Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Continuité & sécurité
Analyse "flash" par notre correspondant aux Etats-Unis : une attaque "phishing" qui a fait sensation aux Etats Unis mais qui a été dompté rapidement par Google Encore une fois, nous sommes étonnés...
La notion de SMCA (Système de Management de la Continuité d'Activité) est introduite par la norme ISO 22301. Habitués à parler de PCA, bien des responsables pensent que cette norme ISO va leur indiquer ce qu'il faut y mettre.

Or, il n'en est rien ! Ou plus exactement l'effet est indirect. Regardons comment cela marche.
Souvent dans nos missions on nous demande d'émettre un avis sur des tableaux d'analyse métier (BIA) récemment faits.

Or, il arrive que le contenu de ces tableaux, techniquement rigoureux, soit déconnecté de la vision en situation de sinistre. C'est donc un véritable "BIA -lettre au Père Noël" que l'on voit. Commentaires...
Certains événements récents présentent des directions générales qui semblent apprendre par la presse des violations de sécurité dont elles auraient été victimes. N’est-ce pas la négation de la maîtrise managériale ? Peut-on piloter en aveugle, sans disposer d'informations sur les incidents de sécurité ?

Par ailleurs, il est vrai qu'il est difficile pour un Direction de disposer du bon niveau d'information sur ces sujets ingrats et piégés en terme de communication. Il est délicat pour les opérationnels de composer des tableaux de bord autres que lénifiants. Quelques réflexions.

La question vient souvent : le fait d'utiliser des services en cloud améliore-t-il ou détériore-t-il la capacité de l'entreprise en matière de Continuité ?

L'entreprise a de plus en plus recours à des services en mode SaaS ; la DSI est plus ou moins mise au courant. Les éventuels plans de reprise peu étudiés.

Le paysage de risque d'interruption est pourtant modifé complètement et subrepticement. Alors : est-ce mieux ou moins bien ? Comment suivre ?

Eléments de réponse.


On ne déclenche pas une cellule de crise pour un simple incident. Les entreprises ont appris à gérer les incidents courants sans alerter toute la hiérarchie...

Toutefois, au-delà d'une certaine ampleur, les circuits "traitement d'incidents" peuvent être débordés et il faut alors passer en "mode crise" avec recours exceptionnel au management.

La limite entre "incident important" et "situation de crise" est potentiellement floue et difficile à border clairement. Pourtant il faut le faire avec des idées claires, sinon on risque de perdre un temps précieux en cas de sinistre à courir dans tous les sens.
Peut-on considérer les acteurs du Cloud à l’abri d’incidents disruptifs majeurs, voire de sinistres graves ?

Surtout, ces hébergeurs du monde virtuel, nous proposent-ils de véritables solutions s’ils sont confrontés à de telles défaillances ?


Parmi la grande variété d’opportunités apportées par le cloud computing aux entreprises de taille moyenne ou intermédiaire, le DRaaS (« Disaster Recovery as a Service ») est un cas d’usage qui s’impose d’évidence.

Si le marché DRaaS s’est ouvert il y a environ quatre ans aux Etats-Unis, il n’a pas encore véritablement démarré en France. L’introduction en France de Recover2Cloud (R2C) en 2015 par Sungard AS est peut-être en train de changer la donne.
Votre informatique réside essentiellement dans un Data Center que vous connaissez à peine. Or vos systèmes informatiques sont essentiels à vos yeux.

Savez-vous où ils résident ? Connaissez vous les forces et faiblesses de votre Data Center ? Et comment collecter des informations utiles pour cette appréciation ?

Il vous faudrait faire un audit, mais cela promet, pensez-vous, d'être long et compliqué ? Petit guide d'une revue rapide et instructive.
Nous sommes quelquefois appelés "parce que la mise en place du PCA n'avance pas".

Nous rencontrons alors les divers intervenants et constatons une situation qui provoque des allongements de délais au-delà de ce que les responsables envisageaient pour la mise en place de PCA.

Existe-t-il des causes communes ? revue rapide...
Souvent lors de nos missions nous croisons des situations contrastées : la conception de l'infrastructure est bonne, la technologie est en place. Le PCA est crédible.

Toutefois, il manque des points de procédures et de consigne...et surtout, il y a peu d'ancrage dans le réel.

S'il y avait un sinistre que se passerait-il réellement ?
La cybercontinuité arrive à l’ordre du jour, on peut être tenté d’y voir une n-ième mode ou une tentative de faire peur…

Malheureusement les cyber-interruptions, ou arrêts provoqués par des actions malveillantes via Internet peuvent s’avérer très graves et d’autant plus vraisemblables qu’on ne s’en préoccupe pas.

De plus, si on s’y est mal pris, le PCIT lui-même peut être annihilé, comble de malheur. Alors que peut-on faire ?
Le BIA (Business Impact Analysis) est une étape incontournable de tout Plan de Continuité d'Activité. Cependant, cette analyse de l'entreprise à la recherche de ses activités critiques est très délicate.

Dans notre pratique de conseil sur ce sujet, nous voyons des manières de faire qui, à l'usage, nous paraissent vraiment comporter des erreurs à éviter !
L'appréciation des risques permet de hiérarchiser les événements nocifs à craindre et de déterminer des actions de réduction à mettre en oeuvre pour traiter les risques.

Cela fait, il faut se préparer à affronter les conséquences des sinistres résiduels, et pour cela il faut les décrire un minimum. Bref, il faut un scénario qui campe le décor dans lequel les Plans de reprise seront joués.
Lorsqu’on aborde avec des responsables en entreprise la situation du Plan de Continuité, on tombe souvent sur des situations compliquées héritées d’un passé complexe…voici trois écueils courants.
Il est courant dans nos missions sur la continuité d'activité d'examiner les effets de gros sinistres sur l'informatique et ses divers moyens.

Or, ce faisant, nous apercevons des situations et des modes d'exploitation IT qui présentent des risques d'interruptions de service assez fréquentes. Ces lacunes sont à combler au plus vite !
Nous avons souvent cette réaction en clientèle quand la norme ISO 22301 est abordée : à la fois de l'espoir et de la crainte :
- Espoir d'avoir des réponses à des questions précises sur les PCA.
- Crainte de ne pas être conforme à la norme.

Or à la fin de l'étude de la norme, la réaction est souvent inversée...pourquoi donc ?
Lorsqu'un RPCA est nommé, il n’arrive pas sur un terrain vierge. Il existe déjà des responsables qui traitent plus ou moins de "continuité".

Pour le nouveau venu, le tour de piste est un peu compliqué : comment faire le partage ? Faut-il tout revoir ? Comment répartir les rôles ? Voici des éléments de réponse.
On nous pose souvent la question : mon site informatique actuel avec ses deux salles convient-il ? Ne faut-il pas un deuxième site un peu plus loin ? et où ?

Nous abordons la réponse à ces questions avec une méthode progressive.
Voilà un sujet peu passionnant, mais ô combien important. Sans document, peut-on parler de PCA ou de système de management ?

Il faut donc en parler et le faire de la manière la moins pénible possible...et la plus efficace.

Voici quelques réflexions sur le sujet.
1 2 3