ETUDE ET MISE EN OEUVRE D'UN PLAN DE REPRISE D'ACTIVITE

DANS UN ENVIRONNEMENT DE STOCKAGE

(Cas du CDI/Lubumbashi)

Par GOY KABAMBA Daniel

Option : Réseaux et Télécommunications

Travail présenté et défendu en vue d'obtention du Grade d'Ingénieur en Sciences informatiques

JUILLET 2017

REPUBLIQUE DEMOCRATIQUE DU CONGO
UNIVERSITE LIBERTE

FACULTE DES SCIENCES INFORMATIQUES

ETUDE ET MISE EN OEUVRE D'UN PLAN DE REPRISE D'ACTIVITE

DANS UN ENVIRONNEMENT DE STOCKAGE

(Cas du CDI/Lubumbashi)

Par GOY KABAMBA Daniel

Dirigé par Prof. Blaise FYAMA Codirigé par Ass. Yannick KAMWANJI

Année Académique 2016-2017

REPUBLIQUE DEMOCRATIQUE DU CONGO
UNIVERSITE LIBERTE

FACULTE DES SCIENCES INFORMATIQUES

I | P a g e

EPIGRAPHE

« Le pilote calme et tranquille peut souvent prévenir le naufrage. La véritable valeur n'est autre que la prudence.

Euripide

II | P a g e

DEDICACE

A mon père XABAMBA N'jila-Panda et ma mère XAMWANYA GOY

Mamie ainsi qu'à toute ma famille.

A tous ceux qui de loin comme de près pour toute pierre apportée pour la composition de ce travail.

Daniel GOY KABAMBA

III | Page

AVANT PROPOS

Au seuil de ce modeste oeuvre, qu'il nous soit permis d'exprimer notre gratitude à tous ceux qui de près ou de loin ont contribué à son élaboration.

Nos sincères remerciements à l'Eternel, lui qui nous a donné le souffle de vie pour que ce travail s'accomplisse en pleine bonté.

Le présent travail de fin de cycle est le fruit synthétique d'une oeuvre de formation et d'éducation subies au cours de notre cycle universitaire durant les cinq dernières années. Nos sincères remerciements.

A cet effet, notre profonde gratitude va à l'endroit du Professeur Blaise FYAMA, directeur du présent travail pour sa disponibilité et la synergie de travail avec lesquelles nous avons eu à évoluer tout au long de la rédaction. Ses remarques et suggestions nous ont été d'une utilité vitale.

Exprimons nos sentiments de gratitude à l'égard de l'Ingénieur Yannick XAMWANJI MUSENGA co-directeur de ce travail. Son savoir-faire sa bravoure, sa détermination et sa disponibilité pour mener à bien cette étude, ont servi de socle dans la réalisation de cette oeuvre.

Que tous le corps professoral académique de l'Université Liberté UL en sigle, trouve au travers de ces lignes l'expression de sentiments de satisfaction et de gratitude.

A mes frères et soeurs, Deborah Odia, Crioni Xabamba, Jonathan Xabeya, Michaél Busangu, Miriam Xamwanya, Aaron Mutombo pour les sacrifices fraternels consentis. Nous ne pouvons pas outrepasser sans exprimer notre reconnaissance à la famille XILIMA et la famille BUSANGU pour leurs soutiens, encouragements et persévérance témoigné pour nous et qui nous ont servi de modèle dans la vie quotidienne.

Que tous les collègues et compagnons de lutte, David Xapend, JC Bope, Dieumerci Mahusa, Prince Makasa, Deda Light, Pamela Tabita, Sarah Namwan, Mechack Mpoyi, Beldony Tribunal, Aaron Mbayo, Brel Xisimba, Dally Daniel, etc... se sentent concernés au travers de ces lignes.

Aux membres du groupe Xnet que nous ne saurons nommer en entièreté, nous citons Jeff Muanaut, Tony Ngoy, Patrick Xanyinda, Michée Muamba, Gloire Makolo, Clémence, Selua, Arnauld et Annie Mankand.

Daniel GOY KABAMBA

LISTE DES ABREVIATIONS

1. NTIC : Nouvelle Technologie de l'Information et de Communication

2. CDI : Centre Des Impôts

3. PRA : Plan de Reprise d'Activité

4. DRP : Disaster Recovery Plan

5. PRA : Plan de Reprise d'Activité

6. SI : Système d'Information

7. PCA : Plan de Continuité d'Activité

8. PCO : Plan de Continuité des Opérations

9. PCC : Plan de

Communication de Crise

10. PRII : Plan de Réponse aux Incidents Informatiques

11. PIU : Plan d'Intervention d'Urgence

12. RTO : Return Time on Objective

13. RPO : Recovery Point Objective

14. CID : Confidentialité, Intégrité et Disponibilité

15. RAID : Redundant Array of Inexpensive Disks

16. CLUSIF : CLUB de la Sécurité Informatique Français

17. 2PC : Two-Phase-Commit

18. EBIOS : Expression de Besoins et Identification des Objectives de Sécurité

19. DPI : Direction Provinciale des Impôts

20. DGI : Direction Générale des Impôts

21. DGE : Direction des Grandes Entreprises

22. CSI : Centre des Impôts Synthétiques

23. UTP : Unshielded Twisted Pair

24. IP : Internet Protocol

25. AMR : Avis de Mise en Recouvrement

26. CTRS : Centre de Traitement du Recouvrement et de Saisie

27. MEP : Mise en Demeure de Payer

IV | P a g e

28. ATD : Avis à Tiers Détenteur

29. I/F : Information/Fonction

30. ISO : International Standard Organization

31. CMDB : Configuration de Management DataBase

32. VPN : Virtual Private Network

33. SSH : Secure Shell

34. WAN : Wide Area Network

35. FAI : fournisseur d'Accès Internet

36. ATM : Asynchronous Transfer Mode

37. MPLS : MultiProtocol Label Switching

38. UIT : Union Internation de Télécommunication

39. DFS : Distributed File System

40. R-DFS : Réplication DFS

41. AD : Active Directory

42. RDC : Remote Differential Compression

V | P a g e

VI | P a g e

LISTE DE FIGURES

Figure 1. Réplication symétrique 15

Figure 2. Réplication symétrique de deux DB 16

Figure 3. Réplication asynchrone symétrique 17

Figure 4. Réplication asynchrone asymétrique 18

Figure 5. Architecture de simulation 59

Figure 6. Progression d'installation Réplication DFS et Espace de nom 60

Figure 7. Type de groupe de réplication 60

Figure 8. Nommage de domaine de réplication 61

Figure 9. Ajout de membres du groupe de réplication 61

Figure 10. Sélection de topologie 62

Figure 11. Planification de réplication 62

Figure 12. Choix du membre principal 63

Figure 13. Ajout de dossier à répliquer 63

Figure 14. Chemin d'accès au dossier de destination 64

VII | P a g e

LISTE DE TABLEAUX

Tableau 1 les plans existants 7

Tableau 2. Relation Fonction/Entités et Informations/Entité 28

Tableau 3. Les sources de risques 32

Tableau 4. Fiches d'expressions des besoins en termes de sécurité 36

Tableau 5. Synthèse de besoin de sécurité 38

Tableau 6. Les menaces génériques 39

Tableau 7. Vulnérabilités spécifiques 42

Tableau 8. Les risques spécifiques 43

Tableau 9. Confrontation des risques aux besoins 47

Tableau 10. Les mesures de sécurité retenues 53

Tableau 11. Plan de nommage 59

Tableau 12. Quantification de données 64

Tableau 13. Evaluation de coût 65

Tableau 14. Vulnérabilités spécifiques (Suite du tableau 7) 69

1 | P age

0. INTRODUCTION GENERALE

0.1. Présentation du sujet

De nos jours, l'informatique est devenue une science qui lorgne tous les domaines de la vie active. Grace au progrès informatique, il est logique que nous puissions avoir une autre vision de gestion dans tous les domaines de l'activité humaine (gestion du personnel, partage d'information, sécurité de l'information, etc.).

Nous parlons des nouvelles technologies de l'information de la communication (NTIC en sigle), avec l'informatique qui devient de plus en plus un instrument incontournable. L'informatique s'impose plus que jamais, comme un outil cher utilisé par toute entreprise qui veut augmenter sa productivité et continuer d'être compétitive sur le niveau national ou international.

La croissance des volumes de données structurées et non structurées est d'ores et déjà un enjeu majeur pour les entreprises. C'est un phénomène que l'on associe au Big Data. Les technologies de stockage, le mode d'accès et la localisation géographique présentent une plus grande diversité de solutions (centralisées, locales, sur Internet).

Cependant, les entreprises sont exposées à des menaces qui ne deviennent un risque que lorsque leurs processus sont visés. Pour autant, avoir une vision claire de l'interférence entre les menaces et les processus critiques de l'entreprise ne va pas de soi. Pour avancer, toute organisation doit donc mener des actions visant à prendre conscience de son environnement et à comprendre son propre fonctionnement. Ce n'est qu'à cette condition qu'elle aura en main les paramètres lui permettant de maîtriser sa reprise.

En effet, la mise en place d'un PRA (Plan de Reprise d'Activité) permet aux organisations de s'assurer qu'en cas de sinistre, incendie ou un accident quelconque ; le système d'information de l'entreprise peut rapidement redémarrer ses activités tout en limitant la perte de données. Dans ce domaine, quelques éléments de bonne pratique s'imposent, à commencer par la réalisation de tests réguliers.

Surtout, il est désormais possible de mettre en oeuvre un PRA quelle que soit la structure et la taille de l'entreprise. Raison pour laquelle, nous initions la présente étude dont la thématique porte sur « Etude et mise en oeuvre d'un plan de reprise d'activité dans un environnement de stockage » dans le but d'élucider les questions autour de la reprise d'activité dans un espace de stockage.

2 | P age

0.2. Choix et intérêt du sujet 0.2.1. Choix du sujet

Il est évident que le choix d'un sujet suppose toujours un intérêt quelconque de la part de son auteur. Le choix de notre sujet a été motivé par la soif que nous avions de travailler sur un sujet convenant avec la formation que nous avons reçue.

L'objectif de notre travail est de permettre au Centre des Impôts de Lubumbashi d'avoir une infrastructure de stockage hautement disponible. En cas de sinistre informatique ou un accident quelconque ; l'entreprise peut sans inquiétude remonter ces données qui ont été répliquées dans un site distant.

0.2.2. Intérêt du sujet

L'intérêt qui découle de ce présent travail est double : d'un côté pour les entreprises : ce travail constituera un support dans la conduite et la réalisation des projets autour de la réplication d'un environnement de stockage à un site géographiquement éloigné ; d'autre part : il pourra de même intéresser les informaticiens en général et tout chercheur en particulier qui s'appuieront sur notre étude afin de mener d'autres projets de recherche sur la réplication de données et à grande partie de l'ensemble de plan de reprise d'activité dans une entreprise.

0.3. Problématique

L'information est considérée comme un bien vital pour le développement de l'activité d'une entreprise, voire pour la croissance de l'économie d'un pays. Alors, reposer le système d'information de l'entreprise sur un système numérique suscite de nombreuses préoccupations.

La perte de données dans cette régie financière peut mettre en péril l'entreprise toute entière ; Pour conserver ses données aussi longtemps que possible et prévenir une catastrophe informatique ou toute forme d'incident, le Centre des impôts fait recours à un système de sauvegarde dans différents supports amovibles que dispose l'entreprise. Cela a comme inconvénients :

? La perte de temps pour retrouver le support concerné à la mise à jour de ses données ;

? L'encombrement des supports dans la salle ;

? Parfois, manque de précision lors de l'enregistrement ;

? Pas de discrétion pour le personnel chargé de déplacer les supports lors d'une mise à jour d'information ;

3 | P a g e

? Un même enregistrement peut être retrouvé plusieurs fois, donc il y a consommation d'espace disque pour la même entrée.

Cette situation devient de plus en plus préoccupante du fait de la montée de nombre de contribuables à gérer, du nombre de fois qu'il faut faire des mises à jour et la sollicitation d'un même support par plusieurs personnes simultanément.

Notre préoccupation ainsi contenue dans les grandes lignes précédentes ; le centre des impôts du Haut Katanga se trouve confronté à une véritable problématique dont la quintessence peut se formuler autour de questions suivantes :

? Quel moyen d'optimisation appliquer pour satisfaire aux exigences des managers tout en assurant une flexibilité de l'ensemble de l'entreprise en améliorant l'agencement, la structuration et l'exploitation de ces outils informatiques ?

? Quelle politique devrions-nous adopter pour arriver à une mise en place effective de cette nouvelle solution ?

0.4. Hypothèses

L'hypothèse d'une oeuvre est une proposition des réponses aux questions que l'on se pose à propos de l'objet de la recherche formulée en termes tels que l'observation et l'analyse puissent fournir une réponse ; elle n'est rien d'autre que le fil conducteur pour un chercheur engagé dans une recherche.

Au regard de toutes les questions ci-haut qui constituent l'essentiel de notre problématique, il apparaît donc claire que le Centre des Impôts devrait songer de remettre à niveau son infrastructure informatique en adoptant l'approche du plan de reprise d'activité pour améliorer sa flexibilité, son efficacité et sa performance. La réplication de données est l'une des solutions que nous pensons au cours de cette étude, être au coeur de cette modernisation.

Nous pensons qu'en vue de nouvelles perspectives pour la reprise d'activité de l'environnement de stockage, la mise en oeuvre d'un plan de reprise d'activité apporterait l'accès en continu aux données grâce à des noeuds redondant, la suppression des interruptions planifiées ou imprévues grâce à la réplication de système de fichiers distribué (DFS-R) dont sa puissance réside dans ses différentes caractéristiques techniques que nous avons pu exploités dans la suite de notre travail pour la réalisation de ce dernier.

4 | P a g e

DFSR permet de répliquer des dossiers de manière efficace (y compris les dossiers désignés par un chemin d'accès à un espace de noms DFS). Parmi les caractéristiques techniques de DFSR nous pouvons énumérer :

? La restauration facile du site central ; ? Consolidation de la reprise d'activité ;

? Utilisation de l'algorithme RDC (compression différentielle à distance) ;

? Elimination des interruptions liées au stockage.

0.5. Méthodes et techniques 0.5.1. Méthodes utilisées

V' EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : EBIOS est une méthode d'analyse des risques en sécurité de système d'information (SSI), elle permet d'apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l'organisation et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques [1]. Cette méthode permet d'analyser les risques en cinq étapes qui sont :

o Etude du contexte ;

o Expression des besoins de sécurité ;

o Etude de menaces ;

o Analyse des risques ;

o Etude des mesures de sécurité.

0.5.2. Techniques utilisées

V' Technique d'administration réseau : cette technique permet à l'administrateur réseau d'assurer la gestion efficace d'un réseau c'est-à-dire, elle permet à un administrateur réseau de pouvoir planifier et de définir un plan de sécurité, en fin de garantir la confidentialité, l'intégrité et la disponibilité d'un réseau.

5 | P a g e

0.6. Délimitation du sujet 0.6.1. Dans le temps

La délimitation temporelle a pour objectif la circonscription des faits dans le temps, en vue de préciser avec exactitude la période de phénomène examiné. Ce travail a été rédigé au cours de l'année académique 2016-2017.

0.6.2. Dans l'espace

Dans le but de rendre possible et concrète notre étude, nous avons délimité spatialement notre travail à la régie financière CDI/Lubumbashi, sise sur l'avenue KAPENDA ; notre solution va s'appliquer précisément dans la cellule de recouvrement.

0.7. Présentation sommaire du travail

À l'exception de l'introduction et de la conclusion générale respectivement qui inaugure et achève le présent travail, notre travail de fin d'étude s'est articulé autour de quatre chapitres.

Chapitre un nommé « ETAT DE L'ART SUR PLAN DE REPRISE D'ACTIVITE ». Il définit compendieusement les concepts des bases et les notions sur le plan de reprise d'activité contenus dans ce sujet, ainsi que quelques techniques et tactiques nécessaires à la reprise d'activité dans un environnement de stockage.

Le chapitre deuxième, intitulé « PRESENTATION DU CENTRE D' IMPOTS ». Quant à ce chapitre nous présentons notre cadre d'étude, à savoir la CDI, nous décrivons son objet social en passant par l'historique et enfin nous présentons son infrastructure réseau. Ce chapitre nous aidera à faire ressortir tous les aspects nécessaires à la compréhension de notre étude ainsi que le critique aussi bien de l'existant que de ses besoins.

Le troisième chapitre concentré sur la gestion de risque ainsi que l'application de la méthode, les méthodes et quelques techniques qui peuvent être mise en place dans une entreprise ; ce chapitre est simplement intitulé « GESTION DE RISQUES ».

Enfin, le chapitre qui clôture notre travail dénommé « DEPLOIEMENT DE LA REPLICATION DFS ». Dans ce chapitre, nous essayerons d'implémenter notre solution. Il présentera le choix de la plateforme, certaines captures commentées de la configuration et le test de la solution retenue.

6 | P a g e

CHAPITRE I. ETAT DE L'ART DU PLAN DE REPRISE D'ACTIVITE

Dans ce chapitre, nous allons présenter les généralités sur le plan de reprise d'activité, quelques solutions à envisager ainsi que certaines méthodes en rapport avec notre travail, en vue d'avoir les idées apparentes sur ce que nous allons développer.

I.1. NOTIONS GENERALES SUR LE PLAN DE REPRISE D'ACTIVITE I.1.1. Définition des concepts de bases et connexes

? Plan de reprise d'activité PRA

L'élaboration d'un plan de reprise d'activité informatique est une opération complexe par le nombre de situations à envisager (sinistre de locaux, panne de matériel, erreurs, malveillance, etc.) et par le nombre et la difficulté des tâches à réaliser pour rétablir une situation acceptable pour l'entreprise. Cette opération est toujours longue à mettre en place et suppose une charge de travail importante des équipes concernées. Les exigences de reprise des activités ou de service sont de plus en plus fortes et conduisent à des solutions coûteuses. Ainsi, convient-il de définir une stratégie de reprise adapté aux enjeux et aux contraintes de l'entreprise.

Selon l'encyclopédie Wikipédia, le plan de reprise d'activité (Disaster Recovery Plan ou DRP en anglais) permet d'assurer, en cas de crise majeure ou importante d'un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l'activité d'une organisation. [2]

Ce système de reprise d'activité doit permettre, en cas d'un accident donné ou d'un sinistre, de basculer sur un système de relève capable de prendre en charge les besoins informatiques nécessaires à la survie de l'entreprise.

? Plan de continuité d'activité PCA

Le plan de continuité prend en charge toutes les mesures qui permettent d'assurer la continuité des activités. Ce qui inclut la reprise d'activité, le PRA fait donc partie intégrante du PCA.

7 | P a g e

Les plans existants

Tableau 1 les plans existants

Les entreprises ne peuvent pas toujours détourner les catastrophes, mais avec une prévision prudente, les effets d'un sinistre ou incident exprès ou pas ou encore d'un désastre peuvent être atténués.

8 | P a g e

Le plan de reprise d'activité a comme rôle de permettre aux entreprises petite ou grande soient elles, une reprise d'activité la plus rapide possible. Il convient aux entreprises pouvant se permettre de courtes pannes de leur système d'information.

Nous pouvons affirmer qu'un PRA minimise les temps morts et la perte de données dans une entreprise. L'objectif premier d'un PRA est de protéger l'organisation dans l'éventualité qu'une partie ou la totalité de ses opérations et services informatiques soit inutilisables. Il diminue la perturbation des opérations et assure un certain niveau de stabilité organisationnelle et le rétablissement de ces données sera prioritaire après le désastre.

Avant toute chose, il est impératif d'évaluer les risques susceptibles d'affecter l'infrastructure du réseau et les machines qui le composent, qu'il s'agisse d'une panne d'un des équipements, d'une panne électrique, d'une erreur humaine, d'un disfonctionnement d'un logiciel ou d'un sinistre comme une inondation ou un désastre informatique ou toute forme d'incendie qui peuvent survenir. Dès lors, les mesures visant à rétablir les services le plus rapidement possible peuvent être prises, tout en ayant fixé un délai maximal d'interruption.

Dans un second temps, il faut évaluer la tolérance à la panne et faire en sorte d'éviter dans la mesure du possible des pannes potentielles d'où l'intérêt d'avoir de la redondance, permettant de retrouver les données concernées dans leur intégralité.

Dans un troisième lieu, le système d'information doit pouvoir faire des sauvegardes, qu'elles soient en temps réel ou en différé, en fonction des besoins et de l'importance des données. Bien entendu, il est indispensable d'évaluer le taux de perte de données maximale admissible, ce qui suppose d'évaluer le type de données générées par l'entité et éventuellement les classer afin de prioriser leur sauvegarde.

I.1.2. Principe de plan de reprise d'activité

Pour permettre la reprise après sinistre, des serveurs, périphériques de stockage et périphérique réseau identique à ceux installés sur le site principal sont installés sur un site secondaire, appelé site de reprise. Réplication en continu (dans le cadre de la réplication synchrone) des informations de ce site principal vers le site de reprise est ensuite assurée par un outil de réplication. En cas de défaillance ou panne intervenant sur le site principal, les applications sont redémarrées sur le site de reprise à l'aide des toutes dernières informations disponibles.

La formalisation du plan de reprise consiste à décrire clairement les processus à mettre en place sur le site de repli, ainsi que les profils humains et les moyens techniques nécessaires pour les supporter. Afin d'assurer la transition vers la nouvelle organisation, des processus de

9 | P a g e

gestion de crise sont également définis. Une bonne gestion de crise réduira l'impact sur les métiers, en particulier sur les aspects de coordination et de communication. Un plan de reprise d'activité se constitue de deux notions phares : la prévention et la reprise.

a. Les mesures préventives

Consiste à mettre l'entreprise à l'abri de désagréments et risques liés à une interruption du Système d'Information. Ces mesures permettent de réduire la probabilité d'occurrence d'un incident susceptible d'interrompre les services fournis aux métiers par le SI. Il existe plusieurs mesures préventives pouvant être mise en oeuvre telle que :

V' La sauvegarde en ligne

La sauvegarde en ligne consiste à stocker systématiquement l'infrastructure ou les données sur un espace hébergé, en dehors de l'entreprise. Il est important de ne pas stocker ces copies de sauvegarde à côté du matériel informatique, voire dans la même pièce car elles disparaitront en même temps que les données à sauvegarder en cas d'incendie, de dégât des eaux, de vol, etc.

V' Les systèmes de secours

Il s'agit de disposer d'un système informatique équivalent à celui pour lequel on veut limiter l'indisponibilité : ordinateur, périphérique, système d'exploitation, programmes particuliers, ... Une des solutions consiste à créer et maintenir un site de secours, contenant un système en ordre de marche capable de prendre le relais du système défaillant. Le système de secours peut être implanté sur le site d'exploitation (on parle de IN SITE) ou sur un lieu géographiquement différent, on parlera alors d'un secours déporté.

Ces mesures couvrent l'ensemble des procédures et moyens mobilisés afin de reconstituer un SI opérationnel et stable, capable de rendre les services attendus dans un mode non dégradé.

V' La redondance

La redondance consiste à dupliquer un élément essentiel ou d'un système informatique au fonctionnement normal du système informatique, en vue de pallier la défaillance éventuelle de cet élément et d'assurer ainsi la continuité d'une fonction informatique vitale. La réplication est parmi les méthodes qui permettent de doubler les données d'un site local vers un site distant.

Ajoutons en ceci, des mesures techniques : des mesures de sécurité contre les malveillances (verrouillage des locaux techniques, antivirus...) ou contre les incidents

10 | P a g e

physiques (prévention et détection des incendies, des fuites d'eau dans les locaux informatiques...) ; Double adduction réseau, onduleur, générateur électrique... ; Systèmes de disques durs en miroir ou en RAID, salle complète en redondance, « load balancing ». On peut aussi ajouter la mesure préventive humaine qui va consister à la formation du personnel qui exploite le SI afin d'éviter les erreurs de manipulation.

Tout plan de reprise d'activité doit être construit sur base des deux notions suivantes :

· RTO (Return Time on Objective) : la durée maximale d'interruption admissible

· RPO (Recovery Point Objective) : la perte de données maximale admissible.

Return Time on Objective

Le RTO définit le temps maximal acceptable durant lequel une ressource informatique peut se trouver indisponible suite à un incident. Ce temps d'interruption prend en compte :

· Le délai pour la détection de l'incident,

· Le temps nécessaire pour décider de lancer la procédure de reprise,

· Le délai de mise en oeuvre du plan de reprise d'activité (configuration du réseau, restauration des données, contrôle de la qualité et du niveau de service).

Recovery Point Objective

Il détermine la quantité maximale de données qui peut être perdue suite à un sinistre informatique. Cette valeur constitue la différence entre la dernière sauvegarde et l'incident. Elle est exprimée dans la plupart des cas en minutes/heures.

En fonction de l'importance du sinistre, un plan de reprise doit pouvoir prendre en compte de nombreux scénarios de reprise d'activité en allant d'actions simple à des mécanismes complexes. Concrètement, une entreprise s'expose quotidiennement à de nombreux risques, pouvant entrainer un sinistre et justifiant l'activation d'un plan de reprise.

b. Les mesures curatives

Ce sont toutes les méthodes qui permettent de redémarrer l'activité après un sinistre. Elles sont nécessaires car aucun système n'est fiable à 100%. En fonction du sinistre et de la criticité des systèmes touchés, la stratégie définit des mesures de reprise différentes.

· La reprise des données ou restauration des données, grâce à un système de sauvegarde des données sans défaillance permise (réplication synchrone). Si les données à reprendre sont bien identifiées, cela peut se faire dans un laps de temps (quelques heures)

· Le redémarrage des applications

11 | P a g e

? Le redémarrage des machines

Les mesures palliatives permettent au système d'information de continuer à fournir certains services, le cas échéant en mode dégradé, quand tout ou partie du SI de production normal ne fonctionne plus. Elles doivent être simples à mettre en oeuvre, car elles sont mobilisées dans des situations d'urgence, avec des moyens humains peut-être limités. Elles sont généralement destinées à être opérationnelles rapidement.

I.1.3. Contenu d'un PRA

Un plan de reprise d'activité décrit la stratégie de redémarrage adoptée pour faire face, par ordre de privilège, à des risques identifiés et classés selon la gravité de leurs effets et leur crédibilité. Il décline cette stratégie en termes de ressources et de procédures documentées qui vont servir de références pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini, lorsque celui-ci a été interrompu à la suite d'une perturbation importante.

Un PRA est nécessairement un plan évolutif car les priorités de l'organisation évoluent avec les modifications d'objectifs, d'obligations contractuelles ou réglementaires, de relations avec des partenaires externes et d'appréciations du risque. Il doit être revu régulièrement pour tenir compte de l'évolution de ces paramètres.

Toute personne chargée d'une action relevant d'un PRA doit connaître précisément son rôle et ce qu'elle doit faire concrètement en cas de sinistre. Elle doit avoir par coeur la finalité recherchée, afin d'inscrire son action correctement dans la cohérence globale de l'organisation.

Notons qu'un Plan de reprise d'activité doit impérativement contenir les points suivants, qui doivent être élaborés successivement :

? Contexte : les objectifs et obligations de l'organisation, dont la description se prolonge logiquement par la liste des activités essentielles pour l'atteinte des objectifs et la tenue des obligations, ainsi que par la liste des processus clés, nécessaires au fonctionnement des activités essentielles.

? Les risques : outre que le contexte, les risques retenus comme les plus critiques pour la reprise d'activité doivent être clairement explicités au moyen de scénarios. Il est fortement conseillé de conduire une analyse complète des risques, de façon à disposer d'une grille d'évaluation et de critères objectifs pour décider des priorités [3]. Néanmoins, en l'absence d'une démarche de gestion des risques, une approche par scénarios, focalisée sur les conséquences sans décrire les causes, peut suffire à élaborer

12 | P a g e

une première version de PRA simplifiée. La section suivante décrira en long et en large la notion sur la gestion des risques.

· Stratégie de reprise d'activité : la stratégie de reprise, établie et décrite en précisant, pour chaque activité indispensable, les niveaux de service retenus et les durées d'interruption maximale admissibles (RTO) pour ces différents niveaux de service, ainsi que les ressources et procédures permettant d'atteindre les objectifs, en tenant compte des ressources critiques qui peuvent avoir été perdues, jusqu'à la reprise de la situation normale.

· Le rôle des différents responsables de la reprise : la responsabilité première et ultime du management de la reprise d'activité devrait s'établir au niveau du comité de direction.

· Dispositif de gestion de crise : permet de conduire la mise en oeuvre du PRA en assurant le pilotage des actions de réponse et de gestion de l'incertitude, à travers les procédures de détection d'incident, de qualification, d'escalade, d'alerte, de mobilisation, d'activation de la cellule de crise, d'anticipation, d'intervention, de déclenchement des dispositions du PRA (solution palliative, mode secours avec fonctionnement dégradé, plan de l'activité normale).