ITSCM Conseil

Notre modèle de processus pour la gestion de la continuité des services informatiques est basé sur nos nombreuses années d'expérience en matière de projets et sur les modèles de meilleures pratiques du secteur. Dans les pages suivantes, nous décrivons les différentes étapes du modèle, qui vise à établir une MSCI dans votre entreprise.

Il est difficile d'imaginer une vie sans les technologies de l'information et de la communication (TIC) d'aujourd'hui. Pourtant, des pannes informatiques se produisent à maintes reprises, dont certaines sont perçues par le public, par exemple lorsque la panne d'un distributeur automatique de billets, l'enregistrement à l'aéroport est retardé, des calculs d'intérêts erronés sont envoyés ou des conversations téléphoniques mobiles sont impossibles.

L'objectif du processus ITSCM est de permettre à une organisation de fournir - après une panne de services informatiques due à une urgence informatique - un niveau de service informatique qui a été déterminé et convenu à l'avance (,) qui supporte les exigences minimales de l'entreprise. Depuis 2011, une norme internationale pour la planification d'urgence informatique (ITSCM) est disponible dans la norme ISO 27031. Son seul titre "Technologies de l'information - Techniques de sécurité - Lignes directrices pour la préparation des technologies de l'information et de la communication à la continuité des activités" indique déjà qu'une coopération étroite doit exister entre le BCM et les disciplines ITSCM dans une entreprise.

Nous prenons en compte ces problèmes d'interface dans notre modèle de processus ITSCM. Notre modèle de processus ITSCM vise à définir un projet d'établissement du processus ITSCM au sein d'une entreprise. En plus de notre expérience *qui repose sur* plus de 20 ans d'activité de conseil, les concepts de notre modèle sont continuellement révisés par rapport aux exigences des descriptions de processus de "ITSCM" d'ITIL, de la sécurité de l'information (notamment ISO 27001) et des normes telles que la norme allemande BSI 100-4 "Emergency Management".

Méthode ITSCM

 Initiation ITSCM

L'initiation est la base d'un projet réussi de planification d'urgence en TI. Dans le cadre d'une politique ITSCM, la direction charge le département IT d'établir ITSCM dans l'entreprise (sous la forme d'une politique ITSCM). Les étapes nécessaires au processus sont documentées dans une directive ITSCM. De plus, des mesures pour la maintenance du processus ITSCM, son suivi et son amélioration continue sont documentées.

 Analyse et concept

"Analyse et Concept" traite de l'établissement des objectifs et des solutions pour les plans de relance.

Analyse des lacunes

Au cours de la phase d'analyse, les exigences cibles en matière de disponibilité des services informatiques (applications informatiques) devraient être tirées de BCM et comparées aux possibilités actuellement mises en œuvre pour la préparation aux urgences informatiques. Le principal critère de disponibilité en mode d'urgence est l'objectif de temps de rétablissement (RTO) d'un service informatique. Cela peut être déterminé à partir d'une analyse de l'impact sur les activités ou à partir d'accords sur les niveaux de service. Dans certains domaines informatiques, la documentation nécessaire à l'analyse ne sera pas disponible. Dans ces cas, nous utiliserons des méthodes alternatives éprouvées pour créer ces données.

Concept de solution ITSC

Le concept de solution ITSC décrit les options de solution sélectionnées. Ces options de solution servent de base à la création des plans ITSC.

 Mise en œuvre

Pendant la phase de mise en œuvre, les mesures convenues sont mises en pratique.

Mesures de prévention et d'atténuation

Dans le cadre de mesures préventives pour l'informatique, on pourrait, par exemple, mettre en place des sauvegardes de données supplémentaires, créer des connexions WAN, construire des systèmes en cluster, organiser des espaces de travail de sauvegarde ou même louer un nouvel emplacement de centre informatique. Lors de la mise en œuvre, la priorité est accordée aux mesures qui permettent d'améliorer la disponibilité des services informatiques de nombreux systèmes différents, ainsi qu'à celles qui atténuent les risques présentant un potentiel de dommages élevé.

Organisation de crise / ITSCM

En cas d'urgence, une structure organisationnelle indépendante de crise et d'ITSCM (organisation fictive) doit être mise en place. L'objectif de cette forme d'organisation est de permettre de prendre des décisions précises et rapides dans des situations critiques, sur la base d'un nombre réduit de niveaux de hiérarchie. De plus, un processus d'escalade distinct sera défini pour cette organisation d'urgence.

Processus et interfaces ITSCM

Après la fin du projet, des processus de gestion doivent être définis afin d'intégrer les tâches récurrentes dans les opérations quotidiennes normales.

 Planification

Au cours de la phase de planification, le manuel d'urgence informatique est créé. Il peut s'agir de divers documents, selon la taille et le nombre de centres de données. Dans tous les cas, les procédures également applicables pour la gestion de crise informatique doivent être décrites pour tous les scénarios.

Par scénario d'arrêt (p. ex. arrêt DC salle 1, arrêt WAN, etc.), un manuel de scénario devrait exister. Il devrait contenir des descriptions techniques détaillées sur la récupération des services informatiques. Ces descriptions doivent être en accord avec les plans de coordination de la gestion de la continuité des opérations et les plans des fournisseurs de services informatiques.

 Validation

L'exécution régulière de tests de continuité informatique pertinents est cruciale pour estimer l'efficacité des plans d'urgence informatique. De cette façon, on peut juger si les ressources redondantes mises à disposition et les plans de relance permettraient de gérer une véritable urgence.

Une stratégie d'essais et d'exercices précise les engagements de la politique ITSCM concernant la fréquence et la portée des essais et exercices de continuité informatique qui doivent être effectués. Pour simplifier les plans de test, des types de test sont définis (par ex. test fonctionnel et test réel).

La manière dont chaque ressource informatique doit être testée est spécifiée sous la forme de concepts de test (type d'arrêt ou de basculement, risques pendant l'exécution du test, etc).

Lors de la planification des tests, des dates sont fixées pour chaque test précis à exécuter dans un délai d'un an, y compris le test initial, et leurs objectifs sont définis.

 Test initial

Avant de mettre le projet ITSCM en mode opérationnel, un test initial doit être effectué. La portée de l'essai est déterminée par la planification de l'essai convenue au préalable. Il est important pour ce test initial que toutes les activités planifiées soient exécutées en relation avec le test :

  • Déterminer les objectifs du test

  • Planification de la préparation des essais

  • Planification de l'exécution du test

  • Planification de l'analyse des résultats d'essais et de la synthèse