SlideShare une entreprise Scribd logo
Plan de continuité des activités
Le vrai enjeu stratégique

Lausanne, 5.11.2013
Stéphane Perroud, Minimarisk Sàrl

ITIL V3 Foundation
Orateur Stéphane Perroud

Stéphane Perroud
www.sperroud.ch
consulting@sperroud.com

Formations
 Ingénieur ETS / HES
 Economiste HEC
 Master en Management de la Sécurité des SI (MSSI)
Expériences
 Développeur J2EE et Web (LODH)
 Auditeur informatique (PwC)
 Consultant en Gouvernance, Audit et Management de la
Sécurité des SI (Minimarisk)
 Formateur en Gouvernance, Sécurité et Audit (COBIT,
CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion
des Risques) (HEG Genève et Digicomp)

Certifications et examens
 CAS en gestion appliquée de projets, COBIT Foundation
4.1 & 5, Management of Risk, ISO 27005, CISA, CISM,
ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000,
ISO 22301, ISO27001, Lead Implementer ISO 27001

Page 2
Agenda







Introduction
Les principaux risques des entreprises romandes
Le plan de continuité
Les solutions de repli
Conclusions
Q&A

Page 3
Introduction

Page 4
Quand tout va bien…
 Vision réduite des risques de l’entreprise.
 Impossible de tout prévoir.
 Systèmes complexes, vulnérables.

Il faut se préparer !
Page 5
Quand tout va mal…

Page 6
11 Sept. 2001 – New York City

19 terroristes

2997 victimes

1134 entreprises impactées

60-1000 milliards de $ de pertes
Page 7
11 Sept. 2001 - 2 histoires
 Société financière
 Gère les principaux fonds de pensions américains.
 Reprend les activités en moins de 1 semaine.
 Sauvée de la faillite.

 Société IT
 Perd la plupart de ses collaborateurs.
 Backup IT dans l’autre tour.
 Fait faillite.

Page 8
Les principaux risques
des entreprises romandes

Page 9
Principaux risques des entreprises
Les principaux risques surviennent sur trois niveaux:
1. De la société elle-même
 Erreurs humaines.
 Forte dépendance sur certains collaborateurs.

2. De son environnement immédiat
 Perte d’un client ou fournisseur important.

3. Du plan macroéconomique
 Variations des taux de change, fluctuations conjoncturelles.
 Changements réglementaires.

Page 10
Les principales menaces (selon ISO 27005)









Dommages physiques
Evénements naturels
Perte de services essentiels
Perturbation due à des radiations
Information compromise
Pannes techniques
Actions non autorisées
Fonctions compromises

Page 11
Situation en Suisse (selon Melani)
 DDoS – attaques massives en Suisse aussi
 Serveurs DNS détournés pour des attaques DDoS.

 Surveillance des communications sur Internet
 Prism (NSA), GCHQ (câbles sous-marins).

 Advanced Persistent Threats
 Cyberattaques raffinées.






Les systèmes de gestion de contenu (CMS)
Essor des chevaux de Troie dans la téléphonie mobile
Phishing et courriels munis de lien vers des sites infectés
Vague de SMS de fraude à la commission

Page 12
Conséquences

Impacts directs




Destructions
Indisponibilités
Perte de données

Impacts indirects




Erreurs
Surcharge de travail
Retards de livraison

Effets à long terme




Pertes de réputation
Pertes de clients
Procès

Page 13
Le plan de continuité

Page 14
Chronologie des catastrophes

Page 15
Que faire lors d’une interruption ?

Gérer l’urgence



v 1.0

Mode «désastre»
Plan de gestion des
incidents (PGI/IMP)

Assurer la continuité



Mode «désastre»
Plan de continuité
(PCA/BCP)

Rétablir le système



Mode «normal»
Plan de reprise et
récupération
(PRA/DRP)

Analyse des risques et normes
Page 16
10: Amélioration

v 1.0

Analyse des risques et normes
Page 17
Gestion de la continuité des activités

Page 18
Etapes du plan de continuité
Project
Initiation

BIA

Strategy
Development

Plan
Development

Implementation

Testing

Maintenance

Page 19
Analyse des impacts métier (BIA)
 Quoi
 Identifier, quantifier et qualifier les conséquences d’une perte ou d’une
interruption d’une activité métier sur l’ensemble de l’organisation

 Pourquoi





Documenter les impacts d’une interruption au cours du temps
Identifier le Délai Maximal d’Interruption Admissible (DMIA)
Identifier la Perte de Données Maximale Admissible (PDMA)
Identifier les dépendances entre les activités

 Comment
 Identifier les processus principaux et leurs propriétaires
 Etablir un graphe des dépendances entre ces processus
 Identifier les impacts et évaluer quand ils deviennent inacceptables

Page 20
Les solutions de repli

Page 21
Stratégie de continuité
 Identification et sélection des stratégies :
 Coûts vs. vitesse de reprise
 Respect des RTO (<= DMIA)
 Respect des RPO (<= PDMA)







Internaliser vs. externaliser les activités
On-site vs. off-site
Reprise manuelle, à froid, tiède ou à chaud, accord réciproque
Clouds
Virtualisation

 Si impact important immédiat  réduction du risque
 Si impact peu important immédiat  plan de reprise

Page 22
Conclusions

Page 23
11 Sept. 2001 - Leçons retenues
1. Toutes les menaces doivent être considérées.
2. Le personnel clé peut être indisponible. Le support aux employés est
important.
3. Les infrastructures peuvent être inaccessibles.

Nov. 2003 HSBC Istanbul.
Une bombe explose.
26 tués, 450 blessés
Page 24
11 Sept. 2001 - Leçons retenues
4. Les plans doivent être mis à jour et testés périodiquement. Des copies des
plans doivent être conservées dans des lieux distants sécurisés.
5. Les sites alternatifs ne doivent pas être situés trop près du site primaire.
Août 2003
“En 3 minutes, 21 centrales
électriques s’éteignent

Page 25
11 Sept. 2001 - 2 histoires
6. Les dépendances et interdépendances doivent être analysées avec soin.
7. Les télécommunications sont essentiels.

Oct. 2008
D.Telekom se fait voler les
données de 17 millions
d’utilisateurs de mobiles

Page 26
Digicomp et PCA: What’s next?
 ISO 22301 Business Continuity Foundation
 2 jours avec certification.
 Prochain cours : 25, 26 nov. 2013.

 ISO 22301 Business Continuity Lead Auditor
 5 jours avec certification.
 Prochain cours : 13-17 janv. 2014.

 ISO 27005 Risk Manager
 3 jours avec certification.
 Prochain cours : 10-12 fév. 2014.

Page 27
Contact

Raphael Rues
Digicomp Academy Suisse Romande SA
Phone: +41 21 321 65 00
E-Mail: raphael.rues@digicomp.ch
Web: http://www.digicomp.ch/fr

Page 28
Questions & réponses

Page 29

Contenu connexe

Tendances

Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
Christophe Casalegno
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activité
Exam PM
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
ibtissam el hassani
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
polenumerique33
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Patricia NENZI
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Institute of Information Systems (HES-SO)
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
PECB
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité
Edem ALOMATSI
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 

Tendances (20)

Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activité
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
Guide AFNOR Mettre en place un Plan de Continuité d’Activité (PCA) dans les P...
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Management des risques
Management des risques Management des risques
Management des risques
 
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 

Similaire à Plan de continuité des activités: le vrai enjeu stratégique

livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donnee
Olivier Bourgeois
 
L'informatique en nuage_20101202
L'informatique en nuage_20101202L'informatique en nuage_20101202
L'informatique en nuage_20101202
jamccarn
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédibles
PECB
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
David Blampain
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
TDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
TDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
TDF
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
TDF
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Normandie Web Xperts
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
ASIP Santé
 
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, InsuranceVSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
Veritas Technologies LLC
 
Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014
Patricia NENZI
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
Antoine Vigneron
 
Stratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les RansomwaresStratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les Ransomwares
JUNIOR SORO
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
CloudAcademy
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
Lexing - Belgium
 

Similaire à Plan de continuité des activités: le vrai enjeu stratégique (20)

Sécurité &amp; Continuité
Sécurité &amp; ContinuitéSécurité &amp; Continuité
Sécurité &amp; Continuité
 
livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donnee
 
L'informatique en nuage_20101202
L'informatique en nuage_20101202L'informatique en nuage_20101202
L'informatique en nuage_20101202
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédibles
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Livre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activitéLivre blanc TDF : plans de continuité et de reprise d'activité
Livre blanc TDF : plans de continuité et de reprise d'activité
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, InsuranceVSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
 
Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014Computerland - technifutur - cloud - 2014
Computerland - technifutur - cloud - 2014
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Stratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les RansomwaresStratégie de sécurisation des applications du SI : contre les Ransomwares
Stratégie de sécurisation des applications du SI : contre les Ransomwares
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 

Plus de Digicomp Academy Suisse Romande SA

Innovation et gestion de projet
Innovation et gestion de projetInnovation et gestion de projet
Innovation et gestion de projet
Digicomp Academy Suisse Romande SA
 
VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?
Digicomp Academy Suisse Romande SA
 
What's new in Windows 10 ?
What's new in Windows 10 ?What's new in Windows 10 ?
What's new in Windows 10 ?
Digicomp Academy Suisse Romande SA
 
Customer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixCustomer Case : Citrix et Nutanix
Customer Case : Citrix et Nutanix
Digicomp Academy Suisse Romande SA
 
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Digicomp Academy Suisse Romande SA
 
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Digicomp Academy Suisse Romande SA
 
Google Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeGoogle Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneuriale
Digicomp Academy Suisse Romande SA
 
L'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersL'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiers
Digicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : Upate
Digicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : Mobility
Digicomp Academy Suisse Romande SA
 
Digicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : Introduction
Digicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : Keynote
Digicomp Academy Suisse Romande SA
 
Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12c
Digicomp Academy Suisse Romande SA
 
Maximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cMaximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12c
Digicomp Academy Suisse Romande SA
 
Oracle Database 12c : Multitenant
Oracle Database 12c : MultitenantOracle Database 12c : Multitenant
Oracle Database 12c : Multitenant
Digicomp Academy Suisse Romande SA
 
Augmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateurAugmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateur
Digicomp Academy Suisse Romande SA
 
L'expérience utilisateur
L'expérience utilisateurL'expérience utilisateur
L'expérience utilisateur
Digicomp Academy Suisse Romande SA
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
Digicomp Academy Suisse Romande SA
 
Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010
Digicomp Academy Suisse Romande SA
 

Plus de Digicomp Academy Suisse Romande SA (20)

Innovation et gestion de projet
Innovation et gestion de projetInnovation et gestion de projet
Innovation et gestion de projet
 
VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?
 
What's new in Windows 10 ?
What's new in Windows 10 ?What's new in Windows 10 ?
What's new in Windows 10 ?
 
Customer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixCustomer Case : Citrix et Nutanix
Customer Case : Citrix et Nutanix
 
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10
 
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
 
Google Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeGoogle Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneuriale
 
L'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersL'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiers
 
Digicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : Upate
 
Digicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : Mobility
 
Digicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : Introduction
 
Digicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : Keynote
 
MS Project VS ProjectLibre
MS Project VS ProjectLibreMS Project VS ProjectLibre
MS Project VS ProjectLibre
 
Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12c
 
Maximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cMaximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12c
 
Oracle Database 12c : Multitenant
Oracle Database 12c : MultitenantOracle Database 12c : Multitenant
Oracle Database 12c : Multitenant
 
Augmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateurAugmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateur
 
L'expérience utilisateur
L'expérience utilisateurL'expérience utilisateur
L'expérience utilisateur
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010
 

Plan de continuité des activités: le vrai enjeu stratégique

  • 1. Plan de continuité des activités Le vrai enjeu stratégique Lausanne, 5.11.2013 Stéphane Perroud, Minimarisk Sàrl ITIL V3 Foundation
  • 2. Orateur Stéphane Perroud Stéphane Perroud www.sperroud.ch consulting@sperroud.com Formations  Ingénieur ETS / HES  Economiste HEC  Master en Management de la Sécurité des SI (MSSI) Expériences  Développeur J2EE et Web (LODH)  Auditeur informatique (PwC)  Consultant en Gouvernance, Audit et Management de la Sécurité des SI (Minimarisk)  Formateur en Gouvernance, Sécurité et Audit (COBIT, CISA, CISM, CGEIT, CISSP, ISO 27001, ITIL, Gestion des Risques) (HEG Genève et Digicomp) Certifications et examens  CAS en gestion appliquée de projets, COBIT Foundation 4.1 & 5, Management of Risk, ISO 27005, CISA, CISM, ITIL v3 Foundation, CISSP, Lead Auditor ISO 20’000, ISO 22301, ISO27001, Lead Implementer ISO 27001 Page 2
  • 3. Agenda       Introduction Les principaux risques des entreprises romandes Le plan de continuité Les solutions de repli Conclusions Q&A Page 3
  • 5. Quand tout va bien…  Vision réduite des risques de l’entreprise.  Impossible de tout prévoir.  Systèmes complexes, vulnérables. Il faut se préparer ! Page 5
  • 6. Quand tout va mal… Page 6
  • 7. 11 Sept. 2001 – New York City 19 terroristes 2997 victimes 1134 entreprises impactées 60-1000 milliards de $ de pertes Page 7
  • 8. 11 Sept. 2001 - 2 histoires  Société financière  Gère les principaux fonds de pensions américains.  Reprend les activités en moins de 1 semaine.  Sauvée de la faillite.  Société IT  Perd la plupart de ses collaborateurs.  Backup IT dans l’autre tour.  Fait faillite. Page 8
  • 9. Les principaux risques des entreprises romandes Page 9
  • 10. Principaux risques des entreprises Les principaux risques surviennent sur trois niveaux: 1. De la société elle-même  Erreurs humaines.  Forte dépendance sur certains collaborateurs. 2. De son environnement immédiat  Perte d’un client ou fournisseur important. 3. Du plan macroéconomique  Variations des taux de change, fluctuations conjoncturelles.  Changements réglementaires. Page 10
  • 11. Les principales menaces (selon ISO 27005)         Dommages physiques Evénements naturels Perte de services essentiels Perturbation due à des radiations Information compromise Pannes techniques Actions non autorisées Fonctions compromises Page 11
  • 12. Situation en Suisse (selon Melani)  DDoS – attaques massives en Suisse aussi  Serveurs DNS détournés pour des attaques DDoS.  Surveillance des communications sur Internet  Prism (NSA), GCHQ (câbles sous-marins).  Advanced Persistent Threats  Cyberattaques raffinées.     Les systèmes de gestion de contenu (CMS) Essor des chevaux de Troie dans la téléphonie mobile Phishing et courriels munis de lien vers des sites infectés Vague de SMS de fraude à la commission Page 12
  • 13. Conséquences Impacts directs    Destructions Indisponibilités Perte de données Impacts indirects    Erreurs Surcharge de travail Retards de livraison Effets à long terme    Pertes de réputation Pertes de clients Procès Page 13
  • 14. Le plan de continuité Page 14
  • 16. Que faire lors d’une interruption ? Gérer l’urgence   v 1.0 Mode «désastre» Plan de gestion des incidents (PGI/IMP) Assurer la continuité   Mode «désastre» Plan de continuité (PCA/BCP) Rétablir le système   Mode «normal» Plan de reprise et récupération (PRA/DRP) Analyse des risques et normes Page 16
  • 17. 10: Amélioration v 1.0 Analyse des risques et normes Page 17
  • 18. Gestion de la continuité des activités Page 18
  • 19. Etapes du plan de continuité Project Initiation BIA Strategy Development Plan Development Implementation Testing Maintenance Page 19
  • 20. Analyse des impacts métier (BIA)  Quoi  Identifier, quantifier et qualifier les conséquences d’une perte ou d’une interruption d’une activité métier sur l’ensemble de l’organisation  Pourquoi     Documenter les impacts d’une interruption au cours du temps Identifier le Délai Maximal d’Interruption Admissible (DMIA) Identifier la Perte de Données Maximale Admissible (PDMA) Identifier les dépendances entre les activités  Comment  Identifier les processus principaux et leurs propriétaires  Etablir un graphe des dépendances entre ces processus  Identifier les impacts et évaluer quand ils deviennent inacceptables Page 20
  • 21. Les solutions de repli Page 21
  • 22. Stratégie de continuité  Identification et sélection des stratégies :  Coûts vs. vitesse de reprise  Respect des RTO (<= DMIA)  Respect des RPO (<= PDMA)      Internaliser vs. externaliser les activités On-site vs. off-site Reprise manuelle, à froid, tiède ou à chaud, accord réciproque Clouds Virtualisation  Si impact important immédiat  réduction du risque  Si impact peu important immédiat  plan de reprise Page 22
  • 24. 11 Sept. 2001 - Leçons retenues 1. Toutes les menaces doivent être considérées. 2. Le personnel clé peut être indisponible. Le support aux employés est important. 3. Les infrastructures peuvent être inaccessibles. Nov. 2003 HSBC Istanbul. Une bombe explose. 26 tués, 450 blessés Page 24
  • 25. 11 Sept. 2001 - Leçons retenues 4. Les plans doivent être mis à jour et testés périodiquement. Des copies des plans doivent être conservées dans des lieux distants sécurisés. 5. Les sites alternatifs ne doivent pas être situés trop près du site primaire. Août 2003 “En 3 minutes, 21 centrales électriques s’éteignent Page 25
  • 26. 11 Sept. 2001 - 2 histoires 6. Les dépendances et interdépendances doivent être analysées avec soin. 7. Les télécommunications sont essentiels. Oct. 2008 D.Telekom se fait voler les données de 17 millions d’utilisateurs de mobiles Page 26
  • 27. Digicomp et PCA: What’s next?  ISO 22301 Business Continuity Foundation  2 jours avec certification.  Prochain cours : 25, 26 nov. 2013.  ISO 22301 Business Continuity Lead Auditor  5 jours avec certification.  Prochain cours : 13-17 janv. 2014.  ISO 27005 Risk Manager  3 jours avec certification.  Prochain cours : 10-12 fév. 2014. Page 27
  • 28. Contact Raphael Rues Digicomp Academy Suisse Romande SA Phone: +41 21 321 65 00 E-Mail: raphael.rues@digicomp.ch Web: http://www.digicomp.ch/fr Page 28

Notes de l'éditeur

  1. Dix mille cas par an. Le chiffre des infractions commises au sein des entreprises enSuisse et mesuré par KPMG est loin d’être négligeable. Gestion déloyale, vol d’argent,escroquerie, corruption...La progression du vol de données, qui devient l’infraction principalesubie par les sociétés helvétiques.Les fraudeurs sont en majorité issus des rangs de l’employeur, le management étant mêmeimpliqué dans presque 40% des cas de conduites répréhensibles.
  2. Dommages physiques: feux, eau, pollution, gel, …Evénements naturels: climat, sismique, volcan, inondation, météo.Perte de services essentiels: HVAC, alimentation électrique, télécommunication.Perturbation due à des radiations: électromagnétique, thermique.Information compromise: espionnage, vol, divulgation, source non trusted.Pannes techniques: soft, hard.Actions non autorisées: fraude, utilisation non autorisée, corruption de données, copie de soft.Fonctions compromises: erreur, abus de droits, DOS, disponibilité du personnel.
  3. Il vous faut impérativement un PCA si : Vous œuvrez dans un secteur d’activité qui impose règlementairement l’existence et la maintenance d’un PCA. C’est le cas notamment du domaine bancaire. Vous travaillez avec des grands comptes ou administrations qui le réclament dans le cadre de leur propre politique de sécurité (notamment dans le contexte ISO 27001). Sinon, vous devez élaborer un PCI si : La bonne marche de votre entreprise est étroitement dépendante de votre système d’information. Concrètement, posez-vous par exemple la question suivante : puis-je tolérer sans dommage un arrêt de plus de 24h de ma messagerie, de mon ERP, ou de mon logiciel de paie ou de facturation ? Si la réponse est non, il faut un PCI, sinon un PRA peut suffire. Si votre activité est peu dépendante de l’informatique, ou si vos moyens budgétaires sont réduits, vous pouvez opter dans un premier temps pour un PRA.
  4. Externaliser: télétravailDatacenters: SunGard, Green, Dfi, VTX, Safehost, GaneshHosting.Clouds: Amazon (IaaS), Google (SaaS), Kodeo (Meyrin), Evok (Fribourg).Virtualisation: Vmware, vSphere, Hyper-V.