Continuité informatique : la norme ISO 27031

La norme ISO 27031 fournit des lignes directrices pour la préparation des TIC (technologies de la communication et de l’information) pour la continuité d’activité. Ce document fournit un cadre pour adapter les systèmes d’information aux besoins de continuité métiers. Cette norme est liée à la série ISO 22301 centrée sur les aspects continuité. La continuité informatique est une des composantes du programme de continuité des activités.

 

Objectifs

Les activités de préparation d’un plan de continuité informatique visent à :

  • Améliorer les capacités de détection d’un incident.
  • Permettre une dégradation acceptable de l’état opérationnel en cas de défaillance inévitable.
  • Réduire le temps de reprise
  • Réduire l’impact d’un sinistre.

ISO27031

Objectifs du management du MCA (management de la continuité d’activité)  source ISO 27031

Le plan de continuité informatique comprend les processus suivants :

  • Mesures de prévention des sinistres (erreurs, accidents et catastrophes naturelles).
  • Modalités de détection des incidents (le plus tôt possible pour réduire les temps de réaction et l’impact sur les métiers).
  • Procédures de réaction aux incidents majeurs et aux sinistres.
  • Plans de reprise des systèmes d’information critiques.
  • Amélioration prenant en compte les enseignements tirés des incidents.

Composants du plan de continuité informatique

Le plan de continuité informatique englobe :

  • Le liste des experts clés avec la problématique de suppléance.
  • Les installations techniques et les sites.
  • Les infrastructures systèmes et réseaux.
  • Les applications.
  • Les données.
  • les procédures.
  • Les sous-traitants critiques.

Mise en œuvre d’un plan de continuité informatique

La norme ISO 27031 décompose les activités en quatre domaines :

  • Planification. Prenant en compte les résultats de la phase BIA (Business Impact Analysis), il s’agit d’identifier le système d’information dégradée qui répond aux exigences des métiers. Les délais de reprise de l’activité et de point de reprise (Return Time Objective et Recovery Point Objective) doivent être fixés par le métier et pris en compte en tant qu’exigences par le plan de continuité informatique.
  • Mise en œuvre. Ce volet comprend la rédaction des procédures opérationnelles et la formation des parties prenantes.
  • Vérification. Cette phase implique l’organisation de tests réguliers. On inclut aussi les audits des plans et des procédures.
  • Un plan d’amélioration continue identifie les actions techniques et organisationnelles à prévoir.
Les stratégies de continuité informatique sont définies en fonction des contraintes et facteurs internes telles que le budget, la disponibilité des ressources, les coûts, les contraintes techniques, le niveau d’acceptabilité des risques et les obligations réglementaires.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ContinuitéActivités, ISO7031, ContinuitéInformatique