La plan de continuité de l’activité ou comment sauver l’entreprise en cas de crise

Par Ludovic Blin, secuobs.com
Le 28/07/2006

---

Résumé : Un ouvrage dédié à la gestion de la continuité de l’activité et du système d’information vient d’être publié. Il détaille la mise en place d’un PCA, les solutions techniques, le calcul du retour sur investissement et les économies pouvant être entraînées.



En cas d’évènement imprévu de tout ordre affectant une société, et en particulier en cas de catastrophe naturelle, attentats et autres conflits armés, le plan de continuité de l’activité permet comme son nom l’indique de préserver la capacité de production et de gestion de la société (en somme son existence) avec un minimum de dégâts. De nombreuses organisations ont donc décidés de mettre en place de telles procédures. D’autres acteurs y sont tenus par des obligations réglementaires. C’est notamment le cas des sociétés évoluant dans le secteur bancaire en Europe, suite à la réglementation Bale 2, ou encore des sociétés cotées au NYSE, suite à la loi Sarbanes Oxley.

Un livre de Mathieu Bennasar, consultant en sécurité, enseignant et ancien auditeur, dénommé « Plan de continuité d’activité et système d’information, vers l’entreprise résiliente » détaille la mise en place et la gestion d’un PCA.

Après un panorama de l’état du marché et des obligations légales, réglementaires et parfois commerciales (certaines entreprises notamment américaines exigeant de leurs fournisseurs qu’ils aient un PCA), l’auteur aborde la mise en place et le pilotage d’un projet de plan de continuité d’activité. Le calcul du retour sur investissement (ROI) est notamment envisagé, avec les difficultés de calculs qui sont liés à un tel projet. En effet, s’il est possible de comparer les dépenses avec les économies qui seraient réalisées en cas de sinistre, certains bénéfices demeurent inquantifiables. Par exemple, le levier de négociation obtenu sur les primes d’assurance de l’entreprise. La méthodologie a appliqué est également décrite en détail et rappelle l’importance du maintien en condition opérationnelle du plan dans le temps et des tests réguliers.

L’auteur aborde ensuite les différentes solutions techniques qui peuvent être utilisée par un PCA. On citera notamment la « salle rouge », salle informatique dotée de tous les moyens nécessaires mais qui ne servent qu’en cas d’urgence, ou encore la production répartie, qui consiste à répartir les moyens de production informatique en plusieurs endroits, avec une répartition de charge.

La mise en place d’un outil informatique dédié au PCA, le SIMCA (système d’information du management de la continuité) est également conseillée. Celui-ci permettra de gérer un inventaire mis à jour en continu des informations essentielles de l’entreprise. Il fournit également des fonctions de test et permet de répartir les taches en cas de crise. Certains outils intégrés sont présentés. Une évaluation du temps nécessaire pour la mise en place d’un PCA est réalisée, et des cas pratiques sont également abordés.

Pour de nombreuses entreprises, dont l’outil de production est de plus en plus l’informatique, la mise en place d’un plan de continuité de l’activité paraît être une tache importante. En effet, préparée au pire, une entreprise peut organiser ses activités en toute confiance.

Plan de continuité d’activité et système d’information – Vers l’entreprise résiliente – Matthieu Bennasar – Editions Dunod – ISBN2100496034

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, microsoft, attaque, système, virus, audit, internet, fonction, présentation, données, outil, linux, bluetooth, shell, vista, gestion, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security - Full-disclosure PLSA 2008-77 ffmpeg: Multiple DoS Vulnerabilities - Re: Full-disclosure More proof that Microsoft products are probably backdoored - Re: Full-disclosure More proof that Microsoft products are probably backdoored + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability - BMSA 2008-09 Two buffer overflow vulnerabilities in Rumpus v6.0 - Re: Re: Wrong report: BID 32287, Pi3Web ISAPI DoS vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse