Les exigences des plans de continuité d’activité : le Recouvrement

Les exigences des plans de continuité d’activité imposent de traiter de questions allant des objectifs et périmètres à la communication en passant par les procédures détaillées de récupération et solutions de contournement manuelles.

Il va de soi que le plus simple consiste à rétablir la partie « softwares et datas » sur la base d’une sauvegarde qui dans l’idéal fut effectuée régulièrement et propose deux voire trois anciens points de restauration. C’est là un moyen sûr de repartir à zéro. Pour être vraiment certain de ne pas réinstaller des données ou des logiciels infectés, il faudra en outre valider le système avant reconnexion et le surveiller après remise en route opérationnelle.

Selon le niveau de complétude de la restauration, diverses actions de compensation peuvent aussi être à envisager. Remettre à jour des logiciels avec les patches non pris en compte sur la dernière sauvegarde disponible ne sera pas le plus compliqué. En revanche, la chasse aux données perdues peut s’avérer non seulement fastidieuse mais aussi risquée. Il vous faudra jongler avec les informations centralisées et celles éventuellement stockées en local. Comparer le tout pour assurer la cohérence globale et chaque fois contrôler le niveau de confiance. Mieux vaut une donnée perdue qu’une donnée non intègre !

Nous avons évoqué deux organismes de normalisation. L’ISO est international. Le NIST, américain, propose une publication 800-82 dédiée à la sécurité des systèmes de contrôle industriels et apporte un point de vue des plus intéressants. Dans son chapitre 6.8, vous trouverez notamment des recommandations sur le « disaster recovery planning ». Le plan de reprise après sinistre est dit essentiel pour la continuité de la disponibilité et comprendre une politique de sauvegarde et de restauration. Classique. L’intérêt vient ensuite dans les pistes de réflexions qui sont avancées :

– La vitesse à laquelle les données et le système doivent être restaurés (ce qui peut par exemple justifier la nécessité d’un système redondant) ;

– La fréquence à laquelle les données et les configurations critiques changent (ce qui détermine la fréquence et l’exhaustivité des sauvegardes) ;

– Le lieu de stockage sécurisé, sur site et hors site, des sauvegardes complètes et incrémentales ;

– L’identification des personnes responsables de l’exécution, du contrôle, du stockage et de la restauration des sauvegardes…

De façon plus basique, vous vous tournerez vers le COBIT 4.1 (notamment les objectifs de contrôle DS4 visant à assurer un service continu) et les nombreux guides PCA/PRA.  Pour l’ISO, il y aura les exigences sur les systèmes de management de la continuité d’activité (ISO 22301) ainsi que les lignes directrices sur ces mêmes systèmes (ISO 22313) et pour la préparation des technologies de la communication et de l’information pour la continuité d’activité (ISO27031)…

En conclusion

Vous l’aurez compris, ici comme ailleurs aucun document n’est auto-suffisant. Vous êtes vivement encouragés à compléter, approfondir, recouper les sources. C’est également pour cela qu’il convient de prévoir le pire avant qu’il n’advienne et donc de s’organiser et de formaliser les procédures adéquates par anticipation.

Sachez par ailleurs qu’un incident détecté mais non formellement clos installera un flou sur l’état du système et entraînera tôt ou tard une interrogation chronophage. Il est donc impératif d’élaborer et d’appliquer une procédure pour clôturer les incidents…

Un dernier conseil : lorsque vous chercherez une vulnérabilité, a priori ou a posteriori, n’oubliez surtout pas de vous intéresser aux risques et menaces de l’ingénierie sociale. Votre SI, c’est également de l’organisationnel !