SlideShare une entreprise Scribd logo

Auditer son plan de secours informatique et détecter ses vulnérabilités

Télécharger en tant que PPT, PDF
Alterest
Alterest

Présenté lors du colloque IFACI "Continuité d'Activité, Continuité Informatique et Gestion de Crise" du 21 mars 2012.

Technologie
1  sur  11
COLLOQUE Mercredi 21 mars 2012 Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica En partenariat avec : Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants L’IFACI est affilié à The Institute of Internal Auditors
Continuité Informatique : Les normes internationales L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes : BS 25777 : CT continuity management PD 25666 : Guidance on exercising and testing for continuity and contingency programmes ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ? 2
Les éléments organisationnels Auditer l’existence des éléments organisationnels suivants : – Existence d’une politique de continuité informatique – Attribution d’un budget à cette problématique – Responsable nommé sur cette activité + + Politique Budget Responsable Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
Auditer les Business Impact Analysis (BIA) A quoi doit répondre un BIA ? • La criticité des activités est-elle Ressources bien établie? Activité humaines critique • Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Bâtiments Y compris les infrastructures ? • Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la Ressources DSI ? Sont-ils jugés réalistes ? Informatiques (applications et matériels) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
Le concept de SPOF (Single Point of Failure) • Pour éviter les pannes, on double les équipements • Un SPOF est un équipement non redondé • Chasser les SPOF, c’est SPOF trouver « la petite bête » • Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique ! Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
Auditer les aspects données du plan de secours informatique • Audit des mécanismes de réplication – Toute les données importantes sont-elles répliquées ? • Audit de la sauvegarde / restauration – Les données importantes sont-elles sauvegardées ? – Les sauvegardes sont-elles externalisées ? – La restauration est-elle testée régulièrement ? Baie de Robot de stockage sauvegarde Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
Auditer le PSI Autres vulnérabilités • Obsolescence matérielle • Obsolescence logicielle • Performance • Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
Auditer les exercices de continuité informatique • Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ? • Sont-ils réalisés régulièrement ? Recommandation : au moins une fois par an. • Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique. • D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
Auditer le Maintien en Conditions Opérationnelles (MCO) du plan • Un PSI doit être maintenu à jour : – Le plan doit refléter la réalité – La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles) • Or, les changements informatiques sont réguliers (quotidiens). • Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
Auditer le lien entre Gestion des incidents et Gestion de crise Qualité Premières alertes Niveau de service (supervision, alerting fonctionnel) de service attendu Seuil à déterminer Gestion Escalade et d’incidents déclenchement de la gestion de crise Activation du plan Temps Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
Continuité Informatique Le rôle de l’auditeur • Sensibiliser la Direction Générale • Sortir la Direction Informatique du corner • Renforcer les liens entre PCA, PSI et Gestion de crise • Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11

Recommandé

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?Hapsis
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 

Recommandé

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?Hapsis
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Jean-Antoine Moreau
 
zaineb pfe 2014
zaineb pfe 2014zaineb pfe 2014
zaineb pfe 2014zaineb snoussi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'informationOumaima Karim
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueIsmail EL Makrouz
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Exposé audit interne et controle interne
Exposé audit interne et controle interneExposé audit interne et controle interne
Exposé audit interne et controle internePasteur_Tunis
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ATB Timesheet
ATB TimesheetATB Timesheet
ATB TimesheetMohamed Ayoub OUERTATANI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Le tableau de bord de pilotage
Le tableau de bord de pilotageLe tableau de bord de pilotage
Le tableau de bord de pilotageVerbinnen Dominique
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance ITNicolas PIGNAL
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 
8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliquésSOAT
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Alterest
 

Contenu connexe

Tendances

Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Jean-Antoine Moreau
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'informationOumaima Karim
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Exposé audit interne et controle interne
Exposé audit interne et controle interneExposé audit interne et controle interne
Exposé audit interne et controle internePasteur_Tunis
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 

Tendances (20)

L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
 
zaineb pfe 2014
zaineb pfe 2014zaineb pfe 2014
zaineb pfe 2014
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Exposé audit interne et controle interne
Exposé audit interne et controle interneExposé audit interne et controle interne
Exposé audit interne et controle interne
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ATB Timesheet
ATB TimesheetATB Timesheet
ATB Timesheet
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Le tableau de bord de pilotage
Le tableau de bord de pilotageLe tableau de bord de pilotage
Le tableau de bord de pilotage
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...
 

En vedette

8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliquésSOAT
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Alterest
 
Offre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsOffre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsAlterest
 
Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010olivier.lepeltier
 
Presentation sim pim
Presentation sim pimPresentation sim pim
Presentation sim pimSalma Sayah
 
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Dr Mohamad ABOUALNASER -Orthodontist
 
Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosAnchises Moraes
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendeneTarso Caselli
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticosheltonsantos
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivsGiana Araujo
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12ForjasTaurus
 
Guidance and counseling differentiated
Guidance and counseling differentiatedGuidance and counseling differentiated
Guidance and counseling differentiatedAraullo University
 
YEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRYEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRJasleen Razali
 
Education law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassEducation law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassBrowne Jacobson LLP
 

En vedette (20)

8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
 
Offre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsOffre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville Consultants
 
Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010
 
Vos éTudiants Sont Digital Natives Et Vous
Vos éTudiants Sont Digital Natives Et VousVos éTudiants Sont Digital Natives Et Vous
Vos éTudiants Sont Digital Natives Et Vous
 
Presentation sim pim
Presentation sim pimPresentation sim pim
Presentation sim pim
 
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
 
Treinamento Garmin PDN 2013
Treinamento Garmin PDN 2013Treinamento Garmin PDN 2013
Treinamento Garmin PDN 2013
 
Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e Riscos
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendene
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticos
 
Apresentação Garmin
Apresentação GarminApresentação Garmin
Apresentação Garmin
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivs
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12
 
guidance-and-counseling
guidance-and-counselingguidance-and-counseling
guidance-and-counseling
 
Guidance and counseling differentiated
Guidance and counseling differentiatedGuidance and counseling differentiated
Guidance and counseling differentiated
 
YEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRYEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSR
 
Guidance and Counseling
Guidance and CounselingGuidance and Counseling
Guidance and Counseling
 
Education law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassEducation law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclass
 

Similaire à Auditer son plan de secours informatique et détecter ses vulnérabilités

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informationsReda Hassani
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Jean-Michel Franco
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sflcoconimal
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Genie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppGenie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppLaurent Guérin
 
Information management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseInformation management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseJean-Michel Franco
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
L'intelligence économique pour les PME
L'intelligence économique pour les PMEL'intelligence économique pour les PME
L'intelligence économique pour les PMEAref Jdey
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 

Similaire à Auditer son plan de secours informatique et détecter ses vulnérabilités (20)

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informations
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
 
SI_MCC_2020_21.pptx
SI_MCC_2020_21.pptxSI_MCC_2020_21.pptx
SI_MCC_2020_21.pptx
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sfl
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Genie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppGenie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1spp
 
Information management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseInformation management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entreprise
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
L'intelligence économique pour les PME
L'intelligence économique pour les PMEL'intelligence économique pour les PME
L'intelligence économique pour les PME
 
Cours erp pgi_2010
Cours erp pgi_2010Cours erp pgi_2010
Cours erp pgi_2010
 
Cobit
CobitCobit
Cobit
 
Synthèse des Solutions Software
Synthèse des Solutions Software Synthèse des Solutions Software
Synthèse des Solutions Software
 
GL
GLGL
GL
 
Si décisionnel
Si décisionnelSi décisionnel
Si décisionnel
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 

Auditer son plan de secours informatique et détecter ses vulnérabilités

  • 1. COLLOQUE Mercredi 21 mars 2012 Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica En partenariat avec : Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants L’IFACI est affilié à The Institute of Internal Auditors
  • 2. Continuité Informatique : Les normes internationales L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes : BS 25777 : CT continuity management PD 25666 : Guidance on exercising and testing for continuity and contingency programmes ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ? 2
  • 3. Les éléments organisationnels Auditer l’existence des éléments organisationnels suivants : – Existence d’une politique de continuité informatique – Attribution d’un budget à cette problématique – Responsable nommé sur cette activité + + Politique Budget Responsable Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
  • 4. Auditer les Business Impact Analysis (BIA) A quoi doit répondre un BIA ? • La criticité des activités est-elle Ressources bien établie? Activité humaines critique • Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Bâtiments Y compris les infrastructures ? • Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la Ressources DSI ? Sont-ils jugés réalistes ? Informatiques (applications et matériels) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
  • 5. Le concept de SPOF (Single Point of Failure) • Pour éviter les pannes, on double les équipements • Un SPOF est un équipement non redondé • Chasser les SPOF, c’est SPOF trouver « la petite bête » • Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique ! Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
  • 6. Auditer les aspects données du plan de secours informatique • Audit des mécanismes de réplication – Toute les données importantes sont-elles répliquées ? • Audit de la sauvegarde / restauration – Les données importantes sont-elles sauvegardées ? – Les sauvegardes sont-elles externalisées ? – La restauration est-elle testée régulièrement ? Baie de Robot de stockage sauvegarde Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
  • 7. Auditer le PSI Autres vulnérabilités • Obsolescence matérielle • Obsolescence logicielle • Performance • Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
  • 8. Auditer les exercices de continuité informatique • Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ? • Sont-ils réalisés régulièrement ? Recommandation : au moins une fois par an. • Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique. • D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
  • 9. Auditer le Maintien en Conditions Opérationnelles (MCO) du plan • Un PSI doit être maintenu à jour : – Le plan doit refléter la réalité – La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles) • Or, les changements informatiques sont réguliers (quotidiens). • Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
  • 10. Auditer le lien entre Gestion des incidents et Gestion de crise Qualité Premières alertes Niveau de service (supervision, alerting fonctionnel) de service attendu Seuil à déterminer Gestion Escalade et d’incidents déclenchement de la gestion de crise Activation du plan Temps Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
  • 11. Continuité Informatique Le rôle de l’auditeur • Sensibiliser la Direction Générale • Sortir la Direction Informatique du corner • Renforcer les liens entre PCA, PSI et Gestion de crise • Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11