Académique Documents
Professionnel Documents
Culture Documents
1
Rappel sur les systèmes d’information
2
Le système d'information (SI) est un ensemble organisé de
ressources qui permet de collecter, stocker, traiter et distribuer de
l'information, en général grâce à un ordinateur.
3
Le SI est au centre des systèmes de gestion de l’entreprise
4
Un système d’information se
compose :
d’applications
opérationnelles : destinées
aux modules opérationnels,
pour gérer les processus de
transformation des flux
entrant en flux sortants
d’applications
décisionnelles : destinées à
aider les modules pilotes à
prendre les décisions
5
6
Collecter
• des informations (ou acquérir)
Stocker
• les informations collectées
Traiter
• les informations collectées et stockées
Diffuser
• les informations (ou restituer)
7
8
Un schéma directeur informatique est une étape
majeure pour la définition, la formalisation, la mise
en place ou l'actualisation d'un système
d’information.
Ce document de synthèse est établi par la direction
informatique et validé par la direction générale de
l'organisation.
écrit de manière concrète comment le système
d'information et l'informatique vont être déployés
pour répondre aux objectifs fixés et fournir les
services attendus.
9
L'élaboration d'un tel document résulte
généralement d'une démarche projet censée
offrir une vue globale de l’état actuel du système,
une spécification des besoins et la définition des
orientations à prendre.
le schéma directeur constitue l'étape fondatrice
du cycle de vie d’un système informatique : il fait
la lumière sur les options possibles, les choix
opérés et la programmation échelonnée dans le
temps des actions retenues pour accompagner
l'organisation dans son développement.
10
11
Le Schéma Directeur doit présenter un
existant, un point de départ : l’étude des
besoins et la définition de systèmes cibles
devront être faites après un état des lieux. De
manière objective, les forces et faiblesses de
l’organisation(sur le plan informatique) doivent
être évoquées durant la phase d’Audit. Cette
phase débouche sur une représentation
« photographique » du SI existant (architecture
technique, fonctionnelle, organisationnelle)
puis sur une définition de la cible.
12
Le passage d'un SI utilisé pour exclusivement
rationnaliser les flux et procédures à un SI support
de la stratégie ne se fera pas sans la mise en place
d'un cadre spécifique d'analyse et d'une structure
organisationnelle appropriée assurant une prise de
décision optimale.
13
La GSI consiste d'abord à fixer aux systèmes
d'information des objectifs liés à la stratégie de
l'entreprise. Cette démarche permet de définir la
manière dont le système d'information contribue à
la création de valeur par l'entreprise et précise le
rôle des différents acteurs.
14
Aligner la stratégie : aligner le SI par rapport aux objectifs et la stratégie de
l’entreprise
Apporter de la valeur : soutenir les objectifs de création de valeur du SI
Gérer les risques : assurer que les risques liés au SI soient gérés
Gérer les ressources : développer des compétences en SI dont l’entreprise
aura besoin dans le futur
Mesurer la performance : maîtriser les budgets, l’aboutissement des projets,
la fourniture des services
.... Le tout dans la plus grande transparence
15
16
Une démarche d’alignement stratégique comprend
les étapes suivantes :
instaurer un dialogue entre les acteurs DG-
Métiers-DSI
définir et réviser sa stratégie système
L’alignement stratégique
d’information
nouer des alliances et des partenariats avec les
métiers
améliorer la visibilité et la communication
sélectionner les projets et choisir les priorités
17
18
Le SI doit créer de la valeur et doit apporter des
bénéfices à l’entreprise.
La justification du budget de la DSI passe par la
mise en évidence de la valeur créée et
l’optimisation des coûts.
Néanmoins, la valeur ajoutée demeure une notion
abstraite et difficile à mesurer.
Une enquête conduite par un cabinet de conseil en
management des systèmes d’information sur la
capacité à mesurer la valeur ajoutée créée a révélé
que 88% des DSI ont du mal à évaluer l’apport de la
valeur.
19
20
La gestion des risques consiste à prendre d’abord
conscience de l’ensemble des menaces auxquelles est
exposé le SI et essayer dans la mesure du possible de
les contrôler.
21
22
Elle vise à optimiser et à rationaliser les
investissements dans les ressources informatiques
(infrastructures, applications) et humaines
compétences,...)
23
24
Le SI doit être capable de mesurer la
performance :
surveiller l’activité de l’entreprise
contrôler l’aboutissement des objectifs stratégiques
de l’entreprise
mesurer par des tableaux de bords et des
indicateurs pertinents
apporter de la visibilité à la DG et aux Directions
Métiers
25
Le management d’une DSI ne peut plus se concevoir aujourd’hui sans
recours à un ou plusieurs référentiels.
26
Un référentiel est un guide de bonnes pratiques sur un sujet donné :
une large diffusion et reconnu par le marché
on parle alors de standard
par exemple : COBIT est devenu un standard pour la gouvernance
des SI
27
La norme se différencie des référentiels
document édité́ par une instance de normalisation indépendante
l’ISO, Organisation internationale de normalisation faisant l’état
de l’art d’un sujet donné
par exemple ISO 27001 pour la sécurité́ de l’information
La norme peut aussi avoir un niveau de contrainte supplémentaire
par rapport au référentiel
28
29
L’augmentation continuelle des besoins de services informatiques,
inhérente aux demandes des clients, internes et externes, génère
beaucoup de problèmes (augmentation des coûts , diminution de la
productivité, organisation des outils et des méthodes... )
Gain de temps.
3
matériels,
logiciels,
documents
constituant l'infrastructure informatique
non-propriétaire: ITIL est applicable dans toutes
organisations des TI car elle n’est pas dépendante d’une
technologie propriétaire. ITIL n’est liée à aucune pratique ou
solution propriétaire commerciale.
Exploitation de
Services Transition de Services
(Service operation) (Service transition)
• Comment faire évoluer
• Fournir et supporter Amélioration Continue des les services du
les services Services développement vers la
• "Usine" des IT (Continual service improvement) production réelle
• Guides pour évaluer et • Guides pour gérer les
améliorer la qualité de service, changements de
le cycle de vie des services et services
ses processus sous-jacents
◦ La Stratégie des Services est responsable des
décisions concernant la gestion des politiques,
standards, et architectures implémentées
Généralités et concepts
Utilité et Garantie définissent les services et
fonctionnent de concert pour créer de la valeur pour
le client
Généralités et concepts
Défini en termes de perception du service par le client
Généralités et concepts
Processus (Process)
◦ Suite continue d'opérations constituant la manière de
fabriquer, de faire quelque chose pour atteindre un objectif
défini
Fonction (Function)
◦ Une fonction est une partie d’une organisation qui est
dimensionnée pour réaliser un travail donné. Elle est
responsable d’une production définie
Dimensionné signifie capacité, performances, méthodes et
outils
La définition des fonctions est un bon moyen de structurer
les organisations pour la mise en œuvre de la spécialisation
des tâches
Rôle (Role)
◦ La définition des fonctions implique la définition des rôles
et des responsabilités de chacun
Généralités et concepts
(Process
owner)
(Process
Manager)
Généralités et concepts
Un processus est une suite d’activités liées de façon
logique et poursuivant un objectif défini ayant des
éléments d’entrée et un déclencheur
Généralités et concepts
Mesurable
◦ Un processus est piloté par la performance. Le contrôle
du processus réclame la mesure des coûts, de la qualité
et de tous les paramètres définis. Le fonctionnement du
processus est concerné par la productivité et les délais
de production
Résultats attendus
◦ Le processus existe pour délivrer un résultat attendu. Ce
résultat doit être identifiable et mesurable
Clients
◦ La sortie produite par le processus est à destination d’un
client, qui peut être interne ou externe. Le résultat doit
répondre aux attendus du client
Déclencheurs (Trigger)
◦ Même s’il est itératif ou continu, la mise en œuvre du
processus doit répondre à un déclencheur identifié
Généralités et concepts
La matrice RACI permet de définir les rôles et
responsabilités dans un service.
◦ R = Responsable
Exécution correcte du processus ou de la tâche
◦ C = Consulted
Impliqué dans le processus ou la tâche en tant que
fournisseur d’information ou de connaissance
◦ I = Informed
Destinataire d’un ou de plusieurs éléments d’information
sur le processus ou la tâche, son déroulement, son
résultat ou sa mesure
Généralités et concepts
Anglais Français
R = Responsible = Exécutant
A = Accountable = Autorité
C = Consulted = Consulté
I = Informed = Informé
Généralités et concepts
Rôle et responsabilité pour un Processus donné :
◦ Il porte la charge de la définition du processus (« Accountable ») et en
est un des contributeurs majeurs
◦ Il s’assure du bon dimensionnement des ressources nécessaires au
processus, de leur compétence et des formations indispensables
◦ Il est responsable de la complétude de la documentation liée au
processus et est responsable de sa publication
◦ Il définit les indicateurs de performance pour évaluer l’efficacité et
l’efficience du processus
◦ Il analyse ces indicateurs, les compare aux objectifs, et décide des
actions d’amélioration nécessaires
◦ Il produit des actions d’amélioration pour le Plan d’Amélioration
Continue (CSIP)
◦ Il assure la tenue des revues pour la mise en œuvre du processus et
de ses améliorations
◦ Il assure la relation avec tous les acteurs du processus
Généralités et concepts
Rôle et responsabilités pour un Service défini :
◦ Propriétaire pour un service défini
◦ Fournit les niveaux de service tels que la performance ou la
disponibilité
◦ Représente le service auprès de l’organisation
◦ Comprend le service et connaît ses composants
◦ Représente le service dans les activités de gestion des changements
(CAB)
◦ Participe aux réunions d'examen du service avec l’organisation IT et
les organisations métiers
◦ Travaille avec le gestionnaire de l’amélioration continue à identifier
et prioriser les propositions d’amélioration du service
◦ Veille à l'entrée et à la mise à jour du service dans le Catalogue des
services
◦ Participe à la négociation des SLA et des OLA
◦ Point d’escalades (notification) pour les incidents majeurs
Généralités et concepts
Ne négliger aucun des aspects du cycle de vie des
services :
◦ Mesurer les performances pour toutes les étapes
◦ Mettre en œuvre le reporting pour tous les accords
existants.
◦ Les indicateurs et les tableaux de bord doivent donner de
l’information y compris sur les défauts de fonctionnement
◦ Faciliter les aspects qui permettent de prendre des
décisions
◦ Faire apparaître le coût des services pour chaque client
◦ Intégrer les métiers dans tous les aspects pertinents de la
gestion des services
◦ Mettre en œuvre un système de gestion des configurations
◦ Mettre en œuvre un véritable système de gestion de la
connaissance
Généralités et concepts
Stratégique
Tactique
Opérationnel
Exécution des
Requêtes
Généralités et concepts
Définition de l'amélioration de processus
◦ Examen de la situation actuelle
◦ Définition des buts et des objectifs à atteindre
Communication
◦ Sensibilisation
◦ Publication et diffusion des informations
Planification
◦ Production d'une expression des besoins
◦ Elaboration du plan
Mise en œuvre
◦ Développement et personnalisation des outils
◦ Etablissement de la documentation, des procédures et des livrables
◦ Réalisation des tests
Analyse et audit
◦ Analyse et comparaison des réalisations actuelles par rapport aux buts et objectifs
fixés
◦ Revue de projet après la mise en œuvre
◦ Analyse de l'efficacité et de l'efficience
Processus de Soutien des Processus de Fourniture des
Services Services
(Processus Opérationnels) (Processus Tactiques)
La Gestion de la Sécurité
Objectifs:
La Gestion de la Sécurité
Rétablir le fonctionnement normal du service
aussi rapidement que possible.
o Incidents :
o Demande de service :
◦
Toute requête adressée au Centre de Services, qui
ne soit pas un Incident.
incident est défini par :
Sa Priorité qui définit comment ce dernier sera traité par
les outils et les équipes de support qui est calculée en
fonction de la pondération impact/urgence.
IMPACT : mesure de l’impact que provoque un incident
sur le business de l’entreprise.
URGENCE : mesure de la rapidité de résolution souhaitée
d ’un incident ou
d ’un problème.
Sa catégorie :
Sa nature technique
Priorité Temp de
résolution
P1 2 heures
P2 4 heures
P3 1 jour
P4 2 jours
Flux détaillé
Processus de Soutien des Processus de Fourniture des
Services Services
(Processus Opérationnels) (Processus Tactiques)
La Gestion de la Sécurité
Rechercher la cause des problèmes
Empêcher l’arrivée des incidents et des problèmes
Eliminer les incidents récurrents : il s'agit d'une
série d’incidents similaires
Réduire au minimum l’impact des incidents ne
pouvant être empêchés
• Sinistres
• Processus de gestion de la Continuité
Problème
Erreur connue
La Gestion de la Sécurité
Fournir un modèle logique de
l’infrastructure informatique et des
services informatiques en identifiant,
contrôlant, maintenant et vérifiant les
différents éléments au cours de leur
durée de vie
CI : Elément de configuration
(Configuration Item)
La Gestion de la Sécurité
• s’assurer que des méthodes et des
procédures standards sont utilisées lors de
l’évaluation de ces changements.
• Changement standards:
o Changement relativement commun dont les impacts coûts
et risques sont connus et qui comporte une procédure de
traitement établie
o Ils sont enregistrés individuellement
o Ils ne sont pas évalués individuellement par la gestion des
Changements
• Recevoir et enregistrer tous les changements
La Gestion de la Sécurité
• S’assurer que seules les versions autorisées et
testées des logiciels et matériels sont mises en
production.
• La traçabilité de ce changement.
• Mise en production différentielle (1) ou complète (2)
o (1) Uniquement les matériels et logiciels modifiés
o (2) Tous le matériels et/ou logiciels modifiés & non
modifiés d’une application donnée
La Gestion de la Sécurité
• Vérifier que les services informatiques dont le client
a besoin sont maintenus et améliorés en
permanence.
Le client doit élaborer un SLR :
• Définitions détaillées des besoins des clients.
Contractualisation :
• Contractualisation entre la DSI el les autres organismes en
utilisant les SLAs.
SLA « Accord de Niveau de Service »:
• Un accord écrit entre un fournisseur de service et un client
et qui porte sur un ou plusieurs services d’affaires et
décrit les niveaux de services prévus avec la ou les
organisations d'affaires (disponibilité, capacité, sécurité et
continuité de service).
OLA « Accord de niveau opérationnel»:
• Un accord écrit entre le fournisseur de services et
chacune de ses équipes et qui porte po un ou plusieurs
services techniques pour lesquels l'équipe est acteur et
décrit les niveaux de service attendus (disponibilité,
capacité, sécurité, continuité de service si applicable).
UC :
• Un contrat juridique passé entre un fournisseur de
services et un fournisseur externe.
Produire le catalogue de
service.
Planifier Publier le catalogue aux
utilisateurs.
Discuter le catalogue de
service.
Négocier Discuter le SLR.
Surveillance.
Exécuter Edition des comptes rendu.
La Gestion de la Sécurité
Une étude de 2007 estime que la non-disponibilité des
services informatiques peut avoir un coût de 440 000
euros de l'heure.
Fiabilité
Maintenabilité
Exemple :
La Gestion de la Sécurité
La Gestion de la Capacité a la responsabilité
d’assurer que la Capacité de l’infrastructure des SIs
est en adéquation avec les demandes des
organisations métiers (coût et performance).
S’assurer :
Introduction
Périmètre du plan
Méthode de collecte
d’information
Hypothèses
Résumé des services
Résumé des ressources
Options d’amélioration des
services
Modèles de coûts
Recommandations
…
Processus de Soutien des Processus de Fourniture des
Services Services
(Processus Opérationnels) (Processus Tactiques)
La Gestion de la Sécurité
Soutenir la Continuité du business en
s’assurant que l’infrastructure et les
services informatiques nécessaires, y
compris le centre de services, puissent être
rétablis dans un délai donné après un
sinistre.
•Sinistres
• Processus de gestion de la Continuité
Ne rien faire
Reprise graduelle
Reprise intermédiaire
Reprise immédiate
Analyser l’impact sur les métiers
La Gestion de la Sécurité
• établir les budgets annuels de fonctionnement et
d’investissement de la direction informatique ;
La Gestion de la Sécurité
• Respecter les exigences en matière de
Sécurité définies dans les accords sur les
niveaux de service et dans les contrats, les
législations et les politiques imposées de
l’extérieur
o Enregistrer, analyser, conserver les données
pertinentes du processus afin de mesurer
et d’améliorer l’efficacité et l’efficience du
processus et de communiquer ces
informations aux autres processus
• Stratégique:
o Définition des politiques de Sécurité
• Tactique
o Etablissement des niveaux de Sécurité à inclure
dans les SLA/OLA/UC
o Implantation de ces niveaux de Sécurité
• Opérationnel
o Etablir les liens avec les processus opérationnels
Traitement des Incidents de Sécurité
Analyser les impacts sur la Sécurité des
demandes de changements
…
• Confidentialité
o Protéger les informations à caractère confidentiel
face aux accès, à l’interception et au dévoilement
non autorisés
• Intégrité
o Préserver l’exactitude et l’exhaustivité des
informations
• Disponibilité
o Assurer que les informations et les services
informations sont disponibles au moment convenu
• Planification
o Politique Sécurité
o Rédaction & Sécurité (SLA/OLA/UC)
• Mise en œuvre
o Sensibilisation, formation
o Mise en place accès physiques, SI
o …
• Evaluation
o Audits de Sécurité
• Maintenance
o Amélioration, démarche PDCA
• Contrôle
o Organisation, cadre de travail, définition responsabilités
Non-propriétaire
Non-dogmatique
La meilleure et la bonne
pratique
La cause inconnue d’un incident