sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Continuité d'activité et gestion de crise

La continuité des activités de l'entreprise

La continuité des activités s'inscrit dans une démarche de pérennité de l'entreprise. Elle consiste à mettre en place des procédures et des moyens visant à assurer le fonctionnement de ses activités principales et la disponibilité des ressources indispensables au déroulement de ces activités.

L'interruption des activités pendant une durée "incompatible avec le métier de l'entreprise" peut altérer la confiance des clients, fournisseurs et actionnaires et porter préjudice à la réputation et à la santé financière de l'entreprise.

Il est évident que la durée "acceptable" d'interruption d'activité est très dépendante du métier de l'entreprise : de quelques minutes pour des services de courtage en ligne à quelques journées pour un fabricant de meubles haut de gamme.

Se préparer à affronter des crises

Tout DSI ou RSSI aura dans sa carrière à gérer des situations de crise. Mais quand on évoque crise, on imagine les situations extrêmes, par exemple celles ayant touché les entreprises à NYC le 8 septembre 2001 ou la destruction du siège du Crédit Lyonnais .

Il existe une gradation des crises et certaines sont douloureuses alors qu'elles sont physiquement et fonctionnellement limitées :

  • ERP : mauvais paramétrage dans les flux d'intégration financière qui apparaît en période de clôture.

  • Dénigrement : détournement d'informations sur les problèmes de qualité d'un produit transmis aux médias ….

    Inondation

  • Déni de service : inacessibilité répétée sur une application ouverte à une large clientèle …

  • et évidemment inondation , incendie, tempête ...

Il est dans la mission d'un RSSI de se préparer à une crise car quand la crise est avérée il est trop tard pour créer et il faut appliquer des schémas déjà rodés (et s'en éloigner peut être risqué).

La continuité des activités s'inscrit dans une démarche de pérennité de l'entreprise. Elle consiste à mettre en place à tous les niveaux de l'entreprise des procédures visant à assurer le fonctionnement de ses activités cruciales et la disponibilité des ressources indispensables au déroulement de ces activités.

Avec le développement du Web et l'accélération des nouvelles technologies, l'accès aux informations vitales conditionne la réussite de l'entreprise toute entière. La moindre interruption des activités peut altérer la confiance de vos clients, fournisseurs et actionnaires et porter préjudice à la réputation et à la santé financière de votre entreprise.

 

 spacer

Terminologie de gestion des crises

Il n'existe pas (encore) de terminologie normalisée autour des plans de reprise, plan de continuité et plans de secours .

On fait une distinction entre un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA). Dans un plan de reprise, il y a une notion de latence sous-jacente (de quelques heures à quelques jours), alors que dans un plan de continuité ce temps d'interruption est beaucoup plus court (de quelques secondes à quelques dizaines de minutes) .

Démarche d'élaboration d'un plan (PCA ou PRA)

Cette démarche se découpe en quatre volets :

  • la définition des exigences de l'entreprise en fonctions des menaces et risques à couvrir :
    - durée d'indisponibilité par activité
    - processus prioritaires à redémarrer
    - moyens existants
  • la conception des solutions de prévention et du plan de secours, la définition d'un Plan de Marché Dégradée ,
  • la mise en oeuvre des mesures retenues et l'organisation d'un plan de crise
  • le processus de maintien en conditions opérationnelles de ce plan (tests périodiques, mise à jour)
PCA

Les études de sécurité montrent qu'une entreprise sur trois a élaboré un Plan de Continuité d'Activité (ou PRA).

Et ces mêmes études montrent que quand un Plan de Continuité d'Activité existe dans l'entreprise, il n'est que peu mis à jour (environ une fois tous les 2 ans) et encore moins testé. Or quand on écoute les RSSI qui testent régulièrement leurs plans (tous les 6 mois généralement), ils expliquent

qu'à chaque test, ils trouvent des anomalies, qu'il leur faut corriger des procédures, modifier des plans de sauvegarde ...

Cela permet de conclure qu'il reste un gros travail à faire dans les entreprises dans ce domaine et démontre l'importance de mettre en oeuvre un management de la sécurité dans les entreprises (avec les contrôles associés).

pix1 pix2 pix3 pix4