SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Anticiper la crise Convertir en PDF Version imprimable Suggérer par mail
09-11-2005
"Les crises de demain sont souvent le refus des questions d’aujourd’hui."  rappelle    Patrick Lagadec

  • Incendie ou inondation dans un immeuble ou dans la la salle machine
  • catastophe naturelle (tempête, tremblement de terre)
  • incident dans les installations techniques (électricité, eau, climatisation, réseaux, télécoms,...)
  • panne du principal serveur de production
  • intrusion dans les systèmes
  • piratage d'un fichier
  • attaque virale
  • malveillance, piratage
  • attaque terroriste
  • mouvement social
  • problème sanitaire
  1. Êtes vous prets à y faire face ?
  2. A réagir dans les meilleurs délais
  3. A mettre en place à la fois coordination, prise de décision et moyens opérationnels appropriés ?
  4. Avez-vous un site de replis, pour vos personnels, pour vos moyens informatiques ?
  5. Combien de temps cela peut-il durer ?

  • Une Organisation de crise ne s'improvise pas

  • Les délais de réaction sont très pénalisants

  • Plusieurs niveaux de coordination sont à établir d'emblée

"une minute = un verre d'eau;
dix minutes = un camion;
une heure = une caserne"


Prévenir une crise c'est :
  • Accepter le caractère inévitable des crises
  • Anticiper :
    • se préparer à gérer le pire
    • détecter les signaux précurseurs du déclenchement d'une crise
    • disposer d'une organisation de crise....
      • une équipe de gestion de crise,
      • des procédures et outils de gestion de crise,
      • un plan de communication de crise
    • ....validée par des exercices
Qu'est-ce qu'une crise ?

La crise se caractérise par un certain nombre de périodes successives selon le profil général suivant :
  • Période normale: c'est le fonctionnement normal de l'organisation
  • Incident : Les incidents font l'objet de traitements particuliers (voir gestion d'incidents) mais ne sont généralement pas d'une ampleur telle qu'ils justifient la mise en œuvre d'une gestion de crise. Les incidents font partie de la vie normale de l'organisation. La gestion des incidents doit prévoir une classification et une escalade en cas d'aggravation pouvant amener à mettre en oeuvre la gestion de crise.
  • La Crise : Elle est déclenchée par un incident majeur qui évolue et nécessite un traitement exceptionnel déclenché par la cellule de crise
  • La réaction :C'est l'ensemble des mesures organisationnelles et/ou techniques mises en oeuvre par la cellule de crise à la suite de l'analyse de la situation. Si celles-ci sont prévues, la réaction sera rapide et appropriée, si elles ne le sont pas, la situation de stress viendra s'aditionner à l'impréparation de l'organisation pouvant aller jusqu'à le panique totale.
  • Le mode dégradé : dans cette phase on organisera la mise en œuvre des mesures de fonctionnement permettant la continuation des opérations dans des conditions exceptionnelles prévues dans les diverses procédures de secours : (exemple : repli des personnels dans des locaux de secours).
  • Le retour à la normale : cette phase constitue le retour progressif de l'organisation à une situation normale et marque la fin de la crise.


Profil de crise
Profil de crise



Pourquoi anticiper ?


Il est difficile d'imaginer aujourd'hui une société ou un organisme non préparé poursuivre ses activités si un sinistre frappe son infrastructure de production de biens ou de services, et encore moins sans informatique et notamment ses applications de gestion ou de conduite de processus par exemple. Dans le même temps les risques susceptibles d'engendrer des sinistres n’ont n'a pas faibli : Situation météorologiques exceptionnelles, coupures de courant de grande ampleur,  terrorisme etc... Autant de risques qui au delà des accidents plus communs comme les incendies, imposent d'élaborer un plan de secours qui consiste à assurer le management de la continuité de l'activité en cas de sinistre.

Ces plans doivent être déclinés en fonction des sinistres qu'ils doivent pallier :
Un plan de secours " viral " n'aura pas les mêmes caractéristiques qu'un plan de secours " inondation. ".

Cependant, dans leur recherche de rentabilité, les entreprises sont amenées à faire des choix d'organisation les rendant plus vulnérables aux interruptions même mineures.

Rendu obligatoire depuis le 1er juillet 2004 pour les établissements de crédit et les entreprises d’investissement (CRBF 2004-02 et arrêté du 31 mars 2005 modifiant le CRBF 97-02), le plan de continuité doit être cohérent, efficace, documenté et testé.

47% seulement des entreprises françaises estiment être suffisamment préparées en cas de sinistre majeur (source Enquête Ernst & Young sur la sécurité des entreprises Françaises en 2003).
La maturité des Plans de continuité, même informatiques reste elle aussi à améliorer :
Image






Dernière mise à jour : ( 03-07-2010 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.