Chapitre 4

CHAPITRE 4
____________________________________________________________________________________________________________________________________________________________
OPÉRATIONS, MAINTENANCE ET
SUPPORT DES SI
Page 1
CHAPITRE 4
Opérations, Maintenance et Support
des SI
____________________________________________________________________________________________________________________________________________________________
Comprendre et fournir l’assurance que les processus
d’opérations, de maintenance et de support des SI et
de gestion des services des SI respectent les
stratégies et objectifs de l’organisation.
Page 2
des SI
____________________________________________________________________________________________________________________________________________________________
1. Opérations des systèmes d’information

2. Gestion des actifs des SI
3. Structure matérielle des SI
4. Architecture et logiciels des SI
5. Infrastructure des réseaux des SI
6. Audit des opérations et de l’infrastructure
7. Plan de reprise après sinistre
Page 3
Tâches et énoncés de connaissances
____________________________________________________________________________________________________________________________________________________________
1. Évaluer le cadre et les pratiques de gestion du service des TI (en interne ou de

façon indépendante) afin de déterminer si les contrôles et les niveaux de
service prévus par l’organisation sont respectés et si les objectifs stratégiques
sont atteints
2. Passer régulièrement en revue les systèmes d’information pour déterminer s’ils
remplissent toujours les objectifs de l’organisation à l’intérieur de l’architecture
d’entreprise.
3. Évaluer les opérations des TI (p. ex., la planification des tâches, la gestion de
la configuration, la gestion de la capacité et de la performance) pour
déterminer si elles sont contrôlées efficacement et si elles appuient toujours
les objectifs de l’organisation.
4. Évaluer la maintenance des TI (correctifs, mises à niveau) pour déterminer si
elle est contrôlée efficacement et si elle appuie toujours les objectifs de
l’organisation.
5. Évaluer les pratiques de gestion des bases de données afin d’assurer
l’intégrité et l’optimisation des bases de données.
Page 4
Tâches et énoncés de connaissances
____________________________________________________________________________________________________________________________________________________________
6. Évaluer la qualité des données et la gestion du cycle de vie pour déterminer si

elles remplissent toujours les objectifs stratégiques.
7. Évaluer les pratiques de gestion des problèmes et des incidents pour
déterminer s’ils peuvent être évités, détectés, analysés, signalés et réglés de
manière opportune afin d’appuyer les objectifs de l’organisation
8. Évaluer les pratiques de gestion des changements et des versions pour
déterminer si les changements apportés aux systèmes et applications sont
correctement contrôlés et documentés.
9. Évaluer l’informatique individuelle pour déterminer si les processus qui lui sont
destinés font l’objet d’un contrôle efficace et s’ils appuient les objectifs de
l’organisation.
10. Évaluer la pérennité et la résilience des TI (sauvegardes et récupérations, plan
de reprise après sinistre [PRS]) pour déterminer si elles sont contrôlées
efficacement et si elles appuient toujours les objectifs de l’organisation.
Page 5
Les sous domaines
____________________________________________________________________________________________________________________________________________________________
Structure
matérielle
des SI
Opérations
des
systèmes
d’information
Infrastructure Architecture
des réseaux et logiciels
des SI des SI
6
des SI
____________________________________________________________________________________________________________________________________________________________

2. Gestion des actifs des TI
Page 7
Les domaines fonctionnels
____________________________________________________________________________________________________________________________________________________________
◆ Gestion des opérations

◆ Soutien des infrastructures
◆ Gestion des services
◆ Gestion des infrastructures
◆ Supervision de l’utilisation des ressources
◆ Centre d’assistance et de soutien
◆ Gestion des modifications
◆ Gestion des versions
◆ Gestion de la sécurité de l’information
◆ Nettoyage du support des données…
Page 8
ITIL
____________________________________________________________________________________________________________________________________________________________
ISO20000
____________________________________________________________________________________________________________________________________________________________
Page 11
Les pratiques opérationnelles :
Management
____________________________________________________________________________________________________________________________________________________________
◆ Allocation des ressources

◆ Standards et procédures
◆ Les fonctions de contrôle (quelques exemples) :
• Vérification des travaux selon la planification
• Conformité aux normes
• Conformité à la politique de sécurité
• Vérification à partir des traces (log)
• Existence de plans de reprise
• Suivi des performances
• Prévisions de montée en charge
• contrôle des changements
• contrôles des accès physiques
Page 13
Les pratiques opérationnelles :
Gestion des Niveaux de services
____________________________________________________________________________________________________________________________________________________________
◆ Définition du niveau de service aux utilisateurs

◆ Outils permettant de mesurer l'efficacité et
l’efficience
◆ Référentiels de bonnes
pratiques et de procédures
• Les rapports d’exception
• Les journaux (logs) applicatifs et systèmes
• Rapport des problèmes opérateur
• La planification du travail des opérateurs
Page 14
Les pratiques opérationnelles
____________________________________________________________________________________________________________________________________________________________
◆ Tâches opérateurs :
• Lancement des travaux
• Reprise après terminaison anormale
• Sauvegardes
• Détection des entrées non autorisées
• Suivie de la conformité aux horaires déterminées
• Participation aux tests des plans de reprise après sinistre
• Surveillance des performances et de la disponibilité des ressources IT
• Gestion des problèmes et gestion des incidents
◆ La documentation sur :
• Les procédures opérationnelles
• Les procédures de gestion des anomalies et des problèmes
• Les instructions de diffusion des rapports de résultats
• Les procédures de mise en exploitation de fichiers
• Les procédures de reporting des délais dans l’exécution
• Les procédures de récupération de fichiers archivés
Page 15
____________________________________________________________________________________________________________________________________________________________
◆ Applications de gestion de l ’utilisation des

ressources
Job Accounting
◆ Ordonnancement (Scheduling) : Préparation de
l’enchaînement des tâches, définition des dépendances
et des contraintes : Logiciels d’ordonnancement
◆ Supervision de l’utilisation des ressources
◆ Les procédures de gestion des incidents et des
problèmes :
• Détection, documentation, contrôle, résolution, rapports sur
les situations anormales
Page 16
____________________________________________________________________________________________________________________________________________________________
◆ Centre d’assistance et de soutien

• Traitement des incidents reportés par les utilisateur
• Résolution
• Priorités et escalades vers le personnel approprié
• Suivi des incidents non résolus
• Fermeture
◆ Le contrôle des changements et modifications
• Documentation des changements
• Planification et préparation des mises en exploitation
• Tests
• Conversion éventuelle de données
• Mise à jour Système
Page 17
____________________________________________________________________________________________________________________________________________________________
◆ Gestion des versions

• version majeure
• version mineure
• version d’urgence
◆ Assurance Qualité
◆ Gestion de la sécurité
• Études de risques
• Analyse d’impact (BIA)
• Politiques et procédures de sécurité
• Evaluation régulière
• Procédures formelles de tests de vulnérabilité.
◆ Nettoyage de support de données
Page 18
des SI
____________________________________________________________________________________________________________________________________________________________

Page 19
Gestion des actifs
____________________________________________________________________________________________________________________________________________________________
Description du processus
Gérer les actifs des TI durant leur cycle de vie pour s’assurer que
leur utilisation produit des résultats à un cout optimal, qu’ils sont en
état de fonctionnement (adaptés à l’usage prévu), qu’ils sont pris en
compte et physiquement protégés et que les actifs essentiels au
maintien de la capacité du service sont fiables et disponibles. Gérer
les licences logicielles pour s’assurer de disposer du nombre de
licences optimal et que celles- ci sont réservées et déployées en
fonction de l’utilisation d’affaires requise et que le logiciel installé est
conforme aux contrats de licence
Description du processus
Considérer tous les actifs des TI et optimiser la valeur générée par
ces actifs
Page 20
des SI
____________________________________________________________________________________________________________________________________________________________

Page 21
Infrastructure Matérielle :
architecture technique
____________________________________________________________________________________________________________________________________________________________
◆ Classification des machines :

• Super calculateurs (très haute vitesse de traitement)
• Data Center
• Serveurs
• Clients légers
• Postes de travail
• Portables
• Organiseurs et smartphones
◆ Caractéristiques communes
• Multi-tâches
• Multi-processeurs
• Multi-utilisateurs
• Multi-Threading
• Grid computing
Page 22
Fonctions
____________________________________________________________________________________________________________________________________________________________
◆ Serveurs d’impression
◆ Serveurs de fichiers
◆ Serveurs d’applications
◆ Serveurs WEB
◆ Serveurs Proxy
◆ Serveurs de bases de données
◆ Serveurs techniques spécialisés (Appliances)
Page 23
Technologies
____________________________________________________________________________________________________________________________________________________________
◆ USB (Universal Serial Bus)

◆ Cartes flash
◆ Radio Frequency Identification (RFID)
Page 24
maintenance matérielle (1)
____________________________________________________________________________________________________________________________________________________________
◆ Programme de maintenance du matériel
La documentation type enregistrée du programme de

maintenance correspond à :
• des informations sur l'entreprise d'entretien

(par type de matériel)
• le plan de maintenance
• les couts de maintenance
• un historique des actions et des résultats de maintenance
(planifiées et exceptionnelles)
Page 25
maintenance matérielle (2)
____________________________________________________________________________________________________________________________________________________________
◆ Les écarts avec les spécifications de maintenance du

vendeur
◆ Les écarts de couts de maintenance
◆ Contrôle du respect des procédures
Page 26
supervision des matériels
____________________________________________________________________________________________________________________________________________________________
◆ Les procédures de supervision des matériels
Superviser l’efficacité et l’efficience du système :

• les rapports de disponibilité
• les rapports d’erreur matériel
• les rapports d'utilisation
• Inventaire des équipements
Page 27
Gestion de la capacité de traitement
____________________________________________________________________________________________________________________________________________________________
◆ Les critères clés pour la gestion prévisionnelle des

ressources (Capacity Management)
• L'utilisation de la CPU ;
• L'utilisation des supports de stockage ;
• Les télécommunications et les réseaux (bande passante);
• L'utilisation des terminaux ;
• L'utilisation des canaux d'entrée/sortie ;
• Le nombre d'utilisateurs ;
• Les nouvelles technologies ;
• Les nouvelles applications ;
• Les niveaux de services demandés : SLA
Page 28
Opération, Maintenance et Support
des SI
____________________________________________________________________________________________________________________________________________________________

Page 29
Architecture Logicielle
____________________________________________________________________________________________________________________________________________________________
Contrôle d’accès
Utilitaires Télécommunications
Planification
Bases de données
des travaux Système
d’exploitation
Gestion du Gestion des licences

réseau
Gestion des médias
Page 30
Systèmes d’exploitation (1)
____________________________________________________________________________________________________________________________________________________________
◆ Services de l’OS :
• Définit et gère les interfaces utilisateurs
• Permet le partage de ressources entre plusieurs
utilisateurs
• Permet le partage des données entre les utilisateurs
• Informe les utilisateurs des erreurs de processeur,
d'équipements d’entrée/sortie, de programmes...
• Permet la reprise après interruption
• Gère les communications avec les applications et
l ’allocation/libération de la mémoire aux processeurs
• Gère les fichiers
• Impute par compte les ressources utilisées
Page 31
____________________________________________________________________________________________________________________________________________________________
◆ Autres fonctions:
• Gère les périphériques (imprimantes,
disques,terminaux..)
• Gère la mémoire
• Gère les périphériques de stockage
• Gère le temps CPU (allocation de la CPU aux
différents processus)
• Gère les communications externes (canaux de
connexion, réseaux)
Page 32
____________________________________________________________________________________________________________________________________________________________
◆ Paramètres de configuration et contrôles pour :
• La gestion des données

• La gestion des ressources
• La gestion des travaux
• La gestion des priorités
◆ Mécanismes de contrôle d’accès

• Aux données
• Aux fonctions et applications
• Mises à jour
Page 33
Architecture Logicielle :
systèmes d’exploitation (4)
____________________________________________________________________________________________________________________________________________________________
◆ Journalisation de l’activité et options de

reporting pour analyser:
• Version des fichiers en production

• L ’accès aux données sensibles
• L ’exécution des programmes
• L’utilisation des utilitaires et des programmes de
service
• Le contrôle des changements (paramètres et librairies)
• Les accès aux bases de données
• Les contrôles d’accès et les dispositifs de sécurité
Page 34
Infrastructure Logicielle :
logiciels de communication
____________________________________________________________________________________________________________________________________________________________
◆ Les codes de transmission usuels

◆ Interfaces applicatives et Systèmes
◆ Les 3 composantes d'un système de communication :
• le transmetteur/émetteur (source)
• le chemin de transmission (path, line, channel)
• le destinataire/récepteur
◆ Les principales applications :
• les systèmes électroniques de règlement et de transfert de fond
• les systèmes bureautiques connectés
• les systèmes d ’échanges de données (EDI)
• les systèmes de messagerie électronique (e-mail, news)
• ………
Page 35
Gestion des données
____________________________________________________________________________________________________________________________________________________________
◆ L'organisation des fichiers :
• Séquentiel : enregistrements traités les uns après les

autres
• A accès direct : enregistrements accédés par une clé ne

faisant pas partie des données (numéro
d ’enregistrement).
Page 36
Data Life Cycle
____________________________________________________________________________________________________________________________________________________________
Build/ Use/
Plan Design Monitor Dispose
Acquire Operate
Adapted from: ISACA, COBIT 5: Enabling Information, USA, 2013, figure

23
Systèmes de Gestion de Bases de Données
____________________________________________________________________________________________________________________________________________________________
◆ Architecture
◆ Métadonnées
• Schéma conceptuel,
• Schéma physique
• Schéma logique
◆ Dictionnaire des Données
• Définition des données
• Répertoire des données
◆ Structure d’une base de données
◆ Contrôles
Page 38
Système de Gestion de Base de Données (1)
____________________________________________________________________________________________________________________________________________________________
◆ Fonctions :
• organiser et contrôler les données
• éviter les redondances
• optimiser les temps d ’accès aux données
• sécuriser l’accès aux données
Page 39
____________________________________________________________________________________________________________________________________________________________
Apports d’un SGBD :

• Indépendance physique et logique pour les applications
• Facilité de support et flexibilité de changement
• Efficience des transactions
• Réduction de la redondance des données
• Augmentation de la cohérence des données
• Diminution du cout de maintenance (par le partage)
• Permet la mise en place de normes de développement
• Augmentation de la confidentialité et de la sécurité des données
• Permet les tests d ’intégrité des données stockées
• Facilite l’accès aux données par utilisation de langage de
requêtes et de générateurs d ’application
Page 40
Architecture logicielle
____________________________________________________________________________________________________________________________________________________________
◆ Les modèles de SGBD

• Hiérarchique :
§ Arborescence
§ Modèle parent/enfant. Un enfant ne peut dépendre que d ’1 seul parent
• Réseau :
§ Permet de mettre en relation enfant avec plusieurs parents.
§ Association entre articles propriétaires et membres
• Relationnel : organisée sous forme de tables
§ Tuples ou lignes
§ Colonnes ou attributs, champs
§ Décomposition et optimisation selon formes normales
§ Langages : SQL
Page 41
____________________________________________________________________________________________________________________________________________________________
◆ Les règles de normalisation des bases de données

relationnelles :
• Une ligne donnée ne contient qu’une et une seule valeur pour

chaque attribut
• Les attributs représentent l’unité élémentaire d ’information et
ne doivent pas avoir de structure interne.
• Chaque ligne possède une clé primaire qui identifie de
manière unique cette ligne.
• Toute clé étrangère doit avoir une valeur nulle ou avoir une
valeur correspondant à un enregistrement existant dans une
autre table (intégrité référentielle).
Page 42
____________________________________________________________________________________________________________________________________________________________
◆ Contrôles sur les SGBD :

• Définition de standards
• Définition des procédures de sauvegardes et des procédures
de restauration
• Définition des contrôles d ’accès (lignes, tables et fichiers)
• Définition des contrôles d’accès concurrents
• Définition des contrôles d ’intégrité
• Reprises, verrous, points de reprise pour réduire les pertes de
données
• Réorganisation, récupération d ’espaces
• Surveillance des performances par des outils adaptés
Page 43
autres logiciels
____________________________________________________________________________________________________________________________________________________________
◆ Gestionnaire de bandes et de disques

• Inventaire
• Robots de montage/démontage
• Réorganisation d’espace
• Rotation des médias
• Contrôle d’accès
◆ Utilitaires
• pour analyse d ’applications
• d’analyse et de contrôle de la qualité de données
• de test (moniteur de lignes, debuggers, générateurs de
données)
• de développement (éditeurs, outils de développement,
générateurs de rapports, générateurs de code)
• moniteur de performances (charge CPU, mémoire…)
Page 44
Les licences
____________________________________________________________________________________________________________________________________________________________
◆ Revue des documents et procédures contre les

utilisations illicites de logiciels
◆ Revue de l’inventaire des logiciels et des
applications utilisées.
◆ Eviter les violations de licences (exemples)
• Utilisation de logiciels de diffusion centralisé
• Avoir des postes de travail sans disques et sans port
USB et en réseau sécurisé
• Contrôler l ’utilisation des applications
• Inspections régulières des postes de travail
◆ Gestion des droits digitaux (DRM)
Page 45
des SI
____________________________________________________________________________________________________________________________________________________________

Page 46
Infrastructure de Réseau
et de Télécommunication :
____________________________________________________________________________________________________________________________________________________________
◆ Types de réseaux :
• Réseaux personnels : Personal Area Network (PAN)
• Réseaux locaux : Local Area Network (LAN)
• Réseaux Métropolitains : Métropolitan Area Network (MAN)
• Réseaux distants : Wide Area Network (WAN)
• Réseaux de Données : Storage Area Network (SAN)
◆ Les services
• Partage de fichiers et d ’imprimantes
• courrier électronique
• Accès à distance
• Services d ’annuaire (Directory Services)
• Administration du réseau
• DHCP
• DNS
• …..
Page 47
et de Télécommunication :
____________________________________________________________________________________________________________________________________________________________
◆ Exigences
• Interopérabilité
• Disponibilité
• Flexibilité (capacité d’extension)
• Maintenabilité
◆ Organismes de normalisation
• ISO (International Standardization Organisation)
• IEEE (Institution of Electrical and Electronic Engineers)
• ITU-T (ex CCITT : International Telecommunications
Union)
Page 48
et de Télécommunication : modèle OSI
____________________________________________________________________________________________________________________________________________________________
Application Application
Protocole de niveau n
Présentation Présentation
Session Session
Transport Transport
Réseau Réseau
Liaison Liaison
Physique Physique
Media
Page 49
et de Télécommunication : modèle OSI (suite)
____________________________________________________________________________________________________________________________________________________________
◆ Programmes d'application
Application
◆ Interfaces homme / machine
Présentation ◆ Soustraire des problèmes liés à l'hétérogénéité (syntaxe,

format des données, codes internes, ...)
Session ◆ Etablir les voies de communication

◆ Ouverture et fermeture de session
◆ Synchronisation de l'échange
◆ Transmission de transactions
Page 50
____________________________________________________________________________________________________________________________________________________________
◆ Transport transparent
Transport
◆ Multiplexer plusieurs connexions sur le même
réseau ou éclater la connexion
◆ Correction d'erreurs
◆ Transmission de messages
Réseau ◆ Achemine données au travers des nœuds du

réseau (adressage)
◆ Routage et contrôle du flux
◆ Contrôle et correction des erreurs
◆ Transmission de paquets
Page 51
____________________________________________________________________________________________________________________________________________________________
◆ Transfert des données sur la ligne : délimiter et synchronise

Liaison les séquences de bits
◆ Gestion (détection et correction) des erreurs de
transmission
◆ Gérer le flux et le séquencement
◆ Transmission de trames
◆ Caractéristiques logiques, électriques, mécaniques de la

Physique ligne
◆ Etablir, maintenir, libérer
◆ Transmission de bits
Page 52
Télécommunication :
LAN (1)
____________________________________________________________________________________________________________________________________________________________
Distances de transmission et équipements

◆ Techniques de communication :
• Unicast (émission ciblée vers un seul destinataire )
• Multicast (diffusion sur un ensemble restreints)
• Broadcast (diffusion générale)
◆ Fondamentaux pour la conception et les
spécifications
• Choix des médias de transmission
• Choix des méthodes de transmission
• Intégration des contraintes de performance et de sécurité
Page 53
Infrastructure de Réseau et de
Télécommunication :
les supports physiques
____________________________________________________________________________________________________________________________________________________________
◆ Les principaux supports de transmission :

• LAN :
§ Paires torsadées cuivre
§ Co-axial
§ Fibre optique
§ Ondes radio
• WAN :
§ Micro-onde radio
§ Fibre optique
§ Satellite
◆ AVANTAGES/INCONVENIENTS DE CHAQUE
TYPE DE SUPPORT (voir Manuel)
Page 54
Infrastructure de Réseau et de Télécommunication :
architecture de réseaux LAN
____________________________________________________________________________________________________________________________________________________________
◆ Topologies de réseau :
• Bus
• Anneau
• Etoile
• réseaux maillés (redondances des liens)
Page 55
Infrastructures de Communication :
composants des LANs
____________________________________________________________________________________________________________________________________________________________
◆ Les composants :
• Répéteurs, (niveau 1)
§ Amplificateurs de signaux
• Concentrateurs, (niveau 1)
§ Fonctionnent en mode diffusion
§ Gestion de collision
• Ponts (niveau 2)
§ Entre plusieurs segments de réseaux de même technologie ou de
technologies différentes
• Commutateurs (niveau 2)
§ Filtre des paquets
§ Adresses MAC
• Routeurs
§ Utilise des adresses logiques (IP)
• Commutateurs (niveau 3-4 et 4-7)

§ Concept de VLAN (Virtual LAN)
• Passerelles (différents niveaux : exemple SNA gateway)

Page 56
Infrastructures de Communication :
Critères de décision de choix d’architecture
____________________________________________________________________________________________________________________________________________________________
◆ Pour quel type d’applications?

• Données, voix, vidéo?
◆ Quel est la bande passante nécessaire?
◆ Quel est le cout?
• Couts des équipements, couts du câblage
◆ Quels sont les besoins d’administration à distance ?
Utilisation d’équipements adéquats
◆ Besoins en sécurité
◆ Exigences en matière de redondance et de résilience
Page 57
Infrastructure de Réseau et de Télécommunication :
WAN
____________________________________________________________________________________________________________________________________________________________
◆ Caractéristiques:
• Simplex, half-duplex, full-duplex
• Liaison publique ou ligne spécialisée
◆ Les techniques de transmission de messages :
• La commutation de messages
§ Message complet
• La commutation par paquets
§ Messages tronçonnés
• La commutation de circuits
§ Réseau Téléphonique commuté, RNIS
• Les circuits virtuels
2 types commutés ou permanents
• Appels à distance (bas débit).
Page 58
Infrastructure de Réseau et de Télécommunication
WAN : composants
____________________________________________________________________________________________________________________________________________________________
◆ Les composants :
• Les commutateurs WAN : (ISDN, ATM, Frame relay)
• Les routeurs
• Modems (modulator/demodulator : conversion digitale
analogique et vice versa)
• Serveurs d’accès pour les accès distants
• Multiplexeurs
§ Par tranches de temps fixes (TDM)
§ Par tranches de temps asynchrones (ATDM)
§ Par fréquences (FDM)
§ Par statistiques
Page 59
WAN
____________________________________________________________________________________________________________________________________________________________
◆ Méthodes de transmission :
• PPP (point to point protocol)
• X25
• Frame Relay
• RNIS / ISDN
• ATM (Asynchroneous Transfer Mode)
• MPLS (Multi Protocol Label Swithing)
• DSL (Digital Subscriber Lines)
• VPN (Virtual Private Network)
§ Accès VPN client à réseau
§ Accès réseau à réseau : Intranet et Extranet
Page 60
WLAN : le sans fil
____________________________________________________________________________________________________________________________________________________________
◆ Réseaux sans fils

• Technologies de plus en plus utilisée
• Norme WIFI 802.11b, 802.11g, 802.11n
• Bluetooth
◆ Principaux points à considérer:

• Risques d’interception d’information
• Pertes des équipements (portables, PDA)
• Authentification des utilisateurs
• Protocole avec chiffrement (WEP, WPA)
Page 61
internet (1)
____________________________________________________________________________________________________________________________________________________________
◆ Différents types de connexions
• A travers un réseau local en entreprise

• A travers un équipement connecté à un FAI (ISP)
• Les données transitent à travers des routeurs
• Ligne téléphoniques : 56 kbs
• Ligne dédiée de type T1
• Ligne dédiée de type T3
• Satellite
• Fibre optique
• Interconnexion à travers des points d’accès régionaux
NAP (Network Access Point)
Page 62
Correspondance OSI TCP/IP
____________________________________________________________________________________________________________________________________________________________
ISO Référence TCP/IP Protocoles
7 Application Application HTTP

FTP File Transfer Protocol
TELNET Terminal Control Protocol
SMTP Simple Mail Transport Protocol
6 Présentation NSP Name Sever Protocol
SNMP Simple Network Management
5 Session Protocol
4 Transport Transport TCP transmission Control Protocol

UDP User Datagram Protocol
3 Réseau Réseau IP Internet Protocol
2 Liaison de Interface
données LAN ou Ethernet, FDDI
WAN PPP Point to Point Protocol
1 Physique
Page 63
Terminologie Internet
____________________________________________________________________________________________________________________________________________________________
◆ URL DNS
◆ CGI FTP
◆ COOKIE SMTP
◆ Applets SNMP
◆ Servlets Services WEB
◆ FAI (ou ISP)
◆ Telnet
Page 64
Infrastructure de Réseau et de
Télécommunication : Procédures de supervision
____________________________________________________________________________________________________________________________________________________________
◆ Métriques :
• Temps de latence: délai entre source et destination
• Débit : Nombres d’octets par seconde transmis
◆ 5 domaines concernés (définis par l’ISO)

• Gestion des erreurs
• Gestion des configurations
• Usage des ressources (qui fait quoi)
• Gestion des performances
• Gestion de la sécurité
Page 65
Procédures de supervision: outils
____________________________________________________________________________________________________________________________________________________________
◆ Les rapports sur le temps de réponse
◆ Journal des arrêts de transmission
◆ Les moniteurs de supervision de ligne
◆ Les outils de surveillance de réseaux
◆ Les analyseurs de protocole
◆ Les outils de supervision utilisant le protocole SNMP
◆ Rapports du centre d’assistance
Page 66
Les applications client/serveur (1)
____________________________________________________________________________________________________________________________________________________________
◆ Architecture 2-TIERS
• Partages des applications entre serveurs et stations
• Serveurs : Gestion des données, sécurité
Gestions des ressources partagées
• Stations : Logique applicative, GUI (Graphical User
Interface)
• Limites :
§ Syndrome du fat client,
§ performance et goulots d’étranglements
§ problèmes d ’évolution (scalability)
Page 67
client/serveur (2)
____________________________________________________________________________________________________________________________________________________________
◆ Architecture 3-TIERS :
• Partages des applications entre serveurs et stations
• Serveurs de données : Gestion des données, Sécurité
Gestions des ressources partagées
• Serveurs d’application : Logique applicative
• Stations (thin client): GUI uniquement
• Avantages :
§ Clients « légers »
§ Extension (scalability) grâce à la répartition des charges.
§ Applications internes ou externes (e-business)
§ Logique applicative mieux isolée et mieux maîtrisée dans les
serveurs d’application
Page 68
client/serveur (3)
____________________________________________________________________________________________________________________________________________________________
◆ MIDDLEWARE
• Moniteurs transactionnels et de répartition de charges
• RPC (Remote Procedure Call) : demande d’exécution
à distance
• ORB (Object Request Broker) : CORBA, COM/DCOM
• Gestionnaires de Messages
◆ SOA ( Service Oriented Architecture) et Services WEB
◆ Risques : interaction entre des environnements
multiples
◆ Contrôles d’accès et d’intégrité à mettre en place
Page 69
des SI
____________________________________________________________________________________________________________________________________________________________

Page 70
Audit des infrastructures et des pratiques
opérationnelles - Matériel
____________________________________________________________________________________________________________________________________________________________
◆ Revue des plans et procédures d’acquisition du matériel
◆ Revue des procédures de gestion des capacités
◆ Revue des plans de maintenance
◆ Revue des rapports de disponibilité et d’utilisation
◆ Revue du suivi des incidents matériel
Page 71
opérationnelles - Logiciels
____________________________________________________________________________________________________________________________________________________________
◆ Interview du personnel technique

◆ Revue des procédures de sélection
◆ Revue des études de faisabilité
◆ Revue des analyses couts/bénéfices
◆ Revue des procédures de modification
◆ Revue des procédures de maintenance
◆ Revue des procédures de contrôle de changement
◆ Revue du système documentaire
◆ Revue du système de sécurité (accès, système, applications
et données).
◆ Revue des SGBD
• Schémas physiques et logiques
• Rapports de temps d’accès
• Sécurité
• Sauvegarde et restauration en cas de sinistre
• Interfaces
Page 72
opérationnelles - RESEAU : Objectifs
____________________________________________________________________________________________________________________________________________________________
Vérifier :
• Locaux : température, normes électriques, salles

blanches, air conditionné, extincteurs….
• La sécurité physique et logique est assurée
• Des procédures sont définies et appliquées
Page 73
opérationnelles - RESEAU : identifier
____________________________________________________________________________________________________________________________________________________________
◆ Comprendre :
• La topologie
• L'organisation d'administration
• Les groupes utilisateurs
• Les applications
• Les procédure et normes
• Les techniques utilisées :
§ Les équipements
§ Les protocoles
Page 74
opérationnelles RESEAU : contrôles
physiques
____________________________________________________________________________________________________________________________________________________________
◆ Sécurité physique :
• Accès aux équipements
• Serveurs, salle machine, câbles
• Contrôles des accès physiques : clés, badges,
alarmes, coffres, codes, ..
• Accès à la documentation
◆ Contrôles de l’environnement :
• Température, humidité
• Protection électrique
• Protection contre l’incendie
• Climatisation
Page 75
opérationnelles RESEAU: Sécurité logique
____________________________________________________________________________________________________________________________________________________________
◆ Mots de passe :
• Structure
• Longueur minimum
• Limitation
• Changement périodique imposé
• Nombre (single-sign on)
◆ Logs des accès
◆ Sensibilisation des utilisateurs
◆ Tests du système de sécurité
◆ Revue des procédures d’habilitation
Page 76
Audit des infrastructures et des opérations
informatiques RESEAU : Audit des contrôles
____________________________________________________________________________________________________________________________________________________________
◆ Contrôles des plans de test

◆ Contrôles en fonction de la législation
◆ Contrôles des accès
◆ Contrôles des procédures de reprise
◆ Contrôles du changement et des configurations
◆ Contrôles des droits
◆ Contrôles du chiffrement effectif sur le réseau
◆ Contrôles des politiques de sécurité
Page 77
Audit des infrastructures et des opérations
informatiques - Contrôle des opérations
____________________________________________________________________________________________________________________________________________________________
◆ Contrôles d’implémentation et d’administration

◆ Observation des missions du personnel
◆ Traitement des opérations :
• Accès restreint des opérateurs
• Procédures de planification
• Procédures de traitement des exceptions
• Retraitement des opérations
• Manuels des opérateurs et tests des procédures
• Accès aux bibliothèques
• Contenu et localisation du stockage des supports de sauvegarde
◆ Réception et envoi de supports de mémorisation
◆ Contrôles des tâches d’entrée (saisie) des données
Page 78
Audit et techniques d’évaluation
Contrôle des opérations
____________________________________________________________________________________________________________________________________________________________
◆ Vérification de la gestion des médias

◆ Plans de secours
◆ Contrôles d’accès
◆ Révision des rapports de gestion des problèmes
Page 79
des SI
____________________________________________________________________________________________________________________________________________________________

Page 80
Continuité des opérations
____________________________________________________________________________________________________________________________________________________________
◆ L’entreprise doit pouvoir continuer ses activités

• Interruption d’activité supérieure à un délai admissible
• Gestion des conséquences d’un sinistre
• la solution de secours doit être disponible le temps de
rebâtir
Objectifs d’Audit :
• Evaluer l’efficacité des mesures de secours
• Evaluer le plan de reprise après sinistre : PRS (DRP)
• Evaluer le plan de continuité des opérations : PCO (BCP)
Page 82
OTR et OPR
____________________________________________________________________________________________________________________________________________________________
RPO and RTO Responses
Recovery Point Objective Recovery Time Objective
4-24 hrs 1-4 hrs 0-1 hr 0-1 hr 1-4 hrs 4-24 hrs
• Tape backups • Disk-based • Mirroring • Active-active • Active- • Cold standby
• Log shipping backups • Real-time clustering passive
• Snapshots replication clustering
• Delayed • Hot standby
replication
• Log shipping
Source: ISACA, CISA Review Manual 26th Edition, figure

4.33
Continuité des opérations :
Planification
____________________________________________________________________________________________________________________________________________________________
◆ Planification :
• Des opérations critiques nécessaires à la survie
• Des ressources humaines et matérielles
• Du plan de reprise des activités après sinistre : PRS
Mesures visant à atténuer la menace :

• Choix de l’emplacement
• Redondance des éléments critiques (réseaux)
• Politique de gestion de la sécurité efficace
Page 84
Plan de continuité - Sinistres
____________________________________________________________________________________________________________________________________________________________
◆ Envisager tous les types de risques

• Catastrophe naturelle, incendie
• Sabotage, attaques de pirates informatiques, virus
• Erreurs humaines
• Energie (électricité)
◆ Gestion des atteintes à l’image, réputation et

marque
• Politique de communication préparée
Page 85
Plan de continuité - Processus
____________________________________________________________________________________________________________________________________________________________
◆ Création d’un PCA

◆ Evaluer les risques
◆ Analyse d’impact (Business Impact Analysis)
◆ Classification des opérations
◆ Identification des processus SI critiques
◆ Développement du PCI et du PCO
◆ Formation et sensibilisation
◆ Développer un plan détaillé
◆ Mise en place du plan et mise à l’essai
◆ Surveillance, Maintenance et Evolution
Page 86
Plan de continuité - Evaluation des risques
____________________________________________________________________________________________________________________________________________________________
◆ Classification des services

• Essentiel : nécessite des capacités identiques
• Vital : période de temps limitée pour la reprise
• Important : nécessite des ressources supplémentaires
• Non important : cout limité en cas d’interruption
◆ OPR (RPO): Objectif de Point de Reprise
ü détermine la durée acceptable de perte de données
depuis le dernier état sauvegardé
◆ OTR (RTO) : Objectif de Temps de Reprise
ü détermine le temps acceptable d’interruption des
opérations en cas d’arrêt des services informatiques
Page 87
Coût de reprise versus coût de rupture des services
____________________________________________________________________________________________________________________________________________________________
88
Plan de continuité – Stratégies de reprise
____________________________________________________________________________________________________________________________________________________________
◆ Centre de secours immédiat (Hot Site)

• configuré entièrement et prêt à démarrer en quelques heures
(chargement des données et déplacement du personnel)
◆ Centre intermédiaire (Warm Site) : partiellement configuré
: énergie, clim, réseaux, lignes….
◆ Salle blanche ou vide (Cold Site) : équipement minimum
sans équipements actifs et sans infrastructure
télécommunication/réseau
• énergie, climatisation, ..
◆ Centre de traitement informatique redondant
◆ Centres mobiles
◆ accord de réciprocité
Page 89
Plan de continuité - Les équipes du plan
____________________________________________________________________________________________________________________________________________________________
• Equipe de réaction aux incidents

• Equipe d’urgence : Evacuation des personnels
• Equipe de sécurité
• Equipe d’estimation des dégâts
• Equipe de gestion des urgences : coordination et support
• Equipe de stockage des supports hors site
• Equipes techniques : logiciel de base, application, réseau, communication,
installation de matériel, préparation des données
• Equipe de transport et d’approvisionnement
• Equipe de relocalisation sur le site de repli
• Equipe de support administratif
• Equipe de coordination logistique
• Equipe juridique
• Equipe de tests de reprise des opérations
• Equipe de formation
Page 90
Plan de continuité - Personnels clés
____________________________________________________________________________________________________________________________________________________________
◆ Répertoire téléphonique des personnes à prévenir

en cas de sinistre suivant des priorités établies
• chefs d’équipes, experts, ...
• fournisseurs de matériels
• fournisseurs d’équipements
• Site de repli, médiathèque
• assurance
• personnels sous contrat
=> Prévoir les documents et les fournitures

nécessaires pour la continuité de l’activité.
Plan de continuité
Réseaux et Télécommunications
____________________________________________________________________________________________________________________________________________________________
◆ Point clé du plan de secours

◆ Redondance
• des câbles en cas de catastrophe
• Routage dynamique
• Equipements réseaux redondants
• Eviter les points de défaillance unique (Single Point of Failure )
◆ Routage de remplacement et de secours
◆ Lignes longues distances redondantes
◆ Privilégier les opérateurs offrant des circuits
alternatifs.
◆ Redondance des opérateurs locaux
◆ Restauration de la voix
Plan de continuité – Les serveurs
____________________________________________________________________________________________________________________________________________________________
◆ Prévoir des technologies de redondances au

niveau des serveurs :
• RAID (différents niveaux)
Les plus courants : 0,1,0+1,5
◆ ASSURANCES: Prévoir
• Les équipements et locaux
• La reconstitution des medias
• Couts indirects (pertes d’exploitation, pertes de
clientèle, pertes de réputation…)
• Documents et enregistrements précieux
• Protection juridique
• Assurance détournement et vol
• Transport des médias
Page 93
Plan de continuité -Tests
____________________________________________________________________________________________________________________________________________________________
◆ Spécifications Objectifs
• Vérifier l’exhaustivité et la précision du plan
• Evaluer le comportement des personnels concernés
• Evaluer la coordination avec les fournisseurs externes
• Mesurer la capacité du site de secours
• Evaluer la logistique déployée
• Evaluer les performances du système ainsi rétabli
◆ Progressif : sur papier, préparation, complet
➲ Compte rendu
• Noter les observations, les problèmes et leur résolution afin
d’analyser les forces et les faiblesses du plan
• Mesurer les résultats en termes quantitatifs: temps d’exécution des
tâches, volume de travail, précision des données
Page 94
Plan de continuité - Maintenance du plan
____________________________________________________________________________________________________________________________________________________________
◆ Le plan évolue en permanence car :

• L’entreprise évolue
• Le SI évolue
• la stratégie évolue
◆ Les plans doivent être revus régulièrement et mis à jour

dans les délais
◆ Un coordinateur a la responsabilité de maintenir le plan à

jour
Page 95
Plan de continuité - Sauvegardes hors site
____________________________________________________________________________________________________________________________________________________________
◆ Sauvegardes des médias sur un ou plusieurs sites
◆ Contrôles à effectuer :
• Sécurité : contrôles d’accès
• Sauvegardes des médias et des documents
• Périodicité des sauvegardes
• Stratégie des sauvegardes (fréquence de rotation)
• Différents types de média à sauvegarder.
• Utilisation d’emballages appropriés pour le transport des
médias
• Utilisation de container anti-feu pour le stockage
• Inventaire précis, organisé et détaillé des sauvegardes
Page 96
Plan de continuité - Techniques d’audit
____________________________________________________________________________________________________________________________________________________________
◆ Couverture du plan : adéquation/efficacité/capacité

◆ Revue du plan : procédures (plan d’urgence, reprise
d’activité, fonctionnement en secours, responsabilités)
◆ Evaluer le résultat des tests
◆ Évaluer la pertinence des sauvegardes hors site
◆ Niveau de connaissance des procédures de secours
par les personnels concernés (interviews)
◆ Evaluation du site de secours : capacité et sécurité
◆ Revue des contrats pour le site de secours
◆ Revue de la couverture des assurances
Plan de continuité
Standards et bonnes pratiques
____________________________________________________________________________________________________________________________________________________________
◆ Les standards existants et bonnes pratiques :
• Business Continuity Institute (BCI)
• Disaster Recovery Institute International (DRII)
◆ Les organisations professionnelles
Page 98

Chapitre 4

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 4

Transféré par

Droits d'auteur :

Formats disponibles

CHAPITRE 4

Comprendre et fournir l’assurance que les processus

d’opérations, de maintenance et de support des SI et

de gestion des services des SI respectent les

stratégies et objectifs de l’organisation.

1. Opérations des systèmes d’information

1. Évaluer le cadre et les pratiques de gestion du service des TI (en interne ou de

6. Évaluer la qualité des données et la gestion du cycle de vie pour déterminer si

1. Opérations des systèmes d’information

◆ Gestion des opérations

◆ Allocation des ressources

◆ Définition du niveau de service aux utilisateurs

◆ Applications de gestion de l ’utilisation des

◆ Centre d’assistance et de soutien

◆ Gestion des versions

1. Opérations des systèmes d’information

1. Opérations des systèmes d’information

◆ Classification des machines :

◆ USB (Universal Serial Bus)

◆ Programme de maintenance du matériel

La documentation type enregistrée du programme de

• des informations sur l'entreprise d'entretien

◆ Les écarts avec les spécifications de maintenance du

◆ Les écarts de couts de maintenance

◆ Contrôle du respect des procédures

◆ Les procédures de supervision des matériels

Superviser l’efficacité et l’efficience du système :

• les rapports d’erreur matériel

• les rapports d'utilisation

• Inventaire des équipements

◆ Les critères clés pour la gestion prévisionnelle des

1. Opérations des systèmes d’information

Gestion du Gestion des licences

Gestion des médias

◆ Paramètres de configuration et contrôles pour :

• La gestion des données

◆ Mécanismes de contrôle d’accès

◆ Journalisation de l’activité et options de

• Version des fichiers en production

◆ Les codes de transmission usuels

◆ L'organisation des fichiers :

• Séquentiel : enregistrements traités les uns après les

• A accès direct : enregistrements accédés par une clé ne

Adapted from: ISACA, COBIT 5: Enabling Information, USA, 2013, figure

• éviter les redondances

• optimiser les temps d ’accès aux données

• sécuriser l’accès aux données

Apports d’un SGBD :

◆ Les modèles de SGBD

◆ Les règles de normalisation des bases de données

• Une ligne donnée ne contient qu’une et une seule valeur pour

◆ Contrôles sur les SGBD :

◆ Gestionnaire de bandes et de disques

◆ Revue des documents et procédures contre les

1. Opérations des systèmes d’information

Présentation ◆ Soustraire des problèmes liés à l'hétérogénéité (syntaxe,

Session ◆ Etablir les voies de communication

Réseau ◆ Achemine données au travers des nœuds du

◆ Transfert des données sur la ligne : délimiter et synchronise

◆ Caractéristiques logiques, électriques, mécaniques de la

Distances de transmission et équipements

◆ Les principaux supports de transmission :

• Commutateurs (niveau 3-4 et 4-7)

• Passerelles (différents niveaux : exemple SNA gateway)