Académique Documents
Professionnel Documents
Culture Documents
D’INFORMATION
SYLLABUS DE COURS
ESMT_MP2SSI_JANVIER_2021 1
PLAN
OBJECTIFS & PROGRAMME
Chapitre 2: Plan
de Continuité des
Activités
Chapitre 1:
Gestion des
Risques
Chapitre 0:
Syllabus
ESMT_MP2SSI_JANVIER_2021 2
PLAN
OBJECTIFS & PROGRAMME
I. ENJEUX ET CONCEPTS
5
ESMT_MP2SSI_JANVIER_2021
ENJEUX
La mise en place d’un PCA/PRA présente de nombreux avantages tels que :
7
ESMT_MP2SSI_JANVIER_2021
CONCEPTS
Selon la norme ISO 22301:
❑ « Le PCA est un ensemble de procédures documentées servant de guide aux organisations
pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite
d’une perturbation »
❑ La gestion de la continuité d’activité est définie comme un « processus de management
holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que
ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de
l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une
capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa
réputation, sa marque et ses activités productrices de valeurs».
❑ Un plan de continuité d’activité (PCA) a par conséquent pour objet de décliner la stratégie et
l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la
continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son
fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations
externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché,
survie de l’entreprise, image…) et de tenir ses objectifs.
8
ESMT_MP2SSI_JANVIER_2021
CONCEPTS
❑ Pour reprendre la définition qu’en donne le Business Continuity Institute (BCI) : « Le
management de la continuité d’activité est un processus holistique de management qui
identifie les impacts potentiels qui menacent une organisation et fournit un cadre pour
assurer la résilience de l’entreprise et construire une réponse efficace qui protège les
intérêts, la réputation et les activités de création de valeur de l’organisation. »
❑ Certaines entreprises limitent encore leur plan de reprise d’activité (ou de continuité
d’activité) à la reprise d’activité (ou la continuité d’activité) informatique. C’est souvent
après une expérience douloureuse qu’elles ne reconnaissent la nécessité d’une prise en
compte beaucoup plus globale de la question.
❑ Il ne suffit plus de rédiger simplement un plan d’intervention anticipant et minimisant les
conséquences des ruptures naturelles, accidentelles ou intentionnelles provoquées. Mais il
s’agit également de prendre des mesures proactives afin de réduire fortement la
vraisemblance d’une perturbation. Les menaces accrues d’aujourd’hui imposent la mise en
place d’un processus continu, dynamique et interactif assurant la survie et la durabilité des
activités de base d’une organisation avant, pendant, et après un événement perturbateur.
9
ESMT_MP2SSI_JANVIER_2021
CONCEPTS
❑ La résilience d’une organisation à la suite d’une catastrophe est liée directement au degré de
préparation de la continuité de l’activité. Les analystes du secteur financier affirment que deux
entreprises sur cinq subissant une catastrophe risquent la faillite dans les cinq ans qui suivent.
❑ C’est pourquoi les plans de continuité des activités sont essentiels au fonctionnement
transparent et continu de tous les types d’organisations. Ces Plans, plus importants encore,
revêtent une importance capitale parce que les organisations deviennent très dépendantes de la
technologie pour leurs buisines. Alors que ces organisations mettent davantage l’accent sur
l’informatique et la digitalisation, elles deviennent de moins en moins tolérantes à la perte
d’informations ou de perte de services suite à une catastrophe ou un phénomène perturbateur.
❑ L’institut de recherche Gartner indique que moins de 30 pour cent des compagnies du Fortune
2000 ont investi dans un plan complet de continuité de l’activité. La raison de cette négligence
peut simplement s’expliquer par les défis techniques qui semblent trop ardus ou, peut-être, par
les coûts de mise en œuvre perçus comme trop important. Ces préoccupations ne peuvent
évidemment pas être justifiées au regard des conséquences fâcheuses éventuelles en cas de
catastrophe.
10
ESMT_MP2SSI_JANVIER_2021
CONCEPTS
11
ESMT_MP2SSI_JANVIER_2021
PLAN
OBJECTIFS & PROGRAMME
I. ENJEUX ET CONCEPTS
13
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: REGLEMENTATION
Un processus de management de la continuité d’activité fondé sur :
➢ l’analyse des risques et des vulnérabilités ;
➢ la prise en compte des enjeux de l’entreprise en matière de sécurité et des impacts des
sinistres potentiels sur l’activité ;
➢ la définition d’une stratégie de continuité d’activité cohérente avec les objectifs ;
➢ le transfert éventuel de certains risques sur des polices d’assurance appropriées ;
➢ la formalisation de plans de continuité alignés avec la stratégie d’entreprise ;
➢ la mise à jour et le test des dispositifs prévus ;
➢ la répartition des responsabilités pour le management de la continuité d’activité ;
➢ un bilan systématique d’impact sur l’activité au cours duquel : les sinistres potentiels sont
évalués et les impacts déterminés, une stratégie de continuité d’activité est décidée pour
répondre aux enjeux.
❑ Des mesures pour développer et mettre en place des plans de continuité : définition des
responsabilités et des procédures en cas d’urgence, sensibilisation du personnel, définition des
modalités de mise à jour et de test des plans.
❑ Un cadre unifié pour la planification de la continuité d’activité qui vise à assurer la cohérence
globale du dispositif et son caractère opérationnel.
❑ Des modalités de maintenance, de test et d’évaluation des plans de continuité d’activité.
14
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE:CIRCULAIRE 4 BCEAO
15
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE:CIRCULAIRE 4 BCEAO
16
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE:CIRCULAIRE 4 BCEAO
17
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
❑ ISO 22301 est la première norme internationale de gestion de continuité des activités (GCA ou
BCM, « Business Continuity Management »), a été développée pour aider les organisations à
minimiser les risques liés à de telles perturbations. L’ISO a officiellement lancé la norme ISO
22301, « Sécurité sociétale - Systèmes de Gestion de la Continuité des Activités – Exigences »,
qui devient le nouveau standard de facto pour la gestion de la continuité des activités. Cette
norme remplace donc le standard britannique BS-25999.
❑ La norme définit les exigences pour établir, mettre en œuvre, maintenir, surveiller et améliorer
de manière continue un système de gestion documenté afin de réduire la vraisemblance d’un
événement désastreux en s’y préparant pour intervenir et récupérer à la suite de la survenance
de n’importe quels incidents perturbateurs ;
❑ Les clauses spécifiées dans la norme, sous forme d’exigences, sont très génériques et peuvent
s’appliquer pour toutes les entreprises indépendamment de leur type, taille ou nature.
❑ Le SMCA est un processus de gestion globale qui identifie les menaces potentielles pour
l’organisation et leurs impacts sur les activités. Il établit un cadre pour la construction de la
résilience organisationnelle d’une entreprise avec une capacité efficace de riposte qui préserve
les intérêts de ses principales parties prenantes, sa réputation, sa marque et la valeur qu’elle
génère.
18
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
19
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
Domaine d’application:
❑ La Norme spécifie les exigences pour planifier, établir, mettre en place et en
œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système
de management documenté afin de se protéger des incidents perturbateurs,
réduire leur probabilité de survenance, s'y préparer, y répondre et de s’en rétablir
lorsqu'ils surviennent.
❑ Les exigences spécifiées dans la Norme sont génériques et prévues pour être
applicables à toutes les organisations, ou parties de celles-ci, indépendamment du
type, de la taille et de la nature de l'organisation. Le champ d'application de ces
exigences dépend de l'environnement et de la complexité de fonctionnement de
l'organisation.
❑ La Norme ne vise pas à uniformiser la structure d'un Système de Management de
la Continuité d'Activité (SMCA), mais à permettre à une organisation de concevoir
un SMCA qui soit adapté à ses besoins et qui satisfasse aux exigences des parties
intéressées. Ces besoins sont façonnés par les exigences juridiques,
réglementaires, organisationnelles et industrielles, les produits et les services, les
processus employés, la taille et la structure de l'organisation et les exigences des
parties intéressées.
20
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
Domaine d’application:
❑ La Norme s'applique à tous les types et toutes les tailles d'organisations
souhaitant :
a) établir, mettre en œuvre, maintenir et améliorer un SMCA ;
b) assurer la conformité à la politique de continuité d'activité établie ;
c) démontrer cette conformité à des tiers ;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et
accrédité ; ou
e) réaliser une autoévaluation et une autodéclaration de conformité à la
présente Norme internationale.
21
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
La structure de la norme ISO 22301 est conforme à celle du guide ISO 83.
Ces exigences essentielles sont structurées au sein des clauses
suivantes et réparties comme suit par rapport au modèle PDCA:
❑ PLAN
– Clause 4: Contexte de l’organisme
– Clause 5: Leadership
– Clause 6: Planification
– Clause 7: Support
❑ DO
– Clause 8: Gestion des opérations
❑ CHECK
– Clause 9: Evaluation de performance
❑ ACT
– Clause 10: Améliorations 22
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
C
L'approche processus se fonde sur le principe de fonctionnement
adopté dans les normes de système de management de l'ISO, connu
sous le nom de processus PDCA (Planifier-Déployer-Contrôler-Agir):
❑ Planifier – déterminer des objectifs et faire des plans (analyser la
situation de l'organisme, déterminer des objectifs d'ensemble et
définir des cibles, puis élaborer des plans pour les atteindre);
❑ Déployer – mettre en œuvre des plans (faire ce qui a été prévu);
❑ Contrôler – mesurer les résultats (mesurer/vérifier dans quelle
mesure les réalisations répondent aux objectifs planifiés);
❑ Agir – corriger et améliorer les activités (tirer les leçons des erreurs
pour améliorer les activités afin d'atteindre de meilleurs résultats).
23
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
C
❑ Clause 4: Contexte de l’organisme
L’organisme doit:
➢ Déterminer les enjeux externes et internes pertinents compte tenu de ses missions et objectifs
et qui affectent sa capacité à atteindre les résultats attendus de son SMCA.
➢ Identifier les parties intéressées du SMCA et déterminer leurs exigences (besoins et attentes)
pouvant inclure des exigences légales et réglementaires et des obligations contractuelles.
➢ Etablir le domaine d’application du SMCA et déterminer les limites et l’applicabilité.
➢ Etablir, mettre en œuvre, tenir à jour et améliorer de manière continue un SMCA, conformément
aux exigences de la présente Norme.
❑ Clause 5: Leadership
La direction doit faire preuve de leadership et affirmer un engagement continu en faveur du SMCA
en:
➢ S’assurant qu’une politique et des objectifs en matière de SMCA sont établis et alignés sur
l’orientation stratégique de l’organisme;
➢ S’assurant de l’intégration des exigences du SMCA dans les processus métier de l’organisme;
➢ S’assurant que les ressources nécessaires pour le SMCA sont disponibles;
➢ Définissant les critères d’acceptation des risques et les niveaux de risque acceptables;
➢ S’assurant que les responsabilités et autorités des rôles concernés par le SMCA sont attribuées
et communiquées au sein de l’organisme.
24
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
C
❑ Clause 6: Planification
L’organisme doit établir les objectifs stratégiques et principes directeurs du SMCA. Les
objectifs de la continuité de l’activité doivent remplir les exigences suivantes:
➢ Aligner avec la stratégie de continuité d’activité;
➢ Adapter à l’environnement de l’organisme pour l’atteinte des objectifs escomptés;
➢ être mesurables;
➢ Prendre en compte des exigences applicables;
➢ être surveillés et tenus à jour de façon appropriée.
❑ Clause 7: Support
L’organisation doit:
➢ Identifier et fournir les ressources nécessaires à l’établissement, la mise en œuvre, la
tenue à jour et l’amélioration continue du SMCA;
➢ Avoir un personnel compétent, formé et accompagné pour acquérir les compétences
nécessaires;
➢ Sensibiliser afin de prendre conscience de leur contribution à l’efficacité du SMCA et
des implications de tout écart;
➢ Déterminer les besoins de communication interne et externe pertinents pour le SMCA
25
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
C
❑ Clause 8: Gestion des opérations
L’organisme doit:
➢Planifier, mettre en œuvre et contrôler les processus nécessaires à la
satisfaction des exigences liées au SMCA et à la réalisation des actions
déterminées lors de la phase « Planification »;
➢Planifier, mettre en œuvre et contrôler les processus formalisés et documentés
pour l’appréciation des risques et le Bilan d’Impact sur l’Activité (BIA). Cette
dernière activité a pour but d’identifier les processus critiques soutenant les
activités de l’organisme;
➢Se basant sur les résultats de l’appréciation des risques et du BIA, mettre en
place une stratégie de globale de continuité;
➢ Documenter par des procédures pour assurer la continuité des activités et la
gestion d’un incident perturbateur;
➢ Valider régulièrement la conformité des procédures de continuité d’activité par
des exercices et tests. Le but est de de s’assurer de la capacité des stratégies
retenues à fournir des réponses et des résultats dans les délais convenus.
26
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22301
C
❑ Clause 9: Evaluation de la performance
L’organisme doit:
➢ Evaluer les performances du SMCA, ainsi que son efficacité.
➢ Réaliser des audits internes à des intervalles planifiés afin de recueillir des
informations permettant de vérifier la conformité du SMCA et l’efficacité de
la mise en œuvre et du maintien à jour.
➢ Procéder à la revue du SMCA mis en place afin de s’assurer qu’il est
toujours approprié, adapté et efficace.
27
ESMT_MP2SSI_JANVIER_2021
CADRE DE REFERENCE: ISO 22313
28
ESMT_MP2SSI_JANVIER_2021
PLAN
OBJECTIFS & PROGRAMME
I. ENJEUX ET CONCEPTS
30
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PECB
31
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE E=MCA
32
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE NIST 800-34
34
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
B.3: Infrastructures de
A.3: Scénario de sinistres C.3: Revue de direction
continuité
35
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
B.3: Infrastructures de
A.3: Scénario de sinistres C.3: Revue de direction
continuité
36
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.1. Contexte
37
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.2. Politique de continuité de l’activité
38
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.3. Cartographie et Scénario de risques
Une cartographie des sinistres précède détermine les scénarios de sinistres qui
seront retenus et par rapport auxquels le BIA sera orienté.
➢Objectif: L’objectif de la cartographie des sinistres est de retenir les scénarios
de sinistres contre lesquels l’entreprise cherchera à se prémunir au travers de
son PCA.
➢Démarche:
o Identifier les menaces qui pèsent sur l’activité de l’entreprise et qui
pourraient causer une discontinuité de l’activité.
o Déterminer pour chaque menace, les causes possibles et les impacts
potentiels.
o Prioriser les scénarios de sinistres et retenir ceux qui constitueront les
hypothèses de construction du PCA.
39
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.3. Cartographie et Scénario de risques
40
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.3. Cartographie et Scénario de risques
41
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.3. Cartographie et Scénario de risques
42
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
43
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
45
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
46
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
47
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
48
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
49
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.5. Appréciation des risques & Mesures
50
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.5. Appréciation des risques & Mesures
Le but de l’appréciation des risques est d’identifier, d'analyser et d’évaluer les risques
d’incidents perturbateurs.
La différence entre la cartographie des sinistres et l’AR est
essentiellement une différence d’échelle et de détail. Si l’objectif de la cartographie des
sinistres est de dégager les scénarios des sinistres devant être pris en compte dans le
PCA, l’objectif de l’étape d’AR est bien de définir des plans de réduction des risques
pour les processus, activités et ressources identifiés comme critiques lors du BIA.
➢ Objectif: L’objectif de l’AR est de définir des plans de réduction des risques pour les
processus, activités et ressources identifiés comme critiques lors du BIA.
➢ Démarche:
o Identifier les risques qui pèsent sur l’activité, les processus et les ressources
critiques de l’entreprise tels qu’ils sont ressortis du BIA.
o Évaluer pour chaque risque la probabilité d’occurrence et l’impact potentiel.
o Définir la stratégie de gestion des risques pour chaque risque caractérisé.
o Définir les plans de réduction des risques.
51
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.5. Appréciation des risques & Mesures
52
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.5. Appréciation des risques & Mesures
Le but est de mettre en place des mesures de protection et d'atténuation appropriées
en rapport avec son niveau d’acceptation du risque pour réduire la probabilité et
l'impact de perturbation ou encore l’interruption de service.
Ces mesures peuvent être préventives, détectives et correctives.
53
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.5. Appréciation des risques & Mesures
54
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
B.3: Infrastructures de
A.3: Scénario de sinistres C.3: Revue de direction
continuité
55
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
56
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
Le but visé est de déterminer une stratégie appropriée et également d’évaluer la
capacité de continuité d’activité des prestataires de l’organisme en:
• Identifier, étudier et analyser les différentes stratégies de la continuité;
• Sélectionner la stratégie appropriée pour la protection des activités prioritaires;
• Sélectionner la stratégie de stabilisation, poursuite, reprise et rétablissement des
activités prioritaires;
• Sélectionner une stratégie pour atténuer, gérer et répondre aux impacts;
• Evaluer les capacités de continuité des fournisseurs et prestataires.
57
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité : TYPOLOGIE DES SITES DE SECOURS
Allant des solutions les moins réactives (et les moins coûteuses) aux solutions dites de haute
disponibilité (les plus coûteuses), une typologie des sites alternatifs est donnée ci-après :
❑ Salles blanches (cold sites) :
il s’agit d’une infrastructure distante de type salle informatique dédiée et disponible en cas de
déclenchement du plan de secours. Cette salle est équipée pour accueillir les équipements
informatiques : alimentation électrique, câblage réseau et télécoms, protection incendie,
planchers techniques, contrôle d’accès, etc. En cas de déclenchement du plan de secours,
l’entreprise vient intégralement « peupler » la salle blanche : équipement informatique,
données et applicatifs, personnel, etc.
❑ Salles oranges (warm sites) :
la meilleure définition d’une salle orange consiste sans doute à la décrire comme une salle
plus rouge qu’une salle blanche mais moins rouge qu’une salle rouge ! Il s’agit en général
d’une salle blanche partiellement équipée de matériel informatique (le plus stratégique). Il
peut d’ailleurs s’agir d’un site de production informatique autonome, moins stratégique que le
site à secourir, qui est aménagé pour servir de secours. 58
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité : TYPOLOGIE DES SITES DE SECOURS
59
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité : TYPOLOGIE DES SITES DE SECOURS
❑ Salles miroir (mirrored sites) : avec les salles miroir, on entre dans le domaine de la haute
disponibilité. Il s’agit de salles pleinement redondantes par rapport à la salle à secourir. Ainsi, en
plus de l’équipement informatique complet, les données, systèmes et applicatifs sont maintenus
en permanence au niveau du SI à secourir. Il s’agit de la solution la plus coûteuse, la plus fiable
et la plus disponible. Le secours est dédié (il ne participe pas à la production) et les moyens de
mirroring peuvent différer technologiquement (en général réplication synchrone ou virtualisation).
Deux cas particuliers existent :
➢ Le backup d’astreinte propose un secours quasi-temps réel d’applications critiques
(systèmes flux tendus, systèmes de paiement bancaire, site de commerce électronique, etc.)
sur une durée courte pendant qu’un secours de plus grande ampleur se met en place.
➢ Les sites à production répartie proposent une répartition de l’exploitation informatique entre
le site de secours et le site secouru.
❑ Le cas particulier du secours mobile (mobile sites) : le secours mobile est en général réalisé
par le biais de camions spécialement équipés en moyens informatiques pour répondre à un
besoin de secours.
60
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
61
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
TYPOLOGIE DES SITES DE SECOURS: DISTANCE
Quelle est la bonne distance entre le site nominal et le site de secours ?
B. DEPLOYER
B.1. Stratégie de continuité d’activité
NIVEAUX DE DISPONIBILITE DES SOLUTIONS DE SECOURS
On distingue généralement trois niveaux de disponibilité :
➢ la haute disponibilité : elle suppose une reprise quasi immédiate (de l’ordre de
quelques minutes) avec une perte de données quasiment nulle ;
➢ la moyenne disponibilité : elle recouvre les solutions qui permettent un secours
en quelques heures (qui varient selon les définitions entre 6 et 24 heures
généralement) et limitent sévèrement la perte de données (entre quelques minutes
et quelques heures) ;
➢ la faible disponibilité : elle caractérise les secours réalisés en général au-delà de
48 heures avec une perte de données du même ordre de grandeur.
B. DEPLOYER
B.1. Stratégie de continuité d’activité
STRATEGIES DE SECOURS EN FONCTION DE LA DISPONIBILITE
64
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
METHODES DE SAUVEGARDE
On distingue généralement quatre méthodes de sauvegarde :
❑ Sauvegarde complète:
Elle effectue une capture et une copie exhaustive des données contenues sur un
disque ou sur un répertoire. Si elle présente les garanties les plus fortes concernant
l’exhaustivité des données copiées, la sauvegarde complète présente néanmoins deux
inconvénients majeurs : sa lenteur et son coût (par la capacité de stockage qu’elle
nécessite et le temps de copie).
❑ Sauvegarde incrémentale:
on procède à la sauvegarde de tous les éléments modifiés (fichiers nouveaux ou
modifiés) depuis la dernière sauvegarde, quel que soit son type. Plus efficace et moins
coûteuse, la sauvegarde incrémentale présente néanmoins l’inconvénient de nécessiter
la collecte d’éléments présents sur plusieurs sauvegardes distinctes afin de permettre
une restauration, avec la perte de temps et la multiplication des risques d’erreurs que
cela induit. Ces limites en font une méthode souvent écartée des stratégies visant à
assurer le secours.
65
ESMT_MP2SSI_JANVIER_2021
ELEMENTS CLES
METHODES DE SAUVEGARDE
❑ Sauvegarde différentielle: Plus lente par nature que la sauvegarde incrémentale,
la sauvegarde différentielle consiste à sauvegarder tous les fichiers modifiés depuis
la dernière sauvegarde complète. La quantité d’information sauvegardée est ainsi
plus grande que dans une sauvegarde incrémentale mais la restauration est facilitée
et fiabilisée par le fait que deux sources seulement sont nécessaires :la dernière
sauvegarde complète et la dernière sauvegarde différentielle.
66
ESMT_MP2SSI_JANVIER_2021
ELEMENTS CLES
METHODES DE SAUVEGARDE
❑ Journalisation:
Proche des concepts des deux méthodes précédentes (sauvegardes incrémentale et différentielle) mais
appliquées à l’intérieur même d’un fichier, la journalisation consiste à créer un journal de toutes les
modifications effectuées sur le fichier. C’est une méthode de sauvegarde généralement appliquée sur les
fichiers très volumineux, comme les bases de données de gestion par exemple. D’ailleurs, les systèmes
de gestion de bases de données (SGBD) possèdent en général par défaut des outils de journalisation. La
restauration est obtenue par remontée de la dernière sauvegarde complète à laquelle sont ensuite
appliquées toutes les mises à jour contenues dans le journal. On le voit, la qualité de la restauration
dépend essentiellement de la bonne synchronisation entre le démarrage de la journalisation et l’arrêt de
la dernière sauvegarde complète. Comme pour les trois autres méthodes, les modalités de la
journalisation (fréquence, étendue) seront fonction de la criticité des informations sauvegardées ainsi
que des contraintes qui pèsent sur la restauration.
En général, c’est une combinaison des quatre méthodes qui sera la plus efficace, avec, par
exemple : une sauvegarde complète à intervalle régulier quand la contrainte temps n’est
pas décisive (le week-end) et une sauvegarde différentielle à fréquence quotidienne le reste
du temps.
67
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.1. Stratégie de continuité d’activité
68
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.2. Plans de continuité d’activité & Procédures
69
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.2. Plans de continuité d’activité & Procédures
70
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.2. Plans de continuité d’activité & procédures
71
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.2. Plans de continuité d’activité & procédures
72
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.2. Plans de continuité d’activité & procédures
73
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.3. Infrastructures de continuité
Mise en place des infrastructures de continuité
➢ Objectif: Il s’agit au cours de cette étape de mener à bien d’une part le projet
informatique de mise en œuvre de la solution de continuité technique du SI,
d’autre part les projets de mise en œuvre des solutions techniques de continuité
des moyens de production, de repli utilisateurs, etc. La phase complète et
classique de recette (validation) n’est mise en œuvre que dans l’étape D de cette
phase.
➢ Démarche: La démarche correspond à une démarche classique dans un projet
d’infrastructure, largement amorcée dans les phases 1 (recueil des besoins et
cahier des charges fonctionnelles et techniques sommaires) et 2 (spécifications
fonctionnelles et techniques détaillées, choix de la solution).
74
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
Compétences & Sensibilisation
75
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
Compétences & Sensibilisation
Cette rubrique vise un double objectif en garantissant:
• La compétence de toute personne à qui des rôles et responsabilités sont assignés.
• La prise de conscience de ces personnes quant à leur contribution au PCA.
➢ Objectif: Cette étape vise à assurer le transfert d’informations, de connaissances et de
compétences en lien avec le management de la continuité d’activité.
➢ Démarche:
o Conception du programme de sensibilisation et formation :
▪ définir le périmètre, les objectifs et les enjeux de la sensibilisation et de la formation (en lien
avec la politique de management de la continuité d’activité) ;
▪ définir les moyens nécessaires à l’atteinte des objectifs de sensibilisation et formation ;
▪ définir les cibles (audiences) et les modalités (fréquence, supports, formats, durées, etc.) du
programme de sensibilisation et formation ;
▪ définir les contenus des actions de sensibilisation et formation ;
▪ évaluer l’efficacité des actions de sensibilisation et formation ;
▪ améliorer le programme de sensibilisation et de formation. 76
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
➢ Démarche (Suite):
77
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
78
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
Communication
79
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
Communication
Le but est de mettre en place un Plan de communication:
• Identification des parties intéressées et des objectifs de communication;
• Planification des activités de communication;
• Exécution des activités de communication;
• Evaluation la communication.
80
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.5. Exercices & Tests
81
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
B. DEPLOYER
B.5. Exercices & Tests
Le but visé est d’assurer l’efficacité des plans et procédures de continuité d’activité en adoptant les étapes suivantes :
• Elaborer des scenarii d’exercices et tests avec des buts et objectifs précis et clairs;
• Planifier et Conduire des exercices et tests à intervalles réguliers (au moins une fois par an);
• Produire des rapports d’exercices et tests déclinant les résultats, les recommandations et actions prévues pour mettre en œuvre les améliorations.
82
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE E=MCA
B. DEPLOYER
B.5. Exercices & Tests
➢ Objectif
o Déceler les incohérences et insuffisances du dispositif défini.
o Compléter, améliorer et affiner les procédures en vigueur.
o S’assurer que les acteurs sont formés, familiarisés avec leurs rôles et responsabilités le
et capables de le mettre en œuvre rapidement et efficacement.
➢ Démarche
o Définir la stratégie de test du PCA ( périmètre – acteurs – nature et ordonnancement
des tests – définition des scénarios et hypothèses de test – programme récurrent de
déroulement – modalités, etc.
o Définir et mettre en oeuvre le plan d’actions de la stratégie.
o Réaliser les tests.
o Rédiger un rapport de tests.
o Analyser les résultats des tests et proposer des actions de correction et d’amélioration.
83
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
84
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
➢ Objectif
o Valider des pratiques de management de la continuité d’activité conformes
aux exigences définies et aux besoins exprimés.
o Identifier les écarts avec les référentiels en vigueur.
o Proposer des améliorations du management de la continuité d’activité.
➢ Démarche
o Élaboration d’un programme annuel d’audit du PCA.
o Réalisation d’audits (préparation du plan d’audit, réalisation de l’audit,
restitution orale des résultats, conclusions et rédaction du rapport d’audit).
o Suivi du plan d’actions d’amélioration en résultant.
85
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
C.1. Surveillance, mesure, analyse et évaluation
86
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
C.1. Surveillance, mesure, analyse et évaluation
Cela consiste à:
• Identification des objectifs de la mesure;
• Sélection d’attributs d’objets pouvant être mesurés;
• Etablissement de tableaux de bord à travers des indicateurs de performance;
• Evaluation du niveau d’atteinte des objectifs.
87
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
C.2. Audit interne
88
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
C.2. Audit interne
• Suivi des actions recommandations issues des derniers audits et des non-conformités.
89
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE PROPOSEE
C. CONTROLER
C.3. Revue de direction
Effectuer, chaque année au moins une fois, une évaluation régulière et méthodique de la
90
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
91
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE
PROPOSEE
D. CONTROLER
D.1. Non-conformités & Actions correctives
92
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE
PROPOSEE
D. CONTROLER
D.1. Non-conformités & Actions correctives
Le but visé est d’éliminer la cause éventuelle ou avérée de la non conformité en adoptant un
processus d’amélioration continue en effectuant les étapes suivantes :
• Identifier et passer en revue les non-conformités;
• évaluer, réagir et traiter les non-conformités.
93
ESMT_MP2SSI_JANVIER_2021
MISE EN PLACE DE PCA: METHODE
PROPOSEE
D. CONTROLER
D.2. Amélioration continue
L’organisme doit démontrer que des mesures sont prises pour l’amélioration de l'efficacité du système
de continuité d'activité de manière continuelle en:
• Améliorant continuellement l'efficacité du système de continuité d'activité ;
• S’assurant que les objectifs du PCA restent alignés avec les objectifs métier ;
• S'assurant que les plans et procédures sont continuellement tenus à jour.
94
ESMT_MP2SSI_JANVIER_2021
PLAN
OBJECTIFS & PROGRAMME
I. ENJEUX ET CONCEPTS
B. PREPARATION A LA PANDEMIE
D. PLAN DE REPONSE
96
ESMT_MP2SSI_JANVIER_2021
PLAN
BIBLIOGRAPHIE
» Cobit - pour une meilleur gouvernance des systèmes d'information, 2009, de
DOMINIQUE MOISAND et FABRICE GARNIER DE LABAREYRE
» ITIL Pour un service informatique optimal de CHRISTIAN DUMONT
» ISO_CEI 20000 de LEO VAN SELM
» Normes ISO 27002 et ISO 27001
» ISO 27001 LI & LA de PECB
» ISO 22301 LI & LA de PECB
» Les Publications de Claude CSALZMAN
» Le réseau au cœur de la stratégie DSI, de MARIE-MICHÈLE VASSILIOU
» Les Réseaux - 5eme Ed, de GUY PUJOLLE
» Sécurité informatique, Principes et Méthodes de LAURENT BLOCH et CHRISTOPHE
WOLFHUGEL
» WIFI PROFESSIONNEL, La norme 802.11, le déploiement, la sécurité de AURÉLIEN
GÉRON
» Manager la Sécurité du SI de MATTHIEU BENNASAR, ALAIN CHAMPENOIS,
PATRICK ARNOULD, THIERRY RIVAT
» Plan de continuité d’activité et système dinformation de MATTHIEU BENNASAR
» CISSP de SHON HARRIS
» CISA de PETER H, GREGORY
97
ESMT_MP2SSI_JANVIER_2021
MERCI POUR VOTRE
PARTICIPATION ET VOTRE
AIMABLE ATTENTION
ESMT_MP2SSI_JANVIER_2021 98