De nombreuses organisations s’efforcent de définir la meilleure méthode pour répondre aux attentes des entreprises en matière de reprise des technologies de l’information (TI). La norme ISO 27031 fournit des orientations aux professionnels de la continuité des activités et de la reprise des activités informatiques sur la manière de planifier la continuité et la reprise des activités informatiques dans le cadre d’un système de gestion de la continuité des activités (BCMS) plus complet. La norme aide le personnel informatique à identifier les besoins en matière de technologies de l’information et de la communication (TIC) et à mettre en œuvre des stratégies visant à réduire le risque d’interruption, ainsi qu’à reconnaître une interruption des TIC, à y répondre et à y remédier.

 

 

L’ISO 27031 introduit une approche des systèmes de gestion pour traiter les TIC en soutien d’un système plus large de gestion de la continuité des activités, tel que décrit dans l’ISO 22301. La norme ISO 27031 décrit un système de gestion pour la préparation des TIC à la continuité des activités (IRBC). Un IRBC est un système de gestion axé sur la reprise après sinistre informatique. L’IRBC utilise le même modèle Planifier-Faire-Vérifier-Agir (PDCA) que le système de gestion de la continuité des activités décrit dans la norme ISO 22301. L’objectif de l’IRBC est de mettre en œuvre des stratégies qui réduiront le risque d’interruption des services TIC, ainsi que de répondre à une interruption et d’y remédier. Les professionnels de la continuité des activités et de l’informatique trouveront l’utilisation du modèle PDCA très familière, mais avec les changements nécessaires pour soutenir la récupérabilité des TIC sur la base des exigences et des attentes de l’entreprise.

 

En tant que norme d’orientation, les organisations ne peuvent pas être certifiées ISO 27031 comme ISO 22301, mais le système de gestion suit un grand nombre des étapes que les professionnels expérimentés de la préparation ont l’habitude de mettre en œuvre dans le cadre de la planification de la continuité des activités. Le diagramme suivant présente le système de gestion IRBC détaillé dans la norme ISO 27031.

 

 

Systèmes de gestion IRBC La norme ISO 27031 utilise le même système de gestion PDCA de base que la norme ISO 22301, mais l’adapte à la nature technique de l’IRBC. Outre les changements techniques apportés au PDCA, l’ISO 27031 s’appuie également sur les conclusions de l’analyse d’impact sur l’entreprise (BIA) élaborées et approuvées dans le cadre du BCMS plus large d’une organisation. Pour l’IRBC, le système de gestion PDCA est décomposé de la manière suivante :

 

  • Planification : la phase de planification crée et met à jour la structure de gouvernance pour l’ensemble du système de gestion IRBC. Les principaux résultats de la phase de planification sont une politique IRBC qui aborde de manière adéquate la continuité des technologies de l’information et de la communication et les options stratégiques que l’organisation peut déployer pour répondre aux besoins de l’entreprise.

  • Faire : la phase  » Faire » se concentre sur la réalisation d’activités et la mise en œuvre de solutions qui permettent à l’organisation de surveiller les perturbations des services TIC, d’y répondre et de s’en remettre. Les principaux résultats de la phase Do sont la mise en œuvre de stratégies, l’élaboration de plans et l’exécution d’activités de formation et de sensibilisation visant à promouvoir la continuité des services TIC.

  • Contrôle : la phase de contrôle comprend l’examen et l’évaluation des performances du système de gestion IRBC. Les principaux résultats de la phase de contrôle comprennent un suivi continu des technologies de l’information et de la communication en ce qui concerne les perturbations et les niveaux de performance, ainsi que des examens périodiques de la réactivité et de la capacité de récupération des technologies de l’information et de la communication.

  • Act : la phase Act donne à la direction l’occasion d’examiner les performances de l’effort IRBC et de diriger la mise en œuvre de mesures correctives qui amélioreront les performances du système de gestion et/ou réduiront le risque de perturbations futures des services TIC.

 

Examinons plus en détail chaque phase.

 

PLAN De nombreuses organisations peuvent déjà exécuter certains des éléments du « Plan » de la norme ISO 27031 dans le cadre de leurs programmes de reprise après sinistre des technologies de l’information (ITDR). La norme ISO 27031 considère l’ITDR comme une composante de l’IRBC, mais en réalité, il existe très peu de différences. Dans la phase de planification, l’organisation met en œuvre une politique pour régir les processus et les exigences de l’IRBC. Cette politique établit la structure de gouvernance du système de gestion de l’IRBC. L’IRBC utilise les données du BIA de l’organisation pour traduire les exigences opérationnelles en exigences de performance des services TIC. La phase de planification se termine par la génération d’options de stratégie IRBC, qui seront mises en œuvre dans la phase de réalisation.

 

La formulation de la stratégie IRBC signifie essentiellement la création d’offres de services informatiques que le personnel des TIC inclura dans le catalogue de services ou, plus généralement, en tant qu’options à prendre en considération et à sélectionner par l’entreprise. Par exemple, une organisation disposant d’une entrée de catalogue de services pour un serveur virtuel ajoutera des entrées pour traiter la récupérabilité d’un serveur virtuel par une variété de moyens pour répondre à une gamme d’objectifs de récupération. L’organisation peut choisir de fournir deux stratégies de récupération pour la récupération d’une machine virtuelle avec des délais de récupération différents pour répondre aux exigences de l’entreprise identifiées par le biais de l’AIB. Ces deux stratégies de reprise sont ensuite incorporées dans le catalogue de services de l’organisation, soit en tant qu’entrées distinctes, soit en tant qu’entrées du catalogue de services existant.

 

Pour être efficaces, la norme ISO 27031 stipule que les stratégies IRBC décrites ci-dessus doivent intégrer six éléments pour surveiller les perturbations des technologies de l’information et de la communication, y répondre et s’en remettre. Ces six composantes sont les suivantes

 

  1. Compétences et connaissances : Les stratégies de rétablissement tiennent compte des compétences techniques spécialisées et des connaissances nécessaires pour faire fonctionner les services TIC avant, pendant et après une interruption. Les stratégies qui tiennent compte des compétences et des connaissances visent à s’assurer qu’aucun individu ne possède les compétences ou les connaissances spécialisées qui seraient nécessaires pour faire fonctionner les systèmes TIC de l’organisation.

  2. Installations : Les stratégies de reprise comprennent l’atténuation des risques liés à l’exploitation des systèmes TIC dans une seule installation. Les stratégies qui tiennent compte des installations garantissent que les systèmes TIC peuvent être exploités même si une installation principale est rendue inopérante.

  3. Technologie : Les stratégies de reprise tiennent compte des exigences techniques nécessaires pour répondre aux besoins de l’organisation en matière de reprise, en particulier l’objectif de délai de reprise (RTO) et l’objectif de point de reprise (RPO). Les stratégies qui intègrent des considérations technologiques consistent à s’assurer que le matériel et les applications peuvent être récupérés dans les délais et les données requis par l’organisation. Ces considérations doivent inclure les systèmes de support tels que l’alimentation électrique, le refroidissement, le personnel, le support des fournisseurs et la connectivité WAN.

  4. Les données : Les stratégies de récupération tiennent compte de la façon de protéger les données dont l’organisation a besoin. Les stratégies qui tiennent compte des données incluent la sécurité, la validité et la disponibilité des données requises par les utilisateurs finaux.

  5. Processus : Les stratégies de rétablissement tiennent compte de la manière de maintenir les processus nécessaires pour surveiller, exploiter et rétablir les systèmes TIC afin de répondre aux exigences de l’entreprise. Les stratégies qui prennent en compte les processus identifient les processus TIC nécessaires avant, pendant et après une perturbation des systèmes TIC.

  6. Fournisseurs : Les stratégies de rétablissement tiennent compte de la manière d’informer et d’impliquer les fournisseurs qui sont nécessaires au rétablissement et au fonctionnement des systèmes TIC. Les stratégies qui tiennent compte des fournisseurs identifient les fournisseurs qui participent au fonctionnement et au rétablissement des systèmes TIC avant, pendant et après une perturbation.

 

Chaque option de stratégie IRBC prendra en compte les six composantes et aboutira souvent à la création de niveaux pour classer les technologies de l’information et de la communication qui répondent aux besoins de l’organisation. Au cours de la phase Do, les services TIC seront affectés à un niveau, ce qui permettra de sélectionner la stratégie. Une fois que les services informatiques ont identifié les options stratégiques, la direction de l’organisation doit évaluer le niveau de risque réduit par la stratégie par rapport au coût de mise en œuvre de la stratégie. Globalement, le résultat de la phase Plan est une liste de stratégies à ajouter ou à mettre à jour dans le catalogue de services, qui permet à l’organisation de sélectionner le niveau approprié de récupérabilité.

 

DO La phase Do du système de gestion IRBC comprend la mise en œuvre des stratégies identifiées dans la phase Plan, la rédaction de plans de reprise pour les services TIC et l’exécution d’activités de formation et de sensibilisation pour s’assurer que le personnel impliqué dans le programme IRBC est qualifié et informé. Le programme IRBC met en œuvre les stratégies appropriées identifiées dans la phase de planification afin d’améliorer l’état de préparation aux TIC pour les services de technologies de l’information et de la communication dans le champ d’application.

 

Les stratégies qui réduisent le risque de perturbation n’éliminent pas totalement la possibilité d’une perturbation des technologies de l’information et de la communication. Le personnel informatique met en œuvre des stratégies et élabore des plans pour surmonter le risque résiduel lorsque les incidents perturbateurs deviennent réalité. La documentation du plan d’intervention et de reprise est nécessaire pour s’assurer que le personnel comprend les activités nécessaires pour répondre aux attentes de l’entreprise. La norme ISO 27031 reprend un grand nombre de considérations utilisées dans la norme ISO 22301, notamment l’objectif et le champ d’application du plan, la définition des rôles et des responsabilités, le personnel de remplacement, les critères d’invocation du plan et les coordonnées des personnes à contacter.

 

La dernière partie de la phase Do consiste à mener des activités de formation et de sensibilisation pour s’assurer que le personnel impliqué dans le système de gestion IRBC (y compris les personnes jouant un rôle dans les plans d’intervention et de reprise) est conscient de ses responsabilités avant, pendant et après une perturbation.

 

CONTRÔLE La phase de contrôle du système de gestion IRBC comprend les activités typiques associées à la phase de contrôle du système BCM, y compris l’examen de la gestion, les tests et les exercices. La phase de contrôle ajoute également des activités continues qui surveillent les perturbations des services TIC et mesurent les performances liées à l’état de préparation des TIC.

 

ACT La phase Act comprend l’examen de la gestion du programme IRBC, y compris la performance du programme, la performance de l’état de préparation aux TIC et l’allocation des ressources. En plus de l’examen de la gestion, le programme IRBC met en œuvre des mesures correctives qui ont été identifiées au cours d’autres phases du système de gestion. L’objectif des mesures correctives est d’ancrer une culture d’amélioration continue dans l’organisation et d’engager la direction à donner la priorité à l’amélioration continue.

 

Qu’en est-il si l’organisation n’a pas encore mis en place un programme de gestion de la continuité des activités ? Il est souvent demandé aux professionnels de l’informatique de mettre en œuvre des mesures d’atténuation, de réponse et de récupération avant la mise en place d’un programme plus large de gestion de la continuité des activités. Dans ce cas, l’organisation n’a pas effectué d’analyse holistique de l’impact sur les activités afin d’identifier les besoins des applications et du matériel. Certaines organisations informatiques utilisent leur intuition et leurs expériences passées pour définir les exigences en matière de réponse et de récupération des TIC, telles que le RTO et le RPO. Cependant, le recours à l’intuition et aux expériences passées conduit souvent à des écarts entre les attentes des entreprises en matière de récupération des technologies de l’information et de la communication et la capacité réelle de récupération. Un moyen simple de définir des exigences de reprise pour les services TIC est d’envisager de mener une analyse d’impact des applications (AIA) plus ciblée qui se concentre sur les utilisations des services TIC et mesure l’impact sur l’organisation d’une perturbation basée sur un service ou un groupe de services connexes.

 

Une EAI efficace permet d’identifier

 

  • Les parties prenantes (y compris les utilisateurs) des technologies de l’information et de la communication ;

  • l’impact (quantitatif et qualitatif) d’une perturbation des TIC au fil du temps ; et

  • Les solutions de contournement manuelles que les utilisateurs peuvent mettre en œuvre pendant une perturbation.

 

Le programme IRBC décrit dans la norme ISO 27031 aide les professionnels de l’informatique et de la continuité des activités, ainsi que les commanditaires du programme, à maintenir une résilience efficace des TIC. En mettant en œuvre un système de gestion IRBC, les professionnels de l’informatique et de la continuité des activités aident leur organisation à surveiller les perturbations des TIC, à y répondre et à s’en remettre. La norme ISO 27031 applique et adapte les concepts de gestion de la continuité des activités décrits dans la norme ISO 22301 pour aider à réduire le risque de perturbation des technologies de l’information et de la communication, ainsi que de l’entreprise dans son ensemble.