Planification de la reprise après sinistre à l’ère du cloud : maintenance et amélioration continue

Dernières étapes de la planification de la reprise après sinistre

Les dernières étapes du processus de planification de la reprise après sinistre des TI sont les suivantes :

• Établissez un processus pour maintenir à jour les plans informatiques et toutes les activités informatiques associées.
• Des plans d’audit et d’examen pour s’assurer qu’ils sont toujours adaptés à leur objectif et conformes aux normes et aux contrôles de gestion applicables.
• Établir un processus d’amélioration continue de l’ensemble du programme de reprise après sinistre informatique.

L’utilisation des technologies cloud rend ces dernières étapes tout aussi importantes que celles mentionnées dans les articles précédents, car les services cloud sont largement utilisés pour les systèmes informatiques de production ainsi que pour les stratégies et la planification de la reprise après sinistre.

Normes référencées dans la planification de la reprise après sinistre

Chaque article de la série a fait référence à une norme internationale importante – le ISO/IEC 27031:2011, Technologies de l’information – Techniques de sécurité – Lignes directrices pour la préparation des technologies de l’information et de la communication à la continuité des activités. Ceci est considéré comme la norme mondiale pour la reprise après sinistre informatique applicable aux utilisateurs.

Une autre norme ISO, ISO/IEC 24762:2008, traite de la reprise après sinistre informatique du point de vue du fournisseur de services et doit être soigneusement examinée lors de l’examen des services cloud. Les deux normes peuvent aider à élaborer et à mettre en œuvre des programmes de RD.

L’article 8 (Surveiller et examiner) et 9 (Amélioration de l’IRBC) dans l’ISO 27031 traitent des problèmes décrits dans cet article. Parmi les points clés, citons les suivants:

• La haute direction doit participer activement au processus de TI/reprise après sinistre.
• Des tests et des exercices devraient être effectués pour s’assurer que les plans sont à jour et adaptés à l’objectif visé.
• Les plans et programmes devraient être régulièrement revus et mis à jour, en particulier à l’issue d’un exercice.
• Les infrastructures d’exploitation informatique doivent être surveillées pour détecter toute menace possible.
• Les plans et programmes devraient être examinés par des auditeurs internes (ou des auditeurs externes si nécessaire) pour s’assurer qu’ils sont conformes aux normes et réglementations appropriées.
• L’état de préparation de l’organisation à d’éventuelles interruptions informatiques doit être régulièrement surveillé et évalué.
• Dans le cadre du processus d’examen, les activités d’amélioration continue garantissent que les initiatives de reprise après sinistre des TI fonctionneront comme il se doit.

Maintenance, audit et amélioration continue du processus de planification de la reprise après sinistre

Les articles précédents de cette série décrivaient comment les stratégies et procédures de reprise après sinistre aident les organisations à protéger leurs investissements dans les systèmes informatiques et les infrastructures d’exploitation. La mission principale de la reprise après sinistre est de ramener les opérations informatiques à un niveau de performance acceptable le plus rapidement possible après un événement perturbateur.

L’utilisation de services cloud peut considérablement améliorer la capacité d’une organisation à survivre à une perturbation des opérations informatiques en sauvegardant les applications et les données critiques, en protégeant la connectivité réseau essentielle à l’aide de ressources de sécurité améliorées et en participant activement aux tests et exercices de reprise après sinistre.

Avant d’investir dans des solutions cloud, cependant, il est essentiel d’effectuer une diligence raisonnable approfondie, non seulement sur le ou les fournisseurs de cloud potentiels, mais aussi sur les services qu’ils offrent et leurs politiques concernant les activités de support client DR, telles que la participation à des tests DR.

La figure 1 illustre le cycle de vie de la reprise après sinistre informatique et est adaptée de la norme ISO 27031. Il montre où la maintenance et l’audit s’inscrivent dans le cycle de vie global de la reprise après sinistre informatique. Idéalement, l’amélioration continue se produit à tous les stades du cycle de vie de la planification de la reprise après sinistre et peut être mise en œuvre grâce à une gestion efficace des programmes et à des examens et évaluations périodiques des programmes.

Les activités présentées à la figure 1 doivent être adaptées aux technologies et services cloud lorsqu’elles sont mises en œuvre dans une organisation. La principale différence est que les services cloud sont situés ailleurs et ne peuvent pas être gérés activement par les utilisateurs. L’utilisation réussie des technologies cloud dépend des fournisseurs et de la façon dont les utilisateurs travaillent avec eux.

Création d’un centre de maintenance IT DRn

Lors de l’élaboration d’un plan de maintenance de la reprise après sinistre technologique, assurez-vous d’obtenir l’examen et l’approbation de la haute direction. Il peut également être approprié d’inviter les fournisseurs de services cloud à participer aux activités de maintenance, s’ils fournissent ce niveau de support.

Les principales activités pour une maintenance réussie du plan de reprise après sinistre comprennent les listes de contrôle suivantes.

Établir un calendrier continu d’entretien des activités. Inclure des mises à jour pour :

• Évaluations des risques (AR) existantes.
• Analyses d’impact sur l’entreprise (ZAC) – et mises à jour des ZAC existantes.
• Planifiez les examens.
• Planifiez des exercices.
• Listes de contacts.
• Planifier des activités de formation et de sensibilisation.

Les programmes de maintenance peuvent être lancés à l’aide d’une feuille de calcul avec les en-têtes illustrés à la figure 2.

Les tâches de maintenance dr. doivent inclure la nécessité de :

• Coordonner les activités de maintenance de la reprise après sinistre avec les activités informatiques existantes telles que la gestion des changements, la maintenance matérielle et logicielle et les opérations du service d’assistance. Coordonnez-vous avec les fournisseurs de cloud si possible.
• Documentez toutes les actions de maintenance, y compris la date et l’heure auxquelles la maintenance a été effectuée, le résumé des activités de maintenance, les activités de service cloud et les approbations si nécessaire.
• Tirez parti des ressources internes existantes, telles qu’un intranet d’entreprise, pour fournir un référentiel sécurisé pour les activités de maintenance. Coordonner ces activités avec les fournisseurs de cloud.
• Générer des rapports de maintenance périodiques – trimestriels, par exemple – à la direction, en soulignant l’état des activités de maintenance et les problèmes qui doivent être résolus.

Élaboration d’un plan d’audit TI/reprise après sinistre

Des audits périodiques des plans de reprise après sinistre informatique, que ce soit par un service d’audit interne ou un cabinet d’audit externe, permettent de s’assurer qu’ils continuent d’être adaptés à leur objectif et conformes aux normes de l’industrie et aux politiques informatiques de l’entreprise. Tenez compte des conseils suivants pour ce processus :

• Préparez un plan d’audit pour la reprise après sinistre informatique en définissant et en documentant les critères d’audit, la portée, la méthode et la fréquence (un audit annuel, par exemple).
• S’assurer que seuls des auditeurs qualifiés sont nommés pour l’audit. Vérifiez que les cabinets d’audit possèdent une expertise en matière de continuité des activités, de reprise après sinistre et de services cloud.
• Sélectionner et engager des auditeurs et effectuer l’audit pour assurer l’objectivité et la partialité pendant le processus d’audit.
• Établir un processus pour s’assurer que les lacunes relevées dans un audit sont corrigées dans un délai convenu.
• Assurez-vous que les audits s’adressent aux organisations internes et externes (par exemple, auditer les fournisseurs de services cloud pour s’assurer que leurs capacités prennent en charge les stratégies et les plans de reprise après sinistre informatique de l’organisation). Vérifiez à l’avance auprès des fournisseurs de cloud leur politique concernant la participation aux audits des utilisateurs.
• Effectuez un audit lorsque des modifications importantes sont apportées aux services de reprise après sinistre informatique critiques, aux services basés sur le cloud, à la continuité des activités et/ou aux exigences de reprise après sinistre.
• Documentez les résultats de l’audit et signalez-les à la haute direction, qui devrait examiner les résultats et appuyer les mesures correctives de suivi.
• ISO 27031 peut aider à se préparer à un audit car elle identifie les problèmes d’audit pertinents.

Bâtir une capacité d’amélioration continue

Une fois le programme de reprise après sinistre informatique terminé, vous pouvez lancer un processus continu d’amélioration continue. Assurez-vous que les activités de cette partie du processus se coordonnent avec les fournisseurs de cloud et leurs offres de services.

Cette étape est liée aux activités de maintenance et d’audit discutées précédemment et tire parti des résultats des deux.

Assurez-vous d’obtenir l’autorisation de la haute direction lors de l’organisation d’un programme d’amélioration continue.

Améliorer continuellement les activités de reprise après sinistre et de continuité des activités en surveillant l’ensemble du programme et en appliquant des mesures préventives et correctives, telles que des examens périodiques de la performance du programme.

Tenez-vous au courant de tout changement dans l’entreprise, tel qu’une fusion ou une acquisition ou des changements dans les offres de services des fournisseurs de cloud, et assurez-vous que ces changements sont intégrés dans les plans de reprise après sinistre et les programmes de soutien. Il est essentiel que le programme de RD reflète fidèlement l’état actuel de l’organisation et de ses opérations.

Résumé

Cet article a expliqué comment établir des activités de maintenance, d’audit et d’amélioration continue pour s’assurer que les programmes de reprise après sinistre informatique et les plans associés sont maintenus à jour, que leurs activités sont conformes aux bonnes pratiques de reprise après sinistre ainsi qu’aux normes applicables, que le plan est correctement aligné sur les objectifs et les stratégies de l’organisation et que le programme est continuellement surveillé et évalué pour amélioration.