à pren- dre en compte pour la maîtrise de l’in- fogérance, du point de vue des activités du client et de celles du prestataire de services. Audit des contrôles applicatifs Définit la notion de contrôles applicatifs et les compare aux contrôles généraux informatiques, et indique comment déterminer l’étendue des revues de contrôles applicatifs. Gestion des identités et des accès Couvre les principaux concepts relatifs à la gestion des identités et des accès, les risques y afférents, détaille l’audit du programme de gestion des identités et des accès et présente un exemple de liste de contrôle à l’intention des auditeurs. Les contrôles des systèmes de l’information GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Contrôles de la gestion du changement et des patchs : Un facteur clé de la réussite pour toute organisation GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Audit continu : Répercussions sur l’assurance, le pilotage et l’évaluation des risques GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Management de l’audit des systèmes d’information GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Le management et l’audit des risques d’atteinte à la vie privée GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Gérer et auditer les vulnérabilités des technologies de l’information GUIDE PRATIQUE D·AUDIT DES TECHNOLOGIES DE L·INFORMATION GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION L'infogérance Audit des contrôles applicatifs GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Gestion des identités et des accès Copyright © 2008 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, États-Unis.Tous droits réservés. Aucune partie de cette publication ne peut être repro- duite, stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre), sans l’autorisation préalable de l’éditeur. L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des infor- mations, mais ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comptables, il convient de recourir à l’assistance de professionnels. Gestion de la continuité d’activité Auteurs David Everest, Key Bank Roy E. Garber, Safe Auto Insurance Co. Michael Keating, Navigant Consulting Brian Peterson, Chevron Corp. Juillet 2008 GTAG – Table des matières 1. RÉSUMÉ .................................................................................................................................................... 1 2. INTRODUCTION .................................................................................................................................... 3 2.1 Définition de la gestion de la continuité d’activité .......................................................................... 3 2.2 Planification de la gestion de crise .................................................................................................... 3 2.3 Reprise des SI après sinistre .............................................................................................................. 3 3. SE PRÉPARER ........................................................................................................................................... 4 4. LES RISQUES DE L’ENTREPRISE ....................................................................................................... 5 4.1 Scénarios de catastrophes courantes ................................................................................................ 5 4.2 Effets des catastrophes courantes ..................................................................................................... 6 5. EXIGENCES RELATIVES À LA GESTION DE LA CONTINUITÉ ................................................ 7 5.1 Soutien par la direction ...................................................................................................................... 8 5.2 Évaluation et réduction des risques .................................................................................................. 9 5.3 Analyse d’impact .............................................................................................................................. 10 5.4 Stratégie de reprise et de continuité d’activité ............................................................................... 12 5.5 Reprise des SI après sinistre ............................................................................................................ 13 5.6 Sensibilisation et formation ............................................................................................................. 15 5.7 Maintenance du programme de gestion de la continuité ............................................................. 16 5.8 Entraînement à la continuité d’activité ........................................................................................... 17 5.9 Communication de crise .................................................................................................................. 20 5.10 Coordination avec les organismes extérieurs ................................................................................. 20 6. INTERVENTIONS D’URGENCE ........................................................................................................ 22 7. GESTION DE CRISE ............................................................................................................................. 23 8. CONCLUSION/RÉSUMÉ .................................................................................................................... 24 9. ANNEXE .................................................................................................................................................. 25 9.1 Exemple de guide d’audit ................................................................................................................ 25 9.2 Normes et principes directeurs portant sur la gestion de la continuité d’activité ....................... 25 9.3 Modèle de maturité des dispositifs de gestion de la continuité ................................................... 26 GLOSSAIRE ...................................................................................................................................................... 41 À PROPOS DES AUTEURS ............................................................................................................................ 42 Sommaire GTAG — Résumé 1. Résumé La plupart des professionnels s’accordent à penser que, pour réussir, les cadres d’entreprise passent un temps consi- dérable à analyser le marché, à élaborer et déployer des stra- tégies, à définir des objectifs de performance et financiers, à établir et exécuter des plans d’exploitation, à rendre compte des résultats financiers et à communiquer avec les parties prenantes. La plupart seraient également d’accord pour dire que, avant la préparation mondiale au passage à l’an 2000, la gestion de la continuité d’activité ne constituait pas une priorité importante pour tous les cadres d’entreprises. Bien que plusieurs sinistres aient récemment fait prendre conscience des risques de non-continuité d’activité, ainsi que de leur impact sur les aspects financiers et les opérations des sociétés, il subsiste toujours des entreprises qui ne prennent pas garde aux signes avant-coureurs et qui ne se préparent pas à un sinistre ou à une interruption d’activité. Si les perturbations imputables à des facteurs humains ou à des phénomènes naturels peuvent être considérés comme imprévisibles, il est possible de gérer leurs répercussions à condition qu’un bon programme de gestion de la continuité fasse partie de la politique générale de gouvernance de l’entreprise. La gestion de la continuité d’activité a pour finalité de permettre à une organisation de rétablir ses processus métiers critiques après la survenue d’un sinistre. Compo- sante de la gestion des risques, face à des risques probables, la gestion de la continuité d’activité est destinée à mettre en place les dispositifs nécessaires à la poursuite des activités en fonction de leur valeur pour l’entreprise. Certaines entre- prises, qu’elles soient grandes, petites ou moyennes, ne sont pas correctement préparées à des incidents susceptibles de les paralyser complètement ou partiellement pendant une longue période. Les exemples rapportés montrent comment des entités ou des secteurs entiers ont subi de graves dommages financiers parce qu’ils n’étaient pas préparés à ces aléas. Ce fut le cas, notamment, du secteur du transport aérien des États-Unis après les attaques terroristes du 11 Septembre 2001, de TfL (Transport for London) après les attentats à la bombe de Londres, et de la pêche commerciale au Sri Lanka et en Thaïlande après le tsunami de 2004. Les dommages peuvent se traduire, entre autres, par la perte de clients, un manque à gagner, une atteinte à la réputation ou la non-obtention de permis ou d’autorisations. En ne se préparant pas, ou pas suffisamment, l’entreprise s’expose à un risque dont l’ampleur dépend de chaque type d’activité. Que ce soit en raison d’un recul conjoncturel dans un secteur, de l’absence de management éclairé ou d’autres décisions budgétaires, les défenseurs des programmes de gestion de la continuité, tels que les responsables de l’audit interne, constatent souvent que les recommandations d’amélioration qu’ils formulent à l’intention de l’encadre- ment ne sont pas prises en compte ou que leur application est reportée à une échéance lointaine. Il appartient au responsable de l’audit interne de signaler les carences de la gestion de la continuité à la direction et au comité d’audit ; par exemple lorsqu’un audit ou une autre forme d’analyse révèle que la direction ne peut pas apporter d’éléments attestant que, si un sinistre se uploads/Management/gtag-10-francais1-continuite.pdf