EXAMEN PROFESSIONNEL D’ACCES AU GRADE D’INGENIEUR

PRINCIPAL DES SYSTEMES D’INFORMATION ET DE

COMMUNICATION

- SESSION 2020 -

Mardi 24 septembre 2019

SUJET 1

Etude de cas à partir de deux dossiers techniques de trente pages maximum, soumis
au choix du candidat le jour de l'épreuve écrite, permettant de vérifier les capacités d'analyse
et de synthèse du candidat ainsi que son aptitude à dégager des solutions appropriées

(Durée: 4 heures)

Le dossier documentaire comporte 25 pages.

Il vous est rappelé que votre identité ne doit figurer que dans l’en-tête de la copie (ou des
copies) mise(s) à votre disposition. Toute mention d’identité ou tout signe distinctif porté
sur toute autre partie de la copie ou des copies que vous remettez en fin d’épreuve
entraînera l’annulation de votre épreuve.
Si la rédaction de votre devoir impose de mentionner des noms de personnes ou de villes
et si ces noms ne sont pas précisés dans le sujet à traiter, vous utiliserez des lettres pour
désigner ces personnes ou ces villes (A…, B…, Y…, Z…).

NOUVEAUTES 2019

1. LES COPIES SERONT RENDUES EN L’ÉTAT AU SERVICE ORGANISATEUR. A L’ISSUE DE L’ÉPREUVE, CELUI-CI
PROCÉDERA À L’ANONYMISATION DE LA COPIE.
2. NE PAS UTILISER DE CORRECTEUR D’ORTHOGRAPHE SUR LES COPIES.
3. ECRIRE EN NOIR OU EN BLEU – PAS D’AUTRE COULEUR.
4. IL EST RAPPELÉ AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE SUR LA COPIE.
 SUJET

La transformation numérique de l’Etat et le déploiement de téléservices ont renforcé la sollicitation des

systèmes et les exigences de disponibilité attendues par les agents et les usagers. Ces nouveaux
usages du numérique ont très fortement étendu les horaires d’ouverture et la nécessaire disponibilité
du système d’information (SI).

Dans ce contexte, la direction des systèmes d’information (DSI) d'un ministère exploite et maintient
deux datacenters qui hébergent 100 applications développées sous différentes technologies (GCOS,
micro, virtuel, cloud).
Les deux sites sont localisés dans deux régions différentes (un en Ile-de France et l’autre en Nouvelle-
Aquitaine).

Un état des lieux mené il y a six mois a fait apparaître une situation globale de bon niveau :
• L’intégrité des données est bien garantie : les cas de pertes de données sont très rares et les
sauvegardes, réalisées de façon industrielle, correspondent aux niveaux de service garantis
par la DSI.
• Les sauvegardes sont réalisées sur des baies de disque locales, elles-mêmes synchronisées
sur un stockage disque installé hors datacenter, dans la dataroom d’un site d’administration
centrale dédiée à cet effet.
• Il existe un inventaire complet et à jour de tous les éléments de configuration de chacun des
datacenters.
• La disponibilité globale du SI est bonne.
• Il n’y a jamais eu de destruction, même partielle, d’un datacenter. La DSI a toujours su relancer
les applications après une panne.
• Un peu plus de 50% des applications disposent d’un plan de bascule opérationnel.

Pour autant, si les plans de bascule ont bien été testés séparément, le risque de perte d'un site
complet n'a jamais été pris en compte.

Vous êtes chargé(e) de mission résilience au sein de la DSI, et votre directeur vous demande une note
sur la stratégie à adopter afin de mettre en place un plan de continuité d'activité (PCA) pour couvrir le
risque de perte d'un datacenter.
Vous présenterez une démarche méthodologique d'actions immédiates et à long terme permettant la
mise en oeuvre de ce plan, en précisant les impacts organisationnels, ainsi que vos propositions
d'urbanisation du SI.
Dossier documentaire :

Document 1 Extrait des Echos Executives (https://business.lesechos.fr/) : Page 1

la non-continuité des activités, pire menace pour les entreprises.
Document 2 Tableau récapitulatif des applications opérées par la DSI. Page 2
Document 3 Organigramme de la DSI. Page 3
Document 4 Tableau des métiers et des compétences de la DSI. Page 4
Document 5 Chronogramme type d'un plan de bascule d’une application avec Page 5
un niveau de service « Emeraude ».
Document 6 Engagements des niveaux de service proposés par la DSI pour Page 6
ses hébergements.
Document 7 Matrice synthétique des risques sur les datacenters hébergés par Page 7
la DSI.
Document 8 Extraits du guide du Secrétariat Général à la Défense et à la Pages 8 à 24
Sécurité Nationale pour réaliser un plan de continuité d’activité :
http://www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-sgdsn-
110613-normal.pdf

Pourquoi élaborer un plan de continuité d’activité ?

Fiche 13 : Traiter, transférer, éviter ou accepter les risques
identifiés.
Fiche 15 : Définir les objectifs de continuité en mode dégradé et
pour la reprise d’activité.
Fiche 16 : Définir les exigences pour les ressources nécessaires
au PCA.
Fiche 20 : Définir la stratégie de continuité d’activité.
Fiche 21 : La mise en œuvre des moyens nécessaires au PCA.
Fiche 22 : Processus de gestion de crise et PCA.
Fiche 26 :Le maintien en condition opérationnelle du PCA.
Lexique

Document 9 Extrait de la politique de sécurité des systèmes d’information de Page 25

l’État,
https://www.ssi.gouv.fr/uploads/IMG/pdf/pssie_anssi.pdf
Gestion de la continuité d’activité des SI.
 DOCUMENT 1

https://business.lesechos.fr/directions-financieres/comptabilite-et-gestion/gestion-des-risques/0600633714592-la-non-
continuite-des-activites-pire-menace-pour-les-entreprises-326835.php

La non-continuité des activités, pire menace pour les

entreprises.
Cecile Desjardins Le 06/02/2019 à 06:00

Tendance | Les dirigeants s'inquiètent avant tout de la vulnérabilité de leurs

systèmes d'information mais, dans la majorité des cas, les crises qu'ils ont
connues étaient liées à des défaillances opérationnelles.

La crise n'arrive pas que chez les autres. Le Baromètre relatif aux risques majeurs des entreprises que
publie, mardi 5 février, le groupe d'audit et de conseil Grant Thornton, en atteste : 57 % des entreprises
estiment avoir vécu un ou plusieurs événements qualifiés de « crise » au cours des cinq dernières années.

Réalisée à l'automne auprès d'un panel de plusieurs centaines de dirigeants, l'enquête souligne que la
première cause de ces crises est en lien avec le métier : dans 65% des cas, les défaillances impactent les
activités opérationnelles. Viennent ensuite les crises de réputation (46 %), les événements de type RH ou
social (38 %), ceux rattachés à la sécurité et la sûreté (31 %), puis au cyber (27 %) et à l'environnement
(12 %).

Mais les événements « vécus » ne sont pas ceux qui inquiètent le plus pour l'avenir. Les dirigeants redoutent
aujourd'hui d'autres types de crises, celles liées à la vulnérabilité des systèmes d'information (45 %), à des
événements sociétaux ou éthiques (32 %) et à la gouvernance (13 %). « On constate une dichotomie entre la
menace redoutée et les crises avérées qui sont souvent liées aux opérations, et donc à des éléments que les
entreprises devraient mieux maîtriser », prévient Clotilde Marchetti, associée et responsable de l'offre
risques extrêmes de Grant Thornton.

Prise de conscience
Les trois quarts des dirigeants interrogés jugent que les crises pourraient se multiplier. On comprend alors
que la direction générale « accorde un intérêt particulier à la gestion de crise » dans 63 % des
entreprises. « Il y a eu une forte évolution au cours des cinq dernières années : il n'est plus nécessaire,
aujourd'hui, d'évangéliser les directions générales. Elles ont compris l'importance de protéger leurs
collaborateurs, tout comme de se protéger elles-mêmes face à la responsabilité pénale. La gestion de crise
est aussi devenue un atout concurrentiel important dans certains appels d'offres », remarque Clotilde
Marchetti.

Pourtant, seules 39% des structures disposent d'un service ad’hoc pour assurer un pilotage de crise. Quand il
existe, il est alors majoritairement composé d'une à cinq personnes et dépend du top management. Par
ailleurs, un quart des entreprises interrogées n'ont pas de « plan de continuité d'activités » (PCA). « Le
risque de non-continuité des activités est aujourd'hui perçu comme l'une des menaces les plus redoutées au
sein des entreprises privées. Toutefois, dans beaucoup d'entreprises, le périmètre du PCA est encore limité à
la continuité informatique. En outre, 55 % des répondants reconnaissent que le lien entre dispositif de
gestion de crise et PCA n'est pas efficace », explique Clotilde Marchetti, qui juge essentiel de mener « des
exercices de crise pour mieux impliquer et faire adhérer l'ensemble des collaborateurs à la gestion des
événements sensibles ».

1
 DOCUMENT 2

Tableau de répartition des applications hébergées et exploitées par la DSI

pour les applications dotées

Temps de bascule typique

Nombre d’applications

Nombre d’applications
avec plan de bascule

d’un plan de bascule

Taux d’applications
Site d’hébergement
Niveau de service

par sensibilité
Technologie
Sensibilité

Site 1 100 % 30 minutes 1

Diamant
Site 2 100 % 30 minutes 1
Mainframe Site 1 100 % 1 heure 1
Émeraude
Site 2 100 % 1 heure 1
Rubis Site 1 100 % 1 heure 1
Site 1 100 % 2 heures 1
Diamant
Site 2 100 % 2 heures 1
Serveurs Physiques
Site 1 50 % 4 heures 2
Émeraude
Site 2 100 % 4 heures 1
CRITIQUE Bisite actif/actif 100 % Immédiat 1 23
Diamant Site 1 50 % 15 minutes 2
Site 2 100 % 15 minutes 1
Machines virtuelles Site 1 0% 2
Émeraude
Site 2 0% 1
Site 1 100 % 4 heures 1
Saphir
Site 2 0% 1
Diamant Bisite actif/actif 100 % Immédiat 1
Cloud Site 1 100 % 15 minutes 2
Émeraude
Site 2 100 % 15 minutes 1
Mainframe Diamant Site 2 100 % 1 heure 3
Diamant Site 2 100 % 4 heures 4
Serveurs Physiques Site 1 0% 5
Rubis
Site 2 0% 2
Bisite actif/actif 100 % Immédiat 1
MOYENNE Émeraude Site 1 66 % 4 heures 3 34
Machines virtuelles Site 2 50 % 4 heures 2
Site 1 0% 3
Saphir
Site 2 0% 5
Site 1 100 % 1 heure 5
Cloud Émeraude
Site 2 100 % 1 heure 1
Site 1 50 % 6 heures 6
Rubis
Site 2 0% 5
Serveurs Physiques
Site 1 0% 4
Saphir
Site 2 0% 5
BASSE 43
Rubis Site 1 40 % 4 heures 6
Machines virtuelles Site 1 33 % 4 heures 3
Saphir
Site 2 25 % 4 heures 4
Cloud Saphir Site 1 100 % 1 heure 10

TOTAL APPLICATIONS : 100

2
 Organigramme de la Direction des Systèmes d’Information

Mission
Pilotage Transverse
Section
Ressources humaines Directeur
Mission
SSI et Résilience

Bureau Bureau Bureau

Bureau du support
des projets des infrastructures de la production

Section Section Section Section

Projets Métiers Exploitation des datacenters Exploitation des applications Centre d’appel
5 agents 6 agents (dont 1 en astreinte) 22 agents (dont 3 en astreinte) 10 agents

3
Section Section Section Section
Projets Transverses Administration système Supervision Support poste de travail
5 agents 15 agents (dont 2 en astreinte) 20 agents (fonctionnement h24) 15 agents

Section Section Section

Projets d’infrastructure Administration réseau Sauvegardes / ordonnancement
4 agents 10 agents (dont 2 en astreinte) 5 agents (dont 1 d’astreinte)

Section Section
Intégration applicative Administration stockage
10 agents 4 agents (dont 1 en astreinte)

Section
Expertise bases de données
4 agents (dont 1 en astreinte)
DOCUMENT 3
 Tableau des métiers et compétences techniques de la DSI

Nombre d'agents Compétences techniques "rares"

Bureau Section (hors encadrement) Familles de métiers Métiers détenues Certifications

Chef de projet maîtrise d'œuvre du

Bureau des projets Projets Métiers 4 Gestion de projet SI
Bureau des projets Projets Transverses 4 Gestion de projet Chef de projet maîtrise d'œuvre du
SI
Bureau des projets Projets d'infrastructure 3 Gestion de projet Chef de projet maîtrise d'œuvre du
SI
Bureau des projets Intégration applicative 9 Etudes et développement Intégrateur d’applications
Bureau des Exploitation des 5 Exploitation de Technicien d'exploitation
infrastructures datacenters l’infrastructure
Bureau des Administration système 14 Exploitation de Administrateur de systèmes Dont 1 expert GCOS, 2 experts Cloud et 1 agent certifié EMC Cloud

4
infrastructures l’infrastructure 3 experts VMWare
Bureau des Administration réseau 9 Exploitation de Administrateur de réseaux et
infrastructures l’infrastructure télécoms
Bureau des Administration stokage 3 Exploitation de Administrateur de systèmes Dont 1 expert Netbackup
infrastructures l’infrastructure
Bureau des Expertise bases de 3 Exploitation de Adminiistrateur de bases de Dont 1 expert PostgreSQL
infrastructures données l’infrastructure données
Bureau de la Exploitation des 21 Etudes et développement Gestionnaire des systèmes
production applications applicatifs
Bureau de la Supervision 19 Exploitation de Superviseur d’exploitation
production l’infrastructure
Bureau de la Sauvegardes 4 Exploitation de Technicien d'exploitation
production l’infrastructure
Bureau du support Centre d'appel 9 Gestion de la relation et du Techbnicien support utilisateurs
support métier
Bureau du support Support poste de travail 14 Exploitation de Technicien poste de travail Dont 2 experts Ubuntu
l’infrastructure
DOCUMENT 4
 Chronogramme type d’un plan de bascule d’une application
avec un niveau de service Émeraude

3.1
RESEAU 8.1
Bascule DNS SAUVEGARDES
DC2→DC1 Reconfiguration
Admin réseau Sauvegarde/ordo.
15 minutes 30 minutes

3.2 8.2
2 4 5 6
STOCKAGE SUPERVISION
1 APPLICATION APPLICATION APPLICATION CONTROLE 7
Bascule de la Activation de la
INFORMATION Arrêt des services Redémarrage de Démarrage des Vérif. du bon GO/NOGO
réplication sup. de l’appli.
Début de bascule et BDD l’appli satellite 1 Services et BDD Fonctionnement
DC2→DC1 sur DC1
Supervision Exploitation Exploit datacenter Exploitation Projets métiers Tous acteurs
Admin stockage Éq. Supervision
20 minutes 30 minutes 30 minutes 30 minutes
15 minutes 15 minutes

5
3.3
8.3
RESEAU
INFORMATION
Bascule des flux
Ouverture
Admin réseau
du service
15 minutes

Légende :
n Numéro de la tâche
XXXX Thème de la tâche
yyyyyyyyyy Description de la tâche
Equipe Équipe en charge
Durée Durée estimée
DOCUMENT 5
 DOCUMENT 6

Engagements des niveaux de service proposés par la DSI pour ses hébergements

Niveau de service Diamant Émeraude Rubis Saphir

Gestion de la
PCA Actif/actif PRA Actif/passif PCA local -
continuité

Aucune perte, hors

Perte de donnée
transaction en 2h 24 h 48 h
maximale
cours
L’application est L’application est
disponible sauf : disponible sauf :
L’application est L’application est • temps de • le temps de sa
accessible en disponible sauf le bascule reconstruction
permanence, y temps de la manuelle en en cas de
Disponibilité sur la compris en cas bascule cas de sinistre sinistre
plage d’ouverture d’incident sur la automatique, en • temps de • temps de
du service plate-forme cas de : résolution en résolution en
(hors WAN d’exploitation. • sinistre cas d’incident cas d’incident
et • incident bloquant bloquant
arrêts planifiés) bloquant • créneau de • créneau de
maintenance maintenance
≥ 99,9 % ≥ 99,5 % ≥ 98 % ≥ 95 %
(≤ 8 heures par an) (≤ 2 jours par an) (≤ 8 jours ouvrés (≤ 20 jours ouvrés
par an) par an)
Durée max. d’une
indisponibilité
1h 4h 24 h 96 h
(hors arrêts
planifiés)
Nombre max
d’indisponibilité par
an 12 12 16 16
(hors arrêts
planifiés)
Délai de résolution
d’un incident
80 % des 80 % des
majeur (bloquant 80 % des incidents 80 % des incidents
incidents sont incidents sont
ou de priorité sont résolus en sont résolus en
résolus en moins résolus en moins
maximale), après moins de 30 mn moins de 16 h
de 2 h de 8 h
détection
(heures ouvrées)
Délai de résolution
80 % des 80 % des
d’un incident non 80 % des incidents 80 % des incidents
incidents sont incidents sont
majeur, après sont résolus en sont résolus en
résolus en moins résolus en moins
détection moins de 2 h moins de 32 h
de 8 h de 16 h
(heures ouvrées)
Ouverture du Du lundi au Du lundi au
Tous les jours Tous les jours
support technique vendredi vendredi
(horaire de
métropole) 24h / 24h 24h / 24h de 08h à 18h de 08h à 18h

6
 DOCUMENT 7

Matrice synthétique des risques sur les deux datacenters hébergés par la DSI
Niveau de
Niveau d’impact
probabilité
Catégorie Risques principaux Plans principaux
DC 1 DC 2 DC 1 DC 2

- Plan de prévention des risques inondation (datacenter 1 en Ile-de-France situé en bord de

Inondation, crues. 2 5
Marne).
Météo Foudre. 4 4 2 2 - Systèmes parafoudre et paratenseur.

Canicule. 2 2 2 2 - Plan canicule DSI.

Transports impossibles (grèves, blocages - Dotation en urgence d'outils de télétravail

2 2 2 2 (journée de télétravail obligatoire pour tous les agents sur des fonctons vitales).
routiers, crue …).
Transports
Confinement du personnel à son domicile. 1 1 3 3 - Dotation en urgence d'outils de télétravail
(journée de télétravail obligatoire pour tous les agents sur des fonctons vitales).

Perte simultanée datacenters 1 et 2. 1 1 5 5 - Pas de plan identifié, mais sauvegardes des données hors des datacenters.

Panne de type EDF. 1 2 2 2 - Alimentation des groupes électrogène en fioul.

Région SEVESO
Installation classée pour la protection de - Pas de plan identifié
l'environnement susceptible de créer des 1 5 Datacenter 2 situé en Nouvelle-Aquitaine, à moins de 10 km d’un site industriel classé
accidents majeurs impliquant des substances SEVESO.
dangereuses.

- Mobilisation des agents de la DSI responsables des systèmes vitaux.

Perte de réseau datacenter. 2 2 2 2
- Mobilisation des opérateurs.
- Maintenances régulières, bascules régulières sur énergie de secours, location de groupe
Perte d'énergie datacenter. 2 2 2 2
électrique de secours.
Perte de climatisation datacenter. 2 2 2 2 - Maintenances régulières, location de groupe froid de secours.

Datacenter - Plan de reconstruction d'applications, selon les niveaux de services, de datacenter, en lien
Incendie en datacenter. 1 1 4 4 avec l'inventaire à jour en permanence des matériels, infrastructures, applications, avec
forges et sauvegardes hors du datacenter.
- Mobilisation des agents de la DSI responsables des systèmes vitaux.
- Location de ressources informatiques hors DSI pour reconstruction des applications.
Destruction accidentelle en datacenter. 1 1 4 4 - Bascules d'applications entre datacenter, selon les niveaux de services.
- Reconstruction ex nihilo d'un environnement opérationnel et d'applications, selon leurs
niveaux de services, à partir d'un autre site.

- Plan de rétablissement avec échelle de temps selon les niveaux de services des applications
(construire un reporting sur le temps de rétablissement autant que sur le taux de
Mobilisation immédiate sans relève possible. 1 1 3 3
Ressources disponibilité).
humaines - Replanification des maintenances programmées.

Compétences insuffisantes. 2 3 3 4 - Gestion des emplois, des effectifs et des compétences (GPEEC) à moyen terme (3 ans).

- Dotation en urgence d'outils de télétravail.

- Mobilisation des agents responsables des systèmes vitaux.
Crise Virus, pandémie, épidémie, maladie
2 2 3 3 - Plan de rétablissement avec échelle de temps selon les niveaux de services des applications
sanitaire contagieuse.
(construire un reporting sur le temps de rétablissement autant que sur le taux de
disponibilité) ; de pair replanification des maintenances.

Attaque après accident ou attentat. 1 1 3 3 - Garantr le fonctonnement du SI lors d'un atentat.

Attaques
Sabotage de datacenter. 1 1 3 3 - Faire face à un sabotage impliquant complicité ou non.

Niveau Probabilité : Combien de fois un risque peut se produire sur le DC

1 Improbable Ne se produit jamais ou très rarement
2 Rare Moins de 1 fois par an
3 Occasionnel Environ 2 à 3 fois par an
4 Probable Environ 3 à 4 fois par an
5 Fréquent Environ 5 fois et plus par an

Niveau Impact : quel impact peut avoir un évènement sur le DC

1 Négligeable Pas d’impact significatif.

2 Bas Le risque a un impact sur le fonctionnement des applications, mais il est atténué par des mesures efficaces.

3 Modéré Le risque a un impact significatif et n’a pas encore été atténué par les mesures. Il peut être géré en dehors des COPILs.

Le risque a un impact significatif sur un ou plusieurs aspects, généralement sans impact sur la stratégie.
Cependant, il doit être traité avec diligence dans un délai approprié :
- Escaladé au COPILs, car il nécessite une décision de gestion.
4 Critique - Les mesures prises pour réduire les risques.
- Si le risque ne peut être réduit de manière significative, alors une « mesure spécifique de contrôle » doit être documentée et le risque
suivi au niveau de la mission résilience.
L’évolution du risque doit être évaluée régulièrement.

A un impact majeur sur un ou plusieurs aspects, y compris la stratégie. Ce risque doit être traité en priorité.
- Escaladé au COPILs, car il nécessite une décision de gestion.
- Les mesures prises pour réduire les risques.
5 Castrophique
- Si le risque ne peut être réduit de manière significative, alors une « mesure spécifique de contrôle » doit être documentée et le risque
suivi au niveau de la mission résilience.
L’évolution du risque doit être évaluée régulièrement par la mission résilience.

7
 DOCUMENT 8

8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 DOCUMENT 9

0123456799 3563
35353
 
36653

!"#$#%
&0& &3
'
3773456(335)3436653)45

*+&0&
&3' 1 3633

'0 
6, 656753463353,4-3 
,-56334 5615.45665-3)3 35,3(66 566335
65343353,
*+/ ,5345636, 61665-3(3 3 &3(3 33 -3 
3 6(35,053 63103633 6653 33 -3
(3 -3
'02 ,5345634 7635665-3(3 3 &3(3 3 6(35053
565-3363.56347635665-35365- 65-
34$"#$!"
/5/'
&3' 53 533,
60*'
&3'

25