Académique Documents
Professionnel Documents
Culture Documents
- SESSION 2020 -
SUJET 1
Etude de cas à partir de deux dossiers techniques de trente pages maximum, soumis
au choix du candidat le jour de l'épreuve écrite, permettant de vérifier les capacités d'analyse
et de synthèse du candidat ainsi que son aptitude à dégager des solutions appropriées
(Durée: 4 heures)
NOUVEAUTES 2019
1. LES COPIES SERONT RENDUES EN L’ÉTAT AU SERVICE ORGANISATEUR. A L’ISSUE DE L’ÉPREUVE, CELUI-CI
PROCÉDERA À L’ANONYMISATION DE LA COPIE.
2. NE PAS UTILISER DE CORRECTEUR D’ORTHOGRAPHE SUR LES COPIES.
3. ECRIRE EN NOIR OU EN BLEU – PAS D’AUTRE COULEUR.
4. IL EST RAPPELÉ AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE SUR LA COPIE.
SUJET
Dans ce contexte, la direction des systèmes d’information (DSI) d'un ministère exploite et maintient
deux datacenters qui hébergent 100 applications développées sous différentes technologies (GCOS,
micro, virtuel, cloud).
Les deux sites sont localisés dans deux régions différentes (un en Ile-de France et l’autre en Nouvelle-
Aquitaine).
Un état des lieux mené il y a six mois a fait apparaître une situation globale de bon niveau :
• L’intégrité des données est bien garantie : les cas de pertes de données sont très rares et les
sauvegardes, réalisées de façon industrielle, correspondent aux niveaux de service garantis
par la DSI.
• Les sauvegardes sont réalisées sur des baies de disque locales, elles-mêmes synchronisées
sur un stockage disque installé hors datacenter, dans la dataroom d’un site d’administration
centrale dédiée à cet effet.
• Il existe un inventaire complet et à jour de tous les éléments de configuration de chacun des
datacenters.
• La disponibilité globale du SI est bonne.
• Il n’y a jamais eu de destruction, même partielle, d’un datacenter. La DSI a toujours su relancer
les applications après une panne.
• Un peu plus de 50% des applications disposent d’un plan de bascule opérationnel.
Pour autant, si les plans de bascule ont bien été testés séparément, le risque de perte d'un site
complet n'a jamais été pris en compte.
Vous êtes chargé(e) de mission résilience au sein de la DSI, et votre directeur vous demande une note
sur la stratégie à adopter afin de mettre en place un plan de continuité d'activité (PCA) pour couvrir le
risque de perte d'un datacenter.
Vous présenterez une démarche méthodologique d'actions immédiates et à long terme permettant la
mise en oeuvre de ce plan, en précisant les impacts organisationnels, ainsi que vos propositions
d'urbanisation du SI.
Dossier documentaire :
https://business.lesechos.fr/directions-financieres/comptabilite-et-gestion/gestion-des-risques/0600633714592-la-non-
continuite-des-activites-pire-menace-pour-les-entreprises-326835.php
La crise n'arrive pas que chez les autres. Le Baromètre relatif aux risques majeurs des entreprises que
publie, mardi 5 février, le groupe d'audit et de conseil Grant Thornton, en atteste : 57 % des entreprises
estiment avoir vécu un ou plusieurs événements qualifiés de « crise » au cours des cinq dernières années.
Réalisée à l'automne auprès d'un panel de plusieurs centaines de dirigeants, l'enquête souligne que la
première cause de ces crises est en lien avec le métier : dans 65% des cas, les défaillances impactent les
activités opérationnelles. Viennent ensuite les crises de réputation (46 %), les événements de type RH ou
social (38 %), ceux rattachés à la sécurité et la sûreté (31 %), puis au cyber (27 %) et à l'environnement
(12 %).
Mais les événements « vécus » ne sont pas ceux qui inquiètent le plus pour l'avenir. Les dirigeants redoutent
aujourd'hui d'autres types de crises, celles liées à la vulnérabilité des systèmes d'information (45 %), à des
événements sociétaux ou éthiques (32 %) et à la gouvernance (13 %). « On constate une dichotomie entre la
menace redoutée et les crises avérées qui sont souvent liées aux opérations, et donc à des éléments que les
entreprises devraient mieux maîtriser », prévient Clotilde Marchetti, associée et responsable de l'offre
risques extrêmes de Grant Thornton.
Prise de conscience
Les trois quarts des dirigeants interrogés jugent que les crises pourraient se multiplier. On comprend alors
que la direction générale « accorde un intérêt particulier à la gestion de crise » dans 63 % des
entreprises. « Il y a eu une forte évolution au cours des cinq dernières années : il n'est plus nécessaire,
aujourd'hui, d'évangéliser les directions générales. Elles ont compris l'importance de protéger leurs
collaborateurs, tout comme de se protéger elles-mêmes face à la responsabilité pénale. La gestion de crise
est aussi devenue un atout concurrentiel important dans certains appels d'offres », remarque Clotilde
Marchetti.
Pourtant, seules 39% des structures disposent d'un service ad’hoc pour assurer un pilotage de crise. Quand il
existe, il est alors majoritairement composé d'une à cinq personnes et dépend du top management. Par
ailleurs, un quart des entreprises interrogées n'ont pas de « plan de continuité d'activités » (PCA). « Le
risque de non-continuité des activités est aujourd'hui perçu comme l'une des menaces les plus redoutées au
sein des entreprises privées. Toutefois, dans beaucoup d'entreprises, le périmètre du PCA est encore limité à
la continuité informatique. En outre, 55 % des répondants reconnaissent que le lien entre dispositif de
gestion de crise et PCA n'est pas efficace », explique Clotilde Marchetti, qui juge essentiel de mener « des
exercices de crise pour mieux impliquer et faire adhérer l'ensemble des collaborateurs à la gestion des
événements sensibles ».
1
DOCUMENT 2
Nombre d’applications
Nombre d’applications
avec plan de bascule
par sensibilité
Technologie
Sensibilité
2
Organigramme de la Direction des Systèmes d’Information
Mission
Pilotage Transverse
Section
Ressources humaines Directeur
Mission
SSI et Résilience
3
Section Section Section Section
Projets Transverses Administration système Supervision Support poste de travail
5 agents 15 agents (dont 2 en astreinte) 20 agents (fonctionnement h24) 15 agents
Section Section
Intégration applicative Administration stockage
10 agents 4 agents (dont 1 en astreinte)
Section
Expertise bases de données
4 agents (dont 1 en astreinte)
DOCUMENT 3
Tableau des métiers et compétences techniques de la DSI
4
infrastructures l’infrastructure 3 experts VMWare
Bureau des Administration réseau 9 Exploitation de Administrateur de réseaux et
infrastructures l’infrastructure télécoms
Bureau des Administration stokage 3 Exploitation de Administrateur de systèmes Dont 1 expert Netbackup
infrastructures l’infrastructure
Bureau des Expertise bases de 3 Exploitation de Adminiistrateur de bases de Dont 1 expert PostgreSQL
infrastructures données l’infrastructure données
Bureau de la Exploitation des 21 Etudes et développement Gestionnaire des systèmes
production applications applicatifs
Bureau de la Supervision 19 Exploitation de Superviseur d’exploitation
production l’infrastructure
Bureau de la Sauvegardes 4 Exploitation de Technicien d'exploitation
production l’infrastructure
Bureau du support Centre d'appel 9 Gestion de la relation et du Techbnicien support utilisateurs
support métier
Bureau du support Support poste de travail 14 Exploitation de Technicien poste de travail Dont 2 experts Ubuntu
l’infrastructure
DOCUMENT 4
Chronogramme type d’un plan de bascule d’une application
avec un niveau de service Émeraude
3.1
RESEAU 8.1
Bascule DNS SAUVEGARDES
DC2→DC1 Reconfiguration
Admin réseau Sauvegarde/ordo.
15 minutes 30 minutes
3.2 8.2
2 4 5 6
STOCKAGE SUPERVISION
1 APPLICATION APPLICATION APPLICATION CONTROLE 7
Bascule de la Activation de la
INFORMATION Arrêt des services Redémarrage de Démarrage des Vérif. du bon GO/NOGO
réplication sup. de l’appli.
Début de bascule et BDD l’appli satellite 1 Services et BDD Fonctionnement
DC2→DC1 sur DC1
Supervision Exploitation Exploit datacenter Exploitation Projets métiers Tous acteurs
Admin stockage Éq. Supervision
20 minutes 30 minutes 30 minutes 30 minutes
15 minutes 15 minutes
5
3.3
8.3
RESEAU
INFORMATION
Bascule des flux
Ouverture
Admin réseau
du service
15 minutes
Légende :
n Numéro de la tâche
XXXX Thème de la tâche
yyyyyyyyyy Description de la tâche
Equipe Équipe en charge
Durée Durée estimée
DOCUMENT 5
DOCUMENT 6
Engagements des niveaux de service proposés par la DSI pour ses hébergements
Gestion de la
PCA Actif/actif PRA Actif/passif PCA local -
continuité
6
DOCUMENT 7
Matrice synthétique des risques sur les deux datacenters hébergés par la DSI
Niveau de
Niveau d’impact
probabilité
Catégorie Risques principaux Plans principaux
DC 1 DC 2 DC 1 DC 2
Perte simultanée datacenters 1 et 2. 1 1 5 5 - Pas de plan identifié, mais sauvegardes des données hors des datacenters.
Région SEVESO
Installation classée pour la protection de - Pas de plan identifié
l'environnement susceptible de créer des 1 5 Datacenter 2 situé en Nouvelle-Aquitaine, à moins de 10 km d’un site industriel classé
accidents majeurs impliquant des substances SEVESO.
dangereuses.
Datacenter - Plan de reconstruction d'applications, selon les niveaux de services, de datacenter, en lien
Incendie en datacenter. 1 1 4 4 avec l'inventaire à jour en permanence des matériels, infrastructures, applications, avec
forges et sauvegardes hors du datacenter.
- Mobilisation des agents de la DSI responsables des systèmes vitaux.
- Location de ressources informatiques hors DSI pour reconstruction des applications.
Destruction accidentelle en datacenter. 1 1 4 4 - Bascules d'applications entre datacenter, selon les niveaux de services.
- Reconstruction ex nihilo d'un environnement opérationnel et d'applications, selon leurs
niveaux de services, à partir d'un autre site.
- Plan de rétablissement avec échelle de temps selon les niveaux de services des applications
(construire un reporting sur le temps de rétablissement autant que sur le taux de
Mobilisation immédiate sans relève possible. 1 1 3 3
Ressources disponibilité).
humaines - Replanification des maintenances programmées.
Compétences insuffisantes. 2 3 3 4 - Gestion des emplois, des effectifs et des compétences (GPEEC) à moyen terme (3 ans).
2 Bas Le risque a un impact sur le fonctionnement des applications, mais il est atténué par des mesures efficaces.
3 Modéré Le risque a un impact significatif et n’a pas encore été atténué par les mesures. Il peut être géré en dehors des COPILs.
Le risque a un impact significatif sur un ou plusieurs aspects, généralement sans impact sur la stratégie.
Cependant, il doit être traité avec diligence dans un délai approprié :
- Escaladé au COPILs, car il nécessite une décision de gestion.
4 Critique - Les mesures prises pour réduire les risques.
- Si le risque ne peut être réduit de manière significative, alors une « mesure spécifique de contrôle » doit être documentée et le risque
suivi au niveau de la mission résilience.
L’évolution du risque doit être évaluée régulièrement.
A un impact majeur sur un ou plusieurs aspects, y compris la stratégie. Ce risque doit être traité en priorité.
- Escaladé au COPILs, car il nécessite une décision de gestion.
- Les mesures prises pour réduire les risques.
5 Castrophique
- Si le risque ne peut être réduit de manière significative, alors une « mesure spécifique de contrôle » doit être documentée et le risque
suivi au niveau de la mission résilience.
L’évolution du risque doit être évaluée régulièrement par la mission résilience.
7
DOCUMENT 8
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
DOCUMENT 9
0123456799 3563
35353
36653
!"#$#%
&0& &3
'
3773456(335)3436653)45
*+&0&
&3' 1 3633
'0
6, 656753463353,4-3
,-56334 5615.45665-3)3 35,3(66 566335
65343353,
*+/ ,5345636, 61665-3(3 3 &3(3 33 -3
3 6(35,053 63103633 6653 33 -3
(3 -3
'02 ,5345634 7635665-3(3 3 &3(3 3 6(35053
565-3363.56347635665-35365- 65-
34$"#$!"
/5/'
&3' 53 533,
60*'
&3'
25