support cours pca pra pci psi

PCA / PRA - 1 / 20 -

Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

Dfinitions

PCA : Plan de Continuit d'Activit / BCP : Business Continuity Plan PCI : Plan de Continuit Informatique

PCO: Plan de Continuit Oprationnelle

(Continuit ou reprise des oprations mtiers)

PCA=PCO+PCI

PCS : Plan de Continuit de Services

PRA : Plan de Reprise d'Activit (Plan de Rcupration Aprs Sinistre)

DRP : Disaster Recovery Plan

PRI : Plan de Reprise Informatique

PSI : Plan de Secours Informatique

PRU : Plan de Reprise des Utilisateurs

PSA : Plan de Sauvegarde de l'Activit

PRN : Plan de Retour la Normale

BIA : Bilan d'Impact sur les Activits

PCA / PRA - 2 / 20 -


PCA, PRA, PCI, PSI : o a ?

Le PCA s'insre dans le cadre de la politique gnrale de Scurit.

PCA

PRA

PCI PSI

PCA / PRA - 3 / 20 -


Diffrence entre PCA et PRA

Le Plan de Continuit d'Activit permet, en cas de crise, de continuer l'activit sans perte de service, ou avec une lgre dgradation acceptable. Exemple : tltravail en cas de grves, d'pidmies,

Le Plan de Reprise d'Activit permet, en cas de crise majeure ou sinistre, de pouvoir reconstruire ou de basculer sur un systme de relve - sur une dure dtermine - qui fournira les services ncessaires la survie de l'entreprise. Il est souvent li un risque dfini de perte de donnes (RPO) et dure d'interruption acceptable (RTO). Exemple : basculement d'un datacenter sur un site de secours en cas d'incendie.

PCA / PRA - 4 / 20 -


Quelques chiffres

Mme s'il convient de rester prudent sur des donnes fournies par des

entreprises dont le PRA s'insre dans leurs prestations

Selon Adista, la moiti des entreprises victimes dun sinistre majeur de

leur systme dinformation disparaissent dans les trois ans qui suivent

lincident.

Or, 58% des PME ne disposent pas de PRA, selon une tude Freeform

Dynamics ralise pour le compte de Quest Software auprs de 160 res-

ponsables informatiques en France, en Allemagne et au Royaume-Uni.

Source : Indexel.

PCA / PRA - 5 / 20 -


L'mergence du PCA / PRA

Le PRA s'est impos du fait de la dpendance accrue des organisations vis--

vis du systme d'information automatis. Un coup de pelle et

L'exposition des risques systmiques s'est accrue avec :

la disparition des architectures distribues-rparties, le degr d'intgration des solutions retenues, l'accroissement de la complexit (la virtualisation et le cloud n'arrangent rien

l'affaire), la prgnance de l'utilisation d'Internet, le dveloppement du phnomne Bring Your Own Device (BYOD).

PCA / PRA - 6 / 20 -


Obligations rglementaires

Loi du 31 juillet 2002 (Pub. L. No. 107-204, 116 Stat. 745) dite Sarbanes-

Oxley Act (SOX)

Rglementation CRBF2004-02 (issue de IASB-Ble II) : obligation d'un plan

de secours oprationnel pour les tablissements financiers, banques et as-

surances.

Grippe H1N1 : circulaire DGT (Direction Gnrale du Travail)2007/18 du

18 dcembre 2007 / circulaire DGT 2009/16 du 3 juillet 2009, recomman-

dant l'institution d'un PCA.

Le code du commerce prvoit une conservation des documents comptables

durant 10 ans.

Conservation des logs des prestataires d'hbergement (Dcret du 24 mars

2006)

PCA / PRA - 7 / 20 -


Dmarche

1. Nommer un RPCA, qui dispose d'une bonne connaissance des mtiers de l'entreprise : res-ponsable qualit, DAF, etc.

2. Effectuer un inventaire des ressources matrielles et humaines, des applications utilises 3. Raliser un audit de criticit, de l'exposition au risque assortie d'une tude d'impact 4. Etablir une hirarchisation, dlimiter un primtre en intgrant les pertes financires et aussi

le cot des solutions pour rpondre aux diffrents scnarios d'exposition aux risques 5. Fixer un RTO : Recovery Time Objectif (temps de coupure) 6. Fixer un RPO : Recovery Point Objectif (temps en termes de pertes de donnes), point de re-

prise des donnes (fracheur des donnes) 7. Construction du plan : ordonnancement du redmarrage des services 8. Tester le plan, prouver les solutions de secours (exemple : groupes lectrognes)

PCA / PRA - 8 / 20 -


Menaces

Elles peuvent toucher aussi bien l'humain que le matriel.

Risques naturels : crues, sismes, marnires,

Pandmies, intoxications,

Grve(s),

Actes de sabotage,

Accidents industriels (AZF Toulouse), accidents nuclaires (Fukushima-

Daiichi),

Servitudes : rupture de canalisation d'eau, coup de pelles, panne de cou-

rant, dfaillance de la climatisation.

Dfaillance matrielle au niveau des serveurs, des stations de travail, du

rseau, de l'internet et de la tlphonie,

Virus informatiques, rootkits,

PCA / PRA - 9 / 20 -


MEHARI

Mthode Harmonise d'Analyse du Risque

Mesure de l'exposition au risque : potentialit Mesures de rduction de la potentialit Mesure de l'impact (Disponibilit, Intgrit, Confidentialit) Mesures de rduction de l'impact Grilles Potentialit / Impact / Gravit

PCA / PRA - 10 / 20 -


PRA : la gestion de crise

La cellule de crise a pour objectif de :

grer la communication (institu-

tions, presse, clients, fournisseurs,

), organiser le PRA,

assurer les moyens logistiques et

la mise disposition de res-

sources humaines.

A cet effet, il convient de prvoir un

hbergement disposant de tous les

moyens de communication usuels.

PCA / PRA - 11 / 20 -


Domaines du SI

Hors servitudes (lectricit, climatisation), le SI peut tre segment en

plusieurs domaines :

rseau / LAN,

accs Internet / WAN,

messagerie

serveurs d'infrastructure : DHCP, DNS, Wins, authentification, supervi-

sion

applications / serveurs d'applications

base de donnes

tlphonie

PCA / PRA - 12 / 20 -


Solutions

Informatique rpartie

Spare

Images froid : Clonezilla, Acronis True Image, Symantec Ghost

Redondance (Spanning Tree, )

Stockage : SAN

P2V, V2P : Vmware Converter, System Recovery (Symantec)

Virtualisation : Vmware, Hyper-V, KVM, Xen, etc

Sauvegardes externalises (oodrive) : volumtrie ?

SaaS (Service as a Software) : Google Apps, Microsoft Office 365,

Patriot Act ?

Tltravail

Virtualisation du stockage : et les performances ???

PCA / PRA - 13 / 20 -


Offre Google Drive

PCA / PRA - 14 / 20 -


Logiciels de sauvegarde

EMC Networker

Symantec Backup Exec

Atempo Time Navigator

Arkeia Network Backup

PCA / PRA - 15 / 20 -


Services d'hbergement de machines virtuelles

Offre Prestataire Prix par machine virtuelle

Synaptic Compute as a Service AT&T Tarification sur mesure

Colt Dynamic Infrastructure Services Colt Tarification sur mesure

EC2 Amazon 220 $ par mois ou 10 centimes par heure

BT Virtual Data Center BT Global Services 200 par mois

ClaraCloud Claranet 220 par mois

Flexible Computing Orange A partir de 90 par mois

Dedibox Proxad A partir de 15 par mois

Gandi Hbergement Gandi.net A partir de 15 par mois ou 3 centimes par heure

Kimsufi OVH A partir de 15 par mois

AWS Amazon

Orange Business Orange

SFR Business SFR

PCA / PRA - 16 / 20 -


Site de repli ?

site chaud : redondance

site tide : infrastructure prsente, mais mise jour des donnes

site froid ou dormant: site existant ne disposant d'aucune installation

PCA / PRA - 17 / 20 -


Rplication

Fonction Exemples de produits

Gocluster : cluster entre ma-

chines situes sur des sites dis-

tants

Double-Take (Vision Solutions), RepliStor (EMC), Veritas Cluster Server (Symantec),

SteelEye DataKeeper (SIOS Technology), Cluster Server (Microsoft), ... Fonction gale-

ment intgre certaines applications telles que les SGBD et serveurs de messagerie

Rplication synchrone de baie

baie, via un SAN Fiber Channel

Fonction intgre la plupart des baies de stockage : fonction SRDF chez EMC, proto-

cole PPRT chez IBM et HDS chez Hitachi

Rplication asynchrone de sys-

tme systme via un rseau

IP

Double-Take (Vision Solutions), Veritas Replicator (Symantec), Netvault Replicator

(Quest Software), Backup & Replication (Veeam Software) pour Vmware

Sauvegarde de limage du sys-

tme et redmarrage sur un

site distant

VSS Volume Shadow copy Service (Microsoft)

Rplication de donnes NetApp SnapMirror, Rsync (Open Source)

PCA / PRA - 18 / 20 -


Livres

Plan de continuit d'activit et systme d'information Vers l'entreprise rsiliente,

par Matthieu Bennasar (Dunod)

Management de la Continuit d'Activit, par Emmanuel Besluau (Eyrolles)

Raliser le plan de continuit d'activit de son entreprise P.C.A guide oprationnel,

par Olympe Cavallari et Olivier Hassid (Maxima)

Plan de continuit d'activit Secours du systme d'information,

par Patrick Boulet (Hermes Science Publications)

PCA / PRA - 19 / 20 -


Sources http://blogs.orange-business.com/cloud-computing/

http://droitdutravail.blog.capital.fr/index.php?action=article&id_article=422971

http://fr.wikipedia.org/wiki/Plan_de_continuit%C3%A9_d%27activit%C3%A9_%28informatique%29

http://fr.wikipedia.org/wiki/Plan_de_reprise_d%27activit%C3%A9

http://infochronologie.blogemploi.com/pra/2008/09/le-projet-pra-p.html

http://itil.fr/DRP/PCA/drppca-mettre-en-oeuvre-un-plan-de-continuite-dactivite.html

http://www.clusif.asso.fr/fr/production/mehari/download.asp

http://www.journaldunet.com/solutions/0506/050628_pca.shtml

http://www.journaldunet.com/solutions/securite/pca-et-pra/

http://www.journaldunet.com/solutions/systemes-reseaux/dossier/realiser-un-plan-de-reprise-d-activite-10-

conseils-d-experts/realiser-un-plan-de-reprise-d-activite-10-conseils-d-experts.shtml

http://www.mag-securs.com/Communiqu%C3%A9s/tabid/65/id/28117/La-virtualisation-et-le-cloud-

computing-compliquent-la-reprise-d-activites-apres-incident.aspx

http://www.stanfeel.com/Front/plan-de-continuite-d-activite_18.php

http://www.systemes-information.fr/

http://www.vmware.com/fr/solutions/datacenter/business-continuity/

www.hsc.fr/presse/clubpca/LIVRE-BLANC-CCA.pdf

PCA / PRA - 20 / 20 -


Annexe : trame d'un PCA (grippe H1N1) Analyse des missions assures par lentreprise

Hirarchisation des missions devant tre assures en toutes circonstances

Identification des ressources matrielles et humaines ncessaires la continuit de lactivit juge indispen-sable

Etablissement dun tat des effectifs (comptence au regard des missions et fonctions prioritaires, possibilit de tltravail, poste occup en situation dgrade, possibilits de supplance, possibilits de renforcement.)

Mthodes et moyens de protection et dinformation des personnels (mise jour du document unique, identi-fication des personnels les plus exposs, information)

Modes dorganisation pour le maintien de lactivit (fournisseurs alternatifs, renforcement des stocks, solu-

tions alternatives de transport, liste des moyens techniques et logistiques prvoir, mesures visant limiter

la contagion, rorganisation du travail audioconfrence, tltravail-, amnagement des horaires, outils

dinformation collective, plan de communication, utilisation du courrier lectronique)

Acquisitions pralables (produits dhygine, quipements pour le travail domicile)

Exercices de ralisation

Suivi, retour dexprience et ajustement du dispositif

Reprise des oprations lissue de phase aige de la crise

support cours pca pra pci psi

Documents