Gestion de crise, continuité d’activité et continuité informatique Frontières et interfaces entre les 3 projets Mardi 9 octobre 2012 Véronique DEMACHY,

Slides:



Advertisements
Présentations similaires
CONSULTING Plans de Reprise d’Activité – Plans de Continuité d’Activité NEFTIS aide les entreprises à mettre en place les Plans de Continuité et de Reprise.
Advertisements

C.Piolat ACOPHRA 30 mai 2002 Chambéry
Les fonctions critiques d’un projet SIGF et les risques associés.
Projet de Virtualisation dans le cadre d’un PCA/PRA
CPNN Classification 29 juin 2011
Les fondements de la GRH
Sommaire Introduction Les politiques de sécurité
Directeur dusine Le directeur dusine pilote lensemble des activités. Il est garant de la rentabilité de son site.
Le directeur dusine pilote lensemble des activités. Il est garant de la rentabilité de son site Directeur dusine.
Pôle 3 - Gestion administrative interne
D2 : Sécurité de l'information et des systèmes d'information
Option GIPAD Génie Informatique pour lAide à la Décision.
Séance plénière du 23 janvier 2004
Démarche de Projet D’après la norme X50-106, un projet est une démarche spécifique qui permet de structurer méthodiquement et progressivement une réalité.
MANAGEMENT DES ORGANISATIONS
Nouvelle discipline MANAGEMENT DES ORGANISATIONS.
Le management de l’entreprise
La RBPP sur l’adaptation à l’emploi Du point de vue de l’Anesm
Sensibilisation au contrôle de gestion en EPLE
Certification Afnor Norme NF Service Centre de relation client
Altaïr Conseil Maîtriser l'information stratégique Sécurisé
La composante humaine du système d'information (Réfs : chap 8.1 p 231)
LÉVALUATION DU PERSONNEL. LEVALUATION DU PERSONNEL Définition - finalités - enjeux Rôle des acteurs Présentation des outils Mise en place de la démarche.
Sésame Conseils Bon sens et compétences
Pandémie grippale : comment la SNCF se prépare-t-elle ? UIC Jeudi 27 avril 2006.
LE MANAGEMENT QUALITE ET L’APPROCHE PROCESSUS
Gestion d’un projet SIG
Management stratégique et management opérationnel
DE : DMR A : LE : Ne pas diffuser Document de travail Document pouvant être diffusé Présentation gestion de crise et continuité dactivité CCE du 26 juin.
CASIER JUDICIAIRE NATIONAL
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
L’organisation & les responsabilités
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
L’ENTREPRISE.
Pôle 3 - Gestion administrative interne
Deuxième partie : Management
Le management de l'IVVQ Processus techniques IVVQ
Project group 1Thessalonique Initiative eLearning TTnet : 4 ème Conférence annuelle du réseau Pratiques de formation des enseignants et formateurs.
La certification des comptes
Gestion Prévisionnelle des Emplois et des Compétences
Le système informatique et le système d’information
 Une bonne gouvernance ?  Les niveaux de fonctionnement de l’organisation universitaire  Que disent les audits?  Les enjeux actuels  Acteurs et parties.
L’organisation nationale des expertises au sein de la branche famille
L’Etablissement Français du Sang
Initiation à la conception des systèmes d'informations
190, boulevard Haussmann Paris - Tel : Télécopieur : Colisée Conseil SARL au capital.
Management de la qualité
Les orientations stratégiques de l’Assurance Retraite et la prochaine Convention d’Objectifs et de Gestion INC du 11 février
Séminaire de présentation du BTS AG de PME-PMI rénové
COMMUNICATION et MEDIAS
Sites Pilotes Généralisation
Principes et définitions
dans le référentiel du BTS comptabilité et gestion des organisations
Manager un projet stratégique à forte implication humaine
ISO 31000: Vers un management global des risques
Présentation du référentiel ITIL v3
Direction de l’Animation du Réseau RH – Cnav
La GPEC n’est efficace qu’en adaptation d’une stratégie claire et précise. FNCAUE.
Le management des compétences
AUTOÉVALUATION HCERES - ÉTABLISSEMENT
RECOMMANDATIONS CONTRACTUELLES
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Elaboration d’un PRA (Plan de reprise d’activité)
Ligue de l’Essonne de Tennis
Transformation digitale Comment maîtriser les risques ?
L’entreprise et sa gestion
Accompagnement du Changement lors de projet d’intégration d’ERP Mai 2002 CFS.
GUIDE SHARE France 24 Septembre 2015 GUIDE SHARE MVS Plan Continuité d’Activité & Plan Reprise d’Activité Plan Continuité d’Activité & Plan Reprise d’Activité.
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
Conseil de Coordination du Réseau des Informaticiens (CCRI) A la demande du nouveau chargé de mission informatique, une réunion a eu lieu le 30 Janvier.
Transcription de la présentation:

Gestion de crise, continuité d’activité et continuité informatique Frontières et interfaces entre les 3 projets Mardi 9 octobre 2012 Véronique DEMACHY, Directrice MICA, experte en continuité d'activité Catherine PIEDNOEL, experte en gestion de crise Serge BACCOU, BACCOU BONNEVILLE Consultants, expert en continuité informatique

Un vocabulaire imprécis et des amalgames 2 Gestion de Crise PSI DRP Disaster Recovery (DR) PCA PRA PGC PCO PRAI IT Service Continuity (ITSC) BCM BCP Repli utilisateur IMS Incident Management System P.O.IP.O.I PCI

En amont, l’analyse des risques 3 Recensement des risques Analyse et mesure des risques (risk mapping) Risque d’indisponibilité à l’environnement de travail (bâtiments) Développement du PCA Risque X Risque Y Dispositifs de Traitement des Risques X Dispositifs de Traitement des Risques Y Risque Z Dispositifs de Traitement des Risques Z

Locaux inaccessibles partiellement ou totalement Activation du plan de continuité des activités (PCA) et du site de repli ‘’je ne peux pas accéder à mon bureau’’ Activation du plan de secours informatique (le personnel continuer à travailler depuis les locaux habituels à partir du système d’information de secours) ‘’je n’ai plus d’informatique’’ Pour les activités critiques ne pouvant supporter une interruption, étudier les possibilités de continuer à travailler sur les missions vitales (ex : travail occasionnel à distance TOAD en cas de pandémie) ‘’je ne peux pas me rendre sur mon lieu de travail’’ Quels dispositifs pour couvrir quels risques ?

Définition des 3 métiers 5 Plan de continuité informatique Dispositifs documentés pour assurer que les services informatiques peuvent être secourus et reprendre lors d’un incident majeur. Plan de continuité informatique Dispositifs documentés pour assurer que les services informatiques peuvent être secourus et reprendre lors d’un incident majeur. Plan de continuité des activités Dispositif permettant d’assurer la continuité des activités vitales dans un autre lieu à partir d’une stratégie et de procédures préalablement déterminées Plan de continuité des activités Dispositif permettant d’assurer la continuité des activités vitales dans un autre lieu à partir d’une stratégie et de procédures préalablement déterminées Dispositif de gestion de crise Définit les modalités d’alerte, d’organisation et de prise de décision des équipes dirigeantes Vise à optimiser la direction des opérations sur les différents plans : technique, juridique, commercial, RH, communication interne et externe, … Dispositif de gestion de crise Définit les modalités d’alerte, d’organisation et de prise de décision des équipes dirigeantes Vise à optimiser la direction des opérations sur les différents plans : technique, juridique, commercial, RH, communication interne et externe, … Evénement majeur impactant les systèmes informatiques Evénement privant l’entreprise de son environnement de travail habituel Tout événement susceptible d’impacter la sécurité des hommes, des biens, le fonctionnement, ou la réputation de l’entreprise.

Les chefs de projets 6 Projets pilotés par des interlocuteurs souvent différents et en « mode silo. » Pilotage : Direction sécurité, qualité, communication gestion de crise Gestion de crise PCA PCI Pilotage : Direction Informatique Pilotage : Risk Manager Responsable PCA Métiers Enjeu : Créer des ponts entre les 3 démarches pour garantir une bonne coordination des opérations en cas de crise.

Comment s’assurer de l’efficacité des dispositifs ? 1. Le contenu des dispositifs  La stratégie, et les procédures du PCA /PCI ont elles été construites à partir d’entretiens avec les responsables de services?  La direction a-t-elle bien validé les stratégies de continuité (activités critiques et délai maximum d’interruption ?  Les procédures sont elles opérationnelles et à jour ?  Les acteurs impliqués sont ils nommés ?  La procédure d’alerte et de remontée d’information est-elle définie ?  Le processus de décision d’activation des PCA/PCI ou cellule de crise est-il clairement défini ? 2. L’appropriation de la stratégie et des procédures par les acteurs  La stratégie et les procédures sont elles testées régulièrement ?  Les acteurs au sein de chaque projet sont informés et entraînés  Tests et exercices 3. La transversalité des procédures et la gestion des interfaces 7

Point-clé n°1 : Mise en cohérence sémantique des PCA et PCI La mise en place des passe par l’identification des processus et outils critiques pour assurer la continuité. Or, les métiers et l’informatique définissent souvent les outils informatiques (applications, données, communication) à partir d’une terminologie qui leur est propre. Conséquences : incompréhensions, oublis, doublons et difficultés pour construire des PCI et des PCA représentatifs et exhaustifs. Les experts PCA et PCI pourront :  Faire un contrôle de cohérence entre les 2 listes d’outils informatique critiques  Construire une table de correspondance entre les 2 terminologies pour s’assurer de la bonne prise en compte des outils critiques dans les PCI et les PCA

Quelles sont les spécificités de la continuité informatique ? La continuité informatique possède des caractéristiques propres (par rapport au PCA) :  Forte composante technologique Le jargon et les problématiques sont spécifiques  Les « sachants » sont les informaticiens de la DSI  Ils doivent faire face à une complexité grandissante, difficile à gérer  Interdépendance fortes des systèmes entre eux, virtualisation, cloud computing, etc. 9 L’application vue par les Métiers Le système informatique nécessaire

10 L’efficacité de la gestion de crise repose sur la capacité de l’organisation à :  Détecter les signes avant coureurs de tout événement pouvant conduire à une crise,  Éviter qu’un incident ne dégénère en crise,  Mobiliser rapidement les ressources décisionnelles et opérationnelles lorsque la crise survient, Pour les équipes dirigeantes, être informé le plus tôt possible de tout incident susceptible d’escalader conditionne la réussite de la gestion de crise. Cela permet : - d’évaluer précisément les enjeux touchés - de décider du niveau de mobilisation requis (ressources humaines) - de répartir les missions (coordination équipes opérationnelles et corporate) - d’anticiper la communication => Valider la cohérence de la procédure d’alerte des différents dispositifs Point-clé n°2 : La procédure d’alerte

11 S’assurer que le PCI intègre les éléments permettant aux experts informatiques d’informer les équipes dirigeantes d’une situation à potentiel de crise :  Quand passe-t-on de l’incident informatique à la crise informatique ?  Quels sont les critères à prendre en compte ?  Qui alerter ? Dans quels délai ? Par quel moyens ?  Quelle lien entre les astreintes techniques et astreintes dirigeantes ? Point-clé n°2 : La procédure d’alerte Application pour le PCI :

Lien entre Gestion des incidents et Gestion de crise Temps Qualité de service Niveau de service attendu Premières alertes (supervision, alerting fonctionnel) Gestion d’incidents Escalade et déclenchement de la gestion de crise Activation du plan Seuil à déterminer

Point-clé n°3 : test des interfaces entre les 3 projets  L’exercice est la seule preuve que les plans fonctionnent.  En cas de crise, un PCA ou un PCI jamais exercé a de grandes chances de ne pas fonctionner et les opérationnels hésiteront à le déclencher.  L’exercice vise l’entraînement des équipes et permet de détecter des anomalies que l’on va pouvoir corriger.  Tout exercice de plan de continuité comporte des risques mais ne pas faire d’exercice du tout est un risque encore plus grand.  Les exercices des dispositifs opérationnels (PCA, PCI) ne suffisent pas car ils omettent le plus souvent la dimension communication et la pression du corporate en cas de crise. 13

Les exercices Progressivité des exercices :  Démarrer par des exercices sur table hors production puis en production,  Pour le PCI, commencer par tester le restauration d’une application critique, puis l’ensemble des outils informatiques critiques.  Pour le PCA, commencer par tester la continuité des activités de quelques services, puis de tous les services critiques depuis le(s) site(s) de repli,  Pour le dispositif de crise une présentation de l’organisation intégrant un exercice sur table. Puis des exercices dédiés à la cellule de crise avec un scénario technique se déroulant fictivement, avant l’exercice en vraie grandeur.

Exemple d’exercice intégrant les 3 dispositifs Un incendie a détruit l’étage du service de …. Les matériels informatiques sont gravement endommagés. Les locaux indisponibles pour plusieurs jours. Les employés arrivant sur leur lieu de travail, patientent sur le trottoir. L’information diffuse instantanément sur les réseaux sociaux… L’indisponibilité des locaux nécessite le déplacement des équipes sur le site de repli et le basculement du système informatique. Les opérations du service sont interrompues durant ce processus. Les clients doivent être informés... Un tel exercice se prépare longtemps à l’avance pour valider :  les objectifs assignés : quels processus et quelles activités veut-on tester ?  le périmètre de l’exercice : qui participe ? Quelles équipes techniques, métiers/cellules de crise seront mobilisées ?  ce qui sera testé en réel, ce qui sera simulé  le scénario technique et le scénario relationnel Un niveau de maturité suffisant sur les 3 projets est requis pour un exercice visant à tester PCA, PCI et cellule de crise.

Gestion de crise et continuité des activités : les enjeux de demain  Evolution des techniques facilitant le travail à distance  Evolution dans la nature des sites de repli  Implication plus grande des directions des ressources humaines dans la mise en œuvre des plans de continuité pour cadrer le recours au travail à distance.

Nous contacter  Continuité d’Activité (PCA) Véronique DEMACHY  Continuité Informatique (PCI) Serge BACCOU  Gestion de crise Catherine PIEDNOEL