460 likes | 649 Views
Les activités d’exploitation informatique. Gestion des technologies de l’information – GEST310 Pascale Vande Velde. Agenda. Activités d’exploitation – ITIL Sécurité Audit Disponibilité. Introduction.
E N D
Les activités d’exploitation informatique Gestion des technologies de l’information – GEST310 Pascale Vande Velde
Agenda • Activités d’exploitation – ITIL • Sécurité • Audit • Disponibilité
Introduction • Les entreprises deviennent de plus en plus dépendantes de l’informatique. Cela les conduit à avoir des exigences de plus en plus fortes quant à la qualité des services IT • ITIL est de plus en plus utilisé comme cadre d’organisation des services informatiques • Les systèmes informatiques deviennent incontournables. Leur indisponibilité pose des problèmes de discontinuité d’activités de plus en plus aigus • Des systèmes de disaster recovery souvent très coûteux sont mis en place pour pallier toute faille des systèmes • Les systèmes informatiques fonctionnent en réseaux. L’internet a fortement complexifié les problématiques de sécurité de ces systèmes • Evolution rapide et investissements lourds en mesures de sécurité • Le département Exploitation est responsable de ces activités
Qu’est ce qu’un service IT ? • Ensemble de fonctions fournies par les systèmes IT en support des métiers (gestion du parc PC, gestion des applications au jour le jour, production d’outputs, gestion des accès aux applications, helpdesk, etc...) • Un service est constitué de composants software, hardware et de communication (réseaux) • Les services peuvent couvrir de nombreux domaines : depuis l’accès à une application jusqu’à la mise à disposition d’un service impliquant plusieurs applications, des réseaux, etc... • Exemples : • Disponibilité de systèmes critiques • Transactions sécurisées sur réseaux ouverts • Transfert de données entre applications via un WAN
Définition de ITIL • ITIL (“Information Technology Infrastructure Library”) est un ensemble de recommendations développé par le UK Office of Government Commerce • Ces recommendations sont documentées et décrivent un cadre de gestion des services IT intégré et basé sur les différents processus de fournitures de services • Développé dans les années ’80 pour le gouvernement britannique, l’ ITIL est devenu une référence mondiale en matière de gestion de services IT • Plusieurs centaines de sociétés ont implémentés des processus conformes à ITIL • Objectifs du modèle ITIL • Faciliter une gestion de qualité des services IT • Améliorer l’efficacité • Réduire les risques • Fournir un “best practice”
Service Delivery Service Support Service Level Management Change Management Availability Management Release Management Financial Management Problem Management Capacity Management Incident Management Service Continuity Configuration Management Modèle ITIL • Hypothèse ITIL : les fonctions suivantes sont essentielles afin de livrer des services IT de qualité • ITIL propose une approche structurée pour définir, implémenter et gérer chacune de ces fonctions au jour le jour Source: ITIL CD ROM
Modèle ITIL • Service support • Assure que l’utilisateur a accès aux services appropriés pour supporter les fonctions métiers • Release management • Problem management • Change management • Incident management • Configuration management • Service delivery • Quels sont les services demandés par les métiers afin de servir correctement les clients de l’entreprise • Service level management • Availability management • Service continuity • Financial management • Capacity management
Modèle ITIL – Service delivery • Service level management • Processus incluant la définition, négociation, mise au point d’un contrat de SLA • Processus de gestion de ces contrats • Processus de revues de niveaux de services utilisateurs • Prioritisation des services (requis, coûts justifiés) • Capacity management • Processus de planification, définition et gestion de la capacité des systèmes IT • Se base sur des critères (temps de réponse, volumes, etc..) définis dans le cadre des niveaux de services • Service continuity • Processus définissant comment adresser et résoudre des “calamités” – pannes, incendies, fraudes informatiques.... • Définit également comment éviter que des incidents deviennent des “calamités”
Modèle ITIL – Service delivery • Availability management • Processus de planification, optimisation et exécution des activités requises pour gérer la disponibilité des services IT au jour le jour • Processus d’exécution de maintenance corrective et évolutive afin de rencontrer les besoins de disponibilités requis par les métiers • Financial management • La gestion et le chargement des services IT aux métiers • Ceci nécessite d’identifier et de classifier les différents composants de coûts et de calculer les coûts liés à chaque service (comptabilité analytique)
Modèle ITIL – Service support • Configuration management • Processus d’identification et de définition des éléments de configuration dans un système (écrans, tables, formats, interfaces, etc...) • Processus d’enregistrement des éléments de configuration et de leur statut • Processus de vérification du caractère correct et complet de ces éléments de configuration • Problem management • Processus de contrôle des incidents, erreurs, problèmes • Processus de pilotage des incidents, erreurs, problèmes • Objectif principal : s’assurer que les services fournis sont stables, précis et fournis à temps
Modèle ITIL – Service support • Release management • Processus de contrôle de la distribution, gestion, enregistrement physique et implémentation de nouveaux éléments de software • S’assurer que uniquement des versions autorisées et dûment vérifiées en termes de qualité sont portées dans l’environnement de production • Change management • Processus de gestion et de contrôle des requêtes en vue d’effectuer des changements à l’infrastructure IT ou aux services IT • Processus de gestion et de contrôle de l’implémentation de ces changements • Incident management • Processus de gestion des incidents (support de première ligne par le helpdesk, support de 2e et 3e lignes dans les départements développements ou exploitation) • Le helpdesk est un point de contact unique pour rapporter les erreurs de systèmes observées
L’application de ITIL • Au cours du dernier trimestre 2001, itSMF fit réaliser une enquête sur la compréhension et l’application des méthodes ITIL au Royaume-Uni • Plus de 100 entreprises ou agences gouvernementales participèrent à l’enquête • 87% d’entre elles se considéraient comme utilisateurs de ITIL ou appliquaient dans une certaine mesure les principes ITIL itSMF : IT Service Management Forum Sources: http://www.itsmf.com/members/marketresearch.asp
Bénéfices attendus • La performance des initiatives de gestion de services est nettement plus élevée quand ces initiatives sont basées sur l’approche et le modèle ITIL • Pour ceux utilisant l’approche ITIL, 97% déclarent que leur entreprise a engrangé des résultats. 70% déclarent que ces résultats sont mesurables et quantifiables Sources: http://www.itsmf.com/members/marketresearch.asp
Bénéfices attendus • Les entreprises interrogées reconnaissent avoir vécu un changement positif au niveau de la culture de fourniture de services (80% des utilisateurs) • Finalement, dans un contexte de gestion de services, la perception de l’amélioration des services par le client est extrêmement importante. Plus de 70% des utilisateurs ITIL affirment que leurs clients ont observé les améliorations de services apportées Sources: http://www.itsmf.com/members/marketresearch.asp
Sécurité - Définition • Sécurité : moyens de protéger des actifs (gens, actifs tangibles, intangibles). L’objectif est de minimiser les pertes • Sécurité informatique : protection des actifs informatiques (données, applications, serveurs, processus) • La sécurité est avant tout une préoccupation des métiers • La sécurité fait partie de la gestion des risques. Il faut évaluer les risques et les mitiger, si ceci est justifié économiquement • Types de risques • Opérationnel : arrêt du fonctionnement normal d’une application (par exemple, suite à une attaque internet) • Légal : l’entreprise ne peut plus remplir ses obligations légales et réglementaires (par exemple, divulgation de données confidentielles) • Financier : coût financier direct (par exemple, fraude informatique)
Sécurité informatique – Préoccupations des métiers • Productivité • Elle est améliorée quand on exclut des évènements qui font perdre du temps ou empèchent le bon fonctionnement de l’organisation (par ex, virus détruisant de l’information). • Préoccupations : contrôle des spam et la mauvaise utilisation de l’internet • Réglementation • Nombreuses réglementations dans l’entreprise (gestion financière, fonctionnement d’un front office, etc...). Elles nécessitent de sauver et de conserver des données et enregistrements, y compris qui est responsable d’actions/décisions, etc... • Préoccupations : sauver, conserver et protéger ces données • Privacy and Digital Rights Management • Assure que l’information confidentielle ne soit pas divulguée. Privacy concerne l’information personnelle. DRM concerne l’information professionnelle à valeur commerciale. • Préoccupations : encrypter les données, autorisations
Sécurité informatique – Préoccupations des métiers • Disponibilité • La continuité des activités nécessite la disponibilité des systèmes (par exemple, une attaque informatique peut causer l’arrêt d’un système) et des données • Préoccupations : dupliquer les données et systèmes, architectures de back ups • Intégrité • Maintenir l’intégrité des processus, données, applications est essentielle. Lors d’une intrusion, cette intégrité peut être mise en danger • Préoccupations : architectures de sécurité internet, profils d’accès, etc..
Sécurité informatique – Exemples de moyens • Protection des frontières • Anti virus • Filtrage de données • Systèmes de détection d’intrusion • Systèmes de protection contre les intrusions • Firewalls • Sécurité de l’infrastructure • Firewalls • Encryption de données sauvegardées • Sécurité des communications • Encryption • PKI • VPN
Sécurité informatique – Exemples de moyens • Gestion de la sécurité • Audits • Gestion des procédures • Evaluation de sécurité • Gestion des versions, configurations • Gestion des utilisateurs • Contrôle d’accès • Authentication • Identification
Back end Front end End User Client Internet DB Server CommServer Internal Network SSL DB Server Firewall App Server Internal Local Workstation Network Bank core system Director CommServer Firewall App Server Terminals Telephone Banking 9000 9000 9000 9000 Cash Dispensersand other EMP H H H H App Server App Server Sécurité informatique – Illustration PC banking
Gestion de la sécurité • Accès physique • Personnel • Equipements • Organisation technique • Softwares • Aspects organisationnels • Sécurité des données • Calamités
Accès physique • Management • Définit les procédures d’accès • Définit les tâches du personnel de sécurité • Exécution • Nommer un security manager • Procédures pour la gestion des systèmes • Procédures en cas de vol ou de destruction • Procédures pour visiteurs • Procédures pour le personnel de nettoyage • Gestion des fournisseurs • Procédure pour les heures supplémentaires
Personnel • Recrutement • Règles de recrutement • Motifs pour une démission précédente • Règles de recrutement du personnel de sécurité • Enregistrement du personnel • Présences • Heures supplémentaires • Vacances • Fonctions • Etre formé et expérimenté • Règles pour un remplacement • Job rotation • Descriptions de fonctions • Evaluation du personnel • Objectifs personnels (rapporter les anomalies à au moins 2 personnes) • Procédures de démission
Equipement • Acquisition, location • Se mettre d’accord sur les aspects de sécurité • Documentation • Installation et acceptation • Maintenance (remote, outsourced) • Se mettre d’accord sur les aspects de sécurité • Documentation • Pannes • Alertes de pannes • Procédures de redémarrage • Contrôle interne sur les réparations • Monitoring des pannes • Test du disaster recovery plan
Organisation technique • Maintenance périodique • Rapports d’incidents • Enregistrement des incidents • Documentation • Plan d’étage • Inventaire des équipements • Liste des contrats de maintenance
Softwares • Gestion des releases et des versions • Documentation • Librairie des programmes • Règles de back up et recovery • Utilisation de programmes de correction et d’urgence • Gestion des disques et des fichiers • Echanges de fichiers avec des tiers • Procédures d’acceptation (développement) • Les procédures en matière de définition de profils utilisateurs • Les procédures “super user” • L’encryption des données
Aspects organisationnels • Département IT indépendant des autres départements • Séparation entre transactions et contrôle, approbations • Définition claire des rôles et responsabilités • Planning de production • Gestion des pannes • Contrôles inputs/outputs • Séparation des rôles entre production/input de données/développement • Contrôle de l’usage des documents d’inputs et d’outputs • Contrôle de la complétude des rapports
Sécurité des données • Passwords • Autorisations et accès • Profils utilisateurs • Encryption des données • Sécurité réseaux • Signatures électroniques • Back ups
Calamités • Feu • Avoir un back up dans un autre bâtiment • Avoir des détecteurs de feu • No smoking • Bâtiment équipé pour retarder le feu • Intervention des pompiers rapide • Panne d’électricité • Back up - recovery • Dégâts des eaux • Détecteurs • Pouvoir évacuer l’eau facilement
Sécurité du système Utilisateurs Super user Auditeur DBA Administrateur de sécurité Profils utilisateurs Login Log file Authentication Modèle de données Système d’autorisation Règles de sécurité Transaction manager Base de données Règles d’autorisation Data manager
Audit - Définition • Définition • “Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria, and communicating the results to interested users.” American Accouting Association (AAA)
Audit - Définition • Un processus systématique • Structuré comme une activité dynamique de manière logique • Une approche non planifiée en matière d’audit informatique peut conduire à négliger d’importants domaines de processing • Obtenir et évaluer les preuves • Fiabilité de la structure de contrôle • Tests afin de vérifier que la fonction de contrôle fonctionne comme convenu • Contenu des fichiers • Tests pour vérifier la cohérence des fichiers avec les transactions de la société • Confirmer la correspondance entre les critéres préétablis et les assertions • Communiquer les résultats aux parties intéressées • Autres membres de l’audit, direction, etc...
Audit de sécurité et schéma général d’audit Audit Security manager External auditor Security audit Company audit • Sécurité et privacy • Disponibilité • Confidentialité • Accessibilité Internal control system Accounting system • Contrôle des systèmes IT • Approche d’audit des systèmes IT • Vérification de l’approche d’audit IT audit
Audit informatique • Problèmes spécifiques à un audit informatique • Concentration du traitement des données • Consultation des données par le personnel IT • Les données peuvent être détruites • Les données sont très compactes (peuvent être perdues, volées, etc...) • Disparition de documents de base (téléphone,...) • Prise de décision automatisée • Plus de complexité • Vulnérabilité (réseaux) • L’audit informatique est très spécialisé et évolue rapidement
Evaluation du risque de contrôle • Objectif • L’objectif d’une évaluation du risque de contrôle est d’évaluer l’efficacité des structures de contrôle internes d’une entreprise à prévenir ou détecter des malversations importantes dans la comptabilité • Risque de contrôle • La probabilité que les malversations dans les données comptables ne soient pas prévenues ou détectées et corrigées • Structure de contrôle • Les règles et procédures mises en place par l’entreprise pour fournir une garantie raisonnable que les objectifs établis seront atteints
L’environnement de contrôle • L’effet collectif de différents facteurs sur la mise en place, l’amélioration et la mitigation de l’efficacité de règles et procédures spécifiques • La philosophie de management et le style de gestion • La structure organisationnelle de l’entreprise • Le fonctionnement du comité de direction et du comité d’audit • Les méthodes de responsabilisation • Les méthodes d’audit interne et de contrôle de performance • Les règles en matière de personnel et les pratiques • Différents facteurs externes • Reflète l’attitude générale, la prise de conscience et les actions relatives à l’importance du contrôle
Le système comptable • Le système comptable consiste en méthodes et des enregistrements mis en place pour identifier, assembler, analyser, classifier, enregistrer et rapporter les transactions d’une entreprise et pour gérer et rapporter les actifs et dettes de l’entreprise. Cela inclut la capacité de : • Identifier et enregistrer toutes les transactions valides • Décrire les transactions avec un niveau de détail suffisant que pour classifier ces transactions correctement dans la comptabilité • Mesurer la valeur des transactions d’une manière qui permette d’enregistrer leur valeur monétaire correctement • Définir la période au cours de laquelle la transaction a eu lieu • Présenter correctement les transactions et leurs disclosures dans les états financiers
Les procédures de contrôle • Les règles et procédures que le management a mis en place pour fournir une garantie raisonnable que les objectifs de l’entreprise seront atteints en matière d’audit. Ceci inclut : • Autorisation correcte des transactions et des activités • Ségrégation des rôles et responsabilités • Définition de mécanismes de sauvegarde en ce qui concerne l’accès et l’utilisation des enregistrements et des actifs • Vérifications indépendantes sur la valorisation des montants enregistrés
Impact de l’IT sur les contrôles comptables • Exemples • Des activités décentralisées effectuées par différents employés peuvent être centralisées dans un seul ordinateur,oubliant un contrôle interne • Pas d’audit trail • Quand le nombre d’employés impliqués dans le comptabilité diminue, on élimine les procédures de 4-eye check • Erreurs systématiques au lieu d’être aléatoires • Besoin de gens spécialisés pour auditer l’activité • L’auditeur IT doit être impliqué dans la conception du système de comptabilité pour prévoir les contrôles nécessaires • Fraude informatique (checks non autorisés,...)
L’audit trail • L’audit trail est un ensemble d’enregistrements qui permettent de tracer des transactions, des activités depuis leur origine • Le systéme informatique peut impacter l’audit trail de différentes manières : • Documents source sauvés de manière difficilement accessibles • Documents source éliminés • Pas de listing de transactions ou de journaux • Rapports papier uniquement pour les exceptions • Des programmes sont toujours nécessaires pour accéder aux données • Séquence des données et des activités difficile à observer
Disponibilité – coût d’un arrêt d’activité 7% des sociétés avec des revenus > $5bn ont connu un arrêt d’activité qui leur a coûté plus de $5m au cours des 12 derniers mois…. Impact financier Source – Continuity Insights/KPMG 2003
Disponibilité – causes d’arrêt d’activité • Dégâts des eaux • Coupure d’électricté • Forces naturelles • e.g. inondations, tremblements de terre, ouragans • Incendie • Panne de communication • Panne d’un système majeur • Interférences humaines • e.g. erreur d’opérateur, actes malhonnêtes, sabotage, grèves, virus
Définition de Business Continuity • Business Continuity Management concerne la gestion des risques pour s’assurer que, à tout moment, une organisation peut continuer à fonctionner à un niveau minimum pré déterminé • Cela inclut : • Evaluer et réduire les risques • Planifier pour le redémarrage de processus clés quand un risque se matérialise et un arrêt d’activité se produit • Tester ces plans de manière régulière • Business continuity ne concerne pas uniquement les systèmes IT mais également les gens, des actifs physiques, des bureaux et des documents critiques • Seulement 25% des entreprises ont un Business Continuity Plan. D’ici 2007, 75% des entreprises devraient avoir un BCP (source : Gartner)
Définition de Business Continuity • Business continuity management est appelé de différentes manières : • Business continuity planning • Disaster recovery planning • Business recovery planning • Business resumption planning • Crisis management • Contingency planning
INTERRUPTION WINDOW: BUSINESS PROCESS 1 RTO (Minimum SLA): 2 Days Interruption RTO (Normal Operations): 10 Days Service Level RPO: Start of Day Minimum SLA: x% of orders processed within y mins of receipt RPO Normal SLA RTO (Normal Operations) Minimum SLA RTO (Min. SLA) Time Potential Loss of Information Recovery Period Minimum Service Normal Operation Restored Normal Operation Disponibilité – Niveaux de services
Text Text Business continuity – évolution historique Périmètre historique Réplication et backup Périmètre IT Périmètre Business + IT • Duplication de données • Backup & recovery • Storage-centric • Infrastructure (e.g., réseaux, serveurs) • Applications • Centre de données sécurisé • Processus métiers et composants IT • Systèmes, processus et personnes