# IS-TVA: DDL1 Elaboration PRA {{INLINETOC}} La production d'un PRA par le contre exemple # Ce qu'on aurait du faire ## DDL1-1 Lancement du Projet PRA ### Objectifs * DDL1-1-1 Validation des champs de l'etude (périmètre) * DDL1-1-2 Organisation du projet * DDL1-1-3 Réunion de lancement ### Contre exemple Lorsque le SNS à eu le commande cela correspondait bien à la délégation générale, mais il n'y a pas eu de réunion de lancement avec implication forte de la direction. Cet engagement n'est apparu que tardivement à la présentation du BIA, l'effet produit est une certaine réticence des acteurs lors de la confection de celui-ci ## DDL1-2 Analyse des besoins et contraintes ### Objectifs * DDL1-2-1 Identification des processus métiers à analyser * DDL1-2-2 Identifcations de ressources informatiques critiques * DDL1-2-3 Définition des critère pour le secours (DMIA-PDA) ### Contre exemple Lorsque le SNS a reçu la commande cette phase de l'étude était déjà bouclée. Les conclusions de cette étude découlent de l'expression des métier et d'un arbitrage de la direction, ainsi ont été identifiés : * des DMIA : 2 jours pour le palier1 * des perimètres : déclaration et recouvrement pour le palier1 * des ressources informatiques critiques : les MA du palier1 Même si cette tâche avait déjà été réalisée par la DGSSI il était préférable de la refaire pour : * confronter les résultats de l'audit de la DGSSI aux réalités et évolutions de l'architecture applicative * avoir une cohérence de l'ensemble * inscrire dans le marbre des informations qui n'apparaitront pas dans la suite Normalement pour cette étude on a besoin d'une mobilisation des métiers, pour IS-TVA certaines MOE ont joué le jeu mais pas celle en charge de l'application (du fait de l'absence du DDL1-1). La pouruite de l'étude sur les documents (documents d'architecture, matrice des flux, ...) même s'ils n'étaient plus à jour, a permis de produire un BIA à la direction et donc la relance du processus. ## DDL1-3 Evaluation de vulnérabilité et analyse des risques ### Objectifs * DDL1-3-1 Evaluation de vulnérabilité et analyse des risques ### Contre exemple BS on a rarement le loisir de réaliser cette étude, intellectuellement trés intersessante mais il faut souvent produire un PRA pour hier, donc on s'assoit dessus. ## DDL1-4 Définition de la stratégie et de la solution de secours ### Objectifs * DDL1-4-1 Définition des plans de réduction des risques * DDL1-4-2 Détermination des options de reprises (scénari de solutions) * DDL1-4-3 Evaluation des solutions et recommandations * DDL1-4-4 Choix et validation de la solution ### Contre exemple BS, dans la réalité le choix de la solution est soit le fruit de décisions qui n'ont rien à voir avec le PRA (BI-SITE), soit il n'est pas clairement définit (IS-TVA) soit il correspond à un investissement réel mais sans prendre en compte (TOUS) les besoins réels du PRA (DSN) Une fois le choix de la solution de secours arrêtée, on va voir quel périmètre (QUOI?) et dans quelles conditions (COMMENT?) on peut assurer le secours. Avec cette tâche on va confronter les constructions intellectuelles des tâches précédentes. Dans IS-TVA pendant la phase 1-2 les MOE ont indiqué (ont "vendu" pendant des années) "on utilise les serveurs de l'INTEX". Maintenant on va confronter leurs déclarations à la réalité. ## DDL1-5 Mise en oeuvre de la solution de secours ### Objectifs * DDL1-5-1 Mise en eouvre des mesures de réduction des risques * DDL1-5-2 Organisation de gestion de crise * DDL1-5-3 Mise en oeuvre de la solution technique de secours * DDL1-5-4 Organisation de repli * DDL1-5-5 Développement des plans de reprise applicative * DDL1-5-6 Constitution de plans de secours * DDL1-5-7 Test initial ### Contre exemple # Ce qu'on a fait Dans la réalité : ^on a (re)fait / on va faire ^on a pas fait / on va pas faire ^conséquences ^ | | DDL1-1 réunion de lancement (avec implication de la direction) | On a eu du mal à mobiliser les acteurs | | DDL1-2 Analyse des besoins et contraintes | DDL1-2-3 Définition des critères du secours | on a refait une partie de l'étude produite par la DGSSI sans remettre en cause ses conclusions, mais cela a permis de mobiliser la direction lors de la présentation du BIA | | | DDL1-3 évaluation des vulnérabilités | | | DDL1-4 Définition de la solution de secours | DDL1-4-1 Plan de réduction des risques | | ::: | DDL1-4-4 Choix et validation de la solution de secours | On va devoir confronter les conclusions du DDL1-2 à la réalité| | DDL1-5 Mise en oeuvre de la solution de secours | DDDL1-5-4 Organisation du repli | | | ::: | DDL1-5-7 Test initial | ::: |