1. Objectifs du processus

ITSCM (IT Service Continuity Management) soutient le processus de BCM (Business Continuity Managment) et fournit l'infrastructure IT, prédéterminée et validée, nécessaire pour permettre au business de continuer à fonctionner suite à une interruption de service (Due à une simple panne d'une application ou d'un système, à la perte complète des locaux commerciaux).

• BCM : La Gestion de la continuité Business se consacre à la gestion des risques afin d'assurer qu'a tout moment une organisation peut continuer à fonctionner, à un niveau minimum prédéterminé
• ITSCM : L'ITSCM se concentre sur la Continuité des Service Informatiques pour le Business

2. Présentation du processus

3. Implémentation

3.1. Étape 1 - Initialisation

• Définition d'une politique
• Spécification du champ d'action et les responsabilités ainsi que les méthodes de travail
• Allocation des ressources
• Définition de l'organisation du projet et la structure de contrôle
• Validation du projet et des plans qualité (niveau de qualité des livrables attendus)

3.2. Étape 2 - Analyse des besoins et définition stratégie

Comment une organisation survivra à une interruption ou à un sinistre, et quels coûts seront engendrés.

Approche en 2 sections/étapes :

• Besoins : réaliser une BIA (Business Impact Analysis) puis une évaluation des risques

• Stratégie : déterminer et valider les mesures de réduction des risques ainsi que des options de reprise

3.2.1 Besoins

Combien une organisation peut perdre dans un sinistre.

• Quels sont les processus vitaux
• Quels dommages peuvent être causés
• La forme que peut revêtir le dommage (image, financière, etc.)
• Personnel, connaissance, capacité et service nécessaire pour les process Business
• Période nécessaire au recouvrement minimum (personnel, équipement, etc.)
• Période pour que tout soit récupéré (process Business, personnel, équipements, etc.)

A l'issue de cette étape de BIA, les process Business et les composants IT associés sont priorisés, en termes d'évaluation/réduction du risque et de planification de la reprise. En fonction de l'impact que démarre-t-on et dans quel ordre ? Le BIA identifie les exigences vitales minimum sur lesquelles l'impact à une forte probabilité d'être important.

3.2.2 Évaluation du risque :

Évaluation du niveau de menace et de la vulnérabilité de l'organisation à cette menace.

• Identification des risques : Risques encouru par des composants (actifs) qui pourraient provoquer une interruption de service.
• Évaluation des niveaux de menace et de vulnérabilité : Quelle probabilité y a-t-il qu'une interruption intervienne ? Est-il possible et comment l'organisation sera affectée par la menace ?
• Évaluation des niveaux de risque

Puis il faut déterminer la probabilité que les risques spécifiques interviennent. Enfin il est possible de déterminer les contre-mesures ou mesures de réduction des risques, c'est-à-dire réduire le risque à un niveau acceptable.

3.2.3 Stratégie de continuité Business

Effort sur le préventif ou option complète de reprise ?

3.2.4 Mesures de réduction des risques

Réduction du risque et reprise sont complémentaires.

• Stratégie de sauvegarde
• Élimination des SPOF
• Services sous-traités
• Meilleurs contrôles
• Contrôles de sécurité accrus
  

3.2.5 Options de reprises

Elles intègrent les personnes, les locaux, les composants IT (dont réseau), les services vitaux (électricité, eau) et les actifs vitaux (matériel de référence, procédures papiers).

• Ne rien faire (c'est aussi une option, pas la meilleure j'en conviens)
• Contournement manuel : plus d'outil informatique
• Arrangement réciproques : Accord avec une organisation qui possède un système similaire
• Reprise graduelle : impact > 72 h (Installation antérieure au sinistre)
• Reprise intermédiaire : 24 h > impact > 72 h (Rétablissement du vital sur un site de reprise "commercial"
• Reprise immédiate : impact < 24 h (tout et tout de suite)

3.3. Étape 3 - Mise en œuvre

3.3.1 Établir les plans de mise en œuvre pour l'organisation

• Planification de l'organisation (exécutif, coordination et reprise (IT))
• Planification de la mise en œuvre
• Plan de réponse d'urgence
• Plan d'évaluation des dommages
• Plan de sauvetage
• Plan des enregistrements vitaux
• Plan de Gestion des crises et des relations publiques
  

En amont ces plans permettent d'évaluer la situation et de déclencher ou non le plan de reprise. En aval les plans suivants sont déclenchés :

• Plan pour les locaux et services
• Plan pour les SI et le réseau
• Plan pour les Télécommunications
• Plan pour la Sécurité
• Plan pour le personnel
• Plan pour les finances et l'administration
  

3.3.2 Mettre en œuvre les mesures de réduction des risques

• Les risques identifiés lors de la phase "d'évaluation du risque" doivent être réduits, en conjonction avec la gestion de la disponibilité.

3.3.3 Mettre en œuvre les dispositions de secours

• Négociation des contrats avec les fournisseurs (société de reprise) y compris de ses propres plans ITSCM
• Louer, équiper le local de secours
• Installer les systèmes de secours

3.3.4 Développer les plans de reprises IT

Ils doivent inclure :

• Toute l'information nécessaire concernant toutes les activités
• La criticité et priorité des services
• Les interfaces entre les services
• Des détails suffisant pour que les tests soient réalisés
• L'ensemble des configurations
• Une check-list couvrant toutes les actions spécifiques nécessaires

3.3.5 Développer les procédures

• Procédures d'installation et de tests (équipements et réseaux)
• Procédure de restauration données et logiciels
• Fuseaux horaires
• Point de rupture business

3.3.6 Réaliser les tests initiaux et enregistrer les résultats

• Temps en heure de reprise
• État et préparation du personnel
• Réactivité, efficacité

3.4. Étape 4 -Gestion Opérationnelle

3.4.1 Éducation & Sensibilisation

Le BCM doit faire partie des activités de routine et des budgets

3.4.2 Formation

Former l'équipe Business pour s'assurer de la maitrise du BCM

3.4.3 Revue

Revoir à chaque changement majeur de l'infrastructure (nouveau système, changement de fournisseur, nouvelle orientation stratégique, etc.)

3.4.4 Test

Établir un programme de test annuel sur les composants vitaux

3.4.5 Contrôle des changements

Mise à jour de l'ITSCM à chacun des changements

3.4.6 Assurance

Assurer la qualité de l'ITSCM

3.5 Étape 5 -Déclenchement

Inclure le processus et les procédures de déclenchement. La décision de déclencher doit être prise par l'équipe "Gestion des crises" (dirigeants, y compris l'IT) suite à une évaluation des dommages et autres.

3.6. Étape 6 – Structure de Gestion

Un parrainage au plus niveau est nécessaire, sans cela les risques sont :

• L'inadéquation entre le business et les stratégies IT, et un écart entre vrais besoins et risques réels
• Manque de ressources
• Manque de coopération et d'implication de la Direction
  
  

Les rôles doivent être intégrés aux responsabilités :

• Définition et attribution des responsabilités
• Intégrer les responsabilités dans l'organisation existante
• Éviter de concentrer les responsabilités
• Affecter les responsabilités aux personnes compétentes
• S'assurer que l'ITSCM est géré en permanence
• S'assurer que la stratégie ITSCM est intégrée au business
  
  
  
• Rôle des gestionnaires :

• • Gestion de la continuité Business (coordonne Business & IT) :
    
    
    • Avertir le comité de la stratégie ITSCM, et s'assure que celle-ci est actuelle et efficace.
    • Il s'assure par ailleurs du contrôle des changements, des tests, audits, de la sensibilisation et formation
      

• • Comité directeur : Il se réunit afin de
    
    
    • Confirmer l'adéquation de la stratégie ITSCM et le maintien des moyens
    • Prendre en compte les changements de stratégie Business
    • Revoir et valider les plans de tests
    • Résoudre les difficultés
    • Prendre en compte les changements nécessaires