Articles

Affichage des articles du janvier, 2025

BIA : cinq erreurs à ne pas commettre

Image
Si l'analyse BIA est au coeur des démarches modernes de management de la continuité, elle est encore assez nouvelle dans les faits et les erreurs de méthode sont encore fréquentes. Petite revue de détail. Photo : E.Besluau Le BIA (Business Impact Analysis ou Bilan d'Impact des Activités) est une étape incontournable de tout Plan de Continuité d'Activité. Il permet de répondre à des questions comme : "quelles activités doivent être continuées ?" "ou reprise en priorité ?" ... "sous quels délais ?" ... "avec quels moyens ?" Autant dire que le BIA est un point de départ essentiel. Cependant, cette analyse de l'entreprise à la recherche de ses activités critiques est très délicate. Dans notre pratique de conseil sur ce sujet, nous voyons des manières de faire qui, à l'usage, nous paraissent vraiment être des erreurs à éviter ! Passons en revue quelques exemples. Erreur N°1 : se tromper de définition Le BIA (Business Impact Analysi...

Halte aux PCA bidons !

Image
Dans nos missions nous voyons quelquefois des ‘PCA vitrines’ qui cherchent à susciter la confiance tout en masquant la réalité et occultant les problèmes. Bien que les normes tendent à y mettre un terme, nous en voyons encore trop. Revue de quelques travers. Photo E.Besluau Travers N°1 : "On vous remet tous les postes de travail en deux mois" Les représentants de cette tendance présentent des tableaux Excel très fournis dans lesquels, service par service, le remplacement des postes de travail est prévu jusqu’au dernier. Les premier délais de reprise sont souvent assez courts (4 heures) et vont jusqu’à deux mois quelquefois. On raisonne en suivant l’organigramme. Ces approches font très souvent l’impasse sur les autres moyens indispensables au service comme l’informatique. On nous dit alors : « l’informatique a son Plan (dénommé PCIT ou autre) cela ira ». Il existe quatre défauts majeurs à cette manière de faire : Elle développe sur deux mois un plan implacable de remplacement...

Politique de sécurité de l'information : que faut-il y mettre ?

Image
La Politique de sécurité est un document majeur qui exprime la volonté de la Direction Générale en matière de sécurité de l'information. Ce document "met en musique" le management de la sécurité. Autant bien rédiger la partition ; zoom sur les clauses recommandées. photo : Mike Castro Demaria by Unsplash Qu'est-ce que la sécurité de l'information ? Rappeler de quoi il s'agit : protéger la confidentialité, l'intégrité et la disponibilité des informations. Pouvoir tracer toutes les actions dessus. C'est le minimum à exiger. Pour qui faisons nous cela ? Il faut définir simplement quels seront les bénéficiaires de la démarche sécurité que l'on veut lancer : les clients ? les usagers des applications informatiques (internes ou pas) ? des partenaires qui se connectent à notre SI ? les administrateurs des données et systèmes ? le grand public ? l'Etat ? Il faut de plus reconnaître les attentes et exigences en matière de sécurité de l'information ...

Incident ou crise : où est la limite ?

Image
On ne déclenche pas une cellule de crise pour un simple incident. Les entreprises ont appris à gérer les incidents courants sans alerter toute la hiérarchie... Toutefois, au-delà d'une certaine ampleur, les circuits "traitement d'incidents" peuvent être débordés et il faut alors passer en "mode crise" avec recours exceptionnel au management. La limite entre "incident important" et "situation de crise" est potentiellement floue et difficile à border clairement. Pourtant il faut le faire avec des idées claires, sinon on risque de perdre un temps précieux en cas de sinistre à courir dans tous les sens. Le traitement d'incident existe dans l'entreprise photo E.Besluau Les entreprises ont mis en place des procédures de traitement d'incidents pour faire face efficacement et sans heurt aux incidents les plus courants. Prenons des exemples : Une société de service de production informatique, qui exploite des serveurs, du stockage et d...