Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Auditer son plan de secours informatique et détecter ses vulnérabilités
1. COLLOQUE
Mercredi 21 mars 2012
Organisé en collaboration avec :
Arjuna
Baccou Bonneville Consultants
Mica
En partenariat avec :
Le Plan de Secours Informatique
Auditer son Plan de Secours Informatique
et détecter ses vulnérabilités
Serge Baccou
Directeur Associé
Baccou Bonneville Consultants
L’IFACI est affilié à
The Institute of Internal Auditors
2. Continuité Informatique :
Les normes internationales
L’auditeur peut se baser sur les normes et bonnes pratiques
internationales suivantes :
BS 25777 : CT continuity management
PD 25666 : Guidance on exercising and testing for continuity and
contingency programmes
ISO 27031 : Technologies de l'information - Techniques de sécurité
Lignes directrices pour mise en état des technologies de la
communication et de l'information pour continuité des
affaires
ITIL v3 : Service Delivery - IT Service Continuity Management
(ITSCM)
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs pour plus d’efficacité ?
2
3. Les éléments organisationnels
Auditer l’existence des éléments
organisationnels suivants :
– Existence d’une politique de continuité
informatique
– Attribution d’un budget à cette problématique
– Responsable nommé sur cette activité
+ +
Politique Budget Responsable
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
3
4. Auditer les Business Impact
Analysis (BIA)
A quoi doit répondre un BIA ?
• La criticité des activités est-elle
Ressources
bien établie? Activité
humaines
critique
• Les ressources informatiques
nécessaires aux activités les
plus critiques sont-elles
recensées ? Bâtiments
Y compris les infrastructures ?
• Les besoins en continuité
(RTO, RPO) sont établis et
partagés entre les Métiers et la Ressources
DSI ? Sont-ils jugés réalistes ? Informatiques
(applications et
matériels)
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
4
5. Le concept de SPOF
(Single Point of Failure)
• Pour éviter les pannes, on
double les équipements
• Un SPOF est un équipement
non redondé
• Chasser les SPOF, c’est SPOF
trouver « la petite bête »
• Faire des vérifications
simples
Ex. : dans une stratégie à 2
datacenters, tous les équipements
d’un datacenter doivent se trouver
sur l’autre.
Attention aux systèmes virtuels : ce qui compte
c’est de redonder le niveau physique !
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
5
6. Auditer les aspects données du
plan de secours informatique
• Audit des mécanismes de réplication
– Toute les données importantes sont-elles répliquées ?
• Audit de la sauvegarde / restauration
– Les données importantes sont-elles sauvegardées ?
– Les sauvegardes sont-elles externalisées ?
– La restauration est-elle testée régulièrement ?
Baie de Robot de
stockage sauvegarde
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
6
7. Auditer le PSI
Autres vulnérabilités
• Obsolescence matérielle
• Obsolescence logicielle
• Performance
• Failles de sécurité
Note :
La filière Sécurité du SI parle de « DICT » pour
Disponibilité, Intégrité, Confidentialité, Traçabilité (ou
Preuve). Le « D » correspond bien à la continuité
informatique.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
7
8. Auditer les exercices de
continuité informatique
• Sont-ils représentatifs ?
Exercice en production ? Avec des utilisateurs ? Production sur le
système de secours pendant une semaine ? Les réseaux & télécoms,
les infrastructures, les datacenters font-ils l’objet d’exercices ?
• Sont-ils réalisés régulièrement ?
Recommandation : au moins une fois par an.
• Font-ils l’objet d’un compte-rendu ?
Recommandation : avoir un PV par les différentes parties prenantes
Métier, Etudes et Prod. Informatique.
• D’un plan d’action ?
Recommandation : le plan d’action peut comporter des « quickwins »
mais aussi des « actions de fonds » qui doivent être acceptées et
financées.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
8
9. Auditer le Maintien en Conditions
Opérationnelles (MCO) du plan
• Un PSI doit être maintenu à jour :
– Le plan doit refléter la réalité
– La configuration matérielle et logicielle entre le
nominal et le secours doit être strictement identique
(ex. : versions ou clés logicielles)
• Or, les changements informatiques sont
réguliers (quotidiens).
• Le Maintien en Conditions Opérationnelles
(MCO) du PSI est un défi. A auditer…
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
9
10. Auditer le lien entre Gestion des
incidents et Gestion de crise
Qualité Premières alertes Niveau
de service (supervision, alerting fonctionnel) de service
attendu
Seuil
à déterminer
Gestion Escalade et
d’incidents déclenchement
de la gestion de crise
Activation du plan
Temps
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
10
11. Continuité Informatique
Le rôle de l’auditeur
• Sensibiliser la Direction Générale
• Sortir la Direction Informatique du corner
• Renforcer les liens entre PCA, PSI et
Gestion de crise
• Un audit permet souvent de (re)lancer un
programme, un plan d’action sur la
continuité informatique
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs ?
11