Jun 9, 2016
  • C’est un fait : aujourd’hui les entreprises cherchent à se recentrer sur leur cœur de métier. Cette transformation s’opère notamment par la simplification de leurs usages des technologies de l’information. Mais les exigences de la clientèle de ces entreprises ainsi que les perpétuelles refontes réglementaires, concernant la continuité de service et la sécurité de l’information, leurs imposent de mettre en place des mesures spécifiques, sans lien quelconque avec leur métier.

    Une des mesures les plus populaires autour de la continuité de service des systèmes d’information est le plan de secours informatique [PSI] (ou encore le plan de reprise d’activité [PRA] par abus de langage).

    Mais comment satisfaire sa clientèle et se conformer aux exigences réglementaires tout en gardant la maîtrise de son système d’information et en restant concentré sur son cœur de métier ? Et pourquoi ne pas opter pour une solution de secours de son système d’information dans le cloud : le PRA dans le cloud !

    Le cloud computing a le vent en poupe, et les technologies de virtualisation, de partage des ressources et de réplication des données évoluent de manière exponentielle et tendent à se généraliser. En parlant de généralisation on peut d’ailleurs mentionner quelques projets de standardisation des technologies liées au cloud computing :

    • l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) avec son référentiel d’exigences autour des technologies cloud computing,
    • le Cloud Security Alliance (CSA) avec ses meilleures pratiques pour la sécurité dans le cloud,
    • le Storage Networking Industry Association (SNIA) et son travail autour des techniques d’hébergement dans le cloud,
    • et celui qui aspire à l’avènement du cloud computing, le Distributed Management Task Force (DMTF), embarquant les plus grands noms des organismes privés, publiques et indépendants évoluant dans le monde de l’IT et de la virtualisation, travaille sur des normes internationales pour la simplification et l’interopérabilité des technologies accessibles via les réseaux (donc toutes les technologies liées au cloud computing).

    Mais un tel projet de transformation IT pour créer/migrer son PRA dans le cloud engage forcément beaucoup de ressources et exige certaines connaissances sur les technologies liées au cloud computing.

  • Devoteam, continuit√© et cloud


    Au travers de son offre Business Continuity Services, Devoteam, un leader européen du conseil et des solutions cloud, propose d’accompagner ses clients vers des solutions de plan de reprise d’activité (PRA) dans le cloud. Le PRA dans le cloud, est une solution PRA exploitant les technologies du cloud computing, alliant économie, rapidité et flexibilité.

    Fort de son savoir-faire acquis depuis 20 ans dans le domaine de la continuité d’activité et de la sécurité de l’information, le groupe Devoteam propose d’accompagner ses clients dans l’étude, la mise en place, le contrôle et le maintien en condition opérationnelle d’un PRA dans le cloud.

    Au travers d’un mode de delivery adapté et d’une approche méthodologique basée sur l’ISO 22301[1], l’offre proposée par Devoteam consiste en quatre points clés:

    • Contexte : avant toute chose, il faut savoir de quoi on parle, où on se trouve et où on va.
    • Identifier/définir les exigences métiers du client en matière de continuité d’activité et de sécurité de l’information, et étudier la faisabilité pour la mise en place d’un PRA dans le cloud est l’étape primordiale pour la réussite du projet.
    • Analyse de risques : parmi toutes les offres proposées sur le marché, sélectionner celle qui répondra le mieux aux exigences métiers est un véritable challenge. Identifier le prestataires de service cloud le plus adapté aux besoins du client, au travers d’une méthode unique d’analyse de risques élaborée par Devoteam : O.S.C.A.R..
    • Mise en œuvre : l’enjeu principal est de formaliser correctement les niveaux de services requis par le métier et de s’assurer que la solution soit opérationnelle et conforme aux exigences métiers et réglementaires. Cette étape vise à accompagner le client dans la rédaction des SLA - Service Level Agreements - et OLA - Operational Level Agreements, et dans l’implémentation de la solution en collaboration avec les Experts Cloud Transformation de Devoteam.
    • Maintien en condition opérationnelle [MCO] : une fois la solution PRA dans le cloud mise en place, il faut s’assurer qu’elle reste en phase avec les exigences métiers et réglementaires tout au long de son cycle de vie. Assurer le contrôle et la révision des solutions mises en place pour être toujours au plus près du métier et conforme à la réglementation en vigueur.
  • Le maintien en condition op√©rationnelle

    Petites précisions sur ce dernier point : le MCO concerne notamment les tests de continuité de service qui permettent de s’assurer que les exigences métiers sont bien respectées et que les axes d’amélioration sont clairement identifiés et suivis au travers d’un plan d’amélioration continue. Selon le contexte de l’entreprise, les tests de continuité de service répondent également à des exigences réglementaires (c’est le cas notamment des opérateurs d’importance vitale [OIV]).

    Devoteam réalise régulièrement ce type de tests pour ses clients :

    • des tests PRA qui permettent de contrôler les solutions de secours IT mises en place ;
    • des tests de plan de repli utilisateurs [PRU] qui permettent, quant à eux, de s’assurer qu’en cas de sinistre impactant les locaux abritant les utilisateurs, que ces derniers puissent exercer leurs activités dans les meilleures conditions possibles.

    Lors de ses différentes prestations, Devoteam prépare et pilote chaque test, et restitue ensuite un plan d’amélioration continue à jour, référençant tous les axes d’amélioration identifiés lors du test.

  • La gestion de crise

    L’objectif de cette partie n’est pas de présenter la gestion de crise, mais d’aborder une particularité de celle-ci, et non des moindres, lorsqu’une solution de PRA dans le cloud est en place. En effet, il est nécessaire d’inclure les fournisseurs de service cloud dans le dispositif de gestion de crise. Devoteam travaille de manière transverse avec tous les fournisseurs, internes et externes, tout service confondu, pour que ceux-ci soient, d’une part, partie-prenante du dispositif de gestion de crise et, d’autre part, pour s’assurer de leur capacité à faire face à un sinistre. Devoteam réalise en outre des exercices de gestion de crise en impliquant toutes les parties prenantes internes et externes, tout service confondu.

     

    Le mot de la fin
    Quant à ceux ayant déjà pris ce virage technologique qu’est le cloud computing et ne se sentant pas concernés par le PRA dans le cloud, nous n'avons qu’une seule question à leur poser : votre prestataire de service cloud a-t-il mis en place les solutions de secours nécessaires à la continuité des services qu’il propose et à la sécurité de l’information qu’il prend en charge ?

     

    [1] ISO 22301 – Exigence internationale pour la mise en place d’un Système de Management de la Continuité d’Activité. Devoteam est également organisme formateur ISO 22301
    [2] O.S.C.A.R. – Optimisation de la Sécurité dans le Cloud par l’Analyse des Risques. Méthodologie d’analyse de risques élaborée par Devoteam.
    [3] Devoteam propose une offre dédiée Cloud Transformation, avec ses propres experts sur le sujet et des partenaires renommés dans le domaine de l’IT et du cloud computing.