Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

- Sécuriser son système d'information.

Par Vincent LE GARS Publié le 02/09/2015 à 22:33:39 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

- Présentation générale:

Actuellement, les systèmes d'informations occupent une place essentielle dans le bon fonctionnement d'une entité, qu'elle soit étatique ou non. De nombreuses associations comme le CLUSIF (Club de la Sécurité de l’Information Français) ou le CCA (Club de la Continuité d'Activité) s'accordent à dire que le système d'information doit pouvoir faire face à toutes sortes de perturbations. Pour cela, il est primordial pour une entreprise de se doter par exemple d'un PCA, PRA ou PRI.

Dans les grandes lignes le PRA ou « plan de reprise d'activité » fourni à différents types d'organismes tant publics que privés, un moyen efficace de retrouver un système informatique fonctionnel et ce dans les meilleurs délais. Lorsque l'on applique cette solution aux systèmes d'informations, on parle alors de PRI ou « plan de reprise informatique ». Il est censé garantir, après sinistre, une reprise des activités informatiques.

Plusieurs évènements souvent catastrophiques, ont démontré l'importance d'avoir une solution pouvant assurer la remise du système d'information en état et ce dans de faibles délais. Le PRA est donc à distinguer du PCA ou « Plan de Continuité d'Activité » qui lui, à la différence du PRA doit fournir une continuité de service. Dans ce cas de figure, la haute disponibilité sera d'avantage au cœur des préoccupations dans la conception de l'infrastructure et de l'architecture du réseau.

- Plan de Continuité d'Activité et haute disponibilité :

- Le plan de continuité d'activité.

Comme son nom l'indique, le PCA est ensemble de mesures et de procédures, sensées garantir l'accès le plus continu possible, aux ressources de l'entreprise, pouvant dès lors garantir une continuité de service.

Le PCA résulte en principe de plusieurs audits réalisés en amont, qui vont pouvoir orienter sa mise en place, notamment après avoir fait le point les risques et les impacts. Pour les grosses entités, un ou plusieurs sites de secours peut être dédié à la sécurisation des données critiques.

- La haute disponibilité.

De plus en plus, la haute disponibilité fait partie des préoccupations premières en entreprise. Toutefois selon le corps de métier, les entreprises n'ont pas ou ne peuvent pas avoir besoin d'une disponibilité proche de la perfection. En effet avoir de la haute disponibilité peut coûter cher selon les équipements que l'on veut redonder.

La haute disponibilité se calcule par rapport aux temps morts que rencontrent les différents équipements, que ce soit sur une semaine, un moi ou une année. Plus le temps d'indisponibilité (panne) est faible, plus on tend vers une disponibilité proche des 100%. Les entreprises qui peuvent se permettre d'investir dans des équipements apportant une fiabilité accrue, sont aux alentours de trente à quarante secondes d'indisponibilité par an.

A titre d'exemple, voici quelques méthodes permettant d'optimiser la disponibilité des équipements :

• La technologie RAID.

• La mise en cluster.

• La balance de charge.

La haute disponibilité est donc sous-jacente au PCA (Plan de continuité d'activité) et de ce fait, elle doit être dissociée du PRA qui entre en vigueur après son déclenchement pour pouvoir parer à différents cas d'urgences et nécessitant une reprise des outils de production dans un nouveau site.

- Le Plan de Reprise d'Activité.

Avant toute chose, il est impératif d'évaluer les risques susceptibles d'affecter l'infrastructure du réseau et les machines qui le composent, qu'il s'agisse d'une panne d’un des équipements, d'une panne électrique, d'une erreur humaine, d'un dysfonctionnement d'un logiciel ou d'un sinistre comme une inondation ou un incendie. Dès lors, les mesures visant à rétablir les services le plus rapidement possible peuvent être prises, tout en ayant fixé un délai maximal d'interruption.

Dans un second temps, il faut évaluer la tolérance à la panne et faire en sorte d'éviter dans la mesure du possible des pannes potentielles d'où l'intérêt d'avoir de la redondance, permettant de retrouver les données concernées dans leur intégralité.

Dans un troisième temps, le système d'information doit pouvoir faire des sauvegardes, qu'elles soient en temps réel ou en différé, en fonction des besoins et de l'importance des données. Bien entendu, il est indispensable d'évaluer le taux de perte de données maximale admissible, ce qui suppose d'évaluer le type de données générées par l'entité et d'éventuellement les classer afin de prioriser leur sauvegarde.

La différence avec le PCA réside dans l'idée que le PRA répond à de la prévention. Autrement dit, il s'agit de mettre en place une solution de secours utilisable après que le site de production initial soit dans l'incapacité d'assurer ses fonctions. Pour vulgariser la chose, il s'agit de mettre en place une sauvegarde de l'outil de production avec le(s) serveur(s) mail(s), le(s) serveur(s) d'impression(s), un contrôleur de domaine... etc.

Afin d'optimiser le PRA dans l'idée d'un éventuel déclenchement, il est nécessaire d'optimiser en amont l'infrastructure existante en faisant en sorte que celle-ci soit capable de répondre au mieux aux critères du PRA.

Pour donner un ordre d'idée sur la manière d'établir un PRA, voici quelques points sur lesquels l'équipe responsable de la rédaction du cahier des charges doit obligatoirement se pencher.

Avant de penser aux machines, il faut être à jour sur l'environnement dans lequel elles se trouvent. C'est pourquoi, un point doit être fait sur la salle des serveurs afin de savoir, par exemple, si la pièce est climatisée grâce à un circuit d'air ou d'eau, où passent les conduites, s'il y a une alarme et si celle-ci est administrable ou non... etc. Il faut également se renseigner sur les prestataires auxquels l'entreprise fait appel, afin d'évaluer les temps d'intervention.

D'un point de vue électrique, il est préférable de faire un point sur les points d'alimentations. Dans l'idéal l'autonomie, la charge supportée et la présence d'une fonction d'administration doivent être renseignées en ce qui concerne les onduleurs qui équipent la salle des serveurs.

Dans un deuxième temps il faut se pencher sur les serveurs et se poser les bonnes questions :

• Existe-il un serveur dédié aux sauvegardes ?

• Quels sont les équipements qui sont redondés ?

• Les serveurs sont-ils administrables à distance ?

• Ont-ils des procédures d'urgence programmées ?

• Quels sont les modes de sauvegarde ? Sauvegarde en temps réel / différée ?

• Les sauvegardes sont répliquées et si « oui », combien ?

• De quelle architecture les serveurs dépendent-ils ?

D'autre part, il ne faut pas non plus laisser de côté l'aspect humain du PRA. En effet il est important d'établir des priorités selon l'importance des services qui composent l'entreprise afin de hiérarchiser l'ordre des reprises.

Pour conclure, nous pouvons dire que l'on se rend compte que de nombreuses solutions de sécurité existent et qu'il est essentiel de prendre le temps de mettre en place plusieurs d'entre elles, d'autant plus que le contexte actuel démontre qu'elles ne représentent pas un coût superflu.

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels