menu
L'expérience de nos cyber-consultants au service de votre organisation

Le virtuel rejoint le réel et le réel rattrape le virtuel

Actualité publiée par CoESSI RH le 29/03/2021 | Mise à jour le 09/06/2021 à 11:31
Le virtuel rejoint le réel et le réel rattrape le virtuel



À la suite d’événements récents, liés à l’indisponibilité soudaine d’un site d’hébergement / Externalisation / Cloud majeur du marché pendant plusieurs jours, générant une perte de données pour beaucoup de ses clients, la question se pose : cela peut-il m’arriver, avec quelles conséquences et que faire ?

 

 

     Photo DNA /Jean-Christophe Dorn

 

Non, cela ne peut pas m’arriver, Je ne suis pas concerné.

Mes applications et données sont sécurisées en externe chez un prestataire dans un contrat d’hébergement / Externalisation / Cloud externalisé incluant des engagements et des services d’assistance.
De plus, le prestataire propose des sites / salles hypers sécurisés
J’ai des sauvegardes gérées par le prestataire.
J’ai un contrat avec le prestataire, c’est à lui de gérer le problème, même en cas de force majeure.

 

En êtes-vous vraiment sûr ?


L’Hébergement / Externalisation / Cloud ne protège pas de tout.  Il reste un transfert de moyens vers un prestataire ou l’utilisation de moyens du prestataire, avec des services réalisés par celui-ci ou par vous-même, dans le cadre d’un contrat.

En cas de force majeure (incendie d’une ou plusieurs salles ou du site, incendie / explosion / terrorisme dans le voisinage, …) le site peut devenir indisponible, voire éteint, inaccessible pour le client lui-même.
Le prestataire est certes une forme d’assurance, si les moyens à mettre en œuvre sont déterminés à l’avance. Elle peut éventuellement indemniser, mais de combien par rapport à la perte d’exploitation de votre activité, au bout de combien de temps ? Que s’est-il passé entre-temps ?

 

Afin de vous prémunir contre tout aléa, nous vous présentons quelques pistes de réflexion à soumettre à tout prestataire :

    • Qui fait les sauvegardes d’applications et données, où sont-elles stockées, sont-elles transférées automatiquement ou non sur un autre site externalisé. Sont-elles réutilisables sur des environnements de continuité / secours et comment ? Qui s’occupe de ces opérations physiques et teste leur rechargement et avec quelle fréquence ?
    • Un contrat de continuité / secours / PRA / PCA / PSI … est -il souscrit proposant des moyens physiques de redémarrage des environnements techniques supportant mes applications, données et réseaux, et sous quel délai ?
    • Comment faire pour récupérer mes données physiques pour les transférer éventuellement vers un autre prestataire ?
    • Le site est-il soumis à des contrôles / audits et les recommandations me sont-elles accessibles ?
    • Une cellule de crise existe-t-elle chez le prestataire et à quel moment suis-je impliqué / informé en tant que client.

 

Conclusion


Les données hébergées restent « vos données » en toutes circonstances.
Par défaut, la solution d’Externalisation / Hébergement / Cloud ne fait pas tout et c’est en cas de sinistre que le réel rattrape le virtuel. Chaque option de service fait l’objet d’un contrat et d’engagement, même en cas de force majeure.
Le prestataire peut proposer des services de continuité / secours, en lien avec sa propre défaillance, qu’il en soit la cause ou non. Mais, chaque entreprise cliente reste responsable de la gestion de son propre risque, de la disponibilité de ses données et des solutions qu’elle veut bien mettre en place pour limiter « son propre risque vis-à-vis de ses propres clients ».
Chaque entreprise doit au préalable identifier ses propres besoins de redémarrage, les solutions de reprise et leurs coûts, et ainsi, la Direction Générale pourra trancher en connaissance de cause sur le risque qu’elle prend et fait prendre à ses clients en fonction des moyens qu’elle mettra en œuvre.
Sur ce sujet de la continuité d’activité, notre expertise reconnue depuis plus de 20 ans, nous permet de vous proposer:

 

   • Une analyse de risque
    • L’identification de vos propres besoins de redémarrage
    • Les solutions de continuité / reprise adaptées
    • La stratégie de continuité liée à vos enjeux avec recommandations, présentée en COMEX
    • Une organisation de crise
    • La mise en œuvre de la documentation adaptée à la situation de continuité


    • La sensibilisation / formation de vos personnels
    • Des tests de reprise
    • La mise en œuvre d’un système de management permanent de contrôle et suivi du secours adapté à vos besoins, en fonction de vos ressources en personnel.
    • Accompagnement dans l’établissement de stratégie de sécurité et dans la gestion de programmes et de projets de sécurité
    • Élaboration / Revue de politiques de sécurité / procédures / modes opératoires


    • Analyses de risques (EBIOS, …)
    • Intégration de la sécurité dans les projets
    • Pilotage / Evaluation de prestataires ou solutions
    • Elaboration de plan de contrôles SSI et/ou RGPD
    • Revues de conformité / Homologation [LPM, RGS, ISO27x]
    • Tableaux de bord / indicateurs

expand_less