CHAPITRE I 

: PRESENTATION DE L’ENVIRONNEMENT DE L’ETUDE

Dans ce chapitre, il s’agira pour nous de présenter notre structure d’accueil à savoir
CONGELCAM S.A, ainsi que l’état de l’art relatif à notre projet.

1. Présentation de CONGELCAM S.A

1.1. Historique

La société CONGELCAM trouve son origine en 1982, lorsque son Président Directeur
Général Sylvestre NGOUCHINGHE se lance dans la vente en détail de poissons au marché
de Mvog Mbi à Yaoundé. Par la suite il va investir dans les congélateurs et les chambres
froides, ce qui fera croitre rapidement son chiffre d’affaires pour aboutir en 1994 à la création
de CONGELCAM SARL au capital de 10.000.000 FCFA. En 2004, CONGELCAM SARL
devient CONGELCAM S.A avec un capital de 3.000. 000. 000 de FCFA. Depuis 2009, ce
capital est passé à 5. 000. 000. 000 de FCFA puis à 9. 000. 000. 000 FCFA. Aujourd’hui
CONGELCAM est une Société Anonyme au capital de 13.000.000.000 FCFA et leader
national dans son secteur dont les activités consistent essentiellement en l’importation, la
distribution et la vente des produits de la mer. CONGELCAM emploie de nos jours près de
2000 Camerounais et génère plus de 3000 autres emplois indirects. Les forces de
CONGELCAM Viennent du fait de la politique entrepreneuriale menée par son PDG depuis
sa création. A savoir réinvestir les revenus pour accroitre ses activités en augmentant sa
capacité d’autofinancement d’une part, la proximité avec les consommateurs par sa présence
sur toute l’étendue du territoire qui a pour corollaire la réduction nette du prix du poisson pour
ceux-ci et la motivation de son personnel d’autre part. L’entreprise a même été classée en
2022 par l’institut national de la statistique, au 9ieme rang dans le top des entreprises en
termes de chiffre d’affaires au Cameroun. CONGELCAM S.A dispose actuellement de
plusieurs sites d’entreposage de très grande envergure, de bateaux d’importation et de plus
d’une centaine d’agence de vente sur tout le territoire national.
Situation sociale CONGELCAM
Forme juridique : S.A
Date de création : 1994
Activité : Commerce
Capital social : 13.000.000.000 FCFA
PDG : Sylvestre NGOUCHINGHE
Direction Général : Zone portuaire, Douala-Cameroun, BP 5295
Siège social : Yaoundé-Cameroun, BP 7180
Contacts :  (+237) 233 42 52 25 ; 233 42 52 33
 (+237) 222 23 72 57 ; 222 23 25 84
Site Web : https://congelcamsa.com/
Nombre de points de vente :
Nombre d’employés :

1.2. Structure organisationnelle

1.3. Missions et Activités

1.3.1. Missions

Depuis sa création jusqu’à nos jours, afin de défier toute concurrence, CONGELCAM S.A a
toujours eu pour missions de :

 Distribuer des produits frais et congelés de meilleure qualité à tous ses clients ;
 Permettre à toutes les couches sociales d’accéder au poisson dans leur localité ;
  Dominer le marché par la vente en termes de disponibilité, fiabilité et qualité de ses
produits ;
 Réduire le taux de chômage en créant des emplois.

1.3.2. Activités

Dans l’optique de mener à bien ses missions, les activités de CONGELCAM consistent
essentiellement en :

 L’importation du poisson au Cameroun ;

 L’exportation du poisson vers l’extérieur ;
 La vente du poisson sur toute l’étendue du territoire.

1.4. Situation géographique

La direction générale de CONGELCAM S.A est basée à Douala au Cameroun, plus

précisément0 dans la zone portuaire à Bonanjo.

1.5. Contexte et problématique

CONGELCAM est aujourd’hui leader national de la vente des poissons frais et congelés. Il
est composé d’une Direction générale, d’un Siège social, de plusieurs entrepôts de stockage et
de nombreuses agences de ventes. Les infrastructures IT mis à disposition des différents sites
sont gérées par le service informatique de la Direction générale.

Le système d’information de la direction générale offre de nombreux services qui sont

indispensables à la poursuite des activités dans les différents sites, ce qui impliquent de mettre
sur pied des procédures et/ou des outils qui vont permettre d’assurer une continuité des
services.

Pour ce qui est du point de départ du projet, il n’existe actuellement aucun plan/processus
permettant une reprise ou une continuité d’activité en cas de sinistre. La rédaction de ce
document va donc permettre au préalable de définir la stratégie de continuité d’activité du
groupe. Il établit et décrit en précisant pour chaque activité essentielle, les niveaux de service
retenus ainsi que les durées d’interruption maximale admissible pour ces différents niveaux de
service. Il définit les ressources permettant d’atteindre les objectifs de continuité du groupe et
tient compte des ressources critiques qui peuvent avoir été perdues pendant le sinistre, jusqu’à
la reprise de la situation normale.

2. Etat de l’art

2.1 Etude de l’existant

Pour gérer à bien l’ensemble des activités de CONGELCAM, le système d’information mis
en place

2.1.1 Présentation des équipements

a) Baie de brassage

La baie de brassage est une armoire technique et métallique permettant la centralisation des

équipements réseau d’une entreprise en un seul endroit, facilitant l’accès au réseau intranet et
internet. Une baie de brassage sert à connecter les ports des matériels de réseau et de
téléphonie aux arrivées des câbles réseau.

b) Onduleur

Un onduleur, également appelé alimentation sans interruption (ASI), fournit une alimentation
de secours lorsque votre source d'énergie habituelle tombe en panne ou que la tension chute à
un niveau trop faible. Il permet d'éteindre un ordinateur ainsi que les équipements connectés
de manière sûre et ordonnée. La taille et la conception d'un ASI déterminent la durée pendant
laquelle il fournira du courant.

c) Serveur

Un serveur informatique est un dispositif informatique (matériel et logiciel) qui offre

des services à un ou plusieurs clients (parfois des milliers). Les services les plus courants
sont : l'accès aux informations du World Wide Web, le courrier électronique, le partage de
périphériques (imprimantes, disque durs, etc.), le commerce électronique, le stockage en base
de données, la gestion de l'authentification et du contrôle d'accès, le jeu et la mise à
disposition de logiciels applicatifs.
 d) Routeur

Un routeur est un appareil capable de gérer un petit réseau (par exemple le réseau de votre
domicile) et de distribuer une connexion Internet à tous les ordinateurs de votre réseau
domestique, soit par câble, soit sans-fil.

e) Access point WIFI

un point d'accès sans fil (WAP ou simplement AP de l'anglais Wireless Access Point) est un

dispositif qui permet aux périphériques sans fil de se connecter à un réseau câblé ou au réseau
Internet à l'aide d'une connexion radio2. Le point d'accès en tant que dispositif autonome est
habituellement relié à un routeur (par l'intermédiaire d'un réseau câblé), mais il peut aussi
faire partie intégrante du routeur lui-même.

f) Switch

Un switch, un commutateur ou encore un commutateur réseau en français, est un équipement

qui fonctionne comme une multiprise ou si on reste sur le volet informatique un pont
multiport… qui permet de relier plusieurs segments d’un réseau informatique entre eux. Dit
plus simplement, il s’agit d’un boîtier doté de quatre à plusieurs dizaines de ports Ethernet, et
qui sert à relier en réseau différents éléments du système informatique.

g) Moniteur

En informatique, on appelle « moniteur » le périphérique de sortie vidéo de l'ordinateur. Un

moniteur affiche en temps réel les images émises par la carte graphique de la machine. Il s'y
connecte par l'intermédiaire d'un câble VGA, RCA, DVI, HDMI, Display Port ou même USB.

h) NVR

NVR est l'abréviation de « Network Video Recording ». Il s'agit d'un dispositif qui enregistre
les séquences vidéo des caméras IP et qui transmet les vidéos des caméras à des dispositifs
externes ou à d'autres ordinateurs sur un réseau. Un NVR est une solution de surveillance
tout-en-un qui ne nécessite pas de logiciel d'enregistrement séparé.

i) Tiroir fibre optique

Le tiroir fibre optique a pour utilité de regrouper tous les câbles fibres optiques dans un même
endroit, à les connecter entre eux, pour ensuite les connecter à des équipements réseaux actifs
tels que des switchs Ethernet, des routeurs, des caméras, etc. Le tiroir fibre optique permet
également de faciliter la maintenance et la gestion du réseau en offrant une méthode d'accès
pratique et efficace pour connecter et déconnecter l'installation fibres optiques.

j) Convertisseur optique

Un convertisseur de média à fibre est un périphérique de mise en réseau qui permet de

connecter deux types de média différents, tels qu'une paire torsadée ou un câble coaxial à un
câble à fibre optique.

k) Convertisseur électrique

Un convertisseur électrique permet de transformer le courant continu, stocké dans une batterie

ou produit par un générateur de courant (panneaux solaires photovoltaïques, éolienne, etc.) en
courant alternatif qui peut ensuite être utilisé ou réinjecté sur le réseau de
distribution électrique.

l) Coffret de distribution réseau

m) Coffret de protection parafoudre

Le parafoudre est un dispositif destiné à limiter les surtensions transitoires d'origine

atmosphérique et à dériver les ondes de courant vers la terre, afin de limiter l'amplitude de
cette surtension à une valeur non dangereuse pour l'installation électrique et l'appareillage
électrique.

n) Coffret d’alimentation

Le coffret électrique est l'appellation pour le matériel qui assure et protège l'alimentation

électrique dans une habitation par exemple et qui contient le tableau électrique de répartition.
Le regroupement de coffrets électriques est la composition des armoires électriques.

o) Disjoncteur tétrapolaire

Un disjoncteur est un interrupteur automatique de courant électrique. Le disjoncteur

tétrapolaire est majoritairement utilisé dans les milieux industriels. Il est employé sur un
réseau triphasé, comme pour les modèles tripolaires. La différence avec le modèle tripolaire
vient du fait que le disjoncteur tétrapolaire dispose d'un 4ème pôle pour accueillir un neutre.
 p) Connecteurs PoE

Le Power over Ethernet (PoE), ou l’alimentation électrique par câble Ethernet, est
la technologie qui utilise les câbles Ethernet RJ45 pour alimenter en électricité les
équipements PoE tels que les téléphones et les caméras IP en même temps que la transmission
des données.

q) Climatiseur

Un climatiseur est un appareil de climatisation servant à maintenir l'air d'une salle, d'une pièce
ou d'une enceinte fermée dans des conditions de température et d'humidité requise.

r) Balance

Une balance est un instrument de mesure du poids, indispensable pour respecter les

proportions exactes (notamment en pâtisserie) et très utile pour peser les ingrédients d'un
certain volume.

2.1.2 Présentation des services

a) Accès internet

L'accès à Internet est une désignation des moyens mis à la disposition d'un particulier ou d'une
entreprise pour accéder à Internet.

b) VPN

En informatique, un réseau privé virtuel ou réseau virtuel privé, plus communément abrégé en
VPN, est un système permettant de créer un lien direct entre des ordinateurs ou des sites
distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de
télécommunication publics telqu’internet.

c) VOIP

La voix sur IP, ou « VoIP » pour « Voice over IP », est une technologie informatique qui
permet de transmettre la voix sur des réseaux compatibles IP, via Internet ou des réseaux
privés ou publics, qu'ils soient filaires ou non.

d) Réseau local LAN

LAN est l’abréviation de Local Area Network. Elle désigne les réseaux avec une étendue
spatiale limitée. La plupart du temps, les LAN sont utilisés dans les domiciles privés ou dans
 des entreprises pour mettre en place un réseau local ou un réseau d’entreprise. Ils permettent
aux différents appareils de communiquer les uns avec les autres sans besoin d’accès internet.

e) Impression

Un service d’impression est un service permettant aux utilisateurs d’un réseau d’imprimer à
partir de n’importe quel appareil du réseau.

f) Tracking

Le tracking permet de suivre, grâce à des balises de géolocalisation des objets comme le

téléphone jusqu'à votre voiture en passant par votre vélo ou bien des personnes. Pour sécuriser
des biens ou des personnes, la géolocalisation est un atout incomparable qui permet de
connaitre l'emplacement exact et en temps réel.

g) Messagerie professionnelle

Une messagerie professionnelle est une adresse email utilisé dans le cadre de votre travail,
possédant un nom de domaine propre à vous-même ou à l’entreprise dans laquelle vous
travaillez.

h) Serveur d’application

Un serveur d'applications est un type de serveur conçu pour installer, faire fonctionner et
héberger des applications et des services associés pour les utilisateurs finaux, les services
informatiques et les organisations. Il facilite l'hébergement et la livraison d'applications grand
public ou professionnelles haut de gamme, qui sont utilisées par plusieurs utilisateurs locaux
ou distants connectés simultanément.

i) La vidéosurveillance

La vidéo surveillance est traditionnellement utilisée par les entreprises pour surveiller leurs
locaux ou par les particuliers pour surveiller leur maison durant leur absence. La
vidéosurveillance est un système de caméras disposées dans un espace public ou privé pour le
surveiller. Les images obtenues avec ce système de vidéosurveillance, sont ensuite visionnées
et/ou archivées.

2.1.3 Présentation des applications

Description de l’application Nom de l’application Département(s) concerné(s)

Gestion des reporting de vente Congelreport Commande
Gestion de l’infirmerie Gesinfirmerie Infirmerie
Gestion des gros clients Grosclients Finance
Gestion des
approvisionnements
Gestion des achats Congelachat Achat
Gestion du carburant Gescarburant
Gestion du matériel Gesressources Achat
Gestion commerciale Gescommerciale Comptabilité
Gestion de la comptabilité Sagecomptable Comptabilité
Gestion des immobilisations Sageimmobilisations Comptabilité
Gestion de la paie Sagepaie Ressource humaine
Gestion des agences Reportagence Entrepôts
Odoo Tous
OpenERP Tous
Applications en ligne
Gestion des opérations de Ebanking Finance
banque
Applications du cloud Tous
Gestion des mails Emailing Tous
Providerapp Agence
Gestion des rapports de vente Reportzone Agence
Gestion des tickets de la DFS Agence
balance
Gestion des opérations de OpenERP Agence
vente
Gestion de la collecte des Openskell Agence
ventes en détail et
communication avec les
machines du CA

CHAP II :
L’optimisation de la gestion de la continuité des services dans un système d’information après
incidents consiste en la prévention, prévision , la gestion des incidents et problèmes , la
gestion de la continuité des services et la reprises des activités après incidents, dans le but
d’assurer la disponibilité, la sécurité ainsi que la performance des services avant, pendant et
après un incident, afin de réduire les temps d’arrêt de services, les coûts, l’impact business ou
métier des incidents en mettant en place des processus efficaces et normalisées lorsque ces
incidents se produisent

I- EXPLICATION DES PRE-REQUIS

a) Gestion des services informatiques

Selon ITIL un service est l'ensemble des moyens mis en œuvre pour produire de la valeur
pour un client, sans que celui-ci n'en supporte ni les coûts spécifiques et supplémentaires ni
les risques associés. La gestion des services informatiques, plus connue sous le sigle anglais
de ITSM pour « information technology service management » est une des bases de l'ITIL qui
la définit ainsi : la gestion des services informatiques (« Service Management ») est une
approche de la gestion des SI. Elle se propose de représenter le SI comme un ensemble de
capacités (« capabilities ») organisationnelles permettant de fournir de la valeur à des clients
sous forme de services. Cette valeur est intangible et non monnayable pour l'entreprise. Elle
est composée d'une part d'équipes techniques (« functions ») composées de spécialistes et
d'autre part de processus.

b) Gestion des incidents

ITIL définit un incident comme un événement unique non planifié qui provoque une
interruption de service. La gestion des incidents est habituellement suivie d’une analyse post-
incident dans laquelle on détermine comment il est apparu malgré les précautions et les
contrôles mis en place. Cette analyse est normalement supervisée par les dirigeants des
organisations. Le but de cette supervision est de pouvoir mettre en place des mesures de
précaution pour éviter la réitération de l’incident. Les informations obtenues seront ensuite
utilisées comme des feedbacks pour améliorer la politique de sécurité et/ou
son implémentation au sein de l’organisation

c) Gestion des problèmes

Comme le définit ITIL, un problème est une cause, ou une cause potentielle, d'un ou de
plusieurs incidents. La gestion des problèmes travaille avec la gestion des incidents et la
gestion des changements afin de d'assurer que la disponibilité et la qualité des services TI
s'améliorent. Lorsque les incidents sont résolus, l'information de résolution est enregistrée. Au
fil du temps, cette information est utilisée pour accélérer le temps de résolution et d'identifier
des solutions permanentes, réduisant ainsi le nombre et le temps de résolution des incidents.
Cela se traduit par moins de pannes et moins de perturbations pour les systèmes critiques de
l'entreprise.

d) Importance de la continuité des services

Assurer la continuité des services au sein d’une entreprise est une priorité absolue car un
incident peut avoir des conséquences multiples autant sur l’image de l’entreprise que de
nature financière par exemple la panne de 5 heures qui a coûté 150 millions de dollars à Delta
Air Lines en 2016 ou encore les nombreuses perturbations au sein du réseau des opérateurs de
réseaux mobiles Orange et MTN a engendré de nombreuses plaintes de la part des usagers et a
ainsi terni leur image vis à vis des clients et a eu des répercussions de nature financière

II- PCA/PRA
1- Définition
a) PCA

Le Plan de Continuité des Activités (PCA) se réfère aux mesures à prendre pour maintenir et
poursuivre les activités d’une organisation face aux menaces potentielles. Le plan garantit que
les opérations de l’entreprise, dans son ensemble, sont capables de fonctionner en cas
d’incident. Pour cela, le PCA doit identifier tous les risques pouvant affecter les opérations de
l’entreprise. Les risques peuvent inclure des catastrophes naturelles (incendies, inondations ou
événements météorologiques), des cyberattaques ou des fraudes.

b) PRA

Un Plan de Reprise d’Activité, PRA, vise à rétablir le système d’information de l’entreprise

au plus vite en cas de sinistre. Le PRA vise à minimiser les temps d’arrêt de l’entreprise en
maintenant l’accès aux infrastructure informatiques et aux applications critiques (par exemple
s’assurer de la mise à niveau du datacenter). Celles-ci comprennent les données, le matériel,
les logiciels, l’équipement réseau, l’alimentation et la connectivité. Par exemple le service de
téléphonie. Pour cela, le PRA va inclure deux éléments très importants : le RPO et le RTO.
  Le point de récupération (RPO) : le RPO indique la quantité de données qu’une
organisation accepte de perdre. Si un accident survient entre deux sauvegardes, quel
historique de travail êtes-vous prêt à perdre ? 10 min? 10 heures? La réponse à cette
question déterminera indirectement la fréquence nécessaire de vos sauvegardes. Ces
sauvegardes peuvent être des répliques d’environnements virtualisés par exemple.
 L’objectif de temps de récupération (RTO) : le RTO définit le temps d’arrêt tolérable
pour une entreprise. Selon le secteur d’activité, quelques secondes d’interruptions
peuvent représenter des pertes financières considérables (ex : le trading haute
fréquence). D’autres systèmes (tels que les bases de données RH) peuvent être
indisponibles pendant des heures sans nuire à l’entreprise. Le RTO répond donc à la
question : « Combien de temps peut prendre le système d’information pourêtre à
nouveau accessible suite à interruption d’activité ? »

c) Différence entre PCA et PRA

Le PCA vise le maintien de l’activité de l’entreprise pendant un sinistre. Le PRA se concentre

sur la restauration de l’accès à l’infrastructure informatique après un sinistre. En d’autres
termes, le premier est soucieux de maintenir l’activité, même dans des circonstances
inhabituelles ou défavorables. Le second s’attache à la ramener à la normale le plus
rapidement possible.

2- Choix de la méthodologie

La méthodologie choisie pour effectuer notre plan de continuité s’inspire largement des
référentiels ITIL.

III- PCA et PRA : cas de la DG

1- Détermination du but et du périmètre

Le PCA vise le maintien de l'activité de l'entreprise pendant un sinistre. Le PRA se concentre

sur la restauration de l'accès à l'infrastructure informatique après un sinistre. Notre plan de
continuité d’activité ou plan de reprise d’activité couvrira l’infrastructure réseau de notre salle
serveur ainsi que les différents services informatiques et applications offerts aux utilisateurs
2- Les équipements de la salle serveur
 01 Baie de brassage
 01 Onduleur principale de 5KVA
 01 Onduleur secondaire de 1.5KVA
 01 serveur HP proliant DL380 Gen10 pour Odoo
 01 serveur HP proliant DL580 G7 pour OpenERP
 01 serveur HP proliant ML350 Gen9 pour sauvegarde + comptabilité
 01 serveur HP proliant ML10 Gen9 pour petites applis
 01 routeur mikrotik RB2011 UI A5-RM pour connexion internet MATRIX
 01 routeur mikrotik RB2011 UI AS-2HND-IN pour connexion internet CAMTEL
 01 routeur cisco 2900 series pour call manager
 01 routeur cisco 2811 pour VPN
 02 switchs mikrotik CSS326-24G-2S+RM
 01 switch cisco SG-92-24
 01 Moniteur HP V213a pour vidéosurveillance
 01 Moniteur HP L1908w
 01 NVR dalua DH-XVR 5432N-X pour vidéosurveillance
 Tiroir optique
 Convertisseur optique
 Prises rackables
 Convertisseur électrique
 Coffret de distribution réseau informatique CAMTEL
 Coffrets de brassage électrique
 Coffret de protection parafoudre
 Coffret d’alimentation vidéosurveillance
 Disjoncteur tétrapolaire pour protection onduleur
 Connecteurs PoE pour alimenter les antennes Orange et MTN
 01 Climatiseur Midea

3- Identification des services et applications clés

Services/applications Niveau de priorité DMIA PDMA
Internet 1
Réseau LAN 1
VPN 1
Les applications Odoo 1
Les applications OpenERP 1
Service webmail 1
Biométrie 2

4- Identification des infrastructures clés

Infrastructure Niveau de priorité RTO PTO

Serveur HP proliant 1
DL380 Gen10
Serveur HP proliant 1
DL580 G7
Serveur HP proliant 1
ML350 Gen9
Serveur HP proliant
ML10 Gen9
Climatiseur 1
Onduleur principal 1
de 5KVA
Onduleur secondaire 2
de 1.5KVA
routeur mikrotik 1
RB2011 UI A5-RM
routeur mikrotik 1
RB2011 UI AS-
2HND-IN
NVR dalua DH- 2
XVR 5432N-X
 5- Analyse des risques et menaces

RISQUES / MENACES NATURE IMPACT MESURES

CORRECTIVES
Dégât des eaux, crues : Naturelle Destruction totale ou partielle Installer des sites de
des locaux ou équipements (ex : secours
foudre)
Incendie : Naturelle Destruction totale ou partielle Installer un détecteur de
d’équipements fumée et un arroseur
automatique
Défaillance de la Naturelle/ Son arrêt peut provoquer le Installer des climatiseurs
climatisation : Humaine dysfonctionnement ou l’arrêt du de redondance
SI
Perte d’alimentation Naturelle/ Arrêt de tous les services et Installer des sources
énergétique : Humaine activités d’alimentation secondaire
Perte des Naturelle/ Absence de réseau téléphonique
télécommunications : Humaine
Panne matérielle : Usure, Naturelle/ Arrêt de service
vieillissement, défaut de Humaine
maintenance, mauvais
emploi
Dysfonctionnement Humaine Arrêt de service
matériel : Dégradations,
erreurs de
programmation…
Dysfonctionnement Humaine
logiciel :
Destruction des matériels : Humaine Perte de données Accentuer la sécurité
Ex : sabotage des supports déaccès aux
de données infrastructures, n’y
accepter que les acteurs
directement concerné
Reniement d’actions : Humaine Perte d’intégrité des donnézs
Erreur de saisie : Ex : Humaine Compromission des
données fausses informations
Erreur d’utilisation : Humaine Compromission des données Former les utilisateurs
Attaque, Virus : Humaine Perte de données Installer un serveur
d’antivirus
Interception de signaux Humaine
parasites compromettants :
Espionnage à Humaine Installer des solutions de
distance/Écoute passive : surveillance réseau
Vol de supports ou de Humaine Installer des caméras de
documents : surveillance
Effraction/Vol de matériels Humaine
:
Divulgation interne/externe Humaine
:
Informations sans garantie Humaine
d’origine : Faux ou
contrefaçons (atteinte
fiabilité des informations)
Piégeage du matériel : Humaine
Utilisation illicite du Humaine
matériel :
Abus/usurpation de droit : Humaine Contrôle et gestion des
Ex-administrateur réseau accès
qui modifie les
caractéristiques
d’exploitation
Altération du logiciel : Humaine
Action visant à altérer ou
détruire les programmes
Copie frauduleuse du Humaine
logiciel : Copies pirates par
le personnel
Utilisation de logiciels Humaine
contrefaits ou copiés
Altération des données : Humaine
Atteinte à la disponibilité Humaine
du personnel : Maladie ou
tout empêchement,
volontaire (absentéisme…)

6- Proposition de solutions

Il existe plusieurs méthodes pour assurer la continuité de service d'un système d'information.
Certaines sont techniques (choix des outils, méthodes de protection d'accès et
de sauvegarde des données), d'autres reposent sur le comportement individuel des utilisateurs
(extinction des postes informatiques après usage, utilisation raisonnable des capacités de
transfert d'informations, respect des mesures de sécurité), sur des règles et connaissances
collectives (protection incendie, sécurité d'accès aux locaux, connaissance de l'organisation
informatique interne de l'entreprise) et de plus en plus sur des conventions passées avec des
prestataires (copie des programmes, mise à disposition de matériel de secours, assistance au
dépannage).

 La réplication des machines virtuelles : Etant donné que de nombreux services fournis
sont stockés dans des serveurs virtuels, cette solution permettra d’avoir des serveurs
miroirs de nos machines virtuelles tout en nous faisant économiser en ressources
matérielles et financières
 La redondance des serveurs : installer des serveurs secondaires qui vont se
synchroniser avec les serveurs principaux pour qu’en cas de panne des serveurs
principaux ils prennent la relève et ainsi assurent la continuité des activités
 La sauvegarde des données sur le cloud
 Prévoir une troisième source d’accès internet par exemple un Access point avec puce
MTN pour chaque service ou département
 Prévoir des ressources matérielles de secours telsque routeurs, switchs
 Installer des caméras de surveillance dans la salle serveur
  Limiter les accès de la salle serveur, n’y laisser entrer que les acteurs directement
concernés
 Prévoir des sites de secours par exemple une salle blanche
 Installer les armoires électriques pour protéger l’alimentation électrique contre l’eau,
la poussière et la chaleur, mais aussi contre le vandalisme par des personnes non
autorisées.

Les méthodes se distinguent entre préventives (éviter la discontinuité) et curatives (rétablir

la continuité après un sinistre). Les méthodes préventives sont souvent privilégiées, mais
décrire les méthodes curatives est une nécessité car aucun système n'est fiable à 100 %.

a- Mesures préventives

Dans le cadre de l'hébergement de leurs infrastructures et/ou applications la majorité des

organisations évoquent avoir besoin des solutions suivantes afin d’assurer la continuité de
service de leurs applications métiers et infrastructures informatiques et télécoms sous -
jacentes :

 Sauvegarde et restauration de données ;

 Planning des actions à mener en cas de ;
 Conservation et archivage de données ;

Viennent ensuite, par ordre décroissant de citations, les solutions de réplication, mirroring et
secours multi-sites ou sur un autre site distant, de basculement sur un réseau de secours,
d’analyse de procédures et stratégies assurant la continuité de business, de gestion de bande
passante, de sécurité physique et logique…

 Gestion des accès

 Sauvegarde et restauration des données :

La préservation des données passe par des copies de sauvegarde régulières. Il est important de
ne pas stocker ces copies de sauvegarde à côté du matériel informatique, voire dans la même
pièce car elles disparaitraient en même temps que les données à sauvegarder en cas d'incendie,
de dégât des eaux, de vol, etc. Lorsqu'il est probable que les sauvegardes disparaissent avec le
matériel, le stockage des copies de sauvegarde peut alors être nécessaire dans un autre lieu
différent et distant. L’analyse d’impact a fourni des exigences exprimées en temps maximal
de rétablissement des ressources après un désastre (RTO: Recovery Time Objective ou Durée
maximale d'interruption admissible) et la perte maximale de données (RPO Recovery Point
Objective ou Perte de données maximale admissible). La stratégie doit garantir que ces
exigences seront observées.

 Les systèmes de secours :

Il s'agit de disposer d'un système informatique équivalent à celui pour lequel on veut limiter
l'indisponibilité : ordinateurs, périphériques, systèmes d'exploitation, programmes particuliers,
etc. Une des solutions consiste à créer et maintenir un site de secours, contenant un système
en ordre de marche capable de prendre le relais du système défaillant. Selon que le système de
secours sera implanté sur le site d'exploitation ou sur un lieu géographiquement différent, on
parlera d'un secours in situ ou d'un secours déporté.

Pour répondre aux problématiques de recouvrement de désastre, on utilise de plus en plus

fréquemment des sites délocalisés, c'est-à-dire physiquement séparés des utilisateurs, de
quelques centaines de mètres à plusieurs centaines de kilomètres : plus le site est éloigné,
moins il risque d'être touché par un désastre affectant le site de production. Mais la solution
est d'autant plus chère, car la bande passante qui permet de transférer des données d'un site
vers l'autre est alors généralement plus coûteuse et risque d'être moins performante.
Cependant la généralisation des réseaux longues distances et la baisse des coûts de
transmission rendent moins contraignante la notion de distance : le coût du site ou la
compétence des opérateurs (leur capacité à démarrer le secours rapidement et rendre l'accès
aux utilisateurs) sont d'autres arguments de choix.

Voici les différentes solutions de sites de secours, de la moins coûteuse à la plus coûteuse :

• Les salles blanches, appelées également « sites froids » Il s’agit d’une salle vide, prête à
recevoir le matériel informatique en cas de déclenchement du plan de reprise.

• Les salles oranges, appelées également « sites tièdes » Une salle orange est un intermédiaire
entre une salle blanche et une salle rouge. Dans une salle orange, seuls les serveurs, dédiés
aux applications les plus critiques du SI, sont déjà présents et prêts à fonctionner.
• Les salles rouges, appelées également « sites chauds » Dans le cas d’une salle rouge, tous les
équipements nécessaires à la reprise du SI, sont présents et prêts à fonctionner. Par contre,
selon les choix technologiques mises en œuvre en matière de sauvegarde et de stockage
(sauvegarde à distance, journalisation à distance, ou réplication asynchrone), les données
applicatives seront disponibles plus ou moins rapidement en cas de besoin.

• Les salles miroirs Une salle miroir est similaire à une salle rouge, sauf que dans le cas d’une
salle miroir, les données applicatives sont disponibles instantanément, grâce à un mécanisme
de réplication synchrone. On distingue deux catégories de salles miroirs. Soit la salle miroir
est passive et ne traite aucune donnée de production. Elle ne devient active qu’en cas de
déclanchement du plan de continuité informatique. Soit elle est pleinement active, et la
production est partagée en permanence entre les deux sites. Le choix technologique, entre ces
différents moyens, doit être fait, en fonction de la durée d’indisponibilité tolérée par le SI.
Bien entendu, cela peut varier d’une application à une autre, et des choix différents peuvent
cohabiter au sein d’un même PCI.

Plus les temps de rétablissement garantis sont courts, plus la stratégie est coûteuse. Il faut
donc choisir la stratégie qui offre le meilleur équilibre entre le coût et la rapidité de reprise.

D'autre part pour des problématiques de haute disponibilité on a recours aussi à de la

redondance mais de manière plus locale.

 Doublement d'alimentation des baies des serveurs

 Redondance des disques en utilisant la technologie RAID
 Redondance de serveurs avec des systèmes de load balancing (répartition des
requêtes) ou de heartbeat (un serveur demande régulièrement sur le réseau si son
homologue est en fonctionnement et lorsque l'autre serveur ne répond pas, le
serveur de secours prend le relais).

Il est aussi possible de recourir à un site secondaire de haute disponibilité qui se situe
généralement près du site de production (moins de 10 kilomètres) afin de permettre de les
relier avec de la fibre optique et synchroniser les données des deux sites en quasi temps réel
de manière synchrone ou asynchrone selon les technologies utilisées, les besoins et
contraintes techniques.
  Une bonne information et un bon partage des rôles :

Quel que soit le degré d'automatisation et de sécurisation d'un système informatique, la

composante humaine reste un facteur important. Pour limiter le risque de panne, les acteurs
d'un SI (service informatique) doivent adopter les comportements les moins risqués pour le
système et éventuellement savoir accomplir des gestes techniques.

 Pour les utilisateurs, il s'agit

o de respecter les normes d'utilisation de leurs ordinateurs : n'utiliser que
les applications référencées par les mainteneurs du SI, ne pas
surcharger les réseaux par des communications inutiles
(téléchargements massifs, échanges de données inutiles, rester
connecté sans nécessité), respecter la confidentialité des codes d'accès ;
o de savoir reconnaître les symptômes de panne (distinguer un blocage
d'accès d'un délai de réponse anormalement long, par exemple) et
savoir en rendre compte le plus vite possible.
 Pour les opérateurs du SI, il s'agit d'avoir la meilleure connaissance du système en
termes d'architecture (cartographie du SI) et de fonctionnement (en temps réel si
possible), de faire régulièrement les sauvegardes et de s'assurer qu'elles sont
utilisables.
 Pour les responsables, il s'agit de faire les choix entre réalisations internes et
prestations externes de manière à couvrir en totalité le champ des actions à
conduire en cas de panne (par exemple, rien ne sert d'avoir des machines de
secours si on ne prévoit pas la mise à jour de leur système d'exploitation), de
passer les contrats avec les prestataires, d'organiser les relations entre les
opérateurs du SI et les utilisateurs, de décider et mettre en œuvre les exercices de
secours, y compris le retour d'expérience.

b- Mesures curatives

Selon la gravité du sinistre et la criticité du système en panne, les mesures de rétablissement

seront différentes.

 La reprise des données :

Dans cette hypothèse, seules des données ont été perdues. L'utilisation des sauvegardes est
nécessaire et la méthode, pour simplifier, consiste à réimplanter le dernier jeu de sauvegardes.
Cela peut se faire dans un laps de temps court (quelques heures), si l'on a bien identifié les
données à reprendre et si les méthodes et outils de réimplantation sont accessibles et connus.

 Le redémarrage des applications :

À un seuil de panne, plus important, une ou des applications sont indisponibles. L'utilisation
d'un site de secours est envisageable, le temps de rendre disponible l'application en cause.

 Le redémarrage des machines :

 Provisoire : utilisation des sites de secours

 Définitif : après dépannage de la machine d'exploitation habituelle, y rebasculer les
utilisateurs, en s'assurant de ne pas perdre de données et si possible de ne pas
déconnecter les utilisateurs.

IV- PCA/PRA : CAS D’UNE AGENCE

Le PCA vise le maintien de l'activité de l'entreprise pendant un sinistre. Le PRA se concentre

sur la restauration de l'accès à l'infrastructure informatique après un sinistre. Notre plan de
continuité d’activité ou plan de reprise d’activité couvrira l’infrastructure réseau de notre salle
serveur ainsi que les différents services informatiques et applications offerts aux utilisateurs

1- Identification des services et applications clés

Services/applications Niveau de priorité RTO RPO

Réseau LAN 1
VPN 1
Internet 2
Providerapp 1
Les applications OpenERP 1
Reportzone 1
Openskell 1
 2- Identification des infrastructures clés

Infrastructure Niveau de prioriité RTO RPO

Machine du CA 1
Machine opérateur 1
Balance numérique 1
Balance analogique 1
Access point 1

3- Analyse des risques et menaces

RISQUES / MENACES NATURE IMPACT MESURES

CORRECTIVES
Incendie : Naturelle Destruction totale ou partielle Installer un détecteur de
d’équipements fumée et un arroseur
automatique
Perte d’alimentation Naturelle/Humaine Arrêt de tous les services et Installer des sources
énergétique : activités d’alimentation secondaire
Perte des Naturelle/Humaine Absence de réseau
télécommunications : téléphonique
Panne matérielle : Usure, Naturelle/Humaine Arrêt de service
vieillissement, défaut de
maintenance, mauvais
emploi
Dysfonctionnement Humaine Arrêt de service
matériel : Dégradations,
erreurs de
programmation…
Dysfonctionnement Humaine
logiciel :
Destruction des matériels : Humaine Perte de données Accentuer la sécurité
Ex : sabotage des supports déaccès aux
de données infrastructures, n’y
 accepter que les acteurs
directement concerné
Reniement d’actions : Humaine Perte d’intégrité des donnézs
Erreur de saisie : Ex : Humaine Compromission des
données fausses informations
Erreur d’utilisation : Humaine Compromission des données Former les utilisateurs
Attaque, Virus : Humaine Perte de données Installer un serveur
d’antivirus
Interception de signaux Humaine
parasites compromettants :
Espionnage à Humaine Installer des solutions de
distance/Écoute passive : surveillance réseau
Vol de supports ou de Humaine Installer des caméras de
documents : surveillance
Effraction/Vol de matériels Humaine
:
Divulgation interne/externe Humaine
:
Informations sans garantie Humaine
d’origine : Faux ou
contrefaçons (atteinte
fiabilité des informations)
Piégeage du matériel : Humaine
Altération du logiciel : Humaine
Action visant à altérer ou
détruire les programmes
Copie frauduleuse du Humaine
logiciel : Copies pirates par
le personnel
Utilisation de logiciels Humaine
contrefaits ou copiés
Altération des données : Humaine
Atteinte à la disponibilité Humaine
du personnel : Maladie ou
tout empêchement,
volontaire (absentéisme…)

4- Proposition de solutions
 Installer un poste de secours sur lequel on va configurer en machines virtueles les
machines du CA et de l’opérateur avec synchronisation des donnéés
 Plan de sauvegarde des données du réseau LAN de l’agence vers le réseau de la DG
 Installer un onduleur secondaire