Test passif

la procédure sont complètes, il faudra procéder à un essai à froid.

Deux fois par an, le responsable de la reprise après sinistre (c’est-à-dire, vous) devrait formuler les objectifs du test et développer le plan de test pour la restauration du système informatique. Ce test doit inclure une combinaison de tests actifs et passifs du DRP. Le plan de test montre les tests planifiés, avec leur timing, leur durée, l’effectif nécessaire et des commentaires explicatifs.

En règle générale, les tests passifs informatiques doivent se dérouler ainsi :

• Au moins une fois par an, les équipes de reprise technique IT effectueront un examen, basé sur un incident, du DRP. Ce test vérifiera que le plan correspond bien aux attentes des membres de l’équipe et qu’il vaut, quelle que soit la nature de la catastrophe
• Deux fois par an, les équipes de reprise technique devront tester leur capacité de reprise, sur un site de secours ou un site de centre informatique redondant, par un test technique actif. Le second test portera sur la restauration de l’infrastructure réseau.

En tant que responsable de la reprise après sinistre, vous allez diriger la revue de détail des procédures DRP et il vous incombera d’écrire un scénario d’exercice réaliste. Vous devez à la fois communiquer ce scénario à l’équipe et le documenter en bonne et due forme. En principe, vous donnerez plusieurs documents aux participants. Le premier décrit le sinistre, son timing et son impact. Au fur et à mesure de l’examen, des documents supplémentaires décrivent la manière dont les événements constitutifs de la catastrophe ont progressé. Par exemple, dans un scénario d’incendie, le premier document serait plutôt vague sur l’étendue des dommages. Le deuxième irait plus loin en précisant l’importance des dégâts, et le troisième pourrait introduire un facteur aggravant. Par exemple, les pompiers craindraient pour la solidité de l’immeuble et interdiraient l’accès à la salle informatique pendant une longue durée.

Le test passif est conduit avec tous les membres de l’équipe de reprise IT, mais il est bon d’inviter d’autres participants, selon le scénario et les composantes du plan soumis au test. Les participants doivent apporter leur copie actuelle du DRP. Chacun se voit assigner un ou plusieurs rôles spécifiques à jouer dans le scénario de catastrophe. En général, ce sera celui qu’il jouerait en réalité. Parfois, vous demanderez aux participants de changer de rôle, pour un entraînement croisé. Il faut tout tester, même ce qui est évident : demandez aux membres de l’équipe téléphonique dans le DRP de valider leurs numéros de contact ; appelez les fournisseurs après les heures d’ouverture normales pour vérifier que leur hot-line et leurs numéros de service sont corrects et qu’ils répondent ; et exécutez les tâches de notification d’escalade et de rassemblement un jour non ouvré.

Les règles du passage en revue sont simples :

1. En n’utilisant que le DRP et les descriptions de scénario formelles, décider quelles sont les tâches à exécuter.
2. Demander aux membres de l’équipe et à son chef de décrire oralement comment ils exécuteraient les procédures à l’aide du scénario et de l’information requise.
3. Après discussion, approuver ou modifier chaque tâche et procédure.

Parfois, le scénario ne se déroulera pas comme prévu. Il faudra donc apporter quelques changements et clarifications pour atteindre les objectifs. Tenez une réunion de « debriefing » après l’examen, pour récapituler les points d’action notés durant l’exercice et assurez-vous que chaque participant part avec une copie de la liste des points d’action.

Le rapport récapitulatif devrait contenir :

• les objectifs de l’examen ou du passage en revue
• la liste des participants
• le résumé du scénario
• Les documents de définition du scénario
• un résumé des changements touchant les ordinateurs et un plan et un calendrier pour leur exécution