Vous êtes sur la page 1sur 47

12 mai 2014

12 mai 2014 QSE : qualité et gouvernance des systèmes d’information Module n°2 : Plans de

QSE : qualité et gouvernance des systèmes d’information

Module n°2 : Plans de Continuité d'Activité (PCA)

2014 QSE : qualité et gouvernance des systèmes d’information Module n°2 : Plans de Continuité d'Activité

Agenda

1. Introduction à la continuité d'activité

1. 1 Concepts clés 1. 2 Démarche de mise en place d'un PCA

2. Plan de Continuité Informatique

3. Plan de Continuité des Opérations

Introduction à la continuité d’activité

Des menaces pèsent sur les entreprises

Séisme Panne Grèves Coupure logicielle informatique Inondation Panne Panne matérielle électrique Incendie
Séisme
Panne
Grèves
Coupure
logicielle
informatique
Inondation
Panne
Panne
matérielle
électrique
Incendie
Défaillance de
prestataires
Les entreprises
Les entreprises

Introduction à la continuité d’activité

Des menaces bien réelles !

11 septembre 2001 Attentats du World Trade Center 2750 morts, 800 000 m² de bureaux
11 septembre 2001
Attentats du World Trade Center
2750 morts, 800 000 m² de bureaux
rasés. 350 entreprises et 40 000
personnes étaient présentes sur le site.
17 avril 2011 Intrusion sur le Playstation Network Vol de données personnelles et bancaires. Mise
17 avril 2011
Intrusion sur le Playstation
Network
Vol de données personnelles et
bancaires. Mise hors ligne du service
pendant 1 mois. Un coût évalué à
plusieurs centaines de millions d’euros.
21 septembre 2001 Explosion de l’usine AZF 31 morts, des milliers de blessés. Destruction du
21 septembre 2001
Explosion de l’usine AZF
31 morts, des milliers de blessés.
Destruction du site et des alentours (150
bus de transport public, plusieurs
entreprises touchées, un lycée, une salle
de concert, …)
2011 Printemps arabe Révoltes importantes dans une quinzaine de pays arabes. Instabilité sociale et politique
2011
Printemps arabe
Révoltes importantes dans une quinzaine
de pays arabes. Instabilité sociale et
politique entraînant la suspension des
activités de plusieurs entreprises
internationales dans certaines zones.
17 novembre 2004 Panne nationale du réseau Bouygues Telecom Impossible de passer et recevoir des
17 novembre 2004
Panne nationale du réseau
Bouygues Telecom
Impossible de passer et recevoir des
appels pendant 1 journée suite à une
panne informatique. Coût estimé de 20
millions d’euros et dégâts d’image
considérables.
24 avril 2013 Catastrophe de Dacca au Bengladesh 1127 morts, 2500 rescapés, destruction de plusieurs
24 avril 2013
Catastrophe de Dacca au
Bengladesh
1127 morts, 2500 rescapés, destruction
de plusieurs ateliers de confection, de
commerce et une banque.
11 mars 2011 Séisme au large du Japon Séisme puis tsunami et catastrophe nucléaire. 20
11 mars 2011
Séisme au large du Japon
Séisme puis tsunami et catastrophe
nucléaire. 20 000 morts, conséquences
majeures sur les infrastructures, forte
perturbation de l’activité économique du
pays.

…et 2014 ?

Introduction à la continuité d’activité

Des menaces qui ont des impacts multiples

L’indisponibilité d’activités clés peut causer des impacts majeurs et multiples pour les organisations
L’indisponibilité d’activités clés peut causer des impacts majeurs et multiples pour les organisations

Exemples d’impacts pour une grande banque

Financier Ex : la perturbation de certaines Client activités critiques (ex : salles de marchés)
Financier
Ex : la perturbation de certaines
Client
activités critiques (ex : salles de
marchés) peut entraîner
rapidement des impacts de
plusieurs millions d’euros.
Juridique
Ex : un incident informatique
pourrait entraîner la perception
avec retard des prestations
sociales.
Ex : la continuité des activités
vitales des banques est rendue
obligatoire par la règlementation
(CRBF 97-02).
Interne
Image
Ex : une perturbation importante
des activités entraînerait une
dégradation de l’image de marque
de la banque vis-à-vis du public et
des autres acteurs de la place.
Ex : des incidents à répétition sur
les systèmes informatiques
pourraient entraîner des
mécontentements clients en
agences et une dégradation des
conditions de travail des agents.

Introduction à la continuité d’activité

Exemple de menace : la crue de Seine…

Une menace ancrée dans l’histoire de Paris

Plus grandes crues connues

Crues les plus récentes

27

février 1658 : 8,96 m

06

janvier 1924 : 7,32 m

28

janvier 1910 : 8,62 m

23

janvier 1955 : 7,12 m

26

décembre 1740 : 8,05 m

14

janvier 1982 : 6,16 m

09

février 1799 : 7,65 m

24

mars 2001 :

5,21 m

28

janvier 1802 : 7,62 m

 

Une dynamique de crise relativement lente, mais une crise de longue durée

Crue « lente » : 10 à 15 jours entre l’atteinte de la cote d’alerte et la cote maximale

Décrue tout aussi lente, de l’ordre de 15 jours…

… mais qui peut aller jusqu’à 40 jours (1910)

Différents scénarios à envisager, pas uniquement celui de la crise extrême

à envisager, pas uniquement celui de la crise extrême 6 0 % d u d é

60% du débit de 1910

6 0 % d u d é b i t d e 1 9 1 0

115% du débit de 1910

Une crise dont l’ampleur n’est pas prévisible

Au moment de l’alerte, le pic de crue ne peut pas encore être déterminé

Pour les crues majeures, les fortes évolutions de

l’urbanisme en Ile de France depuis 1910 rendent

difficile toute prévision

Introduction à la continuité d’activité

…aux impacts significatifs

Impacts sur la région Ile-de-France

impacts significatifs Impacts sur la région Ile-de-France Transports en commun : Arrêt de fonctionnement des RER
impacts significatifs Impacts sur la région Ile-de-France Transports en commun : Arrêt de fonctionnement des RER

Transports en commun :

Arrêt de fonctionnement des RER A, B et C, des gares de Lyon et d’Austerlitz et des lignes de métro (par tronçons)

Électricité :

870 000 foyers et 2 640 sites de haute tension sont concernés par le risque de coupure électrique

tension sont concernés par le risque de coupure électrique Transport routier : • 100% des ponts

Transport routier :

100% des ponts à Paris et en Petite Couronne seront inaccessibles

Les autoroutes A86, A4 et A6 coupées à certains endroits

Engorgement des voies de circulation

Eau potable :

5 000 000 de personnes seraient privées d’eau potable

5 000 000 de personnes seraient privées d’eau potable Télécommunications : Sous-répartiteurs situés dans les
5 000 000 de personnes seraient privées d’eau potable Télécommunications : Sous-répartiteurs situés dans les

Télécommunications :

Sous-répartiteurs situés dans les sous- sols inondables

Réseau dépendant de l’alimentation électrique

Énergie :

Usagers ne seraient plus alimentés par le chauffage urbain

De nombreux centres de distribution

d’hydrocarbures sont inondés

centres de distribution d’hydrocarbures sont inondés Assainissement : Les égouts débordent et

Assainissement :

Les égouts débordent et l’élimination des déchets ménagers est rendue très difficile

Introduction à la continuité d’activité

Des risques que l’on peut traiter de différentes manières

Accepter Accepter la menace et ses impacts

potentiels pour l’entreprise

Éviter Ne pas lancer ou arrêter une activité à

cause des risques encourus

Accepter Éviter Scénario de Réduire risque Transférer probabilité Limiter impacts
Accepter
Éviter
Scénario
de
Réduire
risque
Transférer
probabilité
Limiter
impacts
risque Transférer probabilité Limiter impacts Transférer Déporter le risque sur un tiers (prise

Transférer

Déporter le risque sur un tiers (prise d’une assurance, transfert d’une activité à un prestataire, …)

Réduire la probabilité Traiter le risque en amont, en réduisant sa probabilité d’occurrence

Limiter les impacts

Plan de Continuité d’Activité (PCA) : ensemble de dispositifs permettant de limiter les impacts lorsqu’un ou plusieurs scénarios de risques sont avérés

Un dispositif relevant d’un équilibre coût / couverture de risques

Couverture

de risques

Coût

sont avérés  Un dispositif relevant d’un équilibre coût / couverture de risques Couverture de risques

Introduction à la continuité d’activité

Quelques définitions : PCA, PCO et PCI

Le Plan de Continuité d’Activité englobe l’ensemble des actions, processus et organisations permettant la
Le Plan de Continuité d’Activité englobe l’ensemble des actions, processus et organisations
permettant la continuité des activités critiques de l’Entreprise
Le PCA est une démarche qui couvre à la fois les métiers et l’informatique
PCA PCI PCO
PCA
PCI
PCO

SI

Métier

PCA PCI PCO SI Métier Le PCI (Plan de Continuité Informatique) se focalise sur la disponibilité
PCA PCI PCO SI Métier Le PCI (Plan de Continuité Informatique) se focalise sur la disponibilité

Le PCI (Plan de Continuité Informatique) se focalise sur la disponibilité des données et des ressources informatiques

Le PCO (Plan de Continuité des Opérations) se focalise sur les actions

des Métiers pour la poursuite de leurs

opérations vitales

Ex. de solutions : Ex. de sinistre : incendie ou inondation d’un datacenter site de
Ex. de solutions :
Ex. de sinistre :
incendie ou inondation
d’un datacenter
site de secours, solutions de
haute disponibilité ou de
reprise informatique
Ex. de solutions : Ex. de sinistre : indisponibilité du siège ou d’une agence, pandémie
Ex. de solutions :
Ex. de sinistre :
indisponibilité du siège ou
d’une agence, pandémie
site de repli utilisateurs,
modes de fonctionnement
dégradés

Introduction à la continuité d’activité

Définitions : DIMA et PDMA

Deux critères essentiels sont utilisés pour l’expression des besoins de continuité. Ils permettent de déterminer la criticité des applications et des infrastructures informatiques sous-jacentes

Délai d’Interruption Maximal Admissible, DIMA (Métiers et informatique)

Durée maximale d’interruption d’une ressource que peuvent tolérer les Métiers utilisateurs de la ressource On parle également de Recovery Time Objective (RTO)

Perte de Données Maximale Admissible, PDMA (Informatique)

Durée maximale acceptable entre la dernière sauvegarde et l’incident survenu, quantifiant ainsi les données que les Métiers tolèrent de perdre au maximum On parle également de Recovery Point Objective (RPO)

Dernière

Sauvegarde

Incident majeur à T

Reprise

T+y T-x Période non présente sur Application disponible les sauvegardes Période de reprise à nouveau
T+y
T-x
Période non présente sur
Application disponible
les sauvegardes
Période de reprise
à nouveau
PDMA
DIMA
les sauvegardes Période de reprise à nouveau PDMA DIMA Un autre critère à ne pas oublier

Un autre critère à ne pas oublier : le niveau de performance retrouvée

(Informatique)

Introduction à la continuité d’activité

Les différentes composantes d’un PCA

Organisation de crise (Cellules de crise, moyens, procédures, …)d’activité Les différentes composantes d’un PCA Engagement (contractuel) des fournisseurs clés,

Engagement (contractuel) des fournisseurs clés, stratégie achat multifournisseurs, capacité à ré-internaliser…

Sites de repli et d’hébergement

Procédures RH

exceptionnelles

Suppléance du

personnel

Acheminement du personnel

Fournisseurs

Sites

du personnel Acheminement du personnel Fournisseurs Sites Organisation et personnel ACTIVITE METIER Informatique et

Organisation

et personnel

ACTIVITE

METIER
METIER
Fournisseurs Sites Organisation et personnel ACTIVITE METIER Informatique et télécoms Plan de Continuité Informatique

Informatique et télécoms

et personnel ACTIVITE METIER Informatique et télécoms Plan de Continuité Informatique et Télécoms •

Plan de Continuité Informatique et Télécoms

Stratégie de secours

Procédures

Ressources humaines

Ressources techniques

Organisation

Procédures

Positions de

travail

Référentiel documentaire Mesures d’anticipation, de contournement, formulaires Métiers

Stockage ou approvisionnement des ressources matérielles nécessaires, …

Coordination / Maintenance du PCA (Responsables, correspondants, …)des ressources matérielles nécessaires, … Ressources à secourir Secours 12 mai 2014 - Propriété de

/ Maintenance du PCA (Responsables, correspondants, …) Ressources à secourir Secours 12 mai 2014 - Propriété

Ressources à secourir

(Responsables, correspondants, …) Ressources à secourir Secours 12 mai 2014 - Propriété de Solucom, reproduction

Secours

Introduction à la continuité d’activité

Une norme pour le PCA : ISO 22301…

Publié en 2012, l’ISO 22301 est la référence en matière de management de la continuité d’activité. Elle spécifie les exigences pour mettre en place et améliorer un Système de management de la Continuité d’activité (SMCA)

Piloter et améliorer le SMCA

Gérer la documentation et les enregistrements

Conduire l’analyse des

risques, le BIA (Bilan

d’Impact sur Activité)

Définir et mettre en œuvre les plans d’action

Plan Act Do Check
Plan
Act
Do
Check

Contrôler et mesurer l’efficacité

Gérer les incidents et crises de continuité

Sensibiliser et former à la continuité d’activité
Sensibiliser et former
à la continuité d’activité
Système de Management de la Continuité d’Activité (SMCA)
Système de Management de la Continuité d’Activité (SMCA)

Introduction à la continuité d’activité

…qui met en place un SMCA

à la continuité d’activité …qui met en place un SMCA Et répondre à des objectifs :
Et répondre à des objectifs :  De confiance , à la demande des parties
Et répondre à des objectifs :
 De confiance , à la demande des parties
prenantes et pour les parties prenantes
Clients, actionnaires, partenaires, direction, employés,
public…
 D’amélioration permanente de la sécurité du SI,
sur un périmètre bien défini

En intégrant :

Un engagement du management

Une amélioration continue

Agenda

1. Introduction à la continuité d'activité

1. 1 Concepts clés 1. 2 Démarche de mise en place d'un PCA

2. Plan de Continuité Informatique

3. Plan de Continuité des Opérations

Démarche générale de mise en place d’un PCA

Tester

 
 Analyser les risques  Définir les besoins
 Analyser les risques
 Définir les besoins
 

régulièrement

Mettre à jour la stratégie de secours

Mettre à jour les solutions techniques

1 Cadrage Maintenance et amélioration 5 2 Stratégie Test & recette 4
1
Cadrage
Maintenance et
amélioration
5
2
Stratégie
Test & recette
4
 Recenser les solutions  Évaluer les scénarios
 Recenser les
solutions
 Évaluer les scénarios

Mettre à jour

les procédures

 
3 Conception et mise en œuvre
3
Conception
et mise en œuvre
 

PCO

PCI

   

Valider le fonctionnement des

Valider le

PCO

PCI

fonctionnement des

Organisation

Organisation

moyens de secours

solutions techniques

Moyens de secours

Infrastructure technique

Valider le caractère applicable des procédures et de

Procédures

Procédures de reprise

Valider le caractère applicable des procédures et de

dégradées

du SI

Site(s) de repli

Site(s) de secours

l’organisation

utilisateurs

informatique

l’organisation

 

ETAPE 1 : Cadrage

1.A Analyser les risques

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 3 Conception et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
3 Conception
et mise en œuvre

Analyser les risques

Définir les besoins

Recensement des menaces 2 Élaboration et sélection des scénarios de risques à couvrir
Recensement des menaces
2 Élaboration et sélection des scénarios de risques à couvrir

Facteurs naturels

Séismes, inondations, éboulements, glissements de terrain, …

Facteurs environnementaux

Proximité de sites industriels, d’infrastructures ou de voies de communication à risque

Facteurs techniques

Pannes matérielles, indisponibilité d’équipements, défaillances logicielles, infections virales…

Facteurs humains

Phénomènes sociétaux, mouvements sociaux, dégradations volontaires, erreurs humaines, …

Indisponibilité totale ou partielle du système d’information  Panne électrique du Datacenter  Propagation
Indisponibilité totale ou
partielle du système
d’information
Panne électrique du Datacenter
Propagation d’un virus informatique
Indisponibilité totale ou partielle d’un site hébergeant du personnel  Incendie / Inondation  Périmètre
Indisponibilité totale ou
partielle d’un site hébergeant
du personnel
Incendie / Inondation
Périmètre de sécurité autour du bâtiment
Indisponibilité des prestataires critiques  Sinistre dans les locaux du prestataire  Indisponibilité du SI
Indisponibilité des
prestataires critiques
Sinistre dans les locaux du prestataire
Indisponibilité du SI du prestataire
Indisponibilité de collaborateurs  Pandémie  Mouvement social  ….
Indisponibilité de
collaborateurs
Pandémie
Mouvement social
….

ETAPE 1 : Cadrage

1.B Définir les besoins

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 3 Conception et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
3 Conception
et mise en œuvre

Analyser les risques

Définir les besoins

œuvre  Analyser les risques  Définir les besoins Outil utilisé : le BIA* * Bilan
Outil utilisé : le BIA*
Outil utilisé : le BIA*

* Bilan d’Impact sur l’Activité

Questionnaire rempli et mis à jour par les Métiers, en collaboration avec les équipes PCA

PLAN DE CONTINUITE DES ACTIVITES DU SIEGE (PCA)

PLAN DE CONTINUITE DES ACTIVITES DU SIEGE (PCA) SYNTHESE DES ACTIVITES CRITIQUES DE LA DIRECTION Dénomination

SYNTHESE DES ACTIVITES CRITIQUES DE LA DIRECTION

Dénomination de la Direction

Principaux pôles

RLCA

- Définition de l'Offre Commerciale

Mme DURAND
Mme DURAND
 

- Mise en Marché

Direction Marketing et Commerciale (DMC)

- Relation Clientèle (support agences, télévente, SAV, développement, etc.)

- Administration des Ventes (facturation/recouvrement, stratégie, etc.)

- Directeur Suppléant 1 Suppléant 2 M.DUPONT Directeur de Marchés Directeur des Ventes Personnels-clef
- Directeur Suppléant 1 Suppléant 2 M.DUPONT Directeur de Marchés Directeur des Ventes Personnels-clef
- Directeur Suppléant 1 Suppléant 2 M.DUPONT Directeur de Marchés Directeur des Ventes Personnels-clef
-
Directeur
Suppléant 1
Suppléant 2
M.DUPONT
Directeur de Marchés
Directeur des Ventes
Personnels-clef
Suppléant 1
Suppléant 2
Directeur des Marchés
Directeur Marché VAD
Directeur Marché Industrie
Directeur Opérations ADV
Responsabe Dept. Support
Objectifs clef de la direction
-
Définition de l’offre marketing destinée aux Professionnels et aux Entreprises
-

Effectifs

Localisation

Effectifs sur site

Crossing

0

Sèvres

0

 

107

 

Aphelion

210

autre site : à préciser

sans objet

Mise en marché de nouveaux produits (déclinaison, définition et mise à disposition d’outils)

- Animation fonctionnelle des forces de ventes et relation commerciale pour les

 

Effectif

Impact d'une suspension d'activité / Effectif de reprise

 

Activités-clef pour La Banque Postale

nominal

4h

1 jour

2/3 jours

1 semaine

2/3 sem.

1 mois

DMC.0. Pilotage de la Filiale

Impact 2 3 4 5 5 7 Effectif 1 1 3 3 7 Impact 2
Impact
2
3
4
5
5
7
Effectif
1
1
3
3
7
Impact
2
3
4
5
5
20
Effectif
5
10
15
18
18
Impact
3
4
5
30
Effectif
7
15
20
Impact
1
1
2
Effectif
1
2
Impact
1
2
3
4
5
7
Effectif
1
3
4
5
5
Impact
2
3
3
4
4
2
Effectif
1
1
1
2
2
Impact
39
Effectif

DMC.1. Administration des Ventes : Opérations

DMC.2. Définition de l’Offre Commerciale

DMC.3. Relation Client : Développement

DMC.4. Relation Client : Service Client

DMC.5. Mise en Marché / Communication

DMC.6. Autres activités non critiques

Total

107

Effectif

0

8

15

30

44

54

Commentaire / Remarque particulière

La DMC dispose de sa propre Cellule de Crise Métier composée de 4 personnes.

sa propre Cellule de Crise Métier composée de 4 personnes. MOA du Système d'Information DMC 3

MOA du Système d'Information DMC

MOA du Système d'Information DMC
MOA du Système d'Information DMC
3 Identification des activités critiques
3
Identification des activités critiques

Quelles sont les activités dont l’interruption provoquerait un impact fort pour l’entreprise ?

Quel est le délai d’interruption maximal?

D0 D1 D2 D3 D4 D5 1H 4H 1J 2/3J 1S 2/3S
D0
D1
D2
D3
D4
D5
1H
4H
1J
2/3J
1S
2/3S

4 Recensement des ressources nécessaires

1S 2/3S 4 Recensement des ressources nécessaires  Combien et quels sont les collaborateurs à replier

Combien et quels sont les collaborateurs à replier en priorité pour réaliser ces activités critiques?

De quel matériel a-t-on besoin ?

activités critiques?  De quel matériel a-t-on besoin ?  Quelles applications sont nécessaires ? Sous

Quelles applications sont nécessaires ? Sous quels délais (DIMA/PDMA) ?

applications sont nécessaires ? Sous quels délais (DIMA/PDMA) ?  Quels sont les prestataires indispensables ?

Quels sont les prestataires indispensables ?

applications sont nécessaires ? Sous quels délais (DIMA/PDMA) ?  Quels sont les prestataires indispensables ?

?

?  Quels sont les prestataires indispensables ? ? 12 mai 2014 - Propriété de Solucom,

12 mai 2014 - Propriété de Solucom, reproduction interdite

17

ETAPE 2 : Stratégie

2.A Définir la stratégie PCI (1/2)

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 3 Conception et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
3 Conception
et mise en œuvre
Test & recette 4 3 Conception et mise en œuvre Applications Services d’infrastructure (annuaires,

Applications

Services d’infrastructure

(annuaires, DNS, hyperviseur…)

d’infrastructure (annuaires, DNS, hyperviseur…)  Recenser les solutions  Évaluer les scénarios
 Recenser les solutions  Évaluer les scénarios 1 Définition des solutions possibles pour le
 Recenser les solutions
 Évaluer les scénarios
1
Définition des solutions possibles pour le secours

Pour chaque couche technique SI, étude des solutions disponibles pour le secours.

Matériel dédié

Matériel

mutualisé

Matériel

approvisionné

Actif (Clustering, partage de charge,…)

Activable

Dormant

Mutualisé interne (Pré-production, Intégration, Tests,…)

Commande lors du sinistre

Mutualisé externe (chez un prestataire)

Pré-contractualisation

Stockage / Sauvegarde des

données

Réplication baie Synchrone Asynchrone

Réplication serveurs

Sauvegarde Bandes magnétiques VTL

Réseau

serveurs Sauvegarde Bandes magnétiques VTL Réseau Réseau dupliqué Réseau distincts Réseau étendu

Réseau

dupliqué

Réseau

distincts

Réseau étendu

Réseau mixte

Hébergement

distincts Réseau étendu Réseau mixte Hébergement Nombre de sites Hébergement interne ou externe Résilience

Nombre de sites

Hébergement interne ou externe

Résilience du

datacenter

ETAPE 2 : Stratégie

2.A Définir la stratégie PCI (2/2)

2  Construction des scénarios et choix du secours cible
2
Construction des scénarios et choix du secours cible

Construction des différents scénarios pour le secours, et choix du scénario cible sur la base de la réponse aux besoins et des coûts.

Scénario A

Scénario B1

Scénario B2

Scénario B3

Scénario C

Continuité distante

Reprise distante

Reprise distante

Reprise distante

Continuité distante

 

Continuité locale

(Continuité locale)

Reprise distante

Hébergement et

réplication

Secours des

applications

vitales

Secours de la

majorité du SI

Bi-site proche

S1 Rép. synch. <20 km S2

S1

Rép. synch.

<20 km

S1 Rép. synch. <20 km S2

S2

Haute-disponibilité

distante

Mutualisé interne

Bi-site éloigné

Bi-site éloigné S1 Rép. asynch. >200 km

S1

Rép. asynch.

>200 km

Bi-site éloigné avec 2

salles sur le 1 er site

S1

Rép. asynch.

>200 km

S2

Bi-site éloigné. 2 ème site

externalisé

Eventuellement 2 salles sur le

1 er site

Rép. asynch.

S1

>200 km

Tri-site

Tri-site INT ou EXT
Tri-site INT ou EXT

INT

ou EXT

Rép. synch.

<20 km

S2

S2

Rép. synch. <20 km S2
S2
S2
INT ou EXT Rép. synch. <20 km S2 S2 EXT S1  Dédié activable ou mutualisé
EXT S1
EXT
S1

Dédié activable ou

mutualisé avec

Boot-On-SAN

Mutualisé interne

Haute-disponibilité

locale

Mutualisation

interne

Mutualisé interne

Mutualisation

externe

Eventuellement

haute-disponibilité

locale

Mutualisé externe

Haute-disponibilité

distante

Mutualisation

(interne ou externe)

Mutualisé interne

et/ou externe

Couverture de risques

Couverture de risques

Couverture de risques

Couverture de risques

Couverture de risques

5 4 3 2 1 0
5
4
3
2
1
0

Faisabilité

technique

Performances

5 4 3 2 1 0
5
4
3
2
1
0

Faisabilité

technique

Performances

5 4 3 2 1 0
5
4
3
2
1
0

Faisabilité

technique

Performances

5 4 3 2 1 0
5
4
3
2
1
0

Faisabilité

technique

Performances

5 4 3 2 1 0
5
4
3
2
1
0

Faisabilité

technique

Performances

Faisabilité

organisationnelle

Aspect

financier

Faisabilité

organisationnelle

Aspect

financier

Faisabilité

organisationnelle

Aspect

financier

Faisabilité

organisationnelle

Faisabilité

organisationnelle

Aspect

financier

Aspect

financier

21 juin 2010 - Confidentiel

16

ETAPE 2 : Stratégie

2.B Définir la stratégie PCO

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 3 Conception et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
3 Conception
et mise en œuvre

Recenser les solutions

Évaluer les scénarios

1 Définition de la « Boîte à outils » des solutions des secours 2 Choix
1
Définition de la « Boîte à outils » des solutions des secours
2
Choix des stratégies

Un panel de solutions à disposition des PCO pour apporter une réponse adaptée au sinistre

Repli sur site interne ou externe
Repli sur site interne ou
externe
Maillage / transfert des activités (interne ou externe)
Maillage / transfert des
activités (interne ou
externe)
Nomadisme et travail à distance
Nomadisme et travail à
distance
Fonctionnement dégradé sur site nominal
Fonctionnement dégradé
sur site nominal
Approvisionnement de ressources de remplacement
Approvisionnement de
ressources de
remplacement

….

Définition des solutions à appliquer pour chaque activité

à secourir et cas de sinistre à traiter

Activité à secourir SI Site Collaborateurs Prestataires Solution A Solution B Solution C Solution D
Activité à secourir
SI
Site
Collaborateurs
Prestataires
Solution A
Solution B
Solution C
Solution D

ETAPE 3 : Conception et mise en œuvre

3.A – Concevoir et mettre en œuvre le PCI

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 Conception 3 et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
Conception
3
et mise en œuvre

PCI

Organisation

Infrastructure technique

Procédures de reprise du SI

Site(s) de secours

informatique

1 Mise en œuvre des solutions techniques 2 Documentation du secours informatique
1
Mise en œuvre des solutions techniques
2
Documentation du secours informatique
techniques 2 Documentation du secours informatique  Conception détaillée des solutions techniques Commande

Conception détaillée des solutions techniques

Commande du matériel et équipement du site informatique de secours Conception détaillée des solutions techniques  Configuration des solutions   … 

Configuration des solutionsmatériel et équipement du site informatique de secours    …  Documentation des solutions

de secours  Configuration des solutions   …  Documentation des solutions mises en place

Documentation des solutions mises en place

Formalisation des procédures unitaires de

bascule des applications

Formalisation du plan d’activation globale du secours informatique

Formalisation des procédures de test techniques et fonctionnels du secours

Définition de l’organisation de crise SI

 

ETAPE 3 : Conception et mise en œuvre

3.B – Concevoir et mettre en œuvre le PCO

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 Conception 3 et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
Conception
3
et mise en œuvre

PCO

Organisation

Moyens de secours

Procédures dégradées

Site(s) de repli utilisateurs

1 Rédaction de la documentation 2 Préparation du matériel
1
Rédaction de la documentation
2
Préparation du matériel
de la documentation 2 Préparation du matériel  Modalités de gestion de crise  Procédures

Modalités de gestion de crise

Procédures Métiers de fonctionnement dégradé

Mesures de prévention

 

 Mesures de prévention    …  Préparation des sites de repli 

Préparation des sites de repli

Préparation des postes de secours

Choix des prestataires (repli / approvisionnement)

 

ETAPE 4 : Tests et recette

1 Cadrage Maintenance et 5 amélioration 2 Stratégie Test & recette 4 3 Conception et
1 Cadrage
Maintenance et
5
amélioration
2 Stratégie
Test & recette
4
3 Conception
et mise en œuvre

PCO

PCI

Valider le fonctionnement

Valider le

des moyens de secours

Valider le caractère

fonctionnement des solutions techniques

applicable des procédures et de l’organisation

Valider le caractère applicable des procédures et de l’organisation

1 Définition du plan de test 2 Déroulement des tests
1
Définition du plan de test
2
Déroulement des tests

Définition des éléments à tester, des types de tests à

A

B

C

conduire et des objectifs de

2014

2015

délais

2016

et des objectifs de 2014 2015 d é l a i s 2016 Déroulement des différents
et des objectifs de 2014 2015 d é l a i s 2016 Déroulement des différents
et des objectifs de 2014 2015 d é l a i s 2016 Déroulement des différents

Déroulement des différents tests prévus dans le plan de test

Tests sur table / tests de gestion de crise
Tests sur table / tests de
gestion de crise
Tests de repli
Tests de repli
Tests techniques
Tests techniques
Tests unitaires de procédures
Tests unitaires de
procédures
Tests fournisseurs
Tests fournisseurs

ETAPE 5 : Maintenance et amélioration

1 Cadrage  Tester régulièrement Maintenance et  Mettre à jour la stratégie de secours
1 Cadrage
 Tester régulièrement
Maintenance et
 Mettre à jour la stratégie de secours
5
amélioration
2 Stratégie
 Mettre à jour les solutions
techniques
Test & recette
4
 Mettre à jour les procédures
3
Conception
et mise en œuvre
1
Mise à jour des besoins
2
Adaptation de la stratégie
3
Mise à jour des solutions et procédures

Revue périodique du Bilan d’Impact sur l’Activité (BIA)

PLAN DE CONTINUITE DES ACTIVITES DU SIEGE (PCA) SYNTHESE DES ACTIVITES CRITIQUES DE LA DIRECTION
PLAN DE CONTINUITE DES ACTIVITES DU SIEGE (PCA)
SYNTHESE DES ACTIVITES CRITIQUES DE LA DIRECTION
Dénomination de la Direction
Principaux pôles
RLCA
-
Définition de l'Offre Commerciale
-
Mise en Marché
Direction Marketing et Commerciale (DMC)
-
Relation Clientèle (support agences, télévente, SAV, développement, etc.)
Mme DURAND
-
Administration des Ventes (facturation/recouvrement, stratégie, etc.)
-
MOA du Système d'Information DMC
Directeur
Suppléant 1
Suppléant 2
Effectifs
Localisation
Effectifs sur site
M.DUPONT
Directeur de Marchés
Directeur des Ventes
Crossing
0
Personnels-clef
Suppléant 1
Suppléant 2
Sèvres
0
107
Directeur des Marchés
Directeur Marché VAD
Directeur Marché Industrie
Aphelion
210
Directeur Opérations ADV
Responsabe Dept. Support
autre site : à préciser
sans objet
Objectifs clef de la direction
-
Définition de l’offre marketing destinée aux Professionnels et aux Entreprises
-
Mise en marché de nouveaux produits (déclinaison, définition et mise à disposition d’outils)
- Animation fonctionnelle des forces de ventes et relation commerciale pour les
Impact d'une suspension d'activité / Effectif de reprise
Effectif
Activités-clef pour La Banque Postale
nominal
4h
1 jour
2/3 jours
1 semaine
2/3 sem.
1 mois
Impact
2
3
4
5
5
DMC.0. Pilotage de la Filiale
7
Effectif
1
1
3
3
7
Impact
2
3
4
5
5
DMC.1. Administration des Ventes : Opérations
20
Effectif
5
10
15
18
18
Impact
3
4
5
DMC.2. Définition de l’Offre Commerciale
30
Effectif
7
15
20
Impact
1
1
DMC.3. Relation Client : Développement
2
Effectif
1
2
Impact
1
2
3
4
5
DMC.4. Relation Client : Service Client
7
Effectif
1
3
4
5
5
Impact
2
3
3
4
4
DMC.5. Mise en Marché / Communication
2
Effectif
1
1
1
2
2
Impact
DMC.6. Autres activités non critiques
39
Effectif
Total
107
Effectif
0
8
15
30
44
54
Commentaire / Remarque particulière
La DMC dispose de sa propre Cellule de Crise Métier composée de 4 personnes.

Adaptation de la stratégie aux nouveaux besoins recensés / aux tests réalisés

Stratégie de secours
Stratégie de secours

Adaptation des solutions et procédures en fonction des

adaptations de la stratégie / des résultats des tests

des adaptations de la stratégie / des résultats des tests 12 mai 2014 - Propriété de
des adaptations de la stratégie / des résultats des tests 12 mai 2014 - Propriété de
des adaptations de la stratégie / des résultats des tests 12 mai 2014 - Propriété de
des adaptations de la stratégie / des résultats des tests 12 mai 2014 - Propriété de
des adaptations de la stratégie / des résultats des tests 12 mai 2014 - Propriété de

La théorie…. et la pratique !

La démarche présentée ci-dessus est celle qui serait utilisée pour

construire un secours « de A à Z , en partant de rien »

Dans la plupart des grandes entreprises, la prise en compte de

l’existant en matière de SI, d’organisation, de modes de fonctionnement … impose souvent quelques « entorses » à cette

démarche théorique !

Agenda

1. Introduction à la continuité d'activité 2. Plan de Continuité Informatique

2. 1 Composantes et stratégies

2. 2 Quel PCI pour demain ?

3. Plan de Continuité des Opérations

Plan de Continuité Informatique

Les composantes de la continuité

Applications Architecture applicative
Applications Architecture applicative
Applications Architecture applicative

Applications

Architecture

applicative

Serveurs, middlewares et composants d’infrastructure

Serveurs, middlewares et composants d’infrastructure

StockageServeurs, middlewares et composants d’infrastructure Réseaux et sécurité Hébergement Principes de conception

Réseaux et sécurité

Réseaux et sécurité

Hébergement
Hébergement

Principes de conception

Définir une stratégie de secours consiste à :

combiner en un ensemble cohérent, exploitable et maintenable… … des solutions variées définies pour chaque couche technique

solutions variées définies pour chaque couche technique Tendance majeure du secours  Mise en œuvre progressive

Tendance majeure du secours

Mise en œuvre progressive de solutions « actif/actif », en commençant par les couches basses du SI :

Pour implémenter rapidement un secours HD

pour les applications récentes…

… tout en permettant le maintien de solutions plus anciennes pour les autres

Plan de Continuité Informatique

Trois angles de vue

Un stratégie PCI permet de répondre à des besoins qu’il convient d’identifier. Trois angles de vue sont à examiner pour déterminer les besoins à couvrir.

Stratégie PCI

Risques

Performances

Quelle est la couverture de risques souhaitée ?

Quelles sont les performances attendues ?

Panne ou sinistre local

Continuité de fonctionnement ou reprise d’activité ?

Sinistre de site

Sinistre régional / Choc extrême

Délais de reprise

Fraicheur des données

Activation

Quel est le mode d’activation du secours souhaité?

Bascule de tout ou rien en secours

Bascule modulaire par application

Plan de Continuité Informatique

Des questions amenant à des choix

Une combinaison de stratégies à déterminer en fonction de l’existant et du secours souhaité

Question ?

Couverture de risques

Performances de reprise

Mode d’activation du secours

Choix

de reprise Mode d’ activation du secours Choix A. Stratégie d’ hébergement B. Stratégie de secours
de reprise Mode d’ activation du secours Choix A. Stratégie d’ hébergement B. Stratégie de secours
de reprise Mode d’ activation du secours Choix A. Stratégie d’ hébergement B. Stratégie de secours

A. Stratégie d’hébergement

B. Stratégie de secours des serveurs et des données

C. Stratégie d’activation

A. La stratégie d’hébergement du secours est à déterminer en fonction des types de

risques à couvrir

B. La stratégie de secours des serveurs et des données est à déterminer en fonction des performances de reprises (DIMA et PDMA) souhaitées

C. La stratégie d’activation du secours est à déterminer en fonction de la granularité du secours souhaité et des processus d’activation acceptables

Plan de Continuité Informatique

A. Hébergement de secours

Adapter l’hébergement du secours à la couverture de sinistre souhaitée

Couverture de panne locale Doublement des équipements dans une même salle

Couverture de sinistre local

2 datacenters dans 2 salles / bâtiments différents, indépendants l’un de l’autre (alimentation électrique, climatisation, cloisons pare-feux, infrastructures informatiques …)

Couverture de sinistre de site majeur

2 datacenters sur 2 sites différents, éloignés de plus de 10 km

Couverture de sinistre majeur régional, Choc extrême

2 datacenters sur 2 sites différents, éloignés de plus de 100 km

Local Régional (10-100 km) National ( > 100 km)
Local
Régional (10-100 km)
National ( > 100 km)

Légende :

Pas de contrainte technique majeureLégende : Haute-dispo et réplication synchrone non possible

Haute-dispo et réplication synchrone non possibleLégende : Pas de contrainte technique majeure

Plan de Continuité Informatique

B. Secours des serveurs

Adapter le secours des serveurs aux délais de reprise souhaités (DIMA / RTO)
Adapter le secours des serveurs aux délais de reprise souhaités (DIMA / RTO)
DIMA / RTO 1h 4h 12h 24h 2/3j 1 semaine et plus
DIMA / RTO
1h
4h
12h
24h
2/3j
1 semaine et plus

Haute disponibilité

Activable /

Hot Stand-by

Dormant

Serveurs

dédiés

Serveurs

mutualisés

Mutualisation interne

Mutualisation

fournisseur

Serveurs

approvisionnés

Pré-contractualisation de

l’approvisionnement

Approvisionnement en cas de sinistre

Plan de Continuité Informatique

B. Secours des données

Plan de Continuité Informatique B. Secours des données Adapter le secours des données à la perte

Adapter le secours des données à la perte de données tolérée (PDMA, RPO)

Quelques secondes à quelques heures PDMA Nulle 24h et plus RPO
Quelques secondes à
quelques heures
PDMA
Nulle
24h et plus
RPO
Réplication synchrone  Envoi d’une requête  Validation de la requête  Réplication  Confirmation
Réplication synchrone
 Envoi d’une
requête
 Validation
de la requête
 Réplication
 Confirmation
BDD
BDD
Locale
Distante

Contraintes de distance

Facilite la synchronisation inter- applicative (car temps réel)

Risque de corruption logique non couvert

Réplication asynchrone  Envoi d’une requête  Validation de la requête  Réplication BDD BDD
Réplication asynchrone
 Envoi d’une
requête
 Validation
de la requête
 Réplication
BDD
BDD
Locale
Distante

Pas de contrainte de distance

Perte de données limitée

Resynchronisation inter- applicative généralement nécessaire

Sauvegarde

Sauvegarde Stockage des sauvegarde sur site de secours ou prestataire spécialisé Sauvegarde Restauration BDD Locale BDD

Stockage des sauvegarde sur site de secours ou prestataire spécialisé

Sauvegarde
Sauvegarde
Restauration
Restauration

BDD

Locale

BDD

Distante

Solution « historique »

A adopter en complément des autres solutions pour traiter les cas de corruption logique par exemple

Plan de Continuité Informatique

B. Secours des serveurs et des données

Des moyens à mettre au regard des besoins exprimés par les Métiers en termes de DIMA et PDMA

DIMA            

DIMA

           

RTO

< 1h

1 à 4h

4 à 12h

12 à 48h

> 48h

> 1 semaine

 

PDMA

 

Secours en haute-

     

Secours

RPO

disponibilité

Secours activable

Secours dormant

Secours mutualisé

approvisionné

<

Quelques

Réplication

Synchrone

         

secondes

< Quelques

 
Haute-disponibilité distante Synchrone Haute-disponibilité distante Asynchrone

Haute-disponibilité

distante

Synchrone

Haute-disponibilité

distante

Asynchrone

       
 

heures

Réplication

Asynchrone

< 1 journée

> 1 journée

Sauvegarde

     

Plan de Continuité Informatique

C. Stratégie d’activation

Plusieurs stratégies d’activation, correspondant à des architectures réseaux différentes, sont

envisageables :

Activation « tout ou rien »

Réseau de secours identique et isolé du réseau nominal, possédant un plan d’adressage identique. L’activation du secours se fait par bascule IP : configuration des routeurs, pour rediriger les flux vers le

réseau de secours (possédant la même adresse IP que le réseau nominal).

Le secours ne peut être activé de façon modulaire. Cette solution est la solution historique des plans de reprises informatiques

Activation « modulaire »

2 typologies de solutions :

1)

Le réseau de secours et le réseau nominal sont distincts l’un de l’autre. L’activation du secours se fait par bascule DNS : configuration des serveurs DNS pour rediriger les flux vers les adresses IP des machines de secours

2)

Le réseau de secours et le réseau nominal sont sur des VLAN partagés (« datacenter virtuel ») entre les deux salles. Cette solution permet notamment l’implémentation de clusters.

Ces 2 typologies de solution permet une activation modulaire du secours

Combinaison de solutions

La combinaison des solutions précédentes permet d’adapter le type d’activation du secours aux besoins exprimés par les métiers et à l’existant informatique

Agenda

1. Introduction à la continuité d'activité 2. Plan de Continuité Informatique

2. 1 Composantes et stratégies

2. 2 Quel PCI pour demain ?

3. Plan de Continuité des Opérations

Plan de Continuité Informatique

Des constats alarmants nécessitant de repenser le PCI

Constats

constats alarmants nécessitant de repenser le PCI Constats Comment y répondre aujourd’hui ? Et demain ?

Comment y

répondre

aujourd’hui ?

le PCI Constats Comment y répondre aujourd’hui ? Et demain ? Le PCI, un dispositif coûteux,

Et demain ?

Le PCI, un dispositif coûteux, vécu comme une contrainte et non comme une

assurance

Des solutions unitaires sans vision globale du secours

Un coût perçu comme prohibitif, identifié comme levier d’économie lors des réductions budgétaires

Des tests complexes à organiser sans résultats probants…

…Ne permettant pas d’avoir confiance dans l’utilisation du PCI

Une nécessaire transformation de la production pour construire un socle

résilient permettant d’avoir un PCI plus efficace

Industrialiser et être agile

Augmenter la confiance

Réduire les coûts

Passer d’un socle résilient à un SI résilient

Intégrer dans le développement des mesures permettant un fonctionnement multi-site sans contrainte de distance (exemple de cas aujourd’hui : Facebook, Google Apps)

Plan de Continuité Informatique

Trois axes pour améliorer le PCI

Continuité Informatique Trois axes pour améliorer le PCI Industrialiser et être agile  Construire un socle

Industrialiser et être agile

Construire un socle résilient homogène multi-sites dès la conception

Aller vers une réplication standardisée unique des données

Virtualiser les architectures applicatives et

restreindre les technologies

architectures applicatives et restreindre les technologies Rétablir la confiance  Impliquer les directions

Rétablir la confiance

Impliquer les directions Métiers dans la définition du périmètre à secourir pour assurer la cohérence

S’assurer que la cellule de crise est en mesure de déclencher le PCI

Définir la stratégie de tests dès la conception

Intégrer le PCI dans les processus existants

 Intégrer le PCI dans les processus existants Réduire les coûts  Tirer profit des gains

Réduire les coûts

Tirer profit des gains apportés par la virtualisation

Valoriser le PCI (augmentation de la couverture de risques)

Intégrer dans la négociation achat la problématique PCI

Agenda

1. Introduction à la continuité d'activité 2. Plan de Continuité Informatique 3. Plan de Continuité des Opérations

3. 1 Composantes et stratégies 3. 2 Conclusion

Plan de Continuité des Opérations

Définir une stratégie partagée par tous

Des solutions …

Définir une stratégie partagée par tous Des solutions … …à identifier au plus près du terrain
…à identifier au plus près du terrain pour s’assurer de leur caractère opérationnel et maintenable
…à identifier au
plus près du
terrain pour s’assurer
de leur caractère
opérationnel et
maintenable
… à combiner au
mieux pour couvrir les
besoins, en veillant à la
réutilisation de l’existant
et à la mutualisation pour
réduire les coûts
… à valider par le
management pour
assurer une mise en
œuvre efficace
… à maintenir
régulièrement, pour
conserver un PCA
opérationnel
Opérationnels PCA efficient
Opérationnels
PCA
efficient

Opérationnels

Équipe projet

Équipe projet

Management

Management

3 visions à faire converger pour assurer un PCA conforme aux besoins, opérationnel et maintenable

12 mai 2014 - Propriété de Solucom, reproduction interdite

39

Plan de Continuité des Opérations

Objectifs et cas de sinistres traités

Objectif

Le Plan de Continuité des Opérations vise à poursuivre les activités critiques de l’entreprise (éventuellement en mode dégradé) en cas d’indisponibilité de ressources dont elles ont besoin.

Afin de limiter les coûts en mutualisant les solutions, les entreprises raisonnent souvent sur la nature de l’impact plutôt que sur la menace.

4 grands types d’impacts sont généralement considérés dans le cadre de la mise en place d’un PCO :

considérés dans le cadre de la mise en place d’un PCO : Indisponibilité du système d’information

Indisponibilité du système d’information

Indisponibilité d’un site hébergeant du personnel

Indisponibilité de collaborateurs

Indisponibilité des prestataires critiques

Repli sur

Reprise ou maintien de l’activité

alternatives

Plan de Continuité des Opérations

Des solutions multiples, à combiner pour augmenter la couverture

site dédié

Repli

croisé
croisé

Utilisation de salles de réunion / formation

Repli croisé Utilisation de salles de réunion / formation Site externe (IBM / Sungard) Réquisition de

Site externe (IBM / Sungard)

Réquisition de bureaux

Prestation spécialisée

Utilisation des positions de travail d’autres collaborateurs

Arrêt potentiel d’autres activités

Politiquement délicat

Difficile à

Site interne

dédié au

repli

Souscription dédiée ou mutualisée avec d’autres clients

Savoir faire du secouriste

clients  Savoir faire du s e c o u r i s t e 

Meilleure couverture

des sinistres étendus

Nécessité de pré-câbler (courants faible et fort) les salles de réunion

tester

Environnement technique parfaitement maitrisé

Mutualisation possible entre plusieurs entités d’un même groupe

Site

Capacités de réunion réduites

Configuration des salles à examiner (salles aveugles)

 Configuration des salles à examiner (salles aveugles) Déport d’activité sinistré Dual-office  Mode de

Déport

d’activité

sinistré

examiner (salles aveugles) Déport d’activité sinistré Dual-office  Mode de fonctionnement par construction
examiner (salles aveugles) Déport d’activité sinistré Dual-office  Mode de fonctionnement par construction

Dual-office

Mode de fonctionnement par construction réparti entre plusieurs sites pouvant assurer le maintien et la reprise de l’activité d’un site affecté

Nomadisme

Portable, carte 3G, accès ADSL, BlackBerry, iPad, etc.

Centre d’affaires

(Regus)

ADSL, BlackBerry, iPad, etc. Centre d’affaires (Regus)  Mise à disposition de bureaux prêts à l’emploi

Mise à disposition de bureaux prêts à l’emploi (secrétariat, fax, internet) mais sans poste de travail

Reprise de l’activité sans déplacement de collaborateurs soit en interne soit en externe

(prestataires)

soit en interne soit en externe (prestataires) par d’autres personnels (internes ou externes) Positions

par d’autres personnels (internes ou externes)

Positions de travail

Plan de Continuité des Opérations

Indisponibilité des fournisseurs : solutions les plus courantes

En amont

Intégration du critère de criticité des prestations dans la stratégie achats

Intégration de clauses PCA dans les contrats avec les prestataires critiques

Développement de bonnes relations avec les fournisseurs et prestataires en situation de quasi monopole et/ou difficiles à remplacer

Sécurisation des prestations critiques via l’utilisation en situation nominale de deux

prestataires

Internalisation de l’activité si le maintien de l’externalisation est jugé trop risqué

En cas de défaillance de prestataire

Si plusieurs prestataires en situation nominale, transfert de l’ensemble des tâches aux prestataires non-impactés

Changement de prestataire

Internalisation provisoire de l’activité

Plan de Continuité des Opérations

Indisponibilité du système d’information : Solutions les plus courantes

Un constat global : le SI prend toujours plus d’importance au sein des entreprises.

Les modes de fonctionnement dégradé sans SI deviennent de moins en moins nombreux, et

lorsqu’ils existent sont souvent complexes à mettre en œuvre.

Principales solutions possibles

à mettre en œuvre. Principales solutions possibles Avant le sinistre Indisponibilité du SI Retour au
à mettre en œuvre. Principales solutions possibles Avant le sinistre Indisponibilité du SI Retour au

Avant le sinistre

Indisponibilité du SI

Retour au mode nominal

Indisponibilité du SI Retour au mode nominal Mise en œuvre et MCO du secours SI Déclenchement

Mise en œuvre et MCO du secours SI

Retour au mode nominal Mise en œuvre et MCO du secours SI Déclenchement du PCI Mode

Déclenchement du PCI

Mise en œuvre et MCO du secours SI Déclenchement du PCI Mode nominal Tests fonctionnels des
Mise en œuvre et MCO du secours SI Déclenchement du PCI Mode nominal Tests fonctionnels des
Mise en œuvre et MCO du secours SI Déclenchement du PCI Mode nominal Tests fonctionnels des
Mode nominal
Mode nominal

Tests fonctionnels des applications

du PCI Mode nominal Tests fonctionnels des applications Préparation et tests de procédures de fonctionnement
du PCI Mode nominal Tests fonctionnels des applications Préparation et tests de procédures de fonctionnement

Préparation et tests de procédures de fonctionnement dégradé

et tests de procédures de fonctionnement dégradé Fonctionnement dégradé sans SI Repli Maillage Extensions

Fonctionnement dégradé sans SI

Repli Maillage
Repli
Maillage

Extensions au besoin des horaires de travail des Métiers

Extensions au besoin des horaires de travail des Métiers Réintégration des données produites dans le SI

Réintégration des données produites dans le SI / rattrapage du retard accumulé

produites dans le SI / rattrapage du retard accumulé Une étape pouvant être grandement accélérée si

Une étape pouvant être grandement accélérée si elle a été prise en compte en amont dans la conception des modes de fonctionnement dégradé

moment de la crise En amontAu

Indisponibilité de collaborateurs

Indisponibilité de collaborateurs : Quelques solutions pour le scénario de pandémie

: Quelques solutions pour le scénario de pandémie Amélioration de la polyvalence des équipes (formation des

Amélioration de la polyvalence des équipes (formation des collaborateurs, formalisation des processus de fonctionnement critiques, … ) (formation des collaborateurs, formalisation des processus de fonctionnement critiques, )

Définition du plan de continuité pandémie grippaledes processus de fonctionnement critiques, … ) Préparation des solutions de travail à distance

Préparation des solutions de travail à distance (augmentation des stocks de roulement de PC, préparation et test des kits de connexion à (augmentation des stocks de roulement de PC, préparation et test des kits de connexion à distance, )

consignes sanitaires aux collaborateurs, fermeture des RIE, … ) )

Mise en place de mesures sanitaires renforcées (nettoyage des locaux plus fréquents, distribution de masques,

internes à l’entreprise, puis uniquement aux contributeurs d’activités critiques devant exercer sur site) l’entreprise, puis uniquement aux contributeurs d’activités critiques devant exercer sur site)

Restriction des accès aux sites (selon l’ampleur de la crise, restriction des accès uniquement aux collaborateurs

Recours à l’intérim (pour le remplacement de collaborateurs malades ou s’occupant de proches, plutôt sur des postes l’intérim (pour le remplacement de collaborateurs malades ou s’occupant de proches, plutôt sur des postes peu qualifiés)

Priorisation des activités (focalisation des collaborateurs sur les activités critiques, pour pallier à l’absence de

1 2 3 4
1
2
3
4

personnel ou aux mesures de restriction des accès aux sites)

Gel des prestations de services non critiques (arrêt des prestations externes non indispensables pour le bon fonctionnement de l’entreprise)

Recours au télétravail (pour éviter la propagation du virus sur les sites de l’entreprise et/ou pallier à une fermeture sanitaire ou des perturbations dans les transports)

Adaptation des horaires de travail (pour pallier aux perturbations dans les transports publics et permettre aux collaborateurs de prendre soin (pour pallier aux perturbations dans les transports publics et permettre aux collaborateurs de prendre soin de proches malades)

Limitation des déplacements (limitation des déplacements entre plaques régionales pour éviter la propagation du virus entre sites) (limitation des déplacements entre plaques régionales pour éviter la propagation du virus entre sites)

Agenda

1. Introduction à la continuité d'activité 2. Plan de Continuité Informatique 3. Plan de Continuité des Opérations

3. 1 Composantes et stratégies 3. 2 Conclusion

Conclusion

1
1

Le PCA est nécessaire pour savoir réagir à tout moment à des incidents graves qui pourraient arriver

2
2

Le PCA est un compromis entre les coûts et la couverture de risque souhaitée

3
3

Le PCA doit être un processus continu et non un projet ponctuel, car pour

rester efficient, le PCA doit rester « aligné » sur les besoins d’une

entreprise, son organisation, ses processus, ses architectures, et ses infrastructures

www.solucom.fr Contact Raphaël BRUN Consultant senior Tel : +33 (0)1 49 03 26 65 Mobile

www.solucom.fr

Contact

Raphaël BRUN

Consultant senior

Tel : +33 (0)1 49 03 26 65 Mobile : +33 (0)6 10 38 03 00 Mail : raphael.brun@solucom.fr