auditer son plan de secours informatique et détecter ses vulnérabilités
DESCRIPTION
Présenté lors du colloque IFACI "Continuité d'Activité, Continuité Informatique et Gestion de Crise" du 21 mars 2012.TRANSCRIPT
COLLOQUEMercredi 21 mars 2012
L’IFACI est affilié àThe Institute of Internal Auditors
En partenariat avec :
Organisé en collaboration avec :Arjuna
Baccou Bonneville Consultants Mica
Le Plan de Secours InformatiqueAuditer son Plan de Secours Informatique
et détecter ses vulnérabilités
Serge BaccouDirecteur Associé
Baccou Bonneville Consultants
Continuité Informatique :Les normes internationales
L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes :
BS 25777 : CT continuity management
PD 25666 : Guidance on exercising and testing for continuity and contingency programmes
ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires
ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM)
2Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs pour plus d’efficacité ?
Les éléments organisationnels
Auditer l’existence des éléments organisationnels suivants :– Existence d’une politique de continuité
informatique– Attribution d’un budget à cette problématique– Responsable nommé sur cette activité
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
Politique
+ +Budget Responsable
Auditer les Business Impact Analysis (BIA)
• La criticité des activités est-elle bien établie?
• Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ?Y compris les infrastructures ?
• Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la DSI ? Sont-ils jugés réalistes ?
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
Activitécritique
RessourcesInformatiques(applications et
matériels)
Ressourceshumaines
Bâtiments
A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?
Le concept de SPOF(Single Point of Failure)
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
• Pour éviter les pannes, on double les équipements
• Un SPOF est un équipement non redondé
• Chasser les SPOF, c’est trouver « la petite bête »
• Faire des vérifications simplesEx. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre.
SPOF
Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique !
Auditer les aspects données du plan de secours informatique
• Audit des mécanismes de réplication– Toute les données importantes sont-elles répliquées ?
• Audit de la sauvegarde / restauration– Les données importantes sont-elles sauvegardées ?– Les sauvegardes sont-elles externalisées ?– La restauration est-elle testée régulièrement ?
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
Baie destockage
Robot desauvegarde
Auditer le PSIAutres vulnérabilités
• Obsolescence matérielle
• Obsolescence logicielle
• Performance
• Failles de sécurité
Note :
La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
Auditer les exercices de continuité informatique
• Sont-ils représentatifs ?Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ?
• Sont-ils réalisés régulièrement ?Recommandation : au moins une fois par an.
• Font-ils l’objet d’un compte-rendu ?Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique.
• D’un plan d’action ?Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
Auditer le Maintien en Conditions Opérationnelles (MCO) du plan
• Un PSI doit être maintenu à jour :– Le plan doit refléter la réalité– La configuration matérielle et logicielle entre le
nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles)
• Or, les changements informatiques sont réguliers (quotidiens).
• Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer…
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
Auditer le lien entre Gestion des incidents et Gestion de crise
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
Temps
Qualitéde service
Niveaude serviceattendu
Premières alertes(supervision, alerting fonctionnel)
Gestiond’incidents
Escalade et déclenchementde la gestion de crise
Activation du plan
Seuilà déterminer
Continuité InformatiqueLe rôle de l’auditeur
• Sensibiliser la Direction Générale
• Sortir la Direction Informatique du corner
• Renforcer les liens entre PCA, PSI et Gestion de crise
• Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11