DOCUMENT PRA

ET PCA DU
PROJET
CYBERSECURITE

Nom et Prénom Rôle

Nguessie Fabiola CHEF DU GROUPE
Gassu Annan Membre
Kuete Alexis Membre
Ouanguende Parlis Membre
Table des matières
1. Introduction ........................................................................................ 3
2. Contexte du Projet................................................................................ 3
1.1. Objectifs ...................................................................................... 3
3. Démarche pour la mise en place d’un PCA .................................................... 4
4. Cartographie des sinistres ....................................................................... 5
5. BIA (Business Impact Analysis) ................................................................... 5
5.1. Business Impact Analysis : procédure ..................................................... 6
5.2. Bilan du BIA (Business Impact Analysis) ................................................... 6
5.3. Définition du RTO ET RPO .................................................................. 9
6. Stratégie de continuité .......................................................................... 10
6.1. Architecture générale ...................................................................... 11
6.2. Serveur ....................................................................................... 12
6.3. Moteurs de base de données .............................................................. 12
7. Site de réplication ............................................................................... 12
8. RESSOURCES ...................................................................................... 12

Tableau 1 : Responsable du Plan d’activité ...................................................... 5

Tableau 2 : BIA (Business Impact Analysis) de l'Entreprise .................................... 9
Tableau 3 : RTO ET RPO ............................................................................. 10

Figure 1 : mise en place d’un PCA ................................................................. 4

Figure 2 : Plan de la salle serveur et réseau de la plateforme commerciale de Metz .. 11
Figure 3 : Plan standard de la salle serveur et réseau de chaque magasin ............... 11
1. Introduction
Un sinistre, c’est un événement de type incendie, décès, etc. Pour une assurance, c’est un
qui fait qui s’est produit et qui fait jouer les garanties du contrat comme par exemple une
indemnité, un capital ou une rente.
Le traitement de l’ensemble de ces flux auprès des assureurs, parfois en corrélation avec
plusieurs contrats d’assurance, peut s’avérer fastidieux et chronophage pour les
entreprises qui ne sont pas structurées ou ne disposent pas des outils pour gérer ces
sinistres de façon efficiente.
En dehors des difficultés financières, une entreprise peut faire face à plusieurs autres
sinistres. La plupart des chefs d’entreprise en ont conscience mais, leurs quotidiens les
empêchent d’y consacrer le temps nécessaire afin de maitriser les vulnérabilités. De
nombreuses entreprises qui ont subi un sinistre majeur ont fini par disparaitre faute
d’avoir anticipé cette situation et planifié une réaction adaptée.
Il est important de souligner qu’un sinistre mal géré peut avoir des conséquences
désastreuses économiquement ou en termes d’image même lorsque l’entreprise a une
bonne couverture assurantielle de ses risques : mise à profit par la concurrence, perte de
confiance des clients, perte du bénéfice d’autorisations particulières d’exploitation, etc.
C’est pourquoi, le présent cahier vise à étudier la mise en œuvre d’un Plan de Continuité
d’Activité (PCA) au sein de l’entreprise MOTUC.
Le PCA peut amener une réflexion en vue d’optimiser le fonctionnement d’une entreprise
afin d’augmenter sa réactivité face aux événements inattendus. Or, qui dit optimisation,
dit aussi efficacité, voir économie potentielle dans le fonctionnement de l’entreprise. Ce
plan de reprise des activités peut être décomposés en plan de continuité des services
(PCS), en plan de continuité métiers (PCM) et en plan de reprises des activités (PRA), et se
focalise respectivement sur :
La disponibilité des ressources : informatique, logistique, énergie, eau, bâtiments accès,
etc. ;

 Les actions à conduire par les métiers pour la poursuite de leurs activités
prioritaires ;
 Les procédures et moyens permettant de redémarrer en cas de sinistre majeur.

2. Contexte du Projet
Ce projet réalisé par la SSII ESN Letam pour le compte de la société Motuc vise la mise en
place d'un PCA qui permettra à l’entreprise Motuc d’avoir un aperçu de ses actifs les plus
sensibles et de connaitre les premières recommandations à mettre en œuvre. Ceci passe
par la réalisation de certaines analyses telles que : la cartographie des sinistres, l'étude du
BIA, l'analyse des risques et l'émission de certaines recommandations. L'outil utilisé pour
réaliser l'étude est une variante de la démarche d'analyse des risques à laquelle a été
ajouté de la gestion de projet.

1.1. Objectifs
1. Objectif global :
 Mettre en œuvre un PCA,
2. Objectifs spécifiques :
  Identifier les risques,
 Analyser et évaluer les risques,
 Ressortir le BIA,
 Traiter les risques,
 Proposer les recommandations en cas d'incident

3. Démarche pour la mise en place d’un PCA

La première difficulté dans cet exercice sera certainement de convaincre ses équipes de
l’intérêt de lancer une démarche d’étude de PCA. Un bon début serait de sensibiliser le
management par un test à blanc, en salle, sur la base d’un scénario plausible pouvant
avoir des conséquences majeures pour l’entreprise. Ce test présente l’avantage de
prendre conscience de vulnérabilités insoupçonnées. La norme ISO 22301 (2012) peut être
prise comme point de départ de la réflexion.
Elle définit la gestion de la continuité d’activité comme « un processus de management
holistique qui identifie les menaces potentielles pour une organisation, ainsi que les
impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à
l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de
l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses
principales parties prenantes, sa réputation, sa marque et ses activités productrices de
valeurs». La démarche d’élaboration d’un plan de continuité d’activité peut se
représenter à travers le schéma ci-dessous, issu du guide SGDSN (Secrétariat Général de la
Défense et de la Sécurité Nationale) pour la réalisation d’un plan de la continuité
d’activité.

Figure 1 : mise en place d’un PCA

Cette démarche nécessite de réaliser au préalable une cartographie des procédés de

l’amont jusqu’à l’aval, en passant par les intermédiaires et sous-traitants, puis d’étudier
la vulnérabilité de l’entreprise, face à différents scénarii de crises, pour donner suite à
des événements internes ou externes, afin de cibler les éléments qui devront être au cœur
de la réflexion du PCA. Pour cette démarche préalable, il est essentiel de bien connaître
l’entreprise et son organisation. Au-delà des vulnérabilités liées à des risques physiques
classiques (incendie, malveillance, événements naturels, etc.), il sera utile d’élargir
l’analyse des vulnérabilités aux risques futurs dits émergents (gouvernance/management,
législation/réglementation, malveillance/terrorisme, calamités climatiques, obsolescence
technique, etc.). Ces scénarii de crise doivent ensuite être hiérarchisés selon leur niveau
d’impact sur l’entreprise, et des mesures de réduction de la vulnérabilité doivent être
définies pour les scénarii dont le risque est jugé inacceptable pour l’entreprise.
Il faudra toutefois déterminer les priorités car l’étude et la mise en œuvre d’un PCA
représente obligatoirement des coûts directs et indirects qui impacteront les résultats de
l’entreprise, même si un ROI (Retour sur investissement) est applicable au PCA. Sans
oublier qu’un événement redouté peut survenir malgré la mise en place de mesures de
réduction des vulnérabilités, car le risque zéro n’existe pas. Pour finir, le plan de
continuité d’activité permettra, pour chaque scénario retenu, d’anticiper les actions
permettant une reprise d’activité puis un retour à la situation normale, et d’assurer,
pendant toute cette phase, la gestion et la communication auprès des acteurs externes.
Le Plan de Continuité d’Activité se décline généralement en une organisation qui s’appuie
sur des dispositifs d’exception :

 Une organisation de crise générale de l’entreprise, intégrant des sous-volets de

gestion de crise 0 par sous-systèmes, dont le Système d’Information (SI) ;
 Un PCA Métiers (PCM) intégrant des palliatifs métiers pour maintenir l’activité
pendant la remise en état ;
Un PRA informatique intégrant des solutions matérielles et organisationnelles pour
reconstruire rapidement la partie du système d’information vitale pour l’entreprise.
La continuité d’activité ne peut se faire sans un PRA correctement réalisé. Ce point est
d’ailleurs très important car il convient, en cas de sinistre, de pouvoir mettre à disposition
dans des délais acceptables et convenus des moyens adéquats hors zone sinistrée. Les
redondances de moyens doivent s’adapter à la fréquence et à la gravité des risques.
Responsable du plan d’activité

Responsable Directeur General

Remplaçant 1 Directeur des Systèmes d’Informations
Remplaçant 2 Directeur des Ressources Humaines
Tableau 1 : Responsable du Plan d’activité

4. Cartographie des sinistres

La cartographie des risques est une représentation graphique d’un certain nombre de
risques. Elle permet de recenser les menaces et dangers encourus par les organisations et
les présenter de façon synthétique sous une forme hiérarchisée.
Cette hiérarchisation s’appuie sur certains critères comme :

 La probabilité de survenance,
 L’impact potentiel,
 Le niveau de maîtrise des risques.
La cartographie est conçue pour illustrer la probabilité ou la fréquence de survenance des
risques mais aussi pour mesurer leur impact sur les entreprises et l’environnement.

5. BIA (Business Impact Analysis)

Business Impact Analysis définition : il s’agit d’un processus systématique comprenant un
volet d’exploration et un volet de planification. Le volet exploratoire comprend
l’identification des risques potentiels auxquels une entreprise est confrontée si ses
activités commerciales sont perturbées. L’accent est mis ici sur les effets concrets que
certains événements ont sur l’organisation et sur des domaines tels que la finance, la
sécurité, le marketing ou l’assurance qualité. La composante de planification consiste en
l’élaboration de stratégies visant à minimiser les risques. Le résultat de l’analyse est le
rapport BIA, qui est une composante importante d’un plan de continuité global en plus du
plan de gestion de crise. Dans les pages qui suivent, nous expliquons en détail la
procédure et le contenu d’un bilan d’impact sur l’activité.

5.1. Business Impact Analysis : procédure

Le format et le contenu exact d’un BIA varient d’une entreprise à l’autre. Cependant,
vous passez presque toujours par les étapes suivantes lors de la mise en œuvre :

 Collecte d’informations
 Évaluation de l’information
 Résumé des résultats
 Présentation à la direction
La création d’un rapport BIA Business Impact Analysis peut se faire en interne ou en
utilisant des ressources externes. Toutefois, la collaboration avec le personnel interne est
essentielle car elle permet d’acquérir des connaissances précieuses pour la première
étape. Au cours de cette étape, il vous faut identifier tous les processus de gestion
existants et les relations entre les différentes fonctions et domaines. Ces informations
sont souvent recueillies par le biais d’entretiens personnels ou d’enquêtes automatisées.

5.2. Bilan du BIA (Business Impact Analysis)

Département : Plateforme Commerciale

Service de réception
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI Un jour
Juridique Mineur
Réputation Mineur
Services Modéré OUI Un jour
Stratégie/Marché Mineur OUI Plus, d’un jour

Service de préparation
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI 4 heures
Juridique Mineur OUI Un jour
Réputation Modéré OUI Plus, d’un jour
Services Mineur
Stratégie/Marché Mineur OUI Plus, d’un jour

Service de réapprovisionnement
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Modéré OUI Plus, d’un jour
Juridique Aucun OUI Plus, d’un jour
Réputation Mineur
Services Majeur OUI Un jour
Stratégie/Marché Aucun OUI Plus, d’un jour

Service achat
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI 4 heures
Juridique Aucun
Réputation Mineur OUI Plus, d’un jour
Services Majeur OUI Plus, d’un jour
Stratégie/Marché Mineur OUI 4 heures

Département : Plateforme Administrative

Direction
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI Plus, d’un jour
Juridique Mineur OUI 4 heures
Réputation Modéré
Services Mineur OUI 4 heures
Stratégie/Marché Modéré

Service Comptabilité
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI Plus, d’un jour
Juridique Mineur
Réputation Mineur
Services Mineur
Stratégie/Marché Mineur

Service Ressource Humaine

Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI Un jour
Juridique Mineur OUI Plus, d’un jour
Réputation Mineur
Services Mineur
Stratégie/Marché Aucun

Services généraux
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Modéré OUI Un jour
Juridique Mineur OUI Un jour
Réputation Mineur OUI Un jour
Services Mineur OUI 4 heures
Stratégie/Marché Modéré OUI Plus, d’un jour

Service informatique
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Mineur OUI 4 heures
Juridique Aucun OUI 4 heures
Réputation Mineur OUI 4 heures
Services Aucun OUI 10 min
Stratégie/Marché Aucun OUI 4 heures

Département : Magasin

Secteur caisse
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Modéré OUI 4 heures
Juridique Mineur
Réputation Mineur OUI 10 min
Services Mineur OUI 10 min
Stratégie/Marché Modéré OUI Un jour

Secteur stock
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Aucun
Financier Modéré OUI Un jour
Juridique Mineur OUI Un jour
Réputation Mineur OUI Plus, d’un jour
Services Mineur OUI 4 heures
Stratégie/Marché Modéré OUI Plus, d’un jour

Atelier de réparation
Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Mineur
Financier Mineur OUI Plus, d’un jour
Juridique Mineur OUI Plus, d’un jour
Réputation Mineur
Services Aucun
Stratégie/Marché Aucun

Atelier Home Cinéma

Niveau acceptable Seuil dépassé ? Temps d’impact
Humain Mineur
Financier Mineur OUI Plus, d’un jour
Juridique Mineur OUI Plus, d’un jour
Réputation Mineur OUI Plus, d’un jour
Services Aucun
Stratégie/Marché Aucun
 Légende

1 Atteint lors de l’impact

2 Dépassé lors de l’impact
Tableau 2 : BIA (Business Impact Analysis) de l'Entreprise

5.3. Définition du RTO ET RPO

Délai Croissement
Disponibilité (DC, Niveau de
d'indisponibilité par ordre de
DNC) Pt1 sécurité
Pt2 criticité

Applications

SAP DC 5min 2 D2

SAP ERP Financial DC 15min 11 D2

SAP ERP Human Capital
DC 10min 9 D2
Management
SAP ERP Opération DC 5min 5 D2
SAP ERP Corporate
DC 5min 5 D2
Services
Bases de données DC 5min 1 D2

Proxy DNC 1jour 13 D1

Serveur de données DC 10min 7 D2

Système de stockage DC 10min 8 D2

Outils de Groupeware DNC 10min 10 D2
Système de sécurité DC 30min 12 D2
Système de paiement
DC 5min 4 D2
électronique
Services / Structures
Plate forme
DNC 5min 11 D4
commerciale
Service de réception DNC 5min 7 D3

Service préparation DNC 3j 15 D2(conséquence)

Service
DNC 1Jour 14 D1
réapprovisionnement
Service achat DC 1jour 13 D1

Magasins DC 3min 1 D2

Secteur Caisse DC 3min 2 D2

Secteur Stock DC 5min 3 D2

Atelier de réparation DNC 3jours 12 D2

Atelier Home-Cinéma DNC 12h 12 D1

 Plateforme
DC 5min 4 D4
administrative
Direction DC 10min 9 D4

Service comptabilité DC 15min 1à D2

Service Ressource
DNC 10min 8 D2
Humaine
Service généraux DC 5min 6 D2

Service Informatique DC 5min 5 D4

Matériels

Serveur AD, DHCP, DNS DC 5min 4 D4

Serveur de messagerie,
DC 10min 8 D2
proxy et d'inventaire
Switch KMV DC 5min 3 D4

Ecran et Clavier DC 10min 6 D1

Serveur de fichiers,
d'application et DC 10min 7 D7
d'impression
Serveur de BDD pour le
DC 5min 5 D4
secteur caisse
Baie réseau (matériel) DC 5min 2 D4

Onduleurs DC 0min 1 D4

Climatisation DNC 2jours 12 D1

Système de détections
DC 1jour 11 D1
d'incendie
Seveur téléphonique DC 12h 10 D1
Tableau 3 : RTO ET RPO

6. Stratégie de continuité
La stratégie de continuité d’activité, établie et décrit en précisant pour chaque activité
essentielle, les niveaux de service retenus et les durées d’interruption maximales
admissibles pour ces différents niveaux de service, ainsi que les ressources et procédures
permettant d’atteindre les objectifs. Pour ce qui est de la Société MOTUC, un exemple de
stratégie de continuité d’activité pour ses principales fonctions critiques a été représenté
dans ce tableau :
6.1. Architecture générale

Figure 2 : Plan de la salle serveur et réseau de la plateforme commerciale de Metz

Figure 3 : Plan standard de la salle serveur et réseau de chaque magasin

 6.2. Serveur
Chaque local informatique comporte des serveurs (DHCP, AD, DNS, de données, fichiers).
L’entreprise utilise le système de stockage muni de SAN CLARION cx4.
Capacité d’administration à distance sur un réseau VPN sous pare-feu pour régler des
problèmes en temps réels.

6.3. Moteurs de base de données

Les SGBD installé sur les serveurs BD de MOTUC sont Oracles 12c et SQL server 2012.
Chaque serveur possède un SGBD propre et indépendant des autres. Chaque site est donc
équipé de serveur dédié mutualisé multi instance.
Réplication vers le site secours
Les serveurs du site de repli sont synchronisés en temps réel avec le site de production de
l’entreprise cliente (« mirroring »).
Mode Haute sécurité avec basculement automatique
Pour garantir une disponibilité optimale, le basculement automatique s'assure que la base
de données est toujours desservie après la perte d'un serveur. Le basculement
automatique exige que la session dispose d'une troisième instance de serveur (le témoin)
résidant de préférence sur un troisième ordinateur. La figure suivante illustre la
configuration d'une session en mode haute sécurité avec basculement automatique.
Contrairement aux deux autres, le témoin ne dessert pas la base de données. Le témoin
prend simplement en charge le basculement automatique en vérifiant que le serveur
principal est activé et qu'il fonctionne. Le serveur miroir lance le basculement
automatique uniquement si le miroir et le témoin restent connectés l'un à l'autre après
que tous les deux aient été déconnectés du serveur principal.
Lorsque vous définissez un témoin, la session nécessite un quorum, c'est-à-dire une
relation entre au moins deux instances de serveur qui permet de rendre disponible la base
de données.

7. Site de réplication
En cas de sinistre sur site Magasin, le magasin est HS et ne pourra pas être répliqué sur un
autre site.
En cas de sinistre sur le site de Nancy, le site de Metz est tout à même d’accueillir la
plateforme administrative. Et réciproquement possible.
Chaque site (Metz et Nancy) possède tous deux à peu près les mêmes infrastructures
(Local informatique et bureau)

8. RESSOURCES
Modèles tableau comparatif et exemples de comparaison (edrawsoft.com)
10 méthodes de Gestion de Projet et leurs outils • Tuleap
Gestion de projet : 12 méthodologies à adopter pour piloter vos projets • Asana
Tableau de bord de projet : méthode, KPI's, et modèles (blog-gestion-de-
projet.com)