CHAP2 ETU MP2SSI GRPCA CJour 2021

MASTER PROFESSIONNEL 2 EN SYSTEMES
D’INFORMATION
OPTION: SECURITE DES SYSTEMES

D’INFORMATION (MPSI 2 - SSI)
SYLLABUS DE COURS
MODULE : GESTION DES RISQUES ET PLAN DE CONTINUITE
DES ACTIVITES (PCA)
VOLUME HORAIRE : 24 HEURES

Vacataire Formateur: ElHadji Mouhamadou Lamine DRAME
Email: emldrame@gmail.com
ESMT_MP2SSI_JANVIER_2021 1
PLAN
OBJECTIFS & PROGRAMME
Chapitre 2: Plan
de Continuité des
Activités
Chapitre 1:
Gestion des
Risques
Chapitre 0:
Syllabus
PLAN
I. ENJEUX ET CONCEPTS
II. STANDARDS, NORMES ET REGLEMENTATION
III. METHODES PRATIQUES DE MISE EN PLACE
IV. CAS DE LA PANDEMIE COVID-19

PLAN

ENJEUX
Le terreau du PCA/PRA se justifie par les éléments suivants :
❑ Un climat mondial plombé par l’augmentation avérée des sinistres
naturels et technologiques (en fréquence et en gravité).
❑ La complexité croissante des organisations.
❑ Une dépendance toujours plus forte des entreprises vis-à-vis de leur
Système d’Information.
❑ Une durcification progressive de la réglementation concernant la
continuité d’activité.
❑ L’augmentation sensible des exigences clients, augmentation qui va
de pair avec la diminution (tout aussi sensible) de la tolérance des
clients aux écarts de service.
❑ La montée en puissance de disciplines connexes comme le
management des risques ou la Sécurité des Systèmes d’Information.
5
ESMT_MP2SSI_JANVIER_2021
ENJEUX
La mise en place d’un PCA/PRA présente de nombreux avantages tels que :
❑ Réponse prévisible et pertinente aux sinistres;

❑ Maintien des activités vitales de l’entreprise et minimisation de l’impact du sinistre;
❑ Réduction des coûts et gains de performance;
❑ Protection de l’image, de la réputation et de la marque;
❑ Confiance des actionnaires et des clients;
❑ Avantage complétif;
❑ Conformité légale, contractuelle et réglementaire;
❑ Levier pour la négociation avec l’assurance;
❑ Protection des personnes.
MIEUX VAUT PREVENIR QUE GUERIR

6
CONCEPTS
❑ La notion de « continuité » ne renvoie pas simplement au fait que les chaînes de
production ou les serveurs et réseaux informatiques continuent de fonctionner malgré les
phénomènes pouvant les affecter. Il s’agit plutôt de poursuivre les activités d’une
organisation dans des conditions aussi nominales que possible malgré ce qui les perturbe.
❑ Selon la définition du CRBF (Comité de la Réglementation Bancaire et Financière), le plan
de continuité d’activité est l’« ensemble de[s] mesures visant à assurer, selon divers
scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de
façon temporaire selon un mode dégradé, des prestations de services essentielles de
l’entreprise puis la reprise planifiée des activités ».
❑ Plan de Reprise d’Activité (PRA): Ensemble de procédures qui permettent de repartir à
partir d’un point d’interruption donné.
❑ Plan de Secours Informatique (PSI): Ensemble des procédures et dispositions pour
garantir à l’entreprise la reprise de son système informatique en cas de sinistre.
Sous-ensemble du PCA qui couvre les moyens informatiques et télécoms (AFNOR).
7
CONCEPTS
Selon la norme ISO 22301:
❑ « Le PCA est un ensemble de procédures documentées servant de guide aux organisations
pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite
d’une perturbation »
❑ La gestion de la continuité d’activité est définie comme un « processus de management
holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que
ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de
l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une
capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa
réputation, sa marque et ses activités productrices de valeurs».
❑ Un plan de continuité d’activité (PCA) a par conséquent pour objet de décliner la stratégie et
l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la
continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son
fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations
externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché,
survie de l’entreprise, image…) et de tenir ses objectifs.
8
CONCEPTS
❑ Pour reprendre la définition qu’en donne le Business Continuity Institute (BCI) : « Le
management de la continuité d’activité est un processus holistique de management qui
identifie les impacts potentiels qui menacent une organisation et fournit un cadre pour
assurer la résilience de l’entreprise et construire une réponse efficace qui protège les
intérêts, la réputation et les activités de création de valeur de l’organisation. »
❑ Certaines entreprises limitent encore leur plan de reprise d’activité (ou de continuité
d’activité) à la reprise d’activité (ou la continuité d’activité) informatique. C’est souvent
après une expérience douloureuse qu’elles ne reconnaissent la nécessité d’une prise en
compte beaucoup plus globale de la question.
❑ Il ne suffit plus de rédiger simplement un plan d’intervention anticipant et minimisant les
conséquences des ruptures naturelles, accidentelles ou intentionnelles provoquées. Mais il
s’agit également de prendre des mesures proactives afin de réduire fortement la
vraisemblance d’une perturbation. Les menaces accrues d’aujourd’hui imposent la mise en
place d’un processus continu, dynamique et interactif assurant la survie et la durabilité des
activités de base d’une organisation avant, pendant, et après un événement perturbateur.
9
CONCEPTS
❑ La résilience d’une organisation à la suite d’une catastrophe est liée directement au degré de
préparation de la continuité de l’activité. Les analystes du secteur financier affirment que deux
entreprises sur cinq subissant une catastrophe risquent la faillite dans les cinq ans qui suivent.
❑ C’est pourquoi les plans de continuité des activités sont essentiels au fonctionnement
transparent et continu de tous les types d’organisations. Ces Plans, plus importants encore,
revêtent une importance capitale parce que les organisations deviennent très dépendantes de la
technologie pour leurs buisines. Alors que ces organisations mettent davantage l’accent sur
l’informatique et la digitalisation, elles deviennent de moins en moins tolérantes à la perte
d’informations ou de perte de services suite à une catastrophe ou un phénomène perturbateur.
❑ L’institut de recherche Gartner indique que moins de 30 pour cent des compagnies du Fortune
2000 ont investi dans un plan complet de continuité de l’activité. La raison de cette négligence
peut simplement s’expliquer par les défis techniques qui semblent trop ardus ou, peut-être, par
les coûts de mise en œuvre perçus comme trop important. Ces préoccupations ne peuvent
évidemment pas être justifiées au regard des conséquences fâcheuses éventuelles en cas de
catastrophe.
10
CONCEPTS
11
PLAN

CADRE DE REFERENCE: REGLEMENTATION
❑ Bâle II (secteur bancaire international): En 2003, le Comité a publié
des bonnes pratiques de gestion du risque opérationnel, dont le
principe 7 énonce (extraits) : « les banques devraient mettre en place
des plans de secours et de continuité d’exploitation pour garantir un
fonctionnement sans interruption et limiter les pertes en cas de
perturbation grave de l’activité. »
❑ La Loi de sécurité financière (LSF) (France): Il s’agit de la loi n◦
2003-706 du 1er août 2003 de sécurité financière qui encadre le
règlement suivant (CRBF).
13
CADRE DE REFERENCE: REGLEMENTATION
Un processus de management de la continuité d’activité fondé sur :
➢ l’analyse des risques et des vulnérabilités ;
➢ la prise en compte des enjeux de l’entreprise en matière de sécurité et des impacts des
sinistres potentiels sur l’activité ;
➢ la définition d’une stratégie de continuité d’activité cohérente avec les objectifs ;
➢ le transfert éventuel de certains risques sur des polices d’assurance appropriées ;
➢ la formalisation de plans de continuité alignés avec la stratégie d’entreprise ;
➢ la mise à jour et le test des dispositifs prévus ;
➢ la répartition des responsabilités pour le management de la continuité d’activité ;
➢ un bilan systématique d’impact sur l’activité au cours duquel : les sinistres potentiels sont
évalués et les impacts déterminés, une stratégie de continuité d’activité est décidée pour
répondre aux enjeux.
❑ Des mesures pour développer et mettre en place des plans de continuité : définition des
responsabilités et des procédures en cas d’urgence, sensibilisation du personnel, définition des
modalités de mise à jour et de test des plans.
❑ Un cadre unifié pour la planification de la continuité d’activité qui vise à assurer la cohérence
globale du dispositif et son caractère opérationnel.
❑ Des modalités de maintenance, de test et d’évaluation des plans de continuité d’activité.
14
CADRE DE REFERENCE:CIRCULAIRE 4 BCEAO
15
16
17
CADRE DE REFERENCE: ISO 22301
❑ ISO 22301 est la première norme internationale de gestion de continuité des activités (GCA ou
BCM, « Business Continuity Management »), a été développée pour aider les organisations à
minimiser les risques liés à de telles perturbations. L’ISO a officiellement lancé la norme ISO
22301, « Sécurité sociétale - Systèmes de Gestion de la Continuité des Activités – Exigences »,
qui devient le nouveau standard de facto pour la gestion de la continuité des activités. Cette
norme remplace donc le standard britannique BS-25999.
❑ La norme définit les exigences pour établir, mettre en œuvre, maintenir, surveiller et améliorer
de manière continue un système de gestion documenté afin de réduire la vraisemblance d’un
événement désastreux en s’y préparant pour intervenir et récupérer à la suite de la survenance
de n’importe quels incidents perturbateurs ;
❑ Les clauses spécifiées dans la norme, sous forme d’exigences, sont très génériques et peuvent
s’appliquer pour toutes les entreprises indépendamment de leur type, taille ou nature.
❑ Le SMCA est un processus de gestion globale qui identifie les menaces potentielles pour
l’organisation et leurs impacts sur les activités. Il établit un cadre pour la construction de la
résilience organisationnelle d’une entreprise avec une capacité efficace de riposte qui préserve
les intérêts de ses principales parties prenantes, sa réputation, sa marque et la valeur qu’elle
génère.
18
19
Domaine d’application:
❑ La Norme spécifie les exigences pour planifier, établir, mettre en place et en
œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système
de management documenté afin de se protéger des incidents perturbateurs,
réduire leur probabilité de survenance, s'y préparer, y répondre et de s’en rétablir
lorsqu'ils surviennent.
❑ Les exigences spécifiées dans la Norme sont génériques et prévues pour être
applicables à toutes les organisations, ou parties de celles-ci, indépendamment du
type, de la taille et de la nature de l'organisation. Le champ d'application de ces
exigences dépend de l'environnement et de la complexité de fonctionnement de
l'organisation.
❑ La Norme ne vise pas à uniformiser la structure d'un Système de Management de
la Continuité d'Activité (SMCA), mais à permettre à une organisation de concevoir
un SMCA qui soit adapté à ses besoins et qui satisfasse aux exigences des parties
intéressées. Ces besoins sont façonnés par les exigences juridiques,
réglementaires, organisationnelles et industrielles, les produits et les services, les
processus employés, la taille et la structure de l'organisation et les exigences des
parties intéressées.
20
Domaine d’application:
❑ La Norme s'applique à tous les types et toutes les tailles d'organisations
souhaitant :
a) établir, mettre en œuvre, maintenir et améliorer un SMCA ;
b) assurer la conformité à la politique de continuité d'activité établie ;
c) démontrer cette conformité à des tiers ;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et
accrédité ; ou
e) réaliser une autoévaluation et une autodéclaration de conformité à la
présente Norme internationale.
❑ La Norme peut être utilisée pour évaluer la capacité d'une organisation à

satisfaire ses propres besoins et obligations en matière de continuité.
21
La structure de la norme ISO 22301 est conforme à celle du guide ISO 83.
Ces exigences essentielles sont structurées au sein des clauses
suivantes et réparties comme suit par rapport au modèle PDCA:
❑ PLAN
– Clause 4: Contexte de l’organisme
– Clause 5: Leadership
– Clause 6: Planification
– Clause 7: Support
❑ DO
– Clause 8: Gestion des opérations
❑ CHECK
– Clause 9: Evaluation de performance
❑ ACT
– Clause 10: Améliorations 22
C
L'approche processus se fonde sur le principe de fonctionnement
adopté dans les normes de système de management de l'ISO, connu
sous le nom de processus PDCA (Planifier-Déployer-Contrôler-Agir):
❑ Planifier – déterminer des objectifs et faire des plans (analyser la
situation de l'organisme, déterminer des objectifs d'ensemble et
définir des cibles, puis élaborer des plans pour les atteindre);
❑ Déployer – mettre en œuvre des plans (faire ce qui a été prévu);
❑ Contrôler – mesurer les résultats (mesurer/vérifier dans quelle
mesure les réalisations répondent aux objectifs planifiés);
❑ Agir – corriger et améliorer les activités (tirer les leçons des erreurs
pour améliorer les activités afin d'atteindre de meilleurs résultats).
23
C
❑ Clause 4: Contexte de l’organisme
L’organisme doit:
➢ Déterminer les enjeux externes et internes pertinents compte tenu de ses missions et objectifs
et qui affectent sa capacité à atteindre les résultats attendus de son SMCA.
➢ Identifier les parties intéressées du SMCA et déterminer leurs exigences (besoins et attentes)
pouvant inclure des exigences légales et réglementaires et des obligations contractuelles.
➢ Etablir le domaine d’application du SMCA et déterminer les limites et l’applicabilité.
➢ Etablir, mettre en œuvre, tenir à jour et améliorer de manière continue un SMCA, conformément
aux exigences de la présente Norme.
❑ Clause 5: Leadership
La direction doit faire preuve de leadership et affirmer un engagement continu en faveur du SMCA
en:
➢ S’assurant qu’une politique et des objectifs en matière de SMCA sont établis et alignés sur
l’orientation stratégique de l’organisme;
➢ S’assurant de l’intégration des exigences du SMCA dans les processus métier de l’organisme;
➢ S’assurant que les ressources nécessaires pour le SMCA sont disponibles;
➢ Définissant les critères d’acceptation des risques et les niveaux de risque acceptables;
➢ S’assurant que les responsabilités et autorités des rôles concernés par le SMCA sont attribuées
et communiquées au sein de l’organisme.
24
C
❑ Clause 6: Planification
L’organisme doit établir les objectifs stratégiques et principes directeurs du SMCA. Les
objectifs de la continuité de l’activité doivent remplir les exigences suivantes:
➢ Aligner avec la stratégie de continuité d’activité;
➢ Adapter à l’environnement de l’organisme pour l’atteinte des objectifs escomptés;
➢ être mesurables;
➢ Prendre en compte des exigences applicables;
➢ être surveillés et tenus à jour de façon appropriée.
❑ Clause 7: Support
L’organisation doit:
➢ Identifier et fournir les ressources nécessaires à l’établissement, la mise en œuvre, la
tenue à jour et l’amélioration continue du SMCA;
➢ Avoir un personnel compétent, formé et accompagné pour acquérir les compétences
nécessaires;
➢ Sensibiliser afin de prendre conscience de leur contribution à l’efficacité du SMCA et
des implications de tout écart;
➢ Déterminer les besoins de communication interne et externe pertinents pour le SMCA
25
C
❑ Clause 8: Gestion des opérations
L’organisme doit:
➢Planifier, mettre en œuvre et contrôler les processus nécessaires à la
satisfaction des exigences liées au SMCA et à la réalisation des actions
déterminées lors de la phase « Planification »;
➢Planifier, mettre en œuvre et contrôler les processus formalisés et documentés
pour l’appréciation des risques et le Bilan d’Impact sur l’Activité (BIA). Cette
dernière activité a pour but d’identifier les processus critiques soutenant les
activités de l’organisme;
➢Se basant sur les résultats de l’appréciation des risques et du BIA, mettre en
place une stratégie de globale de continuité;
➢ Documenter par des procédures pour assurer la continuité des activités et la
gestion d’un incident perturbateur;
➢ Valider régulièrement la conformité des procédures de continuité d’activité par
des exercices et tests. Le but est de de s’assurer de la capacité des stratégies
retenues à fournir des réponses et des résultats dans les délais convenus.
26
C
❑ Clause 9: Evaluation de la performance
L’organisme doit:
➢ Evaluer les performances du SMCA, ainsi que son efficacité.
➢ Réaliser des audits internes à des intervalles planifiés afin de recueillir des
informations permettant de vérifier la conformité du SMCA et l’efficacité de
la mise en œuvre et du maintien à jour.
➢ Procéder à la revue du SMCA mis en place afin de s’assurer qu’il est
toujours approprié, adapté et efficace.
❑ Clause 10: Amélioration

Les résultats de l’audit, de l’analyse des événements surveillés, des
indicateurs, des actions correctives et préventives et ainsi que d’une revue
de direction sont des éléments essentiels permettant l’amélioration
continue pour accroître l’efficacité (atteinte des objectifs) et l’efficience (un
rapport optimal de coût / bénéfice) des processus et des mesures afin
d’apporter des avantages accrus pour l’organisme et ses parties prenantes.
27
L'ISO 22313 fournit des

directives, où c’est
approprié, aux
ex ig enc es sp éc if iées
dans ISO 22301 et
fournit des
recommandations
(‘devrait-should') et des
autorisations (‘peut-
may') par rapport à
celles-ci. L'objectif de
cette norme n'est pas de
fournir des directives
générales sur tous les
aspects de la continuité
des activités.
28
PLAN

MISE EN PLACE DE PCA
❑ Il n’existe pas de plan type ou universel pour implémenter la

continuité d’activité ou un PCA qui puisse s’appliquer
indifféremment à toutes les organisations.
❑ Mais il existe des étapes communes qui permettront à chaque
organisation de trouver un bon équilibre entre des exigences
parfois contradictoires et lui permettront à se préparer à la
réussite d’un audit de certification.
❑ Plusieurs organisations professionnelles, pour la plupart
indépendantes, ont développé une méthode et/ou une
approche basée sur la norme ISO 22301.
30
MISE EN PLACE DE PCA: DEMARCHE PECB
Integrated Implementation Methodology for Management Systems and Standards

(IMS2) de PECB
31
MISE EN PLACE DE PCA: DEMARCHE E=MCA
La démarche E = MCA (Étapes vers le Management de la Continuité d’Activité) de

MATTHIEU BENNASAR s’articule en six phases, déclinées à leur tour en étapes, telles que
présentées ci-dessous :
32
MISE EN PLACE DE PCA: DEMARCHE NIST 800-34
1. Elaborer un document d’applicabilité du planning de continuité: Guide

nécessaire pour conduire le PCA/PRA en assignant les rôles et
responsabilités nécessaires;
2. Déterminer le BIA (Business Impact Analysis): Identifier les systèmes
et activités critiques de l’organisation, les prioriser en se basant sur
l’identification des vulnérabilités et des menaces, ainsi que l’appréciation
des risques;
3. Identifier les mesures de prévention;
4. Développer des stratégies de sauvegarde/restauration/reprise;
5. Développer un plan d’urgence en élaborant des procédures et guides;
6. Tester le plan et entrainer les ressources;
7. Maintenir le plan.
33
MISE EN PLACE DE PCA: DEMARCHE NIST 800-34
34
MISE EN PLACE DE PCA: DEMARCHE PROPOSEE
METHODOLOGIE PDCA
A B C D
PLANIFIER DÉPLOYER CONTRÔLER AGIR

B.1: Stratégies de Continuité C.1: Surveillance, Mesure et D.1: Non-conformités &
A.1: Contexte Evaluation Actions correctives
d’Activité
A.2: Politique de B.2: Plans de Continuité

C.2: Audit D.2: Amélioration continue
Continuité d’Activité d’Activité & Procédures
B.3: Infrastructures de
A.3: Scénario de sinistres C.3: Revue de direction
continuité
A.4: Analyse d’Impact sur B.4: Sensibilisation ,

l’Activité (BIA) Formation et Communication
A.5: Appréciation des

B.5: Exercices & Tests
Risques (AR) & Mesures
35
METHODOLOGIE PDCA
A B C D

d’Activité

continuité


Risques (AR) & Mesures B.5: Exercices & Tests
36
MISE EN PLACE DE PCA: METHODE PROPOSEE
A. PLANIFIER
A.1. Contexte
37
A. PLANIFIER
A.2. Politique de continuité de l’activité
38
A. PLANIFIER
A.3. Cartographie et Scénario de risques
Une cartographie des sinistres précède détermine les scénarios de sinistres qui
seront retenus et par rapport auxquels le BIA sera orienté.
➢Objectif: L’objectif de la cartographie des sinistres est de retenir les scénarios
de sinistres contre lesquels l’entreprise cherchera à se prémunir au travers de
son PCA.
➢Démarche:
o Identifier les menaces qui pèsent sur l’activité de l’entreprise et qui
pourraient causer une discontinuité de l’activité.
o Déterminer pour chaque menace, les causes possibles et les impacts
potentiels.
o Prioriser les scénarios de sinistres et retenir ceux qui constitueront les
hypothèses de construction du PCA.
39
A. PLANIFIER
40
A. PLANIFIER
41
A. PLANIFIER
42
A. PLANIFIER
A.4. Analyse d’Impacts sur les Activités (BIA)
43
A. PLANIFIER
Cette étape vise à:

• Identifier les activités prioritaires de support à la fourniture des produits et services
de l’organisme et leurs dépendances ainsi que les « Points de Défaillance Uniques
(PoF)»;
• Identification des ressources clés en fonction du temps d’interruption d’activité (en
général, plus l’interruption prévue est longue, plus il faudra de personnel pour
l’activité en mode dégradé).
• Identifier les impacts résultant des scénario de désastre et les perturbations possibles
pouvant affecter la continuité dans l’accomplissement des missions de l’organisme;
• Déterminer les Objectifs de Temps de Reprise (OTR ou RTO en anglais) et les
objectifs de Point de reprise (OPR ou RPO en anglais), pour chaque activité critique
identifiée.
OPR: Niveau d'information nécessaire à une activité pour qu'elle puisse être opérationnelle
lors de la reprise
OTR: Délai après incident à l'issue duquel le produit ou le service doit être livré, repris;
l’activité doit reprendre; ou les ressources doivent être disponibles.
44
A. PLANIFIER
45
A. PLANIFIER
46
A. PLANIFIER
Objectif Minimal de Continuité d’Activité (OMCA): Niveau minimal de service et

ou produits nécessaires à l’organisme pour remplir ses objectifs métier suite à une
interruption.
Durée Maximale Tolérable de Perturbation (DMTP): le temps qu’il faudrait pour
les impacts négatifs, qui pourraient résulter de la non fourniture d’un produit / service
ou d'une activité, deviennent inacceptables.
47
A. PLANIFIER
48
A. PLANIFIER
49
A. PLANIFIER
A.5. Appréciation des risques & Mesures
50
A. PLANIFIER
Le but de l’appréciation des risques est d’identifier, d'analyser et d’évaluer les risques
d’incidents perturbateurs.
La différence entre la cartographie des sinistres et l’AR est
essentiellement une différence d’échelle et de détail. Si l’objectif de la cartographie des
sinistres est de dégager les scénarios des sinistres devant être pris en compte dans le
PCA, l’objectif de l’étape d’AR est bien de définir des plans de réduction des risques
pour les processus, activités et ressources identifiés comme critiques lors du BIA.
➢ Objectif: L’objectif de l’AR est de définir des plans de réduction des risques pour les
processus, activités et ressources identifiés comme critiques lors du BIA.
➢ Démarche:
o Identifier les risques qui pèsent sur l’activité, les processus et les ressources
critiques de l’entreprise tels qu’ils sont ressortis du BIA.
o Évaluer pour chaque risque la probabilité d’occurrence et l’impact potentiel.
o Définir la stratégie de gestion des risques pour chaque risque caractérisé.
o Définir les plans de réduction des risques.
51
A. PLANIFIER
52
A. PLANIFIER
Le but est de mettre en place des mesures de protection et d'atténuation appropriées
en rapport avec son niveau d’acceptation du risque pour réduire la probabilité et
l'impact de perturbation ou encore l’interruption de service.
Ces mesures peuvent être préventives, détectives et correctives.
53
A. PLANIFIER
54
METHODOLOGIE PDCA
A B C D

d’Activité

continuité


55
B. DEPLOYER
B.1. Stratégie de continuité d’activité
56
B. DEPLOYER
Le but visé est de déterminer une stratégie appropriée et également d’évaluer la
capacité de continuité d’activité des prestataires de l’organisme en:
• Identifier, étudier et analyser les différentes stratégies de la continuité;
• Sélectionner la stratégie appropriée pour la protection des activités prioritaires;
• Sélectionner la stratégie de stabilisation, poursuite, reprise et rétablissement des
activités prioritaires;
• Sélectionner une stratégie pour atténuer, gérer et répondre aux impacts;
• Evaluer les capacités de continuité des fournisseurs et prestataires.
57
B. DEPLOYER
B.1. Stratégie de continuité d’activité : TYPOLOGIE DES SITES DE SECOURS
Allant des solutions les moins réactives (et les moins coûteuses) aux solutions dites de haute
disponibilité (les plus coûteuses), une typologie des sites alternatifs est donnée ci-après :
❑ Salles blanches (cold sites) :
il s’agit d’une infrastructure distante de type salle informatique dédiée et disponible en cas de
déclenchement du plan de secours. Cette salle est équipée pour accueillir les équipements
informatiques : alimentation électrique, câblage réseau et télécoms, protection incendie,
planchers techniques, contrôle d’accès, etc. En cas de déclenchement du plan de secours,
l’entreprise vient intégralement « peupler » la salle blanche : équipement informatique,
données et applicatifs, personnel, etc.
❑ Salles oranges (warm sites) :
la meilleure définition d’une salle orange consiste sans doute à la décrire comme une salle
plus rouge qu’une salle blanche mais moins rouge qu’une salle rouge ! Il s’agit en général
d’une salle blanche partiellement équipée de matériel informatique (le plus stratégique). Il
peut d’ailleurs s’agir d’un site de production informatique autonome, moins stratégique que le
site à secourir, qui est aménagé pour servir de secours. 58
B. DEPLOYER
❑ Salles rouges (hot sites) :

Une salle rouge est une salle blanche qui possède un environnement « peuplé latent »,
c’est-à-dire l’ensemble des équipements informatiques nécessaires au secours, maintenu
en état de marche. Les données et applicatifs ne sont en revanche installés qu’en cas de
déclenchement du plan de secours. En général, la salle rouge dispose d’un personnel
dédié prêt à mettre en place le secours en permanence (24h/24, 7j/7). Le coût annuel
d’une salle rouge devient significatif et peut atteindre plusieurs pour cent du budget
informatique. Il existe quelques cas particuliers de salles rouges, classées ici par degré
croissant de disponibilité des informations :
❑ Salle rouge + sauvegarde à distance (Electronic Vaulting)
❑ Salle rouge + journalisation distante (Remote Journaling)
❑ Salle rouge + réplication asynchrone (Shadowing)
59
B. DEPLOYER
❑ Salles miroir (mirrored sites) : avec les salles miroir, on entre dans le domaine de la haute
disponibilité. Il s’agit de salles pleinement redondantes par rapport à la salle à secourir. Ainsi, en
plus de l’équipement informatique complet, les données, systèmes et applicatifs sont maintenus
en permanence au niveau du SI à secourir. Il s’agit de la solution la plus coûteuse, la plus fiable
et la plus disponible. Le secours est dédié (il ne participe pas à la production) et les moyens de
mirroring peuvent différer technologiquement (en général réplication synchrone ou virtualisation).
Deux cas particuliers existent :
➢ Le backup d’astreinte propose un secours quasi-temps réel d’applications critiques
(systèmes flux tendus, systèmes de paiement bancaire, site de commerce électronique, etc.)
sur une durée courte pendant qu’un secours de plus grande ampleur se met en place.
➢ Les sites à production répartie proposent une répartition de l’exploitation informatique entre
le site de secours et le site secouru.
❑ Le cas particulier du secours mobile (mobile sites) : le secours mobile est en général réalisé
par le biais de camions spécialement équipés en moyens informatiques pour répondre à un
besoin de secours.
60
B. DEPLOYER
COMPARAISON TYPOLOGIE DES SITES DE SECOURS
61
B. DEPLOYER
TYPOLOGIE DES SITES DE SECOURS: DISTANCE
Quelle est la bonne distance entre le site nominal et le site de secours ?
La réponse dépend clairement du sinistre contre lequel l’entreprise

cherche à se prémunir, et de son échelle. Pour faire face à un ouragan tel
que Katrina (août et septembre 2005), il est évident que la distance sera
nettement plus importante que pour minimiser le risque d’interruption lié à
une éruption volcanique localisée ou à un incendie.
Des études réalisées auprès de sociétés ont estimé une moyenne de
distances avoisinant les 150 km, alors que la norme Bale 2 l’estime à 70
Km. Le choix de la distance du site de secours devra être soigneusement
fait, en tenant compte de l’échelle géographique des sinistres considérés.
Il devra également intégrer les facteurs technologiques limitants (une
distance de 150 km présente de sérieux défis pour une solution technique
de type « réplication synchrone » seule). 62
B. DEPLOYER
NIVEAUX DE DISPONIBILITE DES SOLUTIONS DE SECOURS
On distingue généralement trois niveaux de disponibilité :
➢ la haute disponibilité : elle suppose une reprise quasi immédiate (de l’ordre de
quelques minutes) avec une perte de données quasiment nulle ;
➢ la moyenne disponibilité : elle recouvre les solutions qui permettent un secours
en quelques heures (qui varient selon les définitions entre 6 et 24 heures
généralement) et limitent sévèrement la perte de données (entre quelques minutes
et quelques heures) ;
➢ la faible disponibilité : elle caractérise les secours réalisés en général au-delà de
48 heures avec une perte de données du même ordre de grandeur.
Mener l’analyse coûts/bénéfices et avantages/inconvénients sur les

solutions de secours (SI)
63
B. DEPLOYER
STRATEGIES DE SECOURS EN FONCTION DE LA DISPONIBILITE
64
B. DEPLOYER
METHODES DE SAUVEGARDE
On distingue généralement quatre méthodes de sauvegarde :
❑ Sauvegarde complète:
Elle effectue une capture et une copie exhaustive des données contenues sur un
disque ou sur un répertoire. Si elle présente les garanties les plus fortes concernant
l’exhaustivité des données copiées, la sauvegarde complète présente néanmoins deux
inconvénients majeurs : sa lenteur et son coût (par la capacité de stockage qu’elle
nécessite et le temps de copie).
❑ Sauvegarde incrémentale:
on procède à la sauvegarde de tous les éléments modifiés (fichiers nouveaux ou
modifiés) depuis la dernière sauvegarde, quel que soit son type. Plus efficace et moins
coûteuse, la sauvegarde incrémentale présente néanmoins l’inconvénient de nécessiter
la collecte d’éléments présents sur plusieurs sauvegardes distinctes afin de permettre
une restauration, avec la perte de temps et la multiplication des risques d’erreurs que
cela induit. Ces limites en font une méthode souvent écartée des stratégies visant à
assurer le secours.
65
ELEMENTS CLES
❑ Sauvegarde différentielle: Plus lente par nature que la sauvegarde incrémentale,
la sauvegarde différentielle consiste à sauvegarder tous les fichiers modifiés depuis
la dernière sauvegarde complète. La quantité d’information sauvegardée est ainsi
plus grande que dans une sauvegarde incrémentale mais la restauration est facilitée
et fiabilisée par le fait que deux sources seulement sont nécessaires :la dernière
sauvegarde complète et la dernière sauvegarde différentielle.
66
ELEMENTS CLES
❑ Journalisation:
Proche des concepts des deux méthodes précédentes (sauvegardes incrémentale et différentielle) mais
appliquées à l’intérieur même d’un fichier, la journalisation consiste à créer un journal de toutes les
modifications effectuées sur le fichier. C’est une méthode de sauvegarde généralement appliquée sur les
fichiers très volumineux, comme les bases de données de gestion par exemple. D’ailleurs, les systèmes
de gestion de bases de données (SGBD) possèdent en général par défaut des outils de journalisation. La
restauration est obtenue par remontée de la dernière sauvegarde complète à laquelle sont ensuite
appliquées toutes les mises à jour contenues dans le journal. On le voit, la qualité de la restauration
dépend essentiellement de la bonne synchronisation entre le démarrage de la journalisation et l’arrêt de
la dernière sauvegarde complète. Comme pour les trois autres méthodes, les modalités de la
journalisation (fréquence, étendue) seront fonction de la criticité des informations sauvegardées ainsi
que des contraintes qui pèsent sur la restauration.
En général, c’est une combinaison des quatre méthodes qui sera la plus efficace, avec, par
exemple : une sauvegarde complète à intervalle régulier quand la contrainte temps n’est
pas décisive (le week-end) et une sauvegarde différentielle à fréquence quotidienne le reste
du temps.
67
B. DEPLOYER
68
B. DEPLOYER
B.2. Plans de continuité d’activité & Procédures
69
B. DEPLOYER
B.2. Plans de continuité d’activité & Procédures
70
B. DEPLOYER
B.2. Plans de continuité d’activité & procédures
71
B. DEPLOYER
72
B. DEPLOYER
73
B. DEPLOYER
B.3. Infrastructures de continuité
Mise en place des infrastructures de continuité
➢ Objectif: Il s’agit au cours de cette étape de mener à bien d’une part le projet
informatique de mise en œuvre de la solution de continuité technique du SI,
d’autre part les projets de mise en œuvre des solutions techniques de continuité
des moyens de production, de repli utilisateurs, etc. La phase complète et
classique de recette (validation) n’est mise en œuvre que dans l’étape D de cette
phase.
➢ Démarche: La démarche correspond à une démarche classique dans un projet
d’infrastructure, largement amorcée dans les phases 1 (recueil des besoins et
cahier des charges fonctionnelles et techniques sommaires) et 2 (spécifications
fonctionnelles et techniques détaillées, choix de la solution).
74
B. DEPLOYER
B.4. Sensibilisation, Formation et Communication
Compétences & Sensibilisation
75
B. DEPLOYER
Compétences & Sensibilisation
Cette rubrique vise un double objectif en garantissant:
• La compétence de toute personne à qui des rôles et responsabilités sont assignés.
• La prise de conscience de ces personnes quant à leur contribution au PCA.
➢ Objectif: Cette étape vise à assurer le transfert d’informations, de connaissances et de
compétences en lien avec le management de la continuité d’activité.
➢ Démarche:
o Conception du programme de sensibilisation et formation :
▪ définir le périmètre, les objectifs et les enjeux de la sensibilisation et de la formation (en lien
avec la politique de management de la continuité d’activité) ;
▪ définir les moyens nécessaires à l’atteinte des objectifs de sensibilisation et formation ;
▪ définir les cibles (audiences) et les modalités (fréquence, supports, formats, durées, etc.) du
programme de sensibilisation et formation ;
▪ définir les contenus des actions de sensibilisation et formation ;
▪ évaluer l’efficacité des actions de sensibilisation et formation ;
▪ améliorer le programme de sensibilisation et de formation. 76
B. DEPLOYER
➢ Démarche (Suite):
o Conception des supports et vecteurs de sensibilisation et formation :

▪ définir le contenu détaillé des actions de sensibilisation et formation ;
▪ définir les supports, méthodes et vecteurs à même d’assurer le plus efficacement
l’atteinte des objectifs de sensibilisation et formation ;
▪ définir les actions de suivi pour assurer l’appropriation des informations,
connaissances et compétences.
• Mise en œuvre du programme de sensibilisation et formation.
• Conception et mise en œuvre d’un plan de communication interne et externe à
l’entreprise.
77
B. DEPLOYER
78
B. DEPLOYER
Communication
79
B. DEPLOYER
Communication
Le but est de mettre en place un Plan de communication:
• Identification des parties intéressées et des objectifs de communication;
• Planification des activités de communication;
• Exécution des activités de communication;
• Evaluation la communication.
80
B. DEPLOYER
B.5. Exercices & Tests
81
B. DEPLOYER
Le but visé est d’assurer l’efficacité des plans et procédures de continuité d’activité en adoptant les étapes suivantes :
• Elaborer une stratégie;
• Etablir un Plan d’exercices et tests;
• Elaborer des scenarii d’exercices et tests avec des buts et objectifs précis et clairs;
• Planifier et Conduire des exercices et tests à intervalles réguliers (au moins une fois par an);
• Evaluer les exercices et tests;
• Produire des rapports d’exercices et tests déclinant les résultats, les recommandations et actions prévues pour mettre en œuvre les améliorations.
82
MISE EN PLACE DE PCA: DEMARCHE E=MCA
B. DEPLOYER
➢ Objectif
o Déceler les incohérences et insuffisances du dispositif défini.
o Compléter, améliorer et affiner les procédures en vigueur.
o S’assurer que les acteurs sont formés, familiarisés avec leurs rôles et responsabilités le
et capables de le mettre en œuvre rapidement et efficacement.
➢ Démarche
o Définir la stratégie de test du PCA ( périmètre – acteurs – nature et ordonnancement
des tests – définition des scénarios et hypothèses de test – programme récurrent de
déroulement – modalités, etc.
o Définir et mettre en oeuvre le plan d’actions de la stratégie.
o Réaliser les tests.
o Rédiger un rapport de tests.
o Analyser les résultats des tests et proposer des actions de correction et d’amélioration.
83
METHODOLOGIE PDCA
A B C D

d’Activité

A.3: Scénario de sinistres B.3: Infrastructures de

continuité C.3: Revue de direction


84
C. CONTROLER
➢ Objectif
o Valider des pratiques de management de la continuité d’activité conformes
aux exigences définies et aux besoins exprimés.
o Identifier les écarts avec les référentiels en vigueur.
o Proposer des améliorations du management de la continuité d’activité.
➢ Démarche
o Élaboration d’un programme annuel d’audit du PCA.
o Réalisation d’audits (préparation du plan d’audit, réalisation de l’audit,
restitution orale des résultats, conclusions et rédaction du rapport d’audit).
o Suivi du plan d’actions d’amélioration en résultant.
85
C. CONTROLER
C.1. Surveillance, mesure, analyse et évaluation
86
C. CONTROLER
C.1. Surveillance, mesure, analyse et évaluation
Cela consiste à:
• Identification des objectifs de la mesure;
• Sélection d’attributs d’objets pouvant être mesurés;
• Etablissement de tableaux de bord à travers des indicateurs de performance;
• Evaluation du niveau d’atteinte des objectifs.
87
C. CONTROLER
C.2. Audit interne
88
C. CONTROLER
C.2. Audit interne
L’audit vise un double objectif:
• Évaluation du niveau de réalisation des exigences minimales du système de continuité d’activité;
• Suivi des actions recommandations issues des derniers audits et des non-conformités.
89
C. CONTROLER
C.3. Revue de direction
Effectuer, chaque année au moins une fois, une évaluation régulière et méthodique de la
pertinence, de l’adéquation, de l'efficacité et de l'efficience du PCA.
90
METHODOLOGIE PDCA
A B C D

d’Activité

A.3: Scénario de sinistres B.3: Infrastructures de

continuité C.3: Revue de direction


91
MISE EN PLACE DE PCA: METHODE
PROPOSEE
D. CONTROLER
D.1. Non-conformités & Actions correctives
92
PROPOSEE
D. CONTROLER
D.1. Non-conformités & Actions correctives
Le but visé est d’éliminer la cause éventuelle ou avérée de la non conformité en adoptant un
processus d’amélioration continue en effectuant les étapes suivantes :
• Identifier et passer en revue les non-conformités;
• évaluer, réagir et traiter les non-conformités.
93
PROPOSEE
D. CONTROLER
D.2. Amélioration continue
L’organisme doit démontrer que des mesures sont prises pour l’amélioration de l'efficacité du système
de continuité d'activité de manière continuelle en:
• Améliorant continuellement l'efficacité du système de continuité d'activité ;
• S’assurant que les objectifs du PCA restent alignés avec les objectifs métier ;
• S'assurant que les plans et procédures sont continuellement tenus à jour.
94
PLAN

PANDEMIE COVID-19
A. GENERALITES SUR LES PANDEMIES ET LEURS IMPACTS
B. PREPARATION A LA PANDEMIE
C. COMMUNICATION, SENSIBILISATION ET FORMATION
D. PLAN DE REPONSE
96
PLAN
BIBLIOGRAPHIE
» Cobit - pour une meilleur gouvernance des systèmes d'information, 2009, de
DOMINIQUE MOISAND et FABRICE GARNIER DE LABAREYRE
» ITIL Pour un service informatique optimal de CHRISTIAN DUMONT
» ISO_CEI 20000 de LEO VAN SELM
» Normes ISO 27002 et ISO 27001
» ISO 27001 LI & LA de PECB
» ISO 22301 LI & LA de PECB
» Les Publications de Claude CSALZMAN
» Le réseau au cœur de la stratégie DSI, de MARIE-MICHÈLE VASSILIOU
» Les Réseaux - 5eme Ed, de GUY PUJOLLE
» Sécurité informatique, Principes et Méthodes de LAURENT BLOCH et CHRISTOPHE
WOLFHUGEL
» WIFI PROFESSIONNEL, La norme 802.11, le déploiement, la sécurité de AURÉLIEN
GÉRON
» Manager la Sécurité du SI de MATTHIEU BENNASAR, ALAIN CHAMPENOIS,
PATRICK ARNOULD, THIERRY RIVAT
» Plan de continuité d’activité et système dinformation de MATTHIEU BENNASAR
» CISSP de SHON HARRIS
» CISA de PETER H, GREGORY
97
MERCI POUR VOTRE
PARTICIPATION ET VOTRE
AIMABLE ATTENTION

CHAP2 ETU MP2SSI GRPCA CJour 2021

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHAP2 ETU MP2SSI GRPCA CJour 2021

Transféré par

Droits d'auteur :

Formats disponibles

MASTER PROFESSIONNEL 2 EN SYSTEMES

OPTION: SECURITE DES SYSTEMES

MODULE : GESTION DES RISQUES ET PLAN DE CONTINUITE

DES ACTIVITES (PCA)

VOLUME HORAIRE : 24 HEURES

II. STANDARDS, NORMES ET REGLEMENTATION

III. METHODES PRATIQUES DE MISE EN PLACE

IV. CAS DE LA PANDEMIE COVID-19

II. STANDARDS, NORMES ET REGLEMENTATION

III. METHODES PRATIQUES DE MISE EN PLACE

IV. CAS DE LA PANDEMIE COVID-19

❑ Réponse prévisible et pertinente aux sinistres;

MIEUX VAUT PREVENIR QUE GUERIR

II. STANDARDS, NORMES ET REGLEMENTATION

III. METHODES PRATIQUES DE MISE EN PLACE

IV. CAS DE LA PANDEMIE COVID-19

❑ La Norme peut être utilisée pour évaluer la capacité d'une organisation à

❑ Clause 10: Amélioration

L'ISO 22313 fournit des

II. STANDARDS, NORMES ET REGLEMENTATION

III. METHODES PRATIQUES DE MISE EN PLACE

IV. CAS DE LA PANDEMIE COVID-19

❑ Il n’existe pas de plan type ou universel pour implémenter la

Integrated Implementation Methodology for Management Systems and Standards

La démarche E = MCA (Étapes vers le Management de la Continuité d’Activité) de

1. Elaborer un document d’applicabilité du planning de continuité: Guide

PLANIFIER DÉPLOYER CONTRÔLER AGIR

A.2: Politique de B.2: Plans de Continuité

A.4: Analyse d’Impact sur B.4: Sensibilisation ,

A.5: Appréciation des

PLANIFIER DÉPLOYER CONTRÔLER AGIR

A.2: Politique de B.2: Plans de Continuité

A.4: Analyse d’Impact sur B.4: Sensibilisation ,

A.5: Appréciation des

Cette étape vise à:

Objectif Minimal de Continuité d’Activité (OMCA): Niveau minimal de service et

PLANIFIER DÉPLOYER CONTRÔLER AGIR

A.2: Politique de B.2: Plans de Continuité

A.4: Analyse d’Impact sur B.4: Sensibilisation ,

A.5: Appréciation des

❑ Salles rouges (hot sites) :

COMPARAISON TYPOLOGIE DES SITES DE SECOURS

La réponse dépend clairement du sinistre contre lequel l’entreprise

Mener l’analyse coûts/bénéfices et avantages/inconvénients sur les

o Conception des supports et vecteurs de sensibilisation et formation :

• Elaborer une stratégie;

• Etablir un Plan d’exercices et tests;

• Evaluer les exercices et tests;

PLANIFIER DÉPLOYER CONTRÔLER AGIR

A.2: Politique de B.2: Plans de Continuité

A.3: Scénario de sinistres B.3: Infrastructures de

A.4: Analyse d’Impact sur B.4: Sensibilisation ,

A.5: Appréciation des

L’audit vise un double objectif:

• Évaluation du niveau de réalisation des exigences minimales du système de continuité d’activité;

pertinence, de l’adéquation, de l'efficacité et de l'efficience du PCA.

PLANIFIER DÉPLOYER CONTRÔLER AGIR

A.2: Politique de B.2: Plans de Continuité

A.3: Scénario de sinistres B.3: Infrastructures de

A.4: Analyse d’Impact sur B.4: Sensibilisation ,

A.5: Appréciation des

II. STANDARDS, NORMES ET REGLEMENTATION

III. METHODES PRATIQUES DE MISE EN PLACE