Aspects Normatifs de la continuité d`activité - SSi

Aspects Normatifs de la continuité d'activité
(28-02-2007) - - Dernière mise à jour : (03-02-2014)
De quoi parle-t-on ? Nous proposons la définition du "Forum Tripartite" du Comité de Bâle sur le Contrôle bancaire , mais
cette définition peut s'appliquer à tous les secteurs d'activité :« La gestion de la continuité d'activité est une approche
globale qui inclut la politique, les standards et les procédures pour s’assurer que des opérations précises
peuvent être poursuivies ou récupérées dans un laps de temps raisonnable dans le cas d'une perturbation majeure.
Son but est de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation et autres
conséquences substantielles si un tel événement survient ». Quelles normes ?SSI-Conseil a longtemps recommandé
de se référer aux bonnes pratiques et aux normes disponibles du domaines de la continuité d'activité.La référence
étant la norme BS 25999 du BSI. Elle faisait suite aux travaux du BCI (Business Continuity Institute) Britannique et
notamment au PAS56:2003.Elle était déclinée logiquement sous deux aspects :BS 25999-1: Guide des bonnes
pratiques de la continuité d'activité; Définit les bases pour comprendre, concevoir et mettre en oeuvre la continuité
opérationnelle d'une organisation. Etablit les bases de la confiance dans les relations d'affaires avec les partenaires et
clients. Elle est disponible au BSI : BS 25999-1:2006 et propose une démarche de management (Business Continuity
Management) organisée en 5 étapes.BS 25999-2: Guide de la mise en œuvre d'un système de management de la
continuité d'activité (SMCA);Spécifie les exigences pour "établir, mettre en œuvre, piloter, auditer, améliorer de
façon continue" un système de Management de la Continuité des Affaires dans le contexte d'une couverture de
l'ensemble des risques liés à l'activité d'une organisation, et en vue de la mise en oeuvre des mesures de sécurité
adaptées aux besoins de continuité de services d'une organisation donnée.Elle est maintenant disponible au BSI : BS
25999-2:2007De son coté l'AFNOR a publié une étude: Plan de Continuité d'Activité (PCA) disponible à l'AFNOR : BP
Z74-700Enfin l' AFNOR a traduit et publié en 2007 sous le titre Management de la continuité d'activité le guide des
bonnes pratiques du BCINormes ISO rattachées à la continuité d'activité :Il y a eu depuis (2011 2012) une nouvelle
norme ISO avec la série 22K qui a repris l'ensemble des recommandations de la BS 2599.ISO/IEC 22301 : 2012 :
"Sécurité sociétale — État de préparation et systèmes de gestion de la continuité — Exigences" disponible
à l'AFNOR en Français depuis aout 2013ISO/IEC 22313 : 2012 : "Societal security — Business continuity
management systems — Guidance" disponible en Anglais à l'ISO en non encore traduite à ce jour (01/2014)Côté
services d'hébergement on note les références suivantes :ISO/IEC 24762 : « Guidelines for information and
communication technology disaster recovery services » orientée Reprise d'activité pour les hébergeursISO/IEC 24762 :
Propose des recommandations concernant la mise en
place d'un plan de reprise d'activité de l'IT (IT et télécoms) dans le
cadre d'un Plan de Continuité d'Activité.Coté IT, dans la continuité des normes 27K on trouve :ISO/IEC 27031:2011 :
Information technology. Security techniques. Guidelines for information and communication technology readiness for
business continuityEt les autres ? : L'ENISA (European Network and Information Security Agency) a dressé un
comparatif des normes, méthodologies et outils disponibles pour soutenir une démarche de Continuité d'Activité :
Inventory of Business and IT Continuity MethodsAutres aspects normatifs : LSF : la loi française n° 2003-706 sur la
sécurité financière d'une part, et plus particulièrement pour le domaine bancaire, le règlement CRBF 2004-02, d'autre
part, font explicitement référence à la nécessité de disposer d'un plan de continuité d’activité documenté,
cohérent et testé destiné à assurer la continuité des services y compris en cas de sinistre grave ou de "chocs
extrêmes".ITIL : Service Delivery, section 7 : IT Service Continuity Management, ...Terminologie :La terminologie
relative aux Plans de continuité d'activité n'est pas "officiellement" arrêtée en France.Les termes couramment utilisés
sont :SMCA : Système de Management de la Continuité d'Activité : (BCMS en Anglais) tel que décrit dans la norme
ISO/CEI 22301 : Sécurité sociétale - Système de management de la continuité d'activité - Exigences disponible à
l'AFNOR en Français depuis aout 2013. Ce système de Management peut être certifié.BCP :Business Continuity Plan
que nous traduisons par PCA : Plan de Continuité des Affaires et qui concerne autant la partie fonctionnelle que la partie
des ressources IT (Système d'information, réseaux et télécommunications).Le PCA n'est pas monolithique et comporte
les plans opérationnels suivants :Plan de Gestion de Crise : c'est la structure de pilotage du PCA et de coordination des
composants du plan en cas de sinistre (PGC). Le plan de gestion de crise définit une cellule de crise principale chargée
généralement de la Communication de crise et des RH et des Cellules de Crise spécialisées. il peut y avoir autant de
Cellules de crises spécialisées que de métiers critiques. Ces cellules pilotent le plan de leur métier et rendent compte à
la cellule de crise principale.Plan de Continuité des Opérations Métiers : Concerne les activités métiers de l'entreprise
(PCO); Il nous arrivera aussi de parler de PCU : Plan de continuité Utilisateurs qui correspond au PCO.Plan de
Continuité des Systèmes d'Information : Plan de Reprise d'Activité (Informatiques et télécoms) et qui couvre le PSI ou
Plan de Secours Informatique (au sens large des ressources TIC) et le PRAp ou Plan de Reprise des Applications, c'est
le DRP : Disater Recovery Plan que nous traduisons par PRA et quelque fois PRAI. L'Afnor Parle de PCIT : Plan de
continuité de l'Informatique et des Télécommunications;Plan de Repli et Logistique : Organise tous les aspects
transverses de relocalisation et de logistique on parlera aussi de PRET : Plan de Reconstitution de l'Environnement de
Travail pour la logistique technique immobilière et de transport nécessaire à la reconstitution de l'environnement de travail
des Utilisateurs et des Informaticiens.Stratégie : Procédures transverses faisant le lien entre le scénario de sinistre et
les divers plans afin de mettre en oeuvre les dispositifs ou mesures de sécurité arrêtées pour chaque
scénario.Urgences : Procédures transverses permettant à chaque employé de connaitre la conduite à tenir en cas de
sinistre (voir les POI Plans d'Opérations Internes qui peuvent servir de modèles)Plan de maintien en condition
opérationnelle : Ensemble des procédures de mise à jour du PCA (et notamment de son système d'information
documentaire)Plan de tests : Un PCA non testé est un PCA qui ne fonctionnera pas.On estime que le plan de tests doit
permettre de mettre à l'épreuve l'ensemble des dispositifs des plans ci-dessus en trois ans.Management de la continuité
d'activité : (MCA) Ensemble des actions de management (généralement opérées sous la responsabilité d'un
http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information
Powered by Mambo
Generated: 17 April, 2014, 19:00
responsable du PCA ou RPCA) assurant l'efficience du PCA et garantissant la résilience de l'entreprise. (voir aussi
défense d l'entreprise à la rubrique Enjeux).Le club de la continuité d'activité ClubPCA vient de sortir (Juin 2009) son
Livre blanc « Lexique structuré de la Continuité d’Activité » pour nous permettre d'y voir plus clair. (pdf de 60
pages) Le Champ des situations à prendre en compte :© AFNORA ce champ il convient d'ajouter la prise en compte des
aspects humains comme les risques sociaux (grèves) ou les pandémies où le personnel ne se déplace
plus.Ressources : Matthieu BENNASAR : livre PLAN DE REPRISE D'ACTIVITE et système d'information paru chez
Dunod
: ISBN 978-2-10-053266-7, 2eme édition reste une référence d'adaptation pragmatique (E=MCA) en Français des Good
Management Practices du BCI et du PAS56.Emmanuel BESLUAU : Livre Management de la Continuité d'Activité Chez
Eyrolles, ISBN:978-2-212-12346-3, avec une approche plus orientée sur la gestion des risques. une 2eme édition est
parue.Club de la continuité d'activité : www.clubpca.euGratuit, mais en Anglais, une étude très fouillée de l'ENISA :
Business and IT Continuity: Overview and Implementation Principles PDF de 2641KB
http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information
Powered by Mambo
Generated: 17 April, 2014, 19:00