Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Continuité et sécurité sont-elles amies ou ennemies ?


Autrefois confondues dans les mêmes approches normatives, continuité et sécurité travaillaient main dans la main.

Depuis 2012, les deux préoccupations sont clairement séparées dans des corpus de normes différents.

Dans l’entreprise de plus en plus, le RPCA siège à côté du RSSI. Alors ? Convergence d’intérêt ou conflit ?



Des situations de conflit patentes

Dans nos missions nous constatons des situations où l’intérêt de la continuité va à l’encontre de la sécurité ou tout au moins cela en a l’air :

  • Dans un plan de reprise, il faut pouvoir donner des accès logiques rapidement sur les systèmes de secours : la procédure sécurité ne le permet pas.

  • Lors d’un test de reprise, la continuité envisage un redémarrage « à sécurité dégradée » ce que la sécurité refuse, même sur durée courte ou sur données maquillées.

  • En cas de sinistre, il faut libérer les portes autrement fermées et sécurisées : la sécurité va contre cela en première réaction.

A l’inverse, ce que prévoit la sécurité peut entraver la continuité :

  • Seuls certains postes de travail, dûment identifiés (par adresse MAC) peuvent accéder à des applications sensibles ; en cas de sinistre du bâtiment, ces postes seraient détruits et l’application impossible à utiliser.

  • La conservation de clés de chiffrement ne se fait que sur un seul serveur de manière confidentielle. En cas de sinistre, rien n’a été prévu, surtout pas une réplication distante…

  • Les contrôles d’accès physiques aux sites de stockage de données confidentielles sont très restrictifs. Aucune personne susceptible d’intervenir au titre du PRA n’a d’accès. Aucune procédure n’accepte de remplaçant.

On le voit ainsi clairement, la différence dans les objectifs entre sécurité et continuité peut aboutir à des solutions et des implémentations divergentes voire conflictuelles.

Des convergences d'intérêt évidentes

Il est des cas où la sécurité a besoin de la continuité :

  • Les pare-feux et autres anti-virus ont besoin d’être actifs 24/24 : ils sont donc de bons amis de la continuité d’activité qui va prendre soin d’eux.

  • En cas d’infection des postes de travail par des virus non neutralisés, la sécurité est bien contente de pouvoir se tourner vers le stock de PC isolés, inactifs (et donc non infectés) que la continuité garde sous le coude en cas de sinistre…

Et des situations où la continuité fait appel à la sécurité :

  • Il faut dans un PRA transférer des cartouches classées Secret Défense ; la sécurité va mettre à disposition des personnels habilités.

  • Les données des divers PCA contiennent des éléments sensibles qui vont être classés et protégés par la sécurité, tout en étant accessible en cas de sinistre.

Ces exemples illustrent l'intérêt à travailler ensemble, même avec des contraintes et priorités différentes.

Eviter les situations de non droit temporaires

Continuité et sécurité ont tout intérêt à comprendre leurs divergences d’objectifs et à travailler ensemble pour harmoniser les solutions.

Suite à sinistre, les contraintes habituelles de la sécurité peuvent ne pas être applicables en l’état, il ne faut pas pour autant que cela devienne une situation de non droit où la société baisse trop sa garde sécuritaire.

Il faut que la sécurité accepte de considérer qu’en situation de sinistre certaines règles ou mesures ne sont plus applicables et qu’il faut alors avec la continuité élaborer une protection adaptée à la situation et aux expositions aux risques.

Dans certains cas cela se résoudra par la mise au point de procédures rapides en cas de sinistre pour par exemple obtenir des droits (notion anglo-saxonne de « fast path ») ou recourir à des modes d'action adaptés, comme un gardiennage humain face à des portes que la continuité doit ouvrir, etc.

En cas de sinistre, tout n’est plus valable en matière de sécurité mais le laxisme complet ne peut être accepté. Reconstruire vite un bon niveau de protection est un objectif commun.

Emmanuel Besluau
Dimanche 21 Septembre 2014

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2