Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 GRI2012-101 SLA Service Level Agreement Marche suivre Domaine : Gouvernance des systmes dinformation Objectifs : Le document prsente une marche suivre permettant toute personne, ayant les connaissances requises, de pouvoir rdiger concrtement un SLA. Il comprend : une introduction les concepts gnraux dun SLA la prsentation de tous les points ncessaires un SLA avec leur explication et, si possible, un exemple. Public cible : Toute personne susceptible de rdiger un SLA dans le domaine des services informatique com- me : responsable informatique, responsable de processus (Service level manager), chef de projet, etc. Auteur : Robert Jaques, RJConsulting Srl, www.rjconsulting.ch Avertissement : Notre responsabilit ne peut tre engage eue gard entre autres aux consquences qui pour- raient subvenir suite lutilisation du document produit par cette mission. En aucun cas nous ne pourrions tre tenus responsables dventuelles pertes financires induites par un SLA mal conu aprs avoir suivi le modle prconis. SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 2/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 1. Introduction Le but de ce document est de prsenter une marche suivre pour la rdaction dun SLA (Service Level Agreement) en mettant en avant des actions essentielles sa r- ussite et des informations importantes sur les piges viter. Il se dcompose en 3 parties essentielles : Les concepts gnraux. La rdaction dun SLA avec tous ses points cls. Les actions entreprendre pour la rus- site et les piges viter. 2. Concepts gnraux 2.1 Dfinition dun SLA Le SLA est un contrat qui quantifie le ni- veau de service minimal pour une presta- tion quun fournisseur sengage dlivrer son client. Il peut tre soit une partie dun contrat in- formatique, soit un annexe un contrat in- formatique, soit un annexe des condi- tions gnrales. En franais il peut tre appel sous diff- rent noms comme Accord de niveau de service , Contrat de service , Convention de service , etc 2.2 Buts dun SLA Les principaux buts dun SLA sont de dfi- nir : les besoins dun client pour pouvoir les exprimer clairement dune manire comprhensible par chacune des parties (fournisseur et client), les critres dvaluation ainsi que les moyens de mesure avec lesquels on pourra valuer la qualit de la prestation fournie. Les autres buts sont entre autres : dtablir une relation de confiance, voir de partenariat entre les parties, dliminer les attentes irralistes ou trop chres (rapport prix/prestation). 3. Rdaction dun SLA La rdaction dun SLA varie en fonction de la prestation qui va tre fournie, cest-- dire selon le champ dapplication. En effet un SLA Rseau sera diffrent dun SLA Hbergement qui lui sera diff- rent dun SLA Application. Chacun com- portera un certain nombre de points spci- fiques lis au domaine quil va devoir cou- vrir. Nanmoins tous les types de SLA doi- vent couvrir un certain nombre daspect afin dtre complets. La liste ci-dessous va traiter un certain nombre de points qui sont prendre en compte pour quun SLA soit le plus com- plet possible : 1. Le lien et la priorit du SLA par rapport dautres contrats. 2. La liste et la dfinition du ou des servi- ces. 3. Lobligation dinformation et de conseil. 4. Lutilisation du ou des services par le client. 5. Les critres de mesure permettant de dfinir le niveau de qualit. 6. Le reporting. 7. Le prix. 8. Le dbut, la fin, le renouvellement et la rsiliation du SLA. 9. La modification du service, donc du SLA. 10. La rcupration. 11. Les responsabilits et obligations (du fournisseur et du client). 12. La force majeure. 13. La proprit intellectuelle. 14. La scurit. 15. La maintenance. 16. Les relations avec des tiers. 17. Les audits. 18. Les plaintes. 19. Le droit applicable. 20. Les litiges. 3.1 Le lien et la priorit du SLA par rapport dautres contrats Si le SLA nest pas un contrat part enti- re, il va faire partie dun ensemble de contrats pour lesquels un certain ordre de priorit doit tre tabli. En effet il faut viter quun contrat soit prpondrant par rapport un autre sans que ceci soit voulu. En plus de laspect gnral du SLA, lintervention dun juriste pour ce point est trs fortement conseille. 3.2 La liste et la dfinition du ou des services Ce point est le plus dlicat et parmi le plus important du SLA, en effet la dfinition du service et du niveau requis sont des l- ments qui peuvent amener, en cas de pro- blmes, la rupture du contrat. En premier il faut dterminer le service afin que celui-ci puisse tre dcrit clairement dans le SLA. La description du service doit se faire dans un langage commun et com- SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 3/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 prhensible aux deux parties. Les termes doivent tre clairs, prcis et sans ambigi- t. Il est conseill de dcrire aussi ce qui nest pas couvert par le service et les dpen- dances ventuelles du service fourni (exemple suit). Ensuite il faut dfinir pour chaque service fournir le ou les performances attendues qui seront appeles niveaux de service (plusieurs exemples suivent). Ceci est la rfrence de la qualit minimale du service pour lequel le fournisseur va sengager. Le fournisseur pourra faire mieux, voir nette- ment mieux, mais les cots engendrs par ceci vont le rendre soit moins concurren- tiel, soit abaisser son gain. Le niveau de service doit satisfaire les exi- gences requises par le client, pour cela le fournisseur va questionner et conseiller le client sur la pertinence des performances demandes qui peuvent induire des cots trs levs pour tre raliss ou ne sont peut-tre mme pas ralisables ; ceci se fait durant la priode de ngociation. Au final chaque niveau de service doit tre dfini dun commun accord entre les deux parties et doit tre, le plus possible, valu par des valeurs techniques mesurables. Sont viter les mesures qui tiennent de lmotionnel comme les enqutes de satis- faction auprs des utilisateurs. Les lments mesurer doivent tre utiles et pertinents. Chaque mesure ayant un cot, il est prfrable de se poser cha- que fois la question de son utilit. Le niveau de service toujours prsent dans un SLA est la disponibilit du service. On entend par disponibilit le temps que lutilisateur peut utiliser le service sans in- terruption en temps normal (ceci exclus la force majeure que lon verra dans une sec- tion ultrieure). La disponibilit est exprime la plupart du temps en % et doit tre complte par la priode dapplication, priode la fin de laquelle on remet le compteur zro et on recommence. Souvent on inclut dans ces informations les priodes dindisponibilits dfinies qui sont lies la maintenance. Si le service fournir concerne le dve- loppement dune application, dans le SLA il faut, en plus, fixer le planning qui contient les jalons avec les tapes dimplmentation et la ou les livraisons. Pour chaque livraison son contenu doit tre spcifi avec prcision de faon ce que la recette puisse se faire sans accros. IMPORTANT Pour tous les sujets abords ci-dessus, la rdaction du SLA doit se faire imprative- ment de faon conjointe entre les deux parties et avec le personnel adquat (res- ponsables, techniciens, juristes, etc.). Exemple de dpendance Le fournisseur livre une application qui est hberge chez le client (serveurs, rseau, etc.). Le fournisseur de lapplication ne peut garantir un certain niveau de service pour son application quen dfinissant le niveau minimal de linfrastructure de la- quelle il dpend. Exemple de niveau de service Lapplication fournie (par exemple site web) doit pouvoir fonctionner avec le ni- veau de qualit requis pour 50000 utilisa- teurs connects en mme temps. Exemple 1 de niveau de service (disponibi- lit) Service disponible mensuellement 99% du lundi au vendredi entre 6h et 18h. En considrant que le mois contient 21 jours (du lundi au vendredi), cette dfini- tion implique que les heures de fonc- tionnement sont 18-6 = 12 heures par jour. Ceci fait 21*12 = 252 heures par mois. 99% de 252 heures = 249.5 heu- res. Pour respecter le SLA, le service ne doit pas tre indisponible durant la dure mensuelle pour plus de 252-249.5 = 2.5 heures. Lindisponibilit peut se concrtiser par un arrt assez long, ou un nombre de pannes courtes mais rcurrentes. Dans ce cas, une contrainte additionnelle peut tre ajoute au SLA afin de dfinir le nombre maximal de coupures du servi- ce, par exemple pas plus que 3 par mois. Si le service sarrte entre 18h et 6h, aucune indisponibilit ne peut tre cal- cule. Si par exemple le service sarrte 17h30 et reprends 6h30, lindisponibilit totale pour le SLA ne se- ra que dune heure, alors quen ralit le service aura t indisponible pendant 13 heures. Exemple 2 de niveau de service (disponibi- lit) SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 4/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 Service disponible annuellement 99,9% 7j/7, 24h/24 (typiquement site web). Dans ce cas, 24 heures de fonctionne- ment sur 30 jours par mois pendant 12 mois, donnent 24*12*30 = 8640 heures. 99.9% de 8'640 heures = 8631.4 heures. Ceci veut dire que le service, tout en respectant le SLA, peut tre indisponible chaque anne pendant 8.6 heures. Il est important de savoir que dans ce cas le fournisseur va demander des pla- ges de maintenance qui seront indis- pensables au bon fonctionnement du service. Ces plages ne pourront pas comptes comme une indisponibilit du service Exemple 3 de niveau de service (disponibi- lit) Il est intressant de savoir que les fournis- seurs qui proposent un service annuel 99.99%, 24h/24, 7j/7, disposent dun temps dindisponibilit annuel de 52 minu- tes ! Exemple niveau de service (helpdesk) Un fournisseur qui propose un client un service help desk aura des critres de ni- veau de service autres que la disponibilit. Ceux-ci seront plutt : le nombre de sonneries maximales avant de dcrocher, le nombre maximal dappel perdu en rapport au nombre dappels total (en %), le nombre minimal de cas rsolus lors de lappel, donc au 1er niveau (par exemple 60%). Cet exemple de helpdesk est un cas assez dlicat de SLA, en effet il y a une partie importante de formation et de connaissan- ces prendre en compte. Typiquement, si le nombre de cas rsolus au 1 er niveau est infrieur la limite, ceci peut dcouler du manque de formation du personnel du fournisseur ou du manque dinformation fournie par le client. 3.3 Lobligation dinformation et de conseil Le fournisseur est un professionnel dans son domaine dexpertise. Pour cette rai- son, il a lobligation dinformer correcte- ment le client et de le conseiller dans la solution qui va tre la plus avantageuse et approprie. Cette obligation varie en fonc- tion de la nature du SLA et des connais- sances du client. De son ct le client a aussi une obligation de se renseigner et doit collaborer de bon- ne foi la dfinition de ses besoins. 3.4 Lutilisation du ou des services par le client Il est fondamental de connatre comment le client va utiliser le ou les services fournis (charge rseau, nombre dutilisateurs, type de transactions standard et transactions les plus lourdes, ). Ce qui est important dans ce point cest que ces informations, qui doivent figurer dans tout SLA, vont permettre au fournis- seur de calculer les besoins en capacit qui doivent tre mis disposition du client (CPU, rseau, RAM, stockage disque, sauvegardes, personnel, ). Autre point important est le ou les lieux dutilisation de la prestation de la part du client. Exemple de lieux disperss Un fournisseur dlivre une prestation avec du matriel chez le client. Si le client se trouve dispers sur diffrents sites, le fournisseur devra pouvoir tre en mesure dassurer la disponibilit dfinie. En effet sil doit intervenir sur site pour le rempla- cement de matriel dfectueux, il va falloir quil prenne en compte les temps de d- placement et les frais lis. 3.5 Les critres de mesure permettant de dfi- nir le niveau de qualit Ce point est fortement li avec la dfinition du niveau de service. En effet cest lui qui va permettre : de dfinir les critres de mesure qui vont tre utiliss, au fournisseur de prouver quil respecte le niveau de qualit requis et dfini dans le SLA, au client de prouver que le fournisseur ne respecte pas le niveau de qualit re- quis, ce qui va lui permettre de deman- der : o une correction rapide de la situation pour ensuite demander o un ddommagement (pnalits) et enfin o de rsilier le SLA pour faute. Les critres de mesure doivent tre choisis dune manire pragmatique, doivent tre pertinents, utilisables et techniques (viter toute mesure dcoulant de lmotionnel). Ce sont ces informations qui seront utili- ses pour tablir les reporting qui vont SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 5/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 permettre de prouver que les termes dfi- nis dans le SLA sont respects ou pas. 3.6 Le reporting Cest le fournisseur de services qui produit le reporting. Son but est de montrer au client que le niveau de qualit, donc les prestations minimales requises qui ont t dfinies dans le SLA sont respectes. En cas de prestations dficientes, il va en ex- pliquer la ou les causes et va indiquer les mesures correctives quil a mis en place pour remdier rapidement la situation. Dans certains cas il va demander au client de mettre en place des actions pour rem- dier un problme (exemple suit) La frquence et le contenu du reporting qui figure dans le SLA doit tre dfini en colla- boration entre le fournisseur et le client. Son cot est compris dans le prix du servi- ce. Selon la pertinence, il peut tre journa- lier, hebdomadaire, bimensuel ou men- suel. Pour des prestations long terme, un reporting annuel qui fait un rcapitulatif de lanne est bienvenue. Le reporting dpend directement des crit- res de mesures qui ont t dfinis. Le fournisseur doit sassurer quen fonction des critres dfinis, il peut bien produire le reporting convenu avec le client. Exemple daction du client (helpdesk) Le fournisseur narrive pas rpondre aux critres tablis dans le SLA pour ce qui est de la rsolution de cas au 1 er niveau et le nombre dappels a augment de 30%. Ce- ci est arriv aprs la mise en production dune nouvelle application. Dans ce cas le fournisseur va demander au client de : vrifier la qualit de la nouvelle applica- tion, de former les utilisateurs, de fournir une documentation la plus complte possible afin de pouvoir r- pondre aux exigeances du 1er niveau 3.7 Le prix Chaque prestation de service doit tre value en fonction du niveau de qualit requis par le client. Donc certaines presta- tions non-standard ne peuvent pas avoir un prix dtermin lavance. Le fournisseur va valuer les cots induits par le niveau de service quil va devoir fournir et ainsi calculer le prix de la presta- tion (cot fournisseur = prix prestation + marge). Diverses formules peuvent tre utilises, comme le forfait, labonnement mensuel ou annuel, le nombre dutilisateurs, le temps de connexion, etc. Le prix fix est accept par les deux par- ties la signature du SLA et une clause peut stipuler quil reste valable et inchang durant toute la dure du contrat. Le prix pourra tre rvis lors du renouvellement tacite du contrat ou de la modification du niveau de service. Pour les contrats du- re indtermine, une rvision annuelle (ou autre priodicit) peut tre invoque par le fournisseur. Un taux daugmentation maximal du prix peut tre fix lors du renouvellement tacite de contrat. Nanmoins si ceci peut eviter des surprises du ct client, le fournisseur pourrait avoir tendance augmenter chaque fois du maximum possible le prix de ses prestations. Avec laugmentation de la puissance et la diminution des prix dans le domaine de llectronique, il est possible davoir des fournisseurs qui, performances gales, vont pouvoir baisser le prix ; cest souvent au client den faire la demande. Il y a aussi des fournisseurs qui vont proposer de gar- der un prix constant en augmentant les performances ; cest au client de voir sil a vraiment besoin de plus de performances au lieu de demander une baisse du prix. 3.8 Le dbut, la fin, le renouvellement et la rsiliation du SLA Le SLA dure dtermine a une date de dbut et une date de fin des prestations de service fournies un certain prix. Cette du- re, souvent renouvelable, doit tre discu- te et accepte par les deux parties (four- nisseur et client). Le renouvellement tacite doit tre prcis dans le SLA. Sil ny a pas de renouvellement tacite, le SLA prend fin par survenance du terme. Le SLA dure indtermine ne possde quune date de dbut des prestations de service. Chaque partie peut y mettre un terme moyennant un pravis qui devra tre prcis (par exemple par lettre recomman- de au moins 6 mois avant la fin de la prestation). Un cas particulier est la fin de SLA pour faute. Ceci est un point assez dlicat qui doit tre pris en charge par un juriste qui a une parfaite connaissance des lois. SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 6/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 Les principales raisons de fin de contrat pour faute sont : Fautes ct client : o Pas de paiement des prestations. o Mauvaise dfinition des besoins. o Manque de loyaut. o Mauvaise foi. Fautes ct fournisseur : o Dfaut de livraison. o Non respect des dlais. o Prestations insuffisantes (niveau et dure dfinir). o Manque dinformation et de conseil. 3.9 La modification du service, donc du SLA Par modification du service on entend un changement des prestations pendant la dure de validit du SLA. La modification du service ne provient gnralement que du ct du client. Les principales raisons de demande de modifications du client sont : une mauvaise dfinition du service. Ceci nest pas un bon signe car a implique que le SLA nest pas une russite. Par contre lidentification du problme per- mettra de corriger le SLA, de retrouver la satisfaction du client et de faire mieux la prochaine fois, un changement de primtre, un gros changement des prix du mar- ch, ce qui implique une nouvelle ngo- ciation soit des prestations, soit du prix. 3.10 La rcupration Point essentiel qui doit faire partie dun SLA et qui est souvent nglig, voir oubli. Lorsque le client achte une prestation ex- terne, la plupart du temps il perd le savoir faire, les connaissances lies cette pres- tation et des informations importantes comme par exemple le nombre et le type dappel pour un helpdesk. La rcupration a un cot et permet de d- terminer qui appartiennent certaines in- formations et les actions mettre en place soit du ct fournisseur que du ct client lorsque le SLA prendra fin. Parmi ces actions on peut citer la rcup- ration des connaissances au sein du per- sonnel (formations prvoir), la rcupra- tion des donnes, larchivage, les modali- ts de scurit, etc. Dans le SLA pourra figurer qui prends en charge quoi, qui, o et quand. Exemple pour la formation A la demande du client, dans le SLA, le fournisseur prvoit un certain nombre de jours de formations. Pour cette ou ces for- mations, on dfinira les sujets et les contenus, le ou les lieux et les dlais pour les dispenser. Le client de son ct sengagera mettre disposition le personnel pendant la p- riode dfinie. Le fournisseur exigera que le personnel du client ait un niveau minimal de connais- sances et de capacits pour pouvoir assi- miler la matire dans les dlais prvus. 3.11 Les responsabilits et obligations (du fournisseur et du client) Que ce soit du ct fournisseur que du c- t client, il faut tablir la liste des person- nes qui endossent un rle et une respon- sabilit. Cette liste contiendra le rle par rapport au SLA et la fonction dans lentreprise. Eviter les noms des personnes car tout change- ment implique une modification du SLA et donc une perte de temps en procdures de signatures. Le tableau ci-dessous un exemple simple de liste (non exhaustif) : Fournisseur Client Rle Fonction Rle Fonction Contact client SLM Contact four- nisseur Responsable service mtier Procdure de rclamation SLM Procdure de plainte Responsable service mtier Procdure de crise SLM Procdure de crise Direction client + responsable servi- ce mtier Escalade Direction fournisseur + SLM Escalade Direction client + responsable servi- ce mtier Reporting SLM Rception reporting Direction client + responsable servi- ce mtier Suite ltablissement de cette liste, il faudra aussi faire figurer dans le SLA les runions qui vont avoir lieu rgulirement entre les deux parties. Ces runions seront entre autres celles qui vont permettre au fournisseur de prsenter les rsultats mesurs qui vont indiquer si la qualit de service dlivre est conforme ou pas ce qui est demand dans le SLA. SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 7/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 Dautres runions seront par exemple cel- les de crise. 3.12 La force majeure Dans le SLA il faut dfinir la procdure de notification et les cas de force majeure afin denlever toute ambigit. La liste des cas doit tre exhaustive. Ceci est un point intressant pour le client car il lui permet de voir quelle est la solidit de son fournisseur. Parmi les cas de force majeure on peut ci- ter la faillite, lpidmie ou la pandmie, la catastrophe naturelle (liste prcise), lattentat, le conflit arm, etc. Un cas de force majeure qui nest pas en- core trs commun mais qui le deviendra dans le futur, ce sera le hacking. En effet pour les services web le cas dune attaque massive provocant un dni de service, peut tre considr comme un cas de for- ce majeure empchant le fournisseur de dlivrer le service indpendamment de sa volont et de sa bonne foi. 3.13 La proprit intellectuelle Laxiome est : on ne peut pas cder plus de droits quon en possde. Les problmes lis aux licences doit tre trs bien tudi par les juristes des deux parties. Par exemple si le fournisseur est propri- taire de lapplication quil met disposition du client, il va cder uniquement le droit dutilisation (exclusif ou non exclusif selon le cas). Si par contre le fournisseur nest pas propritaire de lapplication quil met disposition, il doit possder le droit dexploitation et va concder une sous- licence au client. Du ct client, la reproduction est interdite sauf lors de cas exceptionnels qui sont prciser dans le SLA (par exemple une copie de sauvegarde). Ceci doit toujours rester dans le cadre du respect de la loi, cest pour cette raison que des juristes sont indispensables. Lescrow : lorsque le service est un logiciel dvelopp par un fournisseur, ce terme est utilis pour dfinir un accord entre les deux parties afin que le code source de ce logi- ciel soit dpos chez un tiers (gnrale- ment un notaire). Ceci dans le but ce que le client puisse avoir une possibilit de continuer son activit avec un autre four- nisseur en cas de problmes avec le fournisseur auprs duquel il sest engag en premier. Ces problmes doivent tre dfinis lavance et figurer dans la SLA. Exemples de problmes Faillite du fournisseur, dsastre chez le fournisseur qui rsilie le contrat par force majeure, rachat du fournisseur par un concurrent qui arrte le dveloppement ou lvolution du logiciel achet par le client, etc. 3.14 La scurit Dans un SLA, tous les aspects de la scu- rit doivent tre abords. Gnralement en scurit on parle souvent de confidentialit, intgrit et disponibilit. En plus de ces aspects, il ne faut pas ou- blier, selon les besoins, la traabilit, lauthentification et la scurit physique. Confidentialit Il faut que le client dfinisse et classe clai- rement ses donnes afin quelles puissent tre traites selon leur importance. En ef- fet une donne confidentielle (protge par la Loi sur la protection des donnes) ne peut pas transiter sur un rseau ou tre stocke de la mme faon quune donne publique. Dans une annexe au SLA doivent figurer les donnes catgorises. Exemple de catgorisation de donnes Publique : accessibles tous Interne : usage interne de lentreprise Confidentielle : usage limit un cer- tain nombre de personnes dfinies Secrte : usage trs limit 2 ou 3 personnes de la direction. Intgrit En fonction du classement des donnes et de leur sensibilit, il faut garantir que les donnes sont bien celles que lon croit tre. Pour ceci le client devra aussi faire un choix entre ce qui doit rester absolu- ment intgre et ce qui nen a pas ncessai- rement besoin. Disponibilit Ce point est largement trait dans le SLA au niveau de la qualit du service requis par le client. Traabilit Ceci est utilis pour savoir qui a fait quoi et quand. En cas dincident ou de problme, cest le meilleur moyen dinvestigation (au- dit) pour en identifier la cause. Il faut dfi- nir dans le SLA les traces que lon va met- SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 8/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 tre en place. Si le fournisseur veut mettre en place des traces additionnelles ses frais pour prvenir des problmes ven- tuels, il en avertira le client avec la justifi- cation de leur utilit. Authentification Le meilleur des choix est toujours la politi- que du moindre privilge. Les utilisateurs, quelle que soit leur nature, doivent avoir accs strictement ce quil ont besoin. Ceci peut tre reprsent dans le SLA par une matrice des rles et accs autoriss. Exemple de matrice : Rle Type accs Administrateur de maintenance Limit aux oprations de main- tenance Administrateur systme (root) Illimit Administrateur de comptes Limit aux oprations de cra- tion de comptes Utilisateur Limit aux actions et informa- tions ncessaires Super utilisateur Mme que utilisateur + des fonctions additionnelles Scurit physique La responsabilit de laccs physique aux locaux o se trouve lutilisation et/ou la gestion du service est un sujet qui doit tre trait dans la SLA pour dfinir qui en est responsable. 3.15 La maintenance Quasiment toute prestation informatique dlivre a besoin de maintenance (mise jour du logiciel, patch de scurit, chan- gement de hardware dfectueux, etc). Ce- ci implique un arrt planifi du service. Mme si le fournisseur sorganise pour ef- fectuer ce genre doprations en dehors des plages dutilisation du service dlivr, ces informations doivent figurer dans le SLA. Dans le SLA doit aussi figurer une clause de maintenance durgence, afin que le fournisseur puisse intervenir durgence en accord avec le client sans tre pour autant pnalis. Le fournisseur qui dlivre un service dis- ponible 24 heures sur 24 et 7 jours sur 7 et qui ne prvoit pas une totale redondance des systmes cause dun prix trop lev que le client nest pas daccord de payer, doit planifier des priodes darrt du servi- ce en accord avec le client. Ces plages planifies qui figurent dans le SLA seront des priodes pendant lesquelles le client ne pourra pas faire valoir un temps dindisponibilit du service. Exemples de plages darrt Cest gnralement le client qui dtermine les moments pendant lesquels le service continu dont il a besoin soit interrompu pendant une priode qui le pnalise le moins. Cest au fournisseur de sadapter, la ngociation tant toujours possible. Les plages de maintenance sont souvent la nuit, en semaine ou en week-end comme par exemple le deuxime et le quatrime samedi du mois entre 23h et 2h. 3.16 Relations avec des tiers Dans le SLA doit figurer toute dpendance du fournisseur par rapport des autres fournisseurs. Cest le fournisseur qui signe le SLA qui est responsable du service final, donc il doit sassurer que ses sous-traitants ont la capacit requise. 3.17 Les audits Selon le service fourni, le client a tout avantage pouvoir auditer le fournisseur afin de pouvoir identifier des risques po- tentiels quil encourt par des manquements non visibles du fournisseur. Un exemple typique est un fournisseur qui hberge et fournit une application web. Au client il a vendu une disponibilit et une continuit quil ne peut pas assurer en cas de pic car son infrastructure nest pas adapte. Dans le SLA doivent figurer les types daudits que le client a le droit de faire et avec leur frquence. Le client ne sera pas pnalis sil ne procde pas ces audits. Dans le SLA doivent aussi figurer les types dauditeurs externes auxquels le client pourrait faire appel afin que laudit soit neutre et impartial. 3.18 Les plaintes Lorsque lune des deux parties considre que lautre ne respecte pas les termes du SLA, une plainte, toujours sous forme cri- te pour avoir une trace, doit tre envoye avec la description du problme. SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 9/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 Dans le SLA la procdure de plainte doit tre dcrite avec la personne du client qui est en charge de communiquer la plainte et du ct fournisseur la personne qui est en charge de recevoir et de traiter la plain- te (dans les meilleures pratiques ITIL on parle de SLM (Service Level Manager) comme point de contact unique). Dans la procdure doivent figurer au mi- nimum le temps de prise en charge et le temps de rponse la plainte. Un formu- laire standard de plainte peut tre annex au SLA. On peut aussi tablir un classe- ment selon la gravit de la plainte, afin que celle-ci soit traite avec une certaine priori- t. Une procdure descalade doit tre mise en place afin de traiter rapidement les plaintes les plus graves ou celles moins graves dont la dure de rponse devient trop longue. 3.19 Le droit applicable Le SLA devra se rfrer aux lois en vi- gueur. Pour cette raison le SLA doit imp- rativement tre rdig avec un juriste. 3.20 Les litiges Comme dans tout contrat, le SLA doit contenir la clause de rsolution des litiges en dsignant le tribunal comptent ou le choix darbitrage. 4. Critres de russite Les critres numrs ci-dessous sont des lments additionnels permettant dassurer au mieux la russite et la mise en application du service propos par le SLA. Etude rcente de ltat de linformatique du client. Ce point permet au prestataire de services de vrifier que la partie complmentaire du client sur laquelle il va devoir sappuyer est bien conforme aux attentes. Passer par des phases de ngociation afin de mieux se connatre entre parties, et surtout ngocier directement avec le client concern (utilisateurs, techniciens, spcialistes, ..). Il est assez rare quun client donne un mandat important un fournisseur peu connu, voir inconnu. Un climat de confiance doit tre tabli et du c- t fournisseur ces phases de ngo- ciations permettent de connatre mieux les besoins rels du client, ce qui aboutira sur un SLA bien cibl. Dtermination des services fournir et ceux gards par le client. La frontire doit tre claire et dfinie. Tout ce qui reste mal dfini sera une source de problmes ultrieurs, voir de conflits. Clart des termes et des rsultats re- cherchs. Le vocabulaire utilis par le client doit tre parfaitement compris par le fournisseur et inversement. Il faut tre conscient que toute incompr- hension sera tt ou tard une source de problmes. En ce qui concerne les rsultats, il faut que ceux-ci soient aussi claire- ment dfinis par le client afin que le fournisseur puisse identifier tout ser- vice quil ne pourrait pas fournir selon la qualit requise. Description dtaille des services sou- haits et exclus. Souvent on dcrit ce que lon veut et pas ce que lon ne veut pas. Afin dviter la phrase du client je croyais que ceci tait inclus, la liste des ser- vices doit contenir les prestations ex- clues, ce qui va amener un plus au SLA. Le service doit convenir au client. Ce nest pas au client de sadapter au servi- ce. Le mtier exerc par client doit trou- ver un avantage avec le service four- ni par le fournisseur. Sil complique ou change la mthode de travail sans la volont du client, le service abouti- ra lchec. Des niveaux de performance clairs et ralistes, en adquation avec les be- soins du client. Le fournisseur doit identifier les be- soins rels du client afin de lui pro- poser le bon service avec le prix adquat. Indicateurs de performance pertinents et le plus techniques possible (supprimer le ct motionnel). Un indicateur doit tre une mesure physique indiscutable et pas une ap- prciation. SLA Service Level Agreement Marche suivre Version 01.00 12.04.2012 Page 10/10 Groupement Romand de lInformatique Tl. : +41 21 652 30 70 E-mail : gri@gri.ch Rte de Genve 88b Fax : +41 21 617 87 79 Internet : www.gri.ch CH 1004 Lausanne TVA : 317875 En cas de problmes, dfinir les priorits de rsolution, la ou les quipes de se- cours et les procdures descalade. Identifier les besoins critiques du client pour pouvoir rtablir en premier les services concerns. Mettre en place un processus en cas de crise. Un service ne peut pas compenser dans tous les cas une mauvaise organisation du client. Si lorganisation du client nest pas bonne, il faudra plutt proposer un service qui inclut un changement. Ceci doit imprativement avoir lapprobation et une forte implication de la part de la direction du client avant toute signature de SLA. Le management du client doit simpliquer et informer. Une forte implication du management est essentielle pour que les utilisa- teurs acceptent un service (gestion du changement). La communication doit tre prcise et transparente. Au besoin, il faut mettre en place des formations pour les utilisateurs. Souvent, par manque dinformation, les utilisateurs se plaignent du niveau de qualit du service, qui lui, respec- te parfaitement les termes dfinis dans le SLA. OMPI LOffice Mondial de la Proprit Intel- lectuelle met disposition, sur son si- te internet, un certain nombre dinformations sur comment limiter les conflits et comment construire une bonne relation entre fournisseurs et clients. Lien : http://www.wipo.int/amc/en/asp/repor t/index.html
Olivier Bourrouilh-Parège - Pierre Schick - Jacques Vera - Philippe Mocquard - Audit Interne Et Référentiels de Risques - Vers La Maîtrise Des Risques Et La Performance de Laudit (2021)