Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER

Le 17 avril 2013

Pavillon Dauphine, Paris

Assises DATACENTER

Nathan SROUR

Principal

+33 (0) 6 09 06 76 91

[email protected]

www.orsypconsulting.com

Le présent document est la propriété exclusive de ORSYP SAS et ne peut être diffusé par quelque moyen que ce soit à une tierce personne n'appartenant pas à CESIT sans l'autorisation préalable de ORSYP SAS

Le présent document est l’analyse d’ORSYP Consulting à la demande du CESIT.

Damien CONVERT

Consultant Senior

+33 (0) 6 08 12 14 27

[email protected]

Assises DATACENTER

Nathan SROUR

Principal, Consultant en Management du SI

Membre de la Commission Normalisation Ingénierie Qualité des Logiciels et des Systèmes auprès de l’AFNOR(développement des normes de la série ISO20000)

Expert ITIL, ISO 20000,

Expérience opérationnelle dans la production IT

Revue par Frederic CHARRON

Assises DATACENTER

Tendances & Evolution de l'Ecosystème

Les normes de l'industrie Informatique

Focus sur ISO 20000

Illustration : Cas concrets

Conclusion

Assises DATACENTER

Vers une spécialisation des offres

◦ Hébergement en colocation

◦ Hébergement managé

◦ Privatif (plein propriété)

Des organisations informatiques en évolution

◦ Traditionnel (au sein d’une DSI)

◦ Opérateurs en Cloud,

◦ GIE Informatique,

◦ Sociétés de Gestion de Datacenter

Un besoin d’accréditation accrue

◦ Niveau d’exigences en croissance exponentielle

◦ Réglementations internationales

◦ Conformités aux normes

Une abondance de normes et standards

◦ SAS 70, PCI DSS, …

◦ ISO 27000, ISO 14000

◦ NFC 15-100, …

Assises DATACENTER



Focus sur ISO 20000


Conclusion

Assises DATACENTER

Domaine NFC 15 -100

SAS 70

PCI DSS Uptime Institute

BS OHSAS

ISO 27000

ISO 14000

ISO 9000

Technologique O O O

Sécurité O O O

Environnement O

Qualité O

Services

Aucune de ces normes n’engage ou ne démontre la présence d’un système de Gouvernance des opérations du Datacenter vis-à-vis de la Production Informatique.

Assises DATACENTER

Les opérations du DataCenter sont-ils un domaine du SI sans cadre et sans suivi ?

Est-il envisageable d’engager une relation Client / Fournisseur permettant d’établir des liens structurants entre et les besoins de l’IT, définis comme le Client, et les opérations du DataCenter, positionné comme le Fournisseur ?

Assises DATACENTER



Focus sur ISO 20000


Conclusion

Assises DATACENTER

ISO/IEC 20000

Propriétaire ISO/IEC

Domaine d’application/ auditoire

Organisation bénéficiaire de services

Fournisseur de services IT (GIE Informatique, Production Informatique, Opérateurs Cloud, …)

Objectif Mise en place d’une approche orientée processus pour la fourniture de services IT

Divers Compatible avec les systèmes de management ISO 9000 et ISO 27000

Norme spécifique au domaine informatique

Assises DATACENTER

4

5

6

Exigences générales du Système de

gestion des Services

4.1 - Responsabilité de la direction

4.2 - Gouvernance des processus opérés par des tiers4.3 - Gestion de la documentation

4.4 - Gestion des ressources

4.5 - Etablir et améliorer le SMS

Conception et transition des

modifications ou création de services

Processus de fourniture des services

6.1 - Niveaux de service

6.2 - Rapport de service6.3 - Continuité & Disponibilité

6.4 - Budgétisation & Comptabilisation

6.5 - Gestion de la Capacité6.6 - Gestion de la Sécurité

78

7.1 - Relations clients

7.2 - Relations fournisseurs

Gestion des relations

8.1 - Gestion des Incidents

et des demandes de services8.2 - Gestion des Problèmes

Processus de Résolution

1 Périmètre

3 Termes et définitions

2 Références normatives

9

9.1 - Configurations

9.2 - Changements9.3 - Déploiements et mises en production

Contrôle

Résolution

5.1 - Généralités

5.2 - Planifier des modifications ou création de services5.3 - Concevoir et développer des modifications ou création de services

5.4 - Transition des modifications ou création de services

Client

Exigence de

Services

Client

Services

Fournisseurs de Services

Assises DATACENTER

Domaine NFC 15 -100

SAS 70

PCI DSS Uptime Institute

BS OHSAS

ISO 27000

ISO 14000

ISO 9000

ISO 20000

Technologique O O O

Sécurité O O O O

Environnement O

Qualité O O

Services O

Assises DATACENTER

Pour les opérations du Datacenter ?

Une culture de services renforcée

Des processus qui vont gagner en maturité, en efficacité et en efficience

Une démarche d’amélioration continue La reconnaissance de l’adoption des meilleures pratiques du marché, gage de Professionnalisme

Maîtrise des coûts

La possibilité de se démarquer par son excellence

− Créer un nouveau business et/ou attirer de nouveaux Clients

− Pénétrer des marchés plus vastes (le standard est international)

− Donner aux opérations du Datacenter un avantage basé sur la Qualité

Pour ses Clients ? Une Qualité de Service, gage de confiance et de meilleure satisfaction Client

Des processus alignés sur les meilleures pratiques ITIL

Un Système de Management des Services facilement compréhensible.

Assises DATACENTER

Dans une perspective d’amélioration continue, il convient de bien définir le champ d'application du Système de Management des Services.

Les paramètres à considérer doivent cibler :

Les services fournis aux Clients

Les Clients bénéficiaires des services

L’organisation du Fournisseur de Services

Les localisations géographiques du Fournisseur de Services

L’infrastructure de gestion du Fournisseur de Services

Assises DATACENTER



Focus sur ISO 20000


Conclusion

Assises DATACENTER

Hébergement du SI

Exécution des

consignes

Installation

d’OS

Administration

des

applications

Supervision du

SI

Hébergement

avec gestion de salle

Gestion de

proximité,

Plan de salle,

inventaire,

Hébergement sec

Sécurité

périmétrique,

Energie (clim,

HQ),

règles

d’urbanisatio

ns,

moyens

généraux du

bâtiment

Exploitation du S.I

Gestion de salle

Cas pratique : Hébergement du SI

La norme est déjà utilisée pour assurer la gouvernance des services liés à l’hébergement du S.I, (Exemple : SYSTALIANS, GIE Informatique dont le retour d’expérience a été présenté aux Assises Gouvernance et ITIL du 26 février 2013)

Champ d’application

Assises DATACENTER


Hébergement du SI

Exécution des

consignes

Installation

d’OS

Administration

des

applications

Supervision du

SI

Hébergement


Gestion de

proximité,

Plan de salle,

inventaire,

Hébergement sec

Sécurité

périmétrique,

Energie (clim,

HQ),

règles

d’urbanisatio

ns,

moyens

généraux du

bâtiment

Exploitation du S.I

Gestion de salle

Cas pratique : Hébergement avec gestion de salle

Les services cœurs de métier fournis à l’hébergeur du S.I sont couverts. La démarche d’amélioration orientée vers les directions ou entreprises utilisatrices du S.I doit inclure les services d’hébergement du S.I

Assises DATACENTER

Cas pratique : Hébergement sec

Hébergement du SI

Exécution des

consignes

Installation

d’OS

Administration

des

applications

Supervision du

SI

Hébergement


Gestion de

proximité,

Plan de salle,

inventaire,

Hébergement sec

Sécurité

périmétrique,

Energie (clim,

HQ),

règles

d’urbanisatio

ns,

moyens

généraux du

bâtiment

Exploitation du S.I

Gestion de salle

Les services cœurs de métier fournis à l’hébergeur du S.I sont partiellement couverts La démarche d’amélioration orientée vers l’hébergeur du S.I doit inclure les services de gestion de salle


Assises DATACENTER

Cas pratique : Hébergement en colocation

Hébergeur de colocation

Exploitant 2

Exploitant 2

Client

Fournisseurs de services

Exploitant 1

Client Niveau de maturité

Le Fournisseur de Service doit cibler le(s) client(s) qui disposent d’un niveau de maturité suffisant pour exprimer leurs exigences de services (planification des changements, exigence de capacités, etc. )


Assises DATACENTER

Hébergeur du S.I

Fournisseur Y


Fournisseurs

Direction utilisatrice

Client

Cas pratique : La DSI est le Fournisseur de Services

La DSI impose ses cahiers des charges auprès de l’hébergeur du S.I, reçoit et contrôle les prestations en regards de ses attendus. Dans le cadre d’une initiative de progrès, l’hébergeur du S.I devra tendre vers l’adoption d’un système de management de la qualité

DSI

Exigence de Services

Prestations

Exigence de Services

Prestations

La norme est déjà utilisée par les DSI pour assurer la gouvernance des services (Exemple : Pôle Emploi, Thales, BnP Paribas, …).


Assises DATACENTER

Gestionnaire de salle

Hébergeur sec

Exploitant du S.I

DSI

Cas pratique : L’Organisation du Fournisseur de Service n’assure qu’une fonction

Client


L’apport de la norme est incomplet pour la DSI car la chaîne de fourniture de services n’est pas couverte de bout en bout. Dans le cadre d’une démarche d’amélioration, une extension progressive du périmètre sera requise par le DSI pour permettre la certification d’entreprise


Assises DATACENTER

Cas pratique : L’Organisation des Fournisseurs s’appuie sur des sous-traitants

Hébergeur gestionnaire de

salle

Hébergeur du S.I Fournisseur X

DSI

Fournisseur Y

Hébergeur sec

Fournisseur De Services

Fournisseurs

Sous-traitant

Client

La norme ne couvre pas la gestion des sous-traitants. Le Fournisseur de Services devra auditer ses sous-traitants (i.e. les Fournisseurs de rang 2) pour s’assurer que les prestations délivrées lui garantissent sa conformité.


Assises DATACENTER

DSI, GIE

Informatique, …

Fournisseur de Services

Site principal

Client

Cas pratique : Localisation géographique du site de secours non couvert

Hébergeur avec gestion de salle

Site de secours

RTO < 24h ?

Localisation A Localisation B

Le site principal sera certifié en priorité de façon à améliorer l’engagement de services en termes de disponibilité. Au titre de l’amélioration continue, la certification sera étendue aux autres localisations. Cela permettra notamment d’améliorer le respect des exigences de continuité exprimées par les clients


Assises DATACENTER

Les outils de sureté, la GTB et la DCIM devront être intégrés dans le champ d’application en priorité. Dans le cadre de l’amélioration continue, la GMAO pourra être intégré.

Exploitant du S.I

Fournisseur de Services

Client

Cas pratique : « GMAO non couverte »

Hébergeur avec gestion de salle

Outils de sûreté

DCIM

GTB

GMAO


Assises DATACENTER



Focus sur ISO 20000


Conclusion

Assises DATACENTER

◦ La certification ISO 20000 est une démarche itérative et progressive : elle s’appuie sur l’extension des champs d’application. Cette approche est certainement celle qui permettra d’aboutir plus facilement ou plus certainement à une certification d’entreprise.

◦ Les opérations du Datacenter sont un champ d’application certifiable et adapté aux différentes typologies d’hébergement.

◦ La norme ISO 20000 apporte un système de gouvernance efficace pour les opérations du Datacenter ◦ Définit et engage la mise en place des processus

◦ Structure la relation avec les exploitants IT

◦ Etablit des indicateurs de suivi des services

◦ Plan Qualité définit et maîtrisée

◦ Démarche d’amélioration continue

◦ La certification ISO 20000 des opérations du Datacenter permettra de démontrer l’excellence opérationnelle en termes de gestion des services.

Assises DATACENTER

NFC 15-100

Propriétaire AFNOR


Bâtiments à usage commercial, établissements industriels, notamment les Datacenter

Objectif Conception, réalisation, vérification et entretien des installations électriques basse tension en France

Divers

Norme régulièrement mise à jour pour prendre en compte les évolutions des technologies et techniques ainsi que des évolutions en termes de sécurité des installations en question

Norme générique

Assises DATACENTER

Classification en tiers des Datacenter

Propriétaire UPTIME INSTITUTE


Datacenter

Objectif Evaluer le niveau de résilience offert par les infrastructures techniques du DataCenter

Divers Système de classification des DataCenter en quatre niveaux déterminés selon leur degré de fiabilité et de redondance


Assises DATACENTER

SAS 70 (ou ISAE 3402)

Propriétaire American Institute of Certified Public Accountants


Entreprises qui offrent des prestations susceptibles d’affecter la situation financière de leurs client

Objectif Dispositif de contrôle interne

Divers

Cette norme comporte deux niveaux

Le premier (Type I) porte sur la description des activités de la société et sur la pertinence des contrôles.

Le deuxième niveau (type II) évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70.

Norme générique

Assises DATACENTER

Payment Card Industry Data Security Standard

Propriétaire European Payment Council


- Entreprises émettrices de cartes de paiement

- Du S.I jusqu’à son hébergement au sein du Datacenter

Objectif Sécurité des données pour les industries de carte de paiement

Divers Protéger leurs données et à prévenir les fraudes.


Assises DATACENTER

BS OHSAS 18001

Propriétaire BSI Group


Tout type d’entreprise

Objectif Management de la Santé et de la Sécurité au Travail

Divers Compatible avec les Systèmes de Management ISO 9000 pour la qualité, ISO 14000 pour l’environnement

Norme générique

Assises DATACENTER

ISO/IEC 27000

Propriétaire ISO/IEC


Tous les types d’organisations / management, clients

Objectif Standard international de sécurité de l’information, entreprises certifiées

Divers Compatible avec le système de management ISO 9000, pour la qualité et ISO 20000, pour la gestion des services


Assises DATACENTER

ISO 14000

Propriétaire ISO


Organisations qui veulent mettre en œuvre une gestion visant à maîtriser leurs impacts sur l'environnement

Objectif Système de management environnemental

Divers Compatible avec le système de management ISO 9000, pour la qualité

Norme générique

Assises DATACENTER

ISO 9000

Propriétaire ISO


Industrie et fournisseurs de services/ management, clients

Objectif Standard international de gestion de la qualité, entreprises certifiées

Divers

Compatible avec le système de management ISO 27000 pour la sécurité, et ISO 20000 pour les services

Norme générique

Le 17 avril 2013 Pavillon Dauphine, Paris

Documents

Transcript of Le 17 avril 2013 Pavillon Dauphine, Paris