Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


ISO 27031 : la nouvelle norme sur la préparation de l'informatique à la continuité d'activité


Les démarches de normalisation en matière de Continuité d'Activité vont dans différentes directions et peuvent paraître confuses.

Depuis mars 2011 il existe une nouvelle norme sur ce sujet qui vise l'informatique et son degré de préparation.

Alors : est-ce une norme de plus, voire de trop ? Ou est-ce un apport utile et employable à la DSI ?



crédits photo : DR
crédits photo : DR
Cette norme est sortie le 1er mars 2011 et publiée en anglais. Seul son titre a été traduit en français :

Technologies de l'information — Techniques de sécurité — Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires

C'est une norme de bonnes pratiques donc de "choses qu'il est bien de faire". L'emploi du conditionnel en anglais (the organisation should do ..") est général.

Elle comporte 29 pages utiles, ce qui est peu ; d'autres normes de bonnes pratiques dépassent allégrement les 100 pages, on peut donc s'attendre à des besoins de précisions, de conseil.

Regardons les principes exprimés et penchons-nous sur quelques points marquants.

Une norme de bonnes pratiques dans une famille nombreuse

Cette norme est logée dans la famille des 27000, c'est à dire de tout ce qui concerne (en gros) la sécurité de l'information. Elle mentionne les autres normes de la famille (sur les risques, le système de management, les bonnes pratiques, etc.) et reste cohérente avec elles.

Elle se réfère avant tout à la norme de 'système de management' ISO 22301 à venir (non votée encore à ce jour) et lui reconnaît une sorte de préséance... ce qui est normal car la 22301 est plus générale et surtout est une norme de management..

En particulier la 27031 suppose que les recommandations amont de la 22301 sont mises en pratique et qu'il existe des analyses de risques et de BIA (Business Impact Analysis) préalables.

Rappelons ici qu'une norme de management explique ce qu'il faut faire (shall) alors qu'une norme de gestion explique comment on peut le faire bien...illustrant la phrase traditionnelle en organisation "gérer, c'est bien faire les choses ; manager, c'est faire les bonnes choses" .

La responsabilité du "top management" et le PDCA

Cette norme -comme certaines de ses consoeurs du monde ISO- est de type cyclique PDCA ; rappelons le principe :

  • Plan : l'entreprise prévoit de faire quelquechose

  • Do : l'entreprise le fait, par des actions diverses

  • Check : l'entreprise vérifie que ce qui est fait est ce qui était prévu et détecte les écarts

  • Act : l'entreprise corrige les écarts et éventuellement en fait un peu plus

Il s'agit donc d'une démarche générale de progrès itératifs mise sous la responsabilité du 'top-management' (sic).

Elle possède de plus une caractéristique forte : elle demande au top-management de s'impliquer en signant un certain nombre de documents. On peut citer :

  • les documents qui listent les écarts constatés entre les exigences de continuité portant sur les moyens informatiques et la réalité de ces moyens

  • les décisions de plans d'action pour combler ces écarts doivent être l'objet de l'engagement du "top-management" et actées

  • des revues régulières doivent être organisées et les constats visés par le "top-management"

Par "top-management", il faut comprendre les décideurs de plus haut niveau de l'entreprise ; donc pas uniquement les responsables de l'informatique mais potentiellement au-dessus.

Cela signifie que la Direction générale est au courant des manques de préparation à la continuité d'activité des moyens informatiques. Et qu'elle planifie et suit les améliorations. Dans certaines sociétés, cela peut nécessiter des changements d'habitudes...

Qu'entend-on par informatique ?

La norme se focalise très clairement sur les services informatiques qui sont nécessaires aux activités business critiques qui ont été identifiées par ailleurs (dans le BIA).

Il s'agit donc d'un sous-ensemble de l'informatique subordonné à des décisions des métiers sur leurs exigences 'business'. L'informatique ne choisit pas seule ce qui entre dans le cadre de la norme.

Dans ce cadre, la norme recommande de se pencher sur :

  • les ressources humaines, compétences, savoir-faire

  • les sites, les bâtiments utilisés (primaires ou de secours)

  • l'infrastructure informatique (serveurs, réseaux, stockage, OS, etc.) au sens habituel

  • les informations et données (informatiques ou pas)

  • les processus de l'informatiques pour elle-même

  • les tiers et fournisseurs externes

  • les finances et budget attribués pour la continuité IT

C'est sur tous ces points repris dans tout le document que doit porter l'attention du management : leur état de préparation au sinistre est-il correct ? Faut-il améliorer certains aspects ? Quelles options ? Que faire ? Le tout suivi du passage à l'acte par des évolutions suivies de vérifications régulières prenant diverses formes y compris les tests.

Une quinzaine de pages couvrent cette démarche avec un niveau de détail variable. Un praticien de la Continuité d'Activité s'y retrouvera aisément. En revanche, un technicien de l'informatique restera sur sa faim : aucune indication technique n'est donnée. Clairement il ne s'agit pas d'un guide de recettes technologiques.

Il vaut mieux prévenir que guérir

La norme cite cinq principes à garder en tête tout au long de la démarche :

  • La prévention des incidents ou sinistres : se préparer à un sinistre externe ou une situation grave

  • La détection des incidents ou sinistres : plus on anticipe, mieux cela vaut ; il faut détecter vite les signes avant-coureurs des sinistres et donc les connaître et disposer d'alertes

  • La réponse ou parade : doit être efficace et prévue : une réponse rapide évite que cela ne dégénère

  • La reprise suite à sinistre : elle doit être planifiée de manière à donner priorité aux activités les plus critiques et aux données à protéger avant tout. Certaines activités peuvent être arrêtées.

  • L'amélioration en tirant des leçons des incidents constatés pour mieux se préparer

Tout doit être fait pour que ces cinq principes puissent s'appliquer en permanence.

Deux options à équilibrer

Face à une insuffisance des moyens qui sont hors service en cas de sinistre, il y a toujours deux solutions :

  • Renforcer le moyen en question, en le rendant plus fiable, robuste, résilient, tolérant aux pannes, etc. ce qui veut dire la plupart du temps investir dans un matériel plus haut de gamme où des constituants sont doublés par exemple.

  • Ou alors laisser le moyen en cause en l'état et prévoir sa disparition en préparant un secours plus ou moins lointain, plus ou moins prêt à prendre le relai.

Chez certains responsables DSI seule la première approche est qualifiée de Continuité...la deuxième est vue comme une solution à l'ancienne.

L'intérêt de la norme est d'indiquer ces deux solutions comme des pistes également envisageables sur tous les moyens dits critiques.

On ne peut que saluer cette approche qui permet un arbitrage correct entre forte résilience utile mais coûteuse et plan de reprise peu cher, mais difficile à organiser et gérer. Les deux ont droit de cité, les deux sont intéressants dans la panoplie du DSI.

Quelle usage peut-on faire de cette norme ?

Il est toujours intéressant de lire une norme de type 'bonnes pratiques'.

En effet, il est possible de détecter :

  • des bonnes idées à mettre en pratique

  • des manières de procéder en interne qu'il suffit d'aménager un peu pour être en ligne avec la norme

  • une référence externe qui permet plus facilement le consensus en interne

  • enfin, des pratiques internes qui sont sans le savoir déjà en ligne tel M.Jourdain avec la prose...

Il reste que la norme incite à une implication du management au plus haut niveau et à une prise de conscience forte et assumée des défauts éventuels de l'informatique en matière de continuité des activités métiers.

C'est probablement là son apport essentiel mais aussi sa difficulté d'adoption.

Emmanuel Besluau
Vendredi 5 Août 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter