Élaborer son Plan de continuité d’activité après sinistre

security
Malgré la maturité du concept et son état de l’art, l’élaboration d’une stratégie de continuité des opérations et de reprise après sinistre reste toujours assez complexe et mal implémentée pour la plupart des organisations. Elle implique généralement une bonne préparation en amont ainsi que la combinaison de plusieurs outils techniques et services harmonieusement assemblés pour fonctionner ensemble.

TRUST-SYSTEMS vous présente quelques grandes lignes à considérer pour bâtir une stratégie réussie.

Audit et collecte d’informations

La phase de collecte d’informations est l’une des parties les plus importantes du processus de planification stratégique pour la continuité des opérations et de reprise après sinistre. L’audit et la collecte d’information vise à centrer les efforts de planification et les ressources IT sur les réelles exigences et contraintes imposées par l’environnement et le métier de l’entreprise.
Le travail principal ici consiste à déterminer dans quelle mesure l’organisation adhère aux recommandations de continuité des activités standard applicable à leur secteur d’activités (Banques, Assurances, Hôpitaux, Transport, Logistiques, etc.). Ces normes de base sont définies dans l’ISO 22301, ISO/IEC 22301, ISO 27001, ISO 27002:2013, ISO 27005 :2018, MEHARI, EBIOS, ITIL, COBIT. Deux grandes étapes sont requises à ce niveau :

Identification et Analyse des risques sur le business

Cette étape est primordiale car va permettre d’identifier tous les risques susceptibles de compromettre la continuité des activités de l’organisation. Plusieurs méthodes peuvent être utilisée ici en fonction de la taille de l’organisation et sa sensibilité à la notion de risque :

  • Interviews ;
  • Brainstorming à répétition avec les différents responsables opérationnels ;
  • Analyse SWOT (forces-faiblesse-opportunité-menaces) ;
  • Analyse des hypothèses basée sur les expériences passées dans un environnement similaire ;
  • Tests de pénétration.
Une fois, les principaux risques identifiés, documentés et consignés dans une Matrice des risques où chaque risque est caractérisé par :
  • Une Probabilité (ou la fréquence) du risque ;
  • Un Impact du risque: Attribue une valeur monétaire au risque. Il aide à identifier le coût par minute que l’entreprise encourrait en cas survenance du risque ;
  • Un Délai d’intervention avant l’impact d’un risque.
La collecte d’information et l’analyse de l’activité de l’entreprise permettent de décliner les 2 principaux objectifs à atteindre par métier (Business Unit) de l’organisation :
  • RTO (Recovery Time Objective): délai cible de restauration des opérations après la survenance d’un risque (ou une interruption) afin d’éviter les conséquences inacceptables associées à la rupture de la continuité des activités.
  • RPO (Recovery Point Objective) : la durée maximale tolérable d’indisponibilité du système d’information après une panne ou un sinistre.

Implémentation des solutions

La définition des objectifs RTO/RPO va directement indexée les solutions informatiques à mettre en place pour son plan de continuité et de reprise après sinistre. Ici, deux grandes tendances se dégagent :
cloud-vs-on-premise

Solutions orientées on-premise

Les outils de reprise d’activité après sinistre peuvent être déployés sur site. Bien que ces outils varient en portée, leur principe de fonctionnement est basé sur la mise en œuvre combinée des solutions de sauvegarde et de réplication avec sites de secours.
normal cloud

Solutions orientées cloud

Les solutions orientées cloud permettent de répliquer les ressources IT sur une infrastructure cloud privé/public. Pour cela 2 grandes approches sont généralement utilisées :

Réplication des données uniquement – synchronisez les données vers un service cloud comme Amazon S3, Google Bucket, Oracle Storage Cloud Service Storage ou Microsoft Azure Storage afin de les rediriger sur site en cas de sinistre.
Réplication et basculement sur des machines virtuelles entières – à intervalles réguliers, il s’agit d’empaqueter les images de machine des applications critiques et les enregistrer dans le cloud. Ces dernières pourront être « passives » et activées qu’en cas de survenance d’un sinistre ; ou bien être « actives » en participant à une configuration multi-sites.
Ces solutions sont toutefois limitées pour les charges de types Bases de données pour lesquelles il est recommandé de faire appel aux outils natifs fournis par les éditeurs pour leur réplication. Exemple d’outils : Oracle Data Guard ou Oracle Cloud Database Services en environnement Oracle et SQL Server change data capture ou Azure SQL Database en environnement Microsoft.

Quel que soit votre métier, TRUST-SYSTEMS offre des services de conseils et d’Assistance dans toutes les étapes requises pour un Plan de sécurisation et de continuité des opérations et une stratégie de reprise d’activités après sinistre efficace. Notre méthodologie vise à vous fournir la solution optimale avec peu ou pas de temps d’arrêt en nous appuyant sur technologies compatibles avec votre infrastructure existante, que cette infrastructure soit située sur site, dans le cloud ou une combinaison des deux.
Nos experts sont disponibles pour un état de lieux de votre plan de continuité et de reprise d’activités. Vous pouvez-vous nous contacter par e-mail : contact@trust-systems.net. N’hésitez surtout pas à nous écrire.