Le BIA (Business Impact Analysis) a pour objectif de déterminer les activités essentielles ou critiques de l'entreprise. Accessoirement, il permet aussi de statuer sur les délais d'interruption maximum admissible pour lesdites activités.

Ni plus, ni moins.

Le BIA ne traite que des activités métiers ("business" ou "de service public" selon les cas) de l'entreprise, sans considération pour les moyens.

Il faudra dans une démarche de BIA répondre à des questions comme : "est-ce que mon activité vente à distance est importante ?" ou encore : "combien de temps peut-elle s'arrêter suite à sinistre ?".

D'autres questions sur le moyens ne font pas partie d'une démarche de BIA. Ainsi se poser la question "si tels serveurs s'arrêtent, quel est l'impact sur les métiers ?" ne fait pas partie de la démarche !

Le BIA consiste à évaluer l'effet de la disparition de telle activité pour l'entreprise. Il ne consiste pas à évaluer l'effet sur les métiers de la perte des moyens ! Ce point est fondamental !

L'analyse sur les moyens est à faire aussi ! Ils sont essentiellement exposés à des risques. C'est une étude que nous recommandons de mener en parallèle mais qui ne fait pas partie du BIA.

Comme disait en substance Paul Valéry, "un modèle exploitable est forcément faux, un modèle précis est forcément inutilisable". En ce sens, il nous est arrivé de voir des démarches de BIA lancées par des experts en modèles de processus qui aboutissaient à des choix jugés comme "grotesques" (sic) par la Direction Générale, car trop éloignés de la réalité terrain.

Le modèle de processus se situe à un bon niveau d'abstraction et s'éloigne nécessairement de la "réalité terrain". Or, la particularité du BIA est d'envisager des sinistres, des désastres conduisant à des interruptions d'activités concrètes !

Les modèles de processus sont souvent transverses par rapport à l'organisation opérationnelle. Une sélection d'activités critiques faite en chambre sur un modèle risque de classer prioritaires et critiques des activités transverses dont "personne ne se soucie" (je cite deux cas réels récents). La relation avec les opérationnels étant ensuite difficile à établir, procéder ainsi est une perte de temps...

Le BIA raisonne forcément sur la réalité et ses défauts, loin du modèle idéal...

En partie lié à ce qui précède, il est courant de voir des analyses de BIA qui restent cantonnées à des équipes fonctionnelles (ou de staff) telles que celles qui sont en charge de l'audit, du "risk management" ou de la qualité par exemple.

Autant il est important d'impliquer ces équipes lorsque le BIA a été fait au bon endroit dans l'entreprise, autant il ne faut pas commencer par ces équipes si l'on ne veut pas déresponsabiliser les opérationnels !

Les opérationnels responsables métiers sont les seuls à pouvoir évaluer ce qui est critique et essentiel dans ce qu'ils font. Eux seuls sont à même d'exprimer une exigence en matière de continuité (à valider par la Direction Générale).

Il nous arrive d'aller voir des directions opérationnelles et de constater qu'elles n'ont pas été consultées pour le BIA. Nous sommes alors sûrs que le BIA n'a pas de fondement dans l'entreprise.

Il faut noter que les gestionnaires de moyens (ou fonctions de support) n'ont pas d'exigences en propre... autres que celles que les métiers leur répercutent. Le Plan de continuité de l'informatique par exemple, ne se justifie pas tout seul ! Il n'existe que parce-que des métiers critiques l'exigent !

Seuls les opérationnels métiers sont capables d'exprimer des exigences de continuité sur leurs métiers dans le BIA.

Enfin, dernier travers à noter, qu'affectionnent tout particulièrement les vendeurs de jour-hommes de junior : l'approche bottom-up.

Cette approche consiste à analyser dans le détail (le bas) les processus de l'entreprise en les prenant un par un. On passe ainsi en revue sur une période de huit à douze mois les 380 processus (chiffre que l'on nous a cité) que l'on arrive à identifier d'une manière ou d'une autre...

Au bout d'une plongée longue, l'analyse aboutit à "32 processus critiques". Avec une facture conséquente.

Nous croyons fermement qu'une discussion au bon niveau (ou au top) avec les directions, nous permet très vite de classer :

• ce qui est clairement critique

• ce qui n'est clairement pas critique

• la "zone grise" à aller voir de plus près

Cette manière de procéder top-down va directement à l'essentiel avec une vision qui est celle de la direction générale, la seule ayant sens dans l'entreprise.

Ainsi donc une approche de BIA correcte de notre point de vue :

• cherche à évaluer l'impact de la disparition d'une activité métier sur l'entreprise et ainsi d'identifier ce qui est essentiel pour elle;

• doit se calquer à la réalité terrain et fuir les modèles qui font abstraction des vicissitudes terrestres...

• doit obligatoirement consulter les responsables métiers (et non directement les gestionnaires de moyens)

• enfin, doit partir du haut et se focaliser vite sur ce qui est critique, pour être exhaustif sans tout passer en revue.

A ces conditions, le BIA sera efficace et raisonnablement ciblé en délai et en coûts.

Cette formation certifiante "système de management de la continuité d'activité ISO 22301" repose sur notre cours Duquesne suivi d'un examen réalisé par LSTI, organisme français de certification indépendant spécialisé dans la sécurité de l'information.

Duquesne Group est le premier cabinet en France à obtenir l’agrément de LSTI pour les formations autour de la nouvelle norme ISO en matière de continuité d’activité.

Cette formation (de cinq jours) certifie les personnes : les stagiaires ayant satisfait aux conditions de l'examen final sont certifiés "lead implementer ISO 22301".

Elle est conduite par notre associé Emmanuel Besluau, expert reconnu dans ce domaine et auteur du livre "Management de la continuité d'activité" aux éditions Eyrolles 2008-2010.

Sont concernés en premier lieu les responsables de PCA ou les consultants souhaitant être certifiés :

• RPCA d 'entreprise

• responsable en entreprise en charge de PCA ou devant en construire

• chef de projet en charge d'une démarche de PCA

• consultant souhaitant améliorer sa qualification en continuité

• risk manager voulant aborder le système de management de la continuité

• RSSI voulant prendre en compte la Continuité d'activité dans son périmètre

• responsable en situation de contrôle ou d'audit voulant comprendre les démarches pour la continuité

Bref, toute personne concernée par la continuité d'activité, la mise en place de PCA d'une manière structurée, contrôlée et normée est intéressée par ce type de formation.

A noter : il est possible de suivre la formation sans passer l'examen et donc sans certification.

Le fait d'être certifiant impose à cette formation des exigences spécifiques de rigueur que nous combinons avec notre esprit pragmatique.

Des présentations magistrales avec supports en français couvrent les points obligatoires de la norme "système de management" :

• le passage en revue du texte de norme sur les parties indispensables

• les aspects typiques des "systèmes de management" : Plan, Do, Check, Act

• les aspects propres à la Continuité d'activité inclus dans la norme

La présentation de la Continuité d'activité en tant que telle est bien entendue intégrée au cours et y prend une grande place sous la forme de cours magistraux avec supports en français.

Des études de cas sous forme de travaux dirigés ou d'exercices sont aussi prévues sur des sujets comme :

• les analyses de risques "PCA"

• le BIA (analyse des activités critiques)

• la réponse au sinistre et son organisation

Enfin divers quizz sont posés en cours de session pour préparer à l'examen final.

La norme est entièrement balayée au cours des cinq jours avec une approche progressive et pragmatique.

Sont en particulier couverts les points suivants :

• qu'est-ce qu'un "système de management de la continuité d'activité" ou SMCA ?

• que met-on dans le "PDCA" ?

• la prise en compte du contexte de la société

• l'engagement de la direction

• la planification : que faut-il faire?

• le support : que prévoir ?

• l'exploitation ou les opérations : que faire ?

• l'évaluation des performances du SMCA

• l'amélioration

Sur chaque point sont traités les aspects d'impératifs apportés par la norme et du concret d'expérience terrain pour effectivement implémenter un SMCA.

En parallèle de cette norme de SMCA, les bonnes pratiques de création de PCA et des indications méthodiques sont abordées dans la cours de manière approfondie.

Un certain nombre d'études sont à mener pour préparer l'entreprise et son PCA :

L'analyse du risque :

• les étapes obligatoires et comment les aborder

• comment appréhender le risque ?

• en quoi la Continuité d'activité est-elle particulière ?

• exemples pratiques

Le Bilan de l’Impact sur les Affaires (BIA business impact analysis) :

• qu’est-ce qui permet de dire que telle activité est critique ?

• comment mener une analyse d'impact efficace et partagée ? qui le fait ?

• quels sont ses processus critiques ? de quoi ont-ils besoin ?

La formulation de la stratégie de continuité :

• que décider de faire en cas de sinistre ?

• quelles options sont ouvertes ?

• lesquelles étudie-t-on ? comment choisir ?

• que faut-il préparer ?

A chaque fois, les concepts sont expliqués et une approche méthodique présentée.

La prise en compte des éléments clés pour construire le SMCA est soulignée.

Il faut organiser la réponse au sinistre et pour cela aborder :

Le dispositif de gestion de crise :

• qui compose la cellule de crise ?

• de quels moyens la doter ?

• responsabilités ?

Les groupes d'intervention :

• missions et responsabilités

• listes types

• profils, listes de contacts

Le Plan d'exécution de la réponse au sinistre :

• passage en revue d’un plan complet de reprise

• contenu, travaux, qui fait quoi, communication et escalade

• présentation de listes-types utiles

Les éléments à considérer pour le SMCA sont abordés.

Une fois tout cela réalisé, il reste à le mettre à l'épreuve et le tenir en état de fonctionner.

Les test du Plan de Continuité :

• comment s’assurer que « ça marche »

• quels types de tests faire ? les différences

• comment préparer une campagne de test ?

• quel usage post-mortem des tests ?

• notion de test probant ?

La Maintenance du Plan de continuité :

• que faut-il surveiller ?

• comment mettre à jour son Plan ?

• quels moyens ?

Enfin l'intérêt de formations de sensibilisation des personnels est abordé.

Tout ce qui concerne le SMCA est souligné.

Ces trois aspects sont fondamentaux et opèrent ensemble.

Ils sont abordés dans le cours avec des recommandations issues de l'expérience sur divers mises en oeuvre concrètes.

Le document de politique de continuité :

• comment le construire ?

• quel contenu ?

• qui le signe ?

• quelle actualisation ?

Les contrôles par le management :

• que peut-on contrôler ?

• quelle trace laisser ?

Les audits

• que peut-on auditer ?

• comment se préparer ?

• tableaux de bord

L'harmonisation avec le SMCA et les impératifs de la norme sont décrits.

Des exemples concrets sont présentés.

A la fin de la formation, le participant aura acquis :

• une compréhension des enjeux de la continuité en entreprise

• une vision claire et de ce qu’il faut ordonnancer en termes de décisions et de projets

• une méthode de construction du PCA

• les bases d'un outil de gouvernance

• la compréhension du sens et des impératifs du SMCA

• des indications utiles pour construire un SMCA en entreprise

Un examen final conçu et corrigé par LSTI est organisé lors de la dernière demi-journée.

Les candidats devront, le jour de l’examen, remettre les pièces suivantes :

• une copie de leur pièce d’identité,

• un CV ou des justificatifs d’expérience professionnelle

• la copie de leur(s) diplôme(s) (minimum bac+2) ou justifier d’une expérience professionnelle d’au moins
  cinq ans dans le domaine des systèmes de management (attestation de l'employeur).

Chaque candidat reçoit par courrier, dans un délai de 6 semaines après la formation une attestation de réussite à l’examen.

Le candidat devra justifier qu’il possède ou qu’il a acquis les compétences nécessaires pour accéder
à la certification « Lead Implementer ISO 22 301 ».

N’hésitez pas à nous contacter pour toute question complémentaire (cliquer sur 'en savoir plus' ou 'contact' sur ce site).

Paris, France le 4 avril 2012 : LSTI, organisme français de certification indépendant spécialisé dans la sécurité de l'information, et Duquesne Group, cabinet d’étude et de conseil, ont annoncé aujourd’hui un accord pour dispenser des formations assorties d’un examen de certification ISO 22301.

Duquesne devient ainsi le premier cabinet en France à obtenir l’agrément de LSTI pour les formations autour de la nouvelle norme ISO en matière de continuité d’activité.

Duquesne Group proposait depuis quelques années déjà des cours dans ce domaine, issus de son expérience opérationnelle dans des chantiers de continuité d’activité en Europe et de ses études sur les meilleures pratiques.

La nouvelle norme ISO 22301 aboutit à la normalisation mondiale du « système de management » de la Continuité d’activité, notamment en entreprise, et fournit ainsi à cette discipline transverse un cadre de référence indiscutable.

Duquesne a déjà fait évoluer son offre de formation pour tenir compte de l’arrivée de ce texte, qui permet de faire certifier les personnes qualifiées ayant suivi le cursus approprié.

La répartition des rôles est claire et conforme à la pratique en formations certifiantes. Duquesne conçoit et donne le cours et LSTI organise l’examen final. Comme explique Armelle Trottin, Présidente de LSTI, « les organismes de formation agréés par LSTI sont autorisés à dispenser les formations de préparation aux examens de certification ; ils sont sélectionnés selon une procédure qui assure de leur compétence à dispenser les formations en question. Ils sont indépendants de LSTI. »

Jusqu’à présent, les certifications de personnes du domaine de la continuité d’activité en France étaient essentiellement britanniques et s’appuyaient principalement sur les normes du British Standard. « L’arrivée d’une certification française à cette nouvelle norme internationale devrait rassurer tous ceux qui considèrent la Continuité d’Activité comme stratégique et sensible !» précise René Dugué, Président de Duquesne Group.

Sur le plan méthodologique, « la sortie de la norme ISO 22301 va nous permettre de structurer les approches de Continuité qui, en France, ont tendance à englober des démarches très disparates » ajoute Emmanuel Besluau, Vice-président de Duquesne Group, créateur des cours et par ailleurs auteur du livre « Management de la continuité d’activité » aux éditions Eyrolles.

Les premières formations certifiantes incluant l’examen par LSTI seront planifiées par Duquesne Group au cours du deuxième trimestre 2012. Les premiers cours prévus concernent la mise en place du « système de management » de la Continuité avec une certification de type implementer ISO 22301. Des formations pour auditeurs suivront.

LSTI est un organisme certificateur spécialisé dans le domaine de la sécurité des technologies de l’information et de la dématérialisation des procédures administratives et privées.

LSTI est habilité par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d' Information) pour la qualification des prestataires de services de confiance dans le cadre de l'ordonnance dite RGS relatif aux téléprocédures et dans le cadre du décret relatif à la signature électronique.

LSTI délivre aux entreprises, aux administrations centrales et décentralisées, aux banques, aux prestataires de service, des certificats de conformité aux normes ou aux exigences réglementaires.

LSTI certifie également la compétence des personnes sur les normes 27001, 27005, 20000 et 22301. Plus de 3000 personnes ont passé les examens certifiants (Lead Auditor 27001, Lead Implementer 27001, Risk Manager 27005) depuis 5 ans.

Accrédité par le Cofrac (autorité d'accréditation française) pour la majorité de ses activités de certification, LSTI est aussi membre de l’IPC (international personnel certification association), association membre de l'IAF (international accreditation forum) dont l´objectif est de promouvoir la certification de personnes au niveau international.

Duquesne Group est un cabinet d'étude et de conseil en technologies de l'information. Le cabinet est basé à Paris et travaille, en France et à l'international, pour des clients qui sont surtout de grands groupes français et européens.

Les experts Duquesne sont uniquement des professionnels très expérimentés, issus des grands cabinets et des DSI des grandes entreprises. Ils réunissent un haut niveau technique et une bonne culture métier. Certains sont auteurs d’œuvres de référence et de nombreux articles dans la presse, tout particulièrement dans les domaines de la continuité d’activité et de la sécurité.

LSTI : eric.cahours@lsti.fr

Duquesne Group : dc@duquesnegroup.com

Global Payments, une société américaine de traitement de paiements pour compte de tiers, a annoncé le 30 mars que ses systèmes avaient été pénétrés par des attaques d'origine inconnue. Selon la société, jusqu'à 1,5 millions de numéros de cartes de paiement Visa et Mastercard ont été "exportés".

Ce chiffre peut paraître faible au regard de certaines attaques passées et notamment celle contre Heartland Payment Systems qui en 2007-2008 s’était fait voler plus de 100 millions de numéros de cartes. Néanmoins, cette nouvelle affaire Global Payments met sur le devant de la scène encore une fois la montée en puissance de la cyber-délinquance organisée.

Tout porte à croire que ces numéros de cartes de paiement ont déjà été revendus sur internet (à un prix de gros de 2 à 3 dollars par carte, selon nos sources) à des bandes spécialisées dans d'autres pays qui se chargeront de les exploiter. Ainsi fonctionne tous les jours l'écosystème de la cyber-délinquance.

De toute façon, l'attaque réussie contre Global Payments - un spécialiste des paiements respecté et a priori sérieusement équipé en moyens de défense - illustre la vulnérabilité de tout système d'information à une attaque déterminée et persistante.

Personne n'est à l'abri. Parmi les victimes célèbres de 2011, on peut citer Sony, RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup et bien d'autres. A la décharge de Global Payments, on peut relever que c'est la société elle-même qui a détecté l'intrusion et réussi à mesurer l'étendue des dégâts, ce qui n'est souvent pas le cas.

Cette affaire a soulevé - et à juste titre - une certaine discussion parmi les experts autour de PCI DSS. En effet, Global Payments était certifié conforme à cette norme de sécurité très contraignante, tout comme Heartland Payment Systems. De son coté, Visa s'est empressé d'exclure Global Payments de son registre de partenaires reconnus comme conformes à PCI DSS mais, comme dit le proverbe, c’est un peu tard de fermer l'étable quand le cheval est perdu.

A notre sens, la dimension PCI DSS de cette affaire mérite quelques observations simples.

D’abord et comme chacun sait, la conformité n'implique pas forcément la sécurité. La conformité à une norme de sécurité quelconque met une première barre utile, mais elle n'est pas très haute.

En ce qui concerne PCI DSS plus spécifiquement, personne ne doute de l’intérêt des pare-feu, du chiffrement, d'une bonne gestion des mots de passe et ainsi de suite. Cependant, il est très loin d'être clair que les exigences assez basiques de cette norme - on serait tenté de dire antédiluviennes - soient à la hauteur de la cyberdélinquance sophistiquée d'aujourd'hui.

Enfin, on peut se demander si cette norme ne souffre pas d'un défaut structurel. PCI DSS est un standard qui dicte très précisément ce qu'il faut faire pour être conforme. (En anglais, on dirait c'est un prescriptive standard) Malheureusement, les menaces évoluent toujours plus rapidement que les travaux des instances de normalisation, qui sont souvent en retard d'une guerre.

La comparaison avec la famille ISO 27000 est édifiante. En effet, ISO distingue entre les "bonnes pratiques en sécurité" dont on peut utilement s'inspirer et un "système de management de la sécurité" qui permet au mieux de s'assurer qu'on reste dans un cercle vertueux de conformité, voire d'amélioration permanente, face aux circonstances changeantes.

Au lieu de se demander comme certains si Global Payments était "vraiment conforme" à PCI DSS, il serait peut-être plus utile de réfléchir sur l'évolution de cette norme dans un monde électronique qui devient - hélas ! - de plus en plus dangereux.

Avec cette phrase (« le temps réel pour tous, sur tout terminal et en tout lieu ») se trouve résumée la vision SAP et toutes ses actions y sont mises en perspective.

Real time est un impératif selon Hagemann Snabe : les données qu’il faut inspecter et traiter sont tellement volumineuses que cela ne peut se faire qu’en mémoire, ce qui donne une place centrale aux approches « in memory » de SAP et aux divers investissements que SAP a fait et continue de faire dans HANA par exemple.

Au passage SAP égratigne Oracle en indiquant que les systèmes de bases de données à l’ancienne sont dépassés ou sont relégués à un rôle subalterne. Sybase (achat de SAP il n’y a pas si longtemps) échappe à la critique toutefois pour ses qualités en mobilité et en big data (la fameuse approche en colonnes).

SAP insiste sur la nécessité absolue pour les terminaux mobiles de pouvoir accéder à des données qui doivent absolument être gérées avec des processus optimisés.

Le message est clair : comme l’optimisation des processus est l’affaire de SAP, c’est aussi à SAP de remplir le reste du cahier des charges : accueillir tous les accès mobiles d’où qu’ils soient et fournir une réponse rapide.

SAP y voit la nécessité du cloud et des technologies in-memory. Cette conclusion peut paraître un peu rapide toutefois.

Cette phrase marquée de réalisme est prononcée au Cebit par le co-CEO de SAP.

Il décrit de plus la nécessité de réduire les coûts d'exploitation et pour cela d'optimiser les logiciels offerts en mode SaaS. Il indique avoir investi pour rendre moins coûteuses ses solutions de type on-demand en cloud.

Hagemann Snabe présente l’équation : pour gagner de l’argent il faut des coûts faibles et des effets de volumes sur les utilisateurs. Nous avons travaillé pour optimiser le système et réduire les coûts. Faut-il en déduire que les effets volumes ne sont pas encore là ? On est tenté de le penser.

Voilà une prise de conscience intéressante et un aveu qui rassure les techniciens.

Faire du logiciel « pour le cloud » cela ne s’improvise pas. Et Hagemann Snabe de bien marquer la frontière avec les offres hébergées en ligne et autre…un logiciel en cloud doit être développé pour cette cible avec des prérequis techniques importants à prendre en compte.

Ainsi, même si les fonctionnalités métiers sont les mêmes, la machinerie en-dessous diffère. On apprend d’ailleurs que SAP développe (redéveloppe pour le cloud ?) « Business One » à Changai.

Dans le cahier des charges du bon logiciel à cloud sont cités : le multi-tenant (pouvoir ranger les clients les uns à côté des autres dans le même produit) et l’échelonnabilité (autrement dit « scalability », la possibilité de monter extrêmement vite en puissance).

Le co-CEO indique aussi que la cible cloud concerne environ 80% des investissements en développement.

La réponse à cette question n’est pas évidente car les risques de cannibaliser sa base installée ou de concurrencer ses partenaires intégrateurs existent pour SAP et prennent plusieurs formes.

Interrogé sur ce sujet Hagemann Snabe botte en touche et passe la parole à Lars Dalgaard responsable des offres en cloud (et retransmis en direct au Cebit à partir de Californie). Ce dernier fait une réponse convenue en citant pèle mêle différents canaux de vente d’offre en cloud... donnant l'impression que SAP actuellement fait feu de tout bois.

Est-il si difficile d’avoir une stratégie go-to-market pour les offres en cloud ou faut-il attendre d’y voir plus clair ?
L’avenir nous le dira.