Gouvernance de la sécurite des Systèmes d'Information Volet-2

VOLET 2
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET II
Module N°1 : Contexte
Contexte
Problématique
Domaine et périmètre de la continuité d’activité
Module N°2 : Grandes étapes du plan de
secours informatique
Cinématique de la crise
Organisation, acteurs - responsabilités,
Cellule de crise - déclenchement,
Dispositif de secours, documentations
Module N°3 : Panorama des solutions
techniques de secours
Typologie des moyens de secours
Disponibilité des moyens de secours
Marché des principaux fournisseurs de solutions
de secours
Solutions de secours des locaux & équipements
Secours des ressources humaines & astreintes
Aspects financiers - Ordre de grandeur
Module N°4 : Aspects physiques des solutions
de secours
Choix du site Implantation des locaux - Locaux techniques
Climatisation – Filtration et pollution de l’air– Énergie
Dégât des eaux – Protection incendie
Formation – sensibilisation
Maintenance et plan de tests du PSI

AGENDA VOLET II
Pour aller plus loin
Livre
Magazine
Articles - Web
Module N°5 : Aspects techniques des
solutions de secours informatiques
Approche du marché des intégrateurs
Tolérance aux pannes – Réseau – Serveur – Disques
Modes de sauvegarde – plans de sauvegarde -
Externalisation
Technologies de sauvegarde – Mirroring
Architectures – Virtualisation

TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture du chapitre suivant
Chapitre 4.5 Continuité des services et gestion de crises

MODULE N°1 : CONTEXTE
CHIFFRES ET EXEMPLES - ÉVÉNEMENTS
COÛT DES INTERRUPTIONS DE SERVICE - TYPES D’INTERRUPTION
RÉGLEMENTATIONS, NORMES & STANDARDS
NOTIONS DE BASE - DISTINCTION ENTRE PCA ET PSI
POSITIONNEMENT DU PSI DANS LE PROCESSUS GLOBAL DE SÉCURITÉ

DOMAINE ET PÉRIMÈTRE DE LA CONTINUITÉ
D’ACTIVITÉ
Pourquoi mettre un plan de secours informatique ?
Les catastrophes naturelles
Les accidents
Les malveillances
Les interruptions planifiées causes d’erreurs
…

PROBLÉMATIQUE & CONTEXTE

Tempête Xynthia 2010
Octobre 2013 : Typhon Haiyan aux Philippines
Janvier 2014 : inondation dans le Var
Une proportion très importante d’entreprises ne
survit pas à un sinistre majeur, que celui-ci soit
informatique, naturel, industriel ou criminel.
Selon les sources, la proportion varie de 30% à
80%.

L’analyse détaillée et permanente de la sinistralité informatique le
montre
10
L’absenceou le défautde cohérence
des plans de secours mettent particulièrement en péril les entreprises
Plus de la moitiédes sociétés qui ont
connu un sinistre majeur ont cessé leur activité dans les 2 ans qui ont suivi (source CLUSIF)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Pour les entreprises françaises – étude Clusif

12
Il existe deux types d'interruption : imprévue et planifiée.
Interruption imprévue
Il est surprenant de constater que les
interruptions imprévues
représentent moins de
5 à 10% pour cent de toutes les
interruptions.
Ces événements comprennent les
violations de sécurité, la corruption des
données, les coupures de courant,
l'erreur humaine, les échecs de mise à
niveau, les catastrophes naturelles, etc.

13
Interruption planifiée
Les événements imprévus font l'objet de plus d'attention, pourtant ce sont les
interruptions planifiées qui représentent le plus grand défi pour le fonctionnement d'une
entreprise.
La maintenance régulière (quotidienne/hebdomadaire) des bases de données, des
applications ou des systèmes causent habituellement des interruptions de services.
Des études prouvent que interruptions planifiées sont la
cause de plus de 70-90 % des interruptions.

Entreprise
Risque fournisseur
Défaillance de fournisseurs
essentiels
Risque informatique
Défaillance du Système
d’Information, hacking, …
Facteur humain
Mouvement social
Indisponibilité de
personnel
Risque technologique
Accident industriel,
défaillance nucléaire, …
Risques internes
Fraudes,
acte de malveillance , …
Réglementation
Couvre feu imposé en cas
de mouvement social
national ou guerre civile
Risque sanitaire
Pandémie
Insécurité du personnel
Sinistres naturels
Tempête, inondation
Neige et intempéries
LIMITATION AUX SINISTRES INFORMATIQUES
Source Entreprise Lexis

D’ACTIVITÉ
Notions de base
Le concept de « disponibilité » est très subjectif : selon les entreprises à
qui l'on s'adresse, il se situe quelque part entre une situation catastrophique
(de nombreuses heures d'interruption avec perte importante de données) et
une situation idéale (des temps de fonctionnement en temps réel 24 heures sur
24 et 7 jours sur 7 sans aucune perte de données).
Votre définition de la disponibilité dépend des besoins de votre
entreprise, de vos exigences en termes de données et d'applications, ainsi
que de votre structure. Pourtant, l'objectif logique devrait être d'éviter que les
inévitables interruptions du système n’affectent la production de l'entreprise.

D’ACTIVITÉ
Un plan de continuité d’activité (PCA) est constitué de deux composantes liées
entre elles : PCO & PSI
Le PCO (Plan de Continuité des Opérations) s’applique à définir des procédures
et des marches à suivre pour permettre aux différents corps de métier de
l’entreprise de continuer à être opérationnels après un sinistre.
Le PSI (Plan de Secours Informatique) vise à garantir l’exploitabilité du système
d’information de l’entreprise, même lors de son indisponibilité, qu’elle soit due à
une destruction causée par une catastrophe naturelle, à une impossibilité
d’accéder au lieu de travail, ou à une attaque informatique menée par un tiers
malveillant.

D’ACTIVITÉ
PRI / PCI

D’ACTIVITÉ
Le plan de continuité d’activité
Vise à assurer la poursuite des activités nécessaires au maintien
économique, commercial, social et relationnel de l'entreprise en toutes
circonstances d'événements gravement perturbateurs.
L’activité informatique constitue un sous-ensemble majeur d’un plan
de continuité d’activité

D’ACTIVITÉ
Le plan de secours informatique
La continuité d ’activité est aujourd’hui étroitement liée au
fonctionnement du système d’information.
Le plan de secours informatique vise à supprimer ou à réduire les
conséquences d'indisponibilité du système informatique.
Le Plan de Secours Informatique peut être vu comme un des
derniers remparts contre la panique et la confusion,
lorsqu’une situation de crise se présente et nécessite des moyens
formels pour être résolue dans des délais acceptables.

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Contexte
Chiffres clés
événements
Domaine et
périmètre de la
continuité
d’activité

MODULE N°2 : GRANDES ÉTAPES DU PLAN
DE SECOURS INFORMATIQUE
CINÉMATIQUE DE LA CRISE
ORGANISATION, ACTEURS - RESPONSABILITÉS,
CELLULE DE CRISE - DÉCLENCHEMENT,
DISPOSITIF DE SECOURS, DOCUMENTATIONS
FORMATION – SENSIBILISATION
MAINTENANCE ET PLAN DE TESTS DU PSI

GRANDES ÉTAPES DU PLAN DE SECOURS
INFORMATIQUE
23
Exposition maximum
Vulnérabilité maximum
Délai de prise de décision
Plan de secours informatique

INFORMATIQUE
Source Lexis

INFORMATIQUE
Composants principaux d’un PSI
Organisation - Gestion de crise
Formalisation - Système documentaire
Mémorisation des états stables du SI - Stratégie de sauvegarde
Industrialisation du secours - Solution technique de secours
25
Plan de secours

INFORMATIQUE
Organisation
26
Cellule
de crise
Cellule de coordination
Equipes d’intervention
Services utilisateurs

INFORMATIQUE
Organisation
Cellule de crise – Anticipation – pro activité – décision
Analyse des premières informations
Prend les principales décisions
Décision de partir ou non en secours et du retour à la normale
Lieu de réunion, téléphone et moyens de communication doivent être prédéfinis
Cellule
de
crise
Services généraux
Communication
Informatique
Métiers
Utilisateurs

INFORMATIQUE
Organisation
Cellule de coordination – décharger la cellule de crise
Pilotage des opérations de secours
Composée d’un nombre restreint de personnes – responsable PSI, personnes en charge de
la coordination des opérations informatiques et de la logistique
Délégation de responsabilité - activation par anticipation de certains dispositifs
Equipes d’intervention
Réalisation des tâches de secours
Selon les compétences requises, la disponibilité et le lieu d’intervention
S’assurer que les contrats de travail soient compatibles avec le déplacement des équipes
concernées sur un autre site
Services utilisateurs
Prise en charge de leur propre plan de secours mis à leur disposition
Organisation du redémarrage (en mode normal ou dégradé)
Communication auprès des utilisateurs sur les procédures de contournement éventuelles

INFORMATIQUE
29
Procédures d’escalade sont essentielles
- Selon le type et la gravité de l’incident
connaître les personnes à contacter
- Définir qui est habilité à déclencher la
structure de crise
Activation du PSI

INFORMATIQUE
Les dispositifs de secours
Mobilisation des ressources nécessaires
Mobilisation des équipes d’intervention
Réservation des moyens de secours (alerte des prestataires externes)
Récupération des sauvegardes et de la documentation
Secours informatique
Restauration des environnements systèmes
Adaptation technique si nécessaire sur le matériel de secours
Restauration des applications et validation des restaurations
Basculement des liaisons de secours réseau ou redirection des flux
Re-routage des appels téléphoniques
Reprise des traitements
Adaptation des procédures d’exploitation
Récupération de flux de synchronisation des données
Validations fonctionnelles des applicatifs

INFORMATIQUE
Logistique
Transports, fournitures, rotation des équipes, prise en compte des situations
individuelles
Préparation du site d’accueil
Relogement
Organisation du logement d’urgence
Préparation des sites d’accueil
Reprise des activités des services utilisateurs
Organisation d’un service minimum
Travaux exceptionnels – procédures de contournement, rattrapages, ….

INFORMATIQUE
Communication de crise
Interne (personnel, autres entités)
Externe (clients, usagers, partenaires)
Dispositif de reprise
Dispositif préalable et d’accompagnement (assurance, remise en état des
locaux, sauvetage des matériels)
Dispositif de retour à la normal (constitue un plan spécifique avec les plans
de restaurations et de reprise de données)

33
Organisation - synthèse
Cellule de crise
Plan de
secours
PC
Sécu
Astreinte
Assistance externe
Utilisateurs
Moyens de secours Moyens normaux
Equipes
de secours
Plan de
secours
Alerte
Procédures
dégradées
Equipes
techniques

INFORMATIQUE
Fréquence des tests des plans de secours pour les entreprises
françaises – étude CLUSIF

INFORMATIQUE
Formation – Sensibilisation
Tous les acteurs de la continuité doivent être formés :
Le RSSI, le comité de direction
Les personnels de l'équipe de secours
Les référents des utilisateurs
Il doivent être formés à :
La mise en œuvre du PSI,
La mise en œuvre des équipements techniques de secours,
L'emploi des moyens du plan de secours (communication, transport, etc. ...)
Le test réel du PSI est lui-même un atelier de formation
pour les parties prenantes et développe la polyvalence
dans les équipes

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Cinématique
de la crise
Organisation,
acteurs -
responsabilités,
Cellule de crise -
déclenchement,

MÉTHODOLOGIE
ANALYSE DU CONTEXTE
CHOIX DE LA STRATÉGIE DE CONTINUITÉ
MISE EN PLACE DE LA SOLUTION DE SECOURS
OUTILS
MÉTHODOLOGIE ET OUTILS
38 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

40
Phase N°1
• Analyse du contexte et des enjeux de
l’entreprise
Phase N°2
• Choix de la stratégie de continuité
Phase N°3
• Mise en place de la solution de secours

Phase N°1 : Analyse du contexte et des enjeux de l’entreprise
Diagnostic initial
Cartographies & scénarios de sinistres
Cartographie du système d’information : applications, infrastructure, site
Bilan d’impact sur l’activité
Analyse de couverture de vos polices d’assurance
Livrables
Rapport d’audit – Vulnérabilités identifiées - Cartographie du système d’information
Cartographies des sinistres & scénarios de sinistres retenus
Impacts des sinistres sur l’activité – Contraintes (réglementaires commerciales)
Plans de réduction des risques par activité et ou ressource critique
Ressources clés (RH, infrastructure et locaux SI, données sensibles, fournisseurs) &
SPOF (Single Point Of Failure)
Méthodes, Outils, Normes
Norme ISO-27002 – ISO 22301 - Méthode d’analyse de risque EBIOS, MEHARI

EXEMPLE DE MESURE DES CONSÉQUENCES DE
L’INTERRUPTION DE SERVICE ET DONC DE LA CRITICITÉ DE
CHAQUE PROCESSUS

MÉTHODOLOGIE ET OUTILS : BILAN D’IMPACT SUR
L’ACTIVITÉ (BIA)
Sinistres retenus a priori Conséquences possibles
1 Sinistre de la salle informatique de production
(incendie, coupure électrique, panne de climatisation, etc.)
• Indisponibilité durable (plusieurs jours) de toutes les applications
de la société X Impact direct sur la santé des patients et sur
l’organisation de la société X
2
Rupture d’un composant d’infrastructure vital hébergé
en salle
(cœur de réseau, cœur de téléphonie, etc.)
• Indisponibilité durable (plusieurs jours) de toutes les applications
de la société X Impact direct sur la santé des patients
3 Rupture du lien Internet
(défaillance opérateur, coupure physique du lien, etc.)
• Impossibilité d’accéder aux applications hébergées à l’extérieur
• Impossibilité d’échanger avec les partenaires Impact potentiel
sur l’organisation
4
Rupture d’une connexion réseau interne (inter-site ou
inter-bâtiment)
(coupure physique d’un lien, défaillance d’un commutateur
réseau, etc.)
• Impossibilité pour les services du bâtiment d’accéder aux
applications
• Impossibilité pour les services du site d’accéder aux applications
• Indisponibilité durable (plusieurs jours) et/ou corruption de
données d’applications échangeant des données entre elles
Exemple : Eventuel impact sur la santé des patients
5
Indisponibilité du Système d’Information suite à une
défaillance matérielle ou logique des systèmes critiques
(attaque virale massive, panne physique de systèmes critiques,
etc.)
• Indisponibilité significative (quelques heures à plusieurs
jours) des applications critiques de la société X Exemple
Impact direct sur la santé des patients

Notions fondamentales qui découlent de la phase N°1
Sinistre
Redémarrage
système
Redémarrage
applications
Récupération
des données
DIMA (RTO) :
Durée d’Interruption Maximale Admissible
PDMA (RPO) :
Perte de Données Maximale Admissible
Dernière
sauvegarde
DIMAPDMA

Notions fondamentales qui découlent de la phase N°1
RPO - Recovery Point Objective
désigne, pour sa part, la durée maximum d'enregistrement des données qu'il est
acceptable de perdre lors d'une avarie
Impose des objectifs de sauvegarde
RTO - Recovery Time Objective
spécifie le délai maximum que l'entreprise tolère avant de reprendre son activité. Il peut
être de quelques secondes à quelques heures.
Impose un type d’architecture
Déterminer les exigences RPO et RTO de votre entreprise
pour ensuite déterminer la solution technique – ET NON
l’INVERSE

Source CLUSIF 2014

GRANDES ÉTAPES DU PRI – VUE DSI
Périmètre du PRAPérimètre du PRI
48 PRONETIS©2011 - Droits d'utilisation ou de reproduction réservés
Système
Données
Opérations
T-1 T0 T1 T2
RPO SINISTRE
Fin de crise
Dernière
sauvegarde
Reprise
Système
Procédures
Fonctionnelles dégradées
Restauration
sauvegarde
Synchro
Data T-1
Activité
Normale
Perte acceptable
de données
Système d’information de nouveau opérationnel (Mails, Internet,
Réseau, et données resynchronisées depuis T-1)
Attention : inclure le délai du déroulement des fiches de test
RTO
Délai de reprise
acceptable
Fin du
DRP
RPO : Recovery Point Objective - Perte de Données Maximum Autorisée
RTO : Recovery Time Objective en anglais - Délai d'Interruption Maximum Autorisé
DRP : Data Recovery Process / PRI Informatique / PRA Activité
Fin de l’indisponibilité vue par les
métiers ( données ressaisies et intègres)
RPO
RTO
Travail
De remédiation T-1
Délai de
Réaction
Délai de réaction Inclut la GTI + le délai de diagnostic

Phase N°2 : Choix de la stratégie de continuité
Modélisation des données et des flux – volumétrie – consommation – fraîcheur
des données – degré de duplication
Stratégie de continuité notamment en fonction du RTO et du RPO
Préconisation de solutions en matière de secours
Stratégie de gestion des personnes de secours
Choix de la solution technique de secours
Livrables
Scénarios de gestion de la continuité d’activité et préconisations
Rapport d’analyse des solutions caractérisées et préconisations
Calcul de ROI, Analyse SWOT (Force, Faiblesse, Opportunité, Menace)
Etudes ou rapports d’étude de solutions

PERSONNES
ET ORGANISATION
DATACENTERS
ET SALLES
INFORMATIQUES
RESEAUX
ET SERVICES
D’INFRASTRUCTURE
SERVEURS
ET APPLICATIONS
STOCKAGE
ET DONNEES
PROCEDURES
ET STRATEGIE
Moyens humains et organisationnels
Continuité des métiers
Ensemble des moyens mis en œuvre par la Direction des
Systèmes d’Information
pour permettre la reprise des services critiques
fournis par les SI:
Infrastructure choisie en fonction de la
stratégie de continuité

Phase N°3 : Mise en place de la solution de secours
Mise en place de l’infrastructure technique
Organisation autour de la solution technique
Définir les scénarios et plan de tests hiérarchisés (objectifs et résultats attendus)
Recette de la solution mise en place – Définition des tests et résultats attendus
Tests en grandeur nature
Livrables
Solution technique de secours y compris les procédures d’exploitation du plan de secours
Procédures organisationnelles du plan de secours informatique
Conclusion et rapport du plan de tests – Ecarts constatés
Outils de gestion de planning (MS-Project, PS Next) et de reporting
Définition des rôles, responsabilités et des backups du personnel
Cas aux limites – Astreintes : week-end et jours fériés, nuits, période de congés

Logiciels pour la gestion d’un plan de secours
Outils intégrés
FrontGRC Continuity, PARAD XP (XP Conseil), XT BORA (IBM), Paragon (Sungard),
Risk Matrix (Arkfirst), HyperVisionSecours (Bull), RecoverEASE (Global Magnitude),
…
Outils génériques
Outils de gestion de projet et de messagerie : MS-PROJECT, Outlook, Sharepoint
Outils de bureautique : Word et Excel
Outils de cartographie des processus : MEGA…. Voir VISIO éventuellement pour des
organisations de taille moyenne ….

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Méthodologie
Analyse du
contexte
Mise en place de
la solution de
secours
Outils
Choix de la
stratégie de
continuité

MODULE N°3 : PANORAMA DES SOLUTIONS
TECHNIQUES DE SECOURS
TYPOLOGIE DES MOYENS DE SECOURS
DISPONIBILITÉ DES MOYENS DE SECOURS ET STRATÉGIE DE SECOURS
PRINCIPAUX FOURNISSEURS DE SOLUTIONS DE SECOURS
SOLUTIONS DE SECOURS DES LOCAUX & ÉQUIPEMENTS
SECOURS DES RESSOURCES HUMAINES & ASTREINTES
ASPECTS FINANCIERS

PANORAMA DES SOLUTIONS TECHNIQUES DE
SECOURS
Eléments de définition d’une salle serveur
Disponibilité
Emplacement
Bâti
Urbanisation Opérateur
Électricité
Réseau
Climatisation
Protection
incendie
Sécurité
Alertes
Affichage

SECOURS
Type de moyens de secours
Salle miroir (domaine de la haute disponibilité)
Salle redondante entièrement par rapport à la salle nominale
Equipements, applicatifs, systèmes, données maintenus en permanence à
niveau
Avantage : allégement des procédures de sauvegarde du à la duplication sur
un environnement distant, la plus fiable, la plus disponible
Inconvénient : solution la plus couteuse
Cas particulier du secours mobile
Réalisé par le biais d’un camion équipé en moyens informatiques (exemple :
Main Frame) pour répondre à un besoin de secours
Efficace si cela fait l’objet d’un spécification entre le fournisseur et l’entreprise
Limitation : délai d’acheminement et la configuration des lieux limitent le
recours à ce type de solution

SECOURS
Bâtiment en dur Shelter
Surface au sol Fixe Évolutive (de 10 m² à
plusieurs centaines de m²)
PUE > 2 1,2 < 2
Délais moyens de mise en
production
15 à 18 mois 4 à 6 mois
Coût de construction 100 k€ 25 k€
Intégration dans
l’environnement
Optimal Limité au bardage
PUE : Power Usage Effectiveness = PU Datacenter / PU SYS INFO
PU Datacenter : Énergie totale consommée par le datacenter
PU SYS INFO : Énergie totale consommée par les systèmes informatiques

SECOURS
Type de moyens de secours :
Salle miroir (domaine de la haute disponibilité)
Backup d’astreinte : solution « active-passive », secours quasi temps réel
pour applications critiques
Effectue le secours sur une durée courte en attendant la mise en place
d’un secours de plus grande ampleur.
Secours dédié, ne participe pas à la production.
Site de production répartie : propose une répartition de l’exploitation
informatique.
Avantage : solution « active-active », assurance du niveau de
configuration homogène entre le secours et le secouru, test permanent,
économie grâce à l’exploitation répartie
Inconvénient : dégradation des performances si les sites ne sont pas
surdimensionnés

60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés60
Cluster FW
Étendu
VM VM
ESX
Datacenter 2Datacenter 1
Cœur
De réseau
SAN HDV
VM VM
ESX
VM VM
ESX
VM VM
ESX
DMZ
virtualisée
FAI MIT
Firewall
BAIE SAN
SAN
Réplication VM + Dataraw device
Internet
Cœur
De réseau
SITES
FO
SIEGE SITE
Sites fédérateurs
Site
Stockage
des
sauvegardes
et archives
Téléphonie
LAN
SAN
BAIE SAN
SAN NRO
VMVM
ESX
VMVM
ESX
VMVM
ESX
VMVM
ESX
FO
LAN
FAXTéléphonie
FO
TSM / VEEAM
DMZ
virtualisée
1 x T2 COMPLETEL
(téléphonie In/Out)
Cellule de Crise de la DSI
HDV
Firewall
FAI MIT
Sauvegarde
virtualisés
FT
2 x T0
COMPLETEL
4 x T2 FT (FAX)
Bascule de toutes les SDA
vers un autre site
2611
1 x T2
FT Téléphone Out

SECOURS
Lieu du site de secours
La continuité de service doit prendre en compte le lieu où doit s'effectuer la
reprise d'activité.
La notion de continuité de service s'applique à deux domaines :
la reprise d'activité de l'exploitation (les utilisateurs)
la reprise d'activité de la production (les informaticiens)
Le lieu de la reprise peut être situé :
sur le même site
sur un autre site
61
Conséquence : des contraintes organisationnelles et humaines très différentes

SECOURS
Distance du site de secours
Dépend du sinistre contre lequel
on se protège
Ouragan, incendie, éruption volcanique
Inondations …..
Dépend également des limitations
de la technologie employée
Réplication synchrone = distance limitée < 10 km
Distance moyenne est de 150 km
pour 60% des entreprises sondées*
*Etude en 2005 par la société PreEmpt aux USA
62
sur un site distant

SECOURS
Disponibilité des solutions de secours et stratégie ad hoc
Haute disponibilité : reprise quasi immédiate de l’ordre de la minute sans
perte de données au quasi nulle
La moyenne disponibilité : secours en quelques heures entre 6 et 24 heures
et limite de manière importante la perte de données entre quelques minutes et
quelques heures
La faible disponibilité : caractérise les secours réalisés en général au-delà de
48 heures avec une perte de données du même ordre de grandeur
Les tests permettent d’éviter de sur estimer les délais et donc de recadrer le
délai de disponibilité de la solution

SECOURS
Disponibilité des solutions de secours et stratégie ad hoc
64
Domaines
fonctionnels
Objectif du secours Stratégie de secours
Relation client
partenaire – Fonctions
critiques pour le CA
Dispo. 99,99%
(<45 mn par mois d’interruption)
RTO = 2H
RPO = 0H
Réplication synchrone ou externalisée - Infrastructure de
réplication en triangle couplant réplication synchrone (courte
ou moyenne distance) et asynchrone (longue distance) pour
assurer un secours contre les sinistres locaux et régionaux
Fonctions génératrices
de revenus moins
critiques – Fonctions
logistiques
Dispo. 99,5%
RTO = 8 à 24H
RPO = 4H
Site distant de type salle rouge ou salle miroir, réplication
synchrone ou asynchrone vers un site de secours
d’entreprise ou externalisé (courte et moyenne distance)
Fonctions supports de
l’entreprise
Dispo. 99%
RTO = 3 J
RPO = 1 J
Sauvegarde à distance journalière ou continue dans des
coffres forts électroniques d’entreprise ou externalisés –
Restauration sur des plates-formes de secours
externalisées, dédiées ou mutualisées (salles orange)
Fonctions locales Dispo. 98%
RTO = 4 à 5 J
RPO = 1 J
Sauvegardes hebdomadaires et journalières – Transport des
supports de sauvegarde hebdomadaire dans des coffres
d’entreprise ou externalisés – Site de secours de type salle
blanche

SECOURS
Marché des principaux fournisseurs de solutions de
secours
Solutions traditionnelles
IBM Global Services : offre BCRS – Business Continuity &
Recovery Services et pack 15 ou 25 postes utilisateurs de secours
– 130 sites de secours dans le monde
Sungard Availability Services : 10.000 clients, 40.000 km de
réseau, 300.000 m² d’infrastructure …
Nouvelles solutions dans le Cloud – nouvelle approche
Cloud computing IBM
Cloud public et PRA de Orange Business
Cloud computing Numergy

SECOURS
Solutions de gestion des stockage de données
Dans les premiers : EMC², IBM (Tivoli) , NetApp, HP , Equalogic
Sauvdata (groupe UTC) : société française spécialisée dans l’externalisation de
sauvegardes et la restauration dans le cadre d’un PSI
PCM Assistance : société française spécialisée dans la récupération de données
Backup Avenue : propose des services de sauvegarde et d’archivage à distance –
Solution Safe Backup
Antemeta : société française spécialisée dans le SAN en particulier
Bull…

SECOURS

SECOURS
Et les solutions de secours des moyens de production ?
Par nature, les moyens de production industriel ne sont pas standards
contrairement aux équipements informatiques
Ne peu aboutir à des délais de reprise après sinistre comparables à ceux du SI
Mais pour l’essentiel du secteur tertiaire (banques, assurances, services,
télécoms, communication, etc.) l’outil de production est le système
d’information

SECOURS
Sauvetage des locaux et équipements
Recours aux prestataires spécialisés dans le sauvetage des locaux et
équipements
Exemple Société Datalab : désenfumage, assèchement, protection contre
l’atmosphère corrosive en cas d’incendie.
Recours à des spécialistes de la récupération et reconstitution des informations
(data retrievers)
Exemple Société Ibas, GS2i, OnTrack, Vogon : récupération de données sur
disques durs corrodés, bandes magnétiques noyées, archives papiers
inondées
Surveillance de site sinistré pour prévenir du vol, vandalisme – sociétés de
gardiennage

SECOURS
Secours des locaux et équipements
Accords de réciprocité : au sein d’une même organisation, définir une plate-
forme d’accueil aux équipes et aux équipements
Contrat de location
Utilisation d’un stock d’équipements
Remplacement des équipements par acquisition : accords pouvant être
conclus avec des fournisseurs (délai, quantité de fourniture)
Hybride : Stock stratégique + remplacement par acquisition

SECOURS
Solutions de secours des ressources humaines & astreintes
Stratégie de secours de RH
Mise en place de binôme de compétence : identification des postes clés
Recours aux astreintes
Recours à l’intérim
Dispositif de télétravail
Relocalisation du personnel clé
Aménagement des contrats de travail : rémunération, prime en cas de mobilisation

SECOURS
Aspects financiers – Ordre de grandeur
Coût du m² d’une salle blanche en région parisienne : [100-130] euros m².mois
Coût d’un logiciel intégré de PSI : 5.000 euros
Solution de secours de type dual sites - Miroir synchrone (RTO < 1h RPO 2h) – 8
téraoctets utiles – Centre hospitalier – 2000 personnes – 20 applications dont 5
critiques – 200k€ (investissement matériel, logiciel et mise en œuvre hors construction de la salle
physique)
Solution de secours de type reprise d’activité sur site de secours -pour une
entreprise industrielle -(RTO=RPO=2 heures) – 100 personnes - 4 Téra utile de
données – 6 applications dont 1 critique – 120k€ (investissement matériel, logiciel
et mise en œuvre hors construction de la salle physique)
Un PSI est coûteux : consommateur de ressources, indirectement
productif, mais particulièrement rentable lorsque le sinistre survient.

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Disponibilité
des moyens
de secours et
stratégie de
secours
Solutions de
secours des
locaux &
équipements
Secours des
ressources
humaines &
astreintes
Fournisseurs
de solutions
de secours
Aspects
financiers -
Ordre de
grandeur

MODULE N°4 : ASPECTS PHYSIQUES DES
SOLUTIONS DE SECOURS
CHOIX DU SITE – IMPLANTATION DES LOCAUX - LOCAUX TECHNIQUES
CLIMATISATION – FILTRATION ET POLLUTION DE L’AIR– ÉNERGIE
DÉGÂT DES EAUX – PRÉVENTION ET INTERVENTION INCENDIE – PROTECTION
INCENDIE

ASPECTS TECHNIQUES DES SOLUTIONS DE SECOURS
INFORMATIQUES
Choix du site
En fonction des risques industriels et environnementaux, naturels (zones sismiques)
Implantation des locaux
Contraintes d’infrastructure du bâtiment dans le cas d’une copropriété ou location
Conditions environnementales (poussière, inondation, foudre, incendie),
Dimension de la salle
Zone accessible au public,
Accessibilité pour les intervenants
Lieux de stockages des matériels, consommables et des médias

INFORMATIQUES
Locaux techniques
Hauteur des plafonds
2,6 à 2,9 mètres pour la circulation de l’air, étanchéité totale (poussières et particules proscrites)
Dégagement des points d’accès :
Escaliers, monte-charge pour les charges lourdes et volumineuses
Plancher sur élevé :
Installation de gaine pour le passage de câble et la circulation de l’air dans le faux plancher
Charge 1500 kg/m² - Dimensions des dalles – 600x600mm
Nettoyage : équipement adapté, personnel formé
Sécurité des personnes – travailleurs isolés
Point de contact dans la salle informatique avec l’équipe de gardiennage

INFORMATIQUES
Climatisation – Filtration et pollution de l’air
Air conditionné : [18-22]°C et 45% hygrométrie
Contrôle la température
Contrôle l’hygrométrie
Deux systèmes distincts – dont un de secours

INFORMATIQUES
Climatisation – Filtration et pollution de l’air
Filtration de l’air
Normalement recyclé avec un apport de 1 à 1,5 Volume/heure d’air neuf filtré
– Code du travail R232.5.3 – 25m3/h/par occupant
Entretien des filtres et gaines de climatisation
Mettre en légère surpression le local : mouvement d’air vers l’extérieur
Baies réfrigérées pour les serveurs lames
Refroidissement allant jusqu’à 40kw

INFORMATIQUES
Énergie
Distribution électrique conforme aux normes (NF C15-100, UTE C15-900)
Tableau électrique alimenté par une ligne électrique indépendante
Système de disjonction SI (Super Immunisé) – Mise à la terre et régime du neutre
Séparation courants forts et courants faibles
Identification des câbles et connecteurs
Onduleur
Groupe de secours électrogène (ou sur batterie) – procédure de ravitaillement

INFORMATIQUES
Onduleurs : différentes technologies
Off-Line ou Passive stand-by : en attente passive (environnement stable ou peu perturbé)
Line Interactive : fonctionnant en interaction avec le réseau (environnement perturbé)
One-line : double conversion (environnement très perturbé)
Groupe électrogène informatique
Alimentations sécurisées d’équipement,
Centrales de secours « très haute disponibilité »
pour centres de calculs (DATA CENTER).

INFORMATIQUES
Dégât des eaux
Choix de l’implantation du site
Choix des chemins de toutes les conduites d’eau
Conception de drainage du bâtiment
Système de détection d’inondations dans les faux planchers
Faux planchers – système de pompe
Attention aux joints de dilatation dans une salle informatique
Prévention et intervention incendie
Système de détection et de signalisation (détecteur de fumée)
Matériaux résistant au feu (norme EN-1047-2)
Système d’intervention :
Extincteurs fixes CO2 : protection du personnel
Système Halon interdit depuis le 1 janvier 2004.
Extincteurs portables homologués « feu électrique »
Moyen d’évacuation en respect avec le code du travail
Protection des têtes de lignes et locaux télécoms

INFORMATIQUES
Protection physique
Accès contrôlé : digicode, par badge RFID, fermé à clé
Cumuler au moins deux systèmes : Digicode avec un code mensuel + badge
Vidéosurveillance à l’intérieur de la salle et à l’extérieur au niveau de l’entrée
Gardiennage du site
Pour la conception des salles informatiques sensibles
– se référer aux normes APSAD
en vigueur depuis le 26 janvier 2006

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Choix du site
– Implantation
des locaux -
Locaux
techniques
Choix du site –
Implantation des
locaux - Locaux
techniques
Dégât des eaux
– Prévention et
intervention
incendie –
Protection
incendie

MODULE N°5 : ASPECTS TECHNIQUES DES
SOLUTIONS DE SECOURS INFORMATIQUES
APPROCHE DU MARCHÉ DES INTÉGRATEURS
TOLÉRANCE AUX PANNES – RÉSEAU – SERVEUR – DISQUES
MODES DE SAUVEGARDE – PLANS DE SAUVEGARDE - EXTERNALISATION
TECHNOLOGIES DE SAUVEGARDE – MIRRORING
ARCHITECTURES – VIRTUALISATION

INFORMATIQUES
Adéquation des solutions de disponibilités aux exigences
des temps de fonctionnement
Comment obtenir les RTO et RPO optimums adaptés à votre entreprise ?
Sauvegarde sur bande/solutions d’archivage
Sauvegarde sur disques et disponibilité pratique
Haute disponibilité réseaux (load balancing) – systèmes (Cluster)
Virtualisation des applications et des services
NAS – SAN – réplication synchrone - asynchrone

ASPECTS TECHNIQUES DES SOLUTIONS DE
SECOURS INFORMATIQUES
88
SAN High-End
SAN Low/Midrange
NAS
Disaster Recovery
Archive & Compliance
Backup
Virtualisation
L’approche du marché
Différents matériels
Différents logiciels
Différentes compétences
Différentes procédures
À supprimer

INFORMATIQUES
La disponibilité représente le temps de panne acceptable par an. Il
s'exprime en pourcentage.
89
Indisponibilité % de dispo. Classe
50.000 mn (34 jours, 17 heures et 20 min) 90% 1
5.000 mn (3 jours, 11 heures et 20 min) 99% 2
500 mn (8 heures 20 minutes) 99,9% 3
50 mn (un peu moins d'une heure) 99,99% 4
5 mn 99,999% 5
0,5 mn (30 secondes) 99,9999% 6
0,05 mn (3 secondes) 99,99999% 7

INFORMATIQUES
Tolérance de panne sur le réseau – Partage de charge et haute disponibilité
Différents standards :
IEEE 802.3ad
Etherchannel de Cisco
A partir de plusieurs liens physiques former un seul lien logique
Agréger les débits et diminuer les défaillances matérielles
Modes de fonctionnement
Failover - Load balancing - Bandwidth increase
D’autres solutions existent au niveau du réseau pour assurer une meilleure disponibilité
VRRP (de CISCO)

INFORMATIQUES
Tolérance de panne des serveurs – Redondance matérielle
Alimentations redondées
Plusieurs barrettes mémoires ECC
Multiprocesseurs
Multicartes réseaux – NIC ou HBA
Carte mère durcie – MTBF optimal
Hot Swaping : remplacement à chaud d’un composant défectueux
HD SATA – SAS

INFORMATIQUES
Tolérance de panne des serveurs – Clustering de serveurs
Mettre les données critiques sur un disque partagé ou miroir et en cas de défaillance,
récupérer le disque partagé entre les nœuds (les boîtes bleues) - Redémarrer l'application en
cas de panne.
Appelé “HA clusters” pour limiter les SPOF (Single Point of Failure)
Ce type de solution est livré par les constructeurs de plate-forme avec leurs serveurs.
Exemples : Bull ARF, IBM HA-CMP, Windows MSCS, RedHat Linux Cluster, NEC
ExpressCluster...

INFORMATIQUES
Tolérance de panne des serveurs - Clustering de serveurs - Illustration

Solutions de stockage en réseau
Tendance et évolution
Etat de l’art des technologies
Rappel sur les grands principes de fonctionnement
Principaux acteurs du marché
Trois technologies de stockage en réseau se distinguent
désormais – NAS, SAN et iSCSI - chacune avec ses propres
caractéristiques, adaptées selon les besoins spécifiques de
stockage.

INFORMATIQUES
Technologie NAS (Network Attached Storage)
Architecture de stockage basée sur les fichiers
Dispositif de stockage connecté sur un réseau local
Architecture éprouvée et fiable pour des applications nécessitant le partage de données au niveau des
fichiers comme les emails, web hosting, base de données, fichiers communs
Gestion des fichiers au niveau de la baie de stockage – capacité évolutive

Technologie SAN (Storage Area Network)
Réseau dédié exclusivement au stockage de grande capacité, fiable et performant
Utilise un canal fibre pour connecter les serveurs et les baies de stockage
Fournit un qualité de service - Solution évolutive et haute disponibilité
Utilisation
Ressources reliées par des canaux de types SCSI, SSA, ESCON ou FC
Connexion des serveurs avec des cartes HBA – commutateurs fibres interconnectés
Accès de bas niveau aux baies de stockage (mode bloc) – chaque serveur voit l’espace disque d’un
baie SAN auquel il a accès comme son propre disque dur – administration des LUN et du zoning
Solution efficace pour les sites de secours de proximité
Avantages - Inconvénients
Coût d’acquisition élevé, complexité de mise en œuvre
Haute disponibilité – en doublant au minimum chacun des éléments – HBA, commutateurs et
l’écriture des données
Limitation de distance – en théorie 10 km – en pratique souvent moins

INFORMATIQUES
Technologie SAN (Storage Area Network)

INFORMATIQUES
Technologie iSCSI (Internet Small Computer System Interface)
En forte croissance – technologie mûre et accessible
Construction économique d’un SAN en s’appuyant sur une infrastructure Ethernet pour relier les serveurs
aux ressources de stockage
Utilisation
Repose sur des équipements standards IP – câblage Catég. 6 – commutateurs et cartes Ethernet
Solution efficace pour les sites de secours longue distance (FCIP, IFCP, iSCSI)
Avantages - Inconvénients
Utilisation de l’infrastructure IP existante
Largement plus économique qu’un SAN FC – coût d’acquisition moindre avec un meilleur ROI
Nécessite moins de formation des administrateurs – plus facile à administrer – technologie connue
Offre des performances moins bonnes que le SAN FC
Solution idéale pour des sites de secours de longue distance
Accès aux données au niveau des blocs plutôt qu’au niveau des fichiers par rapport au NAS

INFORMATIQUES
Technologie iSCSI (Internet Small Computer System Interface)

INFORMATIQUES
Les supports de stockage
Duplication sur bandes DLT, LTO, DDS, AIT, VXA, SLR … (obsolète)
Sauvegardes régulières de données pour de faibles volumes
Technologie DDS, AIT, VXA, SLR, DLT
Pour des volumes importants – Technologies S-AIT, SDLT,LTO
Inconvénient : durée de vie des supports qqs années – par rapport à l’archivage légal à long
terme (comptabilité, santé)
Disques durs
SATA (capacitif mais lent)
SAS (rapide et cher)
SSD (ultra rapide – mais obsolescence rapide – et capacité reduite)
Duplication sur disques – Tendance actuelle - SnapVault
Disques en réseau
Rapidité d’écriture et de restauration, durée de vie des disques
Optimisation du coût / Capacité / Performance
Remplacement des duplications sur bandes

INFORMATIQUES
Tolérance de panne sur les disques durs - RAID
Principe: consiste à accroître la tolérance de panne et de diminuer le temps
moyens entre deux défaillances (le MTBF)
RAID 1 – RAID 10 – RAID 5 – RAID 5/0 – RAID 6

INFORMATIQUES
102
RAID-6 (2P)
Tolère 2 pannes disques quelconque
RAID5 (1P)
Tolère 1 seule panne disque
RAID50 (2 RAID5)
Tolère 2 pannes disques dans des RAID5
distinctes
RAID10 (Stripe de Miroir)
Tolère plusieurs pannes mais dans des
miroirs distinctes
parity disks
RAID 6
parity disks
RAID 5
RAID 5/0
mirror disks
RAID 1/0
parity disk
RAID 6 2000 à 4000x sécurité d’un RAID5 - Gestion globale des spares par contrôleur - plus
économique que le RAID 1 - Impact négligeable sur les performances

INFORMATIQUES
Plan de sauvegarde - Méthode de sauvegarde logique
Sauvegarde complète
Sauvegarde incrémentale
Sauvegarde différentielle
Journalisation
Rotation en fonction – combinaison de différents types de sauvegarde
Du type de sauvegarde, de la volumétrie, de la durée de conservation.
Rotation GFS : Grandfather-Father-Son
Sauvegardes complètes hebdomadaires combinées à des sauvegardes
incrémentielles et différentielles quotidiennes.
Intervalle minimum standard et cohérent utilisé pour la rotation et le retrait du média.

Plan de sauvegarde – Externalisation et cloud
Séparer physiquement le serveur de sauvegarde et le système de sauvegarde rattaché
du reste des serveurs.
Pour les petites structures, avec un seul serveur, l’externalisation est primordiale.
L’externalisation consiste à enlever régulièrement du site une bande de sauvegarde full et de la
conserver dans un endroit sécurisé dans un coffre ignifugé par exemple, soit sur un autre site
Sauvegarde à distance sur le site de secours
Consiste à réaliser des sauvegardes sur un support distant type coffre fort électronique
généralement sur le site de secours

Simple, flexible et économique
Proposition de valeur
Bénéfices
Simple
– Paramétrage et basculement
Flexible
– Miroir de/ vers toute baie SAN/NAS
– FC ou IP (iSCSI)
– Synchrone ou Asynchrone
Economique
– Possibilité de miroir asymétrique (vers un
système moins performant)
– Utilisation efficace du stockage et de la
bande passante
– Utilisation possible de la copie déportée
Technologie éprouvée
Centre de données
primaire
Site de secours
Mirroring
Synchonre
Asynchrone
SAN SAN
Aspects techniques des solutions de secours informatiques

INFORMATIQUES
Réplication synchrone (mirroring)
Chaque modification est répercutée instantanément sur le serveur de secours
Nécessite une bande passante importante (fibre optique) et une distance
inférieure à 10 km
Amélioration significative du RTO et RPO
Réplication asynchrone
Copie entre disques pour répliquer toute modification apportée au serveur nominal
sur le serveur répliqué.
Mise à jour du serveur répliqué ne se fait pas en temps réel mais par lots pour
éviter la dégradation des performances sur le serveur nominal
RTO et RPO sont moins bons que la solution synchrone

Continuous
Application
Availability
INFORMATIQUES
Affordable
Disaster Recovery
High Availability
Systems
Disponibilité continue des applications
Remote DR SiteData Center
Solution actif / actif
Mise en place de la
technologie

LAN/SAN
Major Data Center Nearby Office
Contoleurs
SAN
Disks
Configurations
Protection de type Campus
- Distance jusque 500*m
Protection de type régionale
- Distance jusque 100km
avec interconnexion SAN
Architecture unique combinant les besoins de haute
disponibilité et de solution de PRA
108
INFORMATIQUES

INFORMATIQUES
Mirror synchrone des volumes
(aggregates)
Les deux copies (or plexes) sont
mises à jour en écriture en
synchrone, et sont toujours
consistantes
Des erreurs disques multiples
n’affectent pas la disponibilité des
données
Amélioration des performances en
lecture
Lecture depuis les 2 « plexes »
Le % de gain varie selon la
distance entre les « plexes »
Ecriture overhead & latence
Miroir hardware
Aucun impact sur le second
contrôleur
A A1A
Plex 0 Plex 0 Plex 1
Volume1 Volume1
Ecriture sur volume non
mirroré
Ecriture sur volume
mirroré
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés109

La virtualisation dans le cadre d’un plan de secours informatique
2 grandes classes de virtualisation de systèmes
Virtualisation par hyperviseur
Para-virtualisation (relation entre l’hyperviseur et les systèmes invités)
Produits du marché :
VMWare ESX, Workstation
Microsoft avec Hyper-V
Xen Citrix

INFORMATIQUES
Continuité de service
Tolérance aux pannes et temps de reprise amélioré à condition de doubler les serveurs
de virtualisation
Facilité de reconstruction d’une machine virtuelle
Réduction des vulnérabilités
Segmentation des machines virtuelles entre elles
Exécution en « bac à sable » pour le déroulement de programmes sensibles
Contrôle des partages de ressources (parade aux déni de service)
Infrastructures de sécurité
Economie d’échelle et de bande passante réseau pour le déploiement de relais sur les
sites distants (antivirus, navigation Internet, télédistribution…)
Intégration d’applications et de système d’exploitation hétérogènes et/ou obsolètes
Optimisation de l'exploitation et de la gestion des ressources du serveur hôte

EXEMPLE POUR UNE ETI DE 1000 PERSONNES
Site secondaireSite primaire
VM VM
DMZ
virtualisée
Sauvegarde
& archivage
2 X FW
VM VM
ESX ESX
SAN
Sauvegarde
1 X FAI
VM VM
ESX
VM VM
DMZ
virtualisée
2 X FW
VM VM
ESX ESX
SAN
1 X FAI
VM VM
ESX

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Approche des
intégrateurs
Tolérance aux
pannes
Technologies
De mirroring
Architectures
Modes et plans
de sauvegardes

POUR ALLER PLUS LOIN
Livre
Plan de continuité d'activité et système d'information : Vers l'entreprise
résiliente Broché – 24 février 2010 de Matthieu Bennasar
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
https://www.clusif.fr/fr/production/ouvrages/.../PlanContinuiteActivite.pdf
http://www.sgdsn.gouv.fr/IMG/pdf/Guide_PCA_SGDSN_110613_normal.pdf
http://www.tab-beim-bundestag.de/en/publications/reports/ab141.html
115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés115 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

FIN DU VOLET
MERCI POUR VOTRE
ATTENTION

Gouvernance de la sécurite des Systèmes d'Information Volet-2

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-2

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-2 (20)

Plus de PRONETIS

Plus de PRONETIS (17)

Dernier

Dernier (20)

Gouvernance de la sécurite des Systèmes d'Information Volet-2