Vulnérabilités LES CAHIERS DE L’ESPACE ÉTHIQUE psychiques ...
Auditer son plan de secours informatique et détecter ses vulnérabilités
-
Upload
alterest -
Category
Technology
-
view
3.675 -
download
3
description
Transcript of Auditer son plan de secours informatique et détecter ses vulnérabilités
COLLOQUEMercredi 21 mars 2012
L’IFACI est affilié àThe Institute of Internal Auditors
En partenariat avec :
Organisé en collaboration avec :Arjuna
Baccou Bonneville Consultants Mica
Le Plan de Secours InformatiqueAuditer son Plan de Secours Informatique
et détecter ses vulnérabilités
Serge BaccouDirecteur Associé
Baccou Bonneville Consultants
Continuité Informatique :Les normes internationales
L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes :
BS 25777 : CT continuity management
PD 25666 : Guidance on exercising and testing for continuity and contingency programmes
ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires
ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM)
2Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment
maîtriser vos dispositifs pour plus d’efficacité ?
Les éléments organisationnels
Auditer l’existence des éléments organisationnels suivants :– Existence d’une politique de continuité
informatique– Attribution d’un budget à cette problématique– Responsable nommé sur cette activité
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
Politique
+ +Budget Responsable
Auditer les Business Impact Analysis (BIA)
• La criticité des activités est-elle bien établie?
• Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ?Y compris les infrastructures ?
• Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la DSI ? Sont-ils jugés réalistes ?
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
Activitécritique
RessourcesInformatiques(applications et
matériels)
Ressourceshumaines
Bâtiments
A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?A quoi doit répondre un BIA ?
Le concept de SPOF(Single Point of Failure)
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
• Pour éviter les pannes, on double les équipements
• Un SPOF est un équipement non redondé
• Chasser les SPOF, c’est trouver « la petite bête »
• Faire des vérifications simplesEx. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre.
SPOF
Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique !
Auditer les aspects données du plan de secours informatique
• Audit des mécanismes de réplication– Toute les données importantes sont-elles répliquées ?
• Audit de la sauvegarde / restauration– Les données importantes sont-elles sauvegardées ?– Les sauvegardes sont-elles externalisées ?– La restauration est-elle testée régulièrement ?
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
Baie destockage
Robot desauvegarde
Auditer le PSIAutres vulnérabilités
• Obsolescence matérielle
• Obsolescence logicielle
• Performance
• Failles de sécurité
Note :
La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
Auditer les exercices de continuité informatique
• Sont-ils représentatifs ?Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ?
• Sont-ils réalisés régulièrement ?Recommandation : au moins une fois par an.
• Font-ils l’objet d’un compte-rendu ?Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique.
• D’un plan d’action ?Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées.
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
Auditer le Maintien en Conditions Opérationnelles (MCO) du plan
• Un PSI doit être maintenu à jour :– Le plan doit refléter la réalité– La configuration matérielle et logicielle entre le
nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles)
• Or, les changements informatiques sont réguliers (quotidiens).
• Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer…
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
Auditer le lien entre Gestion des incidents et Gestion de crise
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
Temps
Qualitéde service
Niveaude serviceattendu
Premières alertes(supervision, alerting fonctionnel)
Gestiond’incidents
Escalade et déclenchementde la gestion de crise
Activation du plan
Seuilà déterminer
Continuité InformatiqueLe rôle de l’auditeur
• Sensibiliser la Direction Générale
• Sortir la Direction Informatique du corner
• Renforcer les liens entre PCA, PSI et Gestion de crise
• Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique
Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11