Aspects Normatifs de la continuité d`activité - SSi
Transcription
Aspects Normatifs de la continuité d`activité - SSi
Aspects Normatifs de la continuité d'activité (28-02-2007) - - Dernière mise à jour : (03-02-2014) De quoi parle-t-on ? Nous proposons la définition du "Forum Tripartite" du Comité de Bâle sur le Contrôle bancaire , mais cette définition peut s'appliquer à tous les secteurs d'activité :« La gestion de la continuité d'activité est une approche globale qui inclut la politique, les standards et les procédures pour s’assurer que des opérations précises peuvent être poursuivies ou récupérées dans un laps de temps raisonnable dans le cas d'une perturbation majeure. Son but est de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation et autres conséquences substantielles si un tel événement survient ». Quelles normes ?SSI-Conseil a longtemps recommandé de se référer aux bonnes pratiques et aux normes disponibles du domaines de la continuité d'activité.La référence étant la norme BS 25999 du BSI. Elle faisait suite aux travaux du BCI (Business Continuity Institute) Britannique et notamment au PAS56:2003.Elle était déclinée logiquement sous deux aspects :BS 25999-1: Guide des bonnes pratiques de la continuité d'activité; Définit les bases pour comprendre, concevoir et mettre en oeuvre la continuité opérationnelle d'une organisation. Etablit les bases de la confiance dans les relations d'affaires avec les partenaires et clients. Elle est disponible au BSI : BS 25999-1:2006 et propose une démarche de management (Business Continuity Management) organisée en 5 étapes.BS 25999-2: Guide de la mise en œuvre d'un système de management de la continuité d'activité (SMCA);Spécifie les exigences pour "établir, mettre en œuvre, piloter, auditer, améliorer de façon continue" un système de Management de la Continuité des Affaires dans le contexte d'une couverture de l'ensemble des risques liés à l'activité d'une organisation, et en vue de la mise en oeuvre des mesures de sécurité adaptées aux besoins de continuité de services d'une organisation donnée.Elle est maintenant disponible au BSI : BS 25999-2:2007De son coté l'AFNOR a publié une étude: Plan de Continuité d'Activité (PCA) disponible à l'AFNOR : BP Z74-700Enfin l' AFNOR a traduit et publié en 2007 sous le titre Management de la continuité d'activité le guide des bonnes pratiques du BCINormes ISO rattachées à la continuité d'activité :Il y a eu depuis (2011 2012) une nouvelle norme ISO avec la série 22K qui a repris l'ensemble des recommandations de la BS 2599.ISO/IEC 22301 : 2012 : "Sécurité sociétale — État de préparation et systèmes de gestion de la continuité — Exigences" disponible à l'AFNOR en Français depuis aout 2013ISO/IEC 22313 : 2012 : "Societal security — Business continuity management systems — Guidance" disponible en Anglais à l'ISO en non encore traduite à ce jour (01/2014)Côté services d'hébergement on note les références suivantes :ISO/IEC 24762 : « Guidelines for information and communication technology disaster recovery services » orientée Reprise d'activité pour les hébergeursISO/IEC 24762 : Propose des recommandations concernant la mise en place d'un plan de reprise d'activité de l'IT (IT et télécoms) dans le cadre d'un Plan de Continuité d'Activité.Coté IT, dans la continuité des normes 27K on trouve :ISO/IEC 27031:2011 : Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuityEt les autres ? : L'ENISA (European Network and Information Security Agency) a dressé un comparatif des normes, méthodologies et outils disponibles pour soutenir une démarche de Continuité d'Activité : Inventory of Business and IT Continuity MethodsAutres aspects normatifs : LSF : la loi française n° 2003-706 sur la sécurité financière d'une part, et plus particulièrement pour le domaine bancaire, le règlement CRBF 2004-02, d'autre part, font explicitement référence à la nécessité de disposer d'un plan de continuité d’activité documenté, cohérent et testé destiné à assurer la continuité des services y compris en cas de sinistre grave ou de "chocs extrêmes".ITIL : Service Delivery, section 7 : IT Service Continuity Management, ...Terminologie :La terminologie relative aux Plans de continuité d'activité n'est pas "officiellement" arrêtée en France.Les termes couramment utilisés sont :SMCA : Système de Management de la Continuité d'Activité : (BCMS en Anglais) tel que décrit dans la norme ISO/CEI 22301 : Sécurité sociétale - Système de management de la continuité d'activité - Exigences disponible à l'AFNOR en Français depuis aout 2013. Ce système de Management peut être certifié.BCP :Business Continuity Plan que nous traduisons par PCA : Plan de Continuité des Affaires et qui concerne autant la partie fonctionnelle que la partie des ressources IT (Système d'information, réseaux et télécommunications).Le PCA n'est pas monolithique et comporte les plans opérationnels suivants :Plan de Gestion de Crise : c'est la structure de pilotage du PCA et de coordination des composants du plan en cas de sinistre (PGC). Le plan de gestion de crise définit une cellule de crise principale chargée généralement de la Communication de crise et des RH et des Cellules de Crise spécialisées. il peut y avoir autant de Cellules de crises spécialisées que de métiers critiques. Ces cellules pilotent le plan de leur métier et rendent compte à la cellule de crise principale.Plan de Continuité des Opérations Métiers : Concerne les activités métiers de l'entreprise (PCO); Il nous arrivera aussi de parler de PCU : Plan de continuité Utilisateurs qui correspond au PCO.Plan de Continuité des Systèmes d'Information : Plan de Reprise d'Activité (Informatiques et télécoms) et qui couvre le PSI ou Plan de Secours Informatique (au sens large des ressources TIC) et le PRAp ou Plan de Reprise des Applications, c'est le DRP : Disater Recovery Plan que nous traduisons par PRA et quelque fois PRAI. L'Afnor Parle de PCIT : Plan de continuité de l'Informatique et des Télécommunications;Plan de Repli et Logistique : Organise tous les aspects transverses de relocalisation et de logistique on parlera aussi de PRET : Plan de Reconstitution de l'Environnement de Travail pour la logistique technique immobilière et de transport nécessaire à la reconstitution de l'environnement de travail des Utilisateurs et des Informaticiens.Stratégie : Procédures transverses faisant le lien entre le scénario de sinistre et les divers plans afin de mettre en oeuvre les dispositifs ou mesures de sécurité arrêtées pour chaque scénario.Urgences : Procédures transverses permettant à chaque employé de connaitre la conduite à tenir en cas de sinistre (voir les POI Plans d'Opérations Internes qui peuvent servir de modèles)Plan de maintien en condition opérationnelle : Ensemble des procédures de mise à jour du PCA (et notamment de son système d'information documentaire)Plan de tests : Un PCA non testé est un PCA qui ne fonctionnera pas.On estime que le plan de tests doit permettre de mettre à l'épreuve l'ensemble des dispositifs des plans ci-dessus en trois ans.Management de la continuité d'activité : (MCA) Ensemble des actions de management (généralement opérées sous la responsabilité d'un http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information Powered by Mambo Generated: 17 April, 2014, 19:00 responsable du PCA ou RPCA) assurant l'efficience du PCA et garantissant la résilience de l'entreprise. (voir aussi défense d l'entreprise à la rubrique Enjeux).Le club de la continuité d'activité ClubPCA vient de sortir (Juin 2009) son Livre blanc « Lexique structuré de la Continuité d’Activité » pour nous permettre d'y voir plus clair. (pdf de 60 pages) Le Champ des situations à prendre en compte :© AFNORA ce champ il convient d'ajouter la prise en compte des aspects humains comme les risques sociaux (grèves) ou les pandémies où le personnel ne se déplace plus.Ressources : Matthieu BENNASAR : livre PLAN DE REPRISE D'ACTIVITE et système d'information paru chez Dunod : ISBN 978-2-10-053266-7, 2eme édition reste une référence d'adaptation pragmatique (E=MCA) en Français des Good Management Practices du BCI et du PAS56.Emmanuel BESLUAU : Livre Management de la Continuité d'Activité Chez Eyrolles, ISBN:978-2-212-12346-3, avec une approche plus orientée sur la gestion des risques. une 2eme édition est parue.Club de la continuité d'activité : www.clubpca.euGratuit, mais en Anglais, une étude très fouillée de l'ENISA : Business and IT Continuity: Overview and Implementation Principles PDF de 2641KB http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information Powered by Mambo Generated: 17 April, 2014, 19:00