Identification and mapping of key processes

Let’s start with a definition from the regulator: the European Central Bank defines cyber-resilience as the ability to protect oneself and to quickly resume activities in the event of a successful cyber-attack. This definition has led many companies to adopt a 360° vision on the topic (prevention, crisis management, reconstruction, business continuity, etc.) through the prism of a concrete cyber-attack on key business processes. The novelty lies above all in the fact that all the analysis is focused on critical business chains, even though it is still necessary to know them. Identifying and mapping key processes is often the most complex part of a Cyber Resilience Program. Unfortunately, there is no systematic method: a list drawn up by the Risk Department, a decision by the Director of Operations, recycling of business impact analyses (BIA), criteria established during regulatory audits, etc. One thing is certain, this list cannot be drawn up by the cybersecurity team in its own corner and requires the involvement of the business lines as early as possible in the process.

Analyzing the cyber-resilience of a business chain: the A.R.M. method

The cyber-resilience of a business chain can be improved by acting on several parameters: 1/ avoidance of the attack, 2/ rapid reconstruction, 3/ maintenance of business activity during the attack. As a result, many companies have structured their Cyber Resilience Program around 3 indicators: A (AVOID), R (RECOVER) and M (MAINTAIN), making it possible to target one threat at a time. Of course, most current initiatives are working on Ransomware scenarios (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID

The first step is to assess the level of resistance of business chains to the feared cyber threats. The ATT&CK Framework is increasingly used here and this indicator can simply correspond to the percentage of techniques used by the attacker against which the business chain is protected (for example, the chain is protected against 60% of the attack techniques used by the ransomware groups of the moment). The level of assurance required differs from one company to another: even if most companies still work via self-declaration, it is possible to integrate a review of evidence or Redteam audits into the approach to make the results more reliable.

R – RECOVER

The second step requires assessing the reconstruction time of the business chain in the event of an attack (for example, the chain can be reassembled in 9 hours after a ransomware attack). This time can obviously be different from one attack to another: destruction often restricted to Microsoft systems, possibility to use backups or not, integrity checks necessary after reconstruction, etc. This requires a detailed analysis of the impacts of each attack studied. Be careful, when mapping, it is necessary to consider the reconstruction of ALL the assets impacted by the attack. It is often observed that a few specific assets can double or triple the overall reconstruction time. Here again, the level of insurance required differs from one company to another: it is possible to work on paper, but the real reconstruction test is clearly the best option for reassurance.

R – MAINTAIN

The last step requires assessing the ability of the business lines to work in a degraded mode before returning to normal. This is a purely business indicator, which obviously differs from one sector and chain to another: it can be a question of transactions, reception of parcels or number of passengers depending on the sector and the chosen chain. To calculate it, it is necessary to work with the business on the assumption of long-term unavailability of the critical chain and to evaluate the percentage of the activity that can be delivered in another way. To understand the approach in a theoretical, and deliberately provocative way: does a business process vulnerable to a cyberattack, but whose activity can be maintained without an IS for a few days, really need to increase investments in cybersecurity? This is the type of topic that a Cyber Resilience Program must be able to arbitrate.

Most Cyber Resilience Strategies and Programs on the market obviously embrace this recurring assessment phase, adding over the years cyber threats and business chains to be analyzed. At the same time, they are managing a series of cybersecurity, IT and business projects to increase the level of resilience. The most mature Programs also maintain catalogs of solutions to speed up the process and improve the scoring of the various business lines (data safes, standardized backups, market partnerships, shared business fallback solutions, etc.).

As we have seen, a cyber-resilience strategy involves multiple skills: the cybersecurity department to select threats and assess the robustness of chains, the business lines to select critical chains and work on business continuity, IT and the Business Continuity Plan (BCP) for crisis management and assessment of reconstruction capacities. The best solution is to host this type of Program directly at the Operations Department level, in order to influence all these channels. However, these Programs are currently structured at the level of the CISO or the Risk Management Department. The key in this case is to deploy effective governance that allows all stakeholders to remain within their area of expertise.

Cet article Cyber-resilience, an opportunity to bring cybersecurity and business closer together est apparu en premier sur RiskInsight.

Au vu de ces multiples impacts, une simple réponse « individuelle » de chaque organisation – bien que nécessaire – n’est pas suffisante. Une réponse collective doit également être apportée pour adresser l’ensemble des problématiques. En effet, au niveau individuel, chaque acteur doit se préparer à la crise à travers la mise en place d’un Plan de Continuité d’Activité dédié, adapté à ses métiers et aux spécificités de la crue centennale.

Focus sur la préparation individuelle : les quatre volets du Plan de Continuité d’Activité « choc extrême »

Nombreuses sont les entreprises disposant d’un Plan de Continuité d’Activité pour faire face à différents sinistres ou événements pouvant impacter leur fonctionnement : indisponibilité d’un site, panne de SI, grève de collaborateurs… La crue centennale de la Seine a la particularité de toucher toutes ces ressources en même temps. Il est donc indispensable d’adapter les PCA habituels pour prendre en compte les particularités d’une crue.

Ressources humaines

La crue centennale aurait un impact important sur la disponibilité des salariés des entreprises en Île-de-France.

Tout d’abord, la conséquence directe de l’indisponibilité des transports en commun et des axes routiers entraînerait de grandes difficultés de déplacement pour les collaborateurs. À noter qu’au pic de crue, l’Île-de-France serait scindée en trois zones « infranchissables ».

Il faut également prendre en compte les situations particulières et personnelles des collaborateurs qui auraient un impact sur leur capacité à rejoindre les locaux ou les sites de repli (logements inondés, écoles fermées…).

L’indisponibilité des moyens de circulation et les contraintes personnelles des salariés entraîneraient donc un impact fort sur le taux d’absentéisme dans les entreprises, qui pourrait atteindre entre 50% et 70%. Ainsi, le sujet de l’organisation et de la gestion du personnel doit être étudié en prenant en compte l’aspect dynamique de l’absentéisme (un collaborateur absent un jour donné pourrait être présent le jour suivant et inversement) :

• déterminer les fonctions et hommes clés nécessaires à la continuité d’activité et instaurer leur suppléance (sous-traitance, intérim…) ;
• acheminer le personnel mobilisé sur les sites de repli ;
• prévoir hébergement et restauration…

Prestataires de Services Essentiels Externalisés

Comme les autres acteurs économiques, les Prestataires de Services Essentiels Externalisés (PSEE) verraient eux aussi leurs activités compromises par la crue. Il est donc primordial de ne pas négliger la dépendance vis-à-vis de ces fournisseurs, aussi bien en amont de l’activité (matières premières, services…) qu’en aval (distribution…). Des engagements contractuels visant à garantir l’acheminement des biens ou la fourniture de services en cas de sinistre doivent donc être définis et contrôlés (audit, contrôle qu’un test annuel a été réalisé…)

Sites / Locaux / Logistique

Les locaux des entreprises (siège, agences…) pourraient être rendus indisponibles pendant plusieurs semaines. Il est donc indispensable de mettre en place une stratégie de repli prenant en compte les spécificités de la crue : séparation de l’Île-de-France en trois zones, difficultés de déplacement, perturbation des accès télécoms… une crise pouvant durer plus d’un mois. Ainsi, la stratégie de repli doit :

• identifier des sites à risque ;
• choisir un site de repli accessible aux collaborateurs ;
• définir des ressources matérielles indispensables pendant la durée de crise ;
• assurer l’acheminement des ressources pendant la durée de la crise…

Systèmes d’information

Le Plan de Continuité Informatique est une des composantes essentielles du PCA. Données, serveurs d’application, infrastructure réseau… le secours de ces ressources critiques potentiellement menacées par une crue de la Seine est également une priorité.

Nombreuses sont les entreprises qui disposent de datacenters en dehors de l’Île-de-France. Toutefois deux éléments majeurs sont à prendre en compte lors d’une crue. Tout d’abord, la capacité des collaborateurs à se connecter aux ressources informatiques de chez eux ou des sites de repli compte tenu des perturbations télécoms susmentionnées. D’autre part la sécurisation des ressources informatiques locales (applications locales, serveurs de fichiers…) stockées dans les sièges des entreprises qui seront inondées.

Focus sur la préparation collective : l’exercice « EU SEQUANA 2016 », simulation d’une crue centennale de la Seine grandeur nature

Présentation de l’exercice EU SEQUANA 2016

L’exercice EU SEQUANA 2016 est un exercice « grandeur nature » qui met l’accent sur la coordination entre les différents secteurs d’activités de la vie économique francilienne ainsi que sur la coordination des organes de gestion de crise publics qui seront activés pour l’occasion (les collectivités territoriales locales, le niveau zonal/régional/départemental, le niveau national et l’Union Européenne via son Mécanisme Européen de Protection Civile).

L’exercice mobilisera donc de nombreux acteurs publics et privés pour un exercice inédit avec plus de 90 entités participantes : secteur financier, assureurs, opérateurs télécom, transports, énergies, forces armées, administrations…

Il consistera en un déploiement simultané des Plans de Continuité d’Activité et des dispositifs de gestion de crise de chaque participant. L’objectif est de simuler la réponse à la crise de la manière la plus réaliste possible, les opérateurs des réseaux vitaux (transports, énergie…) alimentant directement les participants en stimuli.

Déroulé et objectifs de l’exercice

L’exercice aura lieu en mars 2016 et se déroulera sur 14 jours calendaires. La première semaine – du 8 mars au 11 mars 2016 – aura lieu la phase « Crue » de l’exercice. Chaque journée sera dédiée à un niveau d’eau différent, les participants devront évaluer les impacts et prendre les décisions adéquates pendant cette phase. Objectifs principaux pour les participants : anticiper la montée des eaux à venir et gérer les premiers impacts constatés.

Le weekend du 12 et 13 mars 2016, le pic de crue sera atteint, ce qui déclenchera les dispositifs opérationnels prévus en cas de crue de la Seine, notamment la collaboration européenne.

La seconde semaine – du 15 au 18 mars 2016 – aura lieu la phase « Décrue » de l’exercice. Objectifs principaux des participants : travailler sur le retour à la normale et la résilience des réseaux.

La différence sur l’organisation des deux phases de l’exercice tient dans les hypothèses de travail dont disposeront les différents acteurs. En effet, de nombreuses simulations et études ont permis d’établir des hypothèses de travail à partir desquelles évaluer de façon réaliste les impacts d’une crue de la Seine. A l’opposé, la phase de « Décrue » ne dispose pas de travaux aussi poussés en la matière.

Cet exercice est donc une occasion inédite pour l’ensemble des participants de relever 3 défis majeurs :

• réussir la coordination des cellules de crise internes de chaque participant avec les cellules de crise externes qui seront activées ;
• mobiliser l’ensemble des acteurs pour produire un scénario le plus réaliste possible ;
• nouer des relations entre acteurs de secteurs différents pour faciliter la coordination de la réponse.

Mais il faut bien être conscient que SEQUANA ne sera pas forcément un aboutissement en tant que tel mais bien le début d’une prise de conscience généralisée qui aura des effets bénéfiques sur les années à venir.

Le scénario de crise d’une crue centennale est un excellent scénario pour renforcer la résilience de son entreprise, des processus et des collaborateurs tant les impacts sont globaux et la complexité des solutions à mettre en œuvre est importante. Toutefois, malgré toutes les préparations et anticipations possibles, il faut rappeler que ce scénario dispose de nombreux aléas et d’inconnues imposant à chaque acteur d’adapter les dispositifs si la crise survenait. Ainsi, une stratégie d’exercices doit être mise en place afin de tester les PCA, mais également pour renforcer la résilience de l’organisation et des personnes qui devront, le jour de la crise, adapter les dispositifs prévus.

Cet article Choc extrême : comment se préparer à une crue centennale en Île-de-France ? (2/2) est apparu en premier sur RiskInsight.

La crue centennale, plus qu’une simple inondation

Le choc extrême le plus probable

La crue centennale en Île-de-France est la conséquence d’une crue de la Seine, de l’Yonne et de la Marne avec les conditions météorologiques adéquates (températures négatives, gel progressif des couches supérieures des sols, précipitations importantes) entraînant une montée progressive des eaux.

La dernière catastrophe de ce type remonte à 1910. La Seine atteignit son niveau maximal de 8,62m en une dizaine de jours, avant de revenir à son niveau initial après 35 jours de décrue. Cette inondation causa d’importants dommages à l’économie locale, pour un coût total avoisinant les 15 milliards d’euros.

Le scénario d’une crue centennale identique ou supérieure à celle de 1910 est aujourd’hui le scénario de catastrophe majeure le plus probable en Île-de-France (probabilité de 1/100 chaque année).

Une menace avérée et des faiblesses identifiées

Les dernières crues importantes connues en Europe ont contribué à révéler la nécessité de mieux se préparer et de renforcer la résilience des villes. Ainsi cette menace en Île-de-France est désormais au centre des attentions depuis plusieurs années, avec notamment :

• un contexte réglementaire fort de l’Union Européenne via la directive 2007/60/CE, qui enjoint les États membres à établir des Plans de Gestion des Risques d’Inondation (PGRI) ;
• un rapport de l’OCDE – « Étude de l’OCDE sur la gestion des risques d’inondation : la Seine en Île-de-France 2014 » – qui évalue à plus de 50 milliards d’euros l’impact d’une crue centennale. Elle souligne les faiblesses multiples de la France pour se préparer et faire à face à la crue, notamment sur le déficit de gouvernance, une résilience inégale ainsi que l’absence de vision stratégique globale et commune entre les acteurs concernés. La mise en place d’objectifs précis en termes de résilience et la responsabilisation des acteurs font partie de ses recommandations principales.

Même si Paris est maintenant mieux protégée qu’en 1910, elle est également plus vulnérable sur certains aspects. En effet, l’urbanisation croissante et l’interdépendance des infrastructures critiques ont largement accentué les impacts potentiels d’un tel scénario.

Des impacts multiples sur les ressources des entreprises

Cette crise, multiple et complexe, couperait l’Île-de-France en trois zones isolées, affecterait plus de 300 communes et toucherait tous les réseaux d’opérateurs essentiels pour la vie économique et sociale de l’Île-de-France qui seraient rendus en grande partie indisponibles : distribution d’électricité, distribution d’eau, opérateur télécom, assainissement, transports routiers, transports en commun…

Les conséquences de la crise seraient renforcées par un véritable « effet domino » lié à l’interdépendance des entreprises et des réseaux, une rupture de service en entraînant une ou plusieurs autres.

Le fonctionnement de l’État, des institutions et de l’activité économique en général sera fortement perturbé et près de 5 millions de citoyens seront affectés, directement ou indirectement.

Anticiper la crue : une préparation en deux volets

Au vu des multiples impacts régionaux d’une crue centennale de la Seine, une simple réponse « individuelle » de chaque organisation – bien que nécessaire – n’est pas suffisante. Une réponse collective doit également être apportée pour adresser l’ensemble des problématiques.

En effet, au niveau individuel, chaque acteur doit se préparer à la crise à travers la mise en place d’un Plan de Continuité d’Activité dédié, adapté à ses métiers et aux spécificités de la crue centennale. Celui-ci doit intégrer les dépendances aux réseaux et autres structures impactées par la crise : télécommunications, fournisseurs, transports… Mais sans la mise en place d’une stratégie partagée, ces plans individuels ne seront pas efficaces. Une approche globale constitue l’un des principaux enjeux de la prévention des risques d’inondation. En effet, les adhérences entre les entreprises sont de plus en plus importantes, notamment avec les fournisseurs de transports ou de utilities (télécom, énergie…) qui sont indispensables à l’ensemble des entreprises en Île-de-France, nécessitant par conséquent une collaboration très rapprochée en cas de crise.

Aujourd’hui, un réel dynamisme multi-acteur est impulsé par le Secrétariat Général de la Zone de Défense et de Sécurité (SGZDS) de Paris autour du futur exercice EU SEQUANA 2016.

Dans le prochain article, nous ferons un focus sur la préparation individuelle et les quatre volets du Plan de Continuité d’Activité « choc extrême » et nous reviendrons sur la préparation collective avec l’exercice « EU SEQUANA 2016 »,la simulation d’une crue centennale de la Seine grandeur nature.

Cet article Choc extrême : comment se préparer à une crue centennale en Île-de-France ? (1/2) est apparu en premier sur RiskInsight.

Une relation de longue date avec l’ISO 27001

L’évolution de l’ISO 27001:2005 vers l’ISO 27001:2013 a changé le regard de la continuité d’activité dans les Systèmes de Management de la Sécurité de l’information. Alors que dans sa version précédente (2005), l’ISO 27001 évoquait la mise en place d’un PCA pour l’ensemble de l’organisation, la version actuelle (2013) ne parle de continuité d’activité uniquement pour les activités liées à la sécurité de l’information. La nuance est très importante et souvent mal interprétée ; il n’est donc plus question dans un Système de Management de la Sécurité de l’Information d’implémenter un PCA pour l’ensemble de l’organisation (il est toutefois compliqué de prévoir la continuité des activités sécurité en l’absence de PCA global…). Désormais, c’est bien l’ISO 22301 qui porte le sujet de la continuité dans les normes ISO existantes.

Construite exactement sur la même structure que l’ISO 27001, l’ISO 22301 préconise une démarche similaire : approche par processus, cycle de vie « Plan » « Do » « Check » « Act » (PDCA), implication du top management etc. mais elles portent également les mêmes travers ; les deux normes décrivent « ce qu’il faut faire » sans dire « comment il faut le faire ».

Une norme ISO 22301 qui ne se suffit pas à elle seule…

Contrairement à l’ISO 27001 qui possède une annexe apportant des recommandations concrètes sur la mise en place, l’ISO 22301 ne dispose pas de guide permettant de s’appuyer sur un socle solide « de fond » permettant de guider la définition et la mise en place des chantiers autour du Plan de Continuité d’Activité. Toutefois, on peut mentionner l’ISO 22313 : « Business Continuity Management System – Guidance ». Cette norme qui se veut être un guide soutenant l’ISO 22301 reste cependant assez haut niveau et n’apporte que peu de réponses méthodologiques concrètes.

Il ne faut donc pas appréhender l’ISO 22301 avec pour objectif d’y trouver des réponses sur l’implémentation de son Plan de Continuité d’Activité, mais bien pour y trouver des réponses quant à son pilotage. La norme va plutôt s’adresser à ceux qui ont déjà trouvé des réponses sur le fond de l’implémentation de leur Plan de Continuité d’Activité.

…mais qui possède une véritable force

Le problème récurrent des Plans de Continuité d’Activité réside dans leur maintien à jour dans le temps. Souvent construit en mode projet, ils deviennent vite obsolètes une fois en phase de run, faute de maintien à jour. Le projet se lance dans une période où il est considéré comme prioritaire (survenance d’un incident majeur, prise de conscience de la direction des risques encourus…). Avec le temps, la priorité bascule vers un autre projet au détriment du PCA, sur lequel il est difficile de mesurer les bénéfices ; l’éternel débat du « tant que ça n’arrive pas… ».

La force de la norme réside dans la construction d’un SMCA avec pour pilier central l’amélioration continue : le PCA doit s’inscrire dans le quotidien des activités qu’elles soient SI ou métiers. Intégrer dans les tâches de tous les jours, le PCA n’est alors plus perçu comme un projet à part. Par ailleurs, mettre en place une organisation dédiée au PCA peut s’avérer complexe et particulièrement lourd. Le sujet du PCA doit s’inviter aux différentes instances existantes (comités sécurité, revue de direction qualité / sécurité, comité d’architecture…) : Le PCA n’est plus un sujet à traiter à part, il doit faire partie de tous les sujets.

Pour que ce principe soit vrai, l’implication du top management est indispensable pour légitimer les actions entreprises et être garant du planning PDCA : Le rythme des exercices, les revues de direction, les campagnes de sensibilisation sont autant de rendez-vous qui vont contribuer au Maintien en Condition Opérationnelle du PCA. L’intérêt de la norme est ici la formalisation de toutes ces pratiques de maintien en condition opérationnelle dès la phase projet. Formaliser en amont ces pratiques vont permettre d’être applicables avant même la fin de la phase projet. Les chances de survies du PCA vont donc être augmentées de par l’absence de discontinuité entre la phase projet et la phase de run.

Doit-on aller jusqu’à la certification de son SMCA ?

Au-delà de son rôle de référence en matière de bonnes pratiques, la norme peut conduire jusqu’à une certification du Système de Management de la Continuité d’Activité. Aujourd’hui, l’intérêt d’aller jusqu’à la certification ne concerne pas tous les acteurs du marché. Les premiers intéressés vont être ceux dont le métier est celui-là même de la continuité, c’est-à-dire par exemple les hébergeurs de services informatiques ; afficher sa capacité de résilience aux sinistres majeurs à travers un label mondialement reconnu constitue un élément différenciateur indéniable. Souvent déjà certifiés sur d’autres Système de Management (qualité, sécurité) et adoptant déjà des bonnes pratiques en matière de continuité d’activité, la marche à franchir jusqu’à la certification n’est pas nécessairement haute. C’est le cas par exemple de « TelecityGroupe », fournisseur de DataCenter qui a obtenu sa certification ISO 22301 sur ses activités d’hébergement en France, ou encore « Melbourne », société Britannique d’hébergement cloud.

Outre les aspects de disponibilité et redondance des systèmes, la disponibilité des données est également un enjeu porté directement par les PCA. Les acteurs dont le métier est la sauvegarde de la donnée vont également trouver un intérêt à implémenter l’ISO 22301 dans un objectif de certification. C’est le cas par exemple de « Wanbishi Archives », société Japonaise spécialisée dans la gestion de l’information, certifiée ISO 22301.

Mais les sociétés sont encore peu nombreuses à viser la certification, celle-ci ne représentant pas aujourd’hui un élément déterminant de leur stratégie. Reste à savoir si les années à venir rendront l’ISO 22301 aussi incontournable que l’ISO 27001.

En synthèse : être mature et en tirer un réel bénéfice économique

La certification ISO 22301 s’adresse à des contextes matures dans la gestion de leur continuité d’activité, pourvu d’un management convaincu du bien-fondé de la démarche de certification et doté d’un intérêt économique certain légitimant le projet. Si la marche à franchir entre les pratiques actuelles et la certification est grande, alors mieux vaut ne pas se lancer dans un projet de certification. Là où les projets SMSI peuvent viser la certification en partant de zéro, les projets de continuité nécessitent une première maturité opérationnelle. La course à la certification ISO 22301 est encore loin d’être engagée mais l’intérêt d’y prendre part commence à se faire sentir. Les « fournisseurs de disponibilité » sont en train d’ouvrir la marche, la vie de l’ISO 22301 ne fait que commencer.

Cet article Continuité d’Activité : faut-il se doter d’un label reconnu ? est apparu en premier sur RiskInsight.

Les cyberattaques mettent en lumière les limites de la résilience actuelle et des plans de continuité d’activité

La continuité d’activité est souvent présentée comme un des éléments majeurs de la stratégie de résilience des organisations. Ainsi, face à des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs, les organisations se sont dotées de plans de continuité d’activité (PCA) de manière à assurer leur survie.

Or les cyber-attaques, dans leur forme moderne, n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers focalisés sur un enjeu de disponibilité, n’appréhendent pas la problématique de perte de confiance dans le SI induite par les cyber-attaques.

De plus, les dispositifs de continuité du SI, le plus souvent intiment liés aux ressources qu’ils protègent, sont également affectés par ces attaques. En effet, depuis plus d’une décennie, les dispositifs de continuité (repli utilisateurs ou secours informatique) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide des métiers et au besoin d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyber-attaques. A titre d’exemple, les postes de secours dédiés et connectés des sites de repli sont aujourd’hui très souvent exposés aux mêmes risques de contamination (et destruction) que les postes nominaux.

Les historiques plans de reprise/secours « à froid » (consistant souvent à activer les systèmes de secours en cas d’incident) concernent désormais de moins en moins d’applications, et il s’agit souvent d’applications secondaires.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI. Malheureusement, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments de compromission : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants.

La gestion de crise et les dispositifs de continuité doivent être repensés

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes (autorités, fournisseurs…) eux-mêmes souvent peu préparés sur ce sujet. Ces éléments démontrent qu’il est nécessaire d’ajuster les dispositifs existants. Un des thèmes vise à anticiper des astreintes et des rotations des personnels clés. Au-delà de l’aspect interne, il faudra s’assurer de disposer également des expertises en SSI (investigation numérique, méthode d’attaque…) et de l’outillage de recherche et d’assainissement requis pour comprendre la position prise par l’attaquant dans un SI toujours plus grand et dont les frontières sont de plus en plus difficiles à déterminer. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise et anticiper certaines réponses, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Dans ce contexte, les dispositifs de continuité doivent également évoluer, voire être complètement repensés. Les solutions possibles sont nombreuses, nous pouvons citer en particulier la construction de chaînes applicatives alternatives (non similar facilities), visant à « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. Il s’agit là d’une solution ultime, envisagée pour certaines applications critiques dans le monde de la finance. D’autres solutions, moins complexes, comme l’ajout de contrôle fonctionnel d’intégrité dans le processus métier pour détecter rapidement une attaque (multi-levels controls) ou encore la définition de zone d’isolation système et réseau (floodgate) sont possibles.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilence n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Responsable du Plan de Continuité d’Activité (RPCA) sera alors un plus ! Il est aujourd’hui impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RPCA prendra tout son rôle.

Protéger, détecter, réagir, assainir et reconstruire, voilà donc les piliers d’une cyber-résilience solide. Cyber-résilience qui ne pourra être atteinte que si le RPCA et le RSSI travaillent main dans la main !

Cet article Cyber-résilience : allier les forces du RPCA et du RSSI pour franchir une nouvelle étape est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Les réseaux sociaux apparaissent désormais comme une ressource que les entreprises doivent se préparer à utiliser.

Les réseaux sociaux : un outil pour rapidement collecter l’information ou la diffuser au plus grand nombre

Les réseaux sociaux se positionnent aujourd’hui comme un parfait complément aux médias traditionnels, en particulier de par le caractère viral que peut revêtir une information une fois publiée. En cas d’évacuation de domicile, un Smartphone couplé à Twitter pourrait être le moyen le plus rapide pour vous indiquer l’abri le plus proche en temps réel (situation qu’ont connue les habitants de NYC lors de l’ouragan Sandy en 2012). Vous pouvez ensuite partager cette information avec vos proches via Facebook . Chaque utilisateur se transforme ainsi en relai qui communique vers sa communauté jusqu’à ce que l’information atteigne le plus grand nombre.

En plus de cette capacité de diffusion rapide de l’information, les réseaux sociaux sont le seul média qui permet une remontée d’information massive et instantanée. Dans son combat contre les grands feux de forêt, le Western Australia’s Department of Fire and Emergency Services utilise Twitter pour collecter des renseignements auprès de témoins locaux. Les informations ainsi collectées permettent aux pompiers de connaître avec précision la situation sur le terrain et de réagir en conséquence.

Utilisez ces outils au quotidien pour en maitriser les rouages

Afin d’utiliser efficacement ces outils en situation de crise, il convient d’en maitriser les mécanismes. Cette maitrise se construit au jour le jour, en intégrant les réseaux sociaux dans le quotidien de l’entreprise au côté des dispositifs de communications traditionnels.

La SNCF est l’exemple parlant d’une entreprise qui a parfaitement intégré les réseaux sociaux dans sa communication, à travers plusieurs fils Twitter qui font désormais parti du quotidiens des usagers (@SNCF_infopresse, @SNCF_QR, @SNCF_Direct).

Lors de la récente catastrophe de Brétigny-sur-Orge, Twitter est apparu naturellement comme un pilier du dispositif de communication de la SNCF.

Direction Générale, Risk Manager, Responsable Cybercriminalité, … n’attendez plus !

Les projets en lien avec les réseaux sociaux sont aujourd’hui souvent pilotés par les directions Communication et Marketing. Pour autant, les acteurs de la gestion de crise : Risk Manager, RSSI, RPCA ou Responsable Cybercriminalité doivent y prendre part  et d’ores et déjà se préparer à utiliser ces outils.

La préparation passe par la définition du cadre dans lequel vont évoluer les équipes de communication de crise :

• En désignant les instances qui porteront la communication via les réseaux sociaux,
• En sensibilisant ces instances pour qu’elles puissent, le cas échéant, répondre efficacement aux sollicitations,
• En s’assurant que les outils seront à disposition dans le cadre du plan de gestion de crise,
• En définissant des communications type : messages prédéfinis en fonction des scénarios pouvant nécessiter l’activation du dispositif de crise,
• En renforçant la crédibilité de ces messages par le sponsor d’une personnalité de premier plan. À l’image par exemple de l’initiative de la mairie de NYC pendant l’ouragan Sandy : Michael Bloomberg, maire et figure emblématique de la ville, a appuyé les recommandations des équipes de secours avec pas moins de 110 tweets. Ces messages ont été largement relayés par le public et les autres comptes officiels de la ville.

Ces mesures pratiques couplées aux retours d’expériences des crises précédentes permettront de tirer le meilleur parti des réseaux sociaux et d’en faire un outil au cœur du dispositif de gestion de crise.

Cet article Réseaux sociaux et #GestionDeCrise est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l’ISO22301 est le nouveau – et seul – standard international en la matière. S’aligner sur ses recommandations, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie et réussir, au-delà de l’avancement des actions relatives à sa construction, son maintien en conditions opérationnelles !

En quoi la norme peut-elle appuyer la pertinence des investissements nécessaires à la mise en place d’un PCA ?

La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international.

Par exemple, l’un des points structurants de la norme est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à  mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.

Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ?  Ces éléments doivent être validés par le management.

Si les BIA ont généralement déjà été effectués dans les organisations,  la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA.

Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques ? Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication… Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.

BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…

En quoi fournit-elle des clés permettant d’inscrire les PCA dans la durée ?

Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d’Activité, le fameux SMCA. Il s’agit d’évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien.

Il s’agit de répondre à la question « les processus sont-ils fonctionnels et sont-ils efficace ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur  « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.

Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions.

Ainsi la norme motive la mise en place des principes qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.

L’investissement déclenché doit-il aller jusqu’à la certification ?

L’alignement peut aisément s’imposer comme une évidence pour tout  responsable des risques ou de continuité d’activité. En effet, il offre ainsi la garantie d’appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité.

L’émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur.

Cet article Continuité d’activité : ISO 22301, une norme faite pour convaincre ? est apparu en premier sur RiskInsight.

En matière de disponibilité, les promesses du cloud n’engagent que ceux qui y croient !

L’Hyper Cycle 2011 du Gartner a positionné en août dernier le cloud dans sa phase de « désillusion ». Force est de constater que les incidents à répétition que rencontrent les grands noms du cloud depuis l’année passée ne font que confirmer cette état de « disgrâce ».  Petit rappel des deux faits marquants de ce début d’année.

Le 29 février à 1h45 (GMT), la plate-forme de cloud services Windows Azure tombe sur 4 de ses 6 plaques mondiales pendant une durée oscillant entre 12h et 48h. Cette interruption de services a son origine dans un bogue logiciel générant une erreur de calcul de dates sur les années bissextiles ; à la décharge de Microsoft,  il est vrai qu’Azure ouvert en 2010 n’a pas connu d’autre année bissextile que 2012. Cette panne a laissé sur le carreau plusieurs sites clés, dont la fameuse place de marché du gouvernement britannique, le « CloudStore ».

Ce 7 mars vers 5h (GMT), le service Facebook tombe en panne plus de 3 heures sur les plaques  Europe, Afrique et Moyen-Orient. Principale cause avancée, celle de la défaillance des serveurs DNS européens de Facebook entraînant l’inaccessibilité du site. Pointés du doigt, les Anonymous ont démenti être mêlés à cet incident. En tout état de cause, le communiqué officiel de Facebook ne laisse filtrer aucune explication. Rappelons-nous que Facebook avait déjà rencontré un problème de configuration BGP en août 2010.

Ces deux incidents majeurs font écho aux non moins médiatiques pannes rencontrées par les promoteurs du cloud computing ; remémorons-nous les incidents de Google (trois en 2009, celle de 05/2010, puis de 02/2011 et 09/2011), d’Amazon et de son service EC2 (12/2010, 04/2011, 08/2011), du précurseur Salesforce.com (02/2008, 01/2009, 01/2010) et du plus récent VMware Cloud Foundry (05/2011).

S’agissant de « résilience », les atouts du cloud ont maintes fois été présentés, on citera en substance :

• Taux de disponibilité avantageux (Salesforce.com affiche 99,9%)
• Répartition et duplication des ressources sur des lieux géographiques différents
• Accessibilité permanente, en tout point du globe
• Standardisation de l’offre technique, facilitant sa reproductibilité sur les datacenters

Pour autant, le cloud n’en reste pas moins une machinerie complexe par construction ; du fait de l’empilement des services qui le composent, du volume des ressources qui le constitue et, paradoxalement, de leur répartition sur le globe.

Au-delà de cette complexité qui impacte les gestes d’exploitation et de maintenance au quotidien s’ajoutent également les risques posés par le modèle de standardisation retenu. Les effets d’une erreur de manipulation, d’un bogue ou d’une vulnérabilité se font ressentir rapidement sur tout ou partie des infrastructures sous-jacentes.

Difficile dans ces conditions, face à des offres « boîtes noires » peu dissertes sur leur fonctionnement interne, d’accorder un crédit sans limite aux niveaux de disponibilité avancés. Du reste, le cloud public, universel dans son usage et par sa fréquentation, ne permet pas de préjuger de la manière et avec quelle priorité seront traitées, en cas de sinistre, les entreprises (grandes ou petites) en regard des individuels que nous sommes.

Des axes de progrès pour une meilleure résilience du cloud

Ces incidents à répétition témoignent d’une maturité encore insuffisante du marché et des fournisseurs, qui fonctionnent encore pour certains « au coup par coup ». Pour autant, le tableau n’est pas si noir, le modèle vertueux d’amélioration continue se met en place, sous l’impulsion notamment de l’alliance CSA (cloud security alliance)  qui promeut de bonnes pratiques en matière de sécurité et de résilience du cloud, des exigences d’acteurs clefs et /ou de gouvernements (PCI DSS, FISMA, HIPAA, etc.) et, il faut bien le dire, au gré des incidents vécus.

D’autant que la problématique de continuité tout comme de sécurité est au cœur des préoccupations des fournisseurs de service ; en affectant la confiance de leurs clients, présents et futurs, elle touche directement leur business model. Rappelons-nous enfin que l’une des promesses essentielles du cloud computing est d’améliorer la résilience du service rendu, parce qu’il est précisément « partout dans le nuage ».

A y regarder de plus près, le nombre d’incidents rencontrés par les acteurs du cloud est équivalent sinon inférieur à ce que rencontrent les entreprises. Le principal facteur aggravant tient au fait que la surface d’impact est sans commune mesure avec celles des SI des entreprises (ce sont des dizaines de milliers voire de millions d’usagers qui sont touchés).

Les fournisseurs de service entrent doucement dans la phase de maturation de leurs offres ; ils renforcent progressivement leurs dispositifs de continuité, prennent davantage en compte le facteur humain (source indéfectible d’erreur !) et apprennent aussi à mieux communiquer auprès de leurs clients.

Mais il ne faut pas croire au cloud « infaillible ». Aussi, les entreprises consommatrices de services cloud doivent-elles prévoir des processus de continuité de leurs métiers les plus sensibles et de préservation de leurs données les plus critiques.

C’est enfin le prochain challenge des fournisseurs que de prouver et démontrer les performances de leurs services cloud face à ceux des SI des grandes organisations !

Cet article Panne Facebook : symptomatique de la résilience du cloud computing ? est apparu en premier sur RiskInsight.

Lire la tribune.

Cet article Comment se préparer à une crue exceptionnelle ? est apparu en premier sur RiskInsight.

Aujourd’hui, les conséquences d’une crue similaire seraient diverses : arrêt des transports et difficultés de circulations, absentéisme dans les entreprises et les services publics, coupures électriques, eau non potable, etc.

Face à ces impacts variés, l’arrêt d’une grande partie des activités des entreprises est inéluctable. Mais les responsables de la continuité de l’activité des entreprises ne sont pas totalement démunis. Une inondation se déroule en trois temps : montée des eaux, pic de crue, décrue. Cette progressivité permet d’anticiper les impacts et donc les solutions à mettre en place.

Avant la crue et jusqu’à la montée des eaux, scénariser la crise et adopter les mesures de sauvegardes

« Quand on commence avec des certitudes, on termine avec des doutes ». La crue exceptionnelle illustre parfaitement cette maxime de Francis Bacon. Il est certain qu’elle arrivera, sans qu’on sache exactement à quoi nous attendre à ce moment-là.

Pour éclairer les zones d’ombres, de nombreuses études sont toutefois disponibles (études DIREN, PPRI des communes…). Malgré tout, des questions resteront posées. Paris ne présente plus le même visage qu’au début du siècle dernier. L’évolution des sols et sous-sols rend partiellement caduques les cartes de 1910. Les modélisations existantes ne tiennent pas compte de tous les paramètres (remontées d’eau dans les sous-sols notamment), de sorte qu’il n’est pas possible d’anticiper précisément les impacts.

Enfin, et surtout, la crue pourrait être bien plus virulente, comme ce fut le cas à Prague en 2002, invalidant toutes les prévisions basées sur les hauteurs d’eau de 1910.

En tenant compte de tous ces paramètres, et en acceptant de ne pas tout maîtriser, le responsable de la continuité d’activité pourra réaliser son analyse d’impact. Suite à celle-ci, il sera en mesure de lancer immédiatement des actions conservatoires (remontée ou déménagement de ressources clés) et de bâtir un scenario de crise en plusieurs étapes (vigilance, alerte, mobilisation, …) en fonction de la montée des eaux et de la chronologie des évènements associés

Cette scénarisation permettra de définir une procédure « crue » à dérouler lorsque les eaux monteront.

Pour chacune des étapes anticipées lors de la montée des eaux, un ensemble d’actions sera mis en œuvre pour se prémunir au mieux des conséquences sans perturbation de l’entreprise au quotidien : pré-mobilisation de la cellule de crise, remontée d’équipements dans les étages, vérification des dispositifs de secours et de sauvegarde, installations de batardeaux…

Adapter au mieux son PCA pendant le pic et la décrue

En situation de « pic de crue », certainement deux à trois semaines, les impacts sur l’entreprise mais plus globalement sur l’ensemble de la région Ile de France seront extrêmement conséquents. Impossible dès lors de couvrir le risque comme avec un PCA classique.

Le Plan de Continuité d’Activité « crue » devra savoir s’adapter à cette situation exceptionnelle, et ne plus chercher à couvrir toutes les fonctions critiques de l’entreprise mais bien uniquement les fonctions absolument vitales et les organes de crise auxquels devront être dédiés tous les moyens disponibles. Le RPCA doit faire son deuil d’une continuité de l’ensemble des activités, même celles habituellement reprises.

Les solutions classiques des PCA devront également être évaluées au regard des contraintes spécifiques du « pic de crue » : le nomadisme repose sur des infrastructures dont rien ne garantit le bon fonctionnement en situation de crue, le repli doit prendre en compte le lieu d’hébergement des collaborateurs (la Seine et la Marne ne pouvant être franchies)…

La décrue des fleuves peut durer plusieurs semaines (35 jours en 1910), et durera a minima plusieurs mois pour les entreprises touchées : nettoyage des bâtiments, consolidation des fondations, remise en état d’équipements, réapprovisionnements…

Pour autant, les actions à mettre en œuvre au cours de ces étapes ne peuvent être formalisées de façon précise tant que la crue ne s’est pas déroulée. Le RPCA devra plutôt s’attacher à dégager les grands principes qui guideront la reprise progressive des activités durant cette étape : abandon/remise en fonction des bâtiments, activités à reprendre en priorité, pré-contractualisation de stock de reprise, etc.

Se focaliser sur l’essentiel pour faire face à la crue

Il est impossible de prévoir et traiter intégralement une crue exceptionnelle. Toutefois, aborder la problématique en amont permettra de scénariser la crise et de prévoir les actions de limitation de ses conséquences.

Les impacts résiduels seront traités par des solutions PCA « plus classiques », couvrant ce qui ne peut être protégé, mais doit être préservé.

In fine, se préparer à faire face à la crue, c’est initier la prise en compte des chocs extrêmes, sinistres pour lesquels tous les impacts ne peuvent être couverts, rendant la hiérarchisation des activités vitales encore plus essentielle à la continuité.

Cet article Les entreprises face à une crue exceptionnelle est apparu en premier sur RiskInsight.

En effet, la réflexion autour des systèmes de management de la continuité d’activité n’est pas récente : de nombreux guides nationaux sont apparus ces dernières années, notamment dans les pays les plus mûrs sur le sujet de la continuité.

Parmi ce foisonnement de publications, la BS 25999 (publiée en 2007) a pris un rôle de premier ordre. Or l’ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Systèmes de Management : amélioration continue, implication du management, pilotage par les risques et les enjeux Métiers, etc.

S’inscrire dans une démarche de progression continue

Il s’agit là d’un point-clé : inscrire le Plan de Continuité des Activités (PCA) dans un Système de Management, c’est entre autres réfléchir à sa politique de couverture de risque et aux moyens affectés au PCA, impliquer le management et délimiter un périmètre en s’assurant de son adéquation avec les enjeux Métiers ; et tout cela de façon récurrente, de façon à garantir in fine l’alignement du PCA avec les objectifs de l’organisation.

Le point de départ est donc la réalisation d’une analyse de risques et d’un Bilan d’Impact sur l’Activité (BIA). Si ce dernier point est fortement détaillé dans la BS 25999, allant jusqu’au cadrage des critères d’expression des besoins et assez largement répandu dans la pratique, l’analyse de risques est quant à elle plus rarement revue aujourd’hui. Or les dispositifs de secours ont vocation à couvrir des périmètres et des risques de plus en plus larges… mais surtout en permanente évolution : réaliser ou revoir l’analyse de risques qui supporte le PCA, c’est aussi apporter un regard critique sur son PCA.

Le contrôle, point clé de l’amélioration

Le deuxième point à souligner est celui du contrôle du PCA, afin d’en mesurer la pertinence et l’efficacité opérationnelle. À cet égard, la réalisation régulière de tests et exercices PCA est nécessaire mais pas suffisante, car sauf remise en question très régulière du scénario de test, la pertinence du PCA n’est pas analysée. Par ailleurs, force est de constater que la mobilisation des acteurs peut être difficile à maintenir dans le temps et que les tests peuvent  perdre leur statut de preuve du caractère opérationnel du PCA. En outre, la mise en place d’un processus de contrôle force à s’interroger sur les indicateurs de mesures d’efficacité du PCA, utiles notamment pour le reporting auprès du management, et sur la politique d’audit du PCA.

Sensibiliser pour ne pas oublier l’humain

Enfin, peu déployée mais pourtant d’une nécessité évidente, la sensibilisation des collaborateurs permet d’assurer que le PCA n’est pas qu’un plan « sur le papier », et que son exécution dans la « vraie vie » est crédible. En ciblant le management, elle s’assure de son sponsorship, et peut l’aider dans la prise de décision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut être d’une réelle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concernés lors du déclenchement des dispositifs, elle permet de renforcer le caractère opérationnel du PCA !

Au-delà de l’aspect médiatique, une évolution naturelle pour un sujet de plus en plus sensible

Le caractère international de l’ISO ne manquera pas de redonner un réel engouement pour le sujet, et lui permettre de s’inscrire dans la lignée de ses glorieux aînés concernant la qualité (ISO9001) et la sécurité de l’information (ISO27001). Un intérêt qui viendra accompagner la maturité croissante des PCA des organisations, qui ont ces dernières années lancé de nombreux projets de mise en place, en réponse aux menaces qui pèsent sur leurs activités et aux exigences de disponibilité de leurs métiers.

Mais le PCA est plus qu’un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions opérationnelles, et c’est sur ce point que la norme peut apporter : par l’inscription du PCA dans un processus récurrent, dans un cycle de vie calé sur l’évolution de l’organisation.

Sans oublier que cette norme sera certifiante : pour ceux souhaitant aller au-delà d’une simple utilisation de ces bonnes pratiques, la certification permet d’afficher l’existence et l’importance du PCA de manière externe, vis-à-vis de clients, de partenaires, voire d’autorités réglementaires… Autant de bonnes raisons pour adopter cette norme au plus tôt !

Cet article ISO 22301 : un nouvel élan pour la Continuité d’Activité ? est apparu en premier sur RiskInsight.

Si la continuité d’activité fait partie depuis longtemps des préoccupations de bon nombre d’entreprises, elle demeure néanmoins un sujet d’actualité pour 2011. Même sur le volet informatique, souvent le plus mûr, des évolutions sont à prévoir. Quasiment tous les grands comptes disposent aujourd’hui d’un plan de continuité informatique (PCI) performant, bâti à l’initiative des DSI pour répondre à la dépendance croissante des organisations au SI. Mais cela n’est plus suffisant.

Un PCI soumis aux innovations et aux nouvelles menaces

Le PCI se doit de suivre l’évolution rapide de la production informatique, pour en profiter au mieux. Parmi les innovations marquantes figurent la virtualisation et le cloud computing. La première peut faciliter grandement les opérations de bascule et de redémarrage, parfois même « à chaud » et sans interruption de service. Le second, par la révolution qu’il impose au SI, nécessite la révision intégrale du dispositif de secours.

Au-delà, le cloud computing peut également constituer une solution de secours en soi, alternative aux sites de secours classiques. Mais comme pour la production, il induit des risques pour la sécurité des données, et est souvent encore insuffisamment rassurant quant à la capacité réelle de reprise qu’il apporte.

Parallèlement, les exigences envers les PCI évoluent : en effet, de nouvelles menaces apparaissent régulièrement et ne sont pas couvertes par les plans actuels. La plus prégnante aujourd’hui est sans doute le risque de cyber attaque, choc « extrême » à propos duquel la réflexion s’engage à peine.

Faire mûrir le volet opérationnel

La continuité d’activité ne se limite pas à celle de l’informatique : les réflexions sur la continuité des opérations progressent également. Là encore, les chocs extrêmes constituent une limite forte aux plans actuels. La plupart des organisations savent faire face à l’indisponibilité d’un bâtiment, mais restent souvent démunies face à un sinistre de plus grande ampleur, type crue de Seine. Le traitement de cette problématique sera un des enjeux des années à venir.

Les prestations de services externalisées constituent également un sujet d’attention, compte tenu de leur importance majeure pour la plupart des organisations : comment identifier les prestations réellement clés, quelles exigences fixer aux prestataires, et comment s’assurer du respect des engagements ?

Enfin, la capacité à maintenir dans le temps les plans de continuité d’activité (PCA) est une problématique majeure : adapter en permanence le plan aux évolutions rapides des organisations et du SI nécessite une méthodologie rigoureuse pour capter l’évolution des besoins et des solutions, et vérifier en permanence leur adéquation.

Le déploiement progressif d’une norme ISO sur le sujet en serait-il un levier ? Largement issue de la norme BS 25999, elle adapte la notion de système de management aux processus de continuité d’activité. Les responsables PCA devront bientôt choisir entre se contenter de suivre les bonnes pratiques, ou aller jusqu’à l’alignement voire la certification.

Ne pas oublier les fondamentaux

Bien entendu, ces sujets d’actualité ne doivent par occulter les problématiques classiques de la continuité. Du bilan d’impact sur l’activité au maintien en condition opérationnelle en passant par le choix de la stratégie, le PCA doit rester un processus vivant, sous peine de disposer d’un plan inutile le jour J. Le maintien de cet effort dans un contexte budgétaire contraint est capital. Outre qu’il permettra d’assurer la continuité de l’activité au besoin, ce souci constant offre  aux organisations l’opportunité de progresser sur un sujet de plus en plus sensible, la connaissance et la maîtrise de leurs risques. A ce titre, le PCA est bien plus qu’une simple assurance, et doit rester un sujet d’attention majeur pour les années à venir.

Cet article La continuité d’activité : de nouveaux défis pour 2011 est apparu en premier sur RiskInsight.