Planification de la continuité des activités : une approche proactive de la gestion des menaces

Les gros titres actuels en provenance d'Ukraine font que de nombreuses entreprises s'inquiètent de la sécurité des employés ou des sous-traitants qui y résident. Des événements comme celui-ci soulignent l'importance de développer des plans d'urgence basés sur des événements dans le monde qui peuvent avoir un impact sur les entreprises.

La continuité des activités est une partie essentielle du processus de planification pour les DSI et les CTO. Les événements du cygne noir peuvent avoir un impact significatif sur les entreprises. Certains de ces événements ne peuvent pas être anticipés, mais certains peuvent être planifiés, voire attendus, à l'avance. La continuité des activités consiste à évaluer le paysage des menaces et à mettre en place des plans. Cela aide à faire face aux menaces prévisibles et renforce la résilience opérationnelle contre les menaces.

Le paysage des menaces

Une bonne pratique pour les équipes de direction consiste à réfléchir constamment au paysage des menaces, à identifier les problèmes potentiels et à s'y préparer. Ne pas le faire peut avoir un impact financier important sur les entreprises.

Un ensemble non exhaustif d'événements qui peuvent devoir être planifiés sont :

• Menaces géopolitiques (par exemple, l'invasion russe de l'Ukraine)
• Catastrophes naturelles (par exemple, tremblements de terre)
• Menaces dirigées (par exemple, rançongiciel)
• Changements réglementaires

Certaines de ces menaces nécessitent une mise en œuvre et une exécution en amont. D'autres nécessitent un plan en place pour s'assurer que l'équipe connaît les objectifs clés et les mesures à prendre face à une menace. Les DSI et les CTO doivent constamment surveiller le paysage des menaces et les mettre à jour si nécessaire. Les inspections telles que les certifications SOC-2 sont de bonnes fonctions de forçage qui permettent une inspection externe de certaines des surfaces de menace.

Planification des menaces géopolitiques

Dans mon entreprise, Inflection, la planification d'éventuelles interruptions d'activité liées à l'Ukraine a commencé un an et demi avant le conflit proprement dit. Nous avons formulé un ensemble de principes et élaboré un plan basé sur ces principes. Dans ce cas, les principes clés que nous avons utilisés étaient :

• Constituez une équipe géo-diversifiée. En plus de l'Ukraine, nous avons établi une présence substantielle aux États-Unis et au Brésil.
• Construire la diversité du travail. Plutôt que d'avoir des silos fonctionnels complets dans chaque région, nous avons demandé aux équipes de collaborer entre les régions. Il y a des inconvénients à cela (communication supplémentaire, par exemple) mais c'était le bon compromis pour nous.
• Donnez la priorité à la sécurité des employés et des sous-traitants. Nous savons qu'un événement géopolitique pourrait avoir des implications financières supplémentaires pour assurer la sécurité, et nous étions d'accord pour dépenser des fonds supplémentaires pour assurer la sécurité. Inflection a offert trois mois de frais de subsistance aux membres de l'équipe en Ukraine pour déménager dans un autre endroit, en plus de s'occuper de la logistique comme la paie.
• Mettre l'accent sur la communication écrite plutôt que sur la communication verbale. Par exemple, chaque décision d'ingénierie importante passe par une analyse rigoureuseprocessus de décision d'architecture.

Ces mesures proactives nous ont permis de prioriser la sécurité des employés tout en assurant la continuité des affaires. En plus de ces principes, il y avait un plan détaillé pour assurer la façon dont nous couvririons les employés indisponibles pendant de longues périodes.

La planification de la continuité en pratique : une plongée approfondie sur la planification de la disponibilité des logiciels

Un exemple de planification proactive est lié aux catastrophes naturelles. Quel est le plan de votre organisation si une catastrophe (par exemple, un tremblement de terre) devait frapper la région dans laquelle se trouve votre centre de données et provoquer une partition du réseau ? L'exemple ci-dessous illustrera la réflexion en supposant que vous utilisez un fournisseur de cloud public.

Un point de départ pour planifier la disponibilité est la promesse que vous faites aux clients concernant la disponibilité. La référence de disponibilité SaaS standard est de 99,95 % de disponibilité, ce qui correspond à 4h 22m 58s d'indisponibilité autorisée par an. En planifiant cela, vous devez penser à :

• Quel est votre RTO (Recovery Time Objective) et RPO (Recovery Point Objective) lorsqu'un incident se produit ? Un accord sur ces mesures est nécessaire pour prendre des décisions de compromis.
• Avez-vous des fenêtres de maintenance ? Si c'est le cas, soustrayez-le du budget d'indisponibilité. (Vous devriez également vous demander pourquoi vous avez une fenêtre de maintenance.)
• Quelle est l'assurance sous-jacente de la plateforme sur laquelle vous vous trouvez ? Les fournisseurs de cloud n'offrent généralement aucune garantie de disponibilité.
• Quel devrait être votre plan si une zone de disponibilité (un centre de données) perd sa disponibilité ?
• Quel devrait être votre plan si une région (plusieurs zones de disponibilité) subit une panne ?
• Quel est votre plan si le fournisseur (plusieurs régions) n'est pas disponible ?

Il existe différents compromis coût-complexité pour ces questions. Les petites entreprises peuvent choisir d'éviter une plus grande complexité, alors que cela pourrait ne pas être une option pour les grandes entreprises.

Le but de la planification est d'avoir une posture claire pour chacune de ces questions.

Devez-vous prendre en charge la haute disponibilité via plusieurs zones de disponibilité ? Pour la plupart des organisations, il s'agit d'une décision simple : la prise en charge de plusieurs zones de disponibilité dans AWS n'est pas complexe et peut être effectuée avec relativement peu de dépenses et de complexité.

Que devez-vous faire en cas de panne régionale – une situation de reprise après sinistre (DR) ? La synchronisation interrégionale est complexe et coûteuse. Moins d'organisations choisissent de le faire. Au lieu de cela, vous pouvez choisir de sauvegarder vos données dans une autre région et faire en sorte que votre RTO/RPO reflète le fait que votre compromis est une récupération plus longue pour une architecture plus simple.

Que se passe-t-il en cas de panne complète pour un fournisseur de cloud ? Les déploiements multi-fournisseurs sont extrêmement complexes et coûteux. Dans la plupart des cas, une sauvegarde de vos données sur un autre fournisseur de cloud suffit. Mais si vous exploitez une grande entreprise, vous souhaiterez probablement faire partie de plusieurs fournisseurs de cloud, à la fois pour des raisons de coût et d'échelle.

Compte tenu de tout cela, un plan doit être formulé et approuvé par les dirigeants de l'entreprise. Des plans de communication doivent être mis en place lorsqu'un événement se produit (par exemple, comment informerons-nous les clients ?) et, plus important encore, les plans doivent être testés. Ces plans n'auront aucun sens s'ils ne sont pas pratiqués régulièrement.

Chez Inflection, nous avons choisi de prendre les décisions suivantes :

• Prend en charge la haute disponibilité en déployant dans plusieurs zones de disponibilité. La perte d'un seul centre de données est imperceptible pour les clients.
• Synchronisez les données entre plusieurs régions pour prendre en charge un RPO inférieur à 24 heures et un RTO inférieur à 72 heures en cas de catastrophe régionale.
• Synchronisez les données avec un fournisseur de cloud secondaire pour vous assurer qu'en cas de panne complète d'un fournisseur de cloud, nous pouvons toujours récupérer.
• Enfin, nous pratiquons la restauration de la base de données chaque année et testons la reprise après sinistre chaque trimestre.

Planification des menaces dirigées

Les menaces telles que les ransomwares ont considérablement augmenté ces dernières années. Ces menaces doivent être combattues de front. Chez Inflection, nous le faisons en :

• Obtenir la certification SOC-2 et s'assurer que nos processus se comparent aux meilleurs de l'industrie
• Veiller à ce que les données au repos et en transit soient toujours chiffrées
• S'engager avec des programmes de primes de bogues
• Demander à des agences externes d'effectuer des tests d'intrusion
• Veiller à ce que les machines des employés soient cryptées et disposent d'une protection logicielle appropriée contre les logiciels malveillants, le phishing et d'autres attaques
• S'assurer

Pré-mortem

Un exercice utile à considérer pour les dirigeants est un «pré-mortem». En pensant à la continuité des activités, il est préférable d'être proactif plutôt que réactif.

Un pré-mortem est le contraire d'un post-mortem (plus de détails dans monrédaction sur l'analyse des causes profondes ). Alors qu'un post-mortem nous permet d'analyser ce qui n'a pas fonctionné – après que cela s'est déjà produit – un pré-mortem demande : « Qu'est-ce qui pourrait mal tourner ? Comment pourrions-nous empêcher que cela se produise ? » Les pré-mortems permettent une planification plus approfondie de la continuité des activités et une approche « ne me faites pas réfléchir » pour réagir aux incidents réels, car ils étaient déjà planifiés.

Conclusion

La planification de la continuité des activités est une exigence pour les cadres. Les entreprises qui attendent que la catastrophe se produise ne pourront pas réagir rapidement. Votre équipe de direction doit s'entendre sur les principes et les compromis coût/complexité.