SlideShare ist ein Scribd-Unternehmen logo

Auditer son plan de secours informatique et détecter ses vulnérabilités

Als PPT, PDF herunterladen
Alterest
Alterest

Présenté lors du colloque IFACI "Continuité d'Activité, Continuité Informatique et Gestion de Crise" du 21 mars 2012.

Technologie
1 von 11
COLLOQUE Mercredi 21 mars 2012 Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica En partenariat avec : Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants L’IFACI est affilié à The Institute of Internal Auditors
Continuité Informatique : Les normes internationales L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes : BS 25777 : CT continuity management PD 25666 : Guidance on exercising and testing for continuity and contingency programmes ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ? 2
Les éléments organisationnels Auditer l’existence des éléments organisationnels suivants : – Existence d’une politique de continuité informatique – Attribution d’un budget à cette problématique – Responsable nommé sur cette activité + + Politique Budget Responsable Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
Auditer les Business Impact Analysis (BIA) A quoi doit répondre un BIA ? • La criticité des activités est-elle Ressources bien établie? Activité humaines critique • Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Bâtiments Y compris les infrastructures ? • Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la Ressources DSI ? Sont-ils jugés réalistes ? Informatiques (applications et matériels) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
Le concept de SPOF (Single Point of Failure) • Pour éviter les pannes, on double les équipements • Un SPOF est un équipement non redondé • Chasser les SPOF, c’est SPOF trouver « la petite bête » • Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique ! Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
Auditer les aspects données du plan de secours informatique • Audit des mécanismes de réplication – Toute les données importantes sont-elles répliquées ? • Audit de la sauvegarde / restauration – Les données importantes sont-elles sauvegardées ? – Les sauvegardes sont-elles externalisées ? – La restauration est-elle testée régulièrement ? Baie de Robot de stockage sauvegarde Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
Auditer le PSI Autres vulnérabilités • Obsolescence matérielle • Obsolescence logicielle • Performance • Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
Auditer les exercices de continuité informatique • Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ? • Sont-ils réalisés régulièrement ? Recommandation : au moins une fois par an. • Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique. • D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
Auditer le Maintien en Conditions Opérationnelles (MCO) du plan • Un PSI doit être maintenu à jour : – Le plan doit refléter la réalité – La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles) • Or, les changements informatiques sont réguliers (quotidiens). • Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
Auditer le lien entre Gestion des incidents et Gestion de crise Qualité Premières alertes Niveau de service (supervision, alerting fonctionnel) de service attendu Seuil à déterminer Gestion Escalade et d’incidents déclenchement de la gestion de crise Activation du plan Temps Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
Continuité Informatique Le rôle de l’auditeur • Sensibiliser la Direction Générale • Sortir la Direction Informatique du corner • Renforcer les liens entre PCA, PSI et Gestion de crise • Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11

Empfohlen

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITILAbdessamad Mountadi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Si 1
Si 1Si 1
Si 1PDGUEYE
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITILJoseph Guindeba
 

Empfohlen

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITILAbdessamad Mountadi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Si 1
Si 1Si 1
Si 1PDGUEYE
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITILJoseph Guindeba
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMECYB@RDECHE
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
introduction a itil
introduction a itil introduction a itil
introduction a itilAmine Stitou
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauGouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauJean-Antoine Moreau
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITILhdoornbos
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobITAnthony Delannoy
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction à la certification itil foundation
Introduction à la certification itil foundationIntroduction à la certification itil foundation
Introduction à la certification itil foundationHassan EL ALLOUSSI
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliquésSOAT
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Alterest
 

Weitere ähnliche Inhalte

Was ist angesagt?

Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMECYB@RDECHE
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
introduction a itil
introduction a itil introduction a itil
introduction a itilAmine Stitou
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauGouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauJean-Antoine Moreau
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITILhdoornbos
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction à la certification itil foundation
Introduction à la certification itil foundationIntroduction à la certification itil foundation
Introduction à la certification itil foundationHassan EL ALLOUSSI
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 

Was ist angesagt? (20)

Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PME
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
introduction a itil
introduction a itil introduction a itil
introduction a itil
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauGouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatique
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITIL
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performance
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Introduction à la certification itil foundation
Introduction à la certification itil foundationIntroduction à la certification itil foundation
Introduction à la certification itil foundation
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 

Andere mochten auch

8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliquésSOAT
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Alterest
 
Offre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsOffre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsAlterest
 
Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010olivier.lepeltier
 
Presentation sim pim
Presentation sim pimPresentation sim pim
Presentation sim pimSalma Sayah
 
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Dr Mohamad ABOUALNASER -Orthodontist
 
Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosAnchises Moraes
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendeneTarso Caselli
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticosheltonsantos
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivsGiana Araujo
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12ForjasTaurus
 
Guidance and counseling differentiated
Guidance and counseling differentiatedGuidance and counseling differentiated
Guidance and counseling differentiatedAraullo University
 
YEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRYEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRJasleen Razali
 
Education law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassEducation law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassBrowne Jacobson LLP
 

Andere mochten auch (20)

8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués8 points des guidelines "ModernUI" expliqués
8 points des guidelines "ModernUI" expliqués
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
 
Offre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville ConsultantsOffre de services Baccou Bonneville Consultants
Offre de services Baccou Bonneville Consultants
 
Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010Réseaux Sociaux et SharePoint 2010
Réseaux Sociaux et SharePoint 2010
 
Vos éTudiants Sont Digital Natives Et Vous
Vos éTudiants Sont Digital Natives Et VousVos éTudiants Sont Digital Natives Et Vous
Vos éTudiants Sont Digital Natives Et Vous
 
Presentation sim pim
Presentation sim pimPresentation sim pim
Presentation sim pim
 
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
Extractions in orthodontics mohamad aboualnaser-oussama sandid-2009
 
Treinamento Garmin PDN 2013
Treinamento Garmin PDN 2013Treinamento Garmin PDN 2013
Treinamento Garmin PDN 2013
 
Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e Riscos
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendene
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticos
 
Apresentação Garmin
Apresentação GarminApresentação Garmin
Apresentação Garmin
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivs
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12
 
guidance-and-counseling
guidance-and-counselingguidance-and-counseling
guidance-and-counseling
 
Guidance and counseling differentiated
Guidance and counseling differentiatedGuidance and counseling differentiated
Guidance and counseling differentiated
 
YEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSRYEARLY PLAN ENGLISH YEAR 1 KSSR
YEARLY PLAN ENGLISH YEAR 1 KSSR
 
Guidance and Counseling
Guidance and CounselingGuidance and Counseling
Guidance and Counseling
 
Education law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclassEducation law conference, March 2017 - London - Policy drafting masterclass
Education law conference, March 2017 - London - Policy drafting masterclass
 

Ähnlich wie Auditer son plan de secours informatique et détecter ses vulnérabilités

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informationsReda Hassani
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Jean-Michel Franco
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sflcoconimal
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Genie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppGenie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppLaurent Guérin
 
Information management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseInformation management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseJean-Michel Franco
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
L'intelligence économique pour les PME
L'intelligence économique pour les PMEL'intelligence économique pour les PME
L'intelligence économique pour les PMEAref Jdey
 
cours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdfcours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdfssuserbd075f
 

Ähnlich wie Auditer son plan de secours informatique et détecter ses vulnérabilités (20)

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informations
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
 
SI_MCC_2020_21.pptx
SI_MCC_2020_21.pptxSI_MCC_2020_21.pptx
SI_MCC_2020_21.pptx
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sfl
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Genie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1sppGenie logiciel eseo-v1.1-1spp
Genie logiciel eseo-v1.1-1spp
 
Information management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entrepriseInformation management : quand l\'information devient un capital d\'entreprise
Information management : quand l\'information devient un capital d\'entreprise
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
L'intelligence économique pour les PME
L'intelligence économique pour les PMEL'intelligence économique pour les PME
L'intelligence économique pour les PME
 
Cours erp pgi_2010
Cours erp pgi_2010Cours erp pgi_2010
Cours erp pgi_2010
 
Cobit
CobitCobit
Cobit
 
cours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdfcours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdf
 
Synthèse des Solutions Software
Synthèse des Solutions Software Synthèse des Solutions Software
Synthèse des Solutions Software
 
GL
GLGL
GL
 

Auditer son plan de secours informatique et détecter ses vulnérabilités

  • 1. COLLOQUE Mercredi 21 mars 2012 Organisé en collaboration avec : Arjuna Baccou Bonneville Consultants Mica En partenariat avec : Le Plan de Secours Informatique Auditer son Plan de Secours Informatique et détecter ses vulnérabilités Serge Baccou Directeur Associé Baccou Bonneville Consultants L’IFACI est affilié à The Institute of Internal Auditors
  • 2. Continuité Informatique : Les normes internationales L’auditeur peut se baser sur les normes et bonnes pratiques internationales suivantes : BS 25777 : CT continuity management PD 25666 : Guidance on exercising and testing for continuity and contingency programmes ISO 27031 : Technologies de l'information - Techniques de sécurité Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ITIL v3 : Service Delivery - IT Service Continuity Management (ITSCM) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs pour plus d’efficacité ? 2
  • 3. Les éléments organisationnels Auditer l’existence des éléments organisationnels suivants : – Existence d’une politique de continuité informatique – Attribution d’un budget à cette problématique – Responsable nommé sur cette activité + + Politique Budget Responsable Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 3
  • 4. Auditer les Business Impact Analysis (BIA) A quoi doit répondre un BIA ? • La criticité des activités est-elle Ressources bien établie? Activité humaines critique • Les ressources informatiques nécessaires aux activités les plus critiques sont-elles recensées ? Bâtiments Y compris les infrastructures ? • Les besoins en continuité (RTO, RPO) sont établis et partagés entre les Métiers et la Ressources DSI ? Sont-ils jugés réalistes ? Informatiques (applications et matériels) Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 4
  • 5. Le concept de SPOF (Single Point of Failure) • Pour éviter les pannes, on double les équipements • Un SPOF est un équipement non redondé • Chasser les SPOF, c’est SPOF trouver « la petite bête » • Faire des vérifications simples Ex. : dans une stratégie à 2 datacenters, tous les équipements d’un datacenter doivent se trouver sur l’autre. Attention aux systèmes virtuels : ce qui compte c’est de redonder le niveau physique ! Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 5
  • 6. Auditer les aspects données du plan de secours informatique • Audit des mécanismes de réplication – Toute les données importantes sont-elles répliquées ? • Audit de la sauvegarde / restauration – Les données importantes sont-elles sauvegardées ? – Les sauvegardes sont-elles externalisées ? – La restauration est-elle testée régulièrement ? Baie de Robot de stockage sauvegarde Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 6
  • 7. Auditer le PSI Autres vulnérabilités • Obsolescence matérielle • Obsolescence logicielle • Performance • Failles de sécurité Note : La filière Sécurité du SI parle de « DICT » pour Disponibilité, Intégrité, Confidentialité, Traçabilité (ou Preuve). Le « D » correspond bien à la continuité informatique. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 7
  • 8. Auditer les exercices de continuité informatique • Sont-ils représentatifs ? Exercice en production ? Avec des utilisateurs ? Production sur le système de secours pendant une semaine ? Les réseaux & télécoms, les infrastructures, les datacenters font-ils l’objet d’exercices ? • Sont-ils réalisés régulièrement ? Recommandation : au moins une fois par an. • Font-ils l’objet d’un compte-rendu ? Recommandation : avoir un PV par les différentes parties prenantes Métier, Etudes et Prod. Informatique. • D’un plan d’action ? Recommandation : le plan d’action peut comporter des « quickwins » mais aussi des « actions de fonds » qui doivent être acceptées et financées. Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 8
  • 9. Auditer le Maintien en Conditions Opérationnelles (MCO) du plan • Un PSI doit être maintenu à jour : – Le plan doit refléter la réalité – La configuration matérielle et logicielle entre le nominal et le secours doit être strictement identique (ex. : versions ou clés logicielles) • Or, les changements informatiques sont réguliers (quotidiens). • Le Maintien en Conditions Opérationnelles (MCO) du PSI est un défi. A auditer… Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 9
  • 10. Auditer le lien entre Gestion des incidents et Gestion de crise Qualité Premières alertes Niveau de service (supervision, alerting fonctionnel) de service attendu Seuil à déterminer Gestion Escalade et d’incidents déclenchement de la gestion de crise Activation du plan Temps Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 10
  • 11. Continuité Informatique Le rôle de l’auditeur • Sensibiliser la Direction Générale • Sortir la Direction Informatique du corner • Renforcer les liens entre PCA, PSI et Gestion de crise • Un audit permet souvent de (re)lancer un programme, un plan d’action sur la continuité informatique Continuité d’Activité, Continuité Informatique et Gestion de Crise : Comment maîtriser vos dispositifs ? 11