Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Continuité & sécurité
Nous avons souvent cette réaction en clientèle quand la norme ISO 22301 est abordée : à la fois de l'espoir et de la crainte :
- Espoir d'avoir des réponses à des questions précises sur les PCA.
- Crainte de ne pas être conforme à la norme.

Or à la fin de l'étude de la norme, la réaction est souvent inversée...pourquoi donc ?
Lorsqu'un RPCA est nommé, il n’arrive pas sur un terrain vierge. Il existe déjà des responsables qui traitent plus ou moins de "continuité".

Pour le nouveau venu, le tour de piste est un peu compliqué : comment faire le partage ? Faut-il tout revoir ? Comment répartir les rôles ? Voici des éléments de réponse.
On nous pose souvent la question : mon site informatique actuel avec ses deux salles convient-il ? Ne faut-il pas un deuxième site un peu plus loin ? et où ?

Nous abordons la réponse à ces questions avec une méthode progressive.
Voilà un sujet peu passionnant, mais ô combien important. Sans document, peut-on parler de PCA ou de système de management ?

Il faut donc en parler et le faire de la manière la moins pénible possible...et la plus efficace.

Voici quelques réflexions sur le sujet.
Avez-vous un PCA ? Cette question aux allures de mistigri est à la mode. La réalité qui se cache derrière est complexe mais instructive.

Souvent exclue ou escamotée comme embarrassante, la question de la continuité d’activité de l’entreprise qui repose sur des fournisseurs critiques doit être un jour ou l’autre posée.

Insérer correctement ses fournisseurs dans sa propre démarche de continuité est un enjeu important pour être crédible soi-même face à ses clients.
"Toutes les tuiles du toit ont été posées par beau temps" dit le proverbe. Lorsque le sinistre arrive il est trop tard pour se préparer.

Les diverses catastrophes récentes nous montrent des situations très variables : tremblements de terre, tsunami, inondations, fortes tempêtes, train d'hydrocarbure qui explose en pleine ville,etc. la liste est hélas assez longue.

Dans ce contexte, il est utile de nous demander comment nous réagirions dans une situation - sinon comparable- tout au moins de fort sinistre.

Dans nos entreprises, au-delà des études d'impact et autres appréciations de risques, posons nous concrètement quelques questions à tête reposée sur notre degré de préparation au sinistre, même de moindre ampleur.

Les années 2009-2010 ont été l'occasion pour bien des entreprises de travailler à la création d'un "plan pandémie grippale". Avec le Plan National pandémie grippale, l'Etat a donné une forte impulsion à ces travaux.

La pandémie n'a pas eu lieu avec l'ampleur redoutée...mais les travaux sont-ils pour autant perdus ?
L'Etat, la ville de Paris et de nombreux partenaires vont mener en mars un grand exercice EU SEQUANA 2016 pour se préparer à faire face à une crue centennale de la Seine.

Dans cette perspective, cet article de 2013 est plus pertinent que jamais.
De nombreuses sociétés lancent des études de risques avec leur démarche de PCA. Elles analysent leur contexte de menaces, leurs vulnérabilités et leur exposition. Elles décident éventuellement d'actions de réduction, voire d'évitement du risque ; tout ceci est nécessaire.

Cependant, quand le sinistre se produira malgré tout, il faudra réagir : il faut donc prévoir les actions qui seront à mener. Et pour cela des travaux complémentaires s'imposent au sein du PCA.

Qu'attendre d'une analyse de risque ? et comment s'en servir pour préparer son PRA ? Quelques réflexions.
Le splendide isolement des plans de continuité informatiques touche à sa fin. Certaines démarches d'entreprise les mettent à part de l'approche PCA ; il fut un temps où cela était faisable, voire recommandé.

Toutefois, la complexité des systèmes informatiques rend cet isolement de plus en plus problématique à une époque où les métiers en font un usage intensif.

Des difficultés apparaissent de plus en plus, qui posent véritablement la question : peut-on se reposer vraiment sur un PCIT ? n'y aurait-t-il pas des problèmes en cas de vrai sinistre ?

S'appuyant sur des exemples concrets, cet article évoque quelques raisons de se poser des questions et présente cinq défis à affronter pour gagner en confiance...
Après le passage de l'ouragan Sandy, on découvre l’étendu des dégâts dans les Data Centres de la côte américaine.
Or, il apparaît que -même si certains risques avaient été traités- des points faibles se sont avérés désastreux pour la Continuité d'Activité. Des combinaisons d’évènements ont poussé à l'arrêt des centres qui n'étaient préparés que pour parer à des pannes simples.
La nécessité d'envisager des scénarios de pannes proches de la réalité et "en situation de sinistre" s'impose.
Dans la nuit du 29 au 30 octobre, l’ouragan Sandy a déferlé sur la côte nord-est des Etats Unis, laissant plus de huit millions de foyers sans électricité, les transports chaotiques et des dizaines de millions d’entreprises à l’arrêt. Selon le maire de New York, avec le changement climatique, nous sommes face à une "nouvelle réalité".

Comme tant d'autres pays, la France n'est pas à l'abri. A titre d'exemple, rappelons qu'en fin 2011, la Côte d'Azur a subi des intempéries particulièrement violentes qui, fait nouveau, présentaient toutes les caractéristiques d'un petit ouragan tropical. Selon les spécialistes, ces "medicanes" risquent de devenir plus fréquents et plus violents....

L'organisme international de normalisation ISO, après avoir fait travailler des experts mondiaux sur le sujet, a publié une norme pour la Continuité d'activité, finalement votée en mai 2012.

En matière de Continuité d'Activité, il existait surtout des normes britanniques ou américaines ; l'arrivée d'une norme ISO (supra-nationale) est importante dans le contexte français.

Que contient donc ce texte ? Voici nos premières remarques.
LSTI, organisme français de certification indépendant spécialisé dans la sécurité de l'information, et Duquesne Group, cabinet d’étude et de conseil, ont annoncé le 4 avril 2012 un accord pour dispenser des formations assorties d’un examen de certification ISO 22301.

Duquesne Groupe devient ainsi le premier cabinet en France à obtenir l’agrément de LSTI pour les formations autour de la nouvelle norme ISO en matière de continuité d’activité.
Bien que le document de "Politique de Continuité" soit posé comme un pré-requis par les "bonnes pratiques", dans nos missions en entreprise, le sujet est rarement mentionné tout de suite.

Au bout d'un certain temps toutefois, tout le monde considère que ce type de document est fondamental.

Que faut-il y mettre ? Voici les grandes lignes.
Auparavant vu essentiellement sous l'angle des moyens, le management de la continuité d'activité est désormais une discipline à part entière, avec une démarche transverse qui prend en compte à la fois les processus métiers et l'ensemble des moyens.

Dans ce nouveau contexte, l'Audit Interne se trouve face à un champ d'investigation considérablement élargi, sans forcément disposer d'une "culture PCA" permettant d'aller rapidement au fond du sujet.

Pour pallier les difficultés éventuelles, nous proposons ici une "checklist" Duquesne de questions importantes à poser lors d'un audit interne du PCA.
L'année 2011 a vu une accélération dramatique des attaques contre les systèmes d’information.

Parmi les victimes les plus connues on peut citer : Sony, RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup... Il s’agit bien d’attaques ciblées et persistantes, de nature crapuleuse ou politico-idéologique, voire de motivation encore non élucidée.

Face à cette situation, les entreprises et les administrations publiques devraient remédier - autant que possible - aux vulnérabilités du système d'information, sans négliger la vigilance et la capacité de réponse.
Les démarches de normalisation en matière de Continuité d'Activité vont dans différentes directions et peuvent paraître confuses. Depuis mars 2011 il existe une nouvelle norme sur ce sujet qui vise l'informatique et son degré de préparation.

Alors : est-ce une norme de plus, voire de trop ? Ou est-ce un apport utile et employable à la DSI ?
Any comparison between the Facebook / Goldman Sachs financing deal and the recent arrival of VC fund General Atlantic (GA) in the capital of Kaspersky Lab should, of course, be taken with a very large grain of salt.

Nonetheless, both are high growth tech companies that have chosen to focus on business development and to postpone an initial public offering.
Le moins que l'on puisse dire est que 2010 a déjoué les pronostics. Ce qui était attendu ne s'est pas produit ; ce qui s'est produit n'était pas attendu !

Tout le monde était prêt à l'arrivée d'une pandémie grippale mais peu d'analyses de risques avaient prévu qu'une éruption de volcan en Islande mettrait à mal les économies occidentales...
1 2 3