La plateforme relative à la gestion fonctionnelle des SIS est un outil d'information, d'échange et de mutualisation des données relatives aux cinq grands domaines que sont l'administration - finance, la commande publique, les ressources humaines, la communication et les systèmes d'information.

Actualité

Mémoire réalisé dans le cadre de la formation Commandant des systèmes d'information et de la communication, 2017

De l'intérêt d'un plan de continuité d'activité

06/04/18

INTRODUCTION

La cyberattaque mondiale de mai 2017 a montré qu’il suffisait d’un virus pour mettre à mal des institutions étatiques, des multinationales ou encore des hôpitaux. Nous vivons dans un monde où des menaces multiformes pèsent sur les organisations comme sur les entreprises.

En sus de cette cyberattaque, certains services d’incendie et de secours (SIS) ont été victimes de tentatives de saturation des lignes de secours 18/112 au mois de mai 2017. L’impact de ce piratage a certes été limité mais il a mis en exergue des failles et il a amené les victimes à revoir leur protocole de sécurité. A titre d’exemple, la brigade de sapeurs-pompiers de Paris (BSPP) a vu toutes les « lignes de feu » des centres de secours de Seine-Saint-Denis piratées. En quelques heures, une solution technique a été mise en place mais des questions liées à la saturation de la plateforme de réception des appels d’urgence (PFAU) et à la continuité de l’activité se sont posées.

Au-delà de ces récentes attaques, le monde a connu des crises majeures :

  • le terrorisme paroxystique avec le 11 septembre 2001 ;
  • une catastrophe technologique avec l’explosion d’AZF le 21 septembre 2001 ;
  • une panne technologique sans précédent avec la chute nationale du réseau Bouygues Télécom le 17 novembre 2004 ;
  • une catastrophe naturelle avec le séisme et le tsunami qui ont ravagé une partie du Japon le 11 mars 2011 ;
  • le piratage massif du site Playstation Network le 17 avril 2011 ;
  • des phénomènes sociétaux sans précédent avec le printemps arabe en 2011 ;
  • les inondations de mai/juin 2016 en région Ile-de-France ;
  • les ouragans Maria et Irma en septembre 2017.

Toutes ces menaces pèsent sur les organisations nationales et territoriales. L’Etat est le premier rempart en fournissant une kyrielle de réponses, de moyens de prévention et de protection. Pour autant, toutes les collectivités territoriales doivent se préparer à assurer la continuité de leurs missions de service public. Ainsi, les SIS doivent être en mesure d’assurer leurs missions de sécurité civile malgré :

  • un ou des événements sociaux majeurs ;
  • une catastrophe naturelle ;
  • la destruction physique d’un bâtiment stratégique/vital ;
  • une panne technique hors norme mettant hors-service tout ou partie du système informatique ou téléphonique.

La continuité de l’activité est un enjeu stratégique pour un SIS. Quel que soit l’événement rencontré, il faut que l’organisme soit en mesure de maintenir sa capacité opérationnelle. Il doit pouvoir assurer les missions de son cœur de métier. En plus d’assurer une réponse opérationnelle cohérente sur son secteur de compétence, il doit préserver ses informations et ses données qui lui garantissent un socle de base pour la gestion des opérations. Enfin, le SIS doit penser que l’atteinte à son image serait importante s’il n’est pas en mesure de répondre efficacement aux attentes des autorités mais surtout aux besoins de la population.

La prise en compte de tous les risques d’un département est officiellement formalisée dans le schéma (inter)départemental d’analyse et de couverture des risques (SDACR-SIDACR). Le SDACR est signé par le Préfet et mis à jour régulièrement. Depuis la circulaire de 26 mai 2015 (MININT, 2015), le ministre de l’Intérieur a lancé deux expérimentations sur le contrat territorial de réponses aux risques et aux effets des menaces (COTRRIM). Cette nouvelle approche vise à faire participer tous les acteurs de la sécurité civile de la zone concernée à cette évaluation des risques. Mais le SDACR et le COTRRIM n’abordent pas la continuité d’activité de l’organisme. La destruction totale du centre de traitement des appels (CTA) ou une pandémie mettant à mal la ressource humaine du SIS ne sont pas prises en compte dans ces documents.

Le seul document formalisant la prise en compte de ces menaces est le plan de continuité d’activité (PCA). Il permet de faire face à une crise majeure en y associant un fonctionnement avec des modes adaptés. Les grandes entreprises ont compris qu’il était important en termes de survie économique et de préservation de leur image de marque d’avoir un PCA. Pour cela, certaines se sont regroupées au sein du Club de la continuité de l’activité qui « est avant tout une communauté de confiance pour partager des expériences et des bonnes pratiques autour de la continuité d’activité et de la gestion de crise en réponse à l’évolution des risques auxquels nous sommes exposés» (CCA, 2016).

En revanche, il semble que les collectivités territoriales, et notamment les SIS, n’aient pas complètement pris conscience de l’importance de se doter d’un PCA. Ainsi, au regard des résultats de notre questionnaire sur le PCA des SIS (cf. annexe n°1), il ressort que seulement 32% de SIS (ayant répondu), quelle que soit leur catégorie, sont équipés d’un PCA. De plus, nous notons que 42% des Commandants des systèmes d’information et de communication (COMSIC) indiquent que leur SIS est en cours de réalisation d’un PCA. De ce fait, il nous semble important de nous intéresser à ce sujet à la fois vaste, stratégique et d’actualité. Le sondage indique par ailleurs que le lien entre le PCA et le COMSIC semble être ténu car aucun COMSIC n’a contribué directement aux travaux du PCA. Cependant, toute organisation repose sur des systèmes d’information et de communication (SIC) mettant en relation des métiers complexes et différents. Certes, il n’est probablement pas pertinent de faire appel au COMSIC sur tous les aspects d’un PCA. Toutefois, ce conseiller technique peut être un atout sur certains aspects, notamment dans le domaine du système d’information opérationnel et de commandement (SIOC) et/ou dans la porosité entre le système d’information opérationnel (SI OPE) et le système d’information administratif (SIADMIN).

Dans un premier temps, nous nous attacherons à étudier le contexte réglementaire d’élaboration d’un PCA pour un SIS tout en analysant la méthodologie mise en place. Il est important de savoir si ce document est obligatoire ou pas et comment cette obligation se manifeste.

Ensuite, nous aborderons les besoins de continuité de l’activité en définissant les activités essentielles dites « activités critiques » que nous mettrons en corrélation avec les menaces qui pèsent sur un SIS. Puis, nous ferons l’évaluation des risques des activités critiques. Elle permettra de hiérarchiser celles-ci en fonction des risques et des scénarios des menaces. L’objectif est de proposer le fruit de notre réflexion aux SIS désireux de réaliser la démarche. Ils pourront l’adapter en fonction de la taille et de l’organisation de l’établissement.

Une fois les activités critiques identifiées, nous ferons un focus sur l’élaboration d’un PCA SIC OPE. L’étude d’expression des besoins et l’identification des objectifs de sécurité (EBIOS) proposée par l’agence nationale de la sécurité des systèmes d’information (ANSSI) permettra d’identifier, d’analyser, d’évaluer et de traiter les risques. A partir de cette analyse, nous établirons une proposition de points clés pour l’élaboration d’un PCA SIC OPE.

Enfin, nous proposerons douze recommandations à suivre pour un SIS qui voudrait élaborer un plan de continuité d’activité.

Auteurs :

Capitaine Yannick BRES, SDIS de la Gironde

Capitaine Arnaud CLAIR, Brigade de Sapeurs-Pompiers de Paris

Capitaine Régis PURICELLI, SDIS du Territoire de Belfort

Directeur de mémoire : Colonel Dominique MATHIEU, SDIS de la Gironde

Publié le 06/04/18 à 11:37