NAKIVO > Blog

Évaluation de l’impact des risques dans la reprise après sinistre : par où commencer ?

Publié le: février 4, 2020

Written by: NAKIVO Team

L’évaluation des risques est l’une des premières étapes nécessaires pour trouver un moyen de les réduire et ainsi assurer la sécurité de votre infrastructure. La création d’un plan de reprise après sinistre efficace commence par la recherche des menaces et vulnérabilités potentielles de vos éléments d’infrastructure, ainsi que des moyens d’y répondre. L’évaluation des risques n’est pas un processus ponctuel. Vous devez régulièrement mettre à jour vos politiques d’évaluation des risques, en particulier si vous exploitez une infrastructure en constante évolution. Notre article vise à expliquer l’importance de l’évaluation de l’impact des risques dans la planification de la reprise après sinistre et à fournir des informations de base sur la manière dont l’évaluation des risques est effectuée.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Évaluation de l’impact des risques : concepts connexes

L’évaluation des risques est un élément important de la planification de la reprise après sinistre (DR) et de la continuité des activités (BC). Bien qu’il faudrait deux articles de blog distincts pour expliquer en détail la DR et la BC, voici un bref aperçu de ces deux pratiques :

  • Le plan de reprise après sinistre est un document qui contient un algorithme bien défini des actions à prendre en cas d’incident. Son objectif est de simplifier la récupération après les effets négatifs causés par l’incident. Les instructions décrites dans un plan de reprise après sinistre ont pour but d’aider votre entreprise à maintenir ou à reprendre rapidement ses opérations critiques, réduisant ainsi au minimum les temps d’arrêt.
  • Le plan de continuité des activités désigne un ensemble d’actions visant à prévenir les menaces potentielles et à permettre la récupération après les incidents auxquels votre entreprise est confrontée. L’idée principale est de s’assurer que les employés et les actifs de votre entreprise sont protégés et capables de reprendre leurs activités en cas de catastrophe. Un plan de continuité des activités est plus large qu’un plan de reprise après sinistre : il vise à garantir la poursuite des activités après une catastrophe, tandis qu’un plan de reprise après sinistre est conçu pour atténuer rapidement les effets négatifs de cette dernière.

L’évaluation des risques et de toutes les vulnérabilités potentielles auxquelles votre entreprise peut être exposée est effectuée avant la mise en œuvre d’un plan de reprise après sinistre. Une bonne pratique consiste à la lancer immédiatement après avoir réalisé une analyse d’impact sur l’activité (BIA), autre élément important d’une stratégie de reprise après sinistre, visant à identifier les conséquences potentielles si l’une de vos fonctions ou l’un de vos processus opérationnels venait à être interrompu.

L’évaluation des risques liés à la reprise après sinistre est un document qui contient une description des risques potentiels pour le fonctionnement d’une organisation. Elle couvre à la fois les catastrophes naturelles et celles causées par l’homme et estime la probabilité de survenue de chaque scénario. Les résultats de l’estimation sont ensuite multipliés par les conséquences d’un incident. La valeur obtenue définit le niveau de protection de votre organisation contre une menace donnée. Voici quelques-uns des thèmes fondamentaux que le document est censé mettre en évidence :

  • Dommages potentiels que l’incident pourrait causer ;
  • Temps et efforts nécessaires pour atténuer les effets de l’incident & coûts associés ;
  • Mesures préventives visant à réduire les risques de catastrophe ;
  • Instructions visant à réduire la gravité d’un incident.

L’évaluation des risques est un processus long qui nécessite à la fois des compétences et une attention particulière aux détails. Lors de la préparation de ce document, il est préférable de suivre les directives, de prêter attention aux outils d’évaluation des risques et de télécharger un exemple d’évaluation des risques liés à la reprise après sinistre pour une meilleure compréhension.

Comment effectuer une évaluation de l’impact des risques

En général, le processus d’évaluation des risques liés à la reprise après sinistre comprend les étapes décrites ci-dessous. En fonction des besoins de votre organisation, vous pouvez ajouter des étapes supplémentaires ou en ignorer certaines parmi celles qui sont répertoriées.

  1. Dressez la liste des actifs

Définir les actifs les plus précieux pour votre organisation est la première étape pour les protéger. Le terme « actifs » est assez large et peut inclure les serveurs, les sites Web et les applications, les informations sur la clientèle, les bases de données, les documents papier ou électroniques, etc., et même les membres clés de l’équipe.

Pour mener à bien cette tâche, envisagez de créer un questionnaire . Il est important de recueillir les commentaires non seulement des principaux responsables et chefs de service, mais aussi de tous les employés de l’entreprise. Cela peut vous aider à prendre conscience de certains éléments qui auraient pu être négligés. Commencez à documenter les risques et menaces spécifiques à chaque service.

  1. Identifiez les risques

Plus précisément, vous devez définir ce qui peut affecter chacun de vos actifs et de quelle manière. Cela inclut les logiciels, le matériel, les données et les employés. Veillez à adopter une approche intégrée qui couvre le plus large éventail possible de types et de formes de catastrophes. Il s’agit notamment des éléments suivants :

  • Catastrophes naturelles. Même si votre infrastructure est située à un emplacement peu exposé aux ouragans ou aux tremblements de terre, vous ne pouvez ignorer la possibilité d’incendies et de ruptures de canalisations d’eau. Tenez-en compte lorsque vous décidez de l’emplacement de vos serveurs.
  • Défaillance du système. La probabilité de défaillance dépend de la qualité de votre équipement informatique et des efforts de maintenance que vous y consacrez. Il existe toujours un risque qu’une machine s’éteigne et cesse de fonctionner sans avertissement ni message d’erreur. De plus, une défaillance du système peut résulter de problèmes logiciels graves, tels qu’une ligne de code défectueuse, par exemple.
  • Erreur accidentelle. La formation de vos employés, l’octroi d’un temps de repos suffisant, la mise en œuvre de protocoles de sécurité et d’autres mesures préventives n’éliminent pas totalement les risques d’erreur humaine. Certains de vos employés peuvent supprimer involontairement un fichier important, cliquer sur un lien malveillant ou endommager accidentellement un équipement.
  • Activités malveillantes. Ce groupe de risques se présente sous diverses formes, des attaques traditionnelles de pirates informatiques ciblant vos données aux menaces internes telles que l’utilisation abusive d’identifiants de connexion et la modification ou la détérioration intentionnelle de données.
  1. Trouver les vulnérabilités

Il est important d’identifier les faiblesses qui peuvent être exploitées pour obtenir ou endommager les actifs de votre entreprise. Pour effectuer une action non autorisée, un pirate a besoin d’un vecteur d’attaque (c’est-à-dire une méthode) qui peut être appliqué pour tenter d’exploiter la faiblesse d’un système. La somme de ces vecteurs d’attaque dans votre infrastructure informatique est connue sous le nom de surface d’attaque. L’idée principale est de réduire au minimum la surface d’attaque.

Veillez à évaluer la probabilité d’exploitation des vulnérabilités. C’est la première étape pour hiérarchiser les failles de sécurité et allouer les ressources nécessaires pour les éliminer. Selon les statistiques basées sur le Common Vulnerability Scoring System (CVSS), une norme industrielle permettant d’évaluer la gravité des vulnérabilités, les failles de gravité élevée sont exploitées dans la plupart des cas. Cependant, cette règle connaît des exceptions.

  1. Évaluez les conséquences potentielles

Réalisez une analyse d’impact des risques afin de déterminer les pertes financières auxquelles votre entreprise pourrait être confrontée si l’un de vos actifs était endommagé. Outre la perte de revenus, les conséquences potentielles peuvent inclure la perte de données, des dommages à votre environnement informatique résultant d’un temps d’arrêt, une atteinte à votre réputation et des problèmes juridiques. Sachez que les pertes apparentes ne sont peut-être que le début. Un incident peut entraîner des coûts cachés liés aux relations publiques et aux enquêtes, ainsi que des augmentations de primes d’assurance et des frais juridiques.

risk impact assessment

  1. Prioritize the risques

Définissez le niveau de risque pour chaque paire de menaces et de vulnérabilités. Basez votre évaluation sur une combinaison de deux facteurs : la probabilité d’exploitation de la vulnérabilité et les conséquences potentielles de cet incident. Essayez d’estimer le montant des pertes de revenus que votre entreprise pourrait subir à la suite de l’événement à risque.

La hiérarchisation doit être basée sur la corrélation entre le niveau d’impact et la probabilité qu’un incident donné se produise. Si l’incident peut avoir des conséquences négatives graves et est très susceptible de se produire, il doit être considéré comme hautement prioritaire. Chaque menace doit se voir attribuer une valeur respective, allant de « très élevée » (risque élevé combiné à des pertes financières importantes) à « très faible » (faible probabilité et dommages insignifiants).

  1. Consignez les résultats

La dernière étape de l’évaluation de l’impact des risques consiste à préparer un rapport ou un document qui couvre toutes les estimations mentionnées ci-dessus. Ce document pourra ensuite vous aider à planifier votre budget, à allouer vos ressources, à mettre en œuvre des politiques de sécurité, etc. Il doit décrire les vulnérabilités, l’impact potentiel et la probabilité de survenue de chaque menace. Pour mieux comprendre, consultez l’exemple ci-dessous :

Menace Vulnérabilité Asset Impact Probabilité Risques Précautions
Surchauffe dans la salle des serveurs (panne du système) – Élevé Le système de climatisation est ancien et mal entretenu – Élevé Serveurs – Critique Services, sites Web, applications, etc. indisponibles pendant quelques heures – Critique Température dans les salles de serveurs : 40 °C – Élevée Pertes financières importantes par heure d’indisponibilité – Élevée Achetez un nouveau climatiseur & assurez-vous d’une meilleure MAINTENANCE

Après avoir commencé, vous comprendrez mieux les opérations et les processus de votre organisation, ainsi que les moyens de les optimiser. Sur la base de l’évaluation de l’impact des risques, élaborez une politique réglementant l’étendue des actions que votre entreprise est censée prendre chaque mois, chaque trimestre ou chaque année. Essayez de déterminer comment chacune des menaces doit être traitée et atténuée, et quand procéder à l’évaluation des risques suivante.

Préparez-vous à l’avance

Ignorer l’importance de préparer un rapport d’évaluation des risques complet est l’un des risques les plus courants en matière de reprise après sinistre. Ce rapport s’avère très utile pour réduire la probabilité qu’un incident se produise, atténuer ses effets négatifs et limiter au maximum les temps d’arrêt.

À titre d’exemple, effectuer des sauvegardes régulières et stocker des copies de sauvegarde hors site est une pratique judicieuse qui garantit la récupérabilité de vos données dans un large éventail de scénarios, de la suppression accidentelle à la destruction totale d’une salle de serveurs. De plus, avec une réplique valide en place, vous pouvez réaliser la récupération de vos données après un sinistre en quelques clics seulement.

NAKIVO Backup & Replication offre une large gamme d’outils et de fonctionnalités pour vous aider à sauvegarder et à répliquer vos Workloads. Vous trouverez ci-dessous un bref aperçu de nos fonctionnalités :

Sauvegarde des données

  • Sauvegardez les charges de travail virtuelles, physiques et dans le cloud.
  • Récupération instantanée de fichiers, de dossiers et d’objets d’application directement à partir de sauvegardes compressées et dédupliquées. Vous pouvez récupérer les données vers la source ou vers un emplacement personnalisé. Cette fonctionnalité fonctionne à la fois sur les réseaux LAN et WAN, et toutes les autorisations d’accès aux fichiers sont restaurées.
  • Envoyez des copies de vos sauvegardes hors site afin de vous assurer qu’elles ne seront jamais perdues à la suite d’une suppression accidentelle, d’une corruption, d’une panne de disque, d’une cyberattaque ou de tout autre événement imprévisible.

Réplication de machines virtuelles

  • Créez des copies identiques, également appelées réplicas, des VMs VMware, Hyper-V et AWS EC2.
  • Reprenez vos opérations critiques presque instantanément grâce au basculement vers une réplique de VM. En d’autres termes, vous pouvez réaliser la récupération d’une VM affectée par une panne logicielle ou matérielle en quelques clics seulement.
  • Effectuez une réplication à partir d’une sauvegarde pour décharger votre environnement de production et gagner du temps, ce qui est particulièrement important dans les grandes infrastructures informatiques.

Pour minimiser les pertes de données et réduire les temps d’arrêt, préparez-vous à l’avance. Ensemble, NAKIVO Backup & Replication & Replication et un rapport d’évaluation des risques adéquat peuvent vous aider à protéger votre environnement contre un large éventail de scénarios imprévus.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Console distante VMware : comment l’installer sous Windows et Linux
Picture
Hyper-V ou VirtualBox : lequel choisir ?
Picture
Sauvegarde isolée : qu’est-ce qu’une isolation physique dans la protection des données ?