Le Plan de Reprise dActivité pour les PME

  • Published on
    29-Jan-2018

  • View
    3.325

  • Download
    0

Transcript

1. Un plan de reprise dactivits pour grer efficacement lesconsquences dun sinistre sur loutil informatique de lentreprise 2. QUI SOMMES NOUS ?Nous sommes une socit de serviceinformatique spcialisedanslesinfrastructures systmes et rseaux. Creen 2009, nous somme une quipe despcialistes passionns par notre mtier etnous proposons nos services au TPE/PME.Nous sommes prsents sur la rgion PACAet sur la Valle du Rhne.Cette prsentation est assure parChristophe et Richard 3. MISE EN CONDITIONIMAGINEZ QUE VOUS ARRIVEZ UN MATIN AU BUREAU ETVOUS TROUVEZ LA SALLE INFORMATIQUE COMME CECI: QUE FAITES VOUS JUSTE APRES ? 4. QUEST CE QUE LE PRA ?Un PRA Plan de Reprise dActivit est un dispositif organisationnelet technique qui vise limiter limpact potentiel dun sinistre sur lesystme dinformation.Le PRA dune entreprise na pas vocation rpondre des incidentsdexploitation ou de fonctionnements isols, le PRA est la solutionde la dernire chance, lorsque toutes les protections, les mesures deprvention ont faillies et quun sinistre a touch le cur du systmeinformatique.Ce plan doit permettre de minimiser limpact dun sinistre surlactivit de lentreprise, assurer le fonctionnement des activitscritiques pendant la crise et enfin permettre un retour matris une situation davant crise. 5. LE CONTEXTEDe nombreuses tudes montrent quactuellement les entreprises ne sontpas suffisamment prpares au sinistre informatique et que limpact dun telvnement peut tre dsastreux. "Selon ltude MIPS 2010 du CLUSIF, 33 % des entreprises ne disposent toujours pas dun plan de reprise dactivit pour traiter les crises majeures." (Source CLUSIF, Club de la scurit des systmes dinformation franais). "Suite la destruction de ses moyens informatiques et tlcoms, une entreprise disparatra au-del dun arrt de 72 heures dans 40 % des cas." (Source : Eaglerock A Contingency Planning Research). "43% des entreprises ayant fait lexprience de la perte de donnes mais nayant pas prvu leur restauration ont ferm" (source CLUSIF Club de la scurit des systmes dinformation franais). 6. COMMENT PROCDER ?Llaboration dun PRA comporte plusieurs tapes:1. Analyse et cartographie de loutil informatique2.Identification des risques3. Analyse des contraintes de continuit4.Elaboration du plan5.Mises en places des solutions fonctionnelles et techniques6.Maintien et amliorations 7. ANALYSE ET CARTHOGRAPHIEDans cette phase, il convient de collecter tous les lments ncessaires lanalyse du projet, en ralisant linventaire des processus mtiers,puis de les dtailler, et de raliser un relev des actifs (outils, logiciels,matriels, infrastructures, sites dtablissement ). Une cartographiedes processus mtiers et du systme dinformation peut treentreprise. 8. IDENTIFICATION DES RISQUES ?Chaque entreprise est diffrente et il conviendra danalyser prcismentles risques spcifiques encourus, mais on peut quand mme tablir uneliste significative:VolSabotageIncendieInondationIncident lectriquePanne matrielleMauvaise manipulationAttaque ViraleIntrusion Salle informatique aprs un incendie 9. ANALYSE DES CONTRAINTESLobjectif de cette tape est dtudier lensemble des processus et leursbesoins en continuit et destimer les dures dinterruption maximalesadmissibles et raisonnables.Les donnes de sortie sont les indicateurs de scurit RTO et RPO. Ces deuxindicateurs contraignent fortement les moyens mettre en uvre pour tenirles objectifs. Il est CAPITAL de les dfinir de manire adapte.Le RTO pour Recovery Point Objective , dsigne la dure maximaledinterruption admissible vis--vis de lutilisateur mtier, cest--dire letemps maximal acceptable, pendant lequel une ressource informatique nestplus fonctionnelle.Le RPO Recovery Time Objective , est la dure maximaledenregistrement des donnes quil est acceptable de perdre. Cet indicateurpermet de juger au mieux des sauvegardes mettre en uvre. 10. ELABORATION DU PLANSelon la taille, la typologie, les activits de lentreprise et sa maturit vis--vis de la reprise dactivit, le contenu du PRA sera plus ou moins important.On pourra retrouver les plans suivants : Plan de gestion de crise : ce document dcrit lensemble des acteurs et dcrit leurs responsabilits. Il dcrit la mise en uvre de la cellule de crise et la gestion oprationnelle de la crise. Plan de reprise informatique : Ce document dcrit larchitecture informatique, et les mesures techniques de secours mises en uvre pour assurer la reprise informatique des applications mtiers. Ce plan contient en annexe, les procdures de reprise informatique. Plan de sauvegarde : Ce document dcrit les processus de sauvegarde mis en uvre pour assurer les sauvegardes des donnes. Il contient galement les procdures de restauration de chaque type de donne sauvegarde. Plan de test : des tests de continuit sont rgulirement effectus et le plan est rvis en fonction des carts constats. 11. MISE EN PLACE DES SOLUTIONSLes spcifications des solutions techniques sont fortement conditionnespar les contraintes de continuit. Il sagit maintenant de dployer cesdispositifs technologiques en mode projet.Il conviendra danalyser le march et de slectionner les solutionsprsentant toutes les garanties de prennit, fiabilit, dinteroprabilit etfinancirement adapts la taille de lentreprise.Des tests de validation fonctionnels et techniques doivent tre ralissaprs linstallation dun lment majeur dans linfrastructure.La solution de sauvegarde fera lobjet dune attention toute particulire carcest la clef de voute du dispositif. Il faut veiller notamment ce quellepermette une externalisation du jeu de sauvegarde.Il est essentiel de russir cette phase car les investissements sont consentispour une priode dau moins 3 ans voire 5 ans. 12. MAINTIEN ET AMELIORATIONSLe plan est dsormais fonctionnel et il est adoss une infrastructurefonctionnelle. Il faut dsormais maintenir cet ensemble et sassurer quil resteefficient dans le temps.Pour ce faire, il faut sassurer que le plan reste connu de lensemble desintervenants en organisant rgulirement des tests blanc peu couteux etsans impact sur la production.Mais il faut galement veiller le faire voluer en mme temps quelinfrastructure volue pour accompagner les nouveaux besoins de lentreprise(changement de matriel, modification de configuration, changement delogiciel,).Le test en condition relle sera men au moins annuellement de manire immerger les intervenants dans lenvironnement de crise que reprsente cetype dincident et aussi pour tester prcisment la rponse de linfrastructure. 13. QUELLE TECHNOLOGIE ?Aujourdhui pour laborer un PRA on peut faireappel une technologie nomme Virtualisationqui consiste faire fonctionner en mme temps, surun seul ordinateur, plusieurs systmes dexploitation(dits virtuels) comme sils fonctionnaient sur desordinateurs distincts.Cest un atout majeur dans un PRA. Par exemple, celapermet de migrer votre systme de Devis/facturedun serveur un autre par une simple copie de fichier(en cas de panne du serveur principal par exemple).Cette technologie a beaucoup dautres atouts commede rduire les cots de possession ou bien de rduirela facture nergtique (Green IT). Cest un outilincontournable pour laborer une infrastructurecapable de supporter un PRA. 14. SYNTHESE ET PERSPECTIVEAvec un climat mondial plomb par laugmentation des sinistres majeurs (en frquence eten gravit) : tempte dvastatrice de dcembre 1999, les attentats du World TradeCenter, lexplosion de lusine AZF de Toulouse en 2001, les inondations du Gard enseptembre 2002, les attentats de Madrid en 2004, le tsunami du Sud-Est asiatique endcembre 2004, les attentats de Londres en 2005, le tremblement de terre du Sichuan en2008, la neige Marseille et en Provence en janvier 2009, le tremblement de terre delAquila en Italie, le tsunami au Japon en mars 2011, les dirigeants dentreprises et leurspartenaires sont de plus en plus sensibles aux menaces potentielles qui psent sur leurentreprise.Si lon ajoute cela, un contexte de crise, une complexit croissante des organisations (ladfaillance dune entreprise des effets de bords sur dautres entreprises ex : la crise desurprime), une dpendance toujours plus forte des entreprises vis--vis de leur SI, undurcissement des rglementations concernant la continuit dactivit, une augmentationsensible des exigences clients, les chefs dentreprises prennent de plus en plus consciencede la ncessit dun plan de reprise.Il est important de noter que le PRA nest quune pice dun plan plus global appel le PCA(Plan de Continuit dActivit) qui concerne, lui, le cur de mtier de lentreprise. 15. QUESTIONS/REPONSES MERCI DE VOTRE ATTENTIONET DE VOTRE PARTICIPATION ACETTE PREMIERE JOURNEE DU NUMERIQUE EN VAUCLUSE. 16. Contact:Geco-IT13, Rue Pasteur84 800 Lisle sur la sorgue04 90 38 20 50Contacts:Christophe Baudrierc.baudrier@geco-it.fr06 45 73 57 87Cyril Duchenoyc.duchenoy@geco-it.fr06 25 22 94 43

Recommended

View more >