La production d'un PRA par le contre exemple

• DDL1-1-1 Validation des champs de l'etude (périmètre)
• DDL1-1-2 Organisation du projet
• DDL1-1-3 Réunion de lancement

Lorsque le SNS à eu le commande cela correspondait bien à la délégation générale, mais il n'y a pas eu de réunion de lancement avec implication forte de la direction.

Cet engagement n'est apparu que tardivement à la présentation du BIA, l'effet produit est une certaine réticence des acteurs lors de la confection de celui-ci

• DDL1-2-1 Identification des processus métiers à analyser
• DDL1-2-2 Identifcations de ressources informatiques critiques
• DDL1-2-3 Définition des critère pour le secours (DMIA-PDA)

Lorsque le SNS a reçu la commande cette phase de l'étude était déjà bouclée.

Les conclusions de cette étude découlent de l'expression des métier et d'un arbitrage de la direction, ainsi ont été identifiés :

• des DMIA : 2 jours pour le palier1
• des perimètres : déclaration et recouvrement pour le palier1
• des ressources informatiques critiques : les MA du palier1

Même si cette tâche avait déjà été réalisée par la DGSSI il était préférable de la refaire pour :

• confronter les résultats de l'audit de la DGSSI aux réalités et évolutions de l'architecture applicative
• avoir une cohérence de l'ensemble
• inscrire dans le marbre des informations qui n'apparaitront pas dans la suite

Normalement pour cette étude on a besoin d'une mobilisation des métiers, pour IS-TVA certaines MOE ont joué le jeu mais pas celle en charge de l'application (du fait de l'absence du DDL1-1).

La pouruite de l'étude sur les documents (documents d'architecture, matrice des flux, …) même s'ils n'étaient plus à jour, a permis de produire un BIA à la direction et donc la relance du processus.

• DDL1-3-1 Evaluation de vulnérabilité et analyse des risques

BS on a rarement le loisir de réaliser cette étude, intellectuellement trés intersessante mais il faut souvent produire un PRA pour hier, donc on s'assoit dessus.

• DDL1-4-1 Définition des plans de réduction des risques
• DDL1-4-2 Détermination des options de reprises (scénari de solutions)
• DDL1-4-3 Evaluation des solutions et recommandations
• DDL1-4-4 Choix et validation de la solution

BS, dans la réalité le choix de la solution est soit le fruit de décisions qui n'ont rien à voir avec le PRA (BI-SITE), soit il n'est pas clairement définit (IS-TVA) soit il correspond à un investissement réel mais sans prendre en compte (TOUS) les besoins réels du PRA (DSN)

Une fois le choix de la solution de secours arrêtée, on va voir quel périmètre (QUOI?) et dans quelles conditions (COMMENT?) on peut assurer le secours.

Avec cette tâche on va confronter les constructions intellectuelles des tâches précédentes.

Dans IS-TVA pendant la phase 1-2 les MOE ont indiqué (ont “vendu” pendant des années) “on utilise les serveurs de l'INTEX”. Maintenant on va confronter leurs déclarations à la réalité.

• DDL1-5-1 Mise en eouvre des mesures de réduction des risques
• DDL1-5-2 Organisation de gestion de crise
• DDL1-5-3 Mise en oeuvre de la solution technique de secours
• DDL1-5-4 Organisation de repli
• DDL1-5-5 Développement des plans de reprise applicative
• DDL1-5-6 Constitution de plans de secours
• DDL1-5-7 Test initial

Dans la réalité :