Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Audit interne du PCA : que faut-il regarder ?


Une "checklist" Duquesne de questions importantes à poser lors d'un audit interne du PCA.



Audit interne du PCA : que faut-il regarder ?
Dans un passé encore récent, le champ d'investigation d'un audit interne du PCA était en général assez étroit.

Dans la mesure où le PCA était vu essentiellement sous l'angle des moyens, l'auditeur interne se contentait souvent de vérifier qu'un plan était effectivement en place et que des tests avaient réellement été faits. Avec des compétences techniques nécessaires, un auditeur pouvait aussi revoir le plan de reprise informatique, notamment pour vérifier qu'il avait bien été tenu à jour en fonction des évolutions du système d'information.

Aujourd'hui, le management de la continuité d'activité a émergé comme une discipline à part entière, avec une démarche transverse qui prend en compte à la fois les processus métiers et l'ensemble des moyens. Dans ce nouveau contexte, l'Audit Interne se trouve face à un champ d'investigation considérablement élargi, sans forcément disposer d'une "culture PCA" permettant aux auditeurs de poser les bonnes questions et d'aller rapidement au fond du sujet.

Pour pallier les difficultés éventuelles des auditeurs internes, l'IIA (Associtation de l'Audit Interne) a déja publié quelques consignes utiles dans le "Practice Advisory 2110-2" sur le rôle de l'Audit Interne dans le management de la continuité d'activité.

Dans un esprit de complémentarité, nous proposons ici une aide méthodologique issue de nos études et de notre propre expérience, sous forme d'une "checklist" de questions à poser lors d'un audit interne du PCA.


Les sept domaines de préoccupation

Nous avons classé ci-dessous en sept domaines de préoccupation les points qui nous semblent importants à vérifier dans toute démarche de PCA et qui sont repris par diverses bonnes pratiques ou normes (en particulier l'ISO 22301).

Il est à noter que nous laissons de côté de manière volontaire les aspects réglementaires spécifiques à tel ou tel secteur.

Ces sept domaines sont les suivants :

  • l'analyse de risque

  • l'analyse d'impact (BIA)

  • la formulation de la stratégie de réponse au sinistre

  • missions responsabilité et crise

  • planification des actions

  • sensibilisation et test

  • politique de la Continuité

Mais entrons un peu plus dans le détail.

Une analyse de risque spéciale PCA et une prise en compte par le management

Ce point est particulièrement sensible car il est connexe d'autres analyses de risques pratiquées dans l'entreprise et pour autant, il faut rester raisonnable sur les travaux faits.

En terme d'audit de PCA, une version réduite -centrée sur les risques externes- est à prendre en compte. Il convient de regarder en particulier les points suivants :

Pour l'évaluation des risques :

  • les menaces externes considérées : la liste est-elle convenable ?
  • les probabilités (ou vraisemblances) et impacts ont-ils été évalués ?
  • la mesure des évaluations est-elle discutée et objet de validation par le management ?
  • les biens exposés aux menaces sont-ils désignés en grande masse ?

Pour le traitement des risques :

  • les quatre possibilités de traitement ont-elles été envisagées (pour mémoire : accepter, supprimer, réduire, transférer) ?
  • existe-t-il une trace des options envisagées et choisies ? des options non retenues ?
  • les risques résiduels sont-ils décrits ?
  • les éventuels plans d'actions sont-ils décrits et suivis ?

Enfin pour la survenance de sinistre :

  • existe-t-il une surveillance préventive ?
  • des moyens d'alerte sont-ils prévus ?
  • l'escalade est-elle en place et efficace ?

Enfin, les questions habituelles sont à poser sur la documentation de l'ensemble et les révisions des divers documents produits et entreposés.

BIA : le coeur de la démarche doit avoir été fait

Le BIA (Business Impact Analysis) consiste à déterminer les activités critiques de l'entreprise, celles dont l'arrêt va l'empêcher d'accomplir ses missions.

Cette analyse est donc importante. Dans la lignée des grandes normes et bonnes pratiques (Business Continuity Institute, Disaster Recovery Institute, ISO) il convient de s'assurer que les responsables métier ont bien exprimé leurs besoins ou "exigences" en terme de continuité.

Selon la situation de l'entreprise, il existe plus ou moins de description des activités, réalisées selon divers formalismes avec divers outils. Indépendamment des travaux réalisés, il convient que l'auditeur porte une attention particulière sur les points suivants :

  • les activités ont-elles toutes été passées en revue, même pour simplement les classer 'non critiques' ?
  • existe-t-il une évaluation de criticité réaliste faite par les responsables métiers sur leurs activités ?
  • cette évaluation utilise-t-elle un système de mesure gradué validé en interne ?
  • la notion de choc extrême est-elle prise en compte ?
  • les critères d'évaluation sont-ils mentionnés (ex : perte de CA, détérioration d'image, violation réglementaire ?)
  • les délais d'interruption maximale admissibles (DMIA) figurent-ils ?

Les activités les plus critiques étant connues, il est alors nécessaire de regarder ce dont elles ont besoin pour fonctionner. Il faut alors regarder des points comme :
  • les moyens informatiques nécessaires sont-ils listés ?
  • les autres moyens (logistiques ou autre) sont-ils identifiés ?
  • les données critiques sont-elles identifiées ?
  • les exigences sur les sauvegardes sont-elles indiquées ?

Une fois ces éléments connus, il est bon de reprendre l'analyse de risque précédente pour voir en quoi les activités critiques sont menacées.

Même remarque que précédemment sur la documentation de l'ensemble.

La stratégie de reprise doit être étudiée et décidée

L'entreprise connaît ses risques de sinistre et ses activités importantes exposées.

Elle doit décider ce qu'elle fera en cas de survenance des sinistres prévus (ou pas) :
  • les activités qui sont arrêtées
  • les activités reprises : où et comment ?
  • dans quel ordre ?
  • et puis, tout ce qu'il faut faire pour limiter les dégâts...

Cette étape est très vaste et pour un auditeur, il n'est pas simple d'aller à l'essentiel. Il ne faut pas se contenter de déclaration du type "on verra bien".

En ce qui concerne les réponses aux sinistres, on pourra toutefois se concentrer sur trois grands pans à traiter : la résilience des moyens, la couverture face à l'étendue du risque et les délais de mise en oeuvre des secours.

Concernant la résilience des moyens :
  • existe-t-il des points uniques de défaillance sur des éléments sensibles ?
  • existe-t-il des possibilités de pannes communes ?
  • les doublements sont-ils effectifs en pratique ? (doubles alimentations électriques, doubles liens télécom, etc.)

En ce qui concerne la couverture face à l'étendue du sinistre ; il est bon de regarder :
  • le secours prévu est-il en dehors du champ de risque prévu (ex : en-dehors de la même zone inondable ?)
  • les couvertures prévues : sinistre de site ? de ville ? de région ? de pays ? y-a-t il une gradation dans les réponses ?

Enfin, les délais de mise en activité sont traditionnellement à regarder aussi :
  • existe-t-il une gradation entre un site de secours proche activable très rapidement et un site plus lointain activable moins rapidement ? notions de secours chaud, tiède et froid
  • le site de secours lointain est-il activable dans des délais raisonnables ? et conformes aux exigences métier ?
    existe-t-il un dernier recours chez un tiers ?
  • le retour à la normale sur le site principal a-t-il été anticipé ?

Site de secours étant à prendre au sens large (informatique ou non)

Bien évidemment ces questions sont à aménager en fonction de l'entreprise et de son activité.
Tout ce qui a été prévu a dû être documenté et doit être auditable.

Missions, responsabilités et crise : est-ce défini ?

Nous arrivons dans le vif du sujet.

Un sinistre se produit : l'entreprise a-t-elle préparé sa réponse ?

En général, on se préoccupe d'une cellule de crise et l'on définit des missions et des groupes responsables pour la réponse au sinistre.

En terme d'audit il est important de vérifier les points suivants :

Pour la crise :

  • existe-t-il un dispositif pour gérer la crise ? permet-il de décider ? est-il documenté ?
  • ce dispositif a-t-il des moyens adaptés ? et tenus à jour ?
  • le responsable de crise est-il désigné et au courant ? dispose-t-il des bonnes délégations ? et ses remplaçants ?

Pour les divers intervenants :

  • les groupes d'interventions sont-ils préparés en fonction des moyens critiques ?
  • est-ce prévu sur le site sinistré mais aussi sur les sites de secours ?
  • y a-t-il des listes de personnels compétents avec indication des remplaçants ? à jour ?
  • l'informatique ? les bureaux ? les documents ? etc... sont-ils dotés de groupes responsables d'agir avec les bons moyens ?

Pour tous ces points, il faut en effet être vigilant, car le détail tue.

Plannings de reprise : même rudimentaires, ils doivent exister !

En cas de sinistre il convient de disposer de liste de tâches à mener avec quelques indications utilisables par le gestionnaire de crise qui ne sera peut-être pas le plus compétent sur place le jour J...

Sur ce sujet, il faut être réaliste et pragmatique et pouvoir s'adapter à la situation.

Un auditeur cherchera donc à trouver :

  • des indications et check-lists sur les constats à faire, les escalades, les évaluations
  • une liste de tâches à mener pour stabiliser une situation sur site sinistré (informatique ou pas)
  • une indication des tâches prioritaires pour redémarrer en fonction des priorités sur le ou les sites de reprise
  • des penses-bêtes administratifs, légaux, réglementaires divers
  • des ordres de grandeurs de charge pour les travaux à faire, de compétences et moyens nécessaires
  • des éléments pour la communication, l'escalade et l'horodatage des événements...indispensable

Tout ceci doit être à jour et accessible, même (et surtout !) en situation de sinistre.

Exercices de tests et sensibilisation : il doit y en avoir !

Autre aspect très important : tout ce qui a trait à la sensibilisation et la formation.

Le plus efficace dans ce domaine est l'organisation de séances de tests de plus ou moins grande ampleur, allant d'une simple vérification de listes à une mise en situation partielle en passant par des séances d'exercices en chambre.

L'auditeur recherchera alors :

  • des documents préparant des tests et des campagnes sur durée longue
  • des fiches de tâches préparatoires
  • des comptes rendus de tests, indiquant des points à améliorer
  • des bilans et plans d'action suite à test
  • des listes des personnels ayant participé aux tests
  • tous ces documents ayant moins d'un an ?

Une pratique très régulière de tests est en effet salutaire pour étendre et maintenir l'éveil.
Ne rien découvrir d'anormal lors des tests est a priori surprenant et mauvais signe...il doit donc y avoir des rapports sur des points à améliorer.

Et enfin... il doit y avoir un document de politique de la continuité

Ce document est décrit par ailleurs sur notre site voir : http://www.duquesnegroup.com/Que-faut-il-mettre-dans-le-document-de-Politique-de-continuite_a214.html

L'auditeur s'attachera à y trouver :

  • l'expression d'une volonté assortie de moyens
  • l'attribution de responsabilités dans toute l'entreprise, responsables opérationnels aussi bien que RPCA
  • l'expression des enjeux et des critères d'évaluation (genre perte de chiffre d'affaires, image détériorée, etc.)
  • la mise en place de reporting et de contrôle sur les sinistres
  • le suivi des tests et de leur conclusion


L'ensemble de ces points peut constituer la base d'une campagne d'audit appropriée.

Il convient de noter que le respect de la norme ISO 22301 va exiger la plupart de ces points et en ajouter d'autres, comme en particulier l'obligation d'une amélioration continue du système de management de la Continuité.

Emmanuel Besluau
Lundi 3 Octobre 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter