RECO-QUÉBEC JAN. 2019 - BALISAGE SUR LES PLANS DE REPRISE DES TI (CONDUIT EN DÉCEMBRE 2018)
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RECO-QUÉBEC JAN. 2019
BALISAGE SUR LES PLANS DE REPRISE DES TI
(CONDUIT EN DÉCEMBRE 2018)
André Poulin
Conseiller en continuité de services
Hydro-QuébecREMERCIEMENTS SPÉCIAUX
• Élaine Comeau Banque Nationale
• Pascal Duhaime Hydro-Québec
• Luc Quenneville Reco-Québec
• Stéphane Richer Mouvement Desjardins
2LES RÈGLES
• 2 Questions obligatoires : Secteur d’activité et nombre d’employés
• Participation volontaire et anonyme
• Questions à choix multiples et à choix unique
• Nombre de répondant sous le graphique
3PUBLICS SONDÉS
• RECO-Québec
• Chapitres DRIE – Canada
• Institutions financières
• Compagnies électriques canadiennes
4CONTENU DE LA PRÉSENTATION
• Les répondants
• Gouvernance et encadrement
• Analyse de risques et d'impacts
• Plan de reprise des technologies de l'information
• Les tests
• Les changements aux systèmes critiques
• Maintien du plan
• Bonus…
5LES RÉPONDANTS
( 19 RÉPONDANTS AU SONDAGE )
Secteur d'activité
SERVICES PROFESSIONNELS, SCIENTIFIQUES ET TECHNIQUES 1
ARTS, SPECTACLES ET LOISIRS 1
AGRICULTURE, FORESTERIE, PÊCHE ET CHASSE 1
AUTRES SERVICES (SAUF LES ADMINISTRATIONS PUBLIQUES) 1
ADMINISTRATIONS PUBLIQUES 5
SERVICES PUBLICS 5
SERVICES D’ENSEIGNEMENT 1
FINANCE ET ASSURANCES 4
0 1 2 3 4 5 6
6NOMBRE D’EMPLOYÉS
Nombre d'employés Nombre d'employés en TI
6 6 7
6
5
3 3
2
0-1000 1001-5000 5001-10000 10000 ET + 0-100 101-500 501-1000 1001 ET +
(Répondants : 19 ) (Répondants : 19 )
7BUDGETS TI
(Répondants : 18)
Budget TI
(Millions de $ )
7
4 4
3
0-50 M$ 50 À 100M$ 100 À 500 M$ 500M$ ET +
(Répondants : 18 )
8SYSTÈMES CENTRAUX
(MAINFRAME)
Systèmes centraux ? Nombre de systèmes centraux
10% 14%
7; 37%
Oui 14% 1
Non 2
Ne sais pas 4
53% 72%
(Répondants : 19 ) (Répondants : 17 )
9SERVEURS (PHYSIQUES ET VIRTUELS)
Nombre de serveurs Progression des serveurs virtuels
(Physiques et virtuels)
PLUS QUE DES SERVEURS PHYSIQUES 10
9
EN HAUSSE CONSTANTE, PLUS QUE DES
7
SERVEURS PHYSIQUES
EN HAUSSE CONSTANTE, MOINS QUE DES
1
SERVEURS PHYSIQUES
4
2 2 EN HAUSSE CONSTANTE 14
1
1-100 101-500 501-1000 1001 À 10,000 10,001 ET + 0 2 4 6 8 10 12 14 16
(Répondants : 18 ) (Répondants : 18 )
10INFONUAGIQUE
Services d'infonuagique (Cloud)
9
5
4
1
PUBLICS PRIVÉS PUBLICS ET PRIVÉS NON
(Répondants : 19 )
11GOUVERNANCE ET ENCADREMENT
12ENCADREMENT CORPORATIF ET DE MARCHÉS
Encadrement des plans de reprise Assujettis à l’existence d'un Plan ?
0 1 2 3 4 5 6 7
DOCUMENT DE GOUVERNANCE 10 AUTORITÉ DES MARCHÉS FINANCIERS 3
BUREAU DU SURINTENDANT DES
2
NORMES (ISO, COBIT, AUTRES) 5 INSTITUTIONS FINANCIÈRES (BSIF)
NERC/FERC 5
DIRECTIVES DE REPRISE APRÈS SINISTRE, 10 ORGANISME CANADIEN DE
1
RÉGLEMENTATION DU COMMERCE DES…
AUCUNE NORME / DIRECTIVE / CLIENT(S) 3
3
GOUVERNANCE,
AUCUNE 6
0 2 4 6 8 10 12
(Répondants : 18 ) (Répondants : 16 )
13COMITÉ DE SUPERVISION
Quel comité supervise le plan Responsabilité du comité de direction
0 1 2 3 4 5 6 7 8
LA MAINTENANCE ET L'ENTRETIEN DU
7
PLAN DE REPRISE
COMITÉ DE DIRECTION (D'ENTREPRISE) 7
DES ESSAIS DE REPRISE 10
COMITÉ DE DIRECTION INFORMATIQUE
7
(DES TECHNOLOGIES DE L'INFORMATION)
DES STRATÉGIES DE REPRISE 8
COMITÉ DE GOUVERNANCE DES T.I. 3
L'ACCEPTATION DE L'ANALYSE DE
4
COMITÉ SPÉCIFIQUE À LA GESTION DE LA RISQUES ET DES RISQUES RÉSIDUELS
5
REPRISE L'IDENTIFICATION DES FONCTIONS
10
CRITIQUES
COMITÉ OPÉRATIONNEL DES T.I. 4
L'ACCEPTATION DE L'ANALYSE D'IMPACT 8
AUCUN 3
0 2 4 6 8 10 12
(Répondants : 17 ) (Répondants : 13 )
14COMMUNICATION SUR L’ÉTAT DU PLAN
Communication de l'état du plan
RAPPORT DES VÉRIFICATEURS 7
RAPPORTS PÉRIODIQUES 1
TABLEAUX DE BORD 5
RAPPORTS DE TESTS 12
0 2 4 6 8 10 12 14
(Répondants : 14 )
15ANALYSE DE RISQUES ET D’IMPACTS
16ANALYSES DE RISQUES ET D’IMPACTS
Analyse de risques Analyse d'impacts
Spécifique au centre de traitement Niveau corporatif
6%
2011 2011
2014 38% 2014
2015 Oui 2015
31% Oui
2016 Non 2016
Non
2017 En cours
62%
2017
63%
2018 2018
(Répondants : 16 ) (Répondants : 16 )
17ÉNONCÉ DE CRITICITÉ
Énoncé de la criticité
4%
En période de temps (minutes,
heures, jours)
35%
En catégories (Critique,
important, modéré...)
61% Autres
(Répondants : 18 )
18PLAN DE REPRISE DES TIC
19PLANS DE REPRISE DES TIC
Existence d'un plan de reprise Plan de reprise en lien avec :
11% AUCUN 3
VOTRE PLAN DE CONTINUITÉ DES AFFAIRES 13
Oui
Non
L'ANALYSE DE RISQUE 9
L'ANALYSE D'IMPACT (BIA) 10
89%
0 2 4 6 8 10 12 14
(Répondants : 19 ) (Répondants : 19 )
20PROTECTION ÉLECTRIQUE
Protection électrique Protections électriques testées
Plus d’une source
ALERTES 0 d’alimentation électrique VÉRIFICATION DES ALERTES 1
provenant d’un fournisseur
électrique
ALIMENTATION STATIQUE ALIMENTATION STATIQUE SANS COUPURE
SANS COUPURE (ASSC) 11 Génératrices 11
(ASSC)
GÉNÉRATRICES 15 GÉNÉRATRICES 14
Alimentation statique sans
coupure (ASSC)
PLUS D’UNE SOURCE
D’ALIMENTATION 9 SOURCE D'ALIMENTATION ÉLECTRIQUE 8
ÉLECTRIQUE PROVENANT…
Alertes
0 5 10 15 20 0 2 4 6 8 10 12 14 16
(Répondants : 18 ) (Répondants : 17 )
21SITES DE TRAITEMENT ET DE REPRISE
Centre de traitement Type de site de reprise
Nombre
AUCUN SITE DE REPRISE 1
DRAAS (DISASTER RECOVERY AS A
11 4
SERVICE, SOLUTION CLOUD)
SITE DE REPRISE COMMERCIAL 3
SITE DE REPRISE EN PARTENARIAT 2
SITE DE REPRISE D'UN FOURNISSEUR
3
"INTERNE" (EX. CENTRE DE SERVICE…
2 1 1 1 SITE DE REPRISE VOUS APPARTENANT 11
2 3 4 5 10 0 2 4 6 8 10 12
(Répondants : 16 ) (Répondants : 17 )
22PERTE MULTIPLE
Considerez-vous la perte multiple
de vos centres de traitements
41%
Oui
Non
59%
(Répondants : 17 )
23PROTECTION DES DONNÉES ET APPLICATIONS
Stratégies de protection des données Stratégies de protection applications
PRISE DE COPIES PHYSIQUES ACHEMINÉES PRISE DE COPIES PHYSIQUES ACHEMINÉES
9 8
À L'EXTÉRIEUR À L'EXTÉRIEUR
SITES MIROIRS 8 SITES MIROIRS 7
COPIES DE DONNÉES SUR LE MÊME SITE 9 COPIES SUR LE MÊME SITE 9
COPIES DE BASES DE DONNÉES INTERSITES
4 COPIES INTERSITES (SITE COMMERCIAL) 3
(SITE COMMERCIAL)
COPIES DE BASES DE DONNÉES INTERSITES
14 COPIES INTERSITES (VOUS APPARTENANT) 15
(VOUS APPARTENANT)
COPIES SUR LE CLOUD 5 COPIES SUR LE CLOUD 5
0 2 4 6 8 10 12 14 16 0 2 4 6 8 10 12 14 16
(Répondants : 18 ) (Répondants : 18 )
24AUTOMATISATION DES PLANS
Automatisation du plan de reprise
(Certaines composantes)
18%
Oui
12% Non
Partiellement
70%
(Répondants : 17 )
25COUVERTURE DES PLANS DE REPRISE
De tous les Des services
services TI critiques
100% 2 9
75% et plus 4 5
50% et plus 5 -
25% et plus 3 1
Moins de 25% 1 1
(Répondants : 15 ) (Répondants : 16 )
26SÉLECTION DES SERVICES ET CRITICITÉ
Sélection des services couverts basés Stratégies de reprises
sur : adaptées au niveaux de criticité ?
NON APPLICABLE SI COUVERTURE DE 12%
2
100%
BASÉ SUR DES ENTENTES DE SERVICE 5 Oui
Non
BASÉ SUR L'ANALYSE D'IMPACT 13
88%
0 2 4 6 8 10 12 14
(Répondants : 17 ) (Répondants : 17 )
27Avez-vous des ententes formelles
AUCUNE ENTENTE FORMELLE 5
POINT DE RECOUVREMENT DES DONNÉES (RPO) 9
DÉLAI DE RECOUVREMENT (RTO) 9
0 1 2 3 4 5 6 7 8 9 10
(Répondants : 15 )
28Services corpo. relevés
TÉLÉPHONIE ET/OU TÉLÉPHONIE IP 14
INTRANET 13
INTERNET 14
FICHIERS D'UTILISATEURS / PERSONNELS 10
SERVICES D'IMPRESSION 7
PARTAGE DE FICHIERS 13
COURRIER ÉLECTRONIQUE 16
0 2 4 6 8 10 12 14 16 18
(Répondants : 17 )
29DÉPENDANCE AU PERSONNEL
Gestion de la dépendance du personnel
(100% sont dépendant)
AUCUN 1
AUTOMATISATION DE LA SOLUTION 1
UTILISATION D'UNE FIRME EXTERNE 3
ACCOMPAGNEMENT / "COACHING" 5
FORMATION ET DÉVELOPPEMENT D'EXPERTISE CHEZ
8
D'AUTRES RESSOURCES
PRODUCTION D'UNE DOCUMENTATION TRÈS
11
DÉTAILLÉE,
0 2 4 6 8 10 12
(Répondants : 17 )
30DÉPENDANCE À UN(DES) FOURNISSEUR(S)
Dépendant d'un fournisseur ? Gestion de dépendance à un fournisseur
SUIVI DES PLANS D'ACTION DES
2
FOURNISSEURS
24% PART. DU FOURNISSEUR À NOS TESTS 6
PRÉSENCE AUX ESSAIS DU FOURNISSEUR 3
Oui ACCÈS RÉSULTATS DE TESTS DU
3
FOURNISSEUR
Non
RAPPORT D'AUDIT INDÉPENDANT 4
...RÉPONDANT À NOS RTO ET RPO 5
76%
EXIGENCE D'UN PLAN DE CONTINUITÉ 8
0 1 2 3 4 5 6 7 8 9
(Répondants : 17 ) (Répondants : 11 )
31CHANGEMENTS AUX SYSTÈMES CRITIQUES
Suivi des changements aux Responsables de modifier les plans
applications critiques
LES RESPONSABLES DES CHANGEMENTS 5
AVANT LES ESSAIS (PARTIELS OU
4
GLOBAUX)
LES EXPLOITANTS 6
DE FAÇON REGROUPÉE (PÉRIODE DE
4
TEMPS, FIN D'UN PROJET)
LORS DE LA MISE EN PRODUCTION D'UN L'ÉQUIPE DU PLAN DE REPRISE 11
12
CHANGEMENT
0 2 4 6 8 10 12 14 0 2 4 6 8 10 12
(Répondants : 15 ) (Répondants : 16 )
32FORMAT DU PLAN
Format du plan de reprise Outil de documentation du plan
VERSION ÉLECTRONIQUE DISPONIBLE SUR
5
PLUSIEURS SITES
VERSION ÉLECTRONIQUE SUR SUPPORT
1
MAGNÉTIQUE 18%
VERSION ÉLECTRONIQUE EN LIGNE OU
8
3 changeraient vers
SUR CLOUD un outil commercial
DOCUMENT COMPLET IMPRIMÉ 2
Suite bureautique (Office,
DOCUMENTATION DÉCENTRALISÉE 4 82% Google Docs, Lotus, Project)
DOCUMENTATION CENTRALISÉE 8 Outil commercial
0 1 2 3 4 5 6 7 8 9
(Répondants : 16 ) (Répondants : 17 )
33LES TESTS
34TESTS RÉALISÉS ET FRÉQUENCE
Tests réalisés Fréquence de test du Plan de reprise
TESTS COMPLETS / INTÉGRÉS 9
TESTS UNITAIRES TI 11
2
ACTIVATION / MOBILISATION 5
Semestriel
PRISE DE DÉCISION 6 Annuel
SIMULATION D'URGENCE 6 12 1 = Selon la criticité
TEST PAPIER 6
0 2 4 6 8 10 12
(Répondants : 16 ) (Répondants : 14 )
35ARRÊT COMPLET ?
Arrêt complet du site de traitement ?
39%
Oui
Non
61%
36
(Répondants : 17 )TESTS DES CHANGEMENTS
APPORTÉS AUX SYSTÈMES CRITIQUES
Quand sont testé les changements ? Qui exécute les procédures en tests ?
AU MOMENT D'UN TEST ANNUEL OU DES RESPONSABLES TECHNIQUES
9 1
GLOBAL EXTERNES À VOTRE ENTREPRISE.
AU MOYEN DE TESTS REGROUPANT LES
CHANGEMENTS (EX. :PAR SERVICE, AUX 1 DES RESSOURCES TECHNIQUES QUI NE
TRIMESTRES) SONT PAS ASSOCIÉS AUX 0
ENVIRONNEMENTS TESTÉS;
AU MOMENT DE LA MISE EN PRODUCTION 5
LES RESSOURCES TECHNIQUES QUI ONT
APPORTÉ DES MODIFICATIONS AUX 3
DANS UN ENVIRONNEMENT DE APPLICATIONS;
3
PRÉPRODUCTION
LES RESPONSABLES TECHNIQUES DES
AVANT LA MISE EN PRODUCTION 4 16
APPLICATIONS TESTÉS;
0 2 4 6 8 10 0 2 4 6 8 10 12 14 16 18
(Répondants : 15 ) (Répondants : 17 )
37LES CHANGEMENTS
AUX SYSTÈMES CRITIQUES
38VOTRE IMPLICATION DANS LES CHANGEMENTS
Implication dans les projets Droit de véto sur les changements
APRÈS LA MISE EN SERVICE 6
LORS DES TESTS D'ACCEPTATION 6
AVANT LA MISE EN SERVICE 9
Oui
47%
53% Non
LORS DE LA CONCEPTION 6
LORS DE L'ÉLABORATION DE
9
L'ARCHITECTURE
EN AVANT-PROJET 7
0 2 4 6 8 10
(Répondants : 15 ) (Répondants : 17 )
39MAINTIEN DU PLAN
40PLAN ET FRÉQUENCE
Plan ou calendrier de maintient Fréquence de révision du plan
36% En continu
44% Oui 43%
Semestriel
56% Non
Annuel
21%
(Répondants : 16 ) (Répondants : 14 )
41CONCLUSIONS
• % de participation
• Partage d’informations difficile – même lorsqu’anonyme
• Fichier de réponses anonymes disponibles aux répondants
• Recommandation:
• Un sondage annuel mené par RecoQuébec en rotation :
• Plan de reprise des TI,
• Plan de continuité,
• Mesures d’urgences;
42BALISAGE HORS SONDAGE
43HORS SONDAGE
• CloudEndure - 2017 Disaster recovery survey report (Mars 2017)
• Sonde 270 professionnels des technologies à travers le monde.
• Orienté sur les pratiques en plan de reprise
• BCI - Horizon scan report 2018
• 657 répondants dans 76 pays
• Identifie les principales menaces, interruptions, tendance et liens à la norme ISO 22301
44UN MERCI SPÉCIAL À CEUX
QUI ONT PARTICIPÉ AU SONDAGE
MERCI DE VOTRE PARTICIPATION
4546
Vous pouvez aussi lire
