La Direction des Systèmes d’Information du groupe Air France/KLM combine les activités
informatiques des deux compagnies aériennes. Elle développe et opère les systèmes et les
applications qui supportent les activités des 150 000 utilisateurs dans les différents métiers du Groupe.
Cette mission s’inscrit dans le cadre de la mise en place de la nouvelle réglementation européenne Part-IS s’appliquant au Système d’Information des compagnies aériennes et impactant leur CTA.
Le but de ce règlement est l’implémentation d’un Système de Management de la Cybersécurité SMSI cohérent au SMS Air France (SMS Système de Management de la Sécurité de Vols)
Dans le cadre de la réalisation de cette cohérence, le SMSI doit se conformer au deuxième pilier Gestion de Risque du SMS-AF. Il en résulte l’utilisation du modèle Bowe-Tie pour la gestion du risque par le SMSI et la mise en place en l’occurrence d’une barrière de récupération BCP IT pour l’ensemble des processus critiques impactants la Sécurité des Vols notamment les processus régissant le Système Middleware .
Le livrable de la mission consiste donc à identifier l’ensemble de ces processus critiques et à en industrialiser les BCP en s’inscrivant dans la logique du projet CMDB, notamment en utilisant les outils recommandés par ce projet.
Voici les livrables relatifs à cette mission :
1. Réaliser une Analyse dImpact pour le processus critique (livrable BIA) :
a. Identifier des activités critiques (cartographie du processus métier),
b. Évaluer les impacts potentiels des interruptions Système d’Information sur les activités - cartographie des menaces sur le Système d’Information : .
2. Identification des Actifs relatifs à cette activité (Applications métier, Serveurs associés aux applications, Data (Bases de données : notam, perfo-avion, caractéristiques avion…), Réseau interne, Postes de travail des employés) ;
3. Cartographie des Menaces (Menaces Physiques [vol de matériel informatique, catastrophes naturelles (incendie, inondation) , Accès non autorisé aux locaux] / Menaces Logiques [Malwares (virus, chevaux de Troie), Attaques par déni de service (DDoS), Exploitation de vulnérabilités dans les logiciels] / Menaces Humaines [Ingénierie sociale (phishing, attaques par hameçonnage) / Erreur humaine (accès non autorisé, mauvaise configuration)] / Menaces Réseau [Interception de données pendant la transmission / Attaques de type man-in-the-middle /Piratage des connexions sans fil].
4. S’assurer qu’il existe une Politique de Continuité dActivité : Énoncé formel de lengagement du propriétaire du processus critique envers la gestion de la continuité dactivité, y compris les objectifs et les responsabilités (livrable procédure) ;
5. Évaluer les Risques et Vulnérabilités : Identification des risques et vulnérabilités potentiels liés à la continuité des activités (livrable Matrice Risklog ou Amdec : Évaluation des Risques [Pour chaque menace identifiée, évaluer [La probabilité doccurrence / Limpact sur les activités / La vulnérabilité actuelle])
6. Définir une stratégie et un Plans de Continuité dActivité (BCP) : Plans détaillés décrivant les mesures spécifiques à prendre pour assurer la continuité des activités (Livrable Procédure)
7. Mettre à jour le module BCM (Business Continuity Management) par les quatre livrables précédents.