COLLOQUE                                                            Mercredi 21 mars 2012                                 ...
Continuité Informatique :             Les normes internationalesL’auditeur peut se baser sur les normes et bonnes pratique...
Les éléments organisationnelsAuditer l’existence des élémentsorganisationnels suivants :– Existence d’une politique de con...
Auditer les Business Impact                  Analysis (BIA)A quoi doit répondre un BIA ?• La criticité des activités est-e...
Le concept de SPOF                     (Single Point of Failure)• Pour éviter les pannes, on  double les équipements• Un S...
Auditer les aspects données du              plan de secours informatique• Audit des mécanismes de réplication  – Toute les...
Auditer le PSI                Autres vulnérabilités•   Obsolescence matérielle•   Obsolescence logicielle•   Performance• ...
Auditer les exercices de               continuité informatique• Sont-ils représentatifs ?  Exercice en production ? Avec d...
Auditer le Maintien en Conditions            Opérationnelles (MCO) du plan• Un PSI doit être maintenu à jour :  – Le plan ...
Auditer le lien entre Gestion des                    incidents et Gestion de criseQualité               Premières alertes ...
Continuité Informatique          Le rôle de l’auditeur• Sensibiliser la Direction Générale• Sortir la Direction Informatiq...
Prochain SlideShare
Chargement dans…5
×

Auditer son plan de secours informatique et détecter ses vulnérabilités

6 238 vues

Publié le

Présenté lors du colloque IFACI "Continuité d'Activité, Continuité Informatique et Gestion de Crise" du 21 mars 2012.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
6 238
Sur SlideShare
0
Issues des intégrations
0
Intégrations
727
Actions
Partages
0
Téléchargements
661
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Auditer son plan de secours informatique et détecter ses vulnérabilités

  1. 1. COLLOQUE Mercredi 21 mars 2012 Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica En partenariat avec :Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants L’IFACI est affilié à The Institute of Internal Auditors
  2. 2. Continuité Informatique : Les normes internationalesL’auditeur peut se baser sur les normes et bonnes pratiquesinternationales suivantes :BS 25777 : CT continuity managementPD 25666 : Guidance on exercising and testing for continuity and contingency programmesISO 27031 : Technologies de linformation - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de linformation pour continuité des affairesITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ? 2
  3. 3. Les éléments organisationnelsAuditer l’existence des élémentsorganisationnels suivants :– Existence d’une politique de continuité informatique– Attribution d’un budget à cette problématique– Responsable nommé sur cette activité + + Politique Budget Responsable Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
  4. 4. Auditer les Business Impact Analysis (BIA)A quoi doit répondre un BIA ?• La criticité des activités est-elle Ressources bien établie? Activité humaines critique• Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Bâtiments Y compris les infrastructures ?• Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la Ressources DSI ? Sont-ils jugés réalistes ? Informatiques (applications et matériels) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
  5. 5. Le concept de SPOF (Single Point of Failure)• Pour éviter les pannes, on double les équipements• Un SPOF est un équipement non redondé• Chasser les SPOF, c’est SPOF trouver « la petite bête »• Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique ! Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
  6. 6. Auditer les aspects données du plan de secours informatique• Audit des mécanismes de réplication – Toute les données importantes sont-elles répliquées ?• Audit de la sauvegarde / restauration – Les données importantes sont-elles sauvegardées ? – Les sauvegardes sont-elles externalisées ? – La restauration est-elle testée régulièrement ? Baie de Robot de stockage sauvegarde Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
  7. 7. Auditer le PSI Autres vulnérabilités• Obsolescence matérielle• Obsolescence logicielle• Performance• Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
  8. 8. Auditer les exercices de continuité informatique• Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ?• Sont-ils réalisés régulièrement ?Recommandation : au moins une fois par an.• Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique.• D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
  9. 9. Auditer le Maintien en Conditions Opérationnelles (MCO) du plan• Un PSI doit être maintenu à jour : – Le plan doit refléter la réalité – La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles)• Or, les changements informatiques sont réguliers (quotidiens).• Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
  10. 10. Auditer le lien entre Gestion des incidents et Gestion de criseQualité Premières alertes Niveaude service (supervision, alerting fonctionnel) de service attendu Seuil à déterminer Gestion Escalade et d’incidents déclenchement de la gestion de crise Activation du plan Temps Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
  11. 11. Continuité Informatique Le rôle de l’auditeur• Sensibiliser la Direction Générale• Sortir la Direction Informatique du corner• Renforcer les liens entre PCA, PSI et Gestion de crise• Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11

×