You are on page 1of 46

Les activités d’exploitation

informatique
Gestion des technologies de
l’information – GEST310
Pascale Vande Velde

Agenda



Activités d’exploitation – ITIL
Sécurité
Audit
Disponibilité

|2

Introduction
• Les entreprises deviennent de plus en plus dépendantes de
l’informatique. Cela les conduit à avoir des exigences de plus en plus
fortes quant à la qualité des services IT
– ITIL est de plus en plus utilisé comme cadre d’organisation des services
informatiques

• Les systèmes informatiques deviennent incontournables. Leur
indisponibilité pose des problèmes de discontinuité d’activités de plus
en plus aigus
– Des systèmes de disaster recovery souvent très coûteux sont mis en place
pour pallier toute faille des systèmes

• Les systèmes informatiques fonctionnent en réseaux. L’internet a
fortement complexifié les problématiques de sécurité de ces systèmes
– Evolution rapide et investissements lourds en mesures de sécurité

• Le département Exploitation est responsable de ces activités

|3

Qu’est ce qu’un service IT ?
• Ensemble de fonctions fournies par les systèmes IT en support des
métiers (gestion du parc PC, gestion des applications au jour le jour,
production d’outputs, gestion des accès aux applications, helpdesk,
etc...)
• Un service est constitué de composants software, hardware et de
communication (réseaux)
• Les services peuvent couvrir de nombreux domaines : depuis l’accès à
une application jusqu’à la mise à disposition d’un service impliquant
plusieurs applications, des réseaux, etc...
– Exemples :
• Disponibilité de systèmes critiques
• Transactions sécurisées sur réseaux ouverts
• Transfert de données entre applications via un WAN

|4

l’ ITIL est devenu une référence mondiale en matière de gestion de services IT • Plusieurs centaines de sociétés ont implémentés des processus conformes à ITIL • Objectifs du modèle ITIL – – – – Faciliter une gestion de qualité des services IT Améliorer l’efficacité Réduire les risques Fournir un “best practice” |5 .Définition de ITIL • ITIL (“Information Technology Infrastructure Library”) est un ensemble de recommendations développé par le UK Office of Government Commerce • Ces recommendations sont documentées et décrivent un cadre de gestion des services IT intégré et basé sur les différents processus de fournitures de services • Développé dans les années ’80 pour le gouvernement britannique.

Modèle ITIL • • Hypothèse ITIL : les fonctions suivantes sont essentielles afin de livrer des services IT de qualité ITIL propose une approche structurée pour définir. implémenter et gérer chacune de ces fonctions au jour le jour Service Support Service Delivery Change Management Service Level Management Release Management Configuration Management Source: ITIL CD ROM Problem Management Incident Management Availability Management Service Continuity Financial Management Capacity Management |6 .

Modèle ITIL • Service support – Assure que l’utilisateur a accès aux services appropriés pour supporter les fonctions métiers • • • • • Release management Problem management Change management Incident management Configuration management • Service delivery – Quels sont les services demandés par les métiers afin de servir correctement les clients de l’entreprise • • • • • Service level management Availability management Service continuity Financial management Capacity management |7 .

. négociation..) définis dans le cadre des niveaux de services • Service continuity – Processus définissant comment adresser et résoudre des “calamités” – pannes. etc... coûts justifiés) • Capacity management – Processus de planification. fraudes informatiques. – Définit également comment éviter que des incidents deviennent des “calamités” |8 . mise au point d’un contrat de SLA Processus de gestion de ces contrats Processus de revues de niveaux de services utilisateurs Prioritisation des services (requis.Modèle ITIL – Service delivery • Service level management – – – – Processus incluant la définition. volumes. définition et gestion de la capacité des systèmes IT – Se base sur des critères (temps de réponse. incendies.

optimisation et exécution des activités requises pour gérer la disponibilité des services IT au jour le jour – Processus d’exécution de maintenance corrective et évolutive afin de rencontrer les besoins de disponibilités requis par les métiers • Financial management – La gestion et le chargement des services IT aux métiers – Ceci nécessite d’identifier et de classifier les différents composants de coûts et de calculer les coûts liés à chaque service (comptabilité analytique) |9 .Modèle ITIL – Service delivery • Availability management – Processus de planification.

erreurs. problèmes – Processus de pilotage des incidents. erreurs.. interfaces. problèmes – Objectif principal : s’assurer que les services fournis sont stables.. tables. précis et fournis à temps |10 .Modèle ITIL – Service support • Configuration management – Processus d’identification et de définition des éléments de configuration dans un système (écrans. etc. formats.) – Processus d’enregistrement des éléments de configuration et de leur statut – Processus de vérification du caractère correct et complet de ces éléments de configuration • Problem management – Processus de contrôle des incidents.

Modèle ITIL – Service support • Release management – Processus de contrôle de la distribution. support de 2e et 3e lignes dans les départements développements ou exploitation) – Le helpdesk est un point de contact unique pour rapporter les erreurs de systèmes observées |11 . gestion. enregistrement physique et implémentation de nouveaux éléments de software – S’assurer que uniquement des versions autorisées et dûment vérifiées en termes de qualité sont portées dans l’environnement de production • Change management – Processus de gestion et de contrôle des requêtes en vue d’effectuer des changements à l’infrastructure IT ou aux services IT – Processus de gestion et de contrôle de l’implémentation de ces changements • Incident management – Processus de gestion des incidents (support de première ligne par le helpdesk.

L’application de ITIL • • • Au cours du dernier trimestre 2001.com/members/marketresearch. itSMF fit réaliser une enquête sur la compréhension et l’application des méthodes ITIL au Royaume-Uni Plus de 100 entreprises ou agences gouvernementales participèrent à l’enquête 87% d’entre elles se considéraient comme utilisateurs de ITIL ou appliquaient dans une certaine mesure les principes ITIL Non ITIL Users 13% Full ITIL Users 28% Partial ITIL Users 59% itSMF : IT Service Management Forum Sources: http://www.asp |12 .itsmf.

com/members/marketresearch.Bénéfices attendus • • La performance des initiatives de gestion de services est nettement plus élevée quand ces initiatives sont basées sur l’approche et le modèle ITIL Pour ceux utilisant l’approche ITIL. 70% déclarent que ces résultats sont mesurables et quantifiables Sources: http://www. 97% déclarent que leur entreprise a engrangé des résultats.asp |13 .itsmf.

com/members/marketresearch. Plus de 70% des utilisateurs ITIL affirment que leurs clients ont observé les améliorations de services apportées Sources: http://www.Bénéfices attendus • • Les entreprises interrogées reconnaissent avoir vécu un changement positif au niveau de la culture de fourniture de services (80% des utilisateurs) Finalement.itsmf.asp |14 . la perception de l’amélioration des services par le client est extrêmement importante. dans un contexte de gestion de services.

Définition • Sécurité : moyens de protéger des actifs (gens. intangibles). applications. si ceci est justifié économiquement • Types de risques – Opérationnel : arrêt du fonctionnement normal d’une application (par exemple. actifs tangibles. serveurs. suite à une attaque internet) – Légal : l’entreprise ne peut plus remplir ses obligations légales et réglementaires (par exemple.Sécurité . divulgation de données confidentielles) – Financier : coût financier direct (par exemple. fraude informatique) |15 . Il faut évaluer les risques et les mitiger. L’objectif est de minimiser les pertes • Sécurité informatique : protection des actifs informatiques (données. processus) • La sécurité est avant tout une préoccupation des métiers • La sécurité fait partie de la gestion des risques.

Privacy concerne l’information personnelle.. virus détruisant de l’information). autorisations |16 . DRM concerne l’information professionnelle à valeur commerciale. etc. – Préoccupations : encrypter les données.. y compris qui est responsable d’actions/décisions.)...Sécurité informatique – Préoccupations des métiers • Productivité – Elle est améliorée quand on exclut des évènements qui font perdre du temps ou empèchent le bon fonctionnement de l’organisation (par ex. – Préoccupations : sauver. conserver et protéger ces données • Privacy and Digital Rights Management – Assure que l’information confidentielle ne soit pas divulguée. Elles nécessitent de sauver et de conserver des données et enregistrements. etc. fonctionnement d’un front office. – Préoccupations : contrôle des spam et la mauvaise utilisation de l’internet • Réglementation – Nombreuses réglementations dans l’entreprise (gestion financière.

architectures de back ups • Intégrité – Maintenir l’intégrité des processus. données. applications est essentielle.. profils d’accès. une attaque informatique peut causer l’arrêt d’un système) et des données – Préoccupations : dupliquer les données et systèmes. cette intégrité peut être mise en danger – Préoccupations : architectures de sécurité internet.Sécurité informatique – Préoccupations des métiers • Disponibilité – La continuité des activités nécessite la disponibilité des systèmes (par exemple. |17 . Lors d’une intrusion. etc.

Sécurité informatique – Exemples de moyens • Protection des frontières – – – – – Anti virus Filtrage de données Systèmes de détection d’intrusion Systèmes de protection contre les intrusions Firewalls • Sécurité de l’infrastructure – Firewalls – Encryption de données sauvegardées • Sécurité des communications – Encryption – PKI – VPN |18 .

Sécurité informatique – Exemples de moyens • Gestion de la sécurité – – – – Audits Gestion des procédures Evaluation de sécurité Gestion des versions. configurations • Gestion des utilisateurs – Contrôle d’accès – Authentication – Identification |19 .

Sécurité informatique – Illustration PC banking Back end Front end End User Client DB Server CommServer SSL DB Server Internet Firewall Internal Network Local Director 9000 H Internal Network App Server CommServer Workstation Bank core system 9000 H Firewall 9000 H App Server 90 00 H App Server App Server Cash Dispensers and other EMP Terminals |20 Telephone Banking .

Gestion de la sécurité • • • • • • • • Accès physique Personnel Equipements Organisation technique Softwares Aspects organisationnels Sécurité des données Calamités |21 .

Accès physique • Management – Définit les procédures d’accès – Définit les tâches du personnel de sécurité • Exécution – – – – – – – Nommer un security manager Procédures pour la gestion des systèmes Procédures en cas de vol ou de destruction Procédures pour visiteurs Procédures pour le personnel de nettoyage Gestion des fournisseurs Procédure pour les heures supplémentaires |22 .

Personnel • Recrutement – – – • Enregistrement du personnel – – – • Présences Heures supplémentaires Vacances Fonctions – – – – – – • Règles de recrutement Motifs pour une démission précédente Règles de recrutement du personnel de sécurité Etre formé et expérimenté Règles pour un remplacement Job rotation Descriptions de fonctions Evaluation du personnel Objectifs personnels (rapporter les anomalies à au moins 2 personnes) Procédures de démission |23 .

Equipement • Acquisition. location – Se mettre d’accord sur les aspects de sécurité – Documentation – Installation et acceptation • Maintenance (remote. outsourced) – Se mettre d’accord sur les aspects de sécurité – Documentation • Pannes – – – – – Alertes de pannes Procédures de redémarrage Contrôle interne sur les réparations Monitoring des pannes Test du disaster recovery plan |24 .

Organisation technique • • • • Maintenance périodique Rapports d’incidents Enregistrement des incidents Documentation – Plan d’étage – Inventaire des équipements – Liste des contrats de maintenance |25 .

Softwares • • • • • • • • • • • Gestion des releases et des versions Documentation Librairie des programmes Règles de back up et recovery Utilisation de programmes de correction et d’urgence Gestion des disques et des fichiers Echanges de fichiers avec des tiers Procédures d’acceptation (développement) Les procédures en matière de définition de profils utilisateurs Les procédures “super user” L’encryption des données |26 .

Aspects organisationnels • • • • • • • Département IT indépendant des autres départements Séparation entre transactions et contrôle. approbations Définition claire des rôles et responsabilités Planning de production Gestion des pannes Contrôles inputs/outputs Séparation des rôles entre production/input de données/développement • Contrôle de l’usage des documents d’inputs et d’outputs • Contrôle de la complétude des rapports |27 .

Sécurité des données • • • • • • • Passwords Autorisations et accès Profils utilisateurs Encryption des données Sécurité réseaux Signatures électroniques Back ups |28 .

recovery • Dégâts des eaux – Détecteurs – Pouvoir évacuer l’eau facilement |29 .Calamités • Feu – – – – – Avoir un back up dans un autre bâtiment Avoir des détecteurs de feu No smoking Bâtiment équipé pour retarder le feu Intervention des pompiers rapide • Panne d’électricité – Back up .

Sécurité du système Utilisateurs Auditeur Profils utilisateurs Login Log file Authentication Administrateur de sécurité Super user Modèle de données Règles de sécurité Système d’autorisation Règles d’autorisation DBA Transaction manager Data manager Base de données |30 .

Définition • Définition – “Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria. and communicating the results to interested users.Audit .” American Accouting Association (AAA) |31 .

|32 .. etc.Audit .Définition • Un processus systématique – Structuré comme une activité dynamique de manière logique – Une approche non planifiée en matière d’audit informatique peut conduire à négliger d’importants domaines de processing • Obtenir et évaluer les preuves – Fiabilité de la structure de contrôle • Tests afin de vérifier que la fonction de contrôle fonctionne comme convenu – Contenu des fichiers • Tests pour vérifier la cohérence des fichiers avec les transactions de la société • Confirmer la correspondance entre les critéres préétablis et les assertions • Communiquer les résultats aux parties intéressées – Autres membres de l’audit.. direction.

Audit de sécurité et schéma général d’audit Audit Security manager External auditor Security audit Company audit • Sécurité et privacy • Disponibilité • Confidentialité • Accessibilité Accounting system • Vérification de l’approche d’audit IT audit Internal control system • Contrôle des systèmes IT • Approche d’audit des systèmes IT |33 .

) Prise de décision automatisée Plus de complexité Vulnérabilité (réseaux) • L’audit informatique est très spécialisé et évolue rapidement |34 .) Disparition de documents de base (téléphone.. volées..... etc.Audit informatique • Problèmes spécifiques à un audit informatique – – – – – – – – Concentration du traitement des données Consultation des données par le personnel IT Les données peuvent être détruites Les données sont très compactes (peuvent être perdues.

Evaluation du risque de contrôle • Objectif – L’objectif d’une évaluation du risque de contrôle est d’évaluer l’efficacité des structures de contrôle internes d’une entreprise à prévenir ou détecter des malversations importantes dans la comptabilité • Risque de contrôle – La probabilité que les malversations dans les données comptables ne soient pas prévenues ou détectées et corrigées • Structure de contrôle – Les règles et procédures mises en place par l’entreprise pour fournir une garantie raisonnable que les objectifs établis seront atteints |35 .

L’environnement de contrôle • L’effet collectif de différents facteurs sur la mise en place. l’amélioration et la mitigation de l’efficacité de règles et procédures spécifiques – – – – – – – La philosophie de management et le style de gestion La structure organisationnelle de l’entreprise Le fonctionnement du comité de direction et du comité d’audit Les méthodes de responsabilisation Les méthodes d’audit interne et de contrôle de performance Les règles en matière de personnel et les pratiques Différents facteurs externes • Reflète l’attitude générale. la prise de conscience et les actions relatives à l’importance du contrôle |36 .

classifier. analyser. Cela inclut la capacité de : – Identifier et enregistrer toutes les transactions valides – Décrire les transactions avec un niveau de détail suffisant que pour classifier ces transactions correctement dans la comptabilité – Mesurer la valeur des transactions d’une manière qui permette d’enregistrer leur valeur monétaire correctement – Définir la période au cours de laquelle la transaction a eu lieu – Présenter correctement les transactions et leurs disclosures dans les états financiers |37 . assembler. enregistrer et rapporter les transactions d’une entreprise et pour gérer et rapporter les actifs et dettes de l’entreprise.Le système comptable • Le système comptable consiste en méthodes et des enregistrements mis en place pour identifier.

Ceci inclut : – Autorisation correcte des transactions et des activités – Ségrégation des rôles et responsabilités – Définition de mécanismes de sauvegarde en ce qui concerne l’accès et l’utilisation des enregistrements et des actifs – Vérifications indépendantes sur la valorisation des montants enregistrés |38 .Les procédures de contrôle • Les règles et procédures que le management a mis en place pour fournir une garantie raisonnable que les objectifs de l’entreprise seront atteints en matière d’audit.

) |39 .Impact de l’IT sur les contrôles comptables • Exemples – Des activités décentralisées effectuées par différents employés peuvent être centralisées dans un seul ordinateur... on élimine les procédures de 4-eye check – Erreurs systématiques au lieu d’être aléatoires – Besoin de gens spécialisés pour auditer l’activité – L’auditeur IT doit être impliqué dans la conception du système de comptabilité pour prévoir les contrôles nécessaires – Fraude informatique (checks non autorisés.oubliant un contrôle interne – Pas d’audit trail – Quand le nombre d’employés impliqués dans le comptabilité diminue..

des activités depuis leur origine • Le systéme informatique peut impacter l’audit trail de différentes manières : – – – – – – Documents source sauvés de manière difficilement accessibles Documents source éliminés Pas de listing de transactions ou de journaux Rapports papier uniquement pour les exceptions Des programmes sont toujours nécessaires pour accéder aux données Séquence des données et des activités difficile à observer |40 .L’audit trail • L’audit trail est un ensemble d’enregistrements qui permettent de tracer des transactions.

Impact financier Source – Continuity Insights/KPMG 2003 |41 .Disponibilité – coût d’un arrêt d’activité 7% des sociétés avec des revenus > $5bn ont connu un arrêt d’activité qui leur a coûté plus de $5m au cours des 12 derniers mois….

grèves. sabotage.g. inondations.g. virus  Panne d’un système majeur |42 . tremblements de terre. actes malhonnêtes. ouragans  Incendie  Panne de communication  Interférences humaines e.Disponibilité – causes d’arrêt d’activité  Dégâts des eaux  Coupure d’électricté  Forces naturelles e. erreur d’opérateur.

des actifs physiques. des bureaux et des documents critiques • Seulement 25% des entreprises ont un Business Continuity Plan. à tout moment. une organisation peut continuer à fonctionner à un niveau minimum pré déterminé • Cela inclut : – Evaluer et réduire les risques – Planifier pour le redémarrage de processus clés quand un risque se matérialise et un arrêt d’activité se produit – Tester ces plans de manière régulière • Business continuity ne concerne pas uniquement les systèmes IT mais également les gens. D’ici 2007.Définition de Business Continuity • Business Continuity Management concerne la gestion des risques pour s’assurer que. 75% des entreprises devraient avoir un BCP (source : Gartner) |43 .

Définition de Business Continuity • Business continuity management est appelé de différentes manières : – – – – – – Business continuity planning Disaster recovery planning Business recovery planning Business resumption planning Crisis management Contingency planning |44 .

SLA) Potential Loss of Information Recovery Period Minimum Service Normal Operation Restored Time Normal Operation |45 .Disponibilité – Niveaux de services INTERRUPTION INTERRUPTION WINDOW: WINDOW: BUSINESS BUSINESS PROCESS 1 Interruption RTO (Minimum SLA): 2 Days RTO (Normal Operations): 10 Days Service Level RPO RPO: Start of Day Minimum SLA: x% of orders processed within y mins of receipt Normal SLA RTO (Normal Operations) Minimum SLA RTO (Min.

Business continuity – évolution historique Périmètre historique Réplication et backup Périmètre IT Périmètre Business + IT Text Text  Duplication de données  Backup & recovery  Storage-centric  Infrastructure (e.g. serveurs)  Applications  Centre de données sécurisé  Processus métiers et composants IT  Systèmes.. processus et personnes |46 . réseaux.