a. guide methodologique pour une …...de redémarrage, (dmia [rto]) et perte de données (pdma...

GUIDE METHODOLOGIQUE POUR UNE DEMARCHE DE CONTINUITE GENERALITES, DEFINITIONS, METHODES

MANAGEMENT DES RISQUES 1

A. GUIDE METHODOLOGIQUE POUR UNE DEMARCHE DE CONTINUITE BUSINESS IMPACT ANALYSIS FICHES TECHNIQUES & SIMULATEUR Michel SILLAND Résumé Le document contient la méthode pour réaliser un BIA secteur par secteur sur la base d’un questionnaire formalisé. Un exemple de dialogue avec les utilisateurs est donné. On trou-vera une description du modélisateur lequel permet d’avoir une évaluation numérique des risques encourus. Les résultats du BIA associés à une approche également quantitative du risque permettent un choix rationnels des investissements à réaliser, aussi bien de façon préventive que curative, le sinistre étant advenu. Les procédures se substitution sont abordées comme modérateurs du risque.

2 MANAGEMENT DES RISQUES

Table des matières

1 BUSINESS IMPACT ANALYSIS...............................................................3 1.1.1 Le Business Impact Analysis........................................................................ 3 1.1.2 Lancement de l’enquête et tâches à réaliser................................................ 3 1.2 OBJECTIFS – PRINCIPES DIRECTEURS ............................................................... 5 1.2.1 Le PDMA...................................................................................................... 5 1.3 FICHE A APPROCHE DETAILLEE (CRITICITE EN FONCTION DU TEMPS).................. 7 1.4 FONCTIONNEMENT DU MODELISATEUR ............................................................. 11 1.5 EXEMPLE D’UTILISATION .................................................................................. 11 1.5.1 Modèle d’un dialogue : le cas de la pharmacie. ......................................... 11 1.5.2 Vue synthétique 3D .................................................................................... 13 1.6 COHERENCE AVEC L’ANALYSE QUANTITATIVE DU RISQUE .................................. 13 1.6.1 Description sommaire de la Méthode Aleph1 ............................................ 14 1.7 APPROCHE DIRECTE GLOBALE ........................................................................ 15 1.8 PROCEDURES DE SUBSTITUTION...................................................................... 16 1.9 APPROCHE DIRECTE GLOBALE AVEC PRISE EN COMPTE DES PROCEDURES....... 17 1.9.1 Exemple de tableau.................................................................................... 17 1.10 LA QUESTION DES CONSEQUENCES NON FINANCIERES...................................... 18 1.11 IMPOSSIBILITÉ D’UNE APPROCHE QUANTITATIVE ............................................... 19



1 BUSINESS IMPACT ANALYSIS

1.1.1 Le Business Impact Analysis En première approximation c’est analyser le fonctionnement de l'entreprise en cas de pan-ne et d’estimer les pertes consécutives à un dysfonctionnement du Système d’information. Un B.I.A. implique la mise en place d’une métrique spécifique pour mesurer les consé-quences d'un arrêt du S.I. (car toutes les conséquences ne sont pas toujours mesurables naturellement) ; dans la même veine il est nécessaire de caractériser les conséquences des pertes de données. La question de la métrique est capitale car, elle représente, dans le futur le moyen de quantifier les améliorations qui découlent de la mise en place d’un PRA. Il faut donc intégrer les questions de saisonnalité : une interruption peut être sans effet notable un milieu de mois et être catastrophique un 24 décembre (imaginez une panne du système de caisse dans une grande surface). L’approche nécessite d’analyser si des procédures "manuelles" sont encore possibles (c'est fréquemment le cas) permettant un mode de fonctionnement dégradé et établir une synthèse (souvent un moyen terme) entre toutes ces exigences pour aborder de façon rationnelle l'étape de la stratégie. Un BIA doit toujours être fait ; il peut prendre des voies très simplifiées en caractérisant l’impact d’une panne sur un système par le jeu, par exemple, de la détermination d’un niveau de gravité.

1.1.2 Lancement de l’enquête et tâches à réaliser 1.1.2.1 Lancement de l’enquête

Tâches à réaliser

Responsable

Echéance

1. Organiser une réunion de lancement avec les ac-teurs concernés

2. Présenter les objectifs et la démarche 3. Rappeler la notion de sinistre et définir le sinistre

considéré

4. Rappeler le rôle des différents acteurs

Tâc

he

s à

réa

lise

r

5. Planifier le projet – phases – étapes – entretiens – échéances


1.1.2.2 Tâches à réaliser

Tâches à réaliser Responsable Echéance

1. Contacter chaque fonction

2. Procéder aux entretiens et collecter les DMIA [RTO] et PDMA [RPO] par domaine applicatif suivant les ni-veaux et catégories définis

3. Identifier l’impact d’un arrêt (Financier, autres)

4. Identifier la criticité de la période d’arrêt

• fin de mois • de trimestre • d’année

5. Identifier les ressources informatiques associées (matérielles et logicielles, et qui peuvent appartenir à des domaines techniques différents),

• serveurs • applications • moyens généraux • documentation

6. Identifier les éventuelles procédures de substitu-tion qui permettent de fonctionner sans informatique

Tâc

he

s à

réa

lise

r

7. Identifier les procédures de rattrapage des données non récupérées dans les sauvegardes et des informa-tions non saisies pendant le fonctionnement hors in-formatique.



1.2 Objectifs – Principes Directeurs

P

rinc

ipe

s D

irec

teu

rs

1. L’expression des besoins des utilisateurs permet à partir des différents applicatifs de définir la criticité de l’environnement à secourir

2. Elle permet de faire préciser par les utilisateurs leurs besoins en matière de délai de redémarrage, (DMIA [RTO]) et perte de données (PDMA [RPO]) lorsque les ressources qu’ils utilisent deviennent indisponibles; ces besoins seront utilisés pour échelonner, dans le temps les moyens de continuité à mettre en œuvre.

3. Elle permet d’estimer, dans la mesure du possible, les impacts financiers et non-financiers d’une indisponibilité de service sur les applications.

Ces impacts permettront de justifier les moyens à mettre en œuvre : ils peuvent être directement économiques (ventes perdues, temps non travaillé, impact boursier, coût de ressaisie, etc.) ou non financiers (baisse de la qualité de ser-vice, non respect d’engagements, impacts réglementaires, dégradation de l’image, risque de perte d’un agrément, etc.).

Le questionnaire préconisé a pour vocation d’aider les utilisateurs à préciser et à formaliser leurs besoins. Les fiches sont remplies par le Consultant (ou le Chef de projet interne) après un sensibili-sation d’une heure aux principaux concepts de la continuité. La réunion de ces questionnai-res forme un document essentiel qui a vocation à être archivé et conservé dans le temps. Il doit être auditable et sert de base aux évolutions futures. L’idéal est qu’il soit contresigné par l’utilisateur. La méthode décrite infra permet de cerner précisément le DMIA (Délai maximum d’interruption admissible)

1.2.1 Le PDMA La Perte de Données Maximale Admissible est plus difficile à quantifier. On peut se servir du tableau ci-dessous :

Prin

cip

es

Dire

cte

urs

1. Le PDMA [RPO] peut être divisé en 5 catégories correspondant aux niveaux de sauvegarde nécessaires :

• Catégorie 1 – 0 • Catégorie 2 – quelques minutes • Catégorie 3 – une à deux heures • Catégorie 4 – une journée • Catégorie 5 – une semaine


Ces catégories sont directement en relation avec les moyens technologiques disponibles actuellement :

Catégorie 1 Mirroring synchrone à distance Catégorie 2 Mirroring asynchrone à distance Catégorie 3 Sauvegarde à distance périodique (toutes les heures par exemple) Catégorie 4 Sauvegarde journalière – sur planification pendant les heures creuses

Catégorie 5 Sauvegarde hebdomadaire – sur planification pendant les jours non ou-vrés



1.3 Fiche A Approche Détaillée (Criticité en fonction du temps)

L’approche est fondée sur la prise en considération des principaux facteurs temporels af-fectant une perte potentielle. Le principe sous-jacent est d’établir un profil de pertes varia-ble en tenant compte des moments où l’activité est plus sensible qu’en temps normal : heures critiques, jours critiques, etc… Les périodes critiques font l’objet d’un double paramétrage :

• Le positionnement dans le temps • Le facteur d’aggravation

Le facteur d’aggravation est le rapport entre la période critique et la période normale. Il peut prendre n’importe quelle valeur. Le positionnement dans le temps prend en considération :

• Les heures critiques • Les jours critiques dans la semaine • Les mois critiques dans l’année

Une notion de période spéciale a été incluse par le biais de la prise en considération des jours se situant 1:

• En fin de mois • En fin de trimestre • En fin d’année • En début de mois

Cette démarche s’appuie sur la fiche ANALYSE DE LA CRITICITE EN FONCTION DU TEMPS qui est une feuille de tableur. Il peut y avoir plusieurs fiches « Activités » pour une même Division. L’outil de simulation explore toutes les situations pour des sinistres aboutissant à une interruption de 6, 12, 24 et 48 heures (l’outil est adaptable à d’autres simulations) et produit des profils d’impact en tenant compte de la perte quotidienne moyenne qui est un paramè-tre du tableur. L’agglomération de plusieurs activités devient très facile ainsi que le retour sur hypothèse. Pour les données contenues dans le tableau on obtient le diagramme suivant (il s’agit d’un exemple) pour un sinistre de 6 heures :

1 Le simulateur peut facilement être adapté à d’autres configurations.


En abscisse nous avons la perte et en ordonnée la fréquence : plus les pertes sont éle-vées, plus leurs fréquences sont faibles. Pour l’exemple considéré la perte quotidienne est de 32 000. Dans une évaluation classi-que la perte pour une interruption de 6 heures serait de 8 000. On constate visuellement que, en fonction des circonstances, pour un sinistre d’une durée de 6 heures, la perte peut être égale à 17 000 soit plus de deux fois la perte attendue cal-culée à partir d’une évaluation classique. Ces diagrammes permettent de préciser en toute connaissance de cause la Durée Maximale d’Interruption Admissible [DMIA]. L’outil de simulation génère également des tables de fréquence (ce sont les données réca-pitulatives des diagrammes). Cela permet de consolider plusieurs activités aux profils dis-tincts. Il est alors aisé d’établir un diagramme de synthèse. La feuille de saisie des données figure dans la page suivante : il s’agit d’une feuille de ta-bleur Excel classique.



1.4 Fonctionnement du modélisateur

Le Modélisateur prend en entrée toutes les feuilles qui ont été remplies. Pour chaque durée de sinistre (6, 12, 24, 48 heures) il analyse toutes les possibilités de sinistres heure par heure et établit un tableau des Pertes. Ce tableau fait ensuite l’objet d’une analyse statisti-que en fréquence qui aboutit à autant de diagrammes qu’il y a de durée d’arrêt. Cette modélisation n’étant guère commode en Excel elle a été réalisée avec le logiciel de calcul MAPLE.

1.5 Exemple d’utilisation

Nous cherchons à évaluer les pertes que pourraient subir un petit centre commercial com-posé :

• D’une agence bancaire • D’une agence de voyages • D’un magasin de chocolats • D’une pharmacie fonctionnant 24 heures sur 24, 365 jours par an.

1.5.1 Modèle d’un dialogue : le cas de la pharmacie.

L’enquêteur : « Supposons que vous soyez victime d’une coupure d’électricité générale à tout le quartier. Cette coupure peut durer jusqu’à 48 heures. Combien perdez-vous par journée ? »

Le Pharmacien : C’est très simple, mon chiffre d’affaire est de 14 000 euros par jour. Si je n’ai plus d’électricité je suis obligé de fermer car je ne peux plus utiliser mon sys-tème informatique. Nous sommes plus de 10 personnes et nous avons 6 guichets ouverts simultanément aux heures de pointe.

L’enquêteur: « justement quelles sont vos heures de pointe. » Le Pharmacien : « c’est la nuit, car nous sommes les seuls à être ouverts en région pa-

risienne dans un rayon de 25 kilomètres. C’est surtout entre 23 heures et une heure du matin que nous avons des clients. »

L’enquêteur: « Si vous faites 100 euros de CA pendant une heure normale, combien faites-vous de CA pendant ces heures de nuit ? »

Le Pharmacien : « Entre deux et trois fois. » L’enquêteur: « Y a-t-il des jours plus chargés dans la semaine ? » Le Pharmacien : « Oui, le Dimanche car nous sommes ouverts alors que mes confrè-

res sont fermés. On fait à peu près deux fois le chiffre d’affaire d’une journée norma-le. »

L’enquêteur: « Y a-t-il une saisonnalité de votre activité ? » Le Pharmacien : « Oui, essentiellement les deux derniers mois de l’année et les deux

premiers mois pour des raisons dues à l’augmentation des rhumes grippes et autres bronchites qui font le bonheur de notre corporation. Approximativement on a deux fois plus d’activité en février et en novembre, mais les deux gros mois sont décem-bre et janvier. »

La fiche peut donc être remplie avec les données suivantes :


On répète ensuite le processus avec les autres magasins. On obtient les quatre diagram-mes suivants :

Vert = 6 heures, Jaune = 12 heures, Bleu = 24 heures, Rouge = 48 heures.



1.5.2 Vue synthétique 3D

Un diagramme 3D permet de rassembler les résultats. Rappelons que la perte quotidienne moyenne est de 32 000 euros. Le graphique en pre-mier plan donne un maximum de pertes de 120 000 euros pour 48 heures d’interruption. Les pointes situées à l’arrière plan décrivent les effets d’un sinistre survenant dans une configuration très négative.

1.6 Cohérence avec l’analyse quantitative du risque

L’approche par Score-Card que nous avons développée par ailleurs aboutit à une durée moyenne d’un sinistre durée déduite d’une analyse des points du tableau suivant sous les deux angles de l’exposition à un sinistre et au niveau de gravité de celui-ci. L’application de la Méthode Aleph1 (entièrement paramétrable du point de vue de sa logi-


que de calcul) qui intègre les techniques de logique floue dans le processus aboutit à deux chiffres :

1. La durée moyenne d’interruption annuelle avant mesures préventives 2. La durée moyenne d’interruption annuelle après mesures préventives

Ces deux chiffres permettent de calibrer le BIA ce qui permet de paramétrer le modélisa-teur exactement en fonction des résultats de l’analyse des risques. L’examen des chiffres donnés par le modélisateur permet de justifier les décisions prises avec une traçabilité parfaite.

1.6.1 Description sommaire de la Méthode Aleph1 Pour chaque risque général :

A - Risques Internes assurables B - Risques Internes non assurables C - Fournisseurs essentiels défaillants D - Risques induits par les moyens de transports E - Risques causes physiques naturelles F - Grèves, mouvements sociaux extérieurs G - Risques induits par des installations techniques ou des bâtiments proches H - Risques sanitaires I – Risques liés à la guerre ou au terrorisme

On évalue :

- l’exposition au risque - La gravité si le risque se réalise - l’exposition au risque après mesures préventives ainsi que la gravité en cas de ré-

alisation du risque. Les risques liés aux infrastructures sont évalués sur les thèmes suivants :

A - Accès B1 - Situation Immeuble B2 - Partage de l'immeuble B3 - Immeuble C - Surveillance D - Autres E1 - Alimentation Électricité E2 - Climatisation F - Alimentation en Eau G - Incendie H - Menaces par l'eau I - Nuisances

Des métriques paramétrables permettent d’évaluer la probabilité et la gravité potentielle des risques.



1.7 Approche Directe Globale

Direction Interlocuteur Division Interviewer

Date

Activité N° Fiche B Description :

Ressources Précision

► systèmes informatiques

► applications en ligne

► fax, numéro vert client,

► éditions particulières

► services d’un prestataire,

► messagerie,

► téléphone

► internet,

► sources de données fi-nancières

► locaux,

► autres infrastructures (pré-cisez) …

►

► principales ressour-ces utilisées par l’activité

► ► la durée maximale d’interruption admissible

(DMIA) en jours 0 ½ 1 2 3 5 +5

► la perte maximale de données acceptée en jours 0 ½ 1 2 3 5 +5

► Existe-t-il des procédures de substitution à l’arrêt des ressources de cette activité (Oui/Non)

► Existe-t-il des procédures de rattrapage lorsque des données sont perdues (Oui/Non)

► l’impact financier dû à une journée d’indisponibilité en unité monétaire

► Remarques


1.8 Procédures de substitution

Direction Interlocuteur Division Interviewer

Date

Activité N° Fiche D Description :

Question

► Cette activité dispose t-elle de procédures manuelles (dites de substitution) qui pourraient être utilisées en l’absence des systèmes informatiques?. Si la réponse est affirmative, ré-pondez aux 2 questions suivantes A et B, sinon allez à la question C

► A - Quand ces procédures ont-elles été testées pour la dernière fois?

► B - Combien cela coûterait-il pour rendre les procédures manuelles opérationnelles, puis allez à la question D ?

► C- Si aucune procédure manuelle n’existe pour cette activité, serait-il réalisable ou prati-que de les développer ? Si oui, estimez le temps qu’il faudrait pour les développer ou le nombre de personnes qu’il faudrait mobiliser.

► D - Quel impact négatif, l’interruption de cette fonction aurait-elle sur le personnel de la division dont vous êtes responsable ? (exemple : départ d’agents commerciaux, départs d’intérimaires, démissions)

► Quels services, l’interruption de cette fonction vous empêcherait-elle de fournir aux clients extérieurs ?

► Précisez quels autres facteurs pourraient être pris en considération lors de l’évaluation de l’impact de l’arrêt de cette activité (fonction)..

Que

stio

ns à

pos

er

► Autres commentaires

La prise en considération des procédures de substitution peut également faire l’objet d’une expression quantitative. Le tableau suivant décrt les conséquence d’un d’arrêt de 2 heures à 168 heures (une semaine). Le taux d’efficacité va de 100 (on peut continuer l’activité quelque temps sans SI) à 0 (au bout d’une semaine on ne peut plus rien faire). Des procédures dûment documentées permettent d’améliorer le taux d’efficacité et ainsi, de diminuer l’impact d’un sinistre. Cette approche peut être combinée aussi bien avec l’approche globale qu’avec l’approche détaillée.



1.9 Approche Directe Globale avec prise en compte des procédures

1.9.1 Exemple de tableau

APPROCHE DIRECTE GLOBALE

Les ressources indispensables à l’activité ne sont plus disponibles Durée (h) Taux Taux avec

procédures 1. L’activité peut continuer jusqu’à 2 80 100 2. L’activité peut continuer jusqu’à 6 70 90 3. L’activité peut continuer jusqu’à 12 50 65 4. L’activité peut continuer jusqu’à 24 25 35 5. L’activité peut continuer jusqu’à 48 5 10 6. L’activité peut continuer jusqu’à 168 0 5

Prenons l’exemple de la ligne 2 : L’activité peut se poursuivre pendant six heures mais on va perdre 20 % (le taux sera donc de 80 %). Avec des procédures convenables on pourrait ne perdre que 5% (le taux devient donc 95 %). Si la perte moyenne journalière se situe à 100, on obtient le diagramme suivant qui permet de faire un choix. C’est la surface entre les deux courbes rouge et verte qui présente un intérêt : cette surface est matérialisée par la courbe bleue et représente le gain cumulé). Le modélisateur procède à ces calculs automatiquement.


1.10 La question des conséquences non financières

Les conséquences d’un sinistre ne sont pas seulement financières mais peuvent prendre d’autres formes. Nous en avons relevé quatre, mais il est clair que les axes de caractérisa-tion sont très dépendants de nature de l’activité. En standard nous évaluons le :

7. Niveau de l'impact juridique et prudentiel 8. Niveau de l'impact commercial 9. Niveau de l'impact en terme d'image 10. Niveau de l'impact en terme boursier

Nous avons choisi une échelle allant de 0 à 5. La représentation est faite sous forme d’un diagramme radar dont un exemple est produit ci-après. La zone verte est représentative d’un arrêt de 24 heures, la zone rouge de 48 heures et la zone bleue de 168 heures (une semaine). Plus la surface est grande, plus l’impact est im-portant.

0 0,5 1

1,5 2

2,5 3

3,5 4

4,5 5 Jur/Prud

Commercial

Image

Boursier

N168

N48

N24



1.11 Impossibilité d’une approche quantitative

Si l’approche par la médiation PDMA [RPO], DMIA [RTO] est impossible on peut aborder le problème par une classification en niveau de gravité ; un tel exemple de classification est donné dans le tableau ci-dessous. Une fois adapté à l’entreprise et ses différentes compo-santes (filiales, succursales,…) le tableau devient un principe directeur.

Niveau de Gravité de l’Interruption

Très Grave Empêche le fonctionnement du secteur dépendant de l’application. Il n’y a aucune mesure palliative. Pertes difficiles à estimer. Effet d’image important.

Sévère

Empêche le fonctionnement du secteur dépendant de l’application. Il y a des mesures palliatives limitées dans le temps. Pertes de re-venus, défaut qualité évident pour le client final. Coûts organisa-tionnels.

Moyen Diminue l’efficacité du secteur utilisateur. Pertes probables de reve-nus mais contrôlées. Défaut qualité significatif perceptible par le client final.

Léger Diminue l’efficacité du secteur utilisateur. Pas de perte notable. Dé-faut qualité acceptable.

Dé

finiti

on

Aucune Aucun impact véritable. Perte de confort.

a. guide methodologique pour une …...de redémarrage, (dmia [rto]) et perte de données (pdma...

Documents