Dossier technique Plan de Continuité d’Activité –Stratégie et solutions de secours du S. I. Septembre 2003 COMMISSION TECHNIQUES DE SECURITE LOGIQUE CLUB DE LA SECURITE DES SYSTEMES D’INFORMATION FRANÇAIS 30, rue Pierre Semard, 75009 PARIS Tél. : +33 153 25 08 8 : clusif@clusif. o. e-mai or83 Sni* to View TABLE DES MATIERE Introduction. 2 Stratégie de secours…… — 2. 1 Définitions . 88 w. clusif. asso. fr solutions techniques de secours — 3. 1 Le Plan de Secours Informatique 3. 2 Organisation 3. 2. 1 Le Comité de Crise. 3. 2. La Cellule de Coordination 10 3. 2. 3 Les équipes d’intervention IO 3. 24 Les sewices utilisateurs…. 3. 3 Déclenchement… PAGF 3 3. 5. 3 Les documents de gestion du plan de 14 secours — 3. 5. 4 Les documents de contrôle du plan de . 14 secours. 3. 6 Maintenance du 3. 6. 1 3. 6. 2 outils 3. 7 4 Plan de 15 Les solutions de 17 secours. • • • • • • • • • 4. 1 Les solutions de secours informatiques 4. 1. 1 Typologie et modes de gestion des moyens de secours…. PAGF 3 3 19 .. 27 4. 2. 2 Les moyens téléphoniques de 28 secours 4. 2. Le routage des liaisons téléphoniques (sur numéro 4. 3 Le sauvetage des locaux et des équipements . 29 4. 4 Les sauvegardes / restaurations 4,4. 1 Les types de sauvegarde . 4. 41. 1 Sauvegarde physique 30 4. 4. 1. 2 Sauvegarde logique . .2. 1 Sauvegarde logique complète plan de Continuité d’Activité Stratégie et solutions de secours du S. I. CLUSIF 2003 3 restauration. …. 31 4. 4. 2. 1 la réplication ; 4. 4. 2. 1. 1 Cas 1 : la réplication immédiate…….. 4. 4. 2. 1. 2 Cas 2 : Les mises à jour sont transmises à intervalles . … 31 . 34 4. 4. 2. la sauvegarde classique………….. . 32 4. 4. 3 La synchronisation des données 33 4. 4. 4 Les solutions de sauvegarde / restauration. 33 4. 4. 4. Architectures dites « centralisée »……. 4. 442 Architecture « distribuée » ou client / serveur…….. 4. 4. 5 Les procédures, les tests, le 4. 5 Le secours des impressions et de la mise sous pli . 4. 6 Le secours des accès au réseau Internet — — PAGF s 3 34 35 4. 7 Le contrat de secours 4. 7. 1 Objet du 36 4. 7. 2 contrat Nature détaillée des « prestations 4. 7. 3 Procédure de déclenchement 4. 7. Conditions de fonctionnement…………………. 4. 7. 5 Logistique. 37 4. 7. 6 Tests et répétitions. 4. 7. 7 Gestion de 4. 7. 8 Engagements et responsabilités 38 PAGF 6 3 4. 7. 12 Quelques recommandations…………………….. 40 Annexe . fiches guides d’analyse des risques. • • • 41 5. 1 extérie • • • • • • • • • 50 Ressources humaines Locaux et infrastructure. 5. 2 Equipements informatiques et de télécommunication . 5. 3 Système d’exploitation, applications, données et 46 flux 5. 4 Services, fournitures et prestations . 8 5. 5 52 PAGF 7 3 et son président, Pierre SINOQUET, pour les échanges fructueux que nous avons eus sur le thème de la continuité d’activité. O CLUSIF 2003 IV I INTRODUCTION Ce document s’adresse avant tout aux responsables sécurité, irections informatiques, risk managers ou au contrôle interne. Elle concerne aussi tout acteur (Direction Générale, Direction Juridique, Direction des Ressources Humaines, Direction Administrative et Financière, dès lors que sa fonction contribue entre autres ? définir, implémenter, maintenir ou garantir la sécurité.
Il a pour objectif d’apporter une aide au choix et à la mise en œuvre de moyens visant à assurer une disponibilité des systèmes d’information adaptée aux besoins de l’entreprise. Le problème de la continuité du système d’information (SI) peut être abordé à diverses ccasions, comme par exe contrats de service. Il s’agit alors de répondre à un besoin ponctuel précis, tout en s’intégrant dans une stratégie globale (PCA plan de Secours Informatique), si elle existe.
Le document comporte trois parties principales : La prise en compte des besoins et la définition d’une stratégie de secours (chapitre 2). Ce chapitre fournit des éléments d’aide : à l’analyse préalable des risques , au choix des dispositifs à mettre en œuvre (dispositifs permanents relevant de la qualité ou disposltifs de secours à déclencher uniquement en situation de sinistre). L’élaboration du Plan de Secours Informatique (chapitre 3). Ce chapitre décrit son organisation, ses composants essentiels et son intégration dans un plan plus global de continuité d’activité.
La présentation des principaux dispositifs pouvant être retenus pour assurer la disponibilité d’un système d’information (chapitre 4). un glossaire est disponible à la fin de ce document. @ CLUSIF 2003 enjeux et aux contraintes de l’entreprise. Ce chapitre présente les étapes classiques conduisant à la définition de la stratégie de secours. On pourra se reporter utilement aux documents du CLIJSIF consacrés aux méthodes et en articulier à MEHARI qui détaillent les définitions et les étapes d’étude des vulnérabilités et d’analyse des risques. . 1 Définitions Dans la suite du document, nous ferons référence à certaines notions d’analyse de risques, selon les méthodes MARION ou MEHARI : L’impact • le niveau d’impact mesure les conséquences de la réalisation d’un risque sur l’entreprise. La définition des niveaux d’impact permet de préciser les situations non supportables par l’entreprise (pertes financières, atteinte ? l’image, désorganisation, et de disposer ainsi d’une référence commune pour Févaluation des risques.
La potentialité : le niveau de potentialité permet d’appréhender d’une manière simplifiée la probabilité de réalisation d’un risque. On utilise habituellement 4 à 5 niveaux, ce qui est suffisant pour faire la part des choses entre le cas d’école et le risque qui a de fortes chances de se realiser à court terme. La gravité : combinaison de l’impact et de la potentialité. Le niveau de gravité d’un risque mesure son degré d’acceptabilité par la Dlrection Générale. 2. 2 Démarche 2. 2. 1 Les phases de la démarche La démarche pour la définition de la stratégie de secours peut être décomposée en 5 ph paGF
