Novembre 20051Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA D isponibilité de l’information Plan de relève informatique Plan de relève corporative
Novembre 20052Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Plan de la séance 1.Introduction 2.Événements affectant la disponibilité de l’information 3.Exemples de sinistres 4.Positionnement de la notion de plan de relève informatique et de plan de continuité des affaires 5.Plan de continuité des affaires 6.Plan de relève informatique 7.Reprise du traitement vs reprise en cas de désastre
Novembre 20053Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 1. Introduction
Novembre 20054Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Un plan de relève efficace influe sur l’appréciation que fait le vérificateur de la viabilité de l’entité (continuité d’exploitation). Incidence pour la vérification
Novembre 20055Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 2. Événements pouvant affecter la disponibilité de l’information
Novembre 20056Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 2. Événements pouvant affecter la disponibilité de l’information Sinistres Problèmes de nature technique
Novembre 20057Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 3. Exemples de sinistres
Novembre 20058Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 3. Exemples de sinistres – États-Unis 1988 – Incendie à la First Interstate Bank 1992 – Inondation des tunnels à Chicago 1992 – Ouragan Andrews 1993 – Bombe au WTC de New York 1995 – Oklahoma City 2000 – Indisponibilité des sites Yahoo et CNN 2001 – WTC de New York disparaît 2003 – Black out 2003 – Incendies majeurs sur la côte Ouest
Novembre 20059Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Feu à la Place Alexis Nihon Pluies diluviennes à Montréal Incendie de BPC à St-Basile Incendie de pneus à St-Amable Explosion de gaz (égoûts) à Toronto Feu forçant le déménagement du service 911 Inondations du Saguenay Crise du verglas 3. Exemples de sinistres – Canada
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 2000 – Les sites Yahoo et CNN sont indisponibles 1988 – Un virus informatiqueparalyse complètement le réseau mondial IBM 3. Exemples de sinistres – International
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 4. Positionnement de la notion de plan de relève informatique et de plan de continuité des affaires
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA “Plan de continuité des affaires” Temps réponse et poursuite des opérations “Site miroir” Haute disponibilité de l’information “Plan de relève informatique Recouvrement des données Continuité des opérations Positionnement Prévention Temps réponse et délai de recouvrement
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Différence entre ? Plan de continuité des affaires Relève corporative (Business continuity Plan) Plan de relève des systèmes d’information Relève informatique (Disaster Recovery Plan)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 5. Plan de continuité des affaires
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 5. Plan de continuité des affaires (Relève corporative) Assurer la continuité et la reprise des processus d’affaires vitaux - activités des unités administratives liées à ces processus - activités informatiques qui supportent ces processus (Plan de relève des systèmes d’information – Plan de relève informatique) En cas d’interruption prolongée des activités: Plan d’urgence
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Continuité et reprise des processus d’affaires vitaux - Continuité (court terme): maintien des activités avec un un arrêt le plus court possible - Reprise (long terme): rétablissement normal des activités Plan de continuité des affaires
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 6. Plan de relève des activités informatiques
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Introduction – Plan de relève informatique Ensemble d'outils et procédures visant à assurer la reprise des opérations suite à un sinistre Reprendre les opérations essentielles dans un autre site à l'intérieur de délais définis
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Facilite la prise de décision Établit clairement les rôles et responsabilités des intervenants dans le processus de reprise Assure le contact avec les clients, employés, partenaires et fournisseurs Définit un ordre de reprise des opérations Introduction – Plan de relève informatique
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Les étapes du processus (*) 1.Démarrage et gestion du projet 2.Évaluation des risques et contrôles (Analyse de risques) 3.Analyse d’impact sur les affaires 4.Développement de stratégies de continuité des affaires 5.Mesures et opérations d’urgence 6.Développement et implantation de Plans de continuité des affaires 7.Programmes de sensibilisation et de formation 8.Entretien et exercices des Plans de continuité des affaires 9.Relations publiques et gestion de crise 10.Coordination avec les autorités publiques (*) Disaster recovery Institute version: 04/21/97
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 1. Le projet Le développement et la mise en place du plan se fait en mode de projet Effort ponctuel L’évolution du plan se fait de façon continue Effort soutenu
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Planification – Les préalables Objectifs Responsabilités Haute direction Unités administratives Gestionnaires Engagement de tous les paliers de l’organisation
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Planification – Structure organisationnelle
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Conception du plan Définir les objectifs Délais de rétablissement Fonctions visées Envergure / type de sinistre Incendie localisé à un édifice Sinistre régional
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Sites de relève Informatique Espaces à bureaux Autres (production, entrepôts, etc...) Ressources requises Personnel Équipements Documents Contrats, lettres d'entente. Dossier sur personnel - clients….. Documentation système. Manuel du plan de relève Données et logiciels Conception du plan
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Développement du plan – Stratégie globale Logistique Relocalisation du personnel Support technique au niveau site Approvisionnement en équipements Communications
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Développement du plan – Élaboration Effectuer une analyse de risques Effectuer une analyse d’impacts Établir la priorité des applications et systèmes à relever (délais), suite à l’analyse d’impacts
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 2. Développement du plan – Analyse de risques Quels sont les événements qui peuvent affecter les services offerts (interruption) Probabilité d’occurrence Mettre en place des mesures pour prévenir ou minimiser leurs conséquences Choix de l’emplacement, sécurité physique
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 3. Développement du plan – Analyse d’impact Mission de l’organisation Financiers Opérationnels Légaux Réputation de l’organisation Survie de l’organisation
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Développement du plan – Analyse d’impact: exemples d’impacts Impacts opérationnels représentent les impacts quant à la capacité à remplir adéquatement sa mission Impacts financiers correspondent à des pertes de revenus, des coûts supplémentaires d'opération Impacts sur l’image de l’entreprise représentent les éléments qui affectent la réputation auprès des partenaires, de la population, des actionnaires, etc. Impacts légaux, législatifs ou contractuels représentent les poursuites judiciaires, les manquements aux lois, les bris de contrats ou toute autre situation problématique d'ordre légal que l’entreprise pourraient subir
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Développement du plan – Analyse d’impact Une fois que le sinistre survient, quelles seraient les conséquences? Priorités de relève Délais acceptables Estimation des ressources nécessaires Étapes préalables au choix de stratégie de relève
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 4. Développement du plan – Choix de la stratégie de relève Suite à l’analyse d’impact, l’entreprise connaît ses besoins Les délais permis d’interruption sont connus Le choix de la stratégie de relève est primordial
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Site miroir Entente réciproque Procédures manuelles Développement du plan – Choix de la stratégie de relève (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Mettre en place les mécanismes d’entreposage externe des données et documents Copies de sauvegarde sur disquettes, CD, etc. Documents importants, copies de contrats, etc. Processus de récupération Autorisation, validation et vérification Développement du plan – Choix de la stratégie de relève (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Ententes de services Être claires et les attentes bien documentées Multiplier les sources d’approvisionnement Solidité financière Disponibilité de ressources supplémentaires lors d’un sinistre ON NE POURRA PAS RENÉGOCIER L’ENTENTE LORS DU SINISTRE Développement du plan – Choix de la stratégie de relève (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Être conséquent dans ses choix Site de rétablissement ne doit pas être affecté par le même sinistre Bien identifier les coûts Mise en place Récurrents Lors d’une urgence Reconstruction du centre affecté Importance des assurances Développement du plan – Choix de la stratégie de relève (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 5. Développement du plan - Élaboration Développer une procédure d’alerte et d’escalade Premier contact avec les intervenants Qui doit être informé ? Qui doit se rendre sur le site affecté ? Évaluer les dommages et les impacts Estimer le délai de reprise des opérations Obtenir l’autorisation de mettre en marche le plan de rétablissement (Qui a l’autorité de le déclencher?)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 7. Développement du plan - Formation et sensibilisation Personnel déjà en place Nouveau personnel Personnel assumant de nouvelles fonctions Vidéos, Revues, Articles de journaux À l’aide des simulations Lors des essais
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 8. Développement du plan - Essais Développer les objectifs Préparer les essais Effectuer des simulations (essais papier) Coordonner les essais aux sites de relève
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Analyser les résultats des essais Objectifs rencontrés (OUI ou NON) Problèmes rencontrés Correctifs identifiés Recommandations Développer un plan d’action pour corriger les problèmes 8. Développement du plan – Essais (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Identifier les sources de changements Technologie Applications Organisation Environnement Lois, réglementation Résultats des essais Développement du plan - Entretien
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA 7. Reprise du traitement VS reprise en cas de désastre
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Les préalables: les copies de sécurité Le site externe: Localisation du site où sont entreposées les copies de sécurité Protection physique du site Accès à la localisation Transport des supports Procédures de gestion Procédures de prise de copies périodiques Rotation des copies Tests périodiques (récupération des données)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Plan de restauration des fichiers Événements survenus dans le cours normal des opérations Plan de relève Événements qui peuvent occasionner l’interruption prolongée des activités informatiques Les préalables: les copies de sécurité (suite)
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Les préalables: les copies de sécurité (Événements dans le cours normal des opérations) Événements qui rendent les fichiers non disponibles - Destruction - Vol - Défectuosité du support Solution: Copie des fichiers
Novembre Copyright Jacques Bergeron 2005, adapté par Pascale Chaussé, CGA, MBA Les préalables: les copies de sécurité (Événements dans le cours normal des opérations) Événements qui rendent les fichiers erronés - MAJ avec des données erronées - MAJ avec des données de la mauvaise période - MAJ avec un programme erroné - MAJ avec une mauvaise version du programme Solution: Générations de fichiers