Vous êtes sur la page 1sur 76

CNESTEN

Guide de bonnes pratiquesorganisationnelles pour les Administrateurs Systmes et Rseaux


Manuel de Qualit
poste Rapprochement entre ITIL et ISO 20000

[Tapez le rsum du document ici. Il sagit gnralement dune courte synthse du document. Tapez le rsum du document ici. Il sagit gnralement dune courte synthse du document.]

Tabledes matires
INTRODUCTION..........................................................................................................................................4 LESBONNESPRATIQUESDANSLAFOURNITUREDESERVICESINFORMATIQUES..............8

1- Unedmarchequalitdanslesunitsderecherche...............................................................9
1.1- Descriptiondes modlesITILet ISO-20000...................................................................................9 1.2- Transpositionau contexteASRdans uneunitderecherche........................................................10 1.2.1- Dfinir leprimtred'action..................................................................................................10 1.2.2- Mettreen placeune gestiondes configurations.....................................................................10 1.2.3- Dfinir lesniveauxdeservice...............................................................................................10 1.2.4- Dfinir lacontinuitdeservice.............................................................................................10 1.2.5- Grerles interventions..........................................................................................................11 1.2.6- Grerles dysfonctionnements...............................................................................................11 1.2.7-Assurer leschangementset miseen production....................................................................11 1.3- Dfinitionduprimtre.................................................................................................................12

2- La gestiondes configurations.................................................................................................14
2.1- Cequ'il fautprendreen compte.....................................................................................................14 2.2- Commentorganiserlagestiondes configurations.........................................................................15

3- La gestiondes niveauxdeservice...........................................................................................16
3.1- Dterminerlesservices considrer.............................................................................................16 3.2- Quelniveaupourquelservice?....................................................................................................17

4- La gestionde lacontinuitdeservice....................................................................................18 5- La gestiondes interventions...................................................................................................19


5.1- Cequ'il fautprendreen compte.....................................................................................................19 5.2- Commentorganiserlagestiondes interventions...........................................................................19 5.2.1- Optimiserlesressourcespouracclrerletraitementdesinterventions...............................19 5.2.2-Analyserlesinterventions.....................................................................................................19

6- La gestiondes dysfonctionnements........................................................................................21
6.1- Lagestiondes incidents................................................................................................................21 6.2- Lagestiondes problmes..............................................................................................................21

7- La gestiondes changementsetde lamiseenproduction.....................................................23 8- La Documentation...................................................................................................................25


8.1- Ladocumentationpourlesutilisateurs..........................................................................................25 8.2- LadocumentationtechniquedestineauxASR............................................................................26 8.3- Commentraliserces documentations?........................................................................................26

9- Lesbonnespratiquesdanslagestion de lascuritdes systmesd'information.............28


9.1- Grands principes d'organisationdelascuritau seindu laboratoire...........................................28 9.1.1- Dfinition duprimtresurlequeldoitporter lascuritduS.I...........................................28 9.1.2- Implicationdeladirection vis--vis delascuritde l'information......................................29 9.1.3- Coordinationdelascuritde l'information..........................................................................29 9.1.4- Formationet sensibilisation lascuritduS.I....................................................................29 9.2-Analysedes donnesduSystmed'Informationde l'unitAnalysedesbesoinsdescurit.......29 9.3-Apprciationdes risques...............................................................................................................30 9.3.1- Identificationdesmenaceset vulnrabilits..........................................................................30 9.3.2- Identificationdesimpacts......................................................................................................31 9.4- Traitementdesrisques...................................................................................................................31 9.5- Bonnespratiquesdanslamiseen uvre delascuritinformatique:exemplesdemesuresde scuritcourante...................................................................................................................................32 9.5.1- Scuritphysiquedeslocaux................................................................................................32 9.5.2- Scuritdumatrielet ducblage.........................................................................................32

9.5.3- Miseau rebutou recyclage....................................................................................................32 9.5.4- Procduresdescuritinformatiquelies l'exploitation:...................................................33 9.5.4.a-Protectioncontrelescodes malveillants:virus et autres malwares..............................33 9.5.4.b- Sauvegardedesinformations..............................................................................................33 9.5.4.c-Journaux systmes les logs........................................................................................33 9.5.4.d- Synchronisationdeshorloges.............................................................................................34 9.5.4.e-Scuritdu rseauEchangedes informationsContrled'accsrseau.........................34 9.5.4.f- Protectiondes transfertsdedonnes:chiffrement..............................................................34 9.5.4.g- Exigencesrelativesau contrled'accsaux systmes d'exploitation.................................35 9.5.4.h- GestiondeParcet desmoyensnomades-Cybersurveillance............................................35 9.5.4.i-Mesurede l'utilisationdes ressources :outilsdemtrologie...............................................36

10- Bonnespratiqueslies aux aspectsjuridiquesdu mtierd'ASR respectde la rglementationenvigueur...........................................................................................................37


10.1- Informer,contrler,agir.............................................................................................................37 10.1.1-Informer, Conseiller............................................................................................................37 10.1.2-Prouverqu'ona scuris......................................................................................................37 10.1.3-Contrlerl'activitdes systmeset du rseau......................................................................38 10.1.4-Agir.....................................................................................................................................39 10.2- Noticelgaledesite web.............................................................................................................39 10.3- Notiondecharteinformatique.....................................................................................................40 CONTEXTESPERSONNELETRELATIONNELDESASR..................................................................41

11- La gestion du temps...............................................................................................................42


11.1-Lesgrandsprincipesdelagestiondu temps................................................................................42 11.2-Leschmadu flux detravailou latechniqueducycle................................................................43 11.3-Lagestiondesprojetset des priorits..........................................................................................44 11.4-Mieuxgrerles interruptions......................................................................................................45 11.5-Mettreen placedes routineset desautomatismes.......................................................................45 11.6-Conclusion...................................................................................................................................45

12- La communicationde l'ASR avecses partenaires..............................................................47


12.1- Lacommunicationrelevantdelapolitiquegnraleinformatiquede l'unit.........................47 12.1.1-LacommunicationsurlesactivitduServiceInformatique................................................48 12.2- Lacommunicationavecles utilisateurs.......................................................................................49 12.2.1-Relation1vers1............................................................................................................50 12.2.2-Relation1versn............................................................................................................50 12.2.3-Priseen comptedelasatisfactiondesutilisateurs...............................................................51 12.2.4-Lacommunicationau seinduserviceinformatique............................................................51 12.3- Communication,collaborationavecles partenairesextrieurs....................................................51 12.3.1Les relationsavecles fournisseurs et les achats.......................................................................52

13- Recommandationssurlescomptences...............................................................................53
13.1- Objectifs......................................................................................................................................53 13.2- L'auto-formation..........................................................................................................................54 13.3- Laformationprofessionnelle(ex.formationcontinue)...............................................................54 13.4- Laveilletechnologique...............................................................................................................55 13.5- Les relationsdemtier................................................................................................................55 CONCLUSION.............................................................................................................................................58 ANNEXE1:QUESTIONNAIRED'AUTO-EVALUATIONAUSAGEINTERNE...............................62 ANNEXE2:FICHESDE REFERENCES...............................................................................................6

LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES

1- Une dmarchequalitdansles units de recherche


1.1-Descriptiondes modlesITILetISO-20000
Lesrecommandationssurlorganisationdesservicesinformatiquesquivonttreexposesci- aprs sontissues dune rflexion fortementinspirede lapprochede lamliorationde laqualitdes [ITIL] servicesdesS.I.(Systmesd'Information)dcriteparITIL (Information Technology InfrastructureLibrary)etplusrcemmentparlanormeISO-20000. LanormeISO-20000,prolongement durfrentielITIL,fournitunmodlepourlagestionde servicesinformatiques. Cettenormeformalise lensembledesactivitsduneproduction informatiqueetcorresponduneapproche orienteclient quiintroduitlanotiondequalitde serviceapporteauxutilisateurs.Danslecadredelactivitinformatique,onpeutdfinirle servicecommeun changevaleurajoutematrialisparun flux. Aujourdhui,lesorganisationsmtiersontdesattentesfortessur laqualitdesservicesfournis parlinformatiqueetcesattentesvoluent.Ds lors,le serviceinformatiquedoitse concentrersur la qualitdeservice,end'autrestermes,rendrelesservicescorrespondants auxbesoinsauxcots appropris. IlnousasemblopportundenousrfrerITILetISO-20000quifournissentuncadredans lequelpositionnerlesactivitsetmthodes existantesdesservicesinformatiques toutenfavorisant leur structuration.Ainsi, parmi les processus mtiers prsents dans la norme ISO-20000, on distingueceuxrelatifslafournituredeserviceetceux relatifsausupportdeservice. Lafournituredeservicesdcritlesprocessusncessairespourfournirleserviceaux utilisateursetcomportelesprocessussuivants:

Lagestiondesniveauxdeservice Lagestiondelacontinuitet ladisponibilit Lagestiondelacapacit Labudgtisation Lagestiondelascurit

Lesupportdeservicedcritlesprocessusncessairespourmettreenplaceetassurerun serviceefficaceetfonctionnel.Ilestcomposdesprocessussuivants:

Lagestiondesconfigurations Lagestiondeschangements Lagestiondelamiseenproduction Lagestiondes incidents Lagestiondesproblmes

Acesprocessusmtier, sajoutentles processusdela bouclePDCA(voirdfinition paragraphesuivant)destinsformaliserlensembledesactivitsquiconcernent lamlioration continueavecenautres:

LesrlesetresponsabilitsdelaDirection,

Lagestiondocumentaire, Lagestiondescomptencesetdelaformation, La surveillanceetlamesure

LamthodePDCA(PlanDoCheck Act),encoreappelerouedeDeming,comporte4 tapesquiconsistentsuccessivement planifierdesactionsenrponsedesobjectifs(Plan),les mettreenuvre(Do),puiscontrlerl'efficacit dessolutionsparrapportauxobjectifsaumoyen d'indicateurs(Check). Aveclaquatrimetape(Act),onvacherchercorrigeretamliorerle systmemisenplacecequiconduitlaborerun nouveauprojetet initierun nouveaucycle. Entreprendreunedmarchedebonnespratiquescesteneffetmettredubonsenset sescapacitsd'initiativeauservicedelamliorationdelaqualitenapprenant identifier,faire,mesureretanalyserdefaonprogressiveafindetravaillerplusefficacement terme,gagnerdu temps. dvelopper et,

1.2-Transpositiondansune unit de recherche


Enreplaantcemodled'organisationdanslecontexteduneunitderecherche,lesauteurs ontposcommepralable quelesprocessusdcritsdoiventtreidentifiablesetmesurablesdans l'ensembledesservicesinformatiquesdenosentitsCNRS,Universitaires, EPSTouEPIC...surla base dunpluspetit dnominateurcommun.Lesbasesd'organisationainsiposesnedoiventpas trerestrictivesetdoiventpouvoir sedclinerenfonctionducontexteetduprimtredesunitsde recherches(taille,monooumultisite,diversitdesrecherches,collaborationsinternationales). Ainsi,lapplicationdecettedmarchequalitaumtierdASRdansunlaboratoirederechercheet saspcificitnousconduisentproposerunmodled'organisationdcritplusprcisment aucours deschapitressuivants.

1.2.1-Dfinirleprimtred'action
Commepralable toutes units,la DSIdoit,dansunpremiertemps,dfinirson primtre dactionenspcifiantsesdomainesdinterventionet/ouenexcluantlesdomainesquine sont pas desaresponsabilit,cecipouvantfortementconditionnerlanaturedeses activits.

1.2.2-Mettreen placeune gestiondes configurations


Ceprocessussintresselagestiondelinfrastructureinformatique.Cettetapencessite deffectuer uninventaire delensembledescomposantsaussibienmatriels(ordinateurs, quipementsrseau) quimmatriels(documentations,licences,contrats)du service.

1.2.3-Dfinirles niveauxde service


Ladfinitiondesniveauxdeservicedoitpermettreauxutilisateursdeconnatre lanatureet l'tenduedusupportoffertparleserviceinformatique.Chaqueniveaudeserviceseraassoci desobjectifsralistesvisantassurerun niveaudequalitsatisfaisant lafournituredeceservice.

1.2.4-Dfinirlacontinuitde service
Associchaque niveaudeservice,la DSIdevra spcifierlesexigencesdesutilisateursde l'unitentermesdecontinuitdesservices.CetengagementtablienaccordaveclaDirection (et/ouune commissiond'utilisateurs)seravalurgulirement.

1.2.5-Grerles interventions
Ilconvientdeprendreencompte demanireefficace touteslesdemandes dinterventionquil sagissededemandesdintervention desutilisateursoudechangementsapporterauxlmentsdu systme.

1.2.6-Grerles dysfonctionnements
Lobjectifconsiste,dunepart,minimiserlimpactdesdysfonctionnements dinformationsur les servicesetdautrepart,prvenirleurrapparition. dusystme

1.2.7-Assurerles changementsetmiseen production


Toutchangementapportausystmedinformationdoittrematrisafindeminimiserle risquedincidentpotentiellors desa miseenplace. Lagestiondelascuritsappuiesurunrfrentielluitoutseul,l'ISO-27001qui sertdebaselamiseenplacedespolitiquesdescuritauseindesunits.Elleseradveloppe chapitreparticulierdeceguide. dansun

Atravers ce manuel, nousessayeronsdeprciserdunepart,cequinousparaitcommeessentiel mettreenplaceauseindunservicesystme dinformation etdautre part, ceversquoiilconvient detendre,cesdeuxniveauxpouvant treconsidrscommedeuxniveauxdematurit de l'organisationdu systmed'informationd'uneentitderecherche.

Adaptsnos structures, les conceptsITIL/ISO-20000peuventtrevisualissau traversde

lacartographiesuivante:

Cartographiedesprocessusdansunlaboratoirederecherche

Lesprocessusdepilotageetdesupportcompltentdanscettecartographielesprocessus mtierreprsentsparlafourniturede services,lagestiondesdysfonctionnementsetlecontrle.La normeintroduitlanotiondeclient:autoritsdetutelle,utilisateursduservice(ladirection,les chercheurs) oupartenaires quelonvachercher satisfaire.Cettesatisfactionva,parexemple, consistergarantirlascuritdesrsultatsdelarecherche,rpondreauxbesoinsdesutilisateurs toutenamliorantlefficacitdu service.

1.3-Dfinitionduprimtre
Lafonctionpremiredunserviceinformatiqueduneunitderechercheestdeparticiper laralisationdesobjectifsmtiersdelunit.Pourralisercesobjectifs,leserviceinformatique doitmettreenuvreuncertainnombredeprocessusautraversd'uncertainnombredeservices fournisdansunprimtredonn.Unedesquestions lesplusdlicatesquiseposeaupralableestla dfinitiondu primtresur lequelvontporterlesprocessusnoncsprcdemmentNousavonsprcisquelobjectifdesrecommandatio ns debonnespratiquessurleplan organisationnel taitdetendreversunpluspetitdnominateurcommunauxservicesinformatiques desunits derecherche.Ilenvademmepour leprimtreconsidrer. Danslecadredelamiseenplace desprocessusdorganisation,ilfaut segarderdevouloir envisagertoutettoutdesuite.Pourtreplusprcis,ilestncessairederespecterdespaliers progressifsdematuritdansllaborationdecesbonnespratiques etdansladfinitionduprimtre etderesterpragmatiqueenfonctiondesressourceshumainesdisponiblesetdelatailledel'unit.A ceteffet,il fautseposer lesquestionssuivantes: quelssontles mtiersdel'unitque le serviceinformatiquesoutient? quelssontlesbesoinsexprimsparlesutilisateursdel'entit: lesclients? quelssontleschampsdactivits dfinisetvalids:quelestparexempleleprimtrede ladministrationrseauauseindulaboratoire?LeDNS,leserveurdemessagerie,le rseausansfilsont-ilsprisencharge directementparlelaboratoire ouparuneautre structuredetypeCRI? quelssontleslmentsmatrielsetlogicielsqueleserviceinformatiquegredansle primtreprcdemmentdfini? etsurtout,quelssontleslmentsduprimtre disponibilitdelactivitvitaledu laboratoire? considrerdansunobjectifde

Danssadfinitionminimale,leprimtred'activitprcdemment dfinidoitintgrerles lmentsncessaireslacontinuit deservicedelunit.Parexemple,lesserveurs(supportsdes donnesderecherche)fontpartiedeceprimtre ainsiquetousleslmentsncessairesla continuit delarecherche.Onpourraaussiy inclurelematrielactif,lesrouteursetcommutateurs (silssont grsparlASR),les sauvegardes,lamessagerie...Ceprimtrepourratrelargidansun deuximetemps,lorsquelorganisationde premierniveauserafonctionnelle. Il faut bien comprendrequecette phase de dfinition du primtreest essentielle.Elle ncessitesans douteuneconcertationpralableetuneprospectiondelexistantavecles instancesdu laboratoire(direction,commissioninformatique). Larponseneserapasdclinelidentique danstouteslesentits,etchaquelaboratoireestuncasparticulieravecunetaille,desmoyenset surtout desobjectifsdiffrents. Ceci sous-entendunedfinitionclairedesmissionsduservice (sila structureexiste)etdecellesdel'ASR au sein del'entitde recherche.

2- Lagestiondes configurations
2.1-Cequ'ilfautprendreen compte
Unefoisleprimtreenvisagetdefaondfinirlesservices fournir,ilfautsappuyersur unensembledlmentsdinfrastructures surlesquelsDSIpeut/doitagir.Ceslments dinfrastructuredoiventtreidentifisetclasssdansunebasedeconnaissancesquiseratenue jourrgulirement. DanslaterminologieITIL/ISO-20000,lensemble decesinformationsconstituelabasedes configurationsconnue sousletermedeCMDB(ConfigurationManagementDataBase).Cettebase doittremaintenueetmisejourrgulirement enfonctiondesmodificationsintervenuessurles diffrentslmentsdinfrastructure. Lagestiondesconfigurationsestunedesconditionsncessaireetpralablelagestionde lensembledesautres processus.Ellepermetde suivreavec efficacitlvolution desinfrastructures informatiques,etdenassurerlagestionetl'exploitation. Leslmentsdeconfigurationsontlesbiensmatrielsouimmatriels quicomposentles servicesoffertsdansleprimtrequiatdfini.Parexempleonpeutytrouver:lesserveurs, postesdetravail,imprimantes,autrespriphriques, logiciels,licences,quipementsrseaux, comptesinformatiques,consommables,documentationstechniques,contrats... Pourbienidentifier lescomposantsdevantfigurerdanslabasedegestiondesconfigurations, sattacherarpondreauxquestionssuivantes: o Quelscomposantsmatrielsutilisons-nousaujourdhui? o Quelsquipementsdoiventtreremplacs? o Quelscontratsde maintenanceavons-nous etdoivent-ilstrerevus? o Quelleslicencesavons-nous etsontellesenrgle? quelsrseauxun quipementest-il connect? Quelssontlescomposantsutilissetparqui? o Quels composants sont impacts par un dploiement, lesquels sont responsables dune erreur? o Quelledocumentationestmisedisposition des utilisateursetcomment? Lagestion desconfigurationsse doitde fournirauxautresprocessusdesinformationsprcises et pertinentes sur les composants du systme dinformation. Ces informations permettent didentifierrapidementlecomposanttouchpar unincident.Ellespermettentaussi, par exemple,de calculerlescotsde lamaintenanceetdes licenceslogicielles. Danssadfinitionminimale,labasedeconnaissancesdesconfigurationsdoitcomprendre tousleslmentsdinfrastructurecomprisdans leprimtreminimaldfiniprcdemment. Dans une rflexion plus largie, les objectifs de la gestion des configurations sont les suivants: Rendrecomptedetous lesbiensetconfigurationsdelaproductioninformatiquedelunit. on

Fournirdelinformationpertinentesurlesconfigurationspoursupporterlesautresprocessus (gestiondesniveauxdeservice:quest-cequelondoitmaintenir,comment?gestiondes changements: quest-cequidoit trechang,quellesincidencessur lesautreslments?...). Fournirdes basessolidespour la gestion desdysfonctionnements. Comparerlinformationstocke linfrastructureenplaceetcorrigerlesdiffrences.

2.2-Commentorganiserlagestiondes configurations
Ilfautsegarderdevouloirdtaillertropprcismentleslmentsdinfrastructureafinde conserverlamatrisedelensemblesanspertedetemps(nepasfairedusinegaz).Ilestpar ailleursimportant davoiruncontrleefficace surlesconfigurationssilonveutmatriser correctementceprocessus.Ainsi,toutemodificationapportepar un utilisateur laconfigurationde son matrieldoit pouvoirtreidentifieetrpertorie. Pourcelailconvientdedfinirleniveaudegranularit,c'est--dire leniveaudedtaildes lmentsdeconfigurationquelonveutappliquer(quilibre entredtailetfacilitdegestion).Le principegnralpour dfinirlebon niveauestd'avoirlemaximumdecontrlesur leslments avec unminimumdetravaildenregistrement,enintgrantprincipalement leslmentsquiontunrel impact surlesniveauxdeservice. Parexempledoit-onconsidrerunordinateur(postedetravailou serveur)commelmentdeconfigurationoudoit-onrentrer dansledtailenprenantencompte ses composants(cartesrseauetgraphiques,disquedur, graveur...). Leniveaudedtailestdfinientermedattributsdeslmentsdeconfigurationdontvoici quelquesexemplesconsidrer(auseindelaCMDB):

Catgorie(matriel,logiciel,document) Numrodesrie(matriel,logiciel) Numrodeversion(logiciel,documentation) Numrodelicence(logiciel) Numrodinventairedu matriel Fournisseur Emplacement(site,local) dateachat,datede misejour,datedefindegarantie. Responsable,utilisateur composantprincipalou souscomposantde (relationsentrelescomposants) Statutou cycledevie(oprationnel,encours dechangement,...) Historiquedes interventions,...

Lagestiondesconfigurations peuttreopre defaonsimple,partirdunoutiltableurpar exempleou demanireplussophistiqueetautomatiqueavecdesoutilsde gestion deparc. OntrouveradanslapartieFichesderfrencestechniquesdeceguideuncertainnombre pointeursversdeslogicielsoudeladocumentationquipeuventservirettreutilissparles ASR implmenteretmettreenplacelesdiffrentsvoletsrequisdans laqualitdeservice. de pour

3- Lagestiondes niveauxde service


3.1-Dterminerles servicesconsidrer
Lagestion desniveauxdeservicedoitpermettre: Dedterminer unitsderecherche, Dinitialiser contraire,pourquoi. leniveaudeservicedlivrerauxutilisateurspoursupporterlesmtiersdes unsuivipouridentifiersilesniveauxdemandsonttatteintsetdanslecas

LebutdelaGestiondesNiveauxdeServiceestdedfinir,demainteniretdamliorer progressivementlaqualitdesservicesrendus parla DSIpour assurerlesactivitsdelunit. Ilconvientdonc,aucoursdeceprocessus, enrelationaveclesbesoinsdesutilisateurs. dedfinirlesniveauxdeservicefournisparla DSI

Lesniveauxdeserviceainsidfinissontrfrencsdansuncatalogue leshirarchiserpartypedeservice:

deservices.Onpourra

Service mtier: Disponibilit des moyens de calcul, de visualisation graphique, dveloppementinformatiquesddis,support lagestionfinancireetRH... Serviceinfrastructures:gestiondes serveurs,dessauvegardes,des impressions... Servicesrseaux: gestion deladisponibilitdu rseau... Serviceapplicatif: messagerie,web... etc.

LASRquiveutmettre enplaceunegestiondeniveaudeservicedoitsassureraupralable, auprsdesesutilisateurs,desservicesquilsutilisentetcomment. Ainsi,lecycledelaqualitde servicepasseparunengagement entreleserviceinformatiqueetlesutilisateursdulaboratoire identifisdansdesstructuresmtier(ladirection,lesservicesadministratifs, lesquipesde recherche). Pourestimerleniveaudeserviceminimal,ilfautserapprocherduprimtre infrastructuresgresetdu seuilcritiquepour lacontinuitdelactivit. Dansundeuxime niveauxdeserviceapporter:

envisag,des

temps,onpeutenvisager,

degraduerentroiscatgoriesprincipalesles

vital:unservicedontlinterruptionbloquecompltementletravaildanslelaboratoire. Exemple:leserviced'annuaireLDAPsil'authentification deconnexionsurlesmachines passe par une authentification LDAP, les routeurs/commutateurs et le contrleur de domainesiunegrandemajoritdes PCsontsousWindowsetncessiteuneauthentification. important:unservicequipeuttreinterrompubrivement.Exemple:messagerie,web, sauvegarde,serveurscalcul,serveuranti-virus. normal : un service qui peut tre interrompu quelques jours .Exemple: un PC, une imprimante,un serveurdelicencelogicielle.

3.2-Quelniveaupourquelservice?
Laformulationdun niveaudeservicedans lecataloguedes servicespeutcomporter:

ladescriptiondu serviceoffert, lesfonctionsmtierscouvertes, lespriodesde fonctionnementdu service, ladisponibilitdu support, leplandesecours, leplande reprise Deuxparamtressontconsidrerpour dfinirledegrdeserviceproposer: lexistencedebesoinsdiffrentspargroupedutilisateur:parexempleleniveaudeservice pourlessecrtariatsd'administration etdescolarit,neserontsansdoutepaslesmmeque ceuxpourungroupedechercheurs (grerlessortiesd'imprimantepourleservice scolarit enprioded'inscriptionsembleplusvitalquepourungroupe dechercheursenpriode moinsdrastique) lexistencedecontraintesdiffrentesliesauxtypesdinfrastructures. PlusieursquestionsposesaupralablepeuventaiderlASRdterminerlesniveauxde service: A-t-on mesuretvalidlaqualitdeservicedel'applicationavantsa miseenproduction? Nosutilisateursreoivent-ilsun serviceconformenosengagements? Peut-onmesurerlaqualitdeserviceen tempsrel? Dispose-t-ond'unsystmed'alerteefficacepourgrerlesincidentsd'exploitationentemps rel? Dispose-t-ond'un historiquedu niveaudeservice? Peut-onidentifierun problmeavantqu'il ne rduiselaqualitdeservice? A-t-onunevisibilitetuncontrlesuffisantsdufonctionnement critiques? denosapplicationsmtier

4- Lagestionde lacontinuitde service


Lobjectifdelagestiondelacontinuitdeservice(encorollairelagestiondesniveaux deservice)estdediminuerdurablementlafrquenceetladuredesincidentsensassurantque linfrastructureinformatiqueetlafournituredeservicequiestassociepeuventtreremisesen routedans les tempsrequisetconvenus. Depuisplusieursannes,linterdpendanceentreactivitsmtiersetactivitsinformatiques estparvenueunpointtelquesilesservicesinformatiques offertssarrtent,unegrandepartdes activitsderecherchepeuttrefortementimpacte.Lactivitderecherchencessitedeplusenplus un fonctionnement7/7et24/24du systmed'informationetdes servicesinformatique. Lagestion delacontinuitdeserviceconsiste:

identifier,parunemthodedanalysederisques,lesmenacesetlesvulnrabilitssurles actifsdelinfrastructure, appliquerdansundeuximetempsdesmesures(prventivesetdereprises)quipermettent deconserverun niveaudecontinuitdeservice.

Lagestiondelacontinuitdeservicedoitdoncsaccompagnerdunplandecontinuitde service(actionsdurgences,sauvegardesdes enregistrementsvitaux,valuationdesdommages,plan dereprise...) Lecontenudeceplanpourraprendreencompte:


la/lesprocduresde dclenchementdeceplan, lesquipementscouvertsparleplan, ladescriptiondesprocduresdecontinuitdfinies, lesresponsabilitsetimpactssur lesressourceshumaines, lesimpactssur lascurit(enmodedgrad), lesprocduresde retour lanormale, lesprocduresdetestdu plandecontinuit

5- Lagestiondes interventions
5.1-Cequ'ilfautprendreen compte
Lobjectifprincipaldelagestiondesinterventions estdesimplifieretformaliserlachanede demandedassistanceenprovenancedelutilisateurtoutenaugmentantlaractivitduservice. Cettefonctionncessitedeprendreencomptelensembledelintervention, delappelde lutilisateur,jusquauretourdesademandeaprsrsolutiondu problme. Ilsavregalementessentielpourun ASRdemmoriserlesdemandesdefaonpouvoir recenserlensemble desinterventionseffectuesauniveauduS.I.Lesinformations ainsirecueillies permettront, dunepart,dassurerunmeilleursuividesinterventionset,dautrepart,dedisposer dun historiquedesdemandesetdestatistiques. Toututilisateurtantameneffectuerunedemandedintervention,lobjectifdelagestion des interventionsvaconsisterfluidifierleurtraitement.Aceteffet,lASR devramettreenplaceun circuitdedcision:filtrerlesdemandes,endterminerlaprioritetlescatgoriser,lechoixdela prioritdevantintgreruneanalysederisqueetseffectuerenconcertationaveclutilisateur. Acestade,lASRdoitsedemanderquelniveaudinterventionildoitprendreencharge queltypedinterventionvancessiterun suiviprcis. et

5.2-Commentorganiserlagestiondes interventions
Cepremierniveaudelagestiondesinterventions diffremmentselonlesmthodesde travaildesASR(cahierde logicielsdetypehelpdesk ). quisavreessentielpourratreralis laboratoire,fichiernumrique,outils

A undeuximeniveaudematuritdusystme,lagestiondesinterventionspourrase complexifier.Deuxpointsserontalorsprendreenconsidration.

5.2.1-Optimiserles ressourcespouracclrerletraitement des interventions


Danslecasdunnombreimportantdinterventions ponctuelles, lasaisiedunappeldoittre rapideetsredefaonrcuprerlensembledesdonnesdelutilisateuretlesmotifsdeson appel, cesinformationspouvantfairelobjetdunefichedappeltrsstructure(coordonnes, descriptif, date,intervenant).Auretourdintervention,lafichepermettrasonsuivi:tempspass,solution adopte,fourniture Laffectationdesressources,quellessoientmatriellesouhumaines,seffectuera cetteficheetuneplanificationdelinterventionseramiseenplace. partirde

5.2.2-Analyserles interventions
Destableauxdanalysesdcouleront prendreplusieursformes:

desinterventionseffectues.Cettesynthsepourra

tableauxdebord, recherchesmulticritressur les interventions, basedeconnaissances,

GuidedeBonnesPratiquesOrganisationnellespourlesASR

rapportsstatistiquespersonnaliser(ex:nombre d'interventionsparmois...) Cette analyse des interventionspourra constituer, par ailleurs, un paramtrede mesure de l'activit du service. Son valuationrgulire permettra de suivre l'amlioration de son fonctionnementdanslecadredumodle PDCAinhrent lanormeIS0-20000.

12/12109

Page20180

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

6- Lagestiondes dysfonctionnements
L'objectifessentieldeceprocessusestdechercher rsoudre lesdysfonctionnements susceptiblesdeseproduireauseindunS.I.Ils'agitdeminimiserleursrpercussionssurles niveauxdeservice maisgalementdeprvenir leurrapparition.Les rfrentielsITILetISO-20000 dcriventlagestiondesdysfonctionnementsendeuxprocessusdistincts,lagestiondesincidentset lagestiondesproblmes. LanormeISO-20000distinguelanotiondincidentdecelledeproblme.Unincidentest toutvnementquinefaitpaspartiedesoprationsstandardsdunservice,etquiprovoqueoupeut provoqueruneinterruptiondeserviceoualtrersaqualitalorsquunproblmeestconsidr commelacauseinconnueet sous-jacentedun ou deplusieursincidents.

6.1-Lagestiondes incidents
Lagestiondesincidentsvaconsisterrtablirlesservicesleplusrapidement incidentdevratreenregistretdocumentdefaontracerlesoprations sarsolution. possible.Tout quionttncessaires

Outreladescriptionoriginelledelincident,lenregistrementdevratremis jour toutau long du cycledeviedelincident,defaonpouvoirparlasuitecommuniquersur celui-ci. Lenregistrementpourraainsicomporterles informationssuivantes: lacatgorie(rseau,station,service,organisation...), ladate, lapriorit, lesservicesimpacts, lestatut(nouveau,encours,rsolu...)

6.2-Lagestiondes problmes
Lagestiondesproblmesviserechercher lacausepremiredesincidentsrcurrentset ncessitedemettreenplaceunsuividactionspouramliorer oucorrigerlasituation.Cest pourquoi,defaontraitercorrectement etrapidementunincidentrcurrentquiseprsente,ilest indispensablequeles informationssur les incidentssoientdisponibles. Lagestion desproblmesvacomprendredeux typesdactions: lesactionscorrectives :ils'agit,dansunpremiertemps,didentifier lescausesdesincidents passsetrsoudrelesproblmesenrponsecesincidentset,dansundeuxime temps,de formulerdespropositionsdamliorationetdecorrection. lesactionsprventives:ils'agitdel'identificationetdelarsolutiondesproblmesconnus avantquelesincidentsnesurviennent.Oncherchedoncprvenir lapparition des problmesen identifiantlesfaiblessesdu S.I. etenproposant dessolutionspourlesliminer. Celavaconsisterdfinirdesaxesdamliorationquil conviendraitdapporterausystme. Enalimentantainsilesystmedamlioration continue,cettegestionpourraservirla justification de demandes de nouvelles acquisitions ou remplacement de matriels ncessairesaubon fonctionnementdu service(virtualisationdes services...)
12/12/09

Page21/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Parlasuite,lASRpourraaffinerlagestiondesdysfonctionnementspartirdesquestions suivantes: commentdiffrencier lesresponsabilitsentrelagestiondesincidentsetlagestiondes problmes? commentcommuniquerauprsdes utilisateurssur lesincidents? commentgrerdanscertainessituationsleconflitdintrtquipeutexisterentrela rsolutiondunincident etlarsolutionduproblmeassoci(leredmarrageimmdiatdun serveurpeutconduireleffacementdecertainsfichierslogsquiauraienttreutilesla rsolutiondu problme)? commentformaliserlessolutionsmisesenplace? Lencore,toutelatitudeestlaisselASRpourdfinirlesmthodesetoutilsquilconvient dutiliserpour mettreenplacecettegestiondesdysfonctionnements.

12/12/09

Page22/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

7- Lagestiondes changementsetde la miseen production


LeschangementsauseindunserviceS.I.peuventtremultiplesetconcernerparexemple lajoutoulasuppressiondunlmentdeconfiguration, lvolutiondelaversionduncomposant voireunchangementorganisationnel.Lobjectifdelagestiondeschangementsetdelamiseen productionestderduireauminimum lesconsquencesdesincidentsventuelslisces changementssurlesystme. Aceteffet,toutemodification,quilsagissedemodifications matrielles(changement dedisque,ajoutdemmoire)oulogicielles(misesjourdessystmes, installationdelogiciels)devratrenotifie defaonengarderunetraceetventuellement pouvoirrevenirenarrire. Lorsqu'unchangement estncessaire, ilfautvaluerlesrisquesdesamiseenuvreetson impactsurlacontinuitdelactivitmtierpendantetaprscettemiseenuvre.Lorsdelamiseen production,ilvas'agirdeprotgerlenvironnement deproductionetlesservicesassocispar lutilisationdeprocduresformellesetpardesvrificationslorsdelimplmentation des changements. LagestiondeschangementsetdelamiseenproductionconsistefairevoluerunS.I.de faonstructure sanscommettre derreurs.Onvaainsichercherrduirelimpactngatifdes changements, amliorerlagestiondesdysfonctionnements paruneconnaissanceprcisedes modificationsapportesetdonc, terme,amliorerlefficacitdes servicesrendus. Toutchangement seraaccompagndetestspermettantdevaliderlesmodificationsapportes. Unesolutiondereplidetyperetourarrireseragalementtudie.Ilestprfrable,dune manire gnrale, deplanifierleschangementsenfonctiondeladisponibilitdesressourcestouten cherchantviterleschangementsfaitsdans lurgencesuiteun dysfonctionnementdu systme. LASRdevradoncseposerlaquestiondesmthodesetdesdmarchesquilconvientde mettreenplacepour traiterefficacementetrapidementceschangementstelsque: mettreenplaceun dispositifadaptla tailledu service, mettreenplaceun planningprvisionneldes changements, planifier,parexemple,la misejoursystmedes serveursdu laboratoire, avertiretinformerlesutilisateursdel'interruptiondeserviceinhrenteauchangementde configuration... Avecunniveaudematuritsupplmentaire,lASRchercheraapporterunevuecompltedu processusetsassurerquetouslesaspectsdeceschangements ontbientprisencompte(tests complets, solution de retour arrire).Ace niveau, il conviendrade se poser les questions suivantes: commentintgrerdefaonoptimalelesprocessusdegestiondeschangementsetdelamise enproduction aveclagestiondesconfigurations? commentcommuniquersur leschangementsapports linfrastructure? Parailleurs,un bilanseramisenplacepartirdespointssuivants: limplmentationsest-ellebienpasse? dans lecasdunerponsengative,lasolutionderetour arrireat-ellepu treralise?

12/12/09

Page23/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

laplanificationentermesderessourcestait-ellesuffisante? 1'utilisateurest-ilsatisfait?
ya-t'ileuuneffetdebordnonprvu?

12/12109

Page24/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

8- LaDocumentation
Nousavonssoulignprcdemment limportance delaformalisationdesmthodesdetravail auseindunS.Ipouramliorer laqualitdanslafournituredeserviceinformatique.Danscecadre, ladocumentation occupeuneplacetrsimportantedanslesuivietlatraabilitdenosdiffrentes actionstellesquelamiseenplacedenouveauxservices,lagestiondesconfigurations, les changementsapportsauS.I., larsolutiondes incidentsetproblmes,l'aideauxutilisateurs,etc. Laralisationdunedocumentationetsamisedispositionauprsdupersonnelet/oudes collgues ASRchargsd'intervenirsurlesinstallationsapparaissentdonccommedesactivits supportimportantesau seinde notrecartographieduS.I.Ils'agitd'unebonnepratiquepermettantde retrouverl'informationvoulueaumomentvoulu,d'assurerlatraabilitdesdiffrentesinterventions quenoussommesamensfairedemanirepouvoirfournirsincessaire desexplications dtailleslaDirection,auxautoritscomptentessur lastructuredes installationsetdes services. Undptdocumentairecentralis,richeetbienorganisferagagnerdutempsauxASR.Ces dptspeuventtreplacsparexemple surunsiteWebaccessibleetaismentmodifiableparun systmede gestiondecontenu(CMS commeDrupalou Spip),ou encoreun Wiki[wiki]. Dansl'ensembledestchesquijalonnentlemtierd'ASR,ilestdoncncessairederserver dutempspourrdiger lesdiversesdocumentationsncessaireslamaintenanceetl'volutiondu S.I. Ondistingueradeuxgrandesclassesdedocumentation qu'onpeutorganiserdansdeuxdpts distincts:celuidestinauxutilisateursdoittreaccessibledansl'intranetdel'unit,alorsquele second devraittrerservauxASRdeparlesinformationsconfidentiellesqu'il peutcontenir.

8.1-Ladocumentationpourles utilisateurs
Cesontlesdocumentsquipermettentauxutilisateursdecomprendrelesrglesetprocdures suivrepouraccderetutilisercorrectement lesservicesquisontmisenplaceparleservice informatique.Cetypededocumentation esttrsimportantdanslefaitqu'ellepeutrendreles utilisateursautonomesetpermetdenepasfaireappel auxASRetlesdrangerinutilementpourdes questionsbasiquesetrcurrentes. Atitred'exemple,cetypededocumentationpeuttreconstitude:

unlivretd'accueil,tabliparleserviceinformatique,quipeuttreremisauxnouveaux entrants, etquipeutconstituerlabased'unedescriptiondesservicesoffertsauxutilisateurs. Celivret peutalorspointer versdesdocumentationspluscompltesdtaillantl'utilisationde chaqueservicemisenplaceparleServiceInformatique. lesdocumentationsd'utilisationdechaqueserviceenproduction(parexemplecomment utiliserleVPNdulaboratoire,commentparamtrerlelogicielthunderbirdpouraccder lamessagerie,commentseconnecterauserveurddissh ,commentparamtrerson PC pour accderaurseauEduroam...). lesrglements(souventrassemblsdanslerglementintrieurdel'entitderecherche) l'utilisationdesservices,lacharted'utilisationdesmoyensinformatiques,ou encoreledocumentcadrerelatif lapolitiquedescuritdel'organismeconsidr, lesaccordssurlesmodalitsetniveauxdeserviceoffertsparl'quipeInformatique,les usagestolrs,lesrglesdeconduite,etc. concernant

12/12/09

Page25/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

8.2-Ladocumentationtechniquedestineaux ASR
Cetensemblededocuments regroupe lesinformationstechniquesncessairespourqueles ASRmettent enplaceetfassentfonctionnerteloutelservice.Cesontlestextestechniques propres auserviceinformatiquedel'unitetquipeuventcontenirdesinformationssensibles(plansdu rseau, ACLderouteursmisesenplace,nomsetadressesIPdeserveurssensibles,motsdepasse, etc).Laqualitdecesdocumentationsdoitpermettredeconfieroudlguerl'exploitationde certainsservicesd'autresASRdel'quipeou chargstransitoirementd'intervenir. Uneprocdured'exploitationoud'installationbiendocumente esteneffetplusfacile dlguerd'autresASRdel'quipeetpeutfaciliterl'intgrationd'unstagiairequiaalorssa dispositionun "mode d'emploi"clairetprcis. Cesdocumentations doiventdonneruneimagedel'tattechnique dessystmes(servicesen exploitationuntempsdonn),durseau,desprocdures pourassurerlacontinuitdeservice. Ces documentationssontmisesjourrgulirement,lorsdechaquemodification,pourtreauplusprs delaralit. Eneffet,commeon l'avu prcdemmentdans lagestiondeschangements,il estncessaire pour lesASR d'enregistreret de documenterles changementsapportsdans l'exploitationdu systmed'information.Ils'agitdavantagedanscecasdeconstitueretdetenirjourunemain couranteafindetracerchronologiquementleschangementsdeconfigurationapportsdansla configurationde teloutellogiciel,oubienlescauses et lesrsolutionsd'incidentsquisont survenus dans leS.I., ou encorel'historiquedes interventionsetdes misesjour. Commeexempledecetypededocumentationpour lesASRon peutciter:

leplan jourdu rseaudel'unit,laconfigurationdescommutateursetdes routeurs l'inventairedesressourcesinformatiques ladocumentationdesconfigurationssystmeindiquantcommentunserviceatparamtr pourl'installer:commentestconfigurSamba,commentestassurelaredondance serveurdemailau moyendeheartbeatou autressystmesdedisponibilit. lesprocduresdlicatesquel'onfaitrarement: parexemplecommentreconstruireleraid delabaiededisques? lesprocduresd'exploitationrcurrentesque l'onveutpouvoirconfier d'autres membresde l'quipe informatique:commentcreruncompte?,commentchangerlesbandesde sauvegardes? pour du

Cesinformationsserontimportantesencasd'incidentsoudedysfonctionnements retrouverl'originepossibledansdesinterventionspasses.Aceteffet,notonsquepourdesraisons dedisponibilitilseraitncessaired'assureruneredondancedecettedocumentationsensiblesur supportpapierdemanireyavoiraccsencasdepannesystme.

8.3-Commentralisercesdocumentations?
Lebutdecesdocumentationsestqu'ellessoientfacilement accessibles,modifiables, partageables,correctementstructures,classesetenaccsprotgpourles ASRduservice uniquement. L'ASRauralechoix dumoded'dition auformatDocBook[DocBook],siteWebouWiki[Wiki]? decesdocumentations:documentationpapier?fichier

12/12/09

Page26/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Lesdptsdocumentairesdetypewikipeuventceteffetprocureruncertainnombre d'avantages:

leuraccsestcentralissurunserveurWeb,cequipermetdenepasavoirchercherla documentationdansdenombreuxfichiersetrpertoires, leursimplicitd'utilisationfaciliteles mises jourrapidesde ladocumentation, cetypededocumentationn'ajamaisuncaractredfinitif.Ilconvientbienunsystmeen volutionpermanenteetonpeutl'enrichirfacilement toutmomentdederniresremarques modifications. ou

Cesdptsdetype Wikiontcependantaussidesinconvnients relatifslaclassificationdes informationsetleurstructuration.Ilestparfoisdifficiled'avoirunenavigationclairedansun wiki,etlastructurationpeuttreimparfaiteou misemalaufildesmisesjourdela documentation. Quelle que soit la technologiedu support de documentationchoisie, il est en tout cas ncessairedefaireattentionassurerunediffusionrestreintedesinformationsquel'onportedans cetypededocumentation dufaitqu'ellestouchentsouventlascuritdesinstallationsetde l'infrastructure. Enfin,n'oublionspasqu'uneditionpapierdecesdocumentationsestncessaireencasde problmesystmesmajeurquiempcheraitlaconsultation.

12/12/09

Page27/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

9- Lesbonnespratiquesdanslagestion delascuritdes systmesd'information


Les ASR sont confronts depuis longtemps des problmes de scurit informatique rcurrentsquipeuventmettreenprillefonctionnement duS.I.Ilsontdoncrgulirement misen placedesmesurestechniquespourprotgerlesserveurs,lerseauetleparcdePCutilisateurs,et ontdoncadapt leniveaude scuritpourragir auxnouvellesmenacesquiapparaissaientaufildu tempssur lerseau. Lalistedesmenacesetattaquesinformatiques estvaste(virus,trojan,scanrseau...)etnous n'enferonspasl'inventaireici.Ilsemblegalementinutiledeproposerunelisteexhaustivedes solutionstechniques descuritmettreenuvre,tantceladpendducontexteetduniveaude scuritrecherch. Enrevanche,commenousl'avonsfaitenpremirepartieaveclestandardITIL etlanorme ISO20000pourlafournituredeservicesinformatiques,nousavonsutilislanormeISO-27001 pourdonneruncadreauxbonnespratiquesdes ASRenmatiredegestiondelascuritdansnos organismesderecherche. Eneffet,lascuritdenos systmesd'informationimpliquequelquespratiques d'administrationetd'organisationdebasequel'onretrouve danslanormeISO-27001,demmeque dans lesPSSI d'tablissement(dontcelledu CNRS[PSSICNRS]). Ces pratiquessontgalementbases sur une dmarchepar processuset intgrentle principedamliorationcontinue(PDCA,RouedeDeming)quiviseaprsavoirmisen placedes lmentsdescurit,surveilleretr-valuerleurefficacit.

9.1-Grandsprincipesd'organisationde lascurit au sein dulaboratoire


9.1.1-Dfinitiondu primtresurlequeldoitporterla scuritdu S.I.
Pourdterminerquellessontlesexigencesdescuritdel'informationdenosunits,ilest ncessaired'tudieraupralablelecontexte,leprimtrede l'entit scuriser.Cettetudeimplique des'attacher dfinirlesvaleurspropresdel'unit:quellessontlesdonnesetlesfonctions essentiellesquel'ondoitscuriserpourquel'entitcontinue exercer sesmissions.Pourchaque donneetfonction recense,ons'attacheradterminerquelssontlesbesoinsdescuritentermes dedisponibilit,intgritetconfidentialit. Lespremirestapessur lesquellesdoitsepencherl'ASR estdonc:

d'tudierlecontextedel'entit,rappelersonactivitprincipale,lesmissionsqu'elledoit assurer,lesservicesqu'elledoitrendreetlesmoyensqu'elleutilisepourparvenir missions...puis, derecenseretdcrirelesdiffrentsactifs quicomposentleS.I. del'organisme: inventairedesmatriels,logiciels,rseau,personnel,locaux...etenfin, derecenseretidentifierlesdonnesetfonctionsdel'organismeetsavoirsurquelsactifset moyensphysiqueselles reposent.

ses fairedoncun

12/12/09

Page28/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

9.1.2-Implicationde ladirectionvis--visde lascuritde l'information


Pourscuriserconvenablement uneunit,l'ASRdoits'appuyersurunepolitiquedescurit soutenueparsaDirectionaumoyendedirectivesclaires,dunengagementdmontr,dattribution defonctionsexplicitesetdunereconnaissance desresponsabilitslieslascuritde linformation. Ilestncessairequelesresponsabilitsenmatire descuritdelinformationsoientdfinies prcisment dansl'entit.LaDirectiondoitdemandersonpersonneldemmequ'auxutilisateurs extrieursenrelationavecl'unit,dappliquerlesrglesdescuritconformmentauxpolitiques et procdurestabliespar lorganisme. Unedespremiresmesuresessentiellesprendreestladiffusiond'unechartedebon usagedesoutilsinformatiquesdel'unit.Cettecharteestundocumentinterneexplicatifdesdroits etdevoirsdesutilisateursenmatired'utilisationdesmoyensinformatiquesdel'unit.Lacharte informatiquedel'organismedetutelle(CNRS,UniversitouautreEPST)apourvocationd'tre largementdiffuseetmisedisposition pourtoutnouvelentrantdansl'unit(parexemplepar copie danslecomptedesutilisateurs,envoiparmessagerie,outoutautremoyendediffusionefficace ou officiel).

9.1.3-Coordinationde lascuritde l'information


Lesactivits relativeslascuritdelinformationdenosunitsderecherchesontengnral coordonnespardespersonnelsayantdesfonctionsetdesrlesapproprisreprsentatifs des diffrentespartiesdelorganisme. Aussi,ilconvientpourl'ASR d'entretenirou mettreenplacedesrelationsappropriesavecles autoritscomptentes etlesspcialistesdelaSSIdel'organisme,ouencoreviadesforums spcialissdans la scuritetdesassociationsprofessionnelles. QuecesoitpourlesUniversits,leCNRSoud'autresEPST,ilconvient pourl'ASRde connatrelesacteursdelachaneorganiqueetdelachanefonctionnelle descuritdeson organisme: pourle CNRS par exempleles CRSSI(coordinateurrgionalde la scuritdes systmesd'information)pourlaDlgationrgionale,ainsiqueleCSSI(chargdelascuritdu S.I)del'unit.

9.1.4-Formationetsensibilisationlascuritdu S.I.
Lepersonneldoittrergulirement informdespratiquesdescuritsuivre(ncessitde motsdepasse robustes, attitudesvisavisdesspams,etc),desvnementsetalertes.Ilestimportant pourl'ASRd'organiserdesformationsdesensibilisationauseindulaboratoiretantauniveaudu personnel enplacequedesnouveauxentrantsetdupersonnel temporaire.Lesformationset messagesrcurrentsd'informationquedlivrentles ASRpermettrontderehausserleniveaude scuritdel'unitendonnant auxutilisateursuneattitudeplusresponsablefaceauxmenacesqui psentsur leS.I.

9.2-Analysedes donnesduSystmed'Information de l'unitAnalysedes besoinsde scurit


Laprotectiondupatrimoinedenosentitssupposed'identifier etdelocaliseraupralableles donnes etdedterminerleurniveaudesensibilit.Lesbesoinsenscuritsedfinissent entermes

12/12/09

Page29/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

deconfidentialit,dedisponibilit,etd'intgrit,ainsiqueparl'valuationdeleurdegr de sensibilit(public,confidentiel,secret dfense...). Seulcetexamendesbesoinspeutpermettrede dterminer letypedeprotectionncessaireetlessolutionstechniquesadquatesmettreenuvre pour scuriserleS.I. Laprotectiondel'outildetravailetduS.Idesunitsimplique techniquespour assurer:

lamiseenuvredesmoyens

la disponibilit des moyens informatiques: impliquedes mesures de redondance,des procduresdereprisesurpanne,etunplandereprised'activitpourminimiserlestemps d'indisponibilit. l'intgritdesdonnes:ncessitedemettreenuvredesprocduresdesauvegardedes donnes,etsurtoutderestaurationdeces sauvegardes. laconfidentialitdesdonnesdesutilisateurs:demanded'avoirmisenplacedessystmes d'authentificationdesutilisateurs,ainsiquelamiseenplacededroitsd'accsapproprissur lesdonnes. des solutions de chiffrement[chiffrement] des supports de donnes et des protocoles de transmissionsontgalementdesoutilsdenatureassureruneintgritetconfidentialit fortesdes donnes.

9.3-Apprciationdes risques
Uneanalysedesrisques(autraversdemthodestellesque EBIOS[EBIOS],MEHARI),permet didentifier lesobjectifsdescuritetlesmesuresprendre,adaptesauxbesoinsdelunit.Elle sertdebase llaborationdelapolitiquedescuritdu S.I. Dansunpremiertemps,ilconvientdidentifierlesmenacesetlesvulnrabilitspotentielles quipsentsur lesactifsdu S.I. Nousparcouronsici,enquelquesphasesessentielles,lesbonnespratiques dansledomainede lascurisationd'unS.I.Ladocumentation delamthodeEBIOS[EBIOS]peutdonneruneaide rigoureusepourslectionnerlesmenacesetlesmthodesd'attaquesopportunesdanslecontexte tudi. 9.3.1-Identificationdes menacesetvulnrabilits Aprsavoiridentifilesactifs(matriels,serveurs,routeurs,logiciels,locaux,donnes...) relevantduprimtrescuriser,ilconvientderecenserlesmenacesquipeuventpesersurles actifsdel'unit,ainsiqueleursvulnrabilits. Lesmenacesdoiventtreformalisesexplicitement enidentifiant,lesmthodesd'attaque auxquelleslunitestexpose(vol,incendie,perted'alimentationlectrique...), leslments menaantsquipeuventlesemployer(facteursnaturelsouhumains,involontaires oumalveillants), lesvulnrabilits exploitables surlesentitsdusystmeetleurniveaud'occurrence (rare,normal, frquent). Par exemple,danslecontextede lunit,levol,l'incendie,l'inondation,laperted'alimentation lectrique, l'incendie, etcpeuventtredeslmentsmenaantsayantunecertaine probabilit d'occurrence(rare,moyenne,certaine...) On pourraparexempleexprimerune menacedelamaniresuivante:

12/12/09

Page30/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

labsencedeportecoupefeudanslecouloirpeutpermettreunepropagationplusrapide d'unincendieverslasalleserveur,ou, l'accsnoncontrlauxmoyensinformatiquesdelasalleserveurpeutpermettreaun individu mal intentionndypntreretdefaired'ventuelsmfaits (vols,dgts..)

Seull'examendecesmenacesetvulnrabilitspeutpermettrededterminerlesmoyens mettreenuvre(techniques, procdures,sensibilisation,formation)pourrduireleurprobabilit d'occurrenceou attnuerleurimpact. Enfin,aprsavoiridentifietformullesmenaces,ilestncessairedes'attacheridentifier lesvulnrabilits denotreS.Iquipourraienttreexploitespar les menacesquionttretenues. Parexemple:

silevol estl'lment menaantquia t retenu,lasalle serveur possde t-elleunsystmede fermetureadquatquipermetderserverl'accsaupersonnelexploitant? silaperted'alimentationlectriquereprsenteunemenace,lesserveurssurlesquelssont stockeslesdonnesdel'unitsont-ilscorrectementsecouruslectriquement?Avecune autonomiesuffisante?etc

9.3.2-Identificationdes impacts AprsavoiridentifilesmenacesetvulnrabilitsduS.I,ilfauts'attacheridentifierles impactsqu'ilspeuventinduiresurlesbesoinsprcdemment exprimsentermesdepertesde confidentialit,d'intgritetdedisponibilit. Pour chaque menaceetvulnrabilitrpertories,il dfaillancedescuritainsiquelesimpactsassocis. s'agitd'valuerlaprobabilitralisted'une pour

Lensembledesinformationsainsirecueilliesvapermettredestimerlesniveauxderisque chacundesactifs.

9.4-Traitementdes risques
Ltapesuivanteconsiste,partirdelalistedesrisquesclasssparpriorit,dfinirquels traitementsappliquerpour rduireou liminercesrisques: sontles

retenirethirarchiserlesrisquesquisontvritablement susceptiblesdeporteratteinteaux fonctions etlmentsessentiels del'entit. Il fautestimer lesniveauxdesrisques,c'est dire dterminersilesrisquessontacceptablesenl'tatsansmesure deprvention particulire,ou s'ils ncessitentun traitementtechniqueou procduralparticulier. dfinirlesobjectifsdescuritpermettantdecouvrirlesrisques. L'ensemble decesrisquesdevratrevalu,laplupart objectifsdescurit. Cesobjectifsdescurit constituent uvrepour l'environnementtudi. d'entreeuxdevanttrecouvert descurit pardes mettreen

lecahierdeschargesdesmesures

OnpourratrouverunelistedemesuresdescuritprendredanslanormeISO-27002[ISO27002] .CedocumentnormatifestunCodedebonnepratiquepourlagestiondelascuritde l'informationetproposetouteunesriedemesuresmettreenoeuvrepourcouvrirlesrisques l'analyse.

rvlspar

12/12/09

Page31/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

9.5-Bonnespratiquesdanslamiseen uvrede la scurit informatique:exemplesde mesuresde scuritcourante


Voici,ci-aprsquelquespratiquesgnralesenmatiredescuritinformatique frquemmentmisesenplacedans lascurisationdu S.I. denosunitsderecherches. 9.5.1-Scuritphysiquedes locaux L'objectifestd'empchertoutaccsphysiquenonautoris,toutdommageouintrusiondans leslocauxdanslesquelsrsidentlesinformationsdelunit.Leslocauxcontenant desinformations sensiblesetdesmoyensdetraitementdelinformation (sallesserveurs,secrtariatdedirectionou d'enseignement...)doiventdonctreprotgsphysiquementdesaccsincontrlsoumalveillants (contrledaccsparcartesou code). Pourseprotgerdesmenacesd'ordreenvironnementale,ilconvientgalementdemettre enuvredesdispositifstelsquedtectiondetemprature leve,dispositifsanti-incendies, inondations,... 9.5.2-Scuritdumatrieletducblage Onprotgera lesmatrielssensibles(routeurs,serveurs...)despertesd'alimentation lectrique parunsystmedesecourslectriquesuffisant,ainsiqued'ventuellessurchauffespardesmoyens declimatisationadquatsetbiendimensionns. Afindegarantirunedisponibilitpermanenteetunbonfonctionnement encasdepanne,le matrielsensiblequincessiteunfonctionnement continudoittreplacsouscontratde maintenance. Lesaccsauxcblesrseautransportant desdonnesdoivent treprotgscontretoute possibilitd'interceptiondelinformation,oudedommage.Lescblesouconcentrateurs rseau doiventtrehorsdeporteimmdiate etdoncprotgsdansdesgainesoudesarmoiresde rpartition. 9.5.3-Miseau rebutourecyclage Lesmatriels, lesinformationsouleslogicielsnedevraient paspouvoirtresortisdesunits sansautorisationpralableetune procdureformelle. EncasdemiseaurebutodereventedePC, ilconvient devrifierquelesdonnesontteffacesdesdisquesdemanire efficace.Unsimple formatage n'tantbienentendupassuffisantpoureffacerlesdonnesdemanireprenne.Des mthodessontprconises[A3IMP] Lessupportsquineserventplusdoivent tremisaurebutdefaonsre,ensuivantdes procduresformelles.Ilconvientpourdesraisonsenvironnementalesde mmequepourdesraisons descuritduS.I.desedbarrasserdesPCetdessupports amoviblesdansdesbennesspcialises, aprsavoiraupralablecorrectementeffaclessupportsmagntiques. ou quisont

12/12/09

Page32/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

9.5.4-Procduresde scuritinformatiqueliesl'exploitation: 9.5.4.a-Protectioncontreles codesmalveillants:virusetautres malwares Laplupartdesattaquesvialerseautententdutiliserlesfaillesdusystmedexploitation ou deslogicielsd'unPC.Lesattaquesrecherchent lesordinateursdontleslogicielsnontpastmis jourafindutiliserlafaillenoncorrigeetainsiparvenirsyintroduire.Cestpourquoi ilest fondamentalquelesASRmettentjourleslogicielsdesserveursetdespostesclientsafinde corrigercesfailles. SuiteauxavisdescuritquimanentdesCERT, l'ASRdoitveilleraumaintienduniveaude scuritaucoursdutempsparl'applicationrcurrentedescorrectifslogiciels(patchs)surles serveurs enexploitationdansl'unit. Ilestgalementdanssesfonctions,deveillercequechaquepostedurseaulocalsoit quipd'unantivirusrgulirementmisjour.L'ASRdoitdoncmettreenplacedesmesuresde dtection,deprventionetde recouvrementpour seprotgerdescodesmalveillants. 9.5.4.b-Sauvegardedes informations La sauvegarde est un processus essentiel dans tout systme informatique permettantde garantirl'intgrit desdonnes,lafiabilitetlacontinuitdelactivitdulaboratoireencas d'incident.Unepolitiquedesauvegarde (frquence,fentredesauvegarde..)doittrelaborepour protgerlesdonnesdel'unit.Lesinformationsconcernantlessauvegardeseffectuesdoiventtre communiques auxutilisateurs.Unesauvegarderguliredesdonnesdesutilisateursavecdes processusderestauration, teste aupralable, doittremiseenplace.Ilfautporterattentionaux droits d'accscessauvegardes. Descopiesdecessauvegardesdoivent treralisessurdessupportsexternes(robotde bandes, disquesexternes...)etplacesdansdeslocaux(oucoffres)scurissetdistants.Cescopies desauvegardes devraienttretestesrgulirement conformmentlapolitiquedesauvegarde convenue. 9.5.4.c-Journauxsystmesles logs Lesjournauxsystmesproduitsparnosserveursinformatiquespermettent lasurveillance du contrledaccsnossystmesetrseaux.Ilspermettentdefaciliterlesinvestigationsultrieures, etsontenoutregalement exigsdanslecadredelacollectedepreuveparlesautoritsjuridiques comptentes. Lesjournauxsystmesquienregistrent lesactivitsdesutilisateurs,lesexceptionsetles vnements lislascuritdoiventtreproduitsetconservspendantlapriodelgalepour surveillerlexploitation dusystme.Lapolitique degestiondestracesduCNRSafaitl'objetd'un documentdisponibledans l'intranetdu CNRS[logcnrs]. Ilestimportantdeprotgerlesserveursquiconserventles informationsjournalisescontreles accsnon autorissou desactesde malveillancesquipourraients'opposerau maintiendelapreuve. Enraisondunombre deserveursprsentsdansnosunits,ilconvientdemettreenuvredes moyenspourfaciliterl'exploitationtransversaledecesjournauxprovenantdemultiplesserveurs. Parexemplelacentralisation desjournauxsystmessurunserveuruniqueetddi,permetde concentrerla scurisationdes logssur un seulpointd'accs,demieux rgulerlapriode

12/12/09

Page33/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

d'archivagelgal,etsurtoutdepermettrelaconsultationsimultanedesjournauxdeplusieurs serveurs[journauxsystmes]. 9.5.4.d-Synchronisationdes horloges Encasd'analysedesjournauxinformatiques,pourretracerlachronologie d'unvnement ou d'une anomalie, il est essentiel que les horloges des diffrents systmes de traitement de linformation(serveurs,routeurs,PCutilisateurs..)denosentitsderecherche soientsynchronises laidedunesourcedetempsprciseetpralablementdfinie. 9.5.4.e-Scuritdu rseauEchangedes informationsContrle d'accsrseau Lesrseauxdenosunitsderecherche doiventtregrsetcontrlsdemanireadquate pourgarantirleurprotectioncontredesmenacesaussibienexternesqu'internes.Onveillerasurtout contrler l'accsphysiqueaurseau,segmenterlerseaulocalendiffrentsrseauxvirtuelset rendre illisibles notamment les informations en transit, par des moyens de chiffrement des protocoles:

contrled'accsrseau:ilestncessaired'empcherlesaccsnonautorissauxservices quisontdisponiblessurlerseau(partagesdedossiers,imprimantes,accsIntranetWeb, etc).L'ASRdoits'assurerdenedonneraccsqu'auxservicespourlesquelslesutilisateurs ontspcifiquement reuuneautorisation.Desmthodesdauthentificationappropries doiventdonctreutilisespourcontrler laccsdesutilisateursdistants.Ilpeuttre ncessaired'avoirrecoursaustandard802.1x.pourcontrler l'accsauxportsdurseau interneaumoyend'uneidentification etauthentificationLamiseenplaced'annuaires centralisstelsqueActiveDirectoryouLDAPouencoreunserveurRadius reprsenteun lmentfondamentalpour permettrecetteauthentification. cloisonnementdesrseaux:ilestparticulirementefficacedesparerlesfluxrseauissus desdiffrentsservicesdinformationdenosentits.La segmentation durseaudel'uniten rseauxlogiques virtuels(VLAN)estunebonne mesureprendre poursparerlesflux rseau de diffrentes entits administratives (le rseau des chercheurs, le rseau des tudiants,lerseaudesecrtariats,lerseaudesserveurs...).Cettediffrentiation desflux permetparlasuitedeleurappliquerdesmesuresdescuritdiffrentes.Dansleprocessus desegmentation durseau.Ilestfortement recommandderegrouperetd'isolerlesservices devanttrevisiblesdel'extrieurdansunezonerseausemiouverte. contrleduroutagerseau:lerseauhbergeantleS.I.doittreprotgdestentatives d'accsillicitesprovenant del'extrieurcommedel'intrieurdenosentits.Desmesuresdu routagedesrseauxdoiventtremisesenuvreafindviterquedesconnexionsrseaunon souhaitesneportentatteintelapolitiquedecontrledaccsdesapplicationsmtierde nosentits.Lesfluxd'entreetdesortiedurseaudoiventgalement treprotgsparun ensemble defiltres(ACL) quipermettentd'interdiredesaccsrseauversdesressources ou des servicesnon contrls.

9.5.4.f-Protectiondes transfertsde donnes:chiffrement L'objectifdesmesurescryptographiquesestdeprotgerlaconfidentialit,lauthenticitou lintgritdelinformationpardesalgorithmesutilisantdesclsdechiffrement. Aussi,ilfautles utiliserpourprotgerlesfluxd'informationlisdesservices sensibles.Parexemple,lamessagerie lectroniqueoulesaccsintranetoutoutautreservicedemandantuneidentificationdoiventtre

12/12/09

Page34/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

protgsdemanireadquatepardesprotocolesscurissreposantsur SSL,commeIMAPS, SSMTP,SASLpour lamessagerieou HTTPSpour leWEB. Unepolitiquedutilisationdesmesurescryptographiques envuedeprotgerlinformation devrait tre mise en uvre. Cela revt un caractre obligatoire pour les donnes classifies sensibles.OnconsulteraceteffetledocumentderecommandationsduCNRSenlamatire [Chiffrement] . Il estimportantpourlesASRdeconnatrelefonctionnementdel'infrastructuredegestiondes cls(IGC)etl'utilisationquel'onpeutfairedescertificatsdlivrs(signatureetchiffrementdes messageslectroniques,ou encorecertificationdemachinesserveurs). DanslecasduCNRSparexemple,l'ASRserapprocheradesDlgationsRgionalespour connatrelesmodalitsd'obtentionetd'utilisationdescertificatslectroniques duCNRS,ainsique cellespourdevenirAutoritd'Enregistrement(AE)afindefournirdescertificatslectroniques auxutilisateursdesonunit.Ilestceproposncessairedeconnatrel'Autoritd'Enregistrement enplacesurlaDlgationRgionale. Ontrouveradenombreusesdocumentations cesujetsurle sitedel'IGCdu CNRS,http://igc.services.cnrs.fr. 9.5.4.g- Exigencesrelativesau contrled'accs aux systmes d'exploitation IlestduressortdesASRdematriserpardesdispositifstechniques ouprocduraux,laccs linformationprsentedansnosunits.Ilestdoncncessaire demettre enplaceunepolitiquede contrledaccsdemanireempcherlesaccsnon autorissauxsystmesdexploitation. Uneprocdureformelledecration(etdesuppression)descomptesinformatique des utilisateursdestine accorderetsupprimerlaccstouslessystmesetservicesdinformation doittredfinie.Aprscrationdescomptes,ilestncessairedegrercorrectementlattributionet lutilisationdes privilges. L'accsauxressourcesinformatiquesnedoitdonctrepossiblequ'aprsidentification et authentification desutilisateurs,etdoittreadaptauxdroitsetauxprofilsdesutilisateurs (chercheurs,administration,enseignement,etc). L'ASRattribueunidentifiant etunmotdepasseuniqueschaqueutilisateur,etmetenplace lesystmedauthentificationadquat,pourvrifierlidentitdclareparlutilisateurlorsdes entresensession. Lesutilisateursdoiventpouvoirchangerleurmotdepasseparun processusformelcontrlde manireempcher l'utilisationdemotsdepassestropfaibles(motsnefigurantpasdansun dictionnaire,etdifficilesretrouver laidedeprogrammes). Ilestimportantdefaireadhrer lesutilisateurscesmesuresquipeuventparatre contraignantes,maisquifigurentparmilesmesuresdebasepermettantd'assurerlascuritde l'accsauS.Idesentits. Danscertainscontextes(sallesd'enseignements, ouapplications inactivesdevraienttredconnectesaprsunepriodedinactivitdfinie. sensibles...)lessessions

9.5.4.h-Gestionde Parcetdes moyensnomades-Cybersurveillance L'administrationdespostesdetravaildenosunitsestnormalement placesousla responsabilitdel'ASR.Selonlarglementationenvigueuractuellement, iladonctoutelatitude pourmettreenplacedesoutilsdegestionetdesurveillanceduparcinformatique.Ainsi,une Page35/80

12/12/09

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

vrification duniveaudescuritdespostesnomades(prsence d'unantivirusjourparexemple) doittremiseenplaceavantl'accsaurseaulocal.Lespostesdetravailetmoyensnomades doiventparailleurstreprotgspardesmots depasserobustes. EncasdetlmaintenancesurunPCavec desoutilsdepriseenmaindistancetelqueVNC, lesASRdoiventavertirlepropritairedu posteetrespecterlalgislation. 9.5.4.i-Mesurede l'utilisationdes ressources:outilsde mtrologie Lutilisationdesressourcessystmesoudurseaudoittresurveilleetajusteauplusprs. LascuritduS.Iimplique unesurveillancedel'utilisationdurseauetdesserveurstouten respectantlarglementationenvigueur(cfbonnespratiquesliesauxaspectsjuridiques10).Cela consistenotammentrespecterleprincipedeproportionnalit quiestd'adapterlesmoyensde surveillance auxenjeuxdescurit,etd'avoirpourprinciped'informerlesutilisateursetles partenaires surlesmoyensdesurveillancemisenplace.Danslerespectdececadrel'ASRatoute latitudepourmettreenplacediversoutilsdemtrologie rseauetdejournalisationdesaccsaux serveurs.

12/12/09

Page36/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

10-Bonnespratiquesliesaux aspects juridiquesdumtierd'ASRrespectde la rglementationen vigueur


LetravaildesASRestdsormaisenpriseavecdenombreusesobligationsetresponsabilits denaturejuridique. Dans lecadrede laprotectionduS.I, laresponsabilitadministrativeetpnalede lahirarchie etdesASRpeuttrerecherche.Ilconviendradoncdeconnatrelesprincipauxrglementsen matiredecyberprotection(LCEN,informatique etlibert)relatifslaprotectiondelaproprit intellectuelle, desdonnesrelevantdelavieprive(fichiernominatifs),et desuivreattentivement l'volutiondesjurisprudences. Quellessontlesbonnespratiquesdanslecontextedesresponsabilits juridiques?Les jurisprudences appliques cesderniresannesontpermisdedessinerunensemblede comportementsetdebonnespratiques,permettantl'ASRd'avoir une attitudeplusclairedansun contextede fautepotentielledans leS.I. Unerglefondamentalequiapparatdanslemtierd'ASRdepuislaLCEN,estletriptyque information-contrle action.Dansun contextedefaute,un magistratjugerasi on a: informlesutilisateurs,sionacontrllesressourcesmisesdfaut,etsionaagidans desdlaisacceptablespour rparerunefauteou un problme.

10.1-Informer,contrler,agir
10.1.1-Informer,Conseiller Lesadministrateurssonttenusuneobligationdeconseilrenforcauprsdesutilisateurs d'unsystmed'information(leconseilrenforcs'applique3domaines:nuclaire,chimie risquedetypeSEVESO etinformatique).LesASRpeuventetdoiventdoncmettredesalertes (surdesrisquesconnus)oudesmisesengarde(surdesrisquespossibles)...Lamiseengarde permetdesignalerqu'ilestpossiblequ'unproblmeintervienne.L'alertepermetd'informerd'un problmebiendfinietconnu(etnonhypothtique). Laprsencedecertainsmot-cls(alerte, conseil,miseengarde)dansunrapport ouunmailpeutavoirunpoidsutileencasdecontentieux ultrieur. Il faut informerlesresponsables lgaux, lesautoritscomptentesainsiquelesutilisateurspar lardactionderapportsrguliers,ainsiquesurtoutesituationparticulirepouvantmettreencause la scuritdu S.I.(Cf. Documentation). Ilestncessaire d'informerlesutilisateursdelanaturedestracesquisontjournalises et archivessurnossystmes,ainsiquedeleurduredertentionparl'affichage surunsitewebpar exemple. 10.1.2-Prouverqu'onascuris C'estunebonnechosedemettreenuvreunensembledetechniquesassurantlascurit informatique,maisencorefaut-ilpouvoirleprouver.Or,dansnosmilieuxuniversitaires etde rechercheilyaunefaibleculturedel'critadministratif.Onnetracepasbeaucoupparcritles actionsquiontt entreprises.Il fautdoncpournousASR,pourprouvernosactions,montrerqu'on a informetagi.

12/12/09

Page37/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Parconsquent,ilconvientdetraceretdocumenter nosactionsdediversesmanires.On retrouve llancessitissuedesprocessusdegestiondesinterventionsetdegestiondes changementscitsdans lapremirepartiedecedocument. Ilfautavoirlesmoyensdedonnerdes preuvesdel'informationetdelacommunicationqu'on a fourni.Celapeutprendrediffrentesformescommeparexemple,faireun rapportannueld'activits, ou tenirlardactiond' unerubriqueinformationsnotammentsur lascuritsur lesiteWebdu laboratoire. Unerubriquescuritsur un sitewebpeutpermettrede retranscrirergulirementles actions d'informationetdecontrlesengages. Lesutilisateursdel'unitdoiventbiensr tre informsdel'existencedecetterubriqueetdesa mise jour(Cf. Documentation). Ilestprfrabledegarderdespreuveslectroniques etaubesoincritesdediffusionde l'information.Cesinformationsserontdoncfaitesparcrit(mail,article web,notesdeservice..), et pourrontcomportercertainsmots-clscommeCONSEIL,MISEEN GARDE,ALERTE. Cesinformationspeuventporterparexemplesurcertainsbulletinsd'alerteduCERT ou CERTAquiconcernentl'unit,lesmigrationsprvuesoulesinterruptionsdeservicescritiques,ou encoredescoupures durseauavecl'extrieur.Onpeutymettre galementdesstatistiquesdevirus/ spams,dbitsrseau,infectionsPC, un biland'activitannueldu service,etc. 10.1.3-Contrlerl'activitdes systmesetdu rseau Lecontrleviselamiseenplaced'outilsdesurveillance loyaletproportionndes servicesofferts. pourvrifierlebonfonctionnement

DepuislaLCEN,ledroitdesASRtracerlesactivitsdesservicesetleurutilisationdansle S.Iesttotaletcomplet:diagnostic,analyse,contrle,maintenanceprventive,identificationdes comportementsillicites. Lesbonnespratiquesconsisterontparexempledtecterlesfonctionnementsanormauxparla miseenplaced'outilspour :

centraliseretparamtrerlaconservationdesjournauxsystmes surladure maximalelgale pour lesservicesdemands, obtenir des statistiques sur l'utilisation des services, le dbit, les sites consults, la consultationdu sitedu laboratoire,laplaceoccupesur lesdisques,, avoirdesremontesd'informationencasdeproblmeavecdessondesd'unsystmede monitoring(Nagios,cacti,Zabbix,etc)parexemple, contrlerle contenudu site web. Dans lamajoritdes cas,les laboratoiresditentet hbergent eux-mmes leur site web. L'hbergeur n'a pas d'obligation gnrale de surveillance,mais il a une obligation spciale de surveillance(point de la ngligence fautive).Les ASRsonteneffettenusausecretprofessionnel,maisontl'obligationde dnoncer desactesdlictueuxcommelescontenusillicitesetnotamment lapdopornographieouladiffamation.Entantquedirecteurdelapublication, ledirecteurdu laboratoireauneplusgranderesponsabilitpuisqu'il enapprouvelecontenu.

L'ASResttenu,commetoutagentdel'tat,dednoncer lescontenusillicitesdontilconstate laprsence (ceuxquifontl'objetdecrimesoudedlits).Ilnefautcependant paseffectuerde destructiondepreuve.Ilseraconseilldefaireune copied'huissierdesfichiersincrimins(sur unsupport commeuneCD-ROM,etc)etdelesplacerenlieusrpourlecasouneenqute ultrieureserait mene.

12/12/09

Page38/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Une attention particulire sera observer pour tout ce qui touche aux informations personnelles(contextede laviepriversiduellesurlelieu de travail),tantentermedediffusiondu contenuquedediffusiond'information concernantun contenususpect. Ilestrappelerquelaremisededocuments oud'informationstouchant auxdonnes personnelles nepeuventtreremisesqu'unofficierdepolicejudiciairedmenthabilit(encasde doute,nepashsitercontacterleHFDdirectementou vialachaneorganique). 10.1.4-Agir Encasdecriseoud'urgence,l'ASRadoncledroitd'agiretragirrapidement pourassurerla continuitdu serviceetdisposedu droitde refuserdesdemandesquimettraientleS.I. endanger. Encontrepartie,ilesttenud'assurerlascuritsystmedusite(passerlescorrectifsde scuritlogiciels).Siun correctifdescuritn'apas tpass,etqu'il yaeuun incidentgrave,pour nepastreresponsable,il faudraprouverparexemplequ'iltaitenvacances,etqu'il n'yavaitpasde redondancehumaineprvue. Pourmaintenir lacontinuitdesservicescommuns,pourscuriser(excuter lespatchs,...),en casd'urgenceou decrise,lesprincipesgnrauxetfondamentauxdu mtierd'ASRretenirsont:

amliorerlapolitiquedel'critdansnosunits, mettreenplaceletriptyqueInformation/Contrle/Action, amliorerlatraabilit.

10.2-Noticelgale de siteweb
Laloipourlaconfiance danslconomienumriquedu21juin2004prvoitqueles personnesdontlactivitestdditerunservicedecommunicationaupublicenlignemettentdes informationsdispositiondu public:

nom, prnoms,domicileetnumrodetlphone,s'ils'agitde personnesphysiques, dnomination,raisonsocialeetsigesocial,numrodetlphone,s'ils'agitdepersonnes morales, nomdu directeurou du codirecteurdelapublicationet, lecaschant,celuidu responsable delardaction, nom, ladnominationou laraisonsocialeetl'adresseetlenumrode tlphonede lhbergeur. indispensablesurlessitesWebsdenosunits.Celle-ci

Unenoticelgaleestdoncdsormais doitindiquer:

l'exploitantdu site: c'estuneentit,gnralementlelaboratoirelui-mme, l'hbergeur:c'estl'entitquialecontrlelogiquesurleserveur:c'estsoitlelaboratoires'il alecontrletotalsurleserveur,soitl'entitquigreceserveur(surlequellelaboratoirea pointd'accspour mettrejourson siteweb), leDirecteurdelaPublication:c'estunepersonnephysique,gnralementleDirecteurdu laboratoire(ou ledirecteurGnraldu CNRS). un

12/12/09

Page39/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Danscecontexte, ilestbondeprciserquel'ASRapourmissiond'assurerl'administration systmedesserveurs,maisnedoitpastrel'diteurouleresponsableditorial dusiteWebde l'tablissement. Sil'ASRestinformd'uncontenuillicite,ildoiteninformersondirecteurparcritet prendreunedcisionrapidepoursauvegarder lespreuvespuisensuiteretirercecontenu.LaLoidit delesupprimerimmdiatement.Dans lesjurisprudences,ledlaiestgnralementde48h.

10.3-Notionde charteinformatique
Lacharte debonne utilisationdesservicesinformatiquesetdel'internet estundocument indiquantquelssontlesdroits etdevoirsdesutilisateurs.Elledoittrelargementdiffuseetporte laconnaissance detouslespersonnelsdel'entit.Unecharteaccepte(qu'ellesoitsigne indpendammentouannexeaurglementintrieur)estunlmentdedroit. Elleestassimileun contratetdoitdonctrecomprise pourtrevalide(nepasfairesignerlachartefranaiseun tudianttrangerquinelacomprendrait pas).Ellecomplteundispositifquipeuttreconstitude normes,deplandecontinuitd'activit,d'audit, ou d'actions desensibilisation.

12/12/09

Page40/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

CONTEXTESPERSONNELET RELATIONNELDESASR
Cettepartietraitedespratiques quepeutsuivrel'ASRentantqu'individudanssoncontextepour mieux organiser son travail, mieux communiquer au sein de son entit et amliorer ses comptences.Onytrouveradoncdesmthodesde gestion dutemps,desprincipespour amliorerla communication entrel'ASRetsonenvironnement(directeur,utilisateurs,..)etdesoutilspour perfectionnerses comptencesparlebiaisdediffrentstypesde formation.

12/12/09

Page41/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

11- Lagestiondutemps
Lancessit degrersontempsn'estpasprimordiale tantquenouspouvonsfaireface l'ensembledenostchesnaturellementdansuntempsraisonnable.Sinousavonsl'impression quenotrechargedetravailnecessedes'alourdiretquenotremthodenaturelled'organisation fonctionnemoins bienalors,unerflexions'impose. Noussommes,eneffet,soumisadessollicitationsplusoumoinsimprvisibles. Notretravail estsouventassujettiunflotcontinuderequtesdiversesprovenantdesutilisateursquirentrent en concurrenceaveclestchesincontournables d'administrationdesinfrastructures.Ilfautdonc s'organiseraumieuxpourrpondrecettesituationetsavoirgrersontempsestundesmoyens pour yparvenir. Outrecesdemandesetcesincidentsdansl'exploitationduparcinformatique, nousavons besoin de maintenir nos connaissances concernant la veille technologique. Cela demande de rserverdutempspourtester,valuerlesnouveauxproduits,connatre denouvellestechnologies, etc. Enfin,appliquer unemthode degestiondutempsapporteuneaidelorsdelardactiondes rapportsd'activits.Eneffet,onpeutserfrerauxlistesdeprojets,d'actionslmentaires, l'agenda, l'chanciertenusjouraucours del'annepasse. Notreobjectifestdedonnerquelquespistesconcrtespour amliorerlagestion lemtierd'ASR,principalement,partirdetroissourcesd'informationsquisont:

dutempsdans

lamthodeGettingThingDone,deDavidAllen, plusconnuesousl'acronymeGTD[GTD], le livredeThomasLimoncelliAdmin'sys,grerson temps[AdminSys]. le livredeFranoisDelivrQuestiondetemps[QuestionTemps]

11.1-Lesgrandsprincipesde lagestiondutemps
Lamajeure partiedustressnatd'unemauvaise gestiondesengagements prisouaccepts. En effet,sionprendletempsderflchir surlestchesraliseslorsdesderniressemainespar exemple,onserendcompte dutrsgrandnombred'engagements internespris:celavadesgrandes ambitions (projetd'UniversitNumriqueenRgionsoularestructurationduserviceinformatique), jusqu'desintentions plusmodestes(desmigrations deservices, miseenplacedenouveaux serveurs)ouencorebanales(remplacerlebloc-notesourechargerleportable).Prendreconscience decesdiverstypedetchesestun pascertainvers une meilleuregestion deson temps. Unautrepointimportantgalement estdepouvoirdfinirquelniveauderflexionoude "profondeur"sesitueunprojetouunetche.Parexemple,unprojetresteflououuneaffaireen suspenss'il n'a pasd'objectifsclairs(que veut-onvraimentobtenir?)etsi aucuneactionconcrten'a tdfinie.Cen'estpasquelquechosedengatifensoi. Aucontraire,celacorrespondantautout dbutduprojet,aumomentoul'idemergetoutsimplement.Cecidit,unprojetflouesttrs difficile planifierpuisqu'aucundroulementn'estdfini. C'est unpointcapitald'autantplusques'il nousproccupeexcessivement,c'estque soitonn'apaslesmoyenspourlergleroubienonn'apas desolutions. Laplupartdesconflitsdepriorituninstantdonnentreplusieurstchespeuventtre rsolusparunebonneharmonisationentrelestchesncessaires(ilfautque)etcellesqu'on aimebien(j'aienviede) [QuestionTemps].Si nostchesdutypeil fautquesonttropprpondrantes

12/12/09

Page42/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

parrapportcellesdutypej'aienviede,celasetraduiraparunedmotivationdel'ASR.C'est dansnotrej'ai enviedequesesituelaplusgrandenergie,laplusgrandedterminationagir. Enfin,nosdifficultspourgrernotretempsviennent aussidufaitd'trevictimedesrusesde notrementaldontnousn'avonspasncessairementconsciencetelsquetresystmatiquementtent desousestimerledlaid'une tche,se disperser,lapeurdesresponsabilits,l'hsitationperptuelle. FranoisDelivrlesappellentlesdiablotinsdans sonlivre. Il enrecenseunedizaine.Enprendre conscience,laussipeutnousaideramliorerlagestiondenotretemps[ResumeQuestionTemps].

11.2-Leschmadufluxde travailoulatechniquedu cycle


LamthodeGTDproposeunschmadufluxdetravail [rsumGTD] pourapprendregrerson temps.L'ideestde librersoncerveaulepluspossibledesdiversestches effectuer.Sil'espritest encombrd'unemultitudededtails,ilnepourrapastreefficace.Pourseconcentreretviter d'oublier,lemieuxestdecoucher surlepapieroudesaisirauclaviertoutcequinousproccupeet decentraliserletoutdans uneboited'entre. Ensuitepourchaque lment stockdanscetteboite,soitils'agitd'uneinformationstocker dans lesdocumentsderfrence,jeterou noterdansunelisteAfaireun jour/peut-tre,soitil s'agitd'un lmentquidemandeuneaction. C'estceniveauquesesituelecurdelamthode:quelleactionfaut-ilentreprendre?Pour certainslments,l'actionestvidente etfacileraliser(envoid'unmailpourposerunequestion biendfinie,oupourinformer).Pourd'autres,lerflexe estdedcouper enplusieursactions lmentairesappelesPCAF(PremireChoseAFaire ).SilaPCAF enquestionnedemandeque quelquesminutes,alorslemieuxestdel'excutersurlechamp.Sinon,onsedemande sionestla personne lamieuxplace pourl'excuter.Selonlarponse,ondlgueouonlareporte danssaliste dePCAF,enbref: onexcute,ondlgueouonconsigne. Enrsum,ilestprconisdemaintenirauminimumunelistedeprojets,unelistedePCAF etunagenda. D'autrescatgoriessontaussiutilesetexpliquesendtail.Lespointeurssontdonns dans ledocumentFichesdeRfrencedu guide. Auninstantdonndelajourne,onestsoitdanslaralisationdetchesprdfinies(listede PCAF),soitongrelesimprvus,soitondfinitsontravail(onestdansceschmadufluxde travail). Prenonsquelques minutesaudbutpours'observer:n'est-onpastropsouventdansles imprvusaudtrimentdesautrestches? Unefoiscetteorganisationtablie etbienintgre,ildevientnaturelderevenirrgulirement sursonplanningenparticulier pourraliserunbilan,effacerlestchesralisesetenajouterde nouvelles.L'idaltantlevendrediaprs-midipourlibrersonespritpourleweek-endparcele travailralisdansla semaineestencorebienl'esprit.ThomasLimoncelliproposelatechniquedu Cycle,similaire lamthodeGTD:ils'agitdeconsacrerdixquinzeminuteschaquematinpour mettreenplacesonemploidutempsdelajourne,ordonner selonlesprioritsetlestemps d'excution,suivreleprogramme,conclureetrecommencerlelendemain. Ilestprfrabledecommenceravecuneorganisationminimale(avecunpapieretuncrayon) laquelleonadhrecompltementcaronestconvaincuquec'estncessaireetonl'amliorepetit petitpour soietpour leserviceinformatique. Voiciquelquesexemplesdediffrentstypes d'informations traiterdans saboited'entre:

12/12/09

Page43/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

l'information disquenxxdelabaiescsiesttombenpannele../../..Remplacle../../.. aprsappelaufournisseur,sousgarantie...eststockerdanslafiched'exploitationdu matriel. remplacerlecontrleurdedomaineSambaestun projetnoterdans lalistedesprojets. seremmorerl'actuelleconfigurationduserveursambad'aprslafiched'exploitationou lesfichesd'interventionestunePCAFdemmequelirelesnouveautsentreles2 versionsetrflchirleurimpactparrapportauparamtrage duserviceeffectifdansmon laboratoire.

11.3-Lagestiondes projetsetdes priorits


IlestfrquentchezlesASRd'tredbordsparlesdemandesquotidiennes,gnralement courtesetfrquentesoccasionnantlereportdegrandsprojetsinitialementprvus(etquideviennent deplusenplusurgentsaufuretmesuredutempsquipasse).Pourquoi ?Unedesraisonsestque cesprojetssontsouventlongs etcomplexesetqu'il estdifficiledesavoirparou commencer.

ThomasLimoncellicommeDavidAllenproposeledcoupageensous-projetsplussimpleset courts.Lamthode GTDestplusconcrte danslesensouelleprconisededfinirunepremire action(appelePCAF)concrteetd'unedureassezcourte. Pourdfinirunmomentdonnl'actioneffectuer, plusieursmodles sontproposs.Le premiermodlereposesurquatrecritres:lecontexte,ladisponibilit,leniveaud'nergieetla priorit.Cederniercritrefaitappelsonjugementdumomentcommeparexemplelefacteur d'impactdel'action.Eneffet,connatrelesattentesdesutilisateursetfairepasserunprojetriche enconsquences(pourlelaboratoire, pourl'imagedemarque...)avantlesprojetsfacilesmaisaux consquencesetretombesmoindresou inutiles estun critreimportant. Leclassementsuivanten4catgories,deAD,peutservirattribuerunepriorit.On privilgieravidemmentlacatgorieA: A:une actionfacile(effort faible)avecun impactimportantetpositif B:uneactiondifficile(groseffort)avecun impactimportantetpositif C:une actionfacileavecun impactsuperficiel D:une actiondifficileetun impactsuperficiel Un exemplepeuttrelademandedemiseenplaced'un sitewebpour uneconfrence organisedanssonlaboratoire. Mmesicettedemandeestladernire dansl'ordrechronologique, ellepeuttreclasseprioritairegrceunimpactpositifetimmdiat visvisdesutilisateursetde l'extrieur. Le secondmodlereposesurlanotiond'chelle, unefaondeprendre durecul.Ils'agitde passerd'untatoonestauplusprsdesactionsencoursceluiquipermetd'obtenirunevue d'ensemblecorrespondantsonplandevie[GTD] .Celapermetd'excuteruneactiondesonplande viequinefaitpaspartiedesactionsquotidiennes.Parexemple,prenonslecasd'unASRqui souhaiteapprofondirsesconnaissances surlesystmeLinux,qu'ilconnaittrspeutantplutt comptent surlesystme Windows.Cesouhaitfaitpartiedesonplandevie(mutation,).Siune formationsurLinuxseprsente,ilchoisirad'yparticiper mmesic'estpendantunepriodeode nombreusestchessur leparcdes machinesWindowsl'attendent.

12/12/09

Page44/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

11.4-Mieuxgrerles interruptions
Undesgrandsproblmes dansnotretravaild'ASRestlegrandnombred'interruptions auxquellesnoussommesconfrontscontinuellementetquinousfontabandonnerdestchesen cours pour lesreprendreplus tard. Cesinterruptionsincessantesnousfontsouventperdrelefildu travailencours. Danslagestiondutemps,l'ASRestgalement parfoissonpropreennemientanttentde rpondreaufluxincessant decourrielsqu'ilreoitetenmaintenanttropdetchesencours(tropde fentres l'cran,...). Ils'agitalorsde mieux ragir auxinterruptionsfrquentesdenotremtier(urgences,multiples demandes desutilisateurs,courriel..),etdoncd'organiseraumieuxsontempsetsalistedetches avecdes mthodesappropriesparmilesquelles:

avoirunenvironnementrangfavorisantlaconcentration,etdiminuantles distractions (rangerl'cran,pas tropdefentresouvertesetd'actionssimultanesen mmetemps) connatresonrythmebiologiqueetsavoirquelleheureonestplusdispospourdes activitsncessitantdelaconcentration mettre en place un bouclier anti-interruptions, avec un systme de plages horaires spcifiquement rservesauxdemandesdesutilisateurs.Endehorsdecelles-ci,l'ASRpeut alors s'isoler,quitterson bureauetavancersur ses projetsplus sereinement. faceauxmultiplesdemandesdesutilisateurs,revenirauschmadufluxdetravailcitdans lamthodeGTD:dterminerlapremireactionfaire(PCAF),l'excuter,ladlguer laconsignerpuisrecommencer. ou

11.5-Mettreen placedes routinesetdes automatismes


Cesactionsrgulires quel'ons'imposepermettent demieuxstructurer sesactivitsetgrer son temps.On peutciterparexemple:

planifiersystmatiquementdesrencontresdanssonservicepourfairelepointsurl'tat d'avancementdeprojets(tousleslundis,leplanninghebdomadaire duserviceinformatique, touslespremierslundisdechaquemois,lesrunionsavecdescollgues,etc).Onpeut largircettehabitude deprogrammerdesrunionsavecsonsuprieur,voirelesutilisateurs (voirleparagraphesuivantsur lacommunication) mettreenplacedesscriptspourautomatiserlessauvegardes,lesvrificationssurlaplace disponibledes serveurs,des servicesenarrt,etc. automatiser l'envoi de mails pour se rappeler les tches rcurrentes mais manuelles : compacterunebasededonnes,diterlelistingmensueldesmachinesinfectes,etc. sedplacersystmatiquementavecsonorganiseur,sonstylo,sescls,sescartesd'accsest aussiunebonnehabitude.

11.6-Conclusion
L'idequinousincitepenserqu'appliquerunemthodedegestiondetempsapporteun supplmentaire sans rel bnfice est trs rpandue. Cela signifie que la phase Page45/80 travail

12/12/09

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

motivation/intentionn'apasttraiteenprofondeur.Enfait,appliquerunetellemthode(qui revientplanifierunprojet)nediminue paslenombredetchesquenousavons:cen'estpasune recettemiracle! Aucontraire,ellemetenrelief,parfoisdefaondouloureuse,les dysfonctionnementsqu'ilsproviennentdenousounon,etvainciterdfinirbienclairementles priorits. Pourmaintenirlecap,ondoitprendrel'habitudedelibrersonesprit,dedterminerles actionsncessaireset lesrsultatsvoulusaussittqu'unesituationseprsente,revoiretmettrejour l'inventaire completdesaffairesensuspens.Nesoyonspastonnssiceshabitudesnedeviennent pasautomatiquesdu jourau lendemain.Soyonspatientsetapprivoisons-lesendouceur!

12/12/09

Page46/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

12- Lacommunicationde l'ASRavecses partenaires


Nousabordonsicilesrelationsaveccequi,dansITILoulanormeISO20000,estclasssous letermede"client".Eneffet,dansunlaboratoirederecherche, lesASRdoivent biensrrendredes comptesetsatisfairedesbesoinsdediffrentesnaturesetniveaux.Ilyauradoncplusieursformes decommunicationsadapteschaquecatgoriedeclientoudebesoin(formescrites,orales, contractuelles,dialogues,coutes,etc). Outrelesqualitstechniquesrequises,l'ASR(oudumoinsleservice galementunefonctiondecommunication:

informatique)

porte

ilaundevoird'informer,deformeretde sensibiliser laDirectionetlesutilisateurs pourtout cequiconcerne l'utilisationdusystmeinformatique, sonvolution,seschangementsetsa scurit. ilagalementuneobligationdeconseil,derecommandation,d'alerteetdemiseengarde pourtouteslespratiquesouvnements quipourraientmettre encauselascuritoule fonctionnementnormaldu S.I. enfinilaunrledanslarelationauquotidienaveclesutilisateurs,traverslapriseen comptedesmultiplesdemandesd'assistancedeleurpart.

D'unemanire plusgnrale,undesrlesdel'ASR,estsouventdereformulerentermesde "solutions techniques" ce qu'expriment les utilisateurs (les clients) en termes de besoins fonctionnels ouscientifiquesafindelesconcrtiserpardesvolutions,desinvestissementsoudes modesdefonctionnement. Lacommunication(dont l'coute)estdoncun lmentfondamentaldans nosrelationsavecles utilisateurs/clients, quivaviserd'unepart,comprendreetprendreencomptelesbesoinset problmes desutilisateurs del'unitetd'autrepartconseillerlaDirectiondanssonrlede responsabledelascuritdu S.I. Enfinunebonnecommunicationpermetd'assurerlabonne lisibilitdes missionsdu serviceauseindel'entit. Il s'agira donc de mettre en uvre les bonnes pratiques, les bonnes structures organisationnellespourassurercesmissionsdecommunicationrcurrentesl'intrieurdel'unit commevers l'extrieur.

12.1-Lacommunicationrelevantde lapolitique gnraleinformatiquede l'unit


Onestldanslecadredusuivid'unschmadirecteurquivafixerlesgrandeslignesdes activitsinformatiquesaucoursdel'anne,lesprioritstraiter,lesinvestissementsraliseret l'attributiond'un budgetdefonctionnement. Ce type de communication permet de dfinir et d'amliorer la lisibilit du service Informatiqueauseindulaboratoire,etpermetd'afficherlesmissionsduservice,sonorganisation, ses moyens,lesprioritssuivre,ses actions etralisations,etc.

12/12/09

Page47/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

12.1.1-Lacommunicationsurles activitduService Informatique


LaDirectionestl'lmentprimordialdanslemanagement delascuritdel'informationdu laboratoire. L'ASR est son conseiller principal. Le Directeur d'unit s'entoure parfois d'une commissiond'utilisateursaveclaquelleilvavaliderleschoixtechniquesetbudgtairesque l'ASRluisoumet.Voiciquelquespistespossiblesadapterchaquecontexte. 12.1.1.a-Commissioninformatique d'uneunit Unecommissioninformatiqued'utilisateursregroupantlesprincipalesfonctionsdel'entit (chercheurs,enseignants,administratifs..)estuneinstancequipeutseprterparfaitement l'tablissementetlavalidationd'unepolitiquegnraled'unserviceinformatique d'uneunit.Ce typed'instanceaplusieursavantages,parmilesquels:

deprsenteretvaliderlecompterendu d'activitsannueltabliparle serviceinformatique auprsdesreprsentantsdel'unit, d'examineretvaliderlebudgetdemandparleserviceinformatique, dedfinirlesprioritsdes investissementsinformatiquesquel'ASRpropose, dedfinirlesbesoinsencontinuitdeservices(duresacceptablesdepertedeservicesou duresacceptablesdeservicedgrad), dedfinircequiestcritiquedans lefonctionnementdu laboratoireafind'orienter,tabliret justifierauxyeuxdechacunlesprioritsd'interventiondesASR, d'avoirun retoursur laqualitdeservicedu serviceinformatiqueet sur l'indicede satisfactiondesutilisateurs.

Lestatutdecettecommissionest dfinirclairementds sa constitution.Les actions misesen uvreparl'ASRsontavanttoutprisesenaccordavec sadirection.Lesavisdecettecommission peuventtreconsultsetprisencompteautantquepossibledanscecontexte. 12.1.1.b-Livretd'accueilinformatiquedel'unit Lardactiond'unlivret/guide d'accueildcrivantlesservicesofferts,etlesprocdurespoury accderpour lesnouveauxentrantsconcourent une bonnelisibilitdesservicesmis enplacepar le serviceinformatique.Ilpermetgalementdesereposersurundocumentquiassureradegagner beaucoupdetempsenn'ayantpasrpterlesmmeschoseschaquepersonne,toutenaffichant ungrandprofessionnalisme. Celivretd'accueilpeutbienentendutredisponible soussaforme lectroniquesur lesitewebde l'unit. Onpeutparexemple indiquerdanscelivretd'accueillesprincipauxservicesoffertsainsique modalitsetprocdurespour yavoiraccs:

les

l'architectureenplace,ses fonctionsetses limites, lesdemandesd'assistanceinformatique, l'accsetl'usagedelamessagerie,laconfigurationdesonlogicieldemessagerieavecles adresses des serveurs enfonction, lechangementdeson mot depasse, l'changedefichiersvolumineuxavecun correspondantextrieur,

12/12/09

Page48/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

l'espacedestockageenrseau,commentyaccder,lesquotasdisques disponiblespar individu, l'accsauservicederseausans fil, Eduroam, lapolitiquedesauvegardesdesdonnes, l'accsaux moyensdecalculdisponiblesdans l'unit, la sallelibreaccs,quelssontleslogicielsdisponibleset leshoraires d'ouverture, leserviceVPNpouraccderdemanirescurisesesdonnesdepuisl'extrieurdu laboratoire, etc.

12.1.1.c-Compterendu d'activits Lecompterendu d'activitsduserviceinformatiqueestundocumentdecommunication.C'est l'lment quiaffiche,archive ettmoignedesgrandestchesralisesparleservicetoutaulongde l'annedevantlesutilisateurset laDirection.Ilestaussiimportantquecesactivitsfassent partiedu rapport rdiglors desrapportsd'valuationdesautoritsdetutelle. Pour exemple,on pourraymettre:

unesynthsedunombreetdeladiversitdestchesd'assistancesralisesauprsdes utilisateurs,etquionttinventoriesparleprocessusdegestiondesinterventions.Cela peutparexemplesetraduireeffectivementdansnosunitsparunsystmedesuivides demandes(HelpDesk). lesextensionsou modificationsdu rseau,du cblage,du dploiementdewifi, leschangementsetvolutionsdans lessystmes d'exploitation, lesinstallationsdenouveauxservices, l'tatdeslieuxdes serveursetdes systmesde stockage:quantitatifs(nombres demachines, PC,portables,augmentation parrapport l'andernier etnombredeservices) etqualitatifs (libelldesservicesimplments), lesproblmesdescuritquionteulieuetcommentyremdier, lesformationseffectues, lestudesetprojetsencours etfinaliss, etc.

Endfinitive,ilpermetdersumeretdeprsenteraugrandjourl'ensembledesactivitsetdes tchesralisesamliorant,dece faitlacommunicationetla lisibilitdu serviceinformatique.

12.2-Lacommunicationavecles utilisateurs
Outrelapolitiquegnraledfinissantlesmissionsetorientationsgnralesduservice,les ASRsontaucontactpermanentetquotidienaveclaquasitotalitdespersonnelsd'uneuniten traitantleursdemandesd'assistanceetlesdiversesrsolutionsd'incident. Sansuneorganisationrigoureuseetadaptequipermetd'taleretplanifierlesinterventions, onestassurd'unepertedetemps,d'unstressquotidien,etdusentiment d'tredborden permanence.

12/12/09

Page49/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Quellessontlesbonnespratiquesdanscedomaine?Ils'agitdefaireconnatreauxutilisateurs moyensetlesprocduresmisenplacepour satisfaireleursdemandes,commeparexemple: un SystmedeSuivi deDemande, unsiteWeb intranetpropreau serviceinformatique.

les

Ilestncessairede bienexpliquerquellessontlesprocdures(o,quietcomment)suivreen cas de problme et vrifier rgulirement la qualit de la communication (commission d'utilisateurs),commeparexemple unmoded'emploiclairpourtrouverlabonnedocumentationen lignesurlesiteWeb.Onprivilgieralesoutilsetprocduresdecommunication gnrauxqui serviront formerleplusgrandnombre(1versn),pluttquedes'adressernfoisuneseule personne(1vers1).Lacommunication aveclesutilisateurspourraseffectueraumoyende formationsinternes etparlamisedispositiondinformationsaumoyendusystme documentaire misenplace.

12.2.1-Relation1vers1
C'estdanscetypedecommunication qu'ilfautveillerinsistersurl'coutepourdtecter besoinssous-jacentsetlesreformuleren termesoprationnels. les

Ilestncessaire pourl'ASRdeprendreencomptetouteslesdemandes d'interventiondes utilisateursetd'accuserrceptiondeleursdemandesenleuraccordant del'attentionncessaire.On viteraune nonpriseencomptedelademandeouune ractionsilencieuse,etonprivilgiera lesdemandesdesutilisateursquiaurontsuivilesconsigneset procduresmisesenplaceparle serviceinformatiqueetaurontinscritleurdemandesur l'outildesuividedemandes.Autantquefaire sepeut,onvitera levocabulairedumtierafind'trecomprisparunutilisateurperduquiadumal exprimersademande. Acet effetl'ASRa lechoix entrenotifier,enregistrerlademandedansle HelpDesk[GPLI][RT] Esup-Portail] pouruntraitementultrieur,ouaiguillerlesutilisateursversleboninterlocuteur.Dansles deuxcas lapriseenchargedelademandeestun gagedeprofessionnalismeetdequalitdeservice. CetarchivagedesdemandesdesutilisateursdansunHelpDesk[HelpDesk] permetl'ASRde se donnerlapossibilitdeplanifieretordonnancer sonexcution,pluttqued'treballottparles interruptionsincessantes.UnHelpDeskpermetgalementdedlguerunerequted'autres ASR.L'utilisateur voitparquisademandeestpriseencompteetpeutsuivrel'tatd'avancementde saralisation.

12.2.2-Relation1versn
Ladiffusiondinformationssurlesvnementsencours,parexemplepartird'unsite Webspcifiquedu serviceinformatiquepourrapermettred'informerlesutilisateurssur :

lesprojetsencours :un servicewifiquiserainstall telledate,... lesvolutionsprvuesouencourssurteloutelsystme:changementduserveurweb, prvutelledate,... lesnouveautsquionttinstalles: un agendacollaboratifvatreinstall,... leschangementsdeconfigurationdecertainsservices:enraisondenombreuxproblmesde scuritlesconnexionssshseferontdsormais surleport2324,l'organisationdeformations internesregroupantplusieursutilisateurssur,parexemple, l'utilisationdeSPIP ,oule paramtragedethunderbird,... Page50/80

12/12/09

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

12.2.3-Priseen comptede lasatisfactiondes utilisateurs


Lanalysedelasatisfactiondesutilisateursest l'origineduprocessusdamliorationcontinue (RouedeDeming,PDCAquel'onretrouvedansITILetlanormeISO-20000).C'estunetape fondamentale delaqualitdeservicedanslaquelleondoitvrifierlaqualitduservicerenduaux utilisateurs,s'assurerqu'ellerpondbienauxbesoins et lademande,etl'amliorerlecaschant. Dansnosstructures,celapourraitseconcrtiser demanire informelle pardesrencontres planifiesaveclesutilisateurs:mini-sminaires,cafsinformatiques,etc)ouencoredemanire plusofficielleetformellepardescommissionsinformatiquesd'unitsaveclaDirectionetles utilisateurspour faireremonterun niveaudesatisfaction.

12.2.4-Lacommunicationau sein du serviceinformatique


Enfin, outrela communicationdirige vers les utilisateurs( client) de l'unit, il est galementncessairedebiencommuniquerauseinmmeduserviceInformatique.Danscecadre l, lesbonnespratiquesquand l'effectifdu servicelepermet,sont: demettreenplacedesrunionsdeservicergulires.Cesrunionsdontlafrquenceest dterminer(quotidiennes ?,hebdomadaires?...)permettentdepasserenrevuelesactionset lesproblmes encours,desavoir quis'occupedequelprojetpourquellechance,de savoir quellessontlesprioritset lesobjectifs...Ces runionspeuventaussipermettred'laborerun planningquiserviradebouclieranti-interruptionenassignanttelleoutellepersonne tempspleinsuruneactionpendantquelesautresprennent enchargelesdemandeset problmesquotidiensdesutilisateurs. mettreenplaceettenirjourunsystme documentaire(cfchapitre8)permettantd'changer toutelaconnaissanceau sein du serviceen l'absencedesautresmembres.

12.3-Communication,collaborationavecles partenairesextrieurs
Lemilieudelarecherchescientifique estparprincipetrsouvertd'autrespartenaires extrieurs.Ilestncessairedemettreenplaceunecommunicationapproprie auprsdecepublic particulierexternenosunits.Eneffet,d'unepartnosunitssontsouventhbergespardes tutellesdiffrentes,etd'autrepart,ellessontamenes travailleravecdespartenairesindustriels. Nosunitspartagentsouventleurenvironnement techniqueavecd'autrespartenaires,sibien queleslimitesduS.Ipeuventtreflouesoumaldfinies.Ilestdoncncessaire demettreenplace unelargeouvertureetcommunicationaveccespartenairescommeparexemple:

mettreenplaceunecoordinationaveclesautrestutelles.Encasd'incidentsdescurit, notammentilconvientd'informeretdeseconcerteraveclesautrestutelles. intgrerdesgroupesdetravailaveclestutellesquihbergentdesunitsderecherche, notammentpour desprojetscommunsdedploiementsetdescurisationdu S.I. prendreencompteetrespecterlesrglesdescuritdunpartenairelorsdelaconnexion S.I.pardes moyensnomadesdu CNRS. son

Lescircuitsdecommunication del'ASRsontgalement tournsversl'extrieur.Ilcollabore troitementavecdiversesinstancesextrieuresetaveclesautoritscomptentesrelevantdesa

12/12/09

Page51/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

tutelleoudesonenvironnementprofessionnel.Onaurasoind'avoirrgulirement deschangesou desrunionsavecparexemple: laDirectiondu S.I(leDirecteurde l'unit), leCRIde l'universitou du sitehbergeur, lachanefonctionnelledescuritmise enplaceparlaPSSIdel'tablissement, leRSSIlocall'Universit,s'ilexisteou son quivalentleplus"proche", laCNILou touteautreautoritjudiciairequipourraitrequrirl'information, lesrseauxmtierslocaux.

12.3.1Lesrelationsavecles fournisseursetles achats


DenombreuxASR,lorsqu'ilsoccupentdesfonctionsdegestiondeservicesontgalement amensmanipulerl'argentpublicdeleurentit,pour lefonctionnementetpour les investissements duserviceinformatique. Cesinvestissements peuvent,biensouvent,tretrsonreux(systmede sauvegardes,systmedebaiesdedisquesSANouNAS,clusterdecalcul),etles ASRdevront treparticulirementvigilantssurleplantechniqueetbudgtairepouracqurirlesmatrielsaux meilleurscots. Denosjours,l'ASRdoitalorsgalementsouvents'investiretavoirdescomptences dansla rdactionetlapassationdesmarchspublics(CCTP,CCAP,MAPA,PUMA...).Ildoit,parailleurs, avoir des qualits relatiionnelles pour contacter les fournisseurs, obtenir des dmonstrations, ngocierdes prixetsavoirchoisirentredesoffrespartiellementcomparables.

12/12/09

Page52/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

13-Recommandationssur les comptences


13.1-Objectifs
C'estunlieucommunderappelerquel'informatique estundesdomainesol'volutiondes techniquesatunedesplusrapidescesderniresannes.Lestechniques nesontd'ailleurspasles seulesvoluer:lescontextesd'exercice denosmtierschangent.Lesnotionstechniquesdes utilisateursnesontpluslesmmesqu'ilya10ans,leursrapportsl'informatique s'estmodifiet notrecommunicationdoits'yadapter. Dans lecontexted'uneunitde recherche,lemtierd'informaticiencouvredesdomainestrs tendusquiconcernent l'administrationdessystmesetrseaux,l'assistanceauxutilisateursen bureautique, enpassantparfoisparlaprogrammation,lamiseaupointdeprocessusd'acquisition exprimentauxouencorelagestionetdel'optimisation degrappesdecalcul(domainede l'informatiquescientifique). L'ASR,souventisol,doitfairepreuvedecomptences etdesavoir-fairedansungrand nombrededomainessimplementpourrpondreauxdiversesmissionsquiluisontconfies,aux utilisateursetdeparson mtier. Outrel'volutiondestechniques, lesmatrielsetleslogicielsarriventgalement vite obsolescence,enquelquesannestoutauplus.Descomptences nouvellessontalorsncessaires pourapprcieretchoisirlesoutilsquivontcorrespondreauxbesoinsdes utilisateurs,souvent l'initiativedel'ASR.Letauxderenouvellementtantcequ'ilest(faibleengnral),ils'agitde prvoirl'utilisationralistedecesoutilsjusqu'leurterme,entchantd'extrapoler raisonnablement leursvolutions. Del'assistance utilisateur l'expressiondesbesoins,delaprsentationdeschoixtechniques ouorganisationnels auxformationsl'utilisationdesoutilsmisenplace,l'ASRdoitdoncaussi acqurirdescomptencesdiversifies,allantde latechniqueauxproduitsdisponiblesenpassant par lacommunicationpour s'adapter sesinterlocuteursinternes ou externes.Parexemple,dfendreses choix et sonbudgetvis visdesaDirection;savoir grer lesconflitsetlespriorits(importancede l'aspect"humain"deses relations).Des formationsspcifiquesexistentdanscesdomaines. Ilestcrucialquel'ASRsetienneconstammentjourdanslemaintien,l'amliorationet l'volutiondeses comptences,deses connaissanceset savoir-faire.

Dequelsmoyensdispose-t-ilpour cela? Dansquelcontextedoit-ilvoluerpourresterauniveaudesexigencesrequisesparsa fonction?

C'estcequenousproposonsdecernerdanscechapitreenprsentantdiffrentsaspectsdela mise--niveaudescomptences. Nousallonsproposerquatrevoiescomplmentairespermettantl'ASRdenepastre dpassparlesvolutionstechnologiques:


l'auto-formation, laformationcontinue, laveilletechnologique,

12/12/09

Page53/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

lesrelationsmtier.

13.2-L'auto-formation
Installerunnouveausystmesurunemachinedetest,validerleparamtrage configuration,...fairesoi-mmeexprimentalementsurletassontdes etd'acqurirdesconnaissancesetun savoir-fairenouveau. d'une maniresdeprogresser

Toutefois,unebonnepratiquevaconsister formalisercesnouvellesconnaissances:noter etconserverlatracerutilisabledesesexprimentations (sousformedenotescritesoude documentations). Trouverdesconseilsauprsdecollguesdontonsaitqu'ilsontuneexpriencevcuedansun domaine,qu'ilsonteuchoisirunesolutionparmil'offredumarchettransmettreenretourses solutions concrtespermetdecapitaliserun savoir-fairecollectif. Ils'agiticinonseulement denepasperdre detempsenritrant lescueilsqued'autresont djprouvs,maisaussidepermettred'allerplusloinetdepartagercetteexprience. C'estdela valeurajoutel'expriencedesautres. AvoirdispositionunPCdetest,voireunemachinevirtuelle,pourtestervaluerunnouveau systmeouunnouveauserviceestunemanired'apprendrelesnouvellesfonctionnalits d'acqurirunsavoir-fairemaiscelancessitesouventdes'appuyersurdesexpriences decollgues d'homologuespour validersadmarche. et ou

S'auto-former surinternet, avecdesarticlesoudesouvragesdelibrairiesestaussi,biensr, unesourced'acquisitionetd'approfondissementdecomptencesimportantes.

13.3-Laformationprofessionnelle(ex.formation continue)
Troisniveauxsontconsidreren termesde formation:

l'adaptationauposte, l'volutiondu mtier, l'acquisitiondenouvellescomptences.

Nostutelles,conscientesdelancessitdemaintenirlescomptencestanttechniquesque relationnelles voire organisationnelles, disposent de structures de formation finances annuellement:

chaquedlgationrgionaleCNRS dispose d'un Bureaude FormationPermanenteanimpar un ou plusieursconseillersquicoordonnentdescorrespondantsformationdans lesunits, chaqueuniversitaaussiun servicedeformationavecun correspondantdans chaque dpartementd'enseignementou de recherche, ilenestdemmedansd'autresEPSTou structuresderecherche.

L'interlocuteur serasoitlecorrespondant formationdesonunit,s'ilexiste,soitle correspondantformationdesadlgationrgionale,deson universitou desa tutelle. Pour leCNRSparexemple,plusieurstypesdeformationssontaccessibles:

12/12/09

Page54/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

lesformationsralisesl'initiativedesrgions,dontlecatalogueetlesannoncessonten gnralaccessiblessur lasitedelaDlgation, lesformationsorganisesl'initiatived'autresunitsvialeurPlandeFormationd'Unit (PFU) etannoncesvialeBureaudeFormation, lesformationsnationalesdontlesActionsNationales Gestion Dconcentres(ANGD). l'ASRdeprvoiretdedfinirdesobjectifsdeformationchaque son correspondantformationpour laformulationdela

Ilestabsolumentncessaire anne.Ildevraittreaiddanscettetchepar demande.

LePlan deFormationdeson unitestlecadreadaptces demandesmisesparses membres. Lepersonnel CNRSaaussilapossibilitdedemander unPlanIndividuel deFormation(PIF) afind'entreprendresurunepriodepluslongueuneformation qualifiante;ilpourraalorsbnficier d'uneorganisationdesontempsdetravailenaccordavecsaDirectionluipermettant desuivrece cursus. laborerunplandeformationpersonnelncessitedeconnatresesmanquesparrapport l'tatdel'artetdesavancestechnologiquesdansledomainedessystmesetrseau,autantquepar ses besoinspropres. Ilpeutinclurenotamment desformationspersonnelles(apprentissage apprendregrerson temps,apprendrecommuniquerenpublic,etc). rapport

delanguetrangre,

Onpourraaussiserfrerauxfichesd'emploi-type dansl'observatoire desmtierspour apprciercequiestdemandetcompltercequ'ondoitacqurirpourtreplusefficaceetfaire voluersa missionenfaisantdespropositionssonunit.

13.4-Laveilletechnologique
Ellepermet desefaireuneidedesvolutionsencoursdanssondomaine d'anticiperpour proposerdes modificationsdestructuresau sein deson unit. Plusieurs mthodescomplmentairessontaccessibles:

etd'treenmesure

s'abonnerdesrevuestechniquesspcialisesou gnralistesdu domaine, s'abonnerdes lettresdenewstechniques, assisterdessminairesproposs parlesconstructeursou lesfournisseurs, participer des congrs techniques nationaux (par exemple [JRES]) ou des salons techniques,desjournesthmatiques, consulterdessites spcialisssur internet.

13.5-Lesrelationsde mtier
Sil'ASRestsouventisoldanssonuniteugardsonsecteur d'activit,ilnel'estcertes l'chellergionaleounationale.C'estcequiamotivlacrationdemoyenspourmettreen relationlespersonnesexerantlemmemtierou desmtiersproches. pas

12/12/09

Page55/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

LesservicesrendusparlesASRontsouventbeaucoupdepointscommunsd'uneunit l'autre,mmesilesutilisateursontacquisdesmthodes oudesoutilsparfoistrsdiffrents.Ilest doncutiled'avoirunelistedecontacts, decollgues avecleurscomptences/expriences particulires. Plusieursmoyenssont disponibles pourenrichir detelleslistes:c'estundesbutsdesrseaux rgionauxd'ASRquedepartagerlesconnaissances,didentifierlescomptencesautourdesoiet plusloinsilonnetrouvepasderponseproximit.Denombreuseslistesthmatiques de messagerieonttcresauniveaunationall'initiative del'UREC,duCRU,maisaussidansles Universits,lescampus,etc.Ilimportedeconnatreleslistestechniquesnationalesourgionales quipermettrontd'acqurirdel'informationentempsrel.Desserveursdelistesdisponiblesdans noscommunautspeuventtreun bon pointdedpart: serveurdelistesdu CRU[CRU], serveursdelistedu CNRS[CNRSlist], Les communications entre collgues ASR permettent le partage des connaissances, la capitalisationglobaledessavoir-faire.L'unauraexprimentunesolutionetpourraprciserles difficultsetlesrisquespour ceuxquicomptentlamettreenplace. Troisoutilssontdisponibles:

leslistes dediffusion: envoyer/recevoirdesmailsunecommunautthmatique, lesrseauxdemtiers: rencontres,exposs,organisationdeformations, lescolloquesspcialiss: des journesthmatiquesorganisestout aulongdel'anne.

On pourra se rfrer aux rseaux de mtier de la Mission Ressources et Comptences Technologiques(MRCT)du CNRS quiregroupelesrseauxdemtiers.

Lesitede laMRCT[MRCT], lesitedeRESINFO[RESINFO], ressources

Etenparticulier lafdrationdesrseauxd'ASR: RESINFO

Ainsiqu'ausitedel'UREC[UREC]pour leCNRSetauCRU[CRU]pour lesUniversits. Enrsumilpeuttreutiledetenirjourun agendaquirecenselesdiffrentes disponiblesdansson environnementselon lemodleci-dessous: Typede formation auto-formation formationcontinue Typed'information listedecollguesaveccomptences listedesitesinternet interlocuteurlocal interlocuteurdlgation interlocuteuruniversit veilletechnologique plandeformation revues lettresdenews listedesites sminaires

12/12/09

Page56/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

relationsdemtier

congrs listesdediffusion rseaurgional journesthmatiques sitesdefichestechniques

12/12109

Page57/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

CONCLUSION
L'ambitiondeceguideestdefournirauxASRquelquesprincipesdebasedansl'organisation deleurtravailquotidienetdeformaliserunensembledecomportementsquifontconsensusdansla communautdesASR. CommeM. Jourdainfaisaitdelaprosesans lesavoir,chacundenousn'a,bien sr, pasattendu lasortiedesnormesISO,surlesquelles nousnoussommesappuyesdansceguide,pourmettre en placecertainsprincipesd'organisationdeserviceetdesoutilsafind'assurerlebonfonctionnement et lascuritdenosinfrastructuresinformatiques. CependantnousavonsutilislesnormesISO-20000etISO-27001,dansl'optiquegnralede donneruncadrerfrentielnospratiquesdeterrain,cequipermetderendrecomptedela meilleurefaon,denosactivitsetquicontribue, terme,amliorerlaqualitdu service. Attention:commeilatditdansl'introduction etrappelplusieursendroitsdansdivers chapitres,ceguiden'apaslaprtentiond'apporterdessolutions"magiques"nosdifficultsde travailmaispluttdedonnerdespistespour mieuxs'organiser. Nouspouvonsnanmoinssuggrer une approchepragmatiquequi consiste,nonpaschercher systmatiquement toutremettreplatd'embledansnosmthodesdetravail,maistenter,par exemple quandunnouveauprojetouserviceestmettreenplace,d'appliquerlamthodologie dcritepour leconcevoiretpasser laphaseoprationnelle. L'importantestdeprendreencomptelecontextespcifiquedenotreenvironnement moyensdontnousdisposonsetd'yadapterdemaniregradueces"BonnesPratiques". avecles

Enrappeletenconclusion,voustrouverez ci-aprsunesynthsedespointsimportantsdece guide.

Uncadregnral:promouvoiruneDmarcheQualit
CeGuidedesBonnesPratiques,esteneffetundocument ol'onatentderecenserlagrande majorit desspcificitsdumtierd'ASR.Ilatenpartiemotivparlefaitquelesconditions d'exercicedumtierd'ASR,dansnosmilieuxacadmiques, nesontpasexplicitesdanslesfiches mtiersqui dcriventlesdiffrentspostes. Ilnousadoncsemblindispensable, pratiquesd'administrationquicontribue tutellesetdenosutilisateurs/clients, uvreauseindenosservices. danslecontexte actuel,d'laboreruncorpusdebonnes rendrepluslisibles,visvisdenosDirections,denos lesmissionsdumtier,l'organisationetlatechnicitmisen

Ilestbonderappeler quelarfrenceuneDmarche Qualitvadevenirmaintenant d'actualitdanslefonctionnementdesentitsderechercheetd'enseignement,elleadonctune deslignesdirectricesmiseenavantdanslesdomainesimportantsquenousavonstraitsetdont nousreprenonslespointsessentielsci-dessous.

La fournituredeservices,missiondebasede l'ASR

Toutcequiconcerne lafournituredeservice,dansledomainedel'informatiqueetdes rseauxetpluslargementduS.Iestlaproccupationprincipaledumtierd'ASR.Mettreenuvre

12/12/09

Page58/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

unecontinuitde serviceset les conditions de la prservationdes donnesproduites par les utilisateursncessitentunebonneorganisationdu travail. Outrelapossibilitdepouvoiramliorerd'unemanirecontinueleservicerenduceguide apportedesclsdebasepour mieuxstructurerleservicefourniet, rappelons-le,lefaireconnatreau mieuxparnos Directions,nostutellesetnosutilisateurs/clients.

La scuritdu S.I

ParmilespointsimportantsprendreencomptedanslespratiquesdesASRfigurelascurit denosinfrastructuresinformatiquesetdu S.I. Cettescurisationfaitpartiedenosproccupationsquotidiennes carelleestaucurdu fonctionnement desstructuresderechercheetd'enseignement.Samiseenuvre,malgrdes contraintesrglementaires diffrentesd'unetutellel'autre,peuttreralisegrcedesbonnes pratiquescommunesquenousavonsreplacesdanslecadrenormatifISO-27001.Ilnousdonca paruindispensablededgagerlesprincipalesprocduresindispensableslascurisationdenos infrastructures. D'autrepart,notremtier,vusaplacenvralgiquedanslagestiondesfluxd'informations, touchelargementdenombreusesdonnescaractreconfidentieletnousavonsinsistsurles pratiquesdebasepourprendreconnaissance etsuivrelesnombreusesvolutionsducontexte juridiquedans lequelnousvoluonsetquitouchentlemtierd'ASR.

Communication,gestiondutempsetrelationshumaines

Unautrepointimportantretenirdansceguideestlaprsentation depistesdebonnes pratiquesetconseilspourgreraumieuxlesrelationshumainesavecnosdiffrentspartenaires. Le mtierd'ASRcomporteeneffetune fortepartdegestionducomportementpersonneletderelations publiquesethumaines.Nousavonsabord cesdiffrentsaspectsquiconstituentlequotidiendes ASR. D'autrepart, l'ASRdoitfairefacel'accroissementdesdemandesdeservice,rpondreaux urgences,toutenassurantlagestionquotidienne etprogrammerlamiseenplacedenouveaux services.Il nousfaut pourceladebonnespratiquesdegestiondutempspourorganiserlesjournes etsemainesdetravail afinde planifieraumieuxnosactions.Pourcefaire,nousnoussommes appuyssur lesouvragesetmthodesconnus afindedgagerdes mthodesd'organisationdu temps.

Veilletechnologiqueetdeformationcontinue

Enfin,nousavonstermineninsistantsurlefaitqu'ilparat indispensable depenseraussi intgrerdansnotretravailletempsncessairelamisejourdenospropresconnaissancesen utilisantlargementlaformationprofessionnelle,etlesjournesorganisesparlesrseauxmtiers ou structureslocalesdestablissements. Notremtierutilisedesmatrielsetconceptsenvolutionrapideetnotrecapacitd'adaptation est,biensr,lienotrecapacitsuivreauplusprslesvolutionstechnologiques encours.La ncessitdeseformeretd'assureruneveilletechnologiqueestdoncessentielle.

Quelquesautrespistespourcontinuer
Nousinsistonssurlefaitquelefilconducteur del'ensembledesmthodesabordesest "l'crit".Eneffet,quecesoitpourlaformalisationdesprocdures,ladocumentation, la communication,lesrapportsd'activits,lagestiondeparc,laconfiguration desquipements,la gestion des traces,il est indispensabledeconsignerparcrit(quel que soit le mdia)ces

12/12/09

Page59/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

informationsafinqu'ellessoient,confidentielles ounon,transmissiblesouconsultablesetsibesoin partages. Par ailleurs, si l'on se rfre au contexte de mutualisation des moyens tant matriels qu'humainsquiconcernedirectementnotremtier(parexemplerecompositiondelaboratoireou d'quipederecherche, regroupementdeservicescommunsauseind'uncampus,...),ildevienten effetindispensabledetravailleravecdesoutilsquinouspermettent uneadaptabilitrapidetantdes mthodesdetravailquedessolutions mettreenuvre.Ce qui a t propos dansceguidenepeut quefaciliter latranspositionde solutionsd'uncontexteunautreetsurtoutpermettrel'ASRdene pasavoirrinventerlaroues'ildoittravaillerdansdescadresdiffrents. Ceguideestunebasequi se veutvolutive,nul doutequenousauronsbesoin d'yrevenirpour lemodifieretlefairevoluerdanslesannesquiviennent.Lequestionnaireci-joint,butdebilan/ valuationinterne,enestunprolongement;utilisez-lepriodiquementpourfairelepointdansvos activitsou fairedespropositionsd'amliorationpour lacollectivit. LafdrationderseaudemtierRESINFOetlesrseauxrgionauxouthmatiques constituentsonteneffetunedespossibilitspour partagervos expriences. Cettencessitd'changedepratiqueestune"piste"importanteretenirpourdonnerune suiteceguide,lemaintenirjouretpouvoirrpondred'unemanireefficacenosmissions. Il revient doncchacun denousdel'enrichiretdelefairevoluerparl'apportdenos"bonnes pratiques"quotidiennes misesl'preuvedesdiffrentessituationsd'exercicedenotremtier.Toute participationestceteffetlabienvenue! Doncbientt! Lecontactpour leGuidedesBonnesPratiquesestgbp@listes.resinfo.org quile

12/12/09

Page60/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

12/12109

Page61/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

ANNEXE1:QUESTIONNAIRE D'AUTO-EVALUATIONAUSAGE INTERNE


Remerciements:cequestionnaireatlaborinitialementpour unetudesimilairesur lesbonnes pratiquesdesASR au sein del'IN2P3parJ-M Barbet,etadaptl'objetdenotreguide. Ilestproposdanslebutdepermettre diffrentsservicesexistantsausein desastructure. l'ASRdefairelepointsursespratiquesetsurl'tatdes

IlreprendglobalementlaclassificationinspiredelanormeISOexposedansleguide.Ilpeut servir mettreenvidencedesaspects traiterenpriorit,se fixerdesobjectifs,ou rflchirsurdes possibilitderorganisationdu servicefourni. Unexempled'utilisationdecequestionnaire pourraittredelerefaireintervallergulier(chaque anne)pourconstatercequiavolu depuislebilanprcdent,etsefixerdenouveaux objectifs... Une manirecommeuneautredemettreenplaceun planPDCA... .

1)Recueildes besoinsdes utilisateurs


Commentprenez-vousconnaissancedesbesoins des utilisateurs? Vousarrive-t-ild'avoirlesreformulerpour lestraduireenserviceoprationnel? Lerecueildesbesoins est-ilunedmarcheformalise? Organisez-vousdesrunionsaveclesutilisateursdanscebut?(frquence,frquentation) Certainesdemandesfont-ellesl'objet d'unengociationetsi oui,commentprocdez-vous (arguments,exigences,etc.)? Quiarbitreencasdedsaccord,dedifficultou deconflitsur ladfinitiondesbesoins ?

2)Gestiondes actifs-Gestiondes configurations


On appelle"actifs"l'ensembledesbiensmatrielsou immatrielsauxquelson peut ajouterdes lmentsdeconfiguration. Unepremirelistenon exhaustivepourraittre: postesdetravail,serveurs,imprimantes,autrespriphriques,logiciels,licences, consommables,adressesrseau,comptesinformatiques,prisesrseau,commandes, contrats,... Disposez-vous d'un systmed'enregistrementou de gestionpour deslmentsde la listeci-dessus? si oui,quelleformecesystmerevt-il?Outilmaisonou commercial? si outilmaison: est-cedistribuabled'autrestablissements? Est-cebassur un SGBD? Lequel? Page62/80

12/12/09

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

quelssontleslmentsgrsparvotreoutil? utilisez-vousun ou des outilsd'inventaireautomatique? Sioui, lesquels?

3)Gestiondes changementsetdocumentationinterneau service


- Est-cequevousenregistrezlesvnementssuivants?:indiquezsic'estsystmatiqueetpour quellesclassesdemachines:serveurs,postes fixes,nomades ajout/suppressiondelogiciels modificationsdeconfiguration correctionde problmeetdedfaut - Sur quelsoutilsvousappuyez-vouspour cesenregistrements? logicielsde gestiondeconf: CVS,subversion, Trac? journauxdebord manuels,lectroniques? autresmthodes - Commentsefaitlepartagedesconnaissancesauseindel'quipedesASRs(si c'estlecas)? - Disposez-vous deprocdurescritespour certainestches?Sioui, lesquelles? - Commentestorganislagestiondu tempsdans le service(sivoustravaillezplusieurs): Ya t-ildesrunionshebdomadairesfixespour fairelepoint? Avezvousmis enplaceunedfinitiondesplageshorairespour lesutilisateursavecun bouclieranti-interruption? - Utilisez-vousun outilou unemthodede gestiondespriorits? - Utilisez-vousdes outilsde gestiondeprojets?Lesquels?des tchesrcurrentes? - Utilisez-vousdes agendaspartags? Lesquels?

4)Documentationpourles utilisateurs,Communication

Quelssontlesprincipauxlmentscouvertsparvotredocumentation? Mettez-vousdeladocumentationdispositiondesutilisateurs? Sioui,dequellemanireetavecquelsoutils? Avez-vousdes mthodespour grerl'obsolescenceetl'volutiondecettedocumentation? Disposez-vous d'unepageWebrserveauservice(interneou externe)? Commentlesutilisateurssont-ilstenusaucourantdelaviedu S.I volutions, arrtspour maintenance,incidents,etc.

5)Gestiondes demandesdes utilisateursgestiondes incidents

Disposez-vous d'un outilde gestion etdesuividesdemandesdesutilisateurs?Si oui, commentsefaitl'affectationdes ticketsauxpersonneschargesdeleurpriseencharge? Commentsefaitlesuividestickets? Page63/80
gbp-v1-0.odm

12/12/09

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Disposez-vous d'un outilderecherchedans lecorpus desticketsrsolus? Quiarbitrelesprioritsetsur quelscritresencasdefiled'attente importante?

6)Surveillanceetdtectiondes problmesgestiondes problmes


(S'ils'agitd'outilsinternes,prcisezlesfonctionnalitsgnrales).

Disposez-vousdesystmesdedtectiondesinistresou deconditionsenvironnementales dgrades? (inondation,incendie,lvationdetemprature,...) Disposez-vousdesystmesd'alertepour des vnementssusceptiblesdecompromettrela scuritlogiquedesquipementsou des donnes(intrusion,perte/modificationdedonnes, virus,etc.)? Disposez-vousdesystmesdesurveillanceetd'alertepermettantdedtecterlesproblmes pour lesservicesimportants? Quels services,quelsoutils,quelmcanismed'alerte? Disposez-vous d'un systmedecentralisationdes journauxsystmes?D'un systme d'analysedecesjournaux?

7)Gestionde lacontinuitde service

Avezvousmis enplacedes systmeshautedisponibilitpour assureruneredondance? Lesquelsetsur quelservice?Lacommutationest-elleautomatique,semi-automatique, manuelle? Avezvousmis enplacedes systmesde rpartitiondecharge?Pour quelsservices? Lesquels? Avezvousmis enplaceun plande reprised'activits?Sur quelsservices?Enquoi consiste t-il? Quelsystmedescurisationetdesauvegardedesdonnesavezvousmisenplace? Pratiquez-vousun talementdes congsdu personneldu serviceinformatique? Quipeutredmarrer(etcomment)lesservicescritiquesencasd'absencedevotrepart?

8)Gestionfinancire

Rdigez-vousunedemandeannuelledemoyensfinanciersauprsdeladirectionou des quipesderecherche? Commentvous sontattribuslescrdits ncessairescettedemande? Est-ceunediscussionavecladirectionet/oulesquipesderecherches? Participez-vousau montagedesdossiersCPER,ANR,... ?

9)Formation

12/12/09

Page64/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Avez-vousparticipdesstagesdeformationpendantl'anne? Sinon pourquoi? Qu'avez-vousnotcommevolutions prvisiblesdesolutionsmatrielleset/oulogicielles quincessiteraientuneformationpour unemiseen uvre? Faites-vouspartiederseauxmtiersrgionauxd'ASR?

10)Scuritetrglementation
- Prenez-vous encomptelesrecommandationsrelatives larglementationenvigueurdans le mtierd'ASR ou Pensez-vousavoirunebonnepriseencomptedela rglementationenvigueur etdes actionsquenous imposentlesjurisprudencesrenduesrcemment?:

gestion des tracesinformatiques, protectiondesfichiersnominatifs, noticelgaledesiteweb, protectiondesdonnes,

Quellessontlesprincipalesactions quevousavezmisesenplacepour prendreencompteles lmentsdescuritqueprconiselaPSSIdevotre/vos tutelle(s)?: chiffrement, destruction/effacementdessupportsmagntiquesavantmiseaurebut,...

11)Divers

Participez-vouslardactiondu rapportd'activit(chapitrespcifiqueauservice)? Disposez-vous d'unepageWebrserveauservice(interneou externe)? Etes-voussensibiliss larductiondelaconsommationlectriquedenosquipements informatiquesetcelledeconsommablesinformatiques? Si oui,qu'avez-vousmis enplace(virtualisation,arrtautomatiquedes machines aprsinactivit,...). Quelsconseils donnez-vousauxutilisateursdanscesens ?

12/12/09

Page65/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

ANNEXE2:FICHESDE REFERENCES
Guide debonnespratiquesorganisationnelles pour lesAdministrateursSystmeset danslesunitsderecherche. Rseaux

12/12/09

Page66/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Nousavonsrpertoriiciuncertainnombred'outilslogicielsessentiellement issusdumonde openSource,etderfrencesbibliographiquespouvantillustrer ettreutiliss danslesdiffrents chapitresdece guidedesbonnespratiques.

Introduction

Productionsantrieuresde groupedetravaildeRESINFO:

[SiLabo]: http://www.resinfo.org/spip.php?article11:aiderleresponsablechargduS.I d'unlaboratoireidentifieretspcifierlesservicesrendus,actuelsoufuturs,ainsique lesressourcesncessaires [EcoInfo] :http://www.ecoinfo.cnrs.fr/: Les activits de ce groupe de travail se concentrentautourdesproblmatiquesdelaconsommationnergtiqueetde lapollution lies lutilisationetaudveloppementdeloutilinformatique. [PSSI CNRS] : http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf:Politiquedescuritdu S.Idu CNRS [ISO-9001]:http://www.iso.org/iso/fr/

1Une dmarchequalitdansles unitsde recherche

[ITIL]: InformationTechnologyInfrastructureLibrary

http://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library http://www.itilfrance.com/

[Deming]:RouedeDeming http://fr.wikipedia.org/wiki/PDCA [ISO-20000-1]:Technologiesdel'informationPart1Gestiondesservices&Part2 Codeof practicehttp://www.iso.org/ [ISO-27000] :Technologiesdel'informationTechniquesdescuritSystmes degestion delascuritdel'information Exigences-http://www.iso.org/

2Lagestiondes configurations
Quelquessystmeslogicielspermettantd'effectuerdesadministrationscentralisesou de grerdesconfigurationsdeparcdePCetun exempledeprocdured'ouverturedecompte:

OCSInventory: Inventaireautomatiquedeparcinformatiqueettldistribution SiteWebhttp://www.ocsinventory-ng.org/ FichePlume:http://www.projet-plume.org/fr/fiche/ocs-inventory-ng

cfengine: administrationautomatisedesystmes htrognes Page67/80


gbp-v1-0.odm

12/12/09

GuidedeBonnesPratiquesOrganisationnellespourlesASR

SiteWeb:http://www.cfengine.org/ FichePlume:http://www.projet-plume.org/fiche/cfengine

NetDirector: plateformeWebdadministration SiteWeb: http://www.netdirector.org/ Puppet: permetd'automatiserun grandnombredetchesd'administration:l'installationde logiciels,deservicesou encoredemodifierdesfichiers. http://reductivelabs.com/trac/puppet bcfg2:Administrationcentralisedeserveurs http://trac.mcs.anl.gov/projects/bcfg2/ Quattor: http://apps.sourceforge.net/mediawiki/quattor/index.php?title=Main_Page ActiveDirectory http://fr.wikipedia.org/wiki/Active_Directoryhttp://www.microsoft.com/windowsserver2 003/technologies/directory/activedirectory/de fault.mspx http://www.adirectory.net/

Exempledeprocdured'ouverturedecompte: http://www.com.univ-mrs.fr/ssc/sic/spip.php?article43

3Lagestiondes niveauxde service


On trouveraicides outilspour mesurerleniveaudeserviceoffertauxclientsdu S.I. GLPI fournitdesstatistiquesd'interventionquipermettentdemesurerletempspasssurles demandesdesutilisateurs

GLPI:helpdeskassociun outildegestion

SiteWeb:http://www.glpi-project.org/ FichePlume:http://www.projet-plume.org/fiche/glpi

4-Lagestionde lacontinuitde service


Ontrouveradanscettepartiedeslogicielspermettantdesurveillerlesactivitsdurseauetdes systmesserveursetdoncd'analyserdescausesdedysfonctionnement, d'yragirpromptement, amliorantainsilacontinuitdesservices.

Cacti:logicieldesupervisionrseau SiteWeb:http://www.cacti.net/ Ntop : ntopestunesonderseauquipermetde remonteretanalyserletraficrseausous formede graphe siteweb: http://www.ntop.org/overview.html Nagios:logicieldesupervisionde rseauxetdesystmes (serveursetpostesdetravail.) Page68/80

12/12/09

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

SiteWeb:http://www.nagios.org/

Centreonfournituneinterfacegraphiquepour permettrelaconsultationdes informations issuesdeNagios. SiteWeb:http://www.centreon.com/ Webalizer:logicield'analysedesfichierslogs d'un serveuretdecalculdesstatistiquesd'un siteWeb SiteWeb:http://www.webalizer.org/

Outrelasurveillance rseauetsystme,lagestiondelacontinuitdeservicedoit saccompagnergalementdunplandecontinuitdeservice(actionsdurgence,sauvegardesdes enregistrements vitaux,valuationdesdommages,plandereprise...)etdesystmeslogiciels permettantunereprised'activitrapide

Heartbeat:fournitunesolutiondehautedisponibilitenmettantenplaceuneredondance deserveursen tempsrel

http://www.linux-ha.org/

virtualisation : Les systmes de virtualisation permettent une souplesse dans l'administrationetdesrinstallationsrapides;diminuantainsilesduresd'indisponibilit


Journesjosysur lavirtualisation: http://www.resinfo.cnrs.fr/spip.php?article3 Xen:

http://www.xen.org/ http://linux-vserver.org/Welcome_to_Linux-VServer.org http://wiki.openvz.org/Main_Page http://pve.proxmox.com/wiki/Main_Page

Vserver

openVZ:

Proxmox(clusterde serveursopenVZ)

5-

Lagestiondes interventions

Ontrouveradanscettepartiedeslogicielspermettantdeformaliserunsystmedesuivide demandesentrelesutilisateursetleserviceinformatique.Ceserontgnralement desportails d'entrequipermettrontauxutilisateurs deposterleursdemandesd'assistanceavecuncertaindegr d'urgence.Lesdemandessonttraitesparleserviceinformatique.Desstatistiquespermettentde consulterlesduresmoyennesd'intervention, lesduresd'attenteavantpriseencomptepermettant ainsid'afficheretd'amliorerleservicerendu. OTRS:OpensourceTicketRequestSystem,distribusouslicenceGPLfonctionnesur touttypedeplate-forme. 1. http://otrs.org/

GLPI:helpdeskassociun outildegestion

1. SiteWeb:http://www.glpi-project.org/

12/12/09

Page69/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

2. FichePlume:http://www.projet-plume.org/fiche/glpi

RequestTracker(RT): gestion deticketsdincidents 1. SiteWeb:http://bestpractical.com/rt/ HelpdeskdeESUP-Portail:c'estlesystmedesuivide demandesqu'on trouvedans ESUP-Portailquiestun Espacenumriquedetravail 1. http://www.esup-portail.org/display/ESUP/2008/08/22/esup-helpdesk+v3 2. http://www.esup-portail.org/display/PROJHELPDESK/esup-helpdesk++user+support+at+establishment-level

Lagestiondes dysfonctionnements
Outils de remontesd'incidents: Mantis: Outilwebde gestion des incidents: dpt,validation,priseencompte,traitement etretourdesignalementdincident. oSiteWeb:http://www.mantisbt.org/ oFicheplume:http://www.projet-plume.org/fr/fiche/mantis

Bugzilla: outildegestiondebugs ohttp://www.bugzilla.org/about/ Gnats: outildegestiondebugs oSiteWeb:http://www.gnu.org/software/gnats/

Outilsderemiseentatinitiald'unsystmepermettant,parexempledeclonerdessystmesetde lesrestaurerpour remettreen serviceun systmedans son tatdebase:

MondoRescue: outildedisasterrecovery oSiteWeb:http://www.mondorescue.org/ SystemImager ohttp://wiki.systemimager.org/index.php/Main_Page PartImage ohttp://www.partimage.org/Page_Principale JeDDlaJ: ohttp://la.firme.perso.esil.univmed.fr/website/rubrique.php3?id_rubrique=7

7Lagestiondes changementsetde lamiseen production


Des outilsdetypemaincourante:

elog : site web permettantde dposer de l'information sous forme de messages texte horodatsdemanirechronologique permetdetenirjourunjournaldesmodificationset interventionssur lesdiffrentslmentsdu SI (serveurs, configrseau,firewall,etc...).

https://midas.psi.ch/elog/#whatis Page70/80
gbp-v1-0.odm

12/12/09

GuidedeBonnesPratiquesOrganisationnellespourlesASR

voila: un tableaudebord synthtiquedes incidentset travaux

http://2007.jres.org/planning/paperfeed.html?pid=116

8-

LaDocumentation

Choisirunoutiletunformatd'ditionefficaceestcommunment acceptauseindel'quipe d'ASR, pour rdigerladocumentationtechniquepropreauservice.

[DocBook] Le format DocBook est un langage de balisage conu l'origine pour la documentation techniqueinformatique(matrieletlogiciel).Ilpermetdeproduireune documentationdetypepapier:http://fr.wikipedia.org/wiki/DocBook [Wiki]:LessystmesWikispeuventtredebonscandidatspourrdigeretgrerune documentation. LesWikispermettentlacrationetl'entretiencollectifdesitesInternet.On pourra notammentlesutiliserpourdposerfacilementdeladocumentationjourausein d'un serviceinformatique. Unelistedequelqueswikislesplusconnus

http://www.framasoft.net/rubrique335.html http://www.wikimatrix.org/compare/DokuWiki+PmWiki+TikiWiki+TWiki

Un comparatifdewikis:

PMWiki:http://www.pmwiki.org/wiki/PmWikiFr.PmWikiFr MediaWiki:http://www.mediawiki.org/wiki/MediaWiki/fr

DokuWiki: http://www.dokuwiki.org/ TWiki:http://www.twiki.net/

Lesgestionnaires decontenusurleWeb(CMS)permettentgalement auxindividuscomme auxcommunauts d'utilisateursdepublierfacilement, degreretd'organiserunvasteventailde contenussur un siteweb. LesgestionnairesdecontenuWeb(CMS) :

comparatifdeserveursdecontenus:

http://2007.jres.org/planning/pdf/104.pdf http://www.projet-plume.org/files/PLUME_Choix_Drupal.pdf http://www.comparatif-cms.com/

Drupal: http://drupalfr.org/ Spip: http://www.spip.net/ joomla:http://www.joomla.org/ WordPress:http://fr.wordpress.org/

9Lesbonnespratiquesdanslagestionde la scuritdes systmesd'information

[EBIOS]:mthoded'analysederisquesdes systmesd'information

12/12/09

Page71/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf formationdel'UREChttp://www.urec.cnrs.fr/article368.html http://www.urec.cnrs.fr/article389.html miseaurebutetrecyclagedes disques: techniquesd'effacementdedisquesavantmise au rebut http://www.ipnl.in2p3.fr/perso/pugnere/effacement-disque-DP.pdf http://www.ssi.gouv.fr/documentation/Guide_effaceur_V1.12du040517.pdf

[PSSI CNRS] :

[A2IMP]:Aide l'acquisitiond'informationssur machinepirate:

[A3IMP]:Aide l'AnalysedesActionsIntentessur uneMachinePirate


[ISO-27002]:Techologiedel'informationTechniquesdescurit Codedebonnes pratiquespour lagestiondelascuritdel'information http://www.iso.org/ [logcnrs]: http://www.sg.cnrs.fr/FSD/gestrace.htm [journaux systmes]: JournauxSystmes:gestiondes tracesinformatiquesproblmatiquedecentralisationdes journauxetdes tracesinformatiques:

http://www.jres.org/tuto/tuto7/index http://www.jres.org/_media/tuto/tuto7/syslog-ng-tutojres.pdf http://www.dsi.cnrs.fr/pre_BO/2007/03-07/tpg/charte-informatique.pdf http://www.resinfo.cnrs.fr/spip.php?article4 backuppc:http://backuppc.sourceforge.net/ bacula: http://www.bacula.org/fr/ arkeia:http://www.arkeia.fr/ amanda : http://www.amanda.org/ timenavigator: http://fr.atempo.com/products/timeNavigator/default.asp netbackup: http://www.symantec.com/fr/fr/business/netbackup ntp: http://www.ntp.org/ serveursLDAP:

Charteinformatiquedu CNRS:

sauvegardesdedonnes:

Synchronisationdes horlogessystmes

Contrled'accs auxsystmes authentification

http://www.cru.fr/documentation/ldap/index http://www.openldap.org/

12/12/09

Page72/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

serveurRadius:

http://fr.wikipedia.org/wiki/Radius_(informatique) http://freeradius.org/ http://fr.wikipedia.org/wiki/Active_Directory http://www.microsoft.com/windowsserver2003/technologies/directory/actived irectory/default.mspx

ActiveDirectory

http://www.adirectory.net/

motsdepasse: ncessitdemotde passes solides

[CERTA-2005-INF-001]: http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/ 802.1x :


contrled'accsaurseau

http://fr.wikipedia.org/wiki/IEEE_802.1X http://2003.jres.org/actes/paper.111.pdf http://wapiti.telecomlille1.eu/commun/ens/peda/options/ST/RIO/pub/exposes/exposesrio2005/sertdeprey/pres.htm

cloisonnementdesrseaux802.1q architecturederseau

http://www.urec.fr/IMG/pdf/secu.articles.archi.reseau.court.pdf http://www.urec.cnrs.fr/IMG/pdf/articles.03.JRES03.archi.secu.slides.pdf VNC:http://www.realvnc.com/ TighVNC:http://www.tightvnc.com http://www.sg.cnrs.fr/fsd/securite-systemes/documentations_pdf/journee_crssi/9Chiffrement.pdf http://igc.services.cnrs.fr Quelquesexemplesd'outilsdechiffrementdes donnessur lesPC :


contrledeposteadistance,cyber-surveillance

[Chiffrement]: Protectiondetransfertdes donnes

truecrypt:http://www.truecrypt.org/ Dm-Crypt,chiffragedesupportssousLinux :http://www.saout.de/misc/dm-crypt/ ZoneCentral:http://www.primx.eu/zonecentral.aspx Utilisation

SASL:

http://fr.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Page73/80
gbp-v1-0.odm

12/12/09

GuidedeBonnesPratiquesOrganisationnellespourlesASR

http://asg.web.cmu.edu/sasl/

Outilsdemtrologieetdesurveillancerseau

cacti:http://www.cacti.net/ Zabbix:http://www.zabbix.com/ openNMS:http://www.opennms.org/wiki/Main_Page munin :


http://munin.projects.linpro.no/; http://fr.wikipedia.org/wiki/Munin_(Surveillance_systme_et_rseau)

ntop : http://www.ntop.org/news.html NetDisco:


http://netdisco.org/ http://en.wikipedia.org/wiki/Netdisco

NfSen:http://nfsen.sourceforge.net/ smokeping:http://oss.oetiker.ch/smokeping/

10 - Bonnespratiquesliesaux aspectsjuridiques du mtierd'ASRrespectde larglementationen vigueur

Circulairedu12mars1993relativelaprotectiondelaviepriveenmatiredetraitements automatiss. Loin78-17du6janvier1978informatiqueetliberts. Loin83-634du13juillet1983sur lesdroits etobligationsdes fonctionnaires. Recommandationn901du2mars1994relativelaprotectiondessystmesd'information traitantdesinformationssensiblesnon classifiesde dfense. Dcretn81-550du12mai1981relatif lacommunicationdedocumentsetrenseignements d'ordreconomique,commercial outechniquedespersonnesphysiquesoumorales trangres. Guiden400SGDN/DISSI/SCSSIdu18 octobre1991relatifl'installationdessiteset systmestraitantdesinformationssensiblesnerelevantpasdusecret dedfense:protection contrelessignauxparasitescompromettants. Loin2000-230du13mars2000 portantadaptationdu droitdelapreuveaux technologiesde l'informationetrelativelasignaturelectronique. Loin2001-1062du15novembre2001 relative lascuritquotidienne(Article30 et31). Directive485/SGDN/DCSSI/DRdu1erseptembre2000 parasitescompromettants. sur laprotectioncontrelessignaux

Recommandationsn600/SGDN/DISSI/SCSSIdemars1993 relatives laprotectiondes informationssensibles nerelevantpas du secretdedfensesur lespostesdetravail.

12/12/09

Page74/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Lagestiondes tracesd'utilisationdesmoyensinformatiquesetdes servicesrseauxauCNRSat dclar laCNILsousformegnrique,pour l'ensembledes laboratoiressous tutelle CNRS etafaitl'objetd'unedcisionpubliele11 octobre2004 aubulletinofficieldu CNRS(dcision04P014dsi.htm) http://www.dsi.cnrs.fr/bo/2004/12-04/4111-bo1204-dec04p014dsi.htm Articlesrelatifs larglementationen matiredescurit,de protectiondu secretetde la confidentialitnotammentceuxrelatifs laprotectiondu patrimoine,ausecretdes correspondancescrites,aux sanctionspnalesdelaloi "informatiqueetliberts",pour les crimesetdlitscontrelespersonnes,lesatteintes lapersonnehumaineetauxaccs frauduleuxun systmeinformatiqueetmodificationsfrauduleuses. [Legalis]http://www.legalis.net: compterendudes jurisprudencesdediffrentstribunaux

11 -

Lagestiondu temps

Voustrouverezdanscettepartietroisrfrencesdelivresutilisesdansleguideainsique quelquesrfrencesinternetliesausujet:

[AdminSys]: Admin' sys, Grerson tempsdeThomasLimoncelli,traduitparSbastien Blondeel,auxditionsEyrolles:

http://www.editions-eyrolles.com/Livre/9782212119572/admin-sys

[GTD]:GettingThingDoneestle titred'un livredeDavidAllen publien2001, dcrivantunemthodede gestiondesprioritsquotidiennes.

Diversarticlescesujetsont prsentssur http://avm.free.fr/notammentlanotionde PremireChoseAFaire(PCAF)( http://avm.free.fr/spip.php?article26) Plus connuesousl'acronymeGTD,sur wikipdia: http://fr.wikipedia.org/wiki/Getting_Things_Done Un rsumdelamthodeGTD parchapitreestdonnsur http://gagnermavie.com/balade-a-travers-getting-things-done-chapitre-par-chapitre/ http://fr.wikipedia.org/wiki/Comparaison_de_logiciels_GTD http://www.taskfreak.com/

Unecomparaisondes logicielsmettantenoeuvrelamthodeGTD :

PluginsGTD : certainssontcitsdans ledocumentdecomparaisonci-dessus.En particulier,lepluginGTD pour le Dokuwiki:http://www.dokuwiki.org/plugin:gtd [rsumGTD]: Un rsumde7 pagesdu livredeDavidAllen: http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/GbpFichePratiqueGestionduTempsDavidAllen.pdfou https://www.greyc.fr/sites/default/files/GbpFichePratiqueGestionduTempsDavidAllen.pdf [QuestionTemps]: QuestiondetempsdeFranoisDlivr,consultantenrelations Humaineset Organisation,spcialisdans lecoachingdes cadresdirigeants. Lersumdu livredeFranoisDelivr:http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/ResumeLivreQuestiondeTempsFrancoisDelivreou https://www.greyc.fr/? q=user/14

12/12/09

Page75/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

12 -Lacommunicationde l'ASRavecses partenaires

[GPLI],[RT],[Esup-Portail],[HelpDesk]:voirlesrfrencesdonnesdanslechapitre5 Gestiondes interventions.

13

Recommandationssurles comptences
[CRU]:https://listes.cru.fr/sympa/lists/informatique [CNRSlist]:http://listes.services.cnrs.fr/wws

Desliensliensutilesdesites deslistesdediffusion

Desliensliensutilesderseauxdemtiers

[MRCT]:http://www.mrct.cnrs.fr/ [RESINFO]http://www.resinfo.cnrs.fr/ [UREC]:http://www.urec.cnrs.fr/ [CRU]:http://www.cru.fr/

Desliensliensutilesdesites quidiffusent des tutoriaux ou(auto-)formations


[CCM]:http://www.commentcamarche.net/ [Zero]:http://www.siteduzero.com/ [JRES]:http://www.jres.org/ [TutoJRes]:http://www.jres.org/tuto/ [Resinfo/Josy]:http://www.resinfo.org/spip.php?rubrique1 [CUME]:http://cume.univ-angers.fr/index.php [Renater]:http://www.renater.fr/spip.php?rubrique45 www.journaux.fr:listeparthmetouslesmagazinesquiparaissent. [TDLP]:http://www.tdlp.org/Linux documentationProject [LinuxFrance]:http://www.linux-france.org/Linux-france [TutEns]:http://www.tuteurs.ens.fr/Tutoriauxdel'ENS [MIT] :http://ocw.mit.edu/OcwWeb/web/home/home/Open CourseWare du MIT (en anglais)

Liensversdessitesdeveilletechnologique

[ClubIc]:http://www.clubic.com/ [ItEspresso]:http://www.itespresso.fr/ [InterActu]:http://www.interactu.net/ [Atelier]:http://www.atelier.fr/ [Informaticien]:http://www.linformaticien.com/ [UseNix] :http://www.usenix.org/(enanglais)

12/12/09

Page76/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Lesnouvellesdispositionsdelaloi concernantla FormationProfessionnelle


Extraitsdu dcret:
Dcretno2007-1470du15octobre2007relatif la formationprofessionnelletoutaulongdela viedesfonctionnairesde lEtat
NOR:BCFF0758784D

Art.1er.Lobjetdelaformationprofessionnelle

toutaulongdelaviedesfonctionnaires de lEtatetdestablissementspublicsdelEtatestdeleshabiliterexerceraveclameilleure efficacit lesfonctionsquileursontconfiesdurantlensemble deleurcarrire,envuedela satisfactiondesbesoinsdesusagersetdupleinaccomplissement desmissionsduservice.Elle doitfavoriserledveloppement professionneldecesfonctionnaires,leurmobilitainsiquela ralisationdeleursaspirationspersonnelles.Elleconcourtlgaliteffective daccsaux diffrentsgradesetemplois,enparticulierentrefemmesethommes,etfacilitelaprogression desmoinsqualifis. Laformationprofessionnelletoutaulongdelaviecomprendprincipalement lesactions suivantes: 1oLaformationprofessionnellestatutaire,destine,conformmentauxrglesprvuesdansles statutsparticuliers,confrerauxfonctionnaires accdantungradelesconnaissances thoriquesetpratiquesncessaireslexercicedeleursfonctionsetlaconnaissance de lenvironnementdans lequelellessexercent;
..

2o La formation continue, tendant maintenir ou parfaire, compte tenu du contexte professionneldanslequelilsexercentleursfonctions,lacomptence desfonctionnairesenvue dassurer : a)Leur adaptationimmdiateau postedetravail; b)Leur adaptation lvolutionprvisibledesmtiers; c)Ledveloppementdeleurs qualificationsoulacquisitiondenouvellesqualifications; 3o Laformationdeprparationauxexamens,concoursadministratifsetautresprocduresde promotioninterne; 4oLaralisationdebilansdecomptencespermettantauxagentsdanalyserleurscomptences, aptitudeset motivationsen vue dedfinirunprojet professionnel; 5oLavalidation desacquisdeleurexprienceenvuedelacquisitiondundiplme,duntitre finalitprofessionnelleouduncertificatdequalificationinscritaurpertoirenationalprvu par larticleL.335-6ducodedelducation; 6oLapprofondissement deleurformationenvuedesatisfairedesprojetspersonnelset professionnelsgrce aucongdeformationprofessionnelle rgiparle6odelarticle34delaloi du11 janvier1984susvise. Lecontenu desformationsprvuesau1oci-dessusestfixpararrtconjointduministre intressetduministrechargdelafonctionpublique. Cetarrtpeutprvoirunemodulation desobligationsdeformationen fonctiondes acquisdelexprienceprofessionnelledesagents.

LeCNRSetlesUniversits, parexemple, ontintgr cesdispositifsdansleurdossiersdesuivide carrire etenparticulierlaclassificationen3catgoriesdesformations(paragraphe2).Ilfautaussi attirerl'attentionsur lesdiffrentespossibilitsdecomplterson niveauinitialde formation: lapossibilitderaliserdesbilansdecomptences(paragraphe4)

12/12/09

Page77/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

laprocduredeVAE,ValidationdesAcquisd'Exprience(paragraphe5) Voustrouverezladclinaisonde la mise enuvredece dcretpour leCNRS auxURLsuivants: http://www.sg.cnrs.fr/drh/competences/form.htmhttp://www.sg.cnrs.fr/drh/competences/documen ts/cadrage.pdf

14 - OutilsWindows
Nousavonsrpertoridanscette partieuncertainnombred'outilslogicielstournantsous Windows pouvant illustrerettreutilissdanslesdiffrentschapitres deceguidedesbonnes pratiques. NousremercionsceteffetD.Baba(CentredImmunologiedeMarseille-Luminy,Unit Mixte de RechercheduCNRS,de lInsermetde lUniversitde laMditerrane)poursonaidedans l'inventairedecetypedeproduitMicrosoft

Administrationdes systmes-Lagestiondesconfigurations

SystemCenter (http://www.microsoft.com/france/serveur/system-center/default.mspx)est lagammeMicrosoftdoutilsetlogicielspourladministration desS.I.Elleseveutaiderles entreprises simplifierleuradministration informatique :exploitation plusfacile,rductiondes tempsdindisponibilit,automatisationdesdploiements, etmeilleurematrisedusystme dinformation.On ytrouve:

SCOM 2007 (System Center Operation Manager), solution de supervision des environnementsWindowsoffrantunecollectedes vnementsetcompteursde performances, desfonctionsdecrationderapportsetdanalysedetendance.Cestune solutionquis'appuiesur desconnaissancesspcifiquespar lebiaisdepacksdadministration pourdesenvironnements Microsoftetautresfournisseurs.Ilsepositionnecommeun concurrentdirectdeIBM(Tivoli)oudeHP(OpenView).LaversionSCOM2007R2 permetdesuperviser lessystmesUNIXetLINUXetlesapplications hbergessurces derniers. SCCM2007(System CenterConfigurationManager),solutiondadministrationdeparc informatique,changementsetconfiguration,fournissantdesfonctionsdinventaire(matriel etlogiciels),ainsiquedetldistributiondesapplicationsetdesmisesjour(scuritet servicespack),supportdistancedesposteset serveurs. SCDPM2007 (SystemCenterDataProtectionManager),applicationde sauvegardechaud etencontinuedesdonnes avecpossibilitderestaurationparlutilisateuretbassurles technologiesdesclichsinstantanes. SCVMM 2008 (System center Virtual machine manager), solution dadministration denvironnementvirtualispermettantunemeilleureutilisationetoptimisationdesserveurs physiques.Supporteladministrationdes serveursVMwareESX. Dploiementdes postesde travail WAIK(WindowsAutomatedInstallationKit)estunKitdinstallationWindowsautomatise qui permet de personnaliser et de dployer la famille des systmes d'exploitation de MicrosoftWindowsVista.WindowsAIKpermetd'effectuerdesinstallationsWindows sansassistance,decapturerdesimagesWindowsavecImageXetdecrerdesimages

12/12/09

Page78/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

WindowsPEquiestunmini-environnementdedmarrageenmodecommandebassur WindowsVista.Tlchargementgratuitsur lesitedeMicrosoft.

WDS(WindowsDeploymentServices)permetdeproposerauxpostesdetravailenrseau unensembledimagesdinstallationpourunemigrationoumiseniveau.Cestunoutil fournitavecleservicepack3deWindowsServeur2003etintgrdansleWAIK.Cestune volutiondeRIS(RemoteInstallationServices) WindowsSystemImagemanager,outilgraphiquepourcreretmodifierlesfichiersde rponse(unattended.xml),dajouterdescomposanst,etcIlestfournitavecleWAIK. USMT3.0(UserStateMigrationTool)quipermetdesauvegarderlesfichiersetparamtres deconfigurationdu postedun utilisateurenvuedunerestaurationaprsmigration. Pour lesphasesdun dploiement:

ApplicationCompatibilityToolkit5.0 pour lacompatibilitlogicielle WindowsVistaHadwareAssessmentpour lesconfigurationsmatrielles

MDT2008(MicrosoftDeploymentToolkit),permetlautomatisationdelagestiondecycle devieduposte.Facilitelautomatisation desdploiementsdespostesdetravailetdes serveurs Windows.IlncessiteleWAIK. Continuitde serviceVirtualisation

(http://technet.microsoft.com/fr-fr/virtualization/default.aspx)

Hyper-V, technologie de virtualisation matrielle base sur une approche de type hyperviseur.Disponibledans les ditions 64 bits des diffrentesversions deWindows serveur2008.Egalementdisponibleentlchargement. Ilexisteaussiuneversionquipeut treinstalldirectementsur unemachineviergeavecloffreMicrosoftHyper-Vserver2008. VirtualServer2005 R2, virtualisationmatriellepour environnementWindows serveur 2003,utilissurtoutpourlaconsolidationetlautomatisation destests (logicielset dveloppements), hbergementdapplicationsanciennessurdesmatrielsetOSrcentset aussipour laconsolidationdes serveurs.Produitgratuit Virtual PC 2007, solution de virtualisation de postes de travail permettant dexcuter plusieurssystmesdexploitationenmmetempssurlemmeordinateur physique.Produit gratuit Scuritetmobilit ISAserveur 2006(MicrosoftInternetSecurityandAcceleration)estunesolutiondepare-feu applicatif,deVPN(rseauprivvirtuel),deproxyetcacheweb IAG2007(IntelligentApplicationGateway)estunensembledetechnologiesoffrantla possibilitdaccder defaonsimpleetscurisauxdonnesetauxapplicationspublies partirdenombreuxappareilsdiffrents(PDAcompris)etcecidepuisnimportequelsite reliInternet

12/12/09

Page79/80

gbp-v1-0.odm

GuidedeBonnesPratiquesOrganisationnellespourlesASR

Gestiondes correctifsde scuritsetde servicespack WSUS 3.0(WindowsserverUpdateServices)estunproduitquipermetdegrerdefaon contrle lesdiffrentesmisesjourpubliessurlesitedeMicrosoftUpdate(Correctifs, servicespacks,hotfix).Produittlchargeablesur lesitedeMicrosoft. Etenfinpourtousles utilisateursavertis
(http://technet.microsoft.com/fr-fr/sysinternals/default.aspx)

LacollectiondutilitairesSysInternalscreparMarkRussinovichetBruceCogswellet rachetdepuisparMicrosoftconstitueuneminedoutilstotalementindispensable pourdes outils systmes sous Windows :Utilitaires disques, Utilitaires rseau, utilitaires de ressourcesetdeprocessus,Utilitairesdescurit...

12/12/09

Page80/80

gbp-v1-0.odm