Escolar Documentos
Profissional Documentos
Cultura Documentos
Les enjeux
On ne conduit pas une voiture sans assurance. Pourquoi considre-on possible de "conduire" une Entreprise sans Plan de Continuit des Activits ?
Page
"Faible" probabilit d'occurrence Frquence de rotation du Management Objectifs de rentabilit court terme Pas ou peu d'obligations lgales Mconnaissance / non formalisation des enjeux Pas de retour sur investissement apparent
Dans ce cas, pourquoi des grandes Entreprises ontelles mis en uvre un Plan de Continuit des Activits ? Parce qu'elles sont "riches" ? Parce qu'elles coutent les conseils des consultants ? Parce qu'elles ont un risque de sinistre plus important ?
Page
Page
Simplement parce qu' partir du moment o les risques sont connus, il est plus difficile d'assumer la dcision de ne rien faire pour protger l'entreprise
Page
Page
Page
de revenu AT&T 04/98 - Indisponibilit rseau de 6 heures : 40 millions de dollars en remises AOL 08/96 - 24 heures d'indisponibilit : 3 millions de dollars de remises
Page
Page
Sarbanes Oxley
Overview Narrative Entity Level IT Control Considerations The following is a description of the organizations IT-related Entity-Level controls to help enhance the overall control environment of the organization level, and/or within specific business units: 1. Policies promote ownership of data and applications to provide accountability and responsibility. 2. Internal Audit activities include periodic reviews and focus on high-risk areas, including IT. 3. The IT organization structure promotes adequate segregation of duties. 4. Overall IT policies and procedures are current and provide a basis for compliance and control. 5. Information security policies and procedures are in place and are communicated. Description of Processes and Controls over Acquisition, Implementation, and Maintenance of IT Solutions Description of Processes and Controls over Administration & Implementation of Information Security Description of Processes and Controls over Computer Operations & Data Processing
ISO 17799
Codification des bonnes pratiques pour la gestion de la scurit des systmes dinformation
10 chapitres : Politique de scurit Organisation de scurit Classification et contrle des actifs Scurit des ressources humaines Scurit physique et scurit de lenvironnement Exploitation et rseaux Contrle daccs logique Dveloppement et maintenance des systmes Continuit de service Conformit
Page
Page
Les assurances
Le montant de la prime Le niveau de couverture
Les tendances : dpenses informatiques moyennes des entreprises en matire de reprise d'activits aprs sinistre majeur Grands systmes : entre 4,2% et 4,5% du budget de fonctionnement des centres de traitement informatiques Ensemble des systmes : entre 3,6% et 4,1% du budget de fonctionnement des centres de traitement informatiques
Source : Gartner
Page
Page
Les tendances : vers une approche plus raliste des dpenses en matire de reprise d'activits (1)
Contrairement ce qu'il se passait avant le 11 septembre, les entreprises n'ont pas augment de manire significative leurs investissements en systmes et procdures de reprise entre 2001 et 2002 :
-5,2% pour les gros systmes -12,2% pour Windows NT -15,1% pour les systmes UNIX
Source : Gartner
Page
Les tendances : vers une approche plus raliste des dpenses en matire de reprise d'activits (2)
Beaucoup d'Entreprises ont rnov leur systme d'information pour le passage An2000 et l'Euro, et ont intgr la problmatique continuit de fonctionnement dans les nouvelles architectures mises en uvre. En raison des difficults conomiques 2002-2003, les entreprises mnent des analyses approfondies pour dfinir des solutions plus cibles sur leurs rels besoins et impacts business
Les tendances : les valuations et audits de capacit de reprise sont beaucoup plus frquents depuis le 11 septembre
Priodicit des audits de plans de reprise d'activit avant et aprs le 11 septembre
50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% Jamais Rarement Annuel Pluriannuel
Page
Avant Aprs
Source : Gartner
Les tendances : les mainframes restent les systmes dont les plans de reprise sont les plus oprationnels
Priodicit des tests de plans de reprise d'activit entre juin 2001 et juin 2002
70% 60% 50% 40% 30% 20% 10% 0% Jamais Rarement Annuel Pluriannuel Mainframe UNIX NT
Page
Le traitement des nouvelles menaces implique une intgration progressive des notions de continuit de service informatique et de plan de secours
La typologie des risques volue en fonction du contexte, et augmente sensiblement la probabilit d'occurrence d'un sinistre Terrorisme Temptes, inondations Risque Chimique
Page
Page
Les derniers sinistres mdiatiss ont impos une reconsidration du "primtre de scurit"
La distance recommande entre site de production et site de secours est aujourd'hui de l'ordre de 25 30 kilomtres. le "dernier kilomtre" est vital en matire de continuit d'activit face une catastrophe sur les rseaux
La scurisation en mode Campus ne prsente plus le niveau de couverture suffisant par rapport aux risques majeurs La sparation physique des dessertes tlcoms n'est pas conomiquement raliste dans certaines zones quand les sites sont trop proches
Page
Les mmes causes ne produisent plus les mmes effets Le client est, dans nombre de cas, immdiatement impact par un arrt de service : Services "online" Call centers La continuit de service devient un enjeu commercial stratgique
Page
PRA PCO
Limiter l'impact d'un sinistre des seuils acceptables pour l'entreprise Traiter les consquences du sinistre, quelles qu'en soient les causes Dfinir la stratgie de reprise et la stratgie de sauvegarde sur la base de scnarios d'indisponibilit des ressources Augmenter le taux de disponibilit du systme d'information Traiter les consquences des incidents les plus probables Mettre en uvre les moyens techniques permettant de limiter la dure d'indisponibilit en cas d'incident Diminuer la probabilit d'occurrence Traiter les causes Mettre en uvre les moyens de protection par nature de cause
PRA
PCO
Plan de scurisation
Se protger contre les attaques ou incidents les plus probables pour viter l'interruption de service
Page
Perte de donnes maximum admissible Temps d'indisponibilit maximum admissible valuer les alternatives Assurance Solutions de secours
Modliser et organiser Donnes critiques Cellule de crise Procdures manuelles Dvelopper les plans de reprise Processus mtiers Infrastructures & Systme d'information Applications
Notre Offre
EVALUATION DE LA CAPACITE DE REPRISE tat des lieux Audit valuation de la capacit de reprise
Page
LE BILAN D'IMPACT SUR LES ACTIVITES & LA DETERMINATION DE LA STRATEGIE DE REPRISE Dfinir la stratgie de reprise analyse d'impact sur les processus mtiers Perte de donnes maximum admissible Temps d'indisponibilit maximum admissible
PLAN DE MAINTENANCE ET DE TESTS Optimiser et maintenir Assurance Qualit Gestion des changements Plan de tests Maintenance
Modliser et organiser Donnes critiques Procdures manuelles Cellule de crise PLAN DE CRISE
Dvelopper les plans de reprise Implmenter les moyens et dvelopper le plan de sauvegarde Processus mtiers Infrastructures & Systme d'information Outils, technologies Applications Sites et moyens de secours LE DEVELOPPEMENT DU PLAN DE SECOURS OU DU PRA