English version
Recherche

Pour éclairer les décideurs dans le management du système d'information et leur effort permanent d'optimisation, Duquesne Group apporte ses analyses approfondies des technologies de l'information, de leur mise en œuvre et de leurs marchés. Notre recherche s'appuie autant sur l'observation critique du marché par nos experts, sur leurs contacts permanents avec les fournisseurs, que sur l'expérience vécue dans nos missions de conseil. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more
Continuité, sécurité, conformité
La catastrophe de Fukushima - où un tsunami, suite à un séisme, a déclenché un accident nucléaire majeur - est une illustration tragique d'une nouvelle donne pour la planète.

En effet, depuis plusieurs années, les désastres de toutes sortes sont devenus plus fréquents et leurs conséquences de plus en plus graves.

Cette tendance a des implications très importantes pour les politiques publiques mais aussi pour le management de la continuité d'activité des entreprises.

L'organisme international de normalisation ISO, après avoir travaillé le texte d'une proposition de norme pour la Continuité d'activité, vient de le soumettre au vote de ses membres.

Voici nos premières remarques.

Auparavant vu essentiellement sous l'angle des moyens, le management de la continuité d'activité est désormais une discipline à part entière, avec une démarche transverse qui prend en compte à la fois les processus métiers et l'ensemble des moyens.

Dans ce nouveau contexte, l'Audit Interne se trouve face à un champ d'investigation considérablement élargi, sans forcément disposer d'une "culture PCA" permettant d'aller rapidement au fond du sujet.

Pour pallier les difficultés éventuelles, nous proposons ici une "checklist" Duquesne de questions importantes à poser lors d'un audit interne du PCA.

L'année 2011 a vu une accélération dramatique des attaques contre les systèmes d’information.

Parmi les victimes les plus connues on peut citer : Sony, RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup... Il s’agit bien d’attaques ciblées et persistantes, de nature crapuleuse ou politico-idéologique, voire de motivation encore non élucidée.

Face à cette situation, les entreprises et les administrations publiques devraient remédier - autant que possible - aux vulnérabilités du système d'information, sans négliger la vigilance et la capacité de réponse.

Bien que le document de "Politique de Continuité" soit posé comme un pré-requis par les "bonnes pratiques", dans nos missions en entreprise, le sujet est rarement mentionné tout de suite.

Au bout d'un certain temps toutefois, tout le monde considère que ce type de document est fondamental.

Que faut-il y mettre ?

Voici les grandes lignes.

Les démarches de normalisation en matière de Continuité d'Activité vont dans différentes directions et peuvent paraître confuses. Depuis mars 2011 il existe une nouvelle norme sur ce sujet qui vise l'informatique et son degré de préparation.

Alors : est-ce une norme de plus, voire de trop ? Ou est-ce un apport utile et employable à la DSI ?

"Toutes les tuiles du toit ont été posées par beau temps" dit le proverbe. Lorsque le sinistre arrive il est trop tard pour se préparer.

Face à la catastrophe naturelle qui frappe l'archipel, la maîtrise et le sens du civisme dont font preuve les Japonais forcent le respect. Cela étant dit, nous pouvons nous demander comment nous réagirions dans une situation - sinon comparable- tout au moins de fort sinistre.

Dans nos entreprises, posons nous quelques questions à tête reposée sur notre degré de préparation au sinistre, même de moindre ampleur.


Any comparison between the Facebook / Goldman Sachs financing deal and the recent arrival of VC fund General Atlantic (GA) in the capital of Kaspersky Lab should, of course, be taken with a very large grain of salt.

Nonetheless, both are high growth tech companies that have chosen to focus on business development and to postpone an initial public offering.

Les années 2009-2010 ont été l'occasion pour bien des entreprises de travailler à la création d'un "plan pandémie grippale". Avec le Plan National pandémie grippale, l'Etat a donné une forte impulsion à ces travaux.

La pandémie n'a pas eu lieu avec l'ampleur redoutée...mais les travaux sont-ils pour autant perdus ?

De nombreuses sociétés lancent des études de risques avec leur démarche de PCA. Elles analysent leur contexte de menaces, leurs vulnérabilités et leur exposition. Elles décident éventuellement d'actions de réduction, voire d'évitement du risque ; tout ceci est nécessaire.

Cependant, quand le sinistre se produira malgré tout, il faudra réagir : il faut donc prévoir les actions qui seront à mener. Et pour cela des travaux complémentaires s'imposent au sein du PCA.

Qu'attendre d'une analyse de risque ? et comment s'en servir pour préparer son PRA ? Quelques réflexions.

In 2010, the Stuxnet attack looks like a game changer, suggesting that cyber war is about to get serious. Cyber crime already is serious business and last year it got worse, with malware becoming more sophisticated and attacks more severe.

Duquesne sat down recently with Eugène Buyakin, COO of Kaspersky Lab, to discuss these issues, together with the company's business plans going forward.

Le moins que l'on puisse dire est que 2010 a déjoué les pronostics. Ce qui était attendu ne s'est pas produit ; ce qui s'est produit n'était pas attendu !

Tout le monde était prêt à l'arrivée d'une pandémie grippale mais peu d'analyses de risques avaient prévu qu'une éruption de volcan en Islande mettrait à mal les économies occidentales...

Souvent lors de nos missions nous croisons des situations contrastées : la conception de l'infrastructure est bonne, la technologie est en place. Mais il manque des points de procédures et de consigne...s'il y avait un sinistre que se passerait-il ?

Définir une stratégie de continuité consiste à décider à l'avance dans les grandes lignes, ce qui sera fait lorsqu'il y aura un sinistre. Cela nécessite bien sûr un travail préalable d'analyse des sinistres possibles et d'étude de leurs impacts.

Mais au-delà, cela suppose des décisions de Direction générale sur les risques que l'entreprise peut prendre et les dispositifs qu'elle veut mettre en oeuvre. L'importance de cette stratégie est telle qu'elle ne peut être laissée au hasard des évènements ou des évolutions technologiques.

L'ouvrage "management de la continuité d'activité" ressort en deuxième édition chez Eyrolles. Après le succès de la première édition de 2008, cet ouvrage sort en septembre 2010 dans une nouvelle...

Qu'ils s'appellent PRA ou Plan de Secours ou tout autre nom, ils sont nombreux en entreprise, encore faut-il les identifier...car ils sont souvent dispersés et incomplets. Puis, il convient d'y jeter un oeil raisonnablement critique : sont-ils encore utiles à quelque chose ?

Des divers constats que l'on tirera de cette analyse sortiront des améliorations, tant des solutions que des attributions de responsabilités.

Lorsqu’on aborde avec des responsables en entreprise la situation du Plan de Continuité, on tombe souvent sur des situations compliquées héritées d’un passé complexe…

Si l’on cherche à caractériser les difficultés souvent rencontrées, on peut arriver à les classer en trois catégories que nous discutons ci-dessous.

The accelerating rhythm of "extreme events" poses major challenges not only for public policy but also for the continuity of the critical business activities of companies.

In this context, Duquesne Group is pleased to post this seminal essay by Dr. Erwann Michel-Kerjan, Managing Director of the Risk Management and Decision Processes Center at the Wharton School and Chairman of the OECD High Level Advisory Board on Financial Management of Large-Scale Catastrophes.

Dans la panoplie des possibilités pour réaliser un PRA, le recours à un prestataire de secours est une pratique courante.

Mais dans la réalité : quelles sont les situations qui amènent les clients de ces services à y recourir vraiment ?

Revue de détail à partir de chiffres fournis par SunGard.

Régulièrement des pannes assez simples sont relatées qui mettent en cause un service de type cloud public : tantôt la rupture d'un câble sous-marin sature Google, tantôt un pylône écroulé arrête Amazon...
Le cloud public est-il si fragile qu'on ne puisse rien y trouver de disponible ?

1 2