Section 7 : Les activités d'exploitation informatique
description
Transcript of Section 7 : Les activités d'exploitation informatique
Les activités d’exploitation informatique
Gestion des technologies de l’information – GEST310
Pascale Vande Velde
|2
Agenda
• Activités d’exploitation – ITIL • Sécurité• Audit• Disponibilité
|3
Introduction
• Les entreprises deviennent de plus en plus dépendantes de l’informatique. Cela les conduit à avoir des exigences de plus en plus fortes quant à la qualité des services IT– ITIL est de plus en plus utilisé comme cadre d’organisation des services
informatiques • Les systèmes informatiques deviennent incontournables. Leur
indisponibilité pose des problèmes de discontinuité d’activités de plus en plus aigus– Des systèmes de disaster recovery souvent très coûteux sont mis en place
pour pallier toute faille des systèmes• Les systèmes informatiques fonctionnent en réseaux. L’internet a
fortement complexifié les problématiques de sécurité de ces systèmes– Evolution rapide et investissements lourds en mesures de sécurité
• Le département Exploitation est responsable de ces activités
|4
Qu’est ce qu’un service IT ?
• Ensemble de fonctions fournies par les systèmes IT en support des métiers (gestion du parc PC, gestion des applications au jour le jour, production d’outputs, gestion des accès aux applications, helpdesk, etc...)
• Un service est constitué de composants software, hardware et de communication (réseaux)
• Les services peuvent couvrir de nombreux domaines : depuis l’accès à une application jusqu’à la mise à disposition d’un service impliquant plusieurs applications, des réseaux, etc...– Exemples :
• Disponibilité de systèmes critiques• Transactions sécurisées sur réseaux ouverts• Transfert de données entre applications via un WAN
|5
Définition de ITIL
• ITIL (“Information Technology Infrastructure Library”) est un ensemble de recommendations développé par le UK Office of Government Commerce
• Ces recommendations sont documentées et décrivent un cadre de gestion des services IT intégré et basé sur les différents processus de fournitures de services
• Développé dans les années ’80 pour le gouvernement britannique, l’ ITIL est devenu une référence mondiale en matière de gestion de services IT
• Plusieurs centaines de sociétés ont implémentés des processus conformes à ITIL
• Objectifs du modèle ITIL– Faciliter une gestion de qualité des services IT– Améliorer l’efficacité– Réduire les risques– Fournir un “best practice”
|6
Modèle ITIL
Source: ITIL CD ROM
Service Support
Configuration Management
Incident Management
Problem Management
Change Management
Release Management
Service Delivery
Service Continuity
Capacity Management
Financial Management
Service Level Management
Availability Management
• Hypothèse ITIL : les fonctions suivantes sont essentielles afin de livrer des services IT de qualité
• ITIL propose une approche structurée pour définir, implémenter et gérer chacune de ces fonctions au jour le jour
|7
Modèle ITIL
• Service support– Assure que l’utilisateur a accès aux services appropriés pour supporter
les fonctions métiers• Release management• Problem management• Change management• Incident management• Configuration management
• Service delivery– Quels sont les services demandés par les métiers afin de servir
correctement les clients de l’entreprise• Service level management • Availability management• Service continuity• Financial management• Capacity management
|8
Modèle ITIL – Service delivery
• Service level management – Processus incluant la définition, négociation, mise au point d’un contrat de
SLA– Processus de gestion de ces contrats – Processus de revues de niveaux de services utilisateurs– Prioritisation des services (requis, coûts justifiés)
• Capacity management– Processus de planification, définition et gestion de la capacité des systèmes
IT – Se base sur des critères (temps de réponse, volumes, etc..) définis dans le
cadre des niveaux de services• Service continuity
– Processus définissant comment adresser et résoudre des “calamités” – pannes, incendies, fraudes informatiques....
– Définit également comment éviter que des incidents deviennent des “calamités”
|9
Modèle ITIL – Service delivery
• Availability management– Processus de planification, optimisation et exécution des activités
requises pour gérer la disponibilité des services IT au jour le jour– Processus d’exécution de maintenance corrective et évolutive afin de
rencontrer les besoins de disponibilités requis par les métiers
• Financial management– La gestion et le chargement des services IT aux métiers– Ceci nécessite d’identifier et de classifier les différents composants de
coûts et de calculer les coûts liés à chaque service (comptabilité analytique)
|10
Modèle ITIL – Service support
• Configuration management– Processus d’identification et de définition des éléments de configuration
dans un système (écrans, tables, formats, interfaces, etc...)– Processus d’enregistrement des éléments de configuration et de leur
statut– Processus de vérification du caractère correct et complet de ces éléments
de configuration
• Problem management– Processus de contrôle des incidents, erreurs, problèmes– Processus de pilotage des incidents, erreurs, problèmes– Objectif principal : s’assurer que les services fournis sont stables, précis
et fournis à temps
|11
Modèle ITIL – Service support
• Release management– Processus de contrôle de la distribution, gestion, enregistrement physique et
implémentation de nouveaux éléments de software– S’assurer que uniquement des versions autorisées et dûment vérifiées en
termes de qualité sont portées dans l’environnement de production• Change management
– Processus de gestion et de contrôle des requêtes en vue d’effectuer des changements à l’infrastructure IT ou aux services IT
– Processus de gestion et de contrôle de l’implémentation de ces changements• Incident management
– Processus de gestion des incidents (support de première ligne par le helpdesk, support de 2e et 3e lignes dans les départements développements ou exploitation)
– Le helpdesk est un point de contact unique pour rapporter les erreurs de systèmes observées
|12
L’application de ITIL
• Au cours du dernier trimestre 2001, itSMF fit réaliser une enquête sur la compréhension et l’application des méthodes ITIL au Royaume-Uni
• Plus de 100 entreprises ou agences gouvernementales participèrent à l’enquête• 87% d’entre elles se considéraient comme utilisateurs de ITIL ou appliquaient dans
une certaine mesure les principes ITIL
Full ITIL Users 28%
Partial ITIL Users 59%
Non ITIL Users 13%
Sources: http://www.itsmf.com/members/marketresearch.asp
itSMF : IT Service Management Forum
|13
Bénéfices attendus
• La performance des initiatives de gestion de services est nettement plus élevée quand ces initiatives sont basées sur l’approche et le modèle ITIL
• Pour ceux utilisant l’approche ITIL, 97% déclarent que leur entreprise a engrangé des résultats. 70% déclarent que ces résultats sont mesurables et quantifiables
Sources: http://www.itsmf.com/members/marketresearch.asp
|14
Bénéfices attendus
• Les entreprises interrogées reconnaissent avoir vécu un changement positif au niveau de la culture de fourniture de services (80% des utilisateurs)
• Finalement, dans un contexte de gestion de services, la perception de l’amélioration des services par le client est extrêmement importante. Plus de 70% des utilisateurs ITIL affirment que leurs clients ont observé les améliorations de services apportées
Sources: http://www.itsmf.com/members/marketresearch.asp
|15
Sécurité - Définition
• Sécurité : moyens de protéger des actifs (gens, actifs tangibles, intangibles). L’objectif est de minimiser les pertes
• Sécurité informatique : protection des actifs informatiques (données, applications, serveurs, processus)
• La sécurité est avant tout une préoccupation des métiers• La sécurité fait partie de la gestion des risques. Il faut évaluer les
risques et les mitiger, si ceci est justifié économiquement• Types de risques
– Opérationnel : arrêt du fonctionnement normal d’une application (par exemple, suite à une attaque internet)
– Légal : l’entreprise ne peut plus remplir ses obligations légales et réglementaires (par exemple, divulgation de données confidentielles)
– Financier : coût financier direct (par exemple, fraude informatique)
|16
Sécurité informatique – Préoccupations des métiers• Productivité
– Elle est améliorée quand on exclut des évènements qui font perdre du temps ou empèchent le bon fonctionnement de l’organisation (par ex, virus détruisant de l’information).
– Préoccupations : contrôle des spam et la mauvaise utilisation de l’internet• Réglementation
– Nombreuses réglementations dans l’entreprise (gestion financière, fonctionnement d’un front office, etc...). Elles nécessitent de sauver et de conserver des données et enregistrements, y compris qui est responsable d’actions/décisions, etc...
– Préoccupations : sauver, conserver et protéger ces données• Privacy and Digital Rights Management
– Assure que l’information confidentielle ne soit pas divulguée. Privacy concerne l’information personnelle. DRM concerne l’information professionnelle à valeur commerciale.
– Préoccupations : encrypter les données, autorisations
|17
Sécurité informatique – Préoccupations des métiers• Disponibilité
– La continuité des activités nécessite la disponibilité des systèmes (par exemple, une attaque informatique peut causer l’arrêt d’un système) et des données
– Préoccupations : dupliquer les données et systèmes, architectures de back ups
• Intégrité– Maintenir l’intégrité des processus, données, applications est
essentielle. Lors d’une intrusion, cette intégrité peut être mise en danger
– Préoccupations : architectures de sécurité internet, profils d’accès, etc..
|18
Sécurité informatique – Exemples de moyens• Protection des frontières
– Anti virus– Filtrage de données– Systèmes de détection d’intrusion– Systèmes de protection contre les intrusions– Firewalls
• Sécurité de l’infrastructure– Firewalls– Encryption de données sauvegardées
• Sécurité des communications– Encryption– PKI– VPN
|19
Sécurité informatique – Exemples de moyens• Gestion de la sécurité
– Audits– Gestion des procédures– Evaluation de sécurité– Gestion des versions, configurations
• Gestion des utilisateurs– Contrôle d’accès– Authentication– Identification
|20
Sécurité informatique – Illustration PC banking
Bank core system
End UserClient
LocalDirector
Firewall
Firewall
CommServer
InternalNetwork
DB Server
App Server App Server
App Server
App Server
Internet
SSL
H9000
H9000
H9000
H9000
Internal Network
DB Server
Workstation
Cash Dispensersand other EMP
TerminalsTelephone Banking
CommServer
Front end Back end
|21
Gestion de la sécurité
• Accès physique• Personnel• Equipements• Organisation technique• Softwares• Aspects organisationnels• Sécurité des données• Calamités
|22
Accès physique
• Management– Définit les procédures d’accès– Définit les tâches du personnel de sécurité
• Exécution– Nommer un security manager– Procédures pour la gestion des systèmes– Procédures en cas de vol ou de destruction– Procédures pour visiteurs– Procédures pour le personnel de nettoyage– Gestion des fournisseurs– Procédure pour les heures supplémentaires
|23
Personnel
• Recrutement– Règles de recrutement– Motifs pour une démission précédente– Règles de recrutement du personnel de sécurité
• Enregistrement du personnel– Présences– Heures supplémentaires – Vacances
• Fonctions– Etre formé et expérimenté– Règles pour un remplacement– Job rotation– Descriptions de fonctions– Evaluation du personnel– Objectifs personnels (rapporter les anomalies à au moins 2 personnes)
• Procédures de démission
|24
Equipement
• Acquisition, location– Se mettre d’accord sur les aspects de sécurité– Documentation– Installation et acceptation
• Maintenance (remote, outsourced)– Se mettre d’accord sur les aspects de sécurité– Documentation
• Pannes– Alertes de pannes– Procédures de redémarrage– Contrôle interne sur les réparations– Monitoring des pannes– Test du disaster recovery plan
|25
Organisation technique
• Maintenance périodique• Rapports d’incidents• Enregistrement des incidents• Documentation
– Plan d’étage– Inventaire des équipements– Liste des contrats de maintenance
|26
Softwares
• Gestion des releases et des versions• Documentation• Librairie des programmes• Règles de back up et recovery• Utilisation de programmes de correction et d’urgence• Gestion des disques et des fichiers• Echanges de fichiers avec des tiers• Procédures d’acceptation (développement) • Les procédures en matière de définition de profils utilisateurs• Les procédures “super user”• L’encryption des données
|27
Aspects organisationnels
• Département IT indépendant des autres départements• Séparation entre transactions et contrôle, approbations• Définition claire des rôles et responsabilités• Planning de production• Gestion des pannes• Contrôles inputs/outputs• Séparation des rôles entre production/input de
données/développement• Contrôle de l’usage des documents d’inputs et d’outputs• Contrôle de la complétude des rapports
|28
Sécurité des données
• Passwords• Autorisations et accès• Profils utilisateurs• Encryption des données• Sécurité réseaux• Signatures électroniques• Back ups
|29
Calamités
• Feu– Avoir un back up dans un autre bâtiment– Avoir des détecteurs de feu– No smoking– Bâtiment équipé pour retarder le feu– Intervention des pompiers rapide
• Panne d’électricité– Back up - recovery
• Dégâts des eaux– Détecteurs– Pouvoir évacuer l’eau facilement
|30
Sécurité du système
Règles d’autorisation
Règles de sécurité
Système d’autorisation
Modèle de données
Transaction manager
Data manager
Profils utilisateurs
Log file
Login
Authentication
DBA Administrateur de sécurité
Super user
Base de données
UtilisateursAuditeur
|31
Audit - Définition
• Définition– “Auditing is a systematic process of objectively
obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria, and communicating the results to interested users.” American Accouting Association (AAA)
|32
Audit - Définition
• Un processus systématique– Structuré comme une activité dynamique de manière logique– Une approche non planifiée en matière d’audit informatique peut
conduire à négliger d’importants domaines de processing• Obtenir et évaluer les preuves
– Fiabilité de la structure de contrôle• Tests afin de vérifier que la fonction de contrôle fonctionne comme convenu
– Contenu des fichiers• Tests pour vérifier la cohérence des fichiers avec les transactions de la société
• Confirmer la correspondance entre les critéres préétablis et les assertions
• Communiquer les résultats aux parties intéressées– Autres membres de l’audit, direction, etc...
|33
Audit de sécurité et schéma général d’audit
Audit
Security audit Company audit
Accounting system
Internal control system
IT audit
• Sécurité et privacy• Disponibilité• Confidentialité• Accessibilité
• Vérification de l’approche d’audit
• Contrôle des systèmes IT
• Approche d’audit des systèmes IT
Security manager External auditor
|34
Audit informatique
• Problèmes spécifiques à un audit informatique– Concentration du traitement des données– Consultation des données par le personnel IT– Les données peuvent être détruites– Les données sont très compactes (peuvent être perdues, volées,
etc...)– Disparition de documents de base (téléphone,...)– Prise de décision automatisée– Plus de complexité– Vulnérabilité (réseaux)
• L’audit informatique est très spécialisé et évolue rapidement
|35
Evaluation du risque de contrôle
• Objectif– L’objectif d’une évaluation du risque de contrôle est d’évaluer
l’efficacité des structures de contrôle internes d’une entreprise à prévenir ou détecter des malversations importantes dans la comptabilité
• Risque de contrôle– La probabilité que les malversations dans les données comptables ne
soient pas prévenues ou détectées et corrigées
• Structure de contrôle– Les règles et procédures mises en place par l’entreprise pour fournir
une garantie raisonnable que les objectifs établis seront atteints
|36
L’environnement de contrôle
• L’effet collectif de différents facteurs sur la mise en place, l’amélioration et la mitigation de l’efficacité de règles et procédures spécifiques– La philosophie de management et le style de gestion– La structure organisationnelle de l’entreprise– Le fonctionnement du comité de direction et du comité d’audit– Les méthodes de responsabilisation– Les méthodes d’audit interne et de contrôle de performance– Les règles en matière de personnel et les pratiques– Différents facteurs externes
• Reflète l’attitude générale, la prise de conscience et les actions relatives à l’importance du contrôle
|37
Le système comptable
• Le système comptable consiste en méthodes et des enregistrements mis en place pour identifier, assembler, analyser, classifier, enregistrer et rapporter les transactions d’une entreprise et pour gérer et rapporter les actifs et dettes de l’entreprise. Cela inclut la capacité de :– Identifier et enregistrer toutes les transactions valides– Décrire les transactions avec un niveau de détail suffisant que
pour classifier ces transactions correctement dans la comptabilité
– Mesurer la valeur des transactions d’une manière qui permette d’enregistrer leur valeur monétaire correctement
– Définir la période au cours de laquelle la transaction a eu lieu– Présenter correctement les transactions et leurs disclosures
dans les états financiers
|38
Les procédures de contrôle
• Les règles et procédures que le management a mis en place pour fournir une garantie raisonnable que les objectifs de l’entreprise seront atteints en matière d’audit. Ceci inclut :– Autorisation correcte des transactions et des activités– Ségrégation des rôles et responsabilités– Définition de mécanismes de sauvegarde en ce qui concerne
l’accès et l’utilisation des enregistrements et des actifs– Vérifications indépendantes sur la valorisation des montants
enregistrés
|39
Impact de l’IT sur les contrôles comptables
• Exemples– Des activités décentralisées effectuées par différents employés
peuvent être centralisées dans un seul ordinateur,oubliant un contrôle interne
– Pas d’audit trail– Quand le nombre d’employés impliqués dans le comptabilité diminue,
on élimine les procédures de 4-eye check– Erreurs systématiques au lieu d’être aléatoires– Besoin de gens spécialisés pour auditer l’activité– L’auditeur IT doit être impliqué dans la conception du système de
comptabilité pour prévoir les contrôles nécessaires– Fraude informatique (checks non autorisés,...)
|40
L’audit trail
• L’audit trail est un ensemble d’enregistrements qui permettent de tracer des transactions, des activités depuis leur origine
• Le systéme informatique peut impacter l’audit trail de différentes manières :– Documents source sauvés de manière difficilement accessibles– Documents source éliminés– Pas de listing de transactions ou de journaux– Rapports papier uniquement pour les exceptions– Des programmes sont toujours nécessaires pour accéder aux données– Séquence des données et des activités difficile à observer
|41
Disponibilité – coût d’un arrêt d’activité
7% des sociétés avec des revenus > $5bn ont connu un arrêt d’activité qui leur a coûté plus de $5m au cours des 12 derniers mois….
Source – Continuity Insights/KPMG 2003
Impact financier
< $100k
$100k - $500k
$500k - $1m
$1m - $5m
> $5m
|42
Disponibilité – causes d’arrêt d’activité
Interférences humainese.g. erreur d’opérateur, actes malhonnêtes, sabotage, grèves, virus
Dégâts des eaux Coupure d’électricté
Forces naturellese.g. inondations, tremblements de terre, ouragans
Incendie Panne de communication
Panne d’un système majeur
|43
Définition de Business Continuity
• Business Continuity Management concerne la gestion des risques pour s’assurer que, à tout moment, une organisation peut continuer à fonctionner à un niveau minimum pré déterminé
• Cela inclut :– Evaluer et réduire les risques– Planifier pour le redémarrage de processus clés quand un risque se
matérialise et un arrêt d’activité se produit– Tester ces plans de manière régulière
• Business continuity ne concerne pas uniquement les systèmes IT mais également les gens, des actifs physiques, des bureaux et des documents critiques
• Seulement 25% des entreprises ont un Business Continuity Plan. D’ici 2007, 75% des entreprises devraient avoir un BCP (source : Gartner)
|44
Définition de Business Continuity
• Business continuity management est appelé de différentes manières :– Business continuity planning– Disaster recovery planning– Business recovery planning– Business resumption planning– Crisis management– Contingency planning
|45
Disponibilité – Niveaux de servicesINTERRUPTION WINDOW: BUSINESS PROCESS 1INTERRUPTION WINDOW: BUSINESS PROCESS 1
Time
Service Level
Normal SLA
Minimum SLA
RTO (Min. SLA)
Normal Operation
Interruption
Recovery Period Minimum Service Normal Operation Restored
RTO (Minimum SLA):
RTO (Normal Operations)
RTO (Normal Operations):
RPO
Potential Loss of
Information
RPO:
Minimum SLA:
2 Days
10 Days
Start of Day
x% of orders processed within y mins of receipt
|46
Business continuity – évolution historique
Périmètre historiqueRéplication et backup
Duplication de données Backup & recovery Storage-centric
Périmètre IT
Text
Infrastructure (e.g., réseaux, serveurs)
Applications Centre de données sécurisé
Périmètre Business + IT
Processus métiers et composants IT
Systèmes, processus et personnes
Text