RECOMMANDATIONS CONTRACTUELLES - Fourniture de moyens / Engagements de résultats - Délai de mise à disposition - Evolution de la configuration de secours - Confidentialité - Auditabilité - Services annexes et assistance 34

RECOMMANDATIONS CONTRACTUELLES - Nombre et répartition des clients mutualisés - Site de secours de premier niveau et de deuxième niveau - Convention d'engagement de service (plan d'assurance qualité) - Prise en charge des frais de fonctionnement par une assurance (cas de sinistre) 35

QUELQUES FOURNISSEURS DE SITE DE SECOURS ALTAIR COMDISCO GUARDIAN - SOGERIS - TWIN X - TWINSYS BRS (IBM) INTEGRIS (BULL) SAFETYNET SGRS SYNSTAR INTERNATIONAL 36

LOCAUX IMPRATICABLES --> SITE DE REPLI - Sites de repli internes - salle de formation - salle de réunion pré-équipée - Sites de repli externes mutualisés : - Accord réciproque - Fournisseurs de moyens de secours 37

QUELQUES FOURNISSEURS DE SITE DE REPLI Actuellement en France, COMDISCO GUARDIAN - SOGERIS BRS (IBM) INTEGRIS (BULL) SGRS Actuellement en France, quelques sites de repli de 500 places maximum, localisés en région parisienne 38

REPRISE DU RESEAU TELECOMMUNICATION Solution interne : Reprise du réseau dans un autre bâtiment Appel à un prestataire : Reprise du réseau dans un autre bâtiment et connexion vers un site de secours 39

REPRISE DU RESEAU TELEPHONIQUE FIXE La téléphonie vocale : Têtes de lignes doublées Lignes séparées Partage des moyens Prévoir en secours de la téléphonie Autocommutateur mobile ou Autocommutateur doublé Sauvegarde des configuration des postes recensés vitaux (annuaire, paramètrages…) Disposer d'un Poste Opérateur Simplifié de secours 40

SOMMAIRE 1 - LE POURQUOI ? 3 2 - LA GESTION DE CRISE 11 3 - LES SAUVEGARDES DE RECOURS 24 4- LES MOYENS DE SECOURS ET DE REPLI 32 5 - LA FORMALISATION DES PLANS 42 6 - LA DEMARCHE DE MISE EN ŒUVRE 43 7 - LES CONDITIONS DE REUSSITE 54 41

LA NECESSITE DE FORMALISER Les moyens ne suffisent pas, il est nécessaire : - de fournir des fiches d'intervention - de contrôler le déroulement des plans - d'être auditable Il est nécessaire d'avoir un référentiel secours : ressources, scénarios, rôles, plans, actions, procédures, ... Un plan de secours se décompose en N plan de reprise d'activité correspondant chacun à un scénario de sinistre endommageant des ressources. Elles perturbent gravement ou rendent impossible le fonctionnement du département 42

LE CAHIER DES CHARGES D'UN PLAN DE REPRISE INFORMATIQUE Avoir des sauvegardes de recours accessibles Avoir la garantie d'accès à des moyens de secours Avoir un plan prêt à exécuter le jour du sinistre Savoir réaliser des exercices de validation probants Savoir évoluer et maintenir le plan en condition opérationnelle Etre auditable Savoir intégrer le secours dès la conception des applications 43

LE CAHIER DES CHARGES D'UN PLAN DE REPRISE UTILISATEURS Avoir des sauvegardes de recours accessibles (micro, serveurs locaux, dossiers, en cours) Pouvoir localiser les différentes structures (département, services) Pouvoir vérifier en permanence l'adéquation des ressources nécessaires au secours, avec le dimensionnement des sites de repli Pouvoir prendre en compte des sinistres de plusieurs départements et gérer les affectations prioritaires sur les sites de repli Savoir évoluer et maintenir le plan en condition opérationnelle Etre auditable 44

LA GESTION DU PROJET Comité de pilotage (management de l'entreprise) Equipe projet (chef de projet, ...) Equipes fonctionnelles Equipes techniques (services utilisateurs) (informatique, moyens généraux) 45

ETUDE DES BESOINS ET DES STRATEGIES DE REPRISE Lancement de l ’étude: Déterminer la cartographie des processus sensibles Inventorier les moyens et activités à secourir Déterminer les scénarios de sinistres envisageables Evaluer les impacts d’un scénario Relever les exigences des utilisateurs : Exigences de continuité de service des utilisateurs Activités critiques Exigences de sauvegarde des utilisateurs Lancement: Prendre en compte les objectifs de sécurité en termes de continuité de services Proposer un plan d’actions de sécurité à mettre en oeuvre (priorités, budget) 46

ETUDE DES BESOINS ET DES STRATEGIES DE REPRISE Choix de solutions : Elaborer des solutions de secours pour les moyens et les ressources sinistrés Définir les types de solutions de secours envisageables par scénario retenu : Solution 1 : Disposer d’une salle de secours Solution 2 : Contrat avec un prestataire de secours Solution 3 : Livraison de serveurs de secours sur le site sinistré (backup mobile) Elaborer des solutions de repli pour les activités sinistrées Solution 1 : Disposer d’une salle de secours utilisateur en interne Solution 2 : Contrat avec un prestataire de site de repli Choix de solutions 47

ELABORATION DES PLAN DE CONTINUITE DES RESSOURCES Réaliser le plan de continuité des ressources : Formaliser le plan de secours  un plan par ressource sinistrable (informatique, téléphone, réseau) Déterminer les rôles du comité de pilotage (validations, planning, actions spécifiques…) Définir les Procédures pour mise à disposition des ressources Définir les Procédures de retour nécessité (suite à un événement ) de secourir, dans un délai déterminé, des ressources déclarées vitales, (après l'étude d'impact sur l'activité de l'Entreprise). On caractérise fréquemment l'objectif pour une ressource donnée par la "Durée maximum d'Interruption Admissible" (DMIA). Les événements sont choisis à partir de l'étude de la vulnérabilité de l'entreprise (étude des dangers). Les objectifs peuvent concerner aussi bien des applications informatiques fonctionnelles (ex : prise de commande, facturation...) que des "facilités" (téléphone, fax, télex...) ou des services (reloger la fonction planning informatique ou le service du personnel...) Classification -profil des participants au processus de classification 48

ELABORATION UN PLAN DE CONTINUITE DES ACTIVITES Réaliser le plan de continuité des activités : Elaborer un Plan par scénario et par activité vitale à secourir Déterminer les rôles du comité de crise Il est prévu un PCA par activité à secourir. Un PCA est déclenché suite à une première évaluation du sinistre. Identifier les activités critiques à secourir: à maintenir en urgence, en dégradé, à ne pas retenir - En deçà, les utilisateurs peuvent poursuivre l'activité de façon plus ou moins dégradée, entraînant des pertes supportables par l'entreprise. Au-delà, les conséquences peuvent mettre en cause la survie de l'entreprise, il faut donc lancer un Plan de reprise d'activité. . 49

ELABORATION DES PLAN DE CONTINUITE DES ACTIVITES Déterminer les procédures de redémarrage des activités prioritaires : fonctionnement en mode manuel sans informatique - fonctionnement avec informatique dégradée (procédures dégradées automatisées) procédures de retour à la normale contrôle 50

VALIDATION DES PLANS Modalités d ’exécution SIMULE REEL OK PREPARE OK si aucune perte de données et réseau opérationnel PREPARE IMPROMPTU OK KO 51

MAINTIEN EN CONDITION OPERATIONNELLE Organisation : Mise en place d ’une organisation permanente avec des rôles définis en vue de gérer une crise à tout moment Constitution de la cellule de crise décisionnelle (souvent issue du comité de pilotage) Administration du Plan : rôle de l ’administrateur Mise en place d ’une organisation technique pour le suivi des évolutions 52

SOMMAIRE 1 - LES CONCEPTS ET LA PROBLEMATIQUE 3 2 - LA DIRECTION DE CRISE 11 3 - LES SAUVEGARDES DE RECOURS 24 4- LES MOYENS DE SECOURS ET DE REPLI 32 5 - LA FORMALISATION DES PLANS 42 6 - LA DEMARCHE DE MISE EN ŒUVRE 43 7 - LES CONDITIONS DE REUSSITE 54 53

LES PRE-REQUIS POUR DEMARRER - L'implication permanente de la Direction Générale - La sensibilisation du personnel - La mise à disposition des ressources pendant toute la durée du projet - L'utilisation d'un logiciel pour gérer le référentiel secours 54

POURQUOI UN LOGICIEL ? - Nécessité d'avoir un même référentiel secours pour tous les plans - Nécessité de gérer de nombreuses entités : plans, actions, intervenants, rôles, ... - Nécessité de pouvoir partager et déléguer entre plusieurs responsables fonctionnels Un logiciel est nécessaire pour gérer un plan de secours. Un traitement de texte n'est pas suffisant. Il faut une mémoire vivante du secours. 55

DOMAINE D'UTILISATION DU LOGICIEL opérationnelle du plan SINISTRE PREVENTION LUTTE Exercices Audits REMISE EN ROUTE RETOUR A LA NORMALE Mise à jour et maintien en condition opérationnelle du plan - Processus décisionnel - Processus informationnel - Processus opérationnel Analyse / enseignements Améliorations 56

LES FONCTIONNALITES TYPES Aide à la conception Diffusion de plan d'action Aide aux exercices Audits & contrôles Un bon outil va rendre le client indépendant vis à vis d'un consultant. PARAD est un produit français. L'organisation et la gestion des secours est une affaire complexe de par le nombre et la diversité d'éléments à considérer. Autant profiter de l'expérience contenue dans un bon outil. Un bon outil va rendre le client indépendant vis à vis d'un consultant. PARAD en est un exemple concret. Il est dédié à la continuité des Opérations. Développé à l’origine pour les plans de secours informatiques, PARAD est aujourd’hui largement mis en oeuvre pour l’ensemble des plans et procédures de secours de l’entreprise. Ses nombreuses fonctions de : BASE DE CONNAISSANCE INTERFACE AVEC TRAITEMENT DE TEXTE CONDUITE DE PROJET CONTROLE DE COHERENCE DES PLANS GESTION DES EXERCICES INDICATEURS D’ALERTE ET TRACES DES ACCES A PARAD facilitent grandement la révision des plans par le management et les auditeurs. PARAD est largement diffusé et peut aujourd’hui être considéré comme une référence en matière de progiciel de gestion des secours. Aide au maintien opérationnel Protection des plans Aide au pilotage d'exécution 57

UN REFERENTIEL SECOURS PARTAGE ADMINISTRATION DU PLAN AUDIT STRUCTURE n STRUCTURE 2 RESPONSABLE SECOURS STRUCTURE 1 RESPONSABLE SECOURS 56

LA MISE A JOUR AUTOMATISEE GESTION DE RESSOURCE REFERENTIEL SECOURS Mises à jour périodiques PLAN DE CONTINUITE D ’ACTIVITE PLAN DE CONTINUITE Plan de Continuité 59

LES PRINCIPAUX LOGICIELS DE GESTION DE PLAN DE SECOURS BORA : (EXPLOITIQUE) CAPT (HEINE PARTENER GMBH) CBR : (SOGERIS) COMPASS : (COMDISCO) LDPRS : (SCROOL SYSTEM) RISK MANAGER (CAP SOGETI) TTA-PARAD : (XP-CONSEIL) .... 60

UN PROVERBE POUR CONCLURE Les tuiles qui protègent de la pluie ont toutes été posées par beau temps ! (proverbe chinois) Merci pour votre attention 61