22 ans de conseil en ITSCM

Grâce à une gestion de la continuité des services informatiques (ITSCM) bien établie, comprenant les éléments fondamentaux de la préparation aux urgences informatiques et de la gestion des urgences informatiques, vous êtes parfaitement préparé à faire face aux incidents informatiques critiques.

Gestion de la continuité des services IT

L'ITSCM, également connue sous le nom de gestion des urgences informatiques ou de gestion de la reprise après sinistre, est une discipline fondamentale dans le cadre des processus de gestion des services informatiques. Dans le monde d'aujourd'hui, dominé par les technologies informatiques, de nombreux processus commerciaux dépendent fortement du bon fonctionnement des services informatiques. Une défaillance de l'infrastructure, des systèmes ou des applications informatiques peut entraîner des interruptions dans les activités commerciales, ce qui peut avoir des conséquences financières et de réputation importantes (par ex. image de marque). De nombreux secteurs, tels que les banques, les assurances et les entreprises d'infrastructures critiques, sont également soumis à des exigences réglementaires et/ou de régulation strictes, qui imposent un plan de continuité des activités robuste.

Une gestion de la continuité des services informatiques (ITSCM) bien établie, comprenant les éléments fondamentaux de la préparation et de la gestion des urgences informatiques, vous permet d'être parfaitement préparé aux incidents informatiques critiques.

Les services informatiques nécessaires à votre activité ne sont pas interrompus ou ne le sont que brièvement lors du passage à une exploitation informatique d'urgence et l'existence économique de votre entreprise reste assurée même en cas de sinistre de grande ampleur.

Bien que la mise en œuvre d'un ITSCM nécessite des investissements initiaux, les économies à long terme peuvent être considérables en évitant des pannes informatiques de longue durée. En outre, en mettant en œuvre une gestion de la continuité des services informatiques, vous envoyez un signal clair de fiabilité à vos clients et à vos partenaires contractuels, même en cas d'incident informatique critique. Cela peut constituer un avantage concurrentiel considérable par rapport à d'autres entreprises.

Notre prestation de conseil ITSCM

En collaboration avec vous, nous élaborons des solutions individuelles adaptées à vos besoins dans cet environnement informatique complexe. Ce faisant, nous considérons bien entendu les interfaces correspondantes avec d'autres disciplines de gestion telles que la gestion de la continuité des activités (BCM), la gestion de la sécurité de l'information (ISM), la gestion des réponses aux cyber-incidents (CIRM) et la gestion de crise (KM). Grâce à notre longue expérience, nous vous aidons à mettre en place, à développer ou à évaluer votre système de gestion de la continuité des services informatiques (ITSCMS) existant. Notre approche s'appuie sur les normes internationales reconnues (ISO 27031 et BCI Good Practice Guideline), ITIL ainsi que sur les modèles de bonnes pratiques issus de notre longue expérience en matière de projets.

Notre coaching ITSCM

Lors de la réalisation de projets, nos experts informatiques se concentrent toujours sur le développement du savoir-faire interne. Notre objectif est de vous permettre d'acquérir les connaissances nécessaires sur le processus de gestion pendant la mise en œuvre du projet et de mettre ensuite directement en pratique ce que vous avez appris. Les nouveaux processus ne rencontrent pas toujours un écho positif unanime. D'après notre longue expérience, le meilleur moyen de dissiper le scepticisme interne est de sensibiliser les collaborateurs. Tout comme la citation d'Antoine de Saint-Exupéry : „Si tu veux construire un bateau, ne réunis pas les hommes pour trouver du bois, attribuer les tâches et répartir le travail, mais apprends-leur à désirer la mer vaste et infinie&ldquo ; &ndash ; n'hésitez pas à nous contacter si vous avez besoin d'aide pour la préparation et la mise en œuvre de mesures de sensibilisation.

Quels sont les trois arguments les plus importants en faveur de l'ITSCM ?

L'ITSCM en tant que processus de gestion crée des structures organisationnelles et personnelles pour éviter, mais aussi pour gérer les incidents informatiques critiques. Avec une ITSCM bien établie, vous êtes en mesure :
  • de réagir de manière structurée aux incidents informatiques critiques

  • d'assurer un fonctionnement informatique de secours

  • d'effectuer un redémarrage de vos infrastructures, systèmes et applications informatiques dans un délai acceptable

Pourquoi l'ITSCM est-il si important?

En cas de panne des infrastructures informatiques, le facteur temps joue un rôle important. Plus longtemps les services informatiques nécessaires aux processus commerciaux critiques ne sont pas disponibles, plus les dommages financiers et/ou de réputation sont élevés. Pour certaines entreprises, la fenêtre d'opportunité avant que l'existence ne soit menacée est très courte. Un ITSCM établi réduit la probabilité de survenance de scénarios de sinistres ITSCM, crée des structures pour gérer les incidents informatiques critiques et vous donne la certitude de pouvoir effectuer un redémarrage de l'informatique dans la fenêtre de temps fixée.

Qu'est-ce que l'ITSCM exactement ?

L'ITSCM, en tant que processus de gestion, planifie de manière proactive tous les aspects nécessaires à la poursuite, au redémarrage ou à la restauration de vos infrastructures, systèmes et/ou applications informatiques. En soutien et en coordination avec le processus BCM, les risques pour les services informatiques sont réduits et le redémarrage des services informatiques est planifié, préparé et testé. L'ITSCM renforce ainsi la résistance, la continuité et la stabilité de vos services informatiques critiques. L'ITSCM fait partie du Business Continuity Management (BCM) et se concentre sur une panne informatique.

Quels sont les objectifs de l'ITSCM?

  • Assurer la disponibilité des infrastructures, des systèmes et des applications informatiques nécessaires, même en cas d'incident ou d'urgence informatique critique

  • Minimiser les risques pouvant conduire à des incidents informatiques critiques ou à des situations d'urgence informatique

  • Renforcer la résilience, la continuité et la stabilité de vos services informatiques critiques face aux perturbations

  • Créer la sécurité chez les clients et les partenaires contractuels

Quels sont les avantages d'une entreprise disposant d'un ITSCM établi?

  • Éviter ou minimiser les temps d'arrêt des services informatiques critiques qui affectent les processus commerciaux

  • Minimiser et raccourcir les temps de reprise

  • Réduire les menaces actuelles et futures et fournir des processus de réponse efficaces

  • Renforcer la résilience de l'informatique

  • Répondre aux exigences légales, réglementaires et de la clientèle

  • Résistance démontrable aux clients et aux fournisseurs.

Nous avons déjà le BCM. Ai-je quand même besoin de l'ITSCM ?

La réponse à cette question est clairement oui. Le BCM détermine les processus commerciaux critiques en termes de temps d'une entreprise et garantit qu'ils peuvent être poursuivis en cas d'incident. L'ITSCM garantit la disponibilité des services informatiques nécessaires aux processus commerciaux critiques. Alors que le BCM, en tant que processus global de gestion des pannes d'infrastructures IT/IT, ne prévoit que des mesures de réparation manuelles, l'ITSCM s'occupe du maintien de la disponibilité ou du redémarrage le plus rapide possible des infrastructures, des systèmes et des applications IT.

Qu'en est-il de l'ISM ? Ai-je quand même besoin de l'ITSCM ?

La réponse à cette question est clairement oui. Information Security Management (ISM) a pour objectif de protéger toutes les informations d'une entreprise, quelles que soient leur nature et leur origine. L'ISM planifie de manière proactive la prévention des incidents de sécurité ou la violation des objectifs de sécurité définis, tels que la confidentialité (Confidentiality), l'intégrité (Integrity), la disponibilité (Continuity) et l'authenticité (Authenticity). Ce sont donc des exigences pour le fonctionnement normal. Les plans propres à la gestion des problèmes de sécurité ne sont généralement pas élaborés. Il en résulte très souvent une lacune dangereuse. Les structures organisationnelles de l'ITSCM ainsi que les plans d'alerte et de gestion des incidents informatiques critiques peuvent bien entendu aussi être utilisés pour gérer les incidents de sécurité. Notre modèle de procédure général pour la gestion de la continuité des services informatiques se base sur notre expérience de longue date en matière de projets et sur les modèles de bonnes pratiques du secteur. Nous décrivons ci-dessous les différentes étapes de ce modèle, qui a pour objectif une ITSCM établie dans votre entreprise.

Comment se présente une mise en œuvre de l'ITSCM?

Notre modèle de procédure pour la gestion de la continuité des services informatiques se base sur notre longue expérience en matière de projets et sur les modèles de bonnes pratiques du secteur. Dans les pages suivantes, nous décrivons les différentes étapes de ce modèle, dont l'objectif est une ITSCM établie dans votre entreprise.

L'objectif du processus ITSCM est de permettre à une organisation de fournir à nouveau des services informatiques critiques en temps de panne dans une fenêtre temporelle prédéfinie et un niveau de service informatique minimum convenu, afin de soutenir les besoins minimaux de l'entreprise.

Depuis 2011, la norme ISO 27031 est une norme internationale pour la planification des services informatiques d'urgence (ITSCM). Le titre "Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity" indique déjà qu'il doit y avoir dès le départ une étroite collaboration entre les disciplines BCM et ITSCM dans l'entreprise.

Nous tenons compte de cette problématique d'interface dans notre modèle de procédure ITSCM. Celui-ci a pour objectif d'établir le processus ITSCM dans l'entreprise sous la forme d'un projet. Outre notre expérience pratique acquise au cours de plus de 20 ans d'activité de conseil, nous intégrons toujours dans nos concepts des exigences issues des descriptions de processus selon ITIL "ITSCM", de la sécurité de l'information (surtout selon ISO 27001) et de normes telles que la norme allemande BSI 200-4 "Business Continuity Management".

Modèle de procédure ITSCM

 Initiation ITSCM

L'initiation est la base d'un projet réussi de planification d'urgence en TI. Dans le cadre d'une politique ITSCM, la direction charge le département IT d'établir ITSCM dans l'entreprise (sous la forme d'une politique ITSCM). Les étapes nécessaires au processus sont documentées dans une directive ITSCM. De plus, des mesures pour la maintenance du processus ITSCM, son suivi et son amélioration continue sont documentées.

 Analyse et concept

"Analyse et Concept" traite de l'établissement des objectifs et des solutions pour les plans de relance.

Analyse des lacunes
Au cours de la phase d'analyse, les exigences cibles en matière de disponibilité des services informatiques (applications informatiques) devraient être tirées de BCM et comparées aux possibilités actuellement mises en œuvre pour la préparation aux urgences informatiques. Le principal critère de disponibilité en mode d'urgence est l'objectif de temps de rétablissement (RTO) d'un service informatique. Cela peut être déterminé à partir d'une analyse de l'impact sur les activités ou à partir d'accords sur les niveaux de service. Dans certains domaines informatiques, la documentation nécessaire à l'analyse ne sera pas disponible. Dans ces cas, nous utiliserons des méthodes alternatives éprouvées pour créer ces données.

Concept de solution ITSC
Le concept de solution ITSC décrit les options de solution sélectionnées. Ces options de solution servent de base à la création des plans ITSC.

 Mise en œuvre

Pendant la phase de mise en œuvre, les mesures convenues sont mises en pratique.

Mesures de prévention et d'atténuation
Dans le cadre de mesures préventives pour l'informatique, on pourrait, par exemple, mettre en place des sauvegardes de données supplémentaires, créer des connexions WAN, construire des systèmes en cluster, organiser des espaces de travail de sauvegarde ou même louer un nouvel emplacement de centre informatique. Lors de la mise en œuvre, la priorité est accordée aux mesures qui permettent d'améliorer la disponibilité des services informatiques de nombreux systèmes différents, ainsi qu'à celles qui atténuent les risques présentant un potentiel de dommages élevé.

Organisation de crise / ITSCM
En cas d'urgence, une structure organisationnelle indépendante de crise et d'ITSCM (organisation fictive) doit être mise en place. L'objectif de cette forme d'organisation est de permettre de prendre des décisions précises et rapides dans des situations critiques, sur la base d'un nombre réduit de niveaux de hiérarchie. De plus, un processus d'escalade distinct sera défini pour cette organisation d'urgence.

Processus et interfaces ITSCM
Après la fin du projet, des processus de gestion doivent être définis afin d'intégrer les tâches récurrentes dans les opérations quotidiennes normales.

 Planification

Au cours de la phase de planification, le manuel d'urgence informatique est créé. Il peut s'agir de divers documents, selon la taille et le nombre de centres de données. Dans tous les cas, les procédures également applicables pour la gestion de crise informatique doivent être décrites pour tous les scénarios.

Par scénario d'arrêt (p. ex. arrêt DC salle 1, arrêt WAN, etc.), un manuel de scénario devrait exister. Il devrait contenir des descriptions techniques détaillées sur la récupération des services informatiques. Ces descriptions doivent être en accord avec les plans de coordination de la gestion de la continuité des opérations et les plans des fournisseurs de services informatiques.

 Validation

L'exécution régulière de tests de continuité informatique pertinents est cruciale pour estimer l'efficacité des plans d'urgence informatique. De cette façon, on peut juger si les ressources redondantes mises à disposition et les plans de relance permettraient de gérer une véritable urgence.

Une stratégie d'essais et d'exercices précise les engagements de la politique ITSCM concernant la fréquence et la portée des essais et exercices de continuité informatique qui doivent être effectués. Pour simplifier les plans de test, des types de test sont définis (par ex. test fonctionnel et test réel).

La manière dont chaque ressource informatique doit être testée est spécifiée sous la forme de concepts de test (type d'arrêt ou de basculement, risques pendant l'exécution du test, etc).

Lors de la planification des tests, des dates sont fixées pour chaque test précis à exécuter dans un délai d'un an, y compris le test initial, et leurs objectifs sont définis.

 Test initial

Avant de mettre le projet ITSCM en mode opérationnel, un test initial doit être effectué. La portée de l'essai est déterminée par la planification de l'essai convenue au préalable. Il est important pour ce test initial que toutes les activités planifiées soient exécutées en relation avec le test :

  • Déterminer les objectifs du test

  • Planification de la préparation des essais

  • Planification de l'exécution du test

  • Planification de l'analyse des résultats d'essais et de la synthèse

Contacter