Plan de continuité des activités
Le vrai enjeu stratégique

Lausanne, 5.11.2013
Stéphane Perroud, Minimarisk Sàrl

ITIL V3...
Orateur Stéphane Perroud

Stéphane Perroud
www.sperroud.ch
consulting@sperroud.com

Formations
 Ingénieur ETS / HES
 Eco...
Agenda







Introduction
Les principaux risques des entreprises romandes
Le plan de continuité
Les solutions de re...
Introduction

Page 4
Quand tout va bien…
 Vision réduite des risques de l’entreprise.
 Impossible de tout prévoir.
 Systèmes complexes, vuln...
Quand tout va mal…

Page 6
11 Sept. 2001 – New York City

19 terroristes

2997 victimes

1134 entreprises impactées

60-1000 milliards de $ de pertes...
11 Sept. 2001 - 2 histoires
 Société financière
 Gère les principaux fonds de pensions américains.
 Reprend les activit...
Les principaux risques
des entreprises romandes

Page 9
Principaux risques des entreprises
Les principaux risques surviennent sur trois niveaux:
1. De la société elle-même
 Erre...
Les principales menaces (selon ISO 27005)









Dommages physiques
Evénements naturels
Perte de services essent...
Situation en Suisse (selon Melani)
 DDoS – attaques massives en Suisse aussi
 Serveurs DNS détournés pour des attaques D...
Conséquences

Impacts directs




Destructions
Indisponibilités
Perte de données

Impacts indirects




Erreurs
Surc...
Le plan de continuité

Page 14
Chronologie des catastrophes

Page 15
Que faire lors d’une interruption ?

Gérer l’urgence



v 1.0

Mode «désastre»
Plan de gestion des
incidents (PGI/IMP)

...
10: Amélioration

v 1.0

Analyse des risques et normes
Page 17
Gestion de la continuité des activités

Page 18
Etapes du plan de continuité
Project
Initiation

BIA

Strategy
Development

Plan
Development

Implementation

Testing

Mai...
Analyse des impacts métier (BIA)
 Quoi
 Identifier, quantifier et qualifier les conséquences d’une perte ou d’une
interr...
Les solutions de repli

Page 21
Stratégie de continuité
 Identification et sélection des stratégies :
 Coûts vs. vitesse de reprise
 Respect des RTO (<...
Conclusions

Page 23
11 Sept. 2001 - Leçons retenues
1. Toutes les menaces doivent être considérées.
2. Le personnel clé peut être indisponible...
11 Sept. 2001 - Leçons retenues
4. Les plans doivent être mis à jour et testés périodiquement. Des copies des
plans doiven...
11 Sept. 2001 - 2 histoires
6. Les dépendances et interdépendances doivent être analysées avec soin.
7. Les télécommunicat...
Digicomp et PCA: What’s next?
 ISO 22301 Business Continuity Foundation
 2 jours avec certification.
 Prochain cours : ...
Contact

Raphael Rues
Digicomp Academy Suisse Romande SA
Phone: +41 21 321 65 00
E-Mail: raphael.rues@digicomp.ch
Web: htt...
Questions & réponses

Page 29
Prochain SlideShare
Chargement dans…5
×

Plan de continuité des activités: le vrai enjeu stratégique

2 658 vues

Publié le

Durant cette soirée, Stéphane Perroud aura le plaisir de partager avec vous ses compétences de praticien sur les différents aspects des risques à identifier et à évaluer, et vous montrera comment trouver des solutions pour rendre le business plus résilient. Il ne faut pas oublier que le but d’un PCA (plan de continuité d’activité) est d'accroître la robustesse du business en renforçant les dispositifs de prévention et de protection.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 658
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
193
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Dix mille cas par an. Le chiffre des infractions commises au sein des entreprises enSuisse et mesuré par KPMG est loin d’être négligeable. Gestion déloyale, vol d’argent,escroquerie, corruption...La progression du vol de données, qui devient l’infraction principalesubie par les sociétés helvétiques.Les fraudeurs sont en majorité issus des rangs de l’employeur, le management étant mêmeimpliqué dans presque 40% des cas de conduites répréhensibles.
  • Dommages physiques: feux, eau, pollution, gel, …Evénements naturels: climat, sismique, volcan, inondation, météo.Perte de services essentiels: HVAC, alimentation électrique, télécommunication.Perturbation due à des radiations: électromagnétique, thermique.Information compromise: espionnage, vol, divulgation, source non trusted.Pannes techniques: soft, hard.Actions non autorisées: fraude, utilisation non autorisée, corruption de données, copie de soft.Fonctions compromises: erreur, abus de droits, DOS, disponibilité du personnel.
  • Il vous faut impérativement un PCA si : Vous œuvrez dans un secteur d’activité qui impose règlementairement l’existence et la maintenance d’un PCA. C’est le cas notamment du domaine bancaire. Vous travaillez avec des grands comptes ou administrations qui le réclament dans le cadre de leur propre politique de sécurité (notamment dans le contexte ISO 27001). Sinon, vous devez élaborer un PCI si : La bonne marche de votre entreprise est étroitement dépendante de votre système d’information. Concrètement, posez-vous par exemple la question suivante : puis-je tolérer sans dommage un arrêt de plus de 24h de ma messagerie, de mon ERP, ou de mon logiciel de paie ou de facturation ? Si la réponse est non, il faut un PCI, sinon un PRA peut suffire. Si votre activité est peu dépendante de l’informatique, ou si vos moyens budgétaires sont réduits, vous pouvez opter dans un premier temps pour un PRA.
  • Externaliser: télétravailDatacenters: SunGard, Green, Dfi, VTX, Safehost, GaneshHosting.Clouds: Amazon (IaaS), Google (SaaS), Kodeo (Meyrin), Evok (Fribourg).Virtualisation: Vmware, vSphere, Hyper-V.
  • Plan de continuité des activités: le vrai enjeu stratégique

    1. 1. Plan de continuité des activités Le vrai enjeu stratégique Lausanne, 5.11.2013 Stéphane Perroud, Minimarisk Sàrl ITIL V3 Foundation
    2. 2. Orateur Stéphane Perroud Stéphane Perroud www.sperroud.ch consulting@sperroud.com Formations  Ingénieur ETS / HES  Economiste HEC  Master en Management de la Sécurité des SI (MSSI) Expériences  Développeur J2EE et Web (LODH)  Auditeur informatique (PwC)  Consultant en Gouvernance, Audit et Management de la Sécurité des SI (Minimarisk)  Formateur en Gouvernance, Sécurité et Audit (COBIT, CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp) Certifications et examens  CAS en gestion appliquée de projets, COBIT Foundation 4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001 Page 2
    3. 3. Agenda       Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A Page 3
    4. 4. Introduction Page 4
    5. 5. Quand tout va bien…  Vision réduite des risques de l’entreprise.  Impossible de tout prévoir.  Systèmes complexes, vulnérables. Il faut se préparer ! Page 5
    6. 6. Quand tout va mal… Page 6
    7. 7. 11 Sept. 2001 – New York City 19 terroristes 2997 victimes 1134 entreprises impactées 60-1000 milliards de $ de pertes Page 7
    8. 8. 11 Sept. 2001 - 2 histoires  Société financière  Gère les principaux fonds de pensions américains.  Reprend les activités en moins de 1 semaine.  Sauvée de la faillite.  Société IT  Perd la plupart de ses collaborateurs.  Backup IT dans l’autre tour.  Fait faillite. Page 8
    9. 9. Les principaux risques des entreprises romandes Page 9
    10. 10. Principaux risques des entreprises Les principaux risques surviennent sur trois niveaux: 1. De la société elle-même  Erreurs humaines.  Forte dépendance sur certains collaborateurs. 2. De son environnement immédiat  Perte d’un client ou fournisseur important. 3. Du plan macroéconomique  Variations des taux de change, fluctuations conjoncturelles.  Changements réglementaires. Page 10
    11. 11. Les principales menaces (selon ISO 27005)         Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises Page 11
    12. 12. Situation en Suisse (selon Melani)  DDoS – attaques massives en Suisse aussi  Serveurs DNS détournés pour des attaques DDoS.  Surveillance des communications sur Internet  Prism (NSA), GCHQ (câbles sous-marins).  Advanced Persistent Threats  Cyberattaques raffinées.     Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission Page 12
    13. 13. Conséquences Impacts directs    Destructions Indisponibilités Perte de données Impacts indirects    Erreurs Surcharge de travail Retards de livraison Effets à long terme    Pertes de réputation Pertes de clients Procès Page 13
    14. 14. Le plan de continuité Page 14
    15. 15. Chronologie des catastrophes Page 15
    16. 16. Que faire lors d’une interruption ? Gérer l’urgence   v 1.0 Mode «désastre» Plan de gestion des incidents (PGI/IMP) Assurer la continuité   Mode «désastre» Plan de continuité (PCA/BCP) Rétablir le système   Mode «normal» Plan de reprise et récupération (PRA/DRP) Analyse des risques et normes Page 16
    17. 17. 10: Amélioration v 1.0 Analyse des risques et normes Page 17
    18. 18. Gestion de la continuité des activités Page 18
    19. 19. Etapes du plan de continuité Project Initiation BIA Strategy Development Plan Development Implementation Testing Maintenance Page 19
    20. 20. Analyse des impacts métier (BIA)  Quoi  Identifier, quantifier et qualifier les conséquences d’une perte ou d’une interruption d’une activité métier sur l’ensemble de l’organisation  Pourquoi     Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités  Comment  Identifier les processus principaux et leurs propriétaires  Etablir un graphe des dépendances entre ces processus  Identifier les impacts et évaluer quand ils deviennent inacceptables Page 20
    21. 21. Les solutions de repli Page 21
    22. 22. Stratégie de continuité  Identification et sélection des stratégies :  Coûts vs. vitesse de reprise  Respect des RTO (<= DMIA)  Respect des RPO (<= PDMA)      Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation  Si impact important immédiat  réduction du risque  Si impact peu important immédiat  plan de reprise Page 22
    23. 23. Conclusions Page 23
    24. 24. 11 Sept. 2001 - Leçons retenues 1. Toutes les menaces doivent être considérées. 2. Le personnel clé peut être indisponible. Le support aux employés est important. 3. Les infrastructures peuvent être inaccessibles. Nov. 2003 HSBC Istanbul. Une bombe explose. 26 tués, 450 blessés Page 24
    25. 25. 11 Sept. 2001 - Leçons retenues 4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés. 5. Les sites alternatifs ne doivent pas être situés trop près du site primaire. Août 2003 “En 3 minutes, 21 centrales électriques s’éteignent Page 25
    26. 26. 11 Sept. 2001 - 2 histoires 6. Les dépendances et interdépendances doivent être analysées avec soin. 7. Les télécommunications sont essentiels. Oct. 2008 D.Telekom se fait voler les données de 17 millions d’utilisateurs de mobiles Page 26
    27. 27. Digicomp et PCA: What’s next?  ISO 22301 Business Continuity Foundation  2 jours avec certification.  Prochain cours : 25, 26 nov. 2013.  ISO 22301 Business Continuity Lead Auditor  5 jours avec certification.  Prochain cours : 13-17 janv. 2014.  ISO 27005 Risk Manager  3 jours avec certification.  Prochain cours : 10-12 fév. 2014. Page 27
    28. 28. Contact Raphael Rues Digicomp Academy Suisse Romande SA Phone: +41 21 321 65 00 E-Mail: raphael.rues@digicomp.ch Web: http://www.digicomp.ch/fr Page 28
    29. 29. Questions & réponses Page 29

    ×