Download - Support Cours Pca Pra Pci Psi
-
PCA / PRA - 1 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Dfinitions
PCA : Plan de Continuit d'Activit / BCP : Business Continuity Plan PCI : Plan de Continuit Informatique
PCO: Plan de Continuit Oprationnelle
(Continuit ou reprise des oprations mtiers)
PCA=PCO+PCI
PCS : Plan de Continuit de Services
PRA : Plan de Reprise d'Activit (Plan de Rcupration Aprs Sinistre)
DRP : Disaster Recovery Plan
PRI : Plan de Reprise Informatique
PSI : Plan de Secours Informatique
PRU : Plan de Reprise des Utilisateurs
PSA : Plan de Sauvegarde de l'Activit
PRN : Plan de Retour la Normale
BIA : Bilan d'Impact sur les Activits
-
PCA / PRA - 2 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
PCA, PRA, PCI, PSI : o a ?
Le PCA s'insre dans le cadre de la politique gnrale de Scurit.
PCA
PRA
PCI PSI
-
PCA / PRA - 3 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Diffrence entre PCA et PRA
Le Plan de Continuit d'Activit permet, en cas de crise, de continuer l'activit sans perte de service, ou avec une lgre dgradation acceptable. Exemple : tltravail en cas de grves, d'pidmies,
Le Plan de Reprise d'Activit permet, en cas de crise majeure ou sinistre, de pouvoir reconstruire ou de basculer sur un systme de relve - sur une dure dtermine - qui fournira les services ncessaires la survie de l'entreprise. Il est souvent li un risque dfini de perte de donnes (RPO) et dure d'interruption acceptable (RTO). Exemple : basculement d'un datacenter sur un site de secours en cas d'incendie.
-
PCA / PRA - 4 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Quelques chiffres
Mme s'il convient de rester prudent sur des donnes fournies par des
entreprises dont le PRA s'insre dans leurs prestations
Selon Adista, la moiti des entreprises victimes dun sinistre majeur de
leur systme dinformation disparaissent dans les trois ans qui suivent
lincident.
Or, 58% des PME ne disposent pas de PRA, selon une tude Freeform
Dynamics ralise pour le compte de Quest Software auprs de 160 res-
ponsables informatiques en France, en Allemagne et au Royaume-Uni.
Source : Indexel.
-
PCA / PRA - 5 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
L'mergence du PCA / PRA
Le PRA s'est impos du fait de la dpendance accrue des organisations vis--
vis du systme d'information automatis. Un coup de pelle et
L'exposition des risques systmiques s'est accrue avec :
la disparition des architectures distribues-rparties, le degr d'intgration des solutions retenues, l'accroissement de la complexit (la virtualisation et le cloud n'arrangent rien
l'affaire), la prgnance de l'utilisation d'Internet, le dveloppement du phnomne Bring Your Own Device (BYOD).
-
PCA / PRA - 6 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Obligations rglementaires
Loi du 31 juillet 2002 (Pub. L. No. 107-204, 116 Stat. 745) dite Sarbanes-
Oxley Act (SOX)
Rglementation CRBF2004-02 (issue de IASB-Ble II) : obligation d'un plan
de secours oprationnel pour les tablissements financiers, banques et as-
surances.
Grippe H1N1 : circulaire DGT (Direction Gnrale du Travail)2007/18 du
18 dcembre 2007 / circulaire DGT 2009/16 du 3 juillet 2009, recomman-
dant l'institution d'un PCA.
Le code du commerce prvoit une conservation des documents comptables
durant 10 ans.
Conservation des logs des prestataires d'hbergement (Dcret du 24 mars
2006)
-
PCA / PRA - 7 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Dmarche
1. Nommer un RPCA, qui dispose d'une bonne connaissance des mtiers de l'entreprise : res-ponsable qualit, DAF, etc.
2. Effectuer un inventaire des ressources matrielles et humaines, des applications utilises 3. Raliser un audit de criticit, de l'exposition au risque assortie d'une tude d'impact 4. Etablir une hirarchisation, dlimiter un primtre en intgrant les pertes financires et aussi
le cot des solutions pour rpondre aux diffrents scnarios d'exposition aux risques 5. Fixer un RTO : Recovery Time Objectif (temps de coupure) 6. Fixer un RPO : Recovery Point Objectif (temps en termes de pertes de donnes), point de re-
prise des donnes (fracheur des donnes) 7. Construction du plan : ordonnancement du redmarrage des services 8. Tester le plan, prouver les solutions de secours (exemple : groupes lectrognes)
-
PCA / PRA - 8 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Menaces
Elles peuvent toucher aussi bien l'humain que le matriel.
Risques naturels : crues, sismes, marnires,
Pandmies, intoxications,
Grve(s),
Actes de sabotage,
Accidents industriels (AZF Toulouse), accidents nuclaires (Fukushima-
Daiichi),
Servitudes : rupture de canalisation d'eau, coup de pelles, panne de cou-
rant, dfaillance de la climatisation.
Dfaillance matrielle au niveau des serveurs, des stations de travail, du
rseau, de l'internet et de la tlphonie,
Virus informatiques, rootkits,
-
PCA / PRA - 9 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
MEHARI
Mthode Harmonise d'Analyse du Risque
Mesure de l'exposition au risque : potentialit Mesures de rduction de la potentialit Mesure de l'impact (Disponibilit, Intgrit, Confidentialit) Mesures de rduction de l'impact Grilles Potentialit / Impact / Gravit
-
PCA / PRA - 10 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
PRA : la gestion de crise
La cellule de crise a pour objectif de :
grer la communication (institu-
tions, presse, clients, fournisseurs,
), organiser le PRA,
assurer les moyens logistiques et
la mise disposition de res-
sources humaines.
A cet effet, il convient de prvoir un
hbergement disposant de tous les
moyens de communication usuels.
-
PCA / PRA - 11 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Domaines du SI
Hors servitudes (lectricit, climatisation), le SI peut tre segment en
plusieurs domaines :
rseau / LAN,
accs Internet / WAN,
messagerie
serveurs d'infrastructure : DHCP, DNS, Wins, authentification, supervi-
sion
applications / serveurs d'applications
base de donnes
tlphonie
-
PCA / PRA - 12 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Solutions
Informatique rpartie
Spare
Images froid : Clonezilla, Acronis True Image, Symantec Ghost
Redondance (Spanning Tree, )
Stockage : SAN
P2V, V2P : Vmware Converter, System Recovery (Symantec)
Virtualisation : Vmware, Hyper-V, KVM, Xen, etc
Sauvegardes externalises (oodrive) : volumtrie ?
SaaS (Service as a Software) : Google Apps, Microsoft Office 365,
Patriot Act ?
Tltravail
Virtualisation du stockage : et les performances ???
-
PCA / PRA - 13 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Offre Google Drive
-
PCA / PRA - 14 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Logiciels de sauvegarde
EMC Networker
Symantec Backup Exec
Atempo Time Navigator
Arkeia Network Backup
-
PCA / PRA - 15 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Services d'hbergement de machines virtuelles
Offre Prestataire Prix par machine virtuelle
Synaptic Compute as a Service AT&T Tarification sur mesure
Colt Dynamic Infrastructure Services Colt Tarification sur mesure
EC2 Amazon 220 $ par mois ou 10 centimes par heure
BT Virtual Data Center BT Global Services 200 par mois
ClaraCloud Claranet 220 par mois
Flexible Computing Orange A partir de 90 par mois
Dedibox Proxad A partir de 15 par mois
Gandi Hbergement Gandi.net A partir de 15 par mois ou 3 centimes par heure
Kimsufi OVH A partir de 15 par mois
AWS Amazon
Orange Business Orange
SFR Business SFR
-
PCA / PRA - 16 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Site de repli ?
site chaud : redondance
site tide : infrastructure prsente, mais mise jour des donnes
site froid ou dormant: site existant ne disposant d'aucune installation
-
PCA / PRA - 17 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Rplication
Fonction Exemples de produits
Gocluster : cluster entre ma-
chines situes sur des sites dis-
tants
Double-Take (Vision Solutions), RepliStor (EMC), Veritas Cluster Server (Symantec),
SteelEye DataKeeper (SIOS Technology), Cluster Server (Microsoft), ... Fonction gale-
ment intgre certaines applications telles que les SGBD et serveurs de messagerie
Rplication synchrone de baie
baie, via un SAN Fiber Channel
Fonction intgre la plupart des baies de stockage : fonction SRDF chez EMC, proto-
cole PPRT chez IBM et HDS chez Hitachi
Rplication asynchrone de sys-
tme systme via un rseau
IP
Double-Take (Vision Solutions), Veritas Replicator (Symantec), Netvault Replicator
(Quest Software), Backup & Replication (Veeam Software) pour Vmware
Sauvegarde de limage du sys-
tme et redmarrage sur un
site distant
VSS Volume Shadow copy Service (Microsoft)
Rplication de donnes NetApp SnapMirror, Rsync (Open Source)
-
PCA / PRA - 18 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Livres
Plan de continuit d'activit et systme d'information Vers l'entreprise rsiliente,
par Matthieu Bennasar (Dunod)
Management de la Continuit d'Activit, par Emmanuel Besluau (Eyrolles)
Raliser le plan de continuit d'activit de son entreprise P.C.A guide oprationnel,
par Olympe Cavallari et Olivier Hassid (Maxima)
Plan de continuit d'activit Secours du systme d'information,
par Patrick Boulet (Hermes Science Publications)
-
PCA / PRA - 19 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Sources http://blogs.orange-business.com/cloud-computing/
http://droitdutravail.blog.capital.fr/index.php?action=article&id_article=422971
http://fr.wikipedia.org/wiki/Plan_de_continuit%C3%A9_d%27activit%C3%A9_%28informatique%29
http://fr.wikipedia.org/wiki/Plan_de_reprise_d%27activit%C3%A9
http://infochronologie.blogemploi.com/pra/2008/09/le-projet-pra-p.html
http://itil.fr/DRP/PCA/drppca-mettre-en-oeuvre-un-plan-de-continuite-dactivite.html
http://www.clusif.asso.fr/fr/production/mehari/download.asp
http://www.journaldunet.com/solutions/0506/050628_pca.shtml
http://www.journaldunet.com/solutions/securite/pca-et-pra/
http://www.journaldunet.com/solutions/systemes-reseaux/dossier/realiser-un-plan-de-reprise-d-activite-10-
conseils-d-experts/realiser-un-plan-de-reprise-d-activite-10-conseils-d-experts.shtml
http://www.mag-securs.com/Communiqu%C3%A9s/tabid/65/id/28117/La-virtualisation-et-le-cloud-
computing-compliquent-la-reprise-d-activites-apres-incident.aspx
http://www.stanfeel.com/Front/plan-de-continuite-d-activite_18.php
http://www.systemes-information.fr/
http://www.vmware.com/fr/solutions/datacenter/business-continuity/
www.hsc.fr/presse/clubpca/LIVRE-BLANC-CCA.pdf
-
PCA / PRA - 20 / 20 -
Denis Szalkowski Formateur Consultant http://www.dsfc.net Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012
Annexe : trame d'un PCA (grippe H1N1) Analyse des missions assures par lentreprise
Hirarchisation des missions devant tre assures en toutes circonstances
Identification des ressources matrielles et humaines ncessaires la continuit de lactivit juge indispen-sable
Etablissement dun tat des effectifs (comptence au regard des missions et fonctions prioritaires, possibilit de tltravail, poste occup en situation dgrade, possibilits de supplance, possibilits de renforcement.)
Mthodes et moyens de protection et dinformation des personnels (mise jour du document unique, identi-fication des personnels les plus exposs, information)
Modes dorganisation pour le maintien de lactivit (fournisseurs alternatifs, renforcement des stocks, solu-
tions alternatives de transport, liste des moyens techniques et logistiques prvoir, mesures visant limiter
la contagion, rorganisation du travail audioconfrence, tltravail-, amnagement des horaires, outils
dinformation collective, plan de communication, utilisation du courrier lectronique)
Acquisitions pralables (produits dhygine, quipements pour le travail domicile)
Exercices de ralisation
Suivi, retour dexprience et ajustement du dispositif
Reprise des oprations lissue de phase aige de la crise