La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.

Publié parGustave Crevier Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou."— Transcription de la présentation:

1 COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants

2 Continuité Informatique : Les normes internationales L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes : BS 25777 : CT continuity management PD 25666 :Guidance on exercising and testing for continuity and contingency programmes ISO 27031 :Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) 2 Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ?

3 Les éléments organisationnels Auditer l’existence des éléments organisationnels suivants : –Existence d’une politique de continuité informatique –Attribution d’un budget à cette problématique –Responsable nommé sur cette activité Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3 Politique + + Budget Responsable

4 Auditer les Business Impact Analysis (BIA) La criticité des activités est-elle bien établie? Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Y compris les infrastructures ? Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la DSI ? Sont-ils jugés réalistes ? Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4 Activité critique Ressources Informatiques (applications et matériels) Ressources humaines Bâtiments A quoi doit répondre un BIA ?

5 Le concept de SPOF (Single Point of Failure) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5 Pour éviter les pannes, on double les équipements Un SPOF est un équipement non redondé Chasser les SPOF, c’est trouver « la petite bête » Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. SPOF Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique !

6 Auditer les aspects données du plan de secours informatique Audit des mécanismes de réplication –Toute les données importantes sont-elles répliquées ? Audit de la sauvegarde / restauration –Les données importantes sont-elles sauvegardées ? –Les sauvegardes sont-elles externalisées ? –La restauration est-elle testée régulièrement ? Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6 Baie de stockage Robot de sauvegarde

7 Auditer le PSI Autres vulnérabilités Obsolescence matérielle Obsolescence logicielle Performance Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7

8 Auditer les exercices de continuité informatique Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ? Sont-ils réalisés régulièrement ? Recommandation : au moins une fois par an. Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique. D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8

9 Auditer le Maintien en Conditions Opérationnelles (MCO) du plan Un PSI doit être maintenu à jour : –Le plan doit refléter la réalité –La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles) Or, les changements informatiques sont réguliers (quotidiens). Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9

10 Auditer le lien entre Gestion des incidents et Gestion de crise Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10 Temps Qualité de service Niveau de service attendu Premières alertes (supervision, alerting fonctionnel) Gestion d’incidents Escalade et déclenchement de la gestion de crise Activation du plan Seuil à déterminer

11 Continuité Informatique Le rôle de l’auditeur Sensibiliser la Direction Générale Sortir la Direction Informatique du corner Renforcer les liens entre PCA, PSI et Gestion de crise Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11

Télécharger ppt "COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou."

Présentations similaires

Séminaires STRATEGIE Uniquement les informations nécessaires

Séminaires STRATEGIE Uniquement les informations nécessaires
CONSULTING Plans de Reprise d’Activité – Plans de Continuité d’Activité NEFTIS aide les entreprises à mettre en place les Plans de Continuité et de Reprise.

CONSULTING Plans de Reprise d’Activité – Plans de Continuité d’Activité NEFTIS aide les entreprises à mettre en place les Plans de Continuité et de Reprise.
La sécurité Réseau Bts IG ARLE.

La sécurité Réseau Bts IG ARLE.
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Addis-Abeba 21-25 novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.

Addis-Abeba novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.
Le point de vue de l’auditeur

Le point de vue de l’auditeur
Club de l’IRIS 22 mai 2008 PCA GROUPAMA.

Club de l’IRIS 22 mai 2008 PCA GROUPAMA.
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
Comment faire face aux incidents « logiciels »

Comment faire face aux incidents « logiciels »
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité

La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
L’entretien annuel Mai 2012.

L’entretien annuel Mai 2012.
Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :

Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :
Le Workflow et ses outils

Le Workflow et ses outils
PROGRAMME AFRIQUE CENTRALE ET OCCIDENTALE (PACO) Trousse à Outils de Planification et de Suivi-Evaluation des Capacités dAdaptation au Changement climatique.

PROGRAMME AFRIQUE CENTRALE ET OCCIDENTALE (PACO) Trousse à Outils de Planification et de Suivi-Evaluation des Capacités dAdaptation au Changement climatique.
Banco Interamericano de Desarrollo www.iadb.org Le développement de la fonction dAudit Interne Fonction dAudit pour combattre la fraude et la corruption.

Banco Interamericano de Desarrollo Le développement de la fonction dAudit Interne Fonction dAudit pour combattre la fraude et la corruption.
MIAGE MASTER 1 Cours de gestion de projet

MIAGE MASTER 1 Cours de gestion de projet
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT

Présentations similaires

Annonces Google