Description
Episode consacré aux plans de continuité et de résilience : PRA et PCA.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le pire est certain. On doit cette phrase au philosophe allemand Arthur Schopenhauer, né en 1788 et mort en 1860. Et le moins qu'on puisse dire, c'est que ce n'est pas le penseur du XIXe le plus optimiste et enjoué. Pour Schopenhauer, la volonté est la force sous-jacente de toute existence, un désir incessant qui est la source de toute souffrance. Cette volonté ne se limite pas à la volonté humaine, mais est vue comme une force universelle qui anime tout, des êtres humains aux objets inanimés. La vision du monde de Schopenhauer est profondément pessimiste. Il considère que la vie est essentiellement souffrance et que le désir est la cause principale de cette souffrance. Tant que nous sommes guidés par nos désirs, nous sommes condamnés à souffrir. Au-delà de cette vision disons un peu sombre, il y a quand même une leçon à retenir en matière de cybersécurité. Effectivement, l'expérience montre que le pire est certain. En informatique en général et en cybersécurité en particulier, on cite rarement Schopenhauer, mais plutôt la loi de Murphy. La loi de Murphy, souvent énoncée sous la forme Tout ce qui peut mal tourner, tournera mal Et c'est un adage qui exprime une sorte de pessimiste ironique en suggérant que si quelque chose a la possibilité de se passer mal, elle se passera effectivement mal et souvent au pire moment possible. Bien qu'elle soit formulée de manière humoristique, l'Allen Murphy est fréquemment invoquée pour souligner l'importance de la planification, de la préparation et de la prise en compte des pires scénarios possibles dans la gestion des projets, la conception des produits et d'autres domaines où la prévention des erreurs est cruciale. En d'autres termes, et c'est je pense la leçon à retenir, il faut se préparer au pire et se dépasser quand tout va bien pour se surpasser quand tout va mal. Mais comment se préparer au pire en cybersécurité ? Pour cela, il existe deux grandes familles de plans à mettre en œuvre, le PCA pour plan de continuité d'activité et le PRA, le plan de reprise d'activité. Ces deux approches sont complémentaires. Je traiterai dans cet épisode le PCA et dans un second épisode le PRA. Le plan de continuité d'activité, ou PCA, également connu sous le terme anglais Business Continuity Plan, le BCP, est un document qui décrit les processus et les procédures qu'une organisation doit suivre pour assurer le maintien de ses fonctions essentielles pendant et après avoir été confrontée à une interruption majeure ou une catastrophe. Cette planification comprend l'identification des risques potentiels qui pourraient affecter l'entreprise, l'évélation de l'impact que ces risques pourraient avoir sur les opérations critiques, et l'établissement de stratégies et de plans pour assurer une reprise rapide et efficace des activités. Le PCA vise à minimiser les perturbations et à limiter les conséquences d'une crise, en garantissant que les services et les produits clés restent disponibles pour les clients et que l'entreprise peut continuer à fonctionner efficacement malgré les circonstances adverses. Il couvre différents aspects, y compris la reprise des opérations informatiques, souvent détaillées dans le plan de reprise après sinistre spécifique ou DRP. On y trouve aussi la gestion des ressources humaines, les processus opérationnels et les communications d'urgence. En cas d'événement majeur perturbant son fonctionnement, l'entreprise est alors plus à même de définir les actions prioritaires à maintenir pour honorer ses obligations. Un plan PCA permet à la fois de poursuivre les tâches opérationnelles et de garantir la continuité des opérations essentielles, mais aussi de préparer l'entreprise à la sortie de la crise pour reprendre une activité normale planifiée. Elle peut alors répondre à ses obligations contractuelles et législatives, mais aussi limiter la perte de ressources et de parts de marché. Le tout aide à maintenir une bonne image de l'entreprise, tout en augmentant ses chances de survie face à deux types de crises majeures. Les crises internes, les incendies, une grève ou une panne, et les crises externes, comme une crise sociale, financière ou sanitaire. La plupart des crises sont brutales et surprenantes. Et le meilleur exemple a été la pandémie. Il est difficile de les anticiper à cause de leur nombre et la nature variée. Le problème, c'est que les conséquences peuvent être graves pour les entreprises, menant jusqu'à la cessation d'activité. Le PCA d'entreprise a donc simplement pour objectif d'améliorer la pérennité de l'activité en cas de crise, en maintenant un niveau d'activité minimum et en favorisant un retour à la normale rapide. Un PCA vous permet de lisser les conséquences possibles en préparant votre entreprise en amont. sans pouvoir totalement prévoir et maîtriser tous les cas de figure, Il est cependant possible de diminuer les conséquences négatives d'une perturbation sur le long terme en réduisant les impacts, par exemple financiers, moins de pertes de revenus, anticiper des coûts supplémentaires engendrés par l'ajout de charges par exemple, commercial, mieux gérer la perte de clientèle, de fournisseurs, de prestataires ou encore de parts de marché, juridiques, anticiper des sanctions financières ou administratives et même pénales, sociales, Compensation de la perte de visibilité ou de confiance avec la mise en avant de vos engagements SRE auprès de vos fournisseurs, clients et partenaires. Mais comment rédiger un plan de continuité d'activité ? Vous pouvez le rédiger vous-même avec vos équipes en suivant une méthodologie adaptée à votre organisation. Chaque PCA intervient dans un contexte précis, c'est pourquoi il débute généralement par un audit des ressources et des compétences disponibles en interne. Grâce à votre stratégie de continuité d'activité, vous pouvez alors établir une cartographie des risques et l'impact des scénarios sur votre activité. Ainsi, c'est la mise en place de ce plan d'entreprise qui vous permettra de maintenir votre entreprise à flot et de gérer ses crises. L'amélioration continue de ce plan, avec de la simulation et des exercices de crise, vous permettra de garantir une meilleure longévité de ce plan. L'idéal étant de tester le plus fidèlement possible le plan, par exemple en couplant un exercice d'évacuation de bâtiment avec l'activation du PCA. Ce type d'exercice permet une évaluation assez fine du niveau de maturité de votre plan. Il est également nécessaire que la stratégie et le plan soient régulièrement mis à jour pour prendre en compte les évolutions possibles des différents paramètres de votre entreprise. Il va sans dire que si votre plan fait référence à des équipes qui n'existent plus, il sera totalement inefficace. Chaque plan de reprise doit être adapté à l'organisation interne de l'entreprise et se compose comme une chaîne d'action à exécuter. Le PCA se focalise essentiellement sur la résilience de l'organisation, c'est-à-dire comment s'organiser pour être prêt à affronter un événement inattendu.
- Speaker #1
Oh mais c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave
- Speaker #0
Mais une question demeure. Quid du système d'information ? Comment faire si l'événement tant redouté impacte le système ? Eh bien, ce sera le sujet du prochain épisode consacré au PRA, le plan de reprise d'activité, ou DRP en anglais pour les intimes. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
- Speaker #2
Sous-titrage ST'501
Description
Episode consacré aux plans de continuité et de résilience : PRA et PCA.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le pire est certain. On doit cette phrase au philosophe allemand Arthur Schopenhauer, né en 1788 et mort en 1860. Et le moins qu'on puisse dire, c'est que ce n'est pas le penseur du XIXe le plus optimiste et enjoué. Pour Schopenhauer, la volonté est la force sous-jacente de toute existence, un désir incessant qui est la source de toute souffrance. Cette volonté ne se limite pas à la volonté humaine, mais est vue comme une force universelle qui anime tout, des êtres humains aux objets inanimés. La vision du monde de Schopenhauer est profondément pessimiste. Il considère que la vie est essentiellement souffrance et que le désir est la cause principale de cette souffrance. Tant que nous sommes guidés par nos désirs, nous sommes condamnés à souffrir. Au-delà de cette vision disons un peu sombre, il y a quand même une leçon à retenir en matière de cybersécurité. Effectivement, l'expérience montre que le pire est certain. En informatique en général et en cybersécurité en particulier, on cite rarement Schopenhauer, mais plutôt la loi de Murphy. La loi de Murphy, souvent énoncée sous la forme Tout ce qui peut mal tourner, tournera mal Et c'est un adage qui exprime une sorte de pessimiste ironique en suggérant que si quelque chose a la possibilité de se passer mal, elle se passera effectivement mal et souvent au pire moment possible. Bien qu'elle soit formulée de manière humoristique, l'Allen Murphy est fréquemment invoquée pour souligner l'importance de la planification, de la préparation et de la prise en compte des pires scénarios possibles dans la gestion des projets, la conception des produits et d'autres domaines où la prévention des erreurs est cruciale. En d'autres termes, et c'est je pense la leçon à retenir, il faut se préparer au pire et se dépasser quand tout va bien pour se surpasser quand tout va mal. Mais comment se préparer au pire en cybersécurité ? Pour cela, il existe deux grandes familles de plans à mettre en œuvre, le PCA pour plan de continuité d'activité et le PRA, le plan de reprise d'activité. Ces deux approches sont complémentaires. Je traiterai dans cet épisode le PCA et dans un second épisode le PRA. Le plan de continuité d'activité, ou PCA, également connu sous le terme anglais Business Continuity Plan, le BCP, est un document qui décrit les processus et les procédures qu'une organisation doit suivre pour assurer le maintien de ses fonctions essentielles pendant et après avoir été confrontée à une interruption majeure ou une catastrophe. Cette planification comprend l'identification des risques potentiels qui pourraient affecter l'entreprise, l'évélation de l'impact que ces risques pourraient avoir sur les opérations critiques, et l'établissement de stratégies et de plans pour assurer une reprise rapide et efficace des activités. Le PCA vise à minimiser les perturbations et à limiter les conséquences d'une crise, en garantissant que les services et les produits clés restent disponibles pour les clients et que l'entreprise peut continuer à fonctionner efficacement malgré les circonstances adverses. Il couvre différents aspects, y compris la reprise des opérations informatiques, souvent détaillées dans le plan de reprise après sinistre spécifique ou DRP. On y trouve aussi la gestion des ressources humaines, les processus opérationnels et les communications d'urgence. En cas d'événement majeur perturbant son fonctionnement, l'entreprise est alors plus à même de définir les actions prioritaires à maintenir pour honorer ses obligations. Un plan PCA permet à la fois de poursuivre les tâches opérationnelles et de garantir la continuité des opérations essentielles, mais aussi de préparer l'entreprise à la sortie de la crise pour reprendre une activité normale planifiée. Elle peut alors répondre à ses obligations contractuelles et législatives, mais aussi limiter la perte de ressources et de parts de marché. Le tout aide à maintenir une bonne image de l'entreprise, tout en augmentant ses chances de survie face à deux types de crises majeures. Les crises internes, les incendies, une grève ou une panne, et les crises externes, comme une crise sociale, financière ou sanitaire. La plupart des crises sont brutales et surprenantes. Et le meilleur exemple a été la pandémie. Il est difficile de les anticiper à cause de leur nombre et la nature variée. Le problème, c'est que les conséquences peuvent être graves pour les entreprises, menant jusqu'à la cessation d'activité. Le PCA d'entreprise a donc simplement pour objectif d'améliorer la pérennité de l'activité en cas de crise, en maintenant un niveau d'activité minimum et en favorisant un retour à la normale rapide. Un PCA vous permet de lisser les conséquences possibles en préparant votre entreprise en amont. sans pouvoir totalement prévoir et maîtriser tous les cas de figure, Il est cependant possible de diminuer les conséquences négatives d'une perturbation sur le long terme en réduisant les impacts, par exemple financiers, moins de pertes de revenus, anticiper des coûts supplémentaires engendrés par l'ajout de charges par exemple, commercial, mieux gérer la perte de clientèle, de fournisseurs, de prestataires ou encore de parts de marché, juridiques, anticiper des sanctions financières ou administratives et même pénales, sociales, Compensation de la perte de visibilité ou de confiance avec la mise en avant de vos engagements SRE auprès de vos fournisseurs, clients et partenaires. Mais comment rédiger un plan de continuité d'activité ? Vous pouvez le rédiger vous-même avec vos équipes en suivant une méthodologie adaptée à votre organisation. Chaque PCA intervient dans un contexte précis, c'est pourquoi il débute généralement par un audit des ressources et des compétences disponibles en interne. Grâce à votre stratégie de continuité d'activité, vous pouvez alors établir une cartographie des risques et l'impact des scénarios sur votre activité. Ainsi, c'est la mise en place de ce plan d'entreprise qui vous permettra de maintenir votre entreprise à flot et de gérer ses crises. L'amélioration continue de ce plan, avec de la simulation et des exercices de crise, vous permettra de garantir une meilleure longévité de ce plan. L'idéal étant de tester le plus fidèlement possible le plan, par exemple en couplant un exercice d'évacuation de bâtiment avec l'activation du PCA. Ce type d'exercice permet une évaluation assez fine du niveau de maturité de votre plan. Il est également nécessaire que la stratégie et le plan soient régulièrement mis à jour pour prendre en compte les évolutions possibles des différents paramètres de votre entreprise. Il va sans dire que si votre plan fait référence à des équipes qui n'existent plus, il sera totalement inefficace. Chaque plan de reprise doit être adapté à l'organisation interne de l'entreprise et se compose comme une chaîne d'action à exécuter. Le PCA se focalise essentiellement sur la résilience de l'organisation, c'est-à-dire comment s'organiser pour être prêt à affronter un événement inattendu.
- Speaker #1
Oh mais c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave, c'est pas grave
- Speaker #0
Mais une question demeure. Quid du système d'information ? Comment faire si l'événement tant redouté impacte le système ? Eh bien, ce sera le sujet du prochain épisode consacré au PRA, le plan de reprise d'activité, ou DRP en anglais pour les intimes. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
- Speaker #2
Sous-titrage ST'501
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)