Cours msi securite_si

502 vues

Publié le

Cours de sécurité informatique

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
502
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
23
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cours msi securite_si

  1. 1. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Table des matières CARTE HEURISTIQUE...................................................................................................................2 SÉCURITÉ DU SYSTÈME D'INFORMATION...........................................................................................3 Fonctions de base.............................................................................................................................................3 Chiffrement........................................................................................................................................................3 L'ANALYSE DES RISQUES..............................................................................................................7 POLITIQUE DE SÉCURITÉ.............................................................................................................8 Conception........................................................................................................................................................8 Réalisation.........................................................................................................................................................8 Évaluation et Contrôle.......................................................................................................................................8 Amélioration......................................................................................................................................................8 LES DISPOSITIFS DE PROTECTION....................................................................................................8 La protection du poste de travail......................................................................................................................8 Protection du réseau local..............................................................................................................................10 NORMES ET MÉTHODES............................................................................................................11 Normes ISO 27001, BS 7799-2......................................................................................................................11 Normes BS 7799, ISO 17799 et ISO 27002...................................................................................................12 Sécurité des systèmes d'information..............................................................................................................12 Norme ISO 13335 ..........................................................................................................................................13 Principe de l'amélioration continue : modèle PDCA.......................................................................................13 Formalisation sous BS 7799...........................................................................................................................13 Méthode EBIOS..............................................................................................................................................14 Méthode MEHARI...........................................................................................................................................15 Référentiel COBIT...........................................................................................................................................15 PLANS D'ACTIVITÉS..................................................................................................................16 PRA.................................................................................................................................................................16 RTO.................................................................................................................................................................16 RPO.................................................................................................................................................................16 PCA - PCS......................................................................................................................................................16 PCO.................................................................................................................................................................17 PCI - PSI.........................................................................................................................................................17 ARTICLES..............................................................................................................................18 Panorama des méthodes d'audit de sécurité ................................................................................................18 Optimiser et tester l'efficacité d'un plan de continuité d'activité.....................................................................19 Plan de continuité d'activité : les pièges à éviter............................................................................................20 1/21
  2. 2. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Carte heuristique 2/21
  3. 3. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Sécurité du Système d'Information Fonctions de baseFonctions de base Authentification Assurance de l’identité d’une personne ou plus généralement d'un objet, (un serveur, une application). La carte nationale d’identité et la signature manuelle permettent d’authentifier une personne. L'identifiant et le mot de passe permettent d'authentifier un utilisateur sur un système d'exploitation. Intégrité Garantie qu’un objet (document, fichier, message …) n’a pas été modifié par une autre personne que son auteur. Sur un document papier, une modification se voit (rature, gommage, blanc..). Sur un document électronique (courrier électronique, fichier texte, …) non sécurisé, cette détection est impossible. Sur les documents électroniques, la signature électronique est le mécanisme qui permet d’assurer l’authentification de l’émetteur et l’intégrité de l’objet transmis. Confidentialité Assurance qu’un document ne sera pas lu par un tiers qui n’en a pas le droit. Les documents papiers qui doivent rester secrets sont généralement stockés dans des coffres et sont transportés sous plis cachetés. Sur les documents électroniques, le chiffrement permet d’assurer la confidentialité. Non répudiation L’émetteur d’un message ne doit pas pouvoir nier l’avoir envoyé et le récepteur l’avoir reçu. Les transactions commerciales utilisent abondamment cette fonction. Le reçu signé au livreur, la lettre recommandée sont des mécanismes de non répudiation. Les certificats permettent d’assurer ce service. ChiffrementChiffrement Chiffrer un texte consiste à en modifier sa forme en utilisant un secret, appelé la clé. Vous recevez le texte suivant : « ylkglro » Ce texte ne vous parle pas. Il s'agit d'une suite de lettres formant un mot totalement incompréhensible. Mais si on vous donne la clé, si vous connaissez le secret, vous allez en trouver la signification . Le secret tient dans une table de correspondance entre les lettres de l'alphabet. a b c d e f g h i j k l m n o p q r s t u v w x y z w y z a b c d e f g h i j k l m n o p q r s t u v w « ylkglro » suite de lettres lues dans la deuxième ligne et remplacées par la lettre de la première ligne devient « bonjour ». Pour assurer la confidentialité d’un document électronique, on chiffre le texte du document en lui appliquant un traitement (algorithme) mathématique. Ce traitement utilise une clé de chiffrement. Une fois chiffré, le texte devient illisible. Pour obtenir la version lisible, il faut le déchiffrer, c’est à dire appliquer un autre traitement mathématique utilisant une clé de déchiffrement. 3/21
  4. 4. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Clé symétrique La même clé est utilisée par l'émetteur et le destinataire du message. Pour que le secret soit effectif, il faut que les deux protagonistes se mettent d'accord sur le contenu de la clé qu'ils doivent s'échanger en utilisant un autre moyen de communication. La clé peut être transmise par lettre ou par voie orale, de vive voix ou par téléphone. Jacques et Florence se sont mis d'accord par téléphone sur une clé. Lorsque jacques envoie un message à Florence, il le chiffre avec la clé convenue et envoie le courriel. Lorsque florence ouvre sa messagerie, elle y trouve un message illisible, qu'elle va pouvoir déchiffrer avec la clé commune. Cette méthode présente deux inconvénients : • il faut échanger le secret par un autre moyen que la voie électronique. • Il faut autant de secrets que de personnes avec lesquelles on doit échanger. Le carré de VignèreLe carré de Vignère A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y 4/21
  5. 5. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Clé Asymétrique • La clé de chiffrement est différente de la clé de déchiffrement • Les 2 clés (une pour chiffrer, l’autre pour déchiffrer) sont indissociables l’une de l’autre, mais il est impossible avec une des clés de découvrir l’autre. Les 2 clés sont créées en même temps par un programme mathématique. Le couple de clé est appelé « Trousseau » • Tout texte chiffré avec une des clés (de chiffrement ou de déchiffrement) peut être déchiffré avec l’autre clé (de déchiffrement ou de chiffrement) et uniquement avec celle-ci. Florence génère grâce à un programme son trousseau de clé. Elle obtient une clé privée et une clé publique. Elle met à disposition de quiconque sa clé publique sur un serveur. Jacques qui désire lui envoyer un texte confidentiel, récupère sa clé publique sur le serveur de clés. Il chiffre son message avec cette clé et l'envoie à Florence par courriel. Florence déchiffre le message avec sa clé privée. Signature électronique La signature électronique permet d’assurer les fonctions d’authentification et d’intégrité. On veut être sûr que le contenu du message n'a pas été modifié et qu'il a été envoyé par la bonne personne. Le principe est le suivant. On commence par faire une « empreinte du texte » : il existe pour cela une fonction mathématique de « Hashage ». On peut dire qu'il s'agit d'un résumé du texte et que si on applique plusieurs fois la fonction de hashage sur le même texte, on obtiendra toujours le même résumé. Donc si le destinataire, après avoir passé la fonction de hashage sur le texte reçu, trouve la même empreinte (résumé), c'est que le texte d'origine n' a pas été modifié. Le contrôle de l'empreinte d'un texte permet de s'assurer de l'intégrité de son contenu. Le texte n'a pas besoin d'être chiffré. Seule l'empreinte le sera avec la clé privée de l'expéditeur, car n'oublions pas que la signature a pour but d'authentifier le signataire du texte qui est connu, alors que le destinataire peut être n'importe qui. Le déchiffrement de l'empreinte pourra être effectué avec la clé publique de l'émetteur. Si le déchiffrement est possible, c'est que le message aura bien été chiffré avec la clé privée de l'émetteur. Un message déchiffré avec une clé publique prouve qu'il a été chiffré avec la clé privée correspondante. Jacques envoie un texte signé à Florence. L'opération nécessite 7 étapes : • jacques passe la fonction de hashage sur le texte pour obtenir une empreinte. • Il chiffre l'empreinte obtenue avec sa clé privée. • Il envoie le texte et l'empreinte par communication éléectronique. • Florence reçoit un message chiffré dont l'expéditeur est Jacques. Elle téléchérge la clé publique de Jacques en se connectant au serveur de clé. 5/21
  6. 6. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI • Elle déchiffre l'empreinte avec la clé publique de Jacques pour obtenir l' « empreinte reçue ». Si elle arrive a obtenir une empreinte « en clair », le message a bien été chiffré par Jacques, sinon il l'a été par une autre personne. • Elle passe le texte reçu à la fonction de haschage pour obtenir, l'« empreinte calculée ». • Si l'empreinte calculée est identique à l'empreinte reçue, le texte associé n'a pas été modifié. Certificat Dans le cas précédent lorsque Florence récupère sur le serveur de clés, la clé publique de Jacques, qui lui certifie que cette clé est bien celle de Jacques? Personne! Une clé se traduit pratiquement par un fichier au nom du créateur de la clé, mais un petit malin (Kevin) peut très bien remplacer la clé publique de jacques par sa propre clé et renommer ce fichier avec le nom de Jacques. Fichier d'origine Fichier après substitution Nom fichier Jacques.cle Contenu fichier : clé publique Klf54thtgh247trhj ⇨ Jacques.cle fg5y56jyue7t52h Cette opération de piratage est connue sous le terme de « mascarade » Kevin peut alors lire les informations confidentielles destinées à Jacques et signer en se faisant passer pour Jacques. Un certificat est un mécanisme qui permet d'assurer la validité de la clé publique. Un certificat est l’équivalent d’une carte d’identité ou d’un passeport. Un passeport contient des informations concernant son propriétaire (nom, prénom, adresse, …), la signature manuscrite, la date de validité, ainsi qu’un tampon et une présentation (forme, couleur, papier) qui permettent de reconnaître que ce passeport n’est pas un faux, qu’il a été délivré par une autorité bien connue. 6/21
  7. 7. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Un certificat électronique contient des informations équivalentes qui sont délivrées par un « tiers de confiance ». Ce tiers doit être au dessus de tout soupson. Dans le cas d'un passeport, c'est la préfecture. Dans le cas d'un certificat électronique, c'est un organisme habilité. Pour faire un déclaration d'impôts par le biais d'internet, la DGI délivre un certificat à tout contribuable qui veut utiliser ce mode de déclaration. Le navigateur de Microsoft « Internet Explorer » donne la liste des Autorités de certifications américaines. Que contient un certificat?  Le nom de l’autorité (de certification) qui a créé le certificat  Le nom et le prénom de la personne  informations sur la personne (adresse, dresse électronique..)  Clé publique de la personne  Les dates de validité du certificat  Une signature électronique La signature est l’empreinte des informations contenues dans le certificat, chiffrée avec la clé privée de l’autorité de certification qui a délivré ce certificat. Pour que Jacques envoie un message chiffrée à Florence, Il s'adresse à l'autorité de certification pour récupérer le certificat de Florence. Il en extrait la clé publique de Florence, après s'être assuré de la validité de la signature du certificat. Il chiffre son message avec la clé publique de Florence, qui seule pourra le déchiffrer. L'analyse des risques  Evaluer les ressources critiques de l'organisation. On définit les ressources critiques comme les éléments essentiels à l’organisation, sans lesquels la valeur de l’organisation serait moindre, voire inexistante. En voici quelques exemples : • les informations, • les ressources matérielles (équipements divers, machines, etc.) et logicielles, • le personnel (ressource la plus importante et la plus critique), • l’image de marque.  Déterminer et Classer les menaces qui pèsent sur les ressources. 7/21
  8. 8. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI On définit la probabilité qu'une menace apparaisse et quel serait son impact sur l'organisation Politique de Sécurité A partir de l'analyse des risques, il faut définir le niveau d'exigence acceptable pour l'entreprise. Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l’impact qu’aurait l’exploitation d’une de ces vulnérabilités par une menace. Pour réduire l’impact il faut mettre en place des mesures préventives et les coordonner dans le cadre d'une politique de sécurité. Politique de sécurité ConceptionConception L'étape de démarrage consiste à : • s'assurer que le périmètre et le contexte du futur système sont correctement définis. • identifier, évaluer les risques et développer un plan permettant de les gérer. • rédiger un manuel de sécurité • désigner une personne chargée de définir la politique de sécurité RéalisationRéalisation L’étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de sécurité en : • implantant les mesures techniques préventives • en sensibilisant Direction et Employés Évaluation et ContrôleÉvaluation et Contrôle Les systèmes d’évaluation doivent avoir été décrits dans le manuel de sécurité. L’objectif consiste à s’assurer que les procédures mises en place fonctionnent comme prévu. Ces évaluations peuvent être de plusieurs types : • vérifications régulières faites dans le cadre des activités quotidiennes ; • contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; • comparaison avec les autres organisations ; • réalisation d’audits formels planifiés (risk assessment) ; • révision par la direction. Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut entreprendre des actions correctives. AméliorationAmélioration Les actions qui auront été décidées à l’étape précédente devront être mises en œuvre soit : • au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système; • au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d’une procédure de sauvegarde de données différentes (et évidemment plus adaptée); • au niveau des outils, comme par exemple par l’achat d’un outil anti-virus. Les dispositifs de protection La protection du poste de travailLa protection du poste de travail Contrôle d'accès L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Qualités d'un mot de passe 8/21
  9. 9. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI 1. longueur comprise entre 6 et 8 caractères ; 2. mot n'appartenant pas à un dictionnaire ; 3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux « gilles » est un mauvais mot de passe. « G1i*l;e! » est un mot de passe sécuritaire Un mot de passe doit être changé fréquemment Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN) SSO : Single Sign On Les services numériques accessibles par le web (intranet, courrier électronique, forums, agendas, applications spécifiques) se sont multipliés en quelques années. Chacun de ces services nécessitent une authentification. L'utilisation de techniques de synchronisation entre domaines d'authentification hétérogènes, permet la mise en oeuvre d'un compte unique (login / mot de passe) pour chaque utilisateur. La sécurisation de l'authentification devient donc primordiale. Il est également fortement souhaitable que les applications n'aient pas connaissance du mot de passe. Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assez semblables, à savoir : • une centralisation de l'authentification sur un serveur qui est le seul à recueillir les mots de passe des utilisateurs, à travers un canal chiffré ; • des redirections HTTP transparentes du navigateur client, depuis les applications vers le serveur d’authentification, puis du serveur vers les applications. • le passage d’informations entre le serveur d’authentification et les applications à l’aide de cookies et/ou de paramètres CGI de requêtes HTTP (GET ou POST) Si l’utilisateur n'est pas déjà authentifié auprès du serveur CAS avant d'accéder à une ressource, son navigateur est redirigé vers le serveur CAS, qui lui propose un formulaire d'authentification. Lors de la soumission du formulaire par le navigateur au serveur CAS, si les informations fournies sont correctes, le serveur CAS délivre un « Ticket » au client, qui lui permettra ultérieurement de ne pas avoir à se réauthentifier ; Le « Ticket » est le passeport de l’utilisateur auprès d'un client CAS. Il est non rejouable (ne peut être présenté qu'une seule fois au serveur CAS), limité à un seul client CAS et sa durée de vie est très limitée dans le temps (quelques secondes) Anti-Virus Un logiciel antivirus fonctionne selon 2 modes : • le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche. • Le mode dynamique : l'antivirus est « résident » et surveille en permanence l'activité du système d'exploitation, du réseau et de l'utilisateur. Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques : • Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés dans des bases de données. Avantage : très efficace sur des virus connus ; Inconvénient : nécessite une mise à jour très fréquente de la base des signatures 9/21
  10. 10. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI • Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le comportement d'un programme. Avantage : peut détecter des virus encore inconnus Inconvénient : génère de nombreuses fausses alertes. Protection du réseau localProtection du réseau local Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part. Serveur mandataire Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur mandataire assure les fonctions suivantes : • Mémoriser les dernières pages consultées sur le Net ; • Garder une trace des requêtes ; • Analyser le contenu des documents pour détecter d'éventuels virus ; • Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains services d'internet pour certains utilisateurs. • Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...) Interdire à tous les employés de consulter les sites contenant le mot clé « sexe ». Système Pare-feu ou Firewall Un pare feu est un équipement conçu pour empêcher des individus extérieurs d’accéder au Réseau Local. Un système pare-feu fait office de point d’entrée sur un site, évalue les demandes de connexion à mesure qu’il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres. La majorité des système pare-feu procèdent par filtrage de l’adresse de source. • Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée. • Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs • Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques • Interdire tous les autres services d'internet. DMZ - Zone démilitarisée La « zone démilitarisée » (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs et applications devant pouvoir être accessibles à partir d'Internet (les serveurs de services FTP et de pages WWW, par exemple). Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le réseau local, des données « publiques » de l'entreprise. 10/21
  11. 11. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Réseau Privé Virtuel (RPV) Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution technique qui assure l'authentification et la confidentialité des données échangées entre sites distants utilisant internet comme moyen de transmission. Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit pouvoir accéder à la base de données du siège social. Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire (entreprise B). Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'Intranet. Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'Extranet. Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN. Normes et Méthodes Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente. L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Normes ISO 27001, BS 7799-2Normes ISO 27001, BS 7799-2 La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security management systems qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : • 1. Définir une politique de la sécurité des informations, • 2. Définir le périmètre du Système de Management de la sécurité de l'information, • 3. Réaliser une évaluation des risques liés à la sécurité, 11/21
  12. 12. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI • 4. Gérer les risques identifiés, • 5. Choisir et mettre en oeuvre les contrôles, • 6. Préparer un SoA ( "statement of applicability"). Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place d’une boucle d’amélioration (PDCA). Normes BS 7799, ISO 17799 et ISO 27002Normes BS 7799, ISO 17799 et ISO 27002 La norme ISO 17799 (2005), prochainement renommée 27002, est directement tirée de la BS 7799-1 (créée par le BSI British Standard Institute). Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Poltique de la Sécurité des Systèmes d'Information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme est un guide de Bonnes Pratiques (Best Practices) pour maîtriser la sécurité d'un système d'information. Plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière est devenue la norme ISO/IEC 17799. Sécurité des systèmes d'informationSécurité des systèmes d'information Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition : • 1. périmètre à protéger (liste des biens sensibles), • 2. nature des menaces, • 3. impact sur le système d'information, • 4. mesures de protection à mettre en place. L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment. La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines : • 1. Politique de sécurité • 2. Organisation de la sécurité : • organisation humaine, implication hiérarchique, • notion de propriétaire d’une information et mode de classification, • évaluation des nouvelles informations, • mode d’accès aux informations par une tierce partie, • cas de l’externalisation des informations. • 3. Classification et contrôle des biens • 4. Sécurité du personnel • 5. Sécurité physique - organisation des locaux et des accès, - protection contre les risques physiques (incendies, inondations...) - systèmes de surveillance et d’alerte, - sécurité des locaux ouverts et des documents circulant. • 6. Communication et exploitation: - prise en compte de la sécurité dans les procédures de l’entreprise, - mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..), • 7. Contrôle d'accès: 12/21
  13. 13. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI - définition des niveaux d’utilisateurs et de leur droit d’accès, - gestion dans le temps des droits, • 8. Acquisition, développement et maintenance des systèmes • 9. Gestion des incidents • 10. Management de la continuité de service • 11. Conformité: - dispositions réglementaires - dispositions légales - dispositions internes (Politique) Essentiellement pragmatique, la norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...). Norme ISO 13335Norme ISO 13335 "Guidelines for the management of IT Security" (Directives pour la gestion de la sécurité des Technologies d'information) est référencée dans la 27001 pour l'analyse des risques. Elle y décrit en particulier une analyse de risque, au même niveau que les méthodes EBIOS ou MEHARI. Principe de l'amélioration continue : modèle PDCAPrincipe de l'amélioration continue : modèle PDCA Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes : • Plan : planifier, • Do : mettre en œuvre, • Check : vérifier, • Act : améliorer. Après la définition des objectifs, des actions sont entreprises pour les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis on se fixe de nouveaux objectifs pour être toujours totalement efficace. Formalisation sous BS 7799Formalisation sous BS 7799 Essentiellement pragmatique, la BS 7799 n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...). Comme ISO 9000, BS 7799 ne porte pas sur l’efficacité des dispositions mises en place, mais sur leur existence. Enfin, la certification peut être resserrée sur un périmètre précis. Schématiquement, les étapes à franchir sont les suivantes : • préparation (définition du périmètre, analyse des risques, définition des protections à mettre en place, • mise en place et contrôle des mesures prises, • audit du dispositif par un auditeur accrédité par l'organisme de certification. La certification est délivrée pour une période de 3 ans, mais un nouvel audit doit être effectué tous les ans. 13/21
  14. 14. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Méthode EBIOSMéthode EBIOS EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) pour identifier les besoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage au sein des directions générales. Elle s'organise en 4 étapes principales : • étude du contexte • expression des besoins • étude des risques • identification des objectifs de sécurité Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention est gratuite. EBIOS s'intéresse à tous les types de risques : • incendie, dégâts des eaux • pollution • accidents majeurs • phénomène climatique, sismique, volcanique, météorologique, crue • défaillance de la climatisation • perte d'alimentation énergétique, des moyens de télécommunications • rayonnements électromagnétiques, thermiques • impulsions électromagnétiques (iem) • interception de signaux parasites compromettants • espionnage à distance, écoute passive • vol de supports ou de documents, vol de matériels • divulgation interne, divulgation externe • panne matérielle, dysfonctionnement matériel, saturation du matériel • dysfonctionnement logiciel • destruction de matériels • atteinte à la maintenabilité du système d'information • informations sans garantie de l'origine • piégeage du matériel • utilisation illicite des matériels • altération du logiciel, piégeage du logiciel • copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés • altération des données • abus de droit, usurpation de droit • reniement d'actions • fraude • atteinte à la disponibilité du personnel 14/21
  15. 15. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Méthode MEHARIMéthode MEHARI La méthode MEHARI (MEthode Harmonisée d'Analyse de RIsques) est proposée par le CLUSIF (Club de la Sécurité des Systèmes d'Information Français). Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du système d'information. La méthode MEHARI s'articule sur 3 types de plans : • le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques et qualifie le niveau de gravité des risques encourus, • les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique, les mesures de sécurité à mettre en place, tout en assurant la cohérence des actions choisies. • le POE (Plan Opérationnel d'Entreprise) qui permet le pilotage de la sécurité au niveau stratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénarios les plus critiques. Proposant des méthodologies opérationnelles, MEHARI est une méthode parallèle à la BS 7799, avec laquelle elle offre toutefois d'évidentes compatibilités. MEHARI remplace MARION, qui n'est plus développée. Référentiel COBITRéférentiel COBIT Le référentiel de gouvernance des systèmes d'information COBIT couvre une bonne partie des domaines de l'ISO 17799. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" : Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. 15/21
  16. 16. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Plans d'Activités PRAPRA ○ Plan de Reprise d'Activité ○ doit assurer le démarrage des applications et des processus clés de l'entreprise ○ Indicateurs RTORTO ● Recovery Time Objective ● durée maximale d'interruption admissible ● Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de l'informatique aux utilisateurs RPORPO ● Recovery Point Objective ● durée maximum d'enregistrement des données qu'il est acceptable de perdre lors d'une panne ● degré de fraicheur des données ○ Avantages ■ Limitation dans le temps de l'indisponibilité des applications et de la perte de données ■ Prévention des risques majeurs en assurant le basculement de tout ou partie du système informatique sur un site distant ○ Inconvénients ■ Demande un suivi régulier de processus ■ Matériel et logiciel du site de secours évoluent avec le SI ■ Système synchronisé limite la distance à 200 kms PCA - PCSPCA - PCS ○ Plan de Continuité d'activité ou de service ○ assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise ○ Avantages ■ pallier les dysfonctionnements d'une application ou d'un défaillance matérielle ■ limiter la perte de données au minimum acceptable par l'entreprise ■ Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute disponibilité ■ Repose sur une architecture réservée au données faisant appel au SAN ● Storage Area Network ● Accès bas niveau aux disques ● mutualisation des ressources de stockage ○ Inconvénients ■ Coût pour atteindre la continuité de service est élevé ■ Ne protège pas contre un sinistre majeur (incendie, explosion...) 16/21
  17. 17. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI ○ Etapes clés ■ Nomination d'un chef de projet indépendant de la DSI ■ Audit des activités critiques de l'entreprise ■ Réalisation d'un document de synthèse ■ Validation des niveaux d'exigence ■ Elaboration d'un cahier des charges ■ Choix d'un prestataire ■ Formalisation du plan ■ Phase de test et maintenance PCOPCO ■ Plan de continuité organisationnel ● garantir la survie de l'entreprise PCI - PSIPCI - PSI ■ Plan de Continuité (Secours) Informatique vise à garantir le service minimum requis pour les SI Disponibilité Technologie Cluster 17/21
  18. 18. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Articles Panorama des méthodes d'audit de sécuritéPanorama des méthodes d'audit de sécurité La plupart des entreprises de moyenne et grande taille déploient, à leur manière, une politique de sécurité. Quelle soit minimaliste ou omniprésente, cette dernière se doit d'être périodiquement auditée, pour plus de performance et d'efficacité. Pour procéder à ces contrôles réguliers, un certain nombre de méthodes existent, parfois similaires, parfois opposées, mais toujours complémentaires dans leur approche. Le tableau ci-dessous présente un aperçu des principales. La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux). Elaborée par le CLUSIF (Club de la Sécurité des Systèmes d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L'entreprise auditée se soumet à un certain nombre de questionnaires débouchant sur différentes notes de 0 à 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance à la fois par rapport à un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédé à l'audit. La méthode fonctionne en 3 phases. Elle réalise tout d'abord un audit des vulnérabilités, aboutissant - via des rosaces ou diagrammes - à l'identification des points faibles de la politique de sécurité. En découle une analyse des risques (disctinction entre risques majeurs et simples) et une mise en avant des menaces pontielles. Partant de là (3e phase), des plans d'action sont définis. Le CLUSIF, anticipant les incontournables évolutions que la méthode MARION allait connaître (ouverture des réseaux et travail coopératif entre partenaires, clients et fournisseurs), a publié la méthode MEHARI (Méthode Harmonisée d'Analyse de Risques). MEHARI permet ainsi d'apprécier les risques au regard des objectifs fixés par la direction générale, et non plus seulement par rapport à des niveaux de vulnérabilité donnés. Les principales méthodes d'audit de sécurité Nom Signification Origine Caractéristiques Cobit Control objectives for information and technology ISACA Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd'hui davantage assimilée à une méthode de gouvernance des SI. Ebios Expression des Besoins et Identification des Objectifs de Sécurité DCSSI Notamment déployée au sein de l'administration française, cette méthode comprend une base de connaissances et un recuiel de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel. Feros Fiche d'Expression Rationnelle des Objectifs de Sécurité SCSSI Pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d'engagement de sa responsabilité dans l'application d'une politique de sécurité. Marion Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux CLUSIF Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en oeuvre de plans d'actions personnalisés. Mehari Méthode Harmonisée d'Analyse de Risques CLUSIF Succède à la méthode Marion. S'articule autour de 3 plans. Permet désormais d'apprécier les risques au regard des objectifs "business" de l'entreprise. MEHARI s'articule autour de 3 plans : le Plan Stratégique de Sécurité, qui fixe les objectifs de sécurité et les indicateurs de mesure et détermine le niveau de gravité des risques encourus. Les Plans Opérationnels de Sécurité, qui définissent, par site, les mesures de sécurité à prendre. Et le Plan Opérationnel d'Entreprise, axé sur le pilotage stratégique et le suivi d'indicateurs clés. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) qui est rattachée au SGDN (Secrétariat Général de la Défense Nationale), lui-même placé sous l'autorité des services du Premier Ministre. Elle est particulièrement déployée au sein de l'administration française. Elle comprend une base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques sur l'élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement) qui proviennent de l'OTAN. La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de négociation et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel d'assistance, distribué sous licence libre. 18/21
  19. 19. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI Les résultats de la méthode EBIOS peuvent être exploités dans le cadre d'une FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction centrale de la sécurité des systèmes d'information) qui dépend, elle aussi, des services du Premier Ministre. Ce document est obligatoire pour les systèmes traitant d'informations classées "défense". Il présente l'ensemble des objectifs de sécurité du système étudié et les risques résiduels, mais aussi la démarche et l'argumentation qui a permis de les identifier. Ainsi, après avoir extrait certaines données (système étudié, besoins de sécurité, menaces, risques...) en provenance d'une étude EBIOS, la fiche FEROS permet de réorganiser et de classer les objectifs de sécurité et de définir les responsabilités qui doivent - ou ne doivent pas - être engagées. Enfin, la méthode COBIT (Control objectives for information and technology) vient, quant à elle, de l'ISACA (Information Systems Audit and Control Association). Elle est diffusée en France par la branche française de cette association : l'AFAI (Association Française de l'Audit et du Conseil Informatique). Actuellement dans sa 3e édition, COBIT se veut accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances, une liste de facteurs clés de succès et de bonnes pratiques pour les non techniciens. Cela en fait aujourd'hui plus une méthode de gouvernance des SI que d'audit des politiques de sécurité. Optimiser et tester l'efficacité d'un plan de continuité d'activitéOptimiser et tester l'efficacité d'un plan de continuité d'activité Soumis aux mutations de l'entreprise, le PCA suit un processus d'amélioration continue. Son maintien en condition opérationnelle suppose une adaptation. Les points à contrôler. L'élaboration d'un plan de continuité d'activité (PCA), ou d'un plan de reprise d'activité (PRA), selon la terminologie employée et/ou le secteur où il est appliqué, représente un investissement important pour l'entreprise. Un investissement qui toutefois ne prend pas fin à l'étape d'implémentation du PCA et de la formation des acteurs. Il n'est en effet jamais figé et doit calquer son cycle de vie sur celui de l'entreprise. En effet, une fois conçu, encore doit-il être maintenu en condition opérationnelle. "Le MCO, ou maintien en condition opérationnelle, permet de s'assurer que le plan est effectivement opérant, mais aussi à jour en termes de procédures, de gestion de crise, de rôles et d'attributions, dans l'ensemble des entités impliquées dans le PCA", précise Bruno Hamon, directeur général adjoint du cabinet d'audit Exedis. Les composantes essentielles du MCO L'efficacité d'un PRA suppose le respect d'une première condition : "il faut mettre en place une organisation assurant la prise en compte de toutes les évolutions dans l'entreprise, sans quoi le caractère opérationnel du plan en cas de sinistre ne sera plus garanti", avertit Julien Bizjak, consultant sécurité senior en charge de l'offre PRA pour Cyber Networks. Tout plan de maintien en condition opérationnelle doit ainsi préciser le ou les responsables du MCO dans l'entreprise, ses modalités, le programme des mises à jour, des formations, les tests et les vérifications. MCO : compter 20 jours/hommes par an pour une entreprise de 250 personnes La mise en place d'un PCA devrait en outre s'accompagner d'une campagne de sensibilisation en interne, mais aussi auprès des tiers inclus dans celui-ci. Si des responsabilités sont établies pour prendre en charge les mises à jour, encore faut-il que les évolutions dans l'entreprise soient remontées. "Le MCO d'une entreprise monosite de 250 personnes représente environ une charge de travail de 20 jours/homme durant lesquels seront reconduits des entretiens, analyser les différents livrables du PCA et effectuées les mises à jour. Seront ensuite organisées les séances de formation et les tests", détaille l'expert d'Exedis. Le cycle de vie Un plan de continuité doit toujours être conçu en fonction des spécificités d'une entreprise et de son écosystème. Il doit aussi constituer une réponse fiable dans le temps face aux risques. Le PCA est par conséquent exposé aux évolutions de la vie économique, des contraintes réglementaires, des partenariats, des choix technologiques, etc. "La doublure ou backup d'un membre de la cellule de crise décisionnelle a quitté l'entreprise. Cette évolution doit être prise en compte afin de désigner un remplaçant et éviter qu'en cas d'activation du 19/21
  20. 20. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI plan de continuité, celui-ci ne soit bloqué. De même, si un applicatif critique est implémenté dans le système d'information, il faut prévoir des solutions de reprise en cas par exemple de basculement sur un site de repli utilisateurs", illustre Bruno Hamon. L'optimisation L'actualisation du PCA peut également passer par une optimisation, qu'il s'agisse de choix techniques ou de procédures. Cyber Networks notamment propose un audit sur la base des critères définis par le Clusif en matière de PCA et l'optimisation du rapport coûts récurrents/ efficacité. La finalité de la démarche est de vérifier que les choix, et leurs coûts (location d'une salle blanche, installation des serveurs, maintenance, ressources humaines, etc.), sont efficaces en cas de sinistre et adaptés aux enjeux métier. L'audit ne reste toutefois qu'une brique parmi les modalités de maintien. "Il ne s'agit pas de se rendre dans une entreprise et de qualifier ses choix d'inadéquats, mais de cibler les axes prioritaires au travers d'un plan d'actions, pour ainsi les améliorer. Sur la base d'une matrice financière, les composants, postes du PRA les plus lourds financièrement sont identifiés et optimisés lorsque cela s'avère possible", précise Julien Bizjak. Les tests Unitaires et de filage (engrenage de procédures), des tests doivent être réalisés au minimum une fois par an, l'idéal étant une planification semestrielle. Toutefois, ces tests peuvent intervenir plus tôt, notamment suite à un bouleversement de la structure de l'entreprise (acquisition, cession d'une activité, migration du SI, etc.). Le test unitaire, qui va consister à exécuter une procédure, peut être très spécifique. Il s'agira par exemple d'un test de pression médiatique destiné à entraîner le comité de pilotage et la direction aux bonnes pratiques en termes de communication et de comportement vis-à-vis des médias. Le test du repli utilisateurs est aussi essentiel. Il consistera à déplacer les catégories de salariés cibles sur un site prévu en cas d'indisponibilité des locaux principaux. L'accès au site lui-même sera testé, ainsi que les outils mis à disposition. Avec les moyens mis à leur disposition, et dans un mode dégradé, les salariés sont-ils en mesure d'effectuer les tâches définies dans le PCA ? Christophe AUFFRAY, JDN Solutions 2005 Plan de continuité d'activité : les pièges à éviterPlan de continuité d'activité : les pièges à éviter Manque d'implication, besoins métiers négligés, périmètre mal défini, tests et maintien opérationnels bâclés ou simplement inexistants sont autant de chausse-trappes à esquiver pour parvenir à un PCA opérant. Elaboré pour faire face aux situations de crise de nature à perturber et interrompre l'activité de l'entreprise, le plan de continuité (PCA) doit permettre d'établir l'ensemble des procédures de rétablissement et de secours. Le PCA consistera donc à analyser les risques, leurs impacts, à déterminer leur criticité, puis sur la base d'un arbitrage, à concevoir et mettre en œuvre des solutions. Réussir son projet de PCA suppose donc rigueur, implication des collaborateurs et méthodologie. Le parcours est en tout cas jalonné de pièges qu'il est préférable de savoir éviter, sous peine d'aboutir à un plan de continuité théorique et à des procédures défaillantes. En voici les plus critiques : 1) S'interroger superficiellement sur les enjeux pour l'entreprise "Il ne s'agit pas de faire un PCA pour le plaisir, d'autant que ce type de projet a un coût non négligeable. Il doit donc correspondre à des vrais enjeux de l'entreprise. De plus, bien définir ces derniers permet de cadrer l'expression des besoins utilisateurs. Un responsable fonctionnel aura souvent tendance à affirmer que son activité revêt un caractère stratégique pour la société", prévient Robert Bergeron, responsable de l'offre sécurité finance et services chez Capgemini, et membre du Clusif. 2) Oublier de discuter avec les directions métiers "La meilleure solution pour bien connaître la criticité des applications, c'est encore de rencontrer les directions métiers, qui s'exprimeront sur les délais d'indisponibilité et les niveaux de perte de données acceptables", recommande Sébastien David, responsable de l'offre PCA Parad chez Devoteam. 3) Négliger le niveau d'implication Le PCA est un projet d'entreprise. Il doit impérativement bénéficier du support de la direction, mais aussi des métiers. Attention toutefois, car une implication suffisante est loin d'être acquise. "Le projet 20/21
  21. 21. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI PCA peut être perçu comme une contrainte plutôt qu'un gain pour l'entreprise", avertit Robert Bergeron. Un avertissement réitéré par Sébastien David. "Il est indispensable que les personnes se sentent impliquées et comprennent les enjeux du plan de continuité. Mais encore faut-il que celui-ci soit perçu comme nécessaire, qu'il y ait une sensibilisation et une prise de conscience de son importance. Contrairement à un projet d'ERP, un PCA n'apporte pas de valeur aux utilisateurs." 4) Délimiter un périmètre trop important Il est impératif de bien identifier le périmètre des risques que l'entreprise souhaite adresser. Pour Sébastien David, "si on se concentre dans un premier temps sur ce qui y a de plus critique, puis que l'on étend ensuite ce cadre, le plan de continuité sera opérationnel plus rapidement." L'approche diffère quelque peu pour Robert Bergeron : "On a intérêt à être assez large au départ. Ce qui coûte cher, ce n'est pas tant l'identification que la mise en œuvre des solutions. Mieux vaut en conséquence partir d'un périmètre assez large, puis après analyse faire un premier tri et retenir les risques les plus significatifs. Ensuite, lors de la recherche des solutions, un second niveau de filtrage pourra s'appliquer." 5) Ne pas tenir compte de ses partenaires Pas de nombrilisme lorsqu'on élabore son PCA. Il est rare en effet qu'une entreprise soit autosuffisante et n'appuie son activité sur les services d'aucun prestataire. "Il est important d'aborder ces aspects et de prévoir des audits des PCA des partenaires critiques, de préférence en phase d'appel d'offres", explique le responsable de Capgemini. 6) Réaliser des tests superficiels du PCA Le plan de continuité formalisé, reste encore à s'assurer de la justesse des réponses qu'il apporte en cas de survenance des risques identifiés. Ces tests seront bien entendu multiples et ne se restreindront pas à l'informatique. La partie métiers (tests de fonctionnement en mode dégradé) et la gestion de crise (procédures d'alerte, de déclenchement des opérations de secours et de mise en place de la structure de crise) ne devront pas être occultées. 7) Négliger la problématique de maintien opérationnel du PCA Le PCA en place, celui-ci n'en est pas pour autant appelé à demeurer figé. En effet, l'organisation de l'entreprise et son système d'information connaitront inévitablement des évolutions. Cela impose ainsi de définir les responsabilités et les procédures pour maintenir le PCA dans un état opérationnel. "A défaut de mise à jour, les risques sont élevés d'être confronté à une défaillance au moment de la crise, sans compter les frais découlant d'une réinitialisation du PCA", prévient le responsable de Devoteam. "En l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant. Si vous ne mettez pas à jour votre procédure de reconstruction du site de secours, au lieu démarrer en 24 heures, ce sera 3 ou 4 jours", corrobore Robert Bergeron. Rédaction JDN & JDN Solutions 21/21 "Le projet PCA peut être perçu comme une contrainte plutôt qu'un gain pour l'entreprise" (S.David - Devoteam) "En l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant." (R.Bergeron - Capgemini)

×