Christian Rolland

1. Préparer un test ou bien un exercice ?
La validation d’un PRA doit s’effectuer à travers des tests techniques et des exercices.
• Les tests techniques valident un point particulier du PRA, comme l’accès au réseau sur le site de reprise de l’activité. Toujours planifiés et préparés en amont, ils visent à vérifier ou à développer le projet mis en place.
• Les exercices simulent quant à eux un scénario de sinistre et valident une partie significative du PRA (les cellules de crise, les services logistiques…). Un exercice implique la participation de plusieurs métiers et peut revêtir différentes formes : simulé ou réel, préparé ou impromptu. C’est à l’issue du premier déploiement d’un PRA et des nombreux tests techniques qui l’accompagnent que le RPRA peut alors procéder à son premier exercice.

2. Se concentrer sur l’essentiel
Pour le premier exercice, il convient de définir un périmètre d’action raisonnable.

Il s’agit de démontrer sa capacité à :
o appliquer une stratégie de redémarrage des applications, afin de pouvoir anticiper un éventuel scenario de sinistre,
o conduire les arbitrages techniques et organisationnels adaptés au contexte de l’exercice. On cherchera donc principalement à s’assurer que :
o la reprise technique est opérationnelle,
o les procédures PRA sont efficaces et bien adaptées,
o les ressources humaines sont aptes à réagir en situation de PRA,
o la reprise des activités vers une situation normale se déroule correctement.

Et ce, dans les délais impartis. Pour la première expérience, un galop d’essai « à blanc », c’est-à-dire sans conséquence sur les données en production, est fortement recommandé.

3. Se donner du temps pour mieux déterminer ses objectifs
Le premier exercice nécessite en moyenne une semaine d’exécution. Il est cependant, nécessaire de prévoir un timing plus large pour parer aux impondérables et prendre en compte les nouvelles informations et tâches inhabituelles qui seront à vérifier dans le détail.
Pour cette raison le temps passé ne sera pas calculé « au réel » : les heures d’interruption de nuit ne seront pas prises en considération dans le décompte temps. Des process de traitement pourront en effet s’activer la nuit, mais le personnel n’interviendra pas. Cela présente l’avantage d’impliquer des équipes vigilantes et dédiées à l’exercice. N’oublions pas que la production se déroule en parallèle et nécessite du personnel.
Les cellules de crise correspondant aux scenarii d’exercice pourront être activées. Mais elles ne devront pas découvrir le PRA à cette occasion ! Des formations et des entrainements auront été prodigués précédemment aux cellules afin qu’elles n’entravent pas le bon déroulement du scénario par des réactions trop lentes ou inadaptées.
Le scénario d’exercice sera défini avec une grande précision technique et organisationnelle, ceci afin de pouvoir s’adapter au mieux à toute situation de crise à laquelle l’entreprise pourrait être confrontée. La qualité de l’exercice dépendra avant tout de son caractère plausible. En effet plus le scénario sera proche d’une situation réelle, moins les acteurs seront dans l’interrogation lors de l’exécution du Plan.
Ce synopsis devra être connu de tous les intervenants, qu’il s’agisse des personnes astreintes aux alertes, des membres des cellules de crise activées, des intervenants en production, ou encore du personnel qui pourrait intervenir dans le cadre d’une éventuelle démarche d’infogérance. A noter que chacun des acteurs devra disposer d’un remplaçant, prêt à être opérationnel le cas échéant.

4. Se préparer à une crise réelle lors de l’exercice !
En amont de l’exercice, sera réalisée une analyse de risques dont les résultats devront être communiqués à la Direction. Il s’agit de certifier que l’exercice n’aura pas d’effets collatéraux sur la production et les entités métiers, mais également que les ressources « de production » ne seront pas mobilisées et qu’elles pourront bien intervenir en cas de crise réelle. Par ailleurs, le RPRA doit se préparer à affronter une situation de crise réelle lors de l’exercice. En fonction des éléments identifiés il lui faudra afficher un plan d’action permettant de répondre à :
o des incidents pendant l’exercice,
o des procédures de PRA manquantes,
o des personnes indisponibles…

Par conséquent, un correspondant Système d’Information et un correspondant Métiers seront sensibilisés à l‘exercice afin de pouvoir être joints rapidement pour pouvoir réagir à un problème pouvant impacter la production. C’est pourquoi, dans la mesure du possible, les personnels d’astreinte, les locaux de gestion de crise, les procédures d’alerte « réelles »… ne seront pas ceux concernés par l’exercice.

Le RPRA sera donc d’une vigilance extrême le jour J, et s’assurera, avant de donner le « GO » de l’exercice, qu’il n’y a pas eu d’incidents en production, de sauvegardes interrompues ou tout fait pouvant contrecarrer le début de l’exercice.

5. Former et communiquer à bon escient sur l’exercice
Un exercice de PRA nécessite une formation spécifique sur plusieurs jours des protagonistes. Cette formation de une à deux heures permettra de passer en revue les principales interrogations et de fournir des éléments de réponses : détails concernant l’organisation, usage des documents, planning et rôle de chacun… Pour les membres des cellules de crise, il est cependant préférable d’organiser une formation spécifique.
N’oublions pas non plus de mentionner les observateurs ; présents sur site et répartis entre les cellules de crise, l’infogérance et les salles d’exercice. Ils auront pour mission de prendre note de l’utilisation de la documentation PRA, de rapporter les délais des principales étapes, de tenir une main courante locale, mais aussi de faire état des incidents et dysfonctionnements observés. A noter que ces observateurs ne devront à aucun moment intervenir dans le déroulement de l’exercice.
La communication quant à elle pourra s’effectuer à travers un intranet d’entreprise, grâce à des messages collectifs donnant ponctuellement un aperçu de l’avancement de la préparation jusqu’au jour J.

6. Déployer efficacement la logistique
Pour ne pas être pris au dépourvu, il est important de définir plusieurs mois à l’avance les locaux qui seront réquisitionnés pour l’exercice. Il s’agit principalement de la salle de pilotage, des salles de crise et d’une salle commune pour les réunions ponctuelles des différents acteurs. Il est néanmoins préférable que la majorité des intervenants puisse réaliser l’exercice depuis le poste de travail habituel, afin d’être au plus près d’une mise en situation réelle.
Concernant le pilotage de l’exercice, un logiciel de gestion des plans de secours apparait aujourd’hui indispensable au maintien opérationnel d’un PRA ou d’un PC (Plan de Continuité). En effet, des plans sous Word, sous Excel ou MS Project se trouvent vite limités. Un outil de pilotage en réseau sera capable de donner en temps réel l’avancement de la situation, l’exécution de plans, de procédures, et permettra de prévenir d’éventuels incidents. La communication pendant l’exercice constitue l’une des principales préoccupations du RPRA. L’outil de gestion des plans de secours lui apportera en ce sens une aide précieuse, mais sera néanmoins accompagné des réseaux habituels de communication (messagerie d’exercice, lignes téléphoniques dédiées, présence de conférenciers dans chaque salle…). Il faut également intégrer à la logistique de l’exercice tous les moyens « techniques » spécifiques à celui-ci, tels que le réseau LAN (dédié aux environnements de reprise dans le cas d’un exercice indépendant de la production) ou les ressources informatiques réquisitionnées pour l’occasion (souvent des moyens utilisés en préproduction), ce qui implique :

o Le recensement des ressources d’exercices,
o Un planning de mise à disponibilité de ces moyens,
o Un déploiement des configurations adaptées à l’exercice,
o Des tests unitaires de bon fonctionnement avant l’exercice…

Il ne faut absolument pas négliger l’importance de la charge de travail correspondant à cette phase préparatoire. C’est pourquoi, afin de gérer l’ensemble des actions nécessaires à la mise en œuvre d’un exercice, il est nécessaire que le RPRA constitue un comité de préparation, cellule qui l’assistera ainsi dans l’organisation, la logistique et la communication.

7. Suivre l’exercice avec vigilance
Ca y est, c’est le jour J !
Le PRA suivra en permanence l’évolution de l’exercice. Au début, sa place sera dans la salle de pilotage, où il s’assurera du bon démarrage des opérations et de la bonne tenue de la main courante dans laquelle toutes les informations pertinentes y seront notifiées par un « secrétaire ». Ensuite, une fois les opérations initiées et la Direction informée du démarrage des opérations, il fera rapidement un contrôle de chaque cellule prenant part au PRA.
Il est important de pouvoir s’entretenir avec les responsables d’équipes et les observateurs, et de mesurer à la fois la qualité et l’atmosphère du travail. Le RPRA devra modérer, rassurer et aider dans la prise de décisions, ce qui aura pour objectif de fédérer l’équipe assignée à l’exercice. Le RPRA supervisera ensuite au quotidien les points de situations en salle de pilotage en s’appuyant sur les informations collectées et répertoriées dans « la main courante ». Cependant, si la logistique de communication est opérationnelle, un point midi et soir sera suffisant. A l’issue, un message sera transmis à la Direction pour l’informer des principales tâches, et notamment de l’état d’avancement sur le planning initial.
Chaque fin de journée donnera lieu à un débriefing qui sera fait oralement, à chaud, en salle de pilotage. Le RPRA donnera les principaux éléments d’information de la journée et demandera aux responsables ayant éprouvé des difficultés de faire part de leurs analyses.
Le dernier jour de l’exercice, un ultime débriefing sera réalisé, avec cette fois-ci plus de participants, dont les observateurs, les responsables d’équipes et les membres de la cellule de crise de la Direction.

8. Terminer et « archiver » l’exercice

Dernière étape et non des moindres, le RPRA veillera à ce que les acteurs restent mobilisés. A l’issue de l’exercice, l’environnement de secours doit en effet être remis à disposition, tel qu’à l’origine. Il faut donc suivre ces opérations de remise en état jusqu’au bout et s’assurer que la production retrouve l’ensemble de ses moyens.

Dans la mesure du possible, les sauvegardes seront également conservées quelques temps pour une éventuelle analyse post-exercice. Il faut également penser au traitement de l’ensemble de la documentation générée lors de l’exercice, de préférence via un logiciel de pilotage, ce qui simplifiera la tâche. Les mains courantes, les rapports, les notes des différents intervenants et les messages devront être récupérés, analysés et complétés pour ensuite faire l’objet d’un rapport détaillé.

o Un compte rendu global sera adressé aux responsables, quelques jours après l’exercice. Il permettra de fournir rapidement un retour d’expérience et fournira aussi l’occasion de leur (re)demander les informations qu’ils ont également à retransmettre au RPRA pour établir le rapport final.

o Un compte rendu détaillé sera transmis à la Direction et aux responsables impliqués afin qu’ils puissent mettre en œuvre, si besoin, les recommandations issues de l’analyse de l’exercice et nécessaires à un PRA opérationnel.

Une fois l’exercice terminé et « historisé », les informations qui en seront extraites le feront entrer dans une nouvelle phase, celle dite de « Maintien en Condition Opérationnelle ». Une autre histoire, pour un autre projet…

Jean-Marc Boursat

Cet article est une synthèse de la conférence organisée par le Clusif le 15 Octobre 2009.

28% des entreprises effectuent une évaluation financière des incidents de sécurité d’après le dernier rapport “Menaces informatiques et Pratiques de sécurité en France”. Contrairement à d’autres pays, les entreprises françaises ne sont pas obligées de déclarer les incidents de sécurité qui pourraient impacter leurs clients ou fournisseurs. Par conséquent, il y a très peu de communications sur le sujet et encore moins de statistiques fiables. Au USA, le rapport annuel 2008 de l’IC3 (Internet Crime Complaint Center) fait état d’une perte globale (tous incidents rapportés) de 264,6 Millions de Dollars en 2008. Le CSI (Computer Security Institute) donne quelques chiffres dans son rapport d’enquête 2008 en prévenant que seulement une petite partie des sondés ont bien voulu donner des chiffres : “the most expensive kind of incident on average was financial fraud, with an average reported cost of $463,100, followed by dealing with “bot” computers within the organization’s network, reported to cost an average of $345,600 per respondent. As a point of interest, dealing with loss of either proprietary information or loss of customer and employee confidential data averaged at approximately $241,000 and $268,000, respectively.”

Pourquoi faire une évaluation financière d’un incident de sécurité ? La sécurité informatique n’est pas une finalité mais elle a un coût. Ce coût doit être comparé avec les estimations de pertes financières effectuées lors d’une analyse de risque. Les évaluations financières des incidents (avérés) de sécurité permettent de confirmer ou corriger les estimations (démarche RoSI orienté incident). De façon plus pragmatique, un RSSI doit justifier ses investissements et l’évaluation financière d’un incident peut aider à débloquer des budgets. Enfin, si le sinistre est assuré, l’évaluation financière fait parti du processus d’indemnisation.

L’évaluation doit prendre en compte les dommages “directs” sur le matériel et les données, et les dommages “indirects” sur le fonctionnement de l’entreprise. En général, ce sont les dommages “indirects” qui sont les plus importants et les plus difficiles à évaluer. Dans le cas d’un incident de sécurité logique (intrusion, infection virale, …), l’évaluation est complexe et les participants à cette conférence ne sont pas reparti avec une formule toute faite.

Ce que je retiens des débats est que l’évaluation financière doit être pragmatique et justifiée. Elle englobe 4 parties :

• l’évaluation des coûts de reconstitution matérielle (remplacement des équipements, des infrastructures, des bâtiments, …)
  La technologie évoluant très vite selon la fameuse loi de Moore, l’évaluation doit prendre en compte la valeur de remplacement des équipements perdus, à capacité égale (CPU, Disque, …)
• l’évaluation des coûts de restauration des données et/ou programmes
  Ces coûts dépendent fortement des moyens de sauvegarde mise en oeuvre. Dans le cas d’un incident entraînant une obligation de fournir des traces, la recherche des données peut coûter très cher si le système d’information n’est pas outillé pour le faire.
• l’évaluation des coûts métiers (impact sur le chiffre d’affaire de l’entreprise)
  Ce sont les coûts les plus difficiles à évaluer. Les assureurs se focalisent sur l’évaluation de la perte de chiffre d’affaire. Ces pertes doivent être justifiables, basées sur les chiffres de l’entreprise et de son secteur d’activité. Dans le cas d’un incident de sécurité portant atteinte à l’image de la société, il est proposé de s’intéresser à l’évolution de la part de marché de l’entreprise pour estimer la part de la clientèle qui s’est reporté sur la concurrence.
• l’évaluation des coûts de traitement de l’incident (main d’oeuvre supplémentaire, location, frais juridique, …)

Selon l’incident, les 4 parties de l’évaluation ne seront pas obligatoirement concernées. Par exemple, un incident virale ne nécessite pas de remplacer le contenu d’un datacenter. Autre exemple, une intrusion ayant entrainée une divulgation de données confidentielles devra être évaluée en prenant en comptes les coûts métiers et les coûts de traitement.

La même méthode peut être utilisé lors d’une phase d’estimation financière de l’occurrence des risques lors d’une analyse de risques. Dans ce cas, l’exercice est encore plus difficile car de nombreuses variables inconnues rentreront dans les équations, et certaines valeurs vont dériver dans le temps. C’est certainement pour cette raison que les normes ou guides (ISO27005 par exemple) ne donnent pas de recettes miracles, tout en préconisant de faire ces estimations.

En conclusion, l’évaluation et plus encore, l’estimation financière d’un incident de sécurité est complexe et cette complexité entraîne même certaines sociétés a ne pas faire l’exercice. Je reste cependant convaincu que l’évaluation financière est un moyen de communication auprès de sa direction pour obtenir des moyens. Mais le plus important reste la prévention des incidents de sécurité, et comme la prévention ne peut être infaillible, il faut être en mesure de détecter l’occurrence d’un incident de sécurité. Est ce toujours le cas ?