Continuité d’activité dans le cloud computing

Continuité d’activité dans le cloud computing

Généralités sur la sécurité du système informatique 

 Rappel

 Les exigences de la sécurité de l’information au sein des organisations ont conduit à deux changements majeurs au cours des dernières décennies. Avant l’usage généralisé d’équipements informatiques, la sécurité de l’information était assurée par des moyens physiques (classeurs fermés par un cadenas) ou administratifs (examen systématique des candidats au cours de leur recrutement). Avec l’introduction de l’ordinateur, le besoin d’outils automatisés pour protéger fichiers et autres informations stockées est devenu évident. Ce besoin est accentué pour un système accessible via un téléphone public ou un réseau de données. On donne à cette collection d’outils conçus pour protéger des données et contrecarrer les pirates le nom de sécurité informatique. Le second changement majeur qui affecte la sécurité est l’introduction de systèmes distribués et l’utilisation de réseaux et dispositifs de communication pour transporter des données entre un terminal utilisateur et un ordinateur, et entre ordinateurs. Les mesures de sécurité des réseaux sont nécessaires pour protéger les données durant leur transmission. On parle alors de sécurité des réseaux. 

 Principes de la sécurité informatique 

 Disponibilité

La disponibilité d’une ressource est relative à la période de temps pendant laquelle le service offert est opérationnel. Le volume potentiel de travail susceptible d’être pris en charge durant la période de disponibilité d’un service, détermine la capacité d’une ressource à être utilisée (serveur ou réseau par exemple). 

 Intégrité

Le critère d’intégrité des ressources physiques et logiques (équipements, données, traitements, transactions, services) est relatif au fait qu’elles n’ont pas été détruites (altération totale) ou modifiées (altération partielle) à l’insu de leurs propriétaires tant de manière intentionnelle qu’accidentelle. Une fonction de sécurité appliquée à une ressource pour contribuer à préserver son intégrité, permettra de la protéger plus ou moins efficacement contre une menace de corruption ou de destruction. En effet, il convient de se prémunir contre l’altération des données en ayant la certitude qu’elles n’ont pas été modifiées lors de leur stockage, de leur traitement ou de leur transfert. Les critères de DEMBA 8 disponibilité et d’intégrité sont à satisfaire par des mesures appropriées afin de pouvoir atteindre un certain niveau de confiance dans les contenus et le fonctionnement des infrastructures informatiques et télécoms

Confidentialité

« La confidentialité est le maintien du secret des informations… » (Le Petit Robert). Transposée dans le contexte de l’informatique et des réseaux, la notion de confidentialité peut être vue comme la « protection des données contre une divulgation non autorisée ». Il existe deux types d’actions complémentaires permettant d’assurer la confidentialité des données : • limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ; • les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les déchiffrer ne puissent les utiliser. 

 Authentification

L’authentification doit permettre de vérifier l’identité d’une entité afin de s’assurer entre autres, de l’authenticité de celle-ci. Pour cela, l’entité devra prouver son identité, le plus souvent en donnant une information spécifique qu’elle est censée être seule à détenir telle que, par exemple, un mot de passe ou une empreinte biométrique. 

 Non-répudiation

La non-répudiation est le fait de ne pouvoir nier ou rejeter qu’un événement (action, transaction) a eu lieu. À ce critère de sécurité peuvent être associées les notions d’imputabilité, de traçabilité ou encore parfois d’auditabilité. 5 Etude du plan de reprise et de continuité d’activité

Plan de reprise d’activité

Un Plan de Reprise d’Activité (PRA) permet d’assurer, dans le cas d’une crise majeure, la reconstruction de son infrastructure informatique et la remise en route des applications nécessaires à l’activité de l’entreprise. Il existe plusieurs niveaux de capacité de reprise qui sont à définir en accord avec les besoins de l’entreprise et ses moyens financiers. DEMBA 

 A qui s’adresse le PRA ?

 Toute entreprise doit évaluer les menaces liées à son activité, et même si selon la taille et l’activité les mesures à prendre et les scénarii à envisager sont différents, la question est fondamentale pour chacune d’entre elles. Malheureusement, de nombreuses PME l’ignorent et jugent la mise en place d’un plan de secours trop couteux et complexe. 

 Comment fonctionne le PRA ?

Le but est de déterminer la meilleure stratégie pour pérenniser votre activité en cas de panne, sinistre ou incident, et de reprendre l’activité dans un délai acceptable pour l’entreprise. Pour cela vous devez déterminer les risques, leurs impacts, la durée critique et les personnes, services ou prestataires habilités à intervenir.

 Les mesures préventives

Elles regroupent les méthodes permettant d’éviter une interruption. Ce sont les méthodes les plus suivies. – La sauvegarde des données avec des solutions adaptées à vos besoins et contraintes ; – Les systèmes de secours ; – Les sites de secours (distants ou non) : Salle blanche : une salle machine protégée par des procédures d’accès particulières, généralement secourue électriquement ; Site chaud : site de secours où l’ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner Site froid : site de secours qui peut avoir une autre utilisation en temps normal ; Site tiède : site de secours intermédiaire. -La redondance (en local ou sur site secondaire) : la réplication des données.

Les mesures curatives

Ce sont toutes les méthodes qui permettent de redémarrer l’activité après un sinistre. Elles sont nécessaires car aucun système n’est fiable à 100 %. En fonction du sinistre et de la criticité des systèmes touchés, la stratégie définit des mesures de reprise différentes. DEMBA 10 – La reprise des données ou restauration des données, grâce à un système de sauvegarde des données sans défaillance permise ; – Le redémarrage des applications ; – Utilisation d’un site de secours ; – Le redémarrage des machines : Provisoire : utilisation des sites de secours ; Définitif. 

Plan de continuité d’activité

Définition Il s’agit de l’ensemble des mesures visant à assurer, selon divers scénarios de crise (y compris face à des chocs extrêmes), le maintien des prestations de service essentielles à l’entreprise. Un plan de continuité d’activité, ou plan de continuité des affaires (PCA) comprend l’analyse des risques, afin de pouvoir faire face à plusieurs scénarios : il peut s’agir d’un problème IT, une attaque de violation des données, une catastrophe naturelle sur un site, un incendie,… Le plan de continuité des affaires prévoit le maintien des prestations de services essentielles de l’entreprise, comme par exemple le travail de certains services sur un site de repli. Puis, la reprise planifiée des activités. 

 Objectif du PCA 

Un travail de recherche et de prévention est à effectuer afin d’établir des stratégies permettant de réagir efficacement à un scénario de catastrophe, à une alerte ou à une panne logiciel, par exemple. Le plan de continuité d’activité (PCA) a un rôle de prévention et d’anticipation pour affronter un danger ou un risque opérationnel. Il renforce la résilience de l’entreprise. Il servira à coordonner les différentes actions à entreprendre, à réagir rapidement en rassemblant les bonnes personnes.

Table des matières

1ère partie : Cadre de référence et approche méthodologique
Introduction générale
1. Cadre de référence
1.1 Présentation de la formation TDSI
2 Approche méthodologique
2.1 Contexte du sujet
2.2 Problématique
3 Objectifs
3.1 Objectifs généraux
3.2 Objectifs spécifiques
4 Généralités sur la sécurité du système informatique
4.1 Rappel
4.2 Principes de la sécurité informatique
4.2.1 Disponibilité
4.2.2 Intégrité
4.2.3 Confidentialité
4.2.4 Authentification
4.2.5 Non-répudiation
5 Etude du plan de reprise et de continuité d’activité
5.1 Plan de reprise d’activité
5.1.1 Définition
5.1.2 A qui s’adresse le PRA ?
5.1.3 Comment fonctionne le PRA ?
5.1.4 Les mesures préventives
5.1.5 Les mesures curatives
5.2 Plan de continuité d’activité
5.2.1 Définition
5.2.2 Objectif du PCA
5.2.3 Identification des risques liés à l’activité
5.2.4 Les indicateurs de sécurité en cas de sinistres
6 Etude des normes du Plan de Continuité d’Activité
6.1 La norme ISO 22301
6.2 L’ISO 22313
7 Etude du plan de Reprise d’Activité dans le Cloud
7.1 Définition du cloud computing
7.2 Les différents modèles de Plan de Reprise d’Activité dans le Cloud
7.2.1 Le modèle DRaaS (que l’on pourrait traduire comme PRA as a Service)
7.2.2 Le modèle « fait maison »
7.2.3 La reprise après sinistre d’un Cloud vers un Cloud (Cloud-to-Cloud Recovery)
8 Etapes d’élaboration d’un plan de reprise d’activité
9 Présentation de Windows Azure
Conclusion
Wébographie

 

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *