GBP V1 0

Guide de Bonnes Pratiques Organisationnelles pour les ASR
Guide de bonnes pratiques organisationnelles pour les Administrateurs Systmes et Rseaux

dans les units de recherche
.. Olivier Brand-Foissac Laurette Chardon Marie David Maurice Libes Gilles Requil Alain Rivet Contact : gbp@listes.resinfo.org
12/12/09
Page 1 / 80
gbp-v1-0.odm
Table des matires

INTRODUCTION..........................................................................................................................................4 LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES..............8
1- Une dmarche qualit dans les units de recherche...............................................................9

1.1- Description des modles ITIL et ISO-20000...................................................................................9 1.2- Transposition au contexte ASR dans une unit de recherche........................................................10 1.2.1- Dfinir le primtre d'action..................................................................................................10 1.2.2- Mettre en place une gestion des configurations.....................................................................10 1.2.3- Dfinir les niveaux de service...............................................................................................10 1.2.4- Dfinir la continuit de service.............................................................................................10 1.2.5- Grer les interventions..........................................................................................................11 1.2.6- Grer les dysfonctionnements...............................................................................................11 1.2.7- Assurer les changements et mise en production....................................................................11 1.3- Dfinition du primtre.................................................................................................................12
2- La gestion des configurations.................................................................................................14

2.1- Ce qu'il faut prendre en compte.....................................................................................................14 2.2- Comment organiser la gestion des configurations.........................................................................15
3- La gestion des niveaux de service...........................................................................................16

3.1- Dterminer les services considrer.............................................................................................16 3.2- Quel niveau pour quel service ?....................................................................................................17
4- La gestion de la continuit de service....................................................................................18 5- La gestion des interventions...................................................................................................19

5.1- Ce qu'il faut prendre en compte.....................................................................................................19 5.2- Comment organiser la gestion des interventions...........................................................................19 5.2.1- Optimiser les ressources pour acclrer le traitement des interventions...............................19 5.2.2- Analyser les interventions.....................................................................................................19
6- La gestion des dysfonctionnements........................................................................................21

6.1- La gestion des incidents................................................................................................................21 6.2- La gestion des problmes..............................................................................................................21
7- La gestion des changements et de la mise en production.....................................................23 8- La Documentation...................................................................................................................25

8.1- La documentation pour les utilisateurs..........................................................................................25 8.2- La documentation technique destine aux ASR............................................................................26 8.3- Comment raliser ces documentations ?........................................................................................26
9- Les bonnes pratiques dans la gestion de la scurit des systmes d'information .............28
9.1- Grands principes d'organisation de la scurit au sein du laboratoire...........................................28 9.1.1- Dfinition du primtre sur lequel doit porter la scurit du S.I...........................................28 9.1.2- Implication de la direction vis--vis de la scurit de l'information......................................29 9.1.3- Coordination de la scurit de l'information..........................................................................29 9.1.4- Formation et sensibilisation la scurit du S.I....................................................................29 9.2- Analyse des donnes du Systme d'Information de l'unit Analyse des besoins de scurit.......29 9.3- Apprciation des risques...............................................................................................................30 9.3.1- Identification des menaces et vulnrabilits..........................................................................30 9.3.2- Identification des impacts......................................................................................................31 9.4- Traitement des risques...................................................................................................................31 9.5- Bonnes pratiques dans la mise en uvre de la scurit informatique : exemples de mesures de scurit courante...................................................................................................................................32 9.5.1- Scurit physique des locaux................................................................................................32 9.5.2- Scurit du matriel et du cblage.........................................................................................32
12/12/09
Page 2 / 80
gbp-v1-0.odm
9.5.3- Mise au rebut ou recyclage....................................................................................................32 9.5.4- Procdures de scurit informatique lies l'exploitation :...................................................33 9.5.4.a- Protection contre les codes malveillants : virus et autres malwares ..............................33 9.5.4.b- Sauvegarde des informations..............................................................................................33 9.5.4.c- Journaux systmes les logs ........................................................................................33 9.5.4.d- Synchronisation des horloges.............................................................................................34 9.5.4.e- Scurit du rseau Echange des informations Contrle d'accs rseau.........................34 9.5.4.f- Protection des transferts de donnes : chiffrement..............................................................34 9.5.4.g- Exigences relatives au contrle d'accs aux systmes d'exploitation .................................35 9.5.4.h- Gestion de Parc et des moyens nomades - Cybersurveillance............................................35 9.5.4.i- Mesure de l'utilisation des ressources : outils de mtrologie...............................................36
10- Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur...........................................................................................................37
10.1- Informer, contrler, agir .............................................................................................................37 10.1.1- Informer, Conseiller............................................................................................................37 10.1.2- Prouver qu'on a scuris......................................................................................................37 10.1.3- Contrler l'activit des systmes et du rseau......................................................................38 10.1.4- Agir.....................................................................................................................................39 10.2- Notice lgale de site web.............................................................................................................39 10.3- Notion de charte informatique.....................................................................................................40 CONTEXTES PERSONNEL ET RELATIONNEL DES ASR..................................................................41
11- La gestion du temps...............................................................................................................42

11.1- Les grands principes de la gestion du temps................................................................................42 11.2- Le schma du flux de travail ou la technique du cycle................................................................43 11.3- La gestion des projets et des priorits..........................................................................................44 11.4- Mieux grer les interruptions......................................................................................................45 11.5- Mettre en place des routines et des automatismes.......................................................................45 11.6- Conclusion...................................................................................................................................45
12- La communication de l'ASR avec ses partenaires..............................................................47

12.1- La communication relevant de la politique gnrale informatique de l'unit.........................47 12.1.1- La communication sur les activit du Service Informatique................................................48 12.2- La communication avec les utilisateurs.......................................................................................49 12.2.1- Relation 1 vers 1 ............................................................................................................50 12.2.2- Relation 1 vers n ............................................................................................................50 12.2.3- Prise en compte de la satisfaction des utilisateurs...............................................................51 12.2.4- La communication au sein du service informatique............................................................51 12.3- Communication, collaboration avec les partenaires extrieurs....................................................51 12.3.1 Les relations avec les fournisseurs et les achats .......................................................................52
13- Recommandations sur les comptences...............................................................................53

13.1- Objectifs......................................................................................................................................53 13.2- L'auto-formation..........................................................................................................................54 13.3- La formation professionnelle (ex. formation continue)...............................................................54 13.4- La veille technologique...............................................................................................................55 13.5- Les relations de mtier................................................................................................................55 CONCLUSION.............................................................................................................................................58 ANNEXE 1 : QUESTIONNAIRE D'AUTO-EVALUATION A USAGE INTERNE...............................62 ANNEXE 2 : FICHES DE REFERENCES ...............................................................................................66
12/12/09
Page 3 / 80
gbp-v1-0.odm
INTRODUCTION
Dfinitions - Objectifs
Le terme "guide" est dfini comme suit dans plusieurs dictionnaires : "qui donne des conseils et accompagne". En ce qui concerne les bonnes pratiques , la dfinition de Wikipdia semble convenir au guide que nous laborons : "Le terme bonnes pratiques dsigne, dans un milieu professionnel donn, un ensemble de comportements qui font consensus et qui sont considrs comme indispensables, qu'on peut trouver sous forme de guides de bonnes pratiques (GBP). Ces guides sont conus par les filires ou par les autorits. Ils peuvent se limiter aux obligations lgales, ou les dpasser. Comme les chartes, ils ne sont gnralement pas opposables. Ils sont souvent tablis dans le cadre d'une dmarche qualit par les filires." Comme cela t les cas pour les deux prcdentes productions de RESINFO : SiLabo [SiLabo] et EcoInfo.[EcoInfo], ce projet de guide est n de plusieurs rflexions lies aux diffrents contextes de travail de notre mtier dont on peut citer celui, largement partag, de l'augmentation et de l'intensification des tches d'exploitation des systmes informatiques et rseaux ainsi que des responsabilits attenantes, et ce, la plupart du temps, moyens humains constants. Son objectif est donc de proposer aux Administrateurs Systmes et Rseaux (ASR) nouveaux entrants, ou dj en place, de mieux identifier les processus essentiels ncessaires pour fournir le service aux utilisateurs, scuriser nos serveurs et rseaux, documenter nos actions, communiquer, grer notre temps, respecter certaines contraintes juridiques, se former, etc Il permettra sans doute d'aider la structuration du travail dans nos activits, voire amliorer l'organisation des services informatiques des units de recherche et en dfinitive la qualit de service. Bien sur nous intgrons dans les "Bonnes Pratiques" de l'ASR la prise en compte des consquences sur l'environnement de l'utilisation de l'informatique. Mais il n'y aura pas de chapitre consacr ces aspects car le groupe de travail ECOINFO de RESINFO a dj ralis un gros travail sur ce thme et prsente sur son site (http://www.ecoinfo.cnrs.fr) des recommandations concernant entre autres "les problmatiques de la consommation nergtique et de la pollution lies l'utilisation et au dveloppement de l'outil informatique". Ce guide n'est pas un livre de solutions techniques toutes faites, de "recettes" ou de "trucs et astuces". Les FAQ et les HOWTO comblent dj ces besoins techniques depuis longtemps. Il n'est pas non plus un document administratif qui va dicter aux ASR une mthode d'organisation ou leur apprendre travailler. Il s'agit plus modestement de s'initier, d'une manire pragmatique, des mthodologies d'organisation issues la fois du monde industriel et des normes en matire de fourniture de service et de gestion de la scurit, mais aussi de synthses de jurisprudences visant observer un comportement conforme aux rglements, ou encore d'ouvrages sur la gestion du temps, et enfin de pratiques de terrain dj mises en uvre par les ASR de la communaut ducation-recherche. Nous avons recens un ensemble de tches souvent rcurrentes et invariantes dans le mtier d'ASR et les avons encadres par un ensemble de "bonnes pratiques" souvent issues des normes qui permettent d'organiser le travail. Cette organisation contribuant in fine amliorer la qualit du service.
Un cadre minimal proche du terrain

12/12/09
Page 4 / 80
gbp-v1-0.odm
S'adressant l'ensemble de la profession, une des difficults qui a du tre prise en compte est que cette pratique quotidienne est trs varie, la fois cause des contextes forts diffrents d'exercice du mtier, mais aussi par la diversit des tutelles des laboratoires et des missions confies aux collgues (rfrences aux fiches mtiers et emploi types). Chacun ne sera donc pas concern par l'ensemble des sujets abords dans ce guide mais y trouvera des repres "gradus" qu'il pourra adapter sa situation. Cependant, en dpit de ces diffrences de contexte, nous essayerons, quand cela est possible, de dfinir un cadre minimal pour identifier des tches de base incontournables prendre en charge. Les aspects de mise en uvre pratique d'organisation de service et de dmarche qualit, extraits de ITIL et ISO-20000 que nous dcrivons dans ce guide peuvent parfois paratre difficilement reprables ou directement applicables par les ASR. En effet ces notions d'organisation et de qualit de service sont jusqu' prsent peu intgres nos habitudes de travail dans nos units de recherche. Pour ne pas rester trop thorique, nous donnons en fin du guide un ensemble de rfrences techniques vers des logiciels ou de la bibliographie qui peuvent permettre aux ASR de mettre en place tel ou tel processus ncessit dans l'organisation de service. LASR reste de toute faon matre bien sr de ses choix techniques dans son propre contexte.
Bonnes pratiques et Qualit

Le terme "qualit" est utilis ici en rfrence aux projets de "Dmarche Qualit en Recherche" qui se dveloppent dans nos laboratoires mais qui ne prenaient pas en compte jusqu' prsent la spcificit du mtier d'ASR. A titre de rappel, il sera prcis plus largement dans le chapitre ce que l'on entend par "dmarche qualit". Le terme "Guide des Bonnes Pratiques" a t choisi en rfrence au "Guide de Bonne Pratique de Laboratoire" (BPL) labor en 1998 par l'OCDE en vue d'assurer, initialement, la qualit et la validit des donnes d'essai servant tablir la sret des produits chimiques. Les recommandations inities ont t prolonges et formalises dans une politique de "Dmarche Qualit" propre au contexte de la recherche scientifique s'appuyant en particulier sur des normes internationales (europennes et franaises comme ISO-9001 et maintenant ISO-20000). Ces normes permettent d'assurer des rfrences communes et d'apporter des "garanties" de qualit dans les relations entre divers partenaires dans le cadre de collaborations internationales (scientifiques ou industrielles) via des certifications et des agrments dlivrs par des organismes habilits. Le projet du Groupe de travail de RESINFO l'origine de ce guide peut donc s'inscrire dans le cadre gnral d'une "Dmarche Qualit" avec comme ide directrice de contribuer rendre plus lisibles les missions, l'organisation de nos services et finalement notre travail vis vis de nos directions et tutelles et nous aider son amlioration continue. Pour autant ce Guide des Bonnes Pratiques n'a pas pour objectif d'tre un modle pour prparer une accrditation ou un agrment. Si la rfrence (indispensable) aux quelques normes et standards en vigueur utiliss dans le monde industriel (ITIL ou ISO-20000), pouvant concerner directement notre mtier, est prsente (et elle sera explicite) c'est essentiellement pour se conformer l'existant et fixer des repres identifiables dans la classification de ce qui est expos. Dans ce cadre nous utiliserons aussi le concept de "processus" propos par les documents normatifs pour dcrire l'organisation efficace de la fourniture de service .
12/12/09
Page 5 / 80
gbp-v1-0.odm
Nous retiendrons donc comme dfinition d'un processus celle dfinie par la norme ISO9001 de Systme de Management de la Qualit comme un ensemble dactivits corrles ou interactives qui transforme des lments dentre en lment de sortie [ISO-9001]. Il convient donc d'identifier et de grer les diverses activits (et processus) en interaction dans l'exercice quotidien de notre mtier. Cette structuration pourra alors, si besoin, servir de base pour un projet local de dmarche qualit intgr dans la politique du laboratoire.
Les contraintes relevant des tutelles

La dmarche utilise a aussi tenu compte des "contraintes" contextuelles et obligations relevant des tutelles auxquelles sont soumis les ASR dans l'excution de leurs tches. Parmi cellesci la politique de scurit concernant les systmes d'information en fonction de leur contexte en est un bon exemple. Elle sera bien sr aborde (elle fait aussi l'objet d'une normalisation sous le label ISO-27001 et est dcline au CNRS sous le nom de PSSI [PSSI CNRS]). Il ne s'agira pas de se substituer aux structures comptentes pour dicter des lignes de conduite mais plutt d'indiquer les points qui sont susceptibles d'impacter la pratique des ASR.
Les contraintes juridiques

Nous tentons de dgager quelles sont les bonnes pratiques dans le contexte des responsabilits juridiques ? En effet, le travail des ASR est dsormais en prise avec de nombreuses obligations et responsabilits de nature juridique. Dans le cadre de la protection du Systme d'Information (S.I), la responsabilit administrative et pnale de la hirarchie et des ASR peut tre recherche. Il conviendra donc de connatre les principaux rglements en matire de cyber protection (LCEN, informatique et libert) relatifs la protection de la proprit intellectuelle, des donnes relevant de la vie prive (fichier nominatifs), et les comportements professionnels qu'ils induisent.
Les bonnes pratiques lies aux contextes personnel et relationnel des ASR
Un autre point essentiel et rarement abord dans les formations initiales ou continues est la gestion du temps. Fortement soumis aux sollicitations quotidiennes des utilisateurs, l'ASR doit aussi mener en parallle des tches de "fond" qui ncessitent une continuit d'attention et de travail. Ces aspects seront eux aussi spcifiquement abords pour donner quelques pistes de gestion du temps dans ce domaine partir de mthodes releves dans des ouvrages raliss ce sujet et transposes notre mtier. On traitera enfin des aspects du mtier qui requirent de la mthode mais aussi des capacits d'organisation personnelle (gestion du temps, agenda, planning..), des qualits de communication, de comprhension et souvent de diplomatie vis vis de nos utilisateurs. On examinera dans quel contexte d'organisation et d'interface avec les collgues du laboratoire, ces techniques sont mises en uvre. Une partie sera rserve la mise niveau des comptences. Les comptences sont fortement volutives dans notre mtier et ncessitent de s'intresser la veille technologique et la formation professionnelle : comment l'ASR peut (et doit) s'adapter et voluer dans un mtier sujet des avances technologiques importantes. Enfin, paralllement ces avances technologiques, dans le cas de regroupement de laboratoires ou de l'organisation de services l'chelle des campus par exemple, des tendances la mutualisation se font jour ; une bonne organisation du travail et une lisibilit des solutions mises en uvre est un gage de bonnes collaborations diffrents niveaux de la structure. En ce sens ce guide peut fournir une base commune d'identification des processus mtiers. Bonne lecture
12/12/09
Page 6 / 80
gbp-v1-0.odm
Remerciements :
Nous remercions la MRCT ( Missions des Ressources et Comptences Technologiques ) du CNRS [http://www.mrct.cnrs.fr] pour son support logistique, ainsi que F. Berthoud, B. Perrot, E. Drezet, MN Branl, D. Baba, et JM Barbet qui ont bien voulu consacrer un peu de leur temps pour relire ce guide et nous faire part de leurs avis et corrections.
Le Guide des Bonnes Pratiques pour les Administrateurs Systmes et Rseau by gbp@listes.resinfo.cnrs.fr est mis disposition selon les termes de la licence Creative Commons Paternit-Pas d'Utilisation Commerciale-Partage des Conditions Initiales l'Identique 2.0 France.
12/12/09
Page 7 / 80
gbp-v1-0.odm
LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES
12/12/09
Page 8 / 80
gbp-v1-0.odm
1- Une dmarche qualit dans les units de recherche

1.1- Description des modles ITIL et ISO-20000
Les recommandations sur lorganisation des services informatiques qui vont tre exposes ciaprs sont issues dune rflexion fortement inspire de lapproche de lamlioration de la qualit des services des S.I. (Systmes d'Information) dcrite par ITIL [ITIL] (Information Technology Infrastructure Library) et plus rcemment par la norme ISO-20000.[ISO-20000]. La norme ISO-20000, prolongement du rfrentiel ITIL, fournit un modle pour la gestion de services informatiques. Cette norme formalise lensemble des activits dune production informatique et correspond une approche oriente client qui introduit la notion de qualit de service apporte aux utilisateurs. Dans le cadre de lactivit informatique, on peut dfinir le service comme un change valeur ajoute matrialis par un flux. Aujourdhui, les organisations mtiers ont des attentes fortes sur la qualit des services fournis par linformatique et ces attentes voluent. Ds lors, le service informatique doit se concentrer sur la qualit de service, en d'autres termes, rendre les services correspondants aux besoins aux cots appropris. Il nous a sembl opportun de nous rfrer ITIL et ISO-20000 qui fournissent un cadre dans lequel positionner les activits et mthodes existantes des services informatiques tout en favorisant leur structuration. Ainsi, parmi les processus mtiers prsents dans la norme ISO-20000, on distingue ceux relatifs la fourniture de service et ceux relatifs au support de service. La fourniture de services dcrit les processus ncessaires pour fournir le service aux utilisateurs et comporte les processus suivants :

la gestion des niveaux de service la gestion de la continuit et la disponibilit la gestion de la capacit la budgtisation la gestion de la scurit
Le support de service dcrit les processus ncessaires pour mettre en place et assurer un service efficace et fonctionnel. Il est compos des processus suivants :

la gestion des configurations la gestion des changements la gestion de la mise en production la gestion des incidents la gestion des problmes
A ces processus mtier , sajoutent les processus de la boucle PDCA (voir dfinition paragraphe suivant) destins formaliser lensemble des activits qui concernent lamlioration continue avec en autres :
les rles et responsabilits de la Direction, Page 9 / 80
12/12/09
gbp-v1-0.odm
la gestion documentaire, la gestion des comptences et de la formation, la surveillance et la mesure
La mthode PDCA (Plan Do Check Act), encore appele roue de Deming [Deming], comporte 4 tapes qui consistent successivement planifier des actions en rponse des objectifs (Plan), les mettre en uvre (Do), puis contrler l'efficacit des solutions par rapport aux objectifs au moyen d'indicateurs (Check). Avec la quatrime tape (Act), on va chercher corriger et amliorer le systme mis en place ce qui conduit laborer un nouveau projet et initier un nouveau cycle. Entreprendre une dmarche de bonnes pratiques cest en effet mettre du bon sens et dvelopper ses capacits d'initiative au service de lamlioration de la qualit en apprenant identifier, faire, mesurer et analyser de faon progressive afin de travailler plus efficacement et, terme, gagner du temps.
1.2- Transposition au contexte ASR dans une unit de recherche
En replaant ce modle d'organisation dans le contexte dune unit de recherche, les auteurs ont pos comme pralable que les processus dcrits doivent tre identifiables et mesurables dans l'ensemble des services informatiques de nos entits CNRS, Universitaires, EPST ou EPIC... sur la base dun plus petit dnominateur commun . Les bases d'organisation ainsi poses ne doivent pas tre restrictives et doivent pouvoir se dcliner en fonction du contexte et du primtre des units de recherches (taille, mono ou multi site, diversit des recherches, collaborations internationales). Ainsi, lapplication de cette dmarche qualit au mtier dASR dans un laboratoire de recherche et sa spcificit nous conduisent proposer un modle d'organisation dcrit plus prcisment au cours des chapitres suivants.
1.2.1- Dfinir le primtre d'action

Comme pralable toute organisation, lASR doit, dans un premier temps, dfinir son primtre daction en spcifiant ses domaines dintervention et/ou en excluant les domaines qui ne sont pas de sa responsabilit, ceci pouvant fortement conditionner la nature de ses activits.
1.2.2- Mettre en place une gestion des configurations

Ce processus sintresse la gestion de linfrastructure informatique. Cette tape ncessite deffectuer un inventaire de lensemble des composants aussi bien matriels (ordinateurs, quipements rseau ) quimmatriels (documentations, licences, contrats) du service.
1.2.3- Dfinir les niveaux de service

La dfinition des niveaux de service doit permettre aux utilisateurs de connatre la nature et l'tendue du support offert par le service informatique. Chaque niveau de service sera associ des objectifs ralistes visant assurer un niveau de qualit satisfaisant la fourniture de ce service.
12/12/09
Page 10 / 80
gbp-v1-0.odm
1.2.4- Dfinir la continuit de service

Associ chaque niveau de service, lASR devra spcifier les exigences des utilisateurs de l'unit en termes de continuit des services. Cet engagement tabli en accord avec la Direction (et/ou une commission d'utilisateurs) sera valu rgulirement.
1.2.5- Grer les interventions

Il convient de prendre en compte de manire efficace toutes les demandes dintervention quil sagisse de demandes dintervention des utilisateurs ou de changements apporter aux lments du systme.
1.2.6- Grer les dysfonctionnements

Lobjectif consiste, dune part, minimiser limpact des dysfonctionnements du systme dinformation sur les services et dautre part, prvenir leur rapparition.
1.2.7- Assurer les changements et mise en production

Tout changement apport au systme dinformation doit tre matris afin de minimiser le risque dincident potentiel lors de sa mise en place. La gestion de la scurit sappuie sur un rfrentiel lui tout seul, l'ISO-27001 [ISO-27001] qui sert de base la mise en place des politiques de scurit au sein des units. Elle sera dveloppe dans un chapitre particulier de ce guide. A travers ce guide, nous essayerons de prciser dune part, ce qui nous parait comme essentiel mettre en place au sein dun service systme dinformation et dautre part, ce vers quoi il convient de tendre, ces deux niveaux pouvant tre considrs comme deux niveaux de maturit de l'organisation du systme d'information d'une entit de recherche. Adapts nos structures d'entits CNRS, Universitaires, EPST, EPIC, etc., les concepts ITIL/ISO-20000 peuvent tre visualiss au travers de la cartographie suivante :
12/12/09
Page 11 / 80
gbp-v1-0.odm
Cartographie des processus dans un laboratoire de recherche
Les processus de pilotage et de support compltent dans cette cartographie les processus mtier reprsents par la fourniture de services, la gestion des dysfonctionnements et le contrle. La norme introduit la notion de client : autorits de tutelle, utilisateurs du service (la direction, les chercheurs) ou partenaires que lon va chercher satisfaire. Cette satisfaction va, par exemple, consister garantir la scurit des rsultats de la recherche, rpondre aux besoins des utilisateurs tout en amliorant lefficacit du service.
1.3- Dfinition du primtre

La fonction premire dun service informatique dune unit de recherche est de participer la ralisation des objectifs mtiers de lunit . Pour raliser ces objectifs, le service informatique doit mettre en uvre un certain nombre de processus au travers d'un certain nombre de services fournis dans un primtre donn. Une des questions les plus dlicates qui se pose au pralable est la dfinition du primtre sur lequel vont porter les processus noncs prcdemment.
12/12/09
Page 12 / 80
gbp-v1-0.odm
Nous avons prcis que lobjectif des recommandations de bonnes pratiques sur le plan organisationnel tait de tendre vers un plus petit dnominateur commun aux services informatiques des units de recherche. Il en va de mme pour le primtre considrer. Dans le cadre de la mise en place des processus dorganisation, il faut se garder de vouloir envisager tout et tout de suite . Pour tre plus prcis, il est ncessaire de respecter des paliers progressifs de maturit dans llaboration de ces bonnes pratiques et dans la dfinition du primtre et de rester pragmatique en fonction des ressources humaines disponibles et de la taille de l'unit. A cet effet, il faut se poser les questions suivantes : quels sont les mtiers de l'unit que le service informatique soutient ? quels sont les besoins exprims par les utilisateurs de l'entit : les clients ? quels sont les champs dactivits dfinis et valids : quel est par exemple le primtre de ladministration rseau au sein du laboratoire ? Le DNS, le serveur de messagerie, le rseau sans fil sont-ils pris en charge directement par le laboratoire ou par une autre structure de type CRI ? quels sont les lments matriels et logiciels que le service informatique gre dans le primtre prcdemment dfini ? et surtout, quels sont les lments du primtre considrer dans un objectif de disponibilit de lactivit vitale du laboratoire ?
Dans sa dfinition minimale, le primtre d'activit prcdemment dfini doit intgrer les lments ncessaires la continuit de service de lunit. Par exemple, les serveurs (supports des donnes de recherche) font partie de ce primtre ainsi que tous les lments ncessaires la continuit de la recherche. On pourra aussi y inclure le matriel actif, les routeurs et commutateurs (sils sont grs par lASR), les sauvegardes, la messagerie... Ce primtre pourra tre largi dans un deuxime temps, lorsque lorganisation de premier niveau sera fonctionnelle. Il faut bien comprendre que cette phase de dfinition du primtre est essentielle. Elle ncessite sans doute une concertation pralable et une prospection de lexistant avec les instances du laboratoire (direction, commission informatique). La rponse ne sera pas dcline lidentique dans toutes les entits, et chaque laboratoire est un cas particulier avec une taille, des moyens et surtout des objectifs diffrents. Ceci sous-entend une dfinition claire des missions du service (si la structure existe) et de celles de l'ASR au sein de l'entit de recherche.
12/12/09
Page 13 / 80
gbp-v1-0.odm
2- La gestion des configurations

2.1- Ce qu'il faut prendre en compte
Une fois le primtre envisag et de faon dfinir les services fournir, il faut sappuyer sur un ensemble dlments dinfrastructures sur lesquels l'ASR peut/doit agir. Ces lments dinfrastructure doivent tre identifis et classs dans une base de connaissances qui sera tenue jour rgulirement. Dans la terminologie ITIL/ISO-20000, lensemble de ces informations constitue la base des configurations connue sous le terme de CMDB (Configuration Management DataBase). Cette base doit tre maintenue et mise jour rgulirement en fonction des modifications intervenues sur les diffrents lments dinfrastructure. La gestion des configurations est une des conditions ncessaire et pralable la gestion de lensemble des autres processus. Elle permet de suivre avec efficacit lvolution des infrastructures informatiques, et den assurer la gestion et l'exploitation. Les lments de configuration sont les biens matriels ou immatriels qui composent les services offerts dans le primtre qui a t dfini. Par exemple on peut y trouver : les serveurs, postes de travail, imprimantes, autres priphriques, logiciels, licences, quipements rseaux, comptes informatiques, consommables, documentations techniques, contrats... Pour bien identifier les composants devant figurer dans la base de gestion des configurations, on sattachera rpondre aux questions suivantes : quels composants matriels utilisons-nous aujourdhui ? quels quipements doivent tre remplacs ? quels contrats de maintenance avons-nous et doivent ils tre revus ? quelles licences avons-nous et sont-elles en rgle ? quels rseaux un quipement est il connect ? quels sont les composants utiliss et par qui ? quels composants sont impacts par un dploiement, lesquels sont responsables dune erreur ? comment lquipe des ASR du laboratoire partage ses connaissances ? quelle documentation est mise disposition des utilisateurs et comment ?
La gestion des configurations se doit de fournir aux autres processus des informations prcises et pertinentes sur les composants du systme dinformation. Ces informations permettent didentifier rapidement le composant touch par un incident. Elles permettent aussi, par exemple, de calculer les cots de la maintenance et des licences logicielles. Dans sa dfinition minimale, la base de connaissances des configurations doit comprendre tous les lments dinfrastructure compris dans le primtre minimal dfini prcdemment. Dans une rflexion plus largie, les objectifs de la gestion des configurations sont les suivants : rendre compte de tous les biens et configurations de la production informatique de lunit. Page 14 / 80
gbp-v1-0.odm
12/12/09
fournir de linformation pertinente sur les configurations pour supporter les autres processus (gestion des niveaux de service : quest-ce que lon doit maintenir, comment ? gestion des changements : quest-ce qui doit tre chang, quelles incidences sur les autres lments ?...). fournir des bases solides pour la gestion des dysfonctionnements. comparer linformation stocke linfrastructure en place et corriger les diffrences.
2.2- Comment organiser la gestion des configurations

Il faut se garder de vouloir dtailler trop prcisment les lments dinfrastructure afin de conserver la matrise de lensemble sans perte de temps (ne pas faire dusine gaz ). Il est par ailleurs important davoir un contrle efficace sur les configurations si lon veut matriser correctement ce processus. Ainsi, toute modification apporte par un utilisateur la configuration de son matriel doit pouvoir tre identifie et rpertorie. Pour cela il convient de dfinir le niveau de granularit, c'est--dire le niveau de dtail des lments de configuration que lon veut appliquer (quilibre entre dtail et facilit de gestion). Le principe gnral pour dfinir le bon niveau est d'avoir le maximum de contrle sur les lments avec un minimum de travail denregistrement, en intgrant principalement les lments qui ont un rel impact sur les niveaux de service. Par exemple doit-on considrer un ordinateur (poste de travail ou serveur) comme lment de configuration ou doit-on rentrer dans le dtail en prenant en compte ses composants (cartes rseau et graphiques, disque dur, graveur...). Le niveau de dtail est dfini en terme dattributs des lments de configuration dont voici quelques exemples considrer (au sein de la CMDB) :

catgorie (matriel, logiciel, document) numro de srie (matriel, logiciel) numro de version (logiciel, documentation) numro de licence (logiciel) numro dinventaire du matriel fournisseur emplacement (site, local) date achat, date de mise jour, date de fin de garantie. responsable, utilisateur composant principal ou sous composant de (relations entre les composants) statut ou cycle de vie (oprationnel, en cours de changement,...) historique des interventions, ...
La gestion des configurations peut tre opre de faon simple, partir dun outil tableur par exemple ou de manire plus sophistique et automatique avec des outils de gestion de parc. On trouvera dans la partie Fiches de rfrences techniques de ce guide un certain nombre de pointeurs vers des logiciels ou de la documentation qui peuvent servir et tre utiliss par les ASR pour implmenter et mettre en place les diffrents volets requis dans la qualit de service.
12/12/09
Page 15 / 80
gbp-v1-0.odm
3- La gestion des niveaux de service

3.1- Dterminer les services considrer
La gestion des niveaux de service doit permettre : de dterminer le niveau de service dlivrer aux utilisateurs pour supporter les mtiers de lunit de recherche, dinitialiser un suivi pour identifier si les niveaux demands ont t atteints et dans le cas contraire, pourquoi.
Le but de la Gestion des Niveaux de Service est de dfinir, de maintenir et damliorer progressivement la qualit des services rendus par lASR pour assurer les activits de lunit. Il convient donc, au cours de ce processus, de dfinir les niveaux de service fournis par lASR en relation avec les besoins des utilisateurs. Nous pouvons citer par exemple quelques niveaux de service couramment supports par les ASR dans nos entits : la gestion du parc informatique, la maintenance des serveurs, la surveillance rseau, le dploiement dapplication, les sauvegardes, l'archivage, l'assistance de premier niveau aux utilisateurs. Les niveaux de service ainsi dfinis sont rfrencs dans un catalogue de services. On pourra les hirarchiser par type de service :
service mtier: Disponibilit des moyens de calcul, de visualisation graphique, dveloppement informatiques ddis, support la gestion financire et RH... service infrastructures : gestion des serveurs, des sauvegardes, des impressions... services rseaux : gestion de la disponibilit du rseau... service applicatif : messagerie, web... etc.
LASR qui veut mettre en place une gestion de niveau de service doit sassurer au pralable , auprs de ses utilisateurs, des services quils utilisent et comment. Ainsi, le cycle de la qualit de service passe par un engagement entre le service informatique et les utilisateurs du laboratoire identifis dans des structures mtier (la direction, les services administratifs, les quipes de recherche). Pour estimer le niveau de service minimal, il faut se rapprocher du primtre envisag, des infrastructures gres et du seuil critique pour la continuit de lactivit. Dans un deuxime temps, on peut envisager, de graduer en trois catgories principales les niveaux de service apporter :
vital : un service dont linterruption bloque compltement le travail dans le laboratoire. Exemple : le service d'annuaire LDAP si l'authentification de connexion sur les machines passe par une authentification LDAP, les routeurs/commutateurs et le contrleur de domaine si une grande majorit des PC sont sous Windows et ncessite une authentification. important : un service qui peut tre interrompu brivement. Exemple : messagerie, web, sauvegarde, serveurs calcul, serveur anti-virus. normal : un service qui peut tre interrompu quelques jours .Exemple: un PC, une imprimante, un serveur de licence logicielle. Page 16 / 80
12/12/09
gbp-v1-0.odm
3.2- Quel niveau pour quel service ?

La formulation dun niveau de service dans le catalogue des services peut comporter :

la description du service offert, les fonctions mtiers couvertes, les priodes de fonctionnement du service, la disponibilit du support, le plan de secours, le plan de reprise Deux paramtres sont considrer pour dfinir le degr de service proposer : lexistence de besoins diffrents par groupe dutilisateur : par exemple le niveau de service pour les secrtariats d'administration et de scolarit, ne seront sans doute pas les mme que ceux pour un groupe de chercheurs (grer les sorties d'imprimante pour le service scolarit en priode d'inscription semble plus vital que pour un groupe de chercheurs en priode moins drastique) lexistence de contraintes diffrentes lies aux types dinfrastructures.
Plusieurs questions poses au pralable peuvent aider lASR dterminer les niveaux de service :

A-t-on mesur et valid la qualit de service de l'application avant sa mise en production ? Nos utilisateurs reoivent-ils un service conforme nos engagements ? Peut-on mesurer la qualit de service en temps rel ? Dispose-t-on d'un systme d'alerte efficace pour grer les incidents d'exploitation en temps rel ? Dispose-t-on d'un historique du niveau de service ? Peut-on identifier un problme avant qu'il ne rduise la qualit de service ? A-t-on une visibilit et un contrle suffisants du fonctionnement de nos applications mtier critiques ?
12/12/09
Page 17 / 80
gbp-v1-0.odm
4- La gestion de la continuit de service

Lobjectif de la gestion de la continuit de service (en corollaire la gestion des niveaux de service) est de diminuer durablement la frquence et la dure des incidents en sassurant que linfrastructure informatique et la fourniture de service qui est associe peuvent tre remises en route dans les temps requis et convenus. Depuis plusieurs annes, linterdpendance entre activits mtiers et activits informatiques est parvenue un point tel que si les services informatiques offerts sarrtent, une grande part des activits de recherche peut tre fortement impacte. Lactivit de recherche ncessite de plus en plus un fonctionnement 7/7 et 24/24 du systme d'information et des services informatique. La gestion de la continuit de service consiste :
identifier, par une mthode danalyse de risques, les menaces et les vulnrabilits sur les actifs de linfrastructure, appliquer dans un deuxime temps des mesures (prventives et de reprises) qui permettent de conserver un niveau de continuit de service.
La gestion de la continuit de service doit donc saccompagner dun plan de continuit de service (actions durgences, sauvegardes des enregistrements vitaux, valuation des dommages, plan de reprise...) Le contenu de ce plan pourra prendre en compte :

la/les procdures de dclenchement de ce plan, les quipements couverts par le plan, la description des procdures de continuit dfinies, les responsabilits et impacts sur les ressources humaines, les impacts sur la scurit (en mode dgrad), les procdures de retour la normale, les procdures de test du plan de continuit
12/12/09
Page 18 / 80
gbp-v1-0.odm
5- La gestion des interventions

5.1- Ce qu'il faut prendre en compte
Lobjectif principal de la gestion des interventions est de simplifier et formaliser la chane de demande dassistance en provenance de lutilisateur tout en augmentant la ractivit du service. Cette fonction ncessite de prendre en compte lensemble de lintervention, de lappel de lutilisateur, jusquau retour de sa demande aprs rsolution du problme. Il savre galement essentiel pour un ASR de mmoriser les demandes de faon pouvoir recenser lensemble des interventions effectues au niveau du S.I. Les informations ainsi recueillies permettront, dune part, dassurer un meilleur suivi des interventions et, dautre part, de disposer dun historique des demandes et de statistiques. Tout utilisateur tant amen effectuer une demande dintervention, lobjectif de la gestion des interventions va consister fluidifier leur traitement. A cet effet, lASR devra mettre en place un circuit de dcision : filtrer les demandes, en dterminer la priorit et les catgoriser, le choix de la priorit devant intgrer une analyse de risque et seffectuer en concertation avec lutilisateur. A ce stade, lASR doit se demander quel niveau dintervention il doit prendre en charge et quel type dintervention va ncessiter un suivi prcis.
5.2- Comment organiser la gestion des interventions

Ce premier niveau de la gestion des interventions qui savre essentiel pourra tre ralis diffremment selon les mthodes de travail des ASR (cahier de laboratoire, fichier numrique, outils logiciels de type helpdesk ). A un deuxime niveau de maturit du systme, la gestion des interventions pourra se complexifier. Deux points seront alors prendre en considration.
5.2.1- Optimiser les ressources pour acclrer le traitement des interventions

Dans le cas dun nombre important dinterventions ponctuelles, la saisie dun appel doit tre rapide et sre de faon rcuprer lensemble des donnes de lutilisateur et les motifs de son appel, ces informations pouvant faire lobjet dune fiche dappel trs structure (coordonnes, descriptif, date, intervenant). Au retour dintervention, la fiche permettra son suivi : temps pass, solution adopte, fourniture Laffectation des ressources, quelles soient matrielles ou humaines, seffectuera partir de cette fiche et une planification de lintervention sera mise en place.
5.2.2- Analyser les interventions

Des tableaux danalyses dcouleront des interventions effectues. Cette synthse pourra prendre plusieurs formes :

tableaux de bord, recherches multicritres sur les interventions, base de connaissances,
12/12/09
Page 19 / 80
gbp-v1-0.odm
rapports statistiques personnaliser (ex : nombre dinterventions par mois ...)
Cette analyse des interventions pourra constituer, par ailleurs, un paramtre de mesure de lactivit du service. Son valuation rgulire permettra de suivre lamlioration de son fonctionnement dans le cadre du modle PDCA inhrent la norme ISO-20000.
12/12/09
Page 20 / 80
gbp-v1-0.odm
6- La gestion des dysfonctionnements

L'objectif essentiel de ce processus est de chercher rsoudre les dysfonctionnements susceptibles de se produire au sein dun S.I. Il s'agit de minimiser leurs rpercussions sur les niveaux de service mais galement de prvenir leur rapparition. Les rfrentiels ITIL et ISO-20000 dcrivent la gestion des dysfonctionnements en deux processus distincts, la gestion des incidents et la gestion des problmes. La norme ISO-20000 distingue la notion dincident de celle de problme. Un incident est tout vnement qui ne fait pas partie des oprations standards dun service, et qui provoque ou peut provoquer une interruption de service ou altrer sa qualit alors quun problme est considr comme la cause inconnue et sous-jacente dun ou de plusieurs incidents .
6.1- La gestion des incidents

La gestion des incidents va consister rtablir les services le plus rapidement possible. Tout incident devra tre enregistr et document de faon tracer les oprations qui ont t ncessaires sa rsolution. Outre la description originelle de lincident, lenregistrement devra tre mis jour tout au long du cycle de vie de lincident, de faon pouvoir par la suite communiquer sur celui-ci. Lenregistrement pourra ainsi comporter les informations suivantes : la catgorie (rseau, station, service, organisation...), la date, la priorit, les services impacts, le statut (nouveau, en cours, rsolu...)
6.2- La gestion des problmes

La gestion des problmes vise rechercher la cause premire des incidents rcurrents et ncessite de mettre en place un suivi dactions pour amliorer ou corriger la situation. Cest pourquoi, de faon traiter correctement et rapidement un incident rcurrent qui se prsente, il est indispensable que les informations sur les incidents soient disponibles. La gestion des problmes va comprendre deux types dactions : les actions correctives : il s'agit, dans un premier temps, didentifier les causes des incidents passs et rsoudre les problmes en rponse ces incidents et, dans un deuxime temps, de formuler des propositions damlioration et de correction. les actions prventives : il s'agit de l'identification et de la rsolution des problmes connus avant que les incidents ne surviennent. On cherche donc prvenir lapparition des problmes en identifiant les faiblesses du S.I. et en proposant des solutions pour les liminer. Cela va consister dfinir des axes damlioration quil conviendrait dapporter au systme. En alimentant ainsi le systme damlioration continue, cette gestion pourra servir la justification de demandes de nouvelles acquisitions ou remplacement de matriels ncessaires au bon fonctionnement du service (virtualisation des services...) Page 21 / 80
gbp-v1-0.odm
12/12/09
Par la suite, lASR pourra affiner la gestion des dysfonctionnements partir des questions suivantes : comment diffrencier les responsabilits entre la gestion des incidents et la gestion des problmes ? comment communiquer auprs des utilisateurs sur les incidents ? comment grer dans certaines situations le conflit dintrt qui peut exister entre la rsolution dun incident et la rsolution du problme associ (le redmarrage immdiat dun serveur peut conduire leffacement de certains fichiers logs qui auraient tre utiles la rsolution du problme) ? comment formaliser les solutions mises en place ?
L encore, toute latitude est laisse lASR pour dfinir les mthodes et outils quil convient dutiliser pour mettre en place cette gestion des dysfonctionnements.
12/12/09
Page 22 / 80
gbp-v1-0.odm
7- La gestion des changements et de la mise en production

Les changements au sein dun service S.I. peuvent tre multiples et concerner par exemple lajout ou la suppression dun lment de configuration, lvolution de la version dun composant voire un changement organisationnel. Lobjectif de la gestion des changements et de la mise en production est de rduire au minimum les consquences des incidents ventuels lis ces changements sur le systme. A cet effet, toute modification, quil sagisse de modifications matrielles (changement de disque, ajout de mmoire ) ou logicielles (mises jour des systmes, installation de logiciels) devra tre notifie de faon en garder une trace et ventuellement pouvoir revenir en arrire. Lorsqu'un changement est ncessaire, il faut valuer les risques de sa mise en uvre et son impact sur la continuit de lactivit mtier pendant et aprs cette mise en uvre. Lors de la mise en production, il va s'agir de protger lenvironnement de production et les services associs par lutilisation de procdures formelles et par des vrifications lors de limplmentation des changements. La gestion des changements et de la mise en production consiste faire voluer un S.I. de faon structure sans commettre derreurs. On va ainsi chercher rduire limpact ngatif des changements, amliorer la gestion des dysfonctionnements par une connaissance prcise des modifications apportes et donc, terme, amliorer lefficacit des services rendus. Tout changement sera accompagn de tests permettant de valider les modifications apportes. Une solution de repli de type retour arrire sera galement tudie. Il est prfrable, dune manire gnrale, de planifier les changements en fonction de la disponibilit des ressources tout en cherchant viter les changements faits dans lurgence suite un dysfonctionnement du systme. LASR devra donc se poser la question des mthodes et des dmarches quil convient de mettre en place pour traiter efficacement et rapidement ces changements tels que : mettre en place un dispositif adapt la taille du service, mettre en place un planning prvisionnel des changements, planifier, par exemple, la mise jour systme des serveurs du laboratoire, avertir et informer les utilisateurs de l'interruption de service inhrente au changement de configuration...
Avec un niveau de maturit supplmentaire, lASR cherchera apporter une vue complte du processus et sassurer que tous les aspects de ces changements ont bien t pris en compte (tests complets, solution de retour arrire). A ce niveau, il conviendra de se poser les questions suivantes : comment intgrer de faon optimale les processus de gestion des changements et de la mise en production avec la gestion des configurations ? comment communiquer sur les changements apports linfrastructure ? Par ailleurs, un bilan sera mis en place partir des points suivants : limplmentation sest-elle bien passe ? dans le cas dune rponse ngative, la solution de retour arrire a t-elle pu tre ralise ? Page 23 / 80
gbp-v1-0.odm
12/12/09
la planification en termes de ressources tait-elle suffisante ? lutilisateur est-il satisfait ? y a-t'il eu un effet de bord non prvu ?
12/12/09
Page 24 / 80
gbp-v1-0.odm
8- La Documentation
Nous avons soulign prcdemment limportance de la formalisation des mthodes de travail au sein dun S.I pour amliorer la qualit dans la fourniture de service informatique. Dans ce cadre, la documentation occupe une place trs importante dans le suivi et la traabilit de nos diffrentes actions telles que la mise en place de nouveaux services, la gestion des configurations, les changements apports au S.I., la rsolution des incidents et problmes, l'aide aux utilisateurs, etc. La ralisation dune documentation et sa mise disposition auprs du personnel et/ou des collgues ASR chargs d'intervenir sur les installations apparaissent donc comme des activits support importantes au sein de notre cartographie du S.I. Il s'agit d'une bonne pratique permettant de retrouver l'information voulue au moment voulu, d'assurer la traabilit des diffrentes interventions que nous sommes amens faire de manire pouvoir fournir si ncessaire des explications dtailles la Direction, aux autorits comptentes sur la structure des installations et des services. Un dpt documentaire centralis, riche et bien organis fera gagner du temps aux ASR. Ces dpts peuvent tre placs par exemple sur un site Web accessible et aisment modifiable par un systme de gestion de contenu (CMS comme Drupal ou Spip), ou encore un Wiki [wiki]. Dans l'ensemble des tches qui jalonnent le mtier d'ASR, il est donc ncessaire de rserver du temps pour rdiger les diverses documentations ncessaires la maintenance et l'volution du S.I. On distinguera deux grandes classes de documentation qu'on peut organiser dans deux dpts distincts : celui destin aux utilisateurs doit tre accessible dans l'intranet de l'unit, alors que le second devrait tre rserv aux ASR de par les informations confidentielles qu'il peut contenir.
8.1- La documentation pour les utilisateurs

Ce sont les documents qui permettent aux utilisateurs de comprendre les rgles et procdures suivre pour accder et utiliser correctement les services qui sont mis en place par le service informatique. Ce type de documentation est trs important dans le fait qu'elle peut rendre les utilisateurs autonomes et permet de ne pas faire appel aux ASR et les dranger inutilement pour des questions basiques et rcurrentes. A titre d'exemple, ce type de documentation peut tre constitu de :
un livret d'accueil, tabli par le service informatique, qui peut tre remis aux nouveaux entrants, et qui peut constituer la base d'une description des services offerts aux utilisateurs. Ce livret peut alors pointer vers des documentations plus compltes dtaillant l'utilisation de chaque service mis en place par le Service Informatique. les documentations d'utilisation de chaque service en production (par exemple comment utiliser le VPN du laboratoire, comment paramtrer le logiciel thunderbird pour accder la messagerie, comment se connecter au serveur ddi ssh , comment paramtrer son PC pour accder au rseau Eduroam ...). les rglements (souvent rassembls dans le rglement intrieur de l'entit de recherche) concernant l'utilisation des services, la charte d'utilisation des moyens informatiques, ou encore le document cadre relatif la politique de scurit de l'organisme considr, les accords sur les modalits et niveaux de service offerts par l'quipe Informatique, les usages tolrs, les rgles de conduite, etc. Page 25 / 80
12/12/09
gbp-v1-0.odm
8.2- La documentation technique destine aux ASR

Cet ensemble de documents regroupe les informations techniques ncessaires pour que les ASR mettent en place et fassent fonctionner tel ou tel service. Ce sont les textes techniques propres au service informatique de l'unit et qui peuvent contenir des informations sensibles (plans du rseau, ACL de routeurs mises en place, noms et adresses IP de serveurs sensibles, mots de passe, etc). La qualit de ces documentations doit permettre de confier ou dlguer l'exploitation de certains services d'autres ASR de l'quipe ou chargs transitoirement d'intervenir. Une procdure d'exploitation ou d'installation bien documente est en effet plus facile dlguer d'autres ASR de l'quipe et peut faciliter l'intgration d'un stagiaire qui a alors sa disposition un "mode d'emploi" clair et prcis. Ces documentations doivent donner une image de l'tat technique des systmes (services en exploitation un temps donn), du rseau, des procdures pour assurer la continuit de service. Ces documentations sont mises jour rgulirement, lors de chaque modification, pour tre au plus prs de la ralit. En effet, comme on l'a vu prcdemment dans la gestion des changements , il est ncessaire pour les ASR d'enregistrer et de documenter les changements apports dans l'exploitation du systme d'information. Il s'agit davantage dans ce cas de constituer et de tenir jour une main courante afin de tracer chronologiquement les changements de configuration apports dans la configuration de tel ou tel logiciel, ou bien les causes et les rsolutions d'incidents qui sont survenus dans le S.I., ou encore l'historique des interventions et des mises jour. Comme exemple de ce type de documentation pour les ASR on peut citer :

le plan jour du rseau de l'unit, la configuration des commutateurs et des routeurs l'inventaire des ressources informatiques la documentation des configurations systme indiquant comment un service a t paramtr pour l'installer : comment est configur Samba, comment est assure la redondance du serveur de mail au moyen de heartbeat ou autres systmes de disponibilit. les procdures dlicates que l'on fait rarement : par exemple comment reconstruire le raid de la baie de disques? les procdures d'exploitation rcurrentes que l'on veut pouvoir confier d'autres membres de l'quipe informatique : comment crer un compte?, comment changer les bandes de sauvegardes?
Ces informations seront importantes en cas d'incidents ou de dysfonctionnements pour retrouver l'origine possible dans des interventions passes. A cet effet, notons que pour des raisons de disponibilit il serait ncessaire d'assurer une redondance de cette documentation sensible sur support papier de manire y avoir accs en cas de panne systme.
8.3- Comment raliser ces documentations ?

Le but de ces documentations est qu'elles soient facilement accessibles, modifiables, partageables, correctement structures, classes et en accs protg pour les ASR du service uniquement. L'ASR aura le choix du mode d'dition de ces documentations : documentation papier? fichier au format DocBook [DocBook], site Web ou Wiki [Wiki]? Page 26 / 80
12/12/09
gbp-v1-0.odm
Les dpts documentaires de type wiki peuvent cet effet procurer un certain nombre d'avantages :
leur accs est centralis sur un serveur Web, ce qui permet de ne pas avoir chercher la documentation dans de nombreux fichiers et rpertoires, leur simplicit d'utilisation facilite les mises jour rapides de la documentation, ce type de documentation n'a jamais un caractre dfinitif. Il convient bien un systme en volution permanente et on peut l'enrichir facilement tout moment de dernires remarques ou modifications.
Ces dpts de type Wiki ont cependant aussi des inconvnients relatifs la classification des informations et leur structuration. Il est parfois difficile d'avoir une navigation claire dans un wiki , et la structuration peut tre imparfaite ou mise mal au fil des mises jour de la documentation. Quelle que soit la technologie du support de documentation choisie, il est en tout cas ncessaire de faire attention assurer une diffusion restreinte des informations que l'on porte dans ce type de documentation du fait qu'elles touchent souvent la scurit des installations et de l'infrastructure. Enfin, n'oublions pas qu'une dition papier de ces documentations est ncessaire en cas de problme systmes majeur qui empcherait la consultation.
12/12/09
Page 27 / 80
gbp-v1-0.odm
9- Les bonnes pratiques dans la gestion de la scurit des systmes d'information

Les ASR sont confronts depuis longtemps des problmes de scurit informatique rcurrents qui peuvent mettre en pril le fonctionnement du S.I. Ils ont donc rgulirement mis en place des mesures techniques pour protger les serveurs, le rseau et le parc de PC utilisateurs, et ont donc adapt le niveau de scurit pour ragir aux nouvelles menaces qui apparaissaient au fil du temps sur le rseau. La liste des menaces et attaques informatiques est vaste (virus, trojan, scan rseau...) et nous n'en ferons pas l'inventaire ici. Il semble galement inutile de proposer une liste exhaustive des solutions techniques de scurit mettre en uvre, tant cela dpend du contexte et du niveau de scurit recherch. En revanche, comme nous l'avons fait en premire partie avec le standard ITIL et la norme ISO-20000 pour la fourniture de services informatiques, nous avons utilis la norme ISO-27001 pour donner un cadre aux bonnes pratiques des ASR en matire de gestion de la scurit dans nos organismes de recherche. En effet, la scurit de nos systmes d'information implique quelques pratiques d'administration et d'organisation de base que l'on retrouve dans la norme ISO-27001, de mme que dans les PSSI d'tablissement (dont celle du CNRS [PSSI CNRS]). Ces pratiques sont galement bases sur une dmarche par processus et intgrent le principe damlioration continue (PDCA, Roue de Deming) qui vise aprs avoir mis en place des lments de scurit, surveiller et r-valuer leur efficacit.
9.1- Grands principes d'organisation de la scurit au sein du laboratoire

9.1.1- Dfinition du primtre sur lequel doit porter la scurit du S.I.
Pour dterminer quelles sont les exigences de scurit de l'information de nos units, il est ncessaire d'tudier au pralable le contexte, le primtre de l'entit scuriser. Cette tude implique de s'attacher dfinir les valeurs propres de l'unit : quelles sont les donnes et les fonctions essentielles que l'on doit scuriser pour que l'entit continue exercer ses missions. Pour chaque donne et fonction recense, on s'attachera dterminer quels sont les besoins de scurit en termes de disponibilit , intgrit et confidentialit . Les premires tapes sur lesquelles doit se pencher l'ASR est donc :
d'tudier le contexte de l'entit, rappeler son activit principale, les missions qu'elle doit assurer, les services qu'elle doit rendre et les moyens qu'elle utilise pour parvenir ses missions... puis, de recenser et dcrire les diffrents actifs qui composent le S.I. de l'organisme : faire donc un inventaire des matriels, logiciels, rseau, personnel, locaux... et enfin, de recenser et identifier les donnes et fonctions de l'organisme et savoir sur quels actifs et moyens physiques elles reposent. Page 28 / 80
12/12/09
gbp-v1-0.odm
9.1.2- Implication de la direction vis--vis de la scurit de l'information

Pour scuriser convenablement une unit, l'ASR doit s'appuyer sur une politique de scurit soutenue par sa Direction au moyen de directives claires, dun engagement dmontr, dattribution de fonctions explicites et dune reconnaissance des responsabilits lies la scurit de linformation. Il est ncessaire que les responsabilits en matire de scurit de linformation soient dfinies prcisment dans l'entit. La Direction doit demander son personnel de mme qu'aux utilisateurs extrieurs en relation avec l'unit, dappliquer les rgles de scurit conformment aux politiques et procdures tablies par lorganisme. Une des premires mesures essentielles prendre est la diffusion d'une charte de bon usage des outils informatiques de l'unit. Cette charte est un document interne explicatif des droits et devoirs des utilisateurs en matire d'utilisation des moyens informatiques de l'unit. La charte informatique de l'organisme de tutelle (CNRS, Universit ou autre EPST) a pour vocation d'tre largement diffuse et mise disposition pour tout nouvel entrant dans l'unit (par exemple par copie dans le compte des utilisateurs, envoi par messagerie, ou tout autre moyen de diffusion efficace ou officiel).
9.1.3- Coordination de la scurit de l'information

Les activits relatives la scurit de linformation de nos units de recherche sont en gnral coordonnes par des personnels ayant des fonctions et des rles appropris reprsentatifs des diffrentes parties de lorganisme. Aussi, il convient pour l'ASR d'entretenir ou mettre en place des relations appropries avec les autorits comptentes et les spcialistes de la SSI de l'organisme, ou encore via des forums spcialiss dans la scurit et des associations professionnelles. Que ce soit pour les Universits, le CNRS ou d'autres EPST, il convient pour l'ASR de connatre les acteurs de la chane organique et de la chane fonctionnelle de scurit de son organisme : pour le CNRS par exemple les CRSSI (coordinateur rgional de la scurit des systmes d'information) pour la Dlgation rgionale, ainsi que le CSSI (charg de la scurit du S.I) de l'unit.
9.1.4- Formation et sensibilisation la scurit du S.I.

Le personnel doit tre rgulirement inform des pratiques de scurit suivre (ncessit de mots de passe robustes, attitudes vis a vis des spams, etc), des vnements et alertes. Il est important pour l'ASR d'organiser des formations de sensibilisation au sein du laboratoire tant au niveau du personnel en place que des nouveaux entrants et du personnel temporaire. Les formations et messages rcurrents d'information que dlivrent les ASR permettront de rehausser le niveau de scurit de l'unit en donnant aux utilisateurs une attitude plus responsable face aux menaces qui psent sur le S.I.
9.2- Analyse des donnes du Systme d'Information de l'unit Analyse des besoins de scurit
La protection du patrimoine de nos entits suppose d'identifier et de localiser au pralable les donnes et de dterminer leur niveau de sensibilit. Les besoins en scurit se dfinissent en termes
12/12/09
Page 29 / 80
gbp-v1-0.odm
de confidentialit , de disponibilit , et d' intgrit , ainsi que par l'valuation de leur degr de sensibilit (public, confidentiel, secret dfense...). Seul cet examen des besoins peut permettre de dterminer le type de protection ncessaire et les solutions techniques adquates mettre en uvre pour scuriser le S.I. La protection de l'outil de travail et du S.I des units implique la mise en uvre des moyens techniques pour assurer :
la disponibilit des moyens informatiques : implique des mesures de redondance, des procdures de reprise sur panne, et un plan de reprise d'activit pour minimiser les temps d'indisponibilit. l'intgrit des donnes : ncessite de mettre en uvre des procdures de sauvegarde des donnes, et surtout de restauration de ces sauvegardes. la confidentialit des donnes des utilisateurs : demande d'avoir mis en place des systmes d'authentification des utilisateurs, ainsi que la mise en place de droits d'accs appropris sur les donnes. des solutions de chiffrement [chiffrement] des supports de donnes et des protocoles de transmission sont galement des outils de nature assurer une intgrit et confidentialit fortes des donnes.
9.3- Apprciation des risques

Une analyse des risques (au travers de mthodes telles que EBIOS [EBIOS], MEHARI), permet didentifier les objectifs de scurit et les mesures prendre, adaptes aux besoins de lunit. Elle sert de base llaboration de la politique de scurit du S.I. Dans un premier temps, il convient didentifier les menaces et les vulnrabilits potentielles qui psent sur les actifs du S.I. Nous parcourons ici, en quelques phases essentielles, les bonnes pratiques dans le domaine de la scurisation d'un S.I. La documentation de la mthode EBIOS [EBIOS] peut donner une aide rigoureuse pour slectionner les menaces et les mthodes d'attaques opportunes dans le contexte tudi. 9.3.1- Identification des menaces et vulnrabilits Aprs avoir identifi les actifs (matriels, serveurs, routeurs, logiciels, locaux, donnes...) relevant du primtre scuriser, il convient de recenser les menaces qui peuvent peser sur les actifs de l'unit, ainsi que leurs vulnrabilits . Les menaces doivent tre formalises explicitement en identifiant, les mthodes d'attaque auxquelles lunit est expose (vol, incendie, perte d'alimentation lectrique...), les lments menaants qui peuvent les employer (facteurs naturels ou humains, involontaires ou malveillants), les vulnrabilits exploitables sur les entits du systme et leur niveau d'occurrence (rare, normal, frquent). Par exemple, dans le contexte de lunit, le vol, l'incendie, l'inondation, la perte d'alimentation lectrique, l'incendie, etc peuvent tre des lments menaants ayant une certaine probabilit d'occurrence (rare, moyenne, certaine...) On pourra par exemple exprimer une menace de la manire suivante :
12/12/09
Page 30 / 80
gbp-v1-0.odm
labsence de porte coupe feu dans le couloir peut permettre une propagation plus rapide d'un incendie vers la salle serveur, ou, l'accs non contrl aux moyens informatiques de la salle serveur peut permettre a un individu mal intentionn dy pntrer et de faire d'ventuels mfaits (vols, dgts..)
Seul l'examen de ces menaces et vulnrabilits peut permettre de dterminer les moyens mettre en uvre (techniques, procdures, sensibilisation, formation) pour rduire leur probabilit d'occurrence ou attnuer leur impact. Enfin, aprs avoir identifi et formul les menaces, il est ncessaire de s'attacher identifier les vulnrabilits de notre S.I qui pourraient tre exploites par les menaces qui ont t retenues. Par exemple :
si le vol est l'lment menaant qui a t retenu, la salle serveur possde t-elle un systme de fermeture adquat qui permet de rserver l'accs au personnel exploitant ? si la perte d'alimentation lectrique reprsente une menace, les serveurs sur lesquels sont stockes les donnes de l'unit sont-ils correctement secourus lectriquement ? Avec une autonomie suffisante ? etc
9.3.2- Identification des impacts Aprs avoir identifi les menaces et vulnrabilits du S.I, il faut s'attacher identifier les impacts qu'ils peuvent induire sur les besoins prcdemment exprims en termes de pertes de confidentialit, d'intgrit et de disponibilit. Pour chaque menace et vulnrabilit rpertories, il s'agit d'valuer la probabilit raliste d'une dfaillance de scurit ainsi que les impacts associs. Lensemble des informations ainsi recueillies va permettre destimer les niveaux de risque pour chacun des actifs.
9.4- Traitement des risques

Ltape suivante consiste, partir de la liste des risques classs par priorit, dfinir quels sont les traitements appliquer pour rduire ou liminer ces risques : retenir et hirarchiser les risques qui sont vritablement susceptibles de porter atteinte aux fonctions et lments essentiels de l'entit. Il faut estimer les niveaux des risques, c'est dire dterminer si les risques sont acceptables en l'tat sans mesure de prvention particulire, ou s'ils ncessitent un traitement technique ou procdural particulier. dfinir les objectifs de scurit permettant de couvrir les risques.
L'ensemble de ces risques devra tre valu, la plupart d'entre eux devant tre couvert par des objectifs de scurit. Ces objectifs de scurit constituent le cahier des charges des mesures de scurit mettre en uvre pour l'environnement tudi. On pourra trouver une liste de mesures de scurit prendre dans la norme ISO-27002 [ISO27002] . Ce document normatif est un Code de bonne pratique pour la gestion de la scurit de l'information et propose toute une srie de mesures mettre en oeuvre pour couvrir les risques rvls par l'analyse.
12/12/09
Page 31 / 80
gbp-v1-0.odm
9.5- Bonnes pratiques dans la mise en uvre de la scurit informatique : exemples de mesures de scurit courante
Voici, ci-aprs quelques pratiques gnrales en matire de scurit informatique qui sont frquemment mises en place dans la scurisation du S.I. de nos units de recherches. 9.5.1- Scurit physique des locaux L'objectif est d'empcher tout accs physique non autoris, tout dommage ou intrusion dans les locaux dans lesquels rsident les informations de lunit. Les locaux contenant des informations sensibles et des moyens de traitement de linformation (salles serveurs, secrtariat de direction ou d'enseignement...) doivent donc tre protgs physiquement des accs incontrls ou malveillants (contrle daccs par cartes ou code). Pour se protger des menaces d'ordre environnementale , il convient galement de mettre en uvre des dispositifs tels que dtection de temprature leve, dispositifs anti-incendies, ou inondations, ... 9.5.2- Scurit du matriel et du cblage On protgera les matriels sensibles (routeurs, serveurs...) des pertes d'alimentation lectrique par un systme de secours lectrique suffisant, ainsi que d'ventuelles surchauffes par des moyens de climatisation adquats et bien dimensionns. Afin de garantir une disponibilit permanente et un bon fonctionnement en cas de panne, le matriel sensible qui ncessite un fonctionnement continu doit tre plac sous contrat de maintenance. Les accs aux cbles rseau transportant des donnes doivent tre protgs contre toute possibilit d'interception de linformation, ou de dommage. Les cbles ou concentrateurs rseau doivent tre hors de porte immdiate et donc protgs dans des gaines ou des armoires de rpartition. 9.5.3- Mise au rebut ou recyclage Les matriels, les informations ou les logiciels ne devraient pas pouvoir tre sortis des units sans autorisation pralable et une procdure formelle. En cas de mise au rebut o de revente de PC, il convient de vrifier que les donnes ont t effaces des disques de manire efficace. Un simple formatage n'tant bien entendu pas suffisant pour effacer les donnes de manire prenne. Des mthodes sont prconises [A3IMP] Les supports qui ne servent plus doivent tre mis au rebut de faon sre, en suivant des procdures formelles. Il convient pour des raisons environnementales de mme que pour des raisons de scurit du S.I. de se dbarrasser des PC et des supports amovibles dans des bennes spcialises, aprs avoir au pralable correctement effac les supports magntiques.
12/12/09
Page 32 / 80
gbp-v1-0.odm
9.5.4- Procdures de scurit informatique lies l'exploitation : 9.5.4.a- Protection contre les codes malveillants : virus et autres malwares La plupart des attaques via le rseau tentent dutiliser les failles du systme dexploitation ou des logiciels d'un PC. Les attaques recherchent les ordinateurs dont les logiciels nont pas t mis jour afin dutiliser la faille non corrige et ainsi parvenir sy introduire. Cest pourquoi il est fondamental que les ASR mettent jour les logiciels des serveurs et des postes clients afin de corriger ces failles. Suite aux avis de scurit qui manent des CERT, l'ASR doit veiller au maintien du niveau de scurit au cours du temps par l'application rcurrente des correctifs logiciels ( patchs ) sur les serveurs en exploitation dans l'unit. Il est galement dans ses fonctions, de veiller ce que chaque poste du rseau local soit quip d'un antivirus rgulirement mis jour. L'ASR doit donc mettre en place des mesures de dtection, de prvention et de recouvrement pour se protger des codes malveillants. 9.5.4.b- Sauvegarde des informations La sauvegarde est un processus essentiel dans tout systme informatique permettant de garantir l'intgrit des donnes, la fiabilit et la continuit de lactivit du laboratoire en cas d'incident. Une politique de sauvegarde (frquence, fentre de sauvegarde..) doit tre labore pour protger les donnes de l'unit. Les informations concernant les sauvegardes effectues doivent tre communiques aux utilisateurs. Une sauvegarde rgulire des donnes des utilisateurs avec des processus de restauration, teste au pralable, doit tre mise en place. Il faut porter attention aux droits d'accs ces sauvegardes. Des copies de ces sauvegardes doivent tre ralises sur des supports externes (robot de bandes, disques externes...) et places dans des locaux (ou coffres) scuriss et distants. Ces copies de sauvegardes devraient tre testes rgulirement conformment la politique de sauvegarde convenue. 9.5.4.c- Journaux systmes les logs Les journaux systmes produits par nos serveurs informatiques permettent la surveillance du contrle daccs nos systmes et rseaux. Ils permettent de faciliter les investigations ultrieures, et sont en outre galement exigs dans le cadre de la collecte de preuve par les autorits juridiques comptentes. Les journaux systmes qui enregistrent les activits des utilisateurs, les exceptions et les vnements lis la scurit doivent tre produits et conservs pendant la priode lgale pour surveiller lexploitation du systme. La politique de gestion des traces du CNRS a fait l'objet d'un document disponible dans l'intranet du CNRS [log cnrs]. Il est important de protger les serveurs qui conservent les informations journalises contre les accs non autoriss ou des actes de malveillances qui pourraient s'opposer au maintien de la preuve. En raison du nombre de serveurs prsents dans nos units, il convient de mettre en uvre des moyens pour faciliter l'exploitation transversale de ces journaux provenant de multiples serveurs. Par exemple la centralisation des journaux systmes sur un serveur unique et ddi, permet de concentrer la scurisation des logs sur un seul point d'accs, de mieux rguler la priode
12/12/09
Page 33 / 80
gbp-v1-0.odm
d'archivage lgal, et surtout de permettre la consultation simultane des journaux de plusieurs serveurs [journaux systmes]. 9.5.4.d- Synchronisation des horloges En cas d'analyse des journaux informatiques, pour retracer la chronologie d'un vnement ou d'une anomalie, il est essentiel que les horloges des diffrents systmes de traitement de linformation (serveurs, routeurs, PC utilisateurs..) de nos entits de recherche soient synchronises laide dune source de temps prcise et pralablement dfinie. 9.5.4.e- Scurit du rseau Echange des informations Contrle d'accs rseau Les rseaux de nos units de recherche doivent tre grs et contrls de manire adquate pour garantir leur protection contre des menaces aussi bien externes qu'internes. On veillera surtout contrler l'accs physique au rseau, segmenter le rseau local en diffrents rseaux virtuels et rendre illisibles notamment les informations en transit, par des moyens de chiffrement des protocoles :
contrle d'accs rseau : il est ncessaire d'empcher les accs non autoriss aux services qui sont disponibles sur le rseau (partages de dossiers, imprimantes, accs Intranet Web, etc). L'ASR doit s'assurer de ne donner accs qu'aux services pour lesquels les utilisateurs ont spcifiquement reu une autorisation. Des mthodes dauthentification appropries doivent donc tre utilises pour contrler laccs des utilisateurs distants. Il peut tre ncessaire d'avoir recours au standard 802.1x. pour contrler l'accs aux ports du rseau interne au moyen d'une identification et authentification La mise en place d'annuaires centraliss tels que Active Directory ou LDAP ou encore un serveur Radius reprsente un lment fondamental pour permettre cette authentification. cloisonnement des rseaux : il est particulirement efficace de sparer les flux rseau issus des diffrents services dinformation de nos entits. La segmentation du rseau de l'unit en rseaux logiques virtuels (VLAN) est une bonne mesure prendre pour sparer les flux rseau de diffrentes entits administratives (le rseau des chercheurs, le rseau des tudiants, le rseau de secrtariats, le rseau des serveurs...). Cette diffrentiation des flux permet par la suite de leur appliquer des mesures de scurit diffrentes. Dans le processus de segmentation du rseau. Il est fortement recommand de regrouper et d'isoler les services devant tre visibles de l'extrieur dans une zone rseau semi ouverte . contrle du routage rseau : le rseau hbergeant le S.I. doit tre protg des tentatives d'accs illicites provenant de l'extrieur comme de l'intrieur de nos entits. Des mesures du routage des rseaux doivent tre mises en uvre afin dviter que des connexions rseau non souhaites ne portent atteinte la politique de contrle daccs des applications mtier de nos entits. Les flux d'entre et de sortie du rseau doivent galement tre protgs par un ensemble de filtres ( ACL ) qui permettent d'interdire des accs rseau vers des ressources ou des services non contrls.
9.5.4.f- Protection des transferts de donnes : chiffrement L'objectif des mesures cryptographiques est de protger la confidentialit, lauthenticit ou lintgrit de linformation par des algorithmes utilisant des cls de chiffrement. Aussi, il faut les utiliser pour protger les flux d'information lis des services sensibles. Par exemple, la messagerie lectronique ou les accs intranet ou tout autre service demandant une identification doivent tre
12/12/09
Page 34 / 80
gbp-v1-0.odm
protgs de manire adquate par des protocoles scuriss reposant sur SSL, comme IMAPS, SSMTP, SASL pour la messagerie ou HTTPS pour le WEB. Une politique dutilisation des mesures cryptographiques en vue de protger linformation devrait tre mise en uvre. Cela revt un caractre obligatoire pour les donnes classifies sensibles . On consultera cet effet le document de recommandations du CNRS en la matire [Chiffrement] . Il est important pour les ASR de connatre le fonctionnement de l'infrastructure de gestion des cls (IGC) et l'utilisation que l'on peut faire des certificats dlivrs (signature et chiffrement des messages lectroniques, ou encore certification de machines serveurs ). Dans le cas du CNRS par exemple, l'ASR se rapprochera des Dlgations Rgionales pour connatre les modalits d'obtention et d'utilisation des certificats lectroniques du CNRS, ainsi que celles pour devenir Autorit d' Enregistrement (AE) afin de fournir des certificats lectroniques aux utilisateurs de son unit. Il est ce propos ncessaire de connatre l' Autorit d' Enregistrement en place sur la Dlgation Rgionale. On trouvera de nombreuses documentations ce sujet sur le site de l'IGC du CNRS, http://igc.services.cnrs.fr . 9.5.4.g- Exigences relatives au contrle d'accs aux systmes d'exploitation Il est du ressort des ASR de matriser par des dispositifs techniques ou procduraux, laccs linformation prsente dans nos units. Il est donc ncessaire de mettre en place une politique de contrle daccs de manire empcher les accs non autoriss aux systmes dexploitation. Une procdure formelle de cration (et de suppression) des comptes informatique des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation doit tre dfinie. Aprs cration des comptes, il est ncessaire de grer correctement lattribution et lutilisation des privilges. L'accs aux ressources informatiques ne doit donc tre possible qu'aprs identification et authentification des utilisateurs, et doit tre adapt aux droits et aux profils des utilisateurs (chercheurs, administration, enseignement, etc). L'ASR attribue un identifiant et un mot de passe uniques chaque utilisateur, et met en place le systme dauthentification adquat, pour vrifier lidentit dclare par lutilisateur lors des entres en session. Les utilisateurs doivent pouvoir changer leur mot de passe par un processus formel contrl de manire empcher l'utilisation de mots de passes trop faibles (mots ne figurant pas dans un dictionnaire, et difficiles retrouver laide de programmes). Il est important de faire adhrer les utilisateurs ces mesures qui peuvent paratre contraignantes, mais qui figurent parmi les mesures de base permettant d'assurer la scurit de l'accs au S.I des entits. Dans certains contextes (salles d'enseignements, ou applications sensibles...) les sessions inactives devraient tre dconnectes aprs une priode dinactivit dfinie. 9.5.4.h- Gestion de Parc et des moyens nomades - Cybersurveillance L'administration des postes de travail de nos units est normalement place sous la responsabilit de l'ASR. Selon la rglementation en vigueur actuellement, il a donc toute latitude pour mettre en place des outils de gestion et de surveillance du parc informatique. Ainsi, une Page 35 / 80
12/12/09
gbp-v1-0.odm
vrification du niveau de scurit des postes nomades (prsence d'un antivirus jour par exemple) doit tre mise en place avant l'accs au rseau local. Les postes de travail et moyens nomades doivent par ailleurs tre protgs par des mots de passe robustes. En cas de tlmaintenance sur un PC avec des outils de prise en main distance tel que VNC, les ASR doivent avertir le propritaire du poste et respecter la lgislation. 9.5.4.i- Mesure de l'utilisation des ressources : outils de mtrologie Lutilisation des ressources systmes ou du rseau doit tre surveille et ajuste au plus prs. La scurit du S.I implique une surveillance de l'utilisation du rseau et des serveurs tout en respectant la rglementation en vigueur (cf bonnes pratiques lies aux aspects juridiques 10). Cela consiste notamment respecter le principe de proportionnalit qui est d'adapter les moyens de surveillance aux enjeux de scurit, et d'avoir pour principe d'informer les utilisateurs et les partenaires sur les moyens de surveillance mis en place. Dans le respect de ce cadre l'ASR a toute latitude pour mettre en place divers outils de mtrologie rseau et de journalisation des accs aux serveurs.
12/12/09
Page 36 / 80
gbp-v1-0.odm
10- Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur
Le travail des ASR est dsormais en prise avec de nombreuses obligations et responsabilits de nature juridique. Dans le cadre de la protection du S.I, la responsabilit administrative et pnale de la hirarchie et des ASR peut tre recherche. Il conviendra donc de connatre les principaux rglements en matire de cyber protection (LCEN, informatique et libert) relatifs la protection de la proprit intellectuelle, des donnes relevant de la vie prive (fichier nominatifs), et de suivre attentivement l'volution des jurisprudences. Quelles sont les bonnes pratiques dans le contexte des responsabilits juridiques ? Les jurisprudences appliques ces dernires annes ont permis de dessiner un ensemble de comportements et de bonnes pratiques, permettant l'ASR d'avoir une attitude plus claire dans un contexte de faute potentielle dans le S.I. Une rgle fondamentale qui apparat dans le mtier d'ASR depuis la LCEN, est le triptyque information - contrle action . Dans un contexte de faute, un magistrat jugera si on a : inform les utilisateurs, si on a contrl les ressources mises dfaut, et si on a agi dans des dlais acceptables pour rparer une faute ou un problme.
10.1- Informer, contrler, agir

10.1.1- Informer, Conseiller Les administrateurs sont tenus une obligation de conseil renforc auprs des utilisateurs d'un systme d'information (le conseil renforc s'applique 3 domaines : nuclaire, chimie risque de type SEVESO et informatique) . Les ASR peuvent et doivent donc mettre des alertes (sur des risques connus ) ou des mises en garde (sur des risques possibles)... La mise en garde permet de signaler qu'il est possible qu'un problme intervienne. L'alerte permet d'informer d'un problme bien dfini et connu (et non hypothtique). La prsence de certains mot-cls (alerte, conseil, mise en garde) dans un rapport ou un mail peut avoir un poids utile en cas de contentieux ultrieur. Il faut informer les responsables lgaux, les autorits comptentes ainsi que les utilisateurs par la rdaction de rapports rguliers, ainsi que sur toute situation particulire pouvant mettre en cause la scurit du S.I. (Cf. Documentation). Il est ncessaire d'informer les utilisateurs de la nature des traces qui sont journalises et archives sur nos systmes, ainsi que de leur dure de rtention par l'affichage sur un site web par exemple. 10.1.2- Prouver qu'on a scuris C'est une bonne chose de mettre en uvre un ensemble de techniques assurant la scurit informatique, mais encore faut-il pouvoir le prouver. Or, dans nos milieux universitaires et de recherche il y a une faible culture de l'crit administratif . On ne trace pas beaucoup par crit les actions qui ont t entreprises. Il faut donc pour nous ASR, pour prouver nos actions, montrer qu'on a inform et agi.
12/12/09
Page 37 / 80
gbp-v1-0.odm
Par consquent, il convient de tracer et documenter nos actions de diverses manires. On retrouve l la ncessit issue des processus de gestion des interventions et de gestion des changements cits dans la premire partie de ce document. Il faut avoir les moyens de donner des preuves de l'information et de la communication qu'on a fourni. Cela peut prendre diffrentes formes comme par exemple, faire un rapport annuel d'activits, ou tenir la rdaction d' une rubrique informations notamment sur la scurit sur le site Web du laboratoire. Une rubrique scurit sur un site web peut permettre de retranscrire rgulirement les actions d'information et de contrles engages. Les utilisateurs de l'unit doivent bien sr tre informs de l'existence de cette rubrique et de sa mise jour (Cf. Documentation). Il est prfrable de garder des preuves lectroniques et au besoin crites de diffusion de l'information. Ces informations seront donc faites par crit (mail, article web, notes de service..), et pourront comporter certains mots-cls comme CONSEIL , MISE EN GARDE , ALERTE . Ces informations peuvent porter par exemple sur certains bulletins d'alerte du CERT ou CERTA qui concernent l'unit, les migrations prvues ou les interruptions de services critiques, ou encore des coupures du rseau avec l'extrieur. On peut y mettre galement des statistiques de virus/ spams, dbits rseau, infections PC , un bilan d'activit annuel du service, etc. 10.1.3- Contrler l'activit des systmes et du rseau Le contrle vise la mise en place d'outils de surveillance pour vrifier le bon fonctionnement loyal et proportionn des services offerts. Depuis la LCEN, le droit des ASR tracer les activits des services et leur utilisation dans le S.I est total et complet : diagnostic, analyse, contrle, maintenance prventive, identification des comportements illicites. Les bonnes pratiques consisteront par exemple dtecter les fonctionnements anormaux par la mise en place d'outils pour :
centraliser et paramtrer la conservation des journaux systmes sur la dure maximale lgale pour les services demands, obtenir des statistiques sur l'utilisation des services, le dbit, les sites consults, la consultation du site du laboratoire, la place occupe sur les disques, , avoir des remontes d'information en cas de problme avec des sondes d'un systme de monitoring (Nagios, cacti, Zabbix, etc) par exemple, contrler le contenu du site web. Dans la majorit des cas, les laboratoires ditent et hbergent eux-mmes leur site web. L'hbergeur n'a pas d'obligation gnrale de surveillance, mais il a une obligation spciale de surveillance (point de la ngligence fautive). Les ASR sont en effet tenus au secret professionnel, mais ont l'obligation de dnoncer des actes dlictueux comme les contenus illicites et notamment la pdopornographie ou la diffamation. En tant que directeur de la publication, le directeur du laboratoire a une plus grande responsabilit puisqu'il en approuve le contenu.
L'ASR est tenu, comme tout agent de l'tat, de dnoncer les contenus illicites dont il constate la prsence (ceux qui font l'objet de crimes ou de dlits). Il ne faut cependant pas effectuer de destruction de preuve. Il sera conseill de faire une copie d'huissier des fichiers incrimins (sur un support comme une CD-ROM, etc) et de les placer en lieu sr pour le cas o une enqute ultrieure serait mene.
12/12/09
Page 38 / 80
gbp-v1-0.odm
Une attention particulire sera observer pour tout ce qui touche aux informations personnelles (contexte de la vie prive rsiduelle sur le lieu de travail), tant en terme de diffusion du contenu que de diffusion d'information concernant un contenu suspect. Il est rappeler que la remise de documents ou d'informations touchant aux donnes personnelles ne peuvent tre remises qu' un officier de police judiciaire dment habilit (en cas de doute, ne pas hsiter contacter le HFD directement ou via la chane organique). 10.1.4- Agir En cas de crise ou d'urgence, l'ASR a donc le droit d'agir et ragir rapidement pour assurer la continuit du service et dispose du droit de refuser des demandes qui mettraient le S.I. en danger. En contre partie, il est tenu d'assurer la scurit systme du site (passer les correctifs de scurit logiciels). Si un correctif de scurit n'a pas t pass, et qu'il y a eu un incident grave, pour ne pas tre responsable, il faudra prouver par exemple qu'il tait en vacances, et qu'il n'y avait pas de redondance humaine prvue. Pour maintenir la continuit des services communs, pour scuriser (excuter les patchs,...), en cas d'urgence ou de crise,les principes gnraux et fondamentaux du mtier d'ASR retenir sont :

amliorer la politique de l'crit dans nos units, mettre en place le triptyque Information/Contrle/Action, amliorer la traabilit.
10.2- Notice lgale de site web

La loi pour la confiance dans lconomie numrique du 21 juin 2004 prvoit que les personnes dont lactivit est dditer un service de communication au public en ligne mettent des informations disposition du public :

nom, prnoms, domicile et numro de tlphone,s'il s'agit de personnes physiques, dnomination, raison sociale et sige social, numro de tlphone,s'il s'agit de personnes morales, nom du directeur ou du codirecteur de la publication et, le cas chant, celui du responsable de la rdaction, nom, la dnomination ou la raison sociale et l'adresse et le numro de tlphone de lhbergeur.
Une notice lgale est donc dsormais indispensable sur les sites Webs de nos units. Celle-ci doit indiquer :

l'exploitant du site : c'est une entit, gnralement le laboratoire lui-mme, l'hbergeur : c'est l'entit qui a le contrle logique sur le serveur : c'est soit le laboratoire s'il a le contrle total sur le serveur, soit l'entit qui gre ce serveur (sur lequel le laboratoire a un point d'accs pour mettre jour son site web), le Directeur de la Publication : c'est une personne physique, gnralement le Directeur du laboratoire (ou le directeur Gnral du CNRS).
12/12/09
Page 39 / 80
gbp-v1-0.odm
Dans ce contexte, il est bon de prciser que l'ASR a pour mission d'assurer l'administration systme des serveurs, mais ne doit pas tre l'diteur ou le responsable ditorial du site Web de l'tablissement. Si l'ASR est inform d'un contenu illicite, il doit en informer son directeur par crit et prendre une dcision rapide pour sauvegarder les preuves puis ensuite retirer ce contenu. La Loi dit de le supprimer immdiatement . Dans les jurisprudences, le dlai est gnralement de 48h.
10.3- Notion de charte informatique

La charte de bonne utilisation des services informatiques et de l'internet est un document indiquant quels sont les droits et devoirs des utilisateurs. Elle doit tre largement diffuse et porte la connaissance de tous les personnels de l'entit. Une charte accepte (qu'elle soit signe indpendamment ou annexe au rglement intrieur ) est un lment de droit. Elle est assimile un contrat et doit donc tre comprise pour tre valide (ne pas faire signer la charte franaise un tudiant tranger qui ne la comprendrait pas). Elle complte un dispositif qui peut tre constitu de normes, de plan de continuit d'activit, d'audit, ou d'actions de sensibilisation.
12/12/09
Page 40 / 80
gbp-v1-0.odm
CONTEXTES PERSONNEL ET RELATIONNEL DES ASR

Cette partie traite des pratiques que peut suivre l'ASR en tant qu'individu dans son contexte pour mieux organiser son travail, mieux communiquer au sein de son entit et amliorer ses comptences. On y trouvera donc des mthodes de gestion du temps, des principes pour amliorer la communication entre l'ASR et son environnement (directeur, utilisateurs,..) et des outils pour perfectionner ses comptences par le biais de diffrents types de formation.
12/12/09
Page 41 / 80
gbp-v1-0.odm
11- La gestion du temps

La ncessit de grer son temps n'est pas primordiale tant que nous pouvons faire face l'ensemble de nos tches naturellement dans un temps raisonnable. Si nous avons l'impression que notre charge de travail ne cesse de s'alourdir et que notre mthode naturelle d'organisation fonctionne moins bien alors, une rflexion s'impose. Nous sommes, en effet, soumis a des sollicitations plus ou moins imprvisibles. Notre travail est souvent assujetti un flot continu de requtes diverses provenant des utilisateurs qui rentrent en concurrence avec les tches incontournables d'administration des infrastructures. Il faut donc s'organiser au mieux pour rpondre cette situation et savoir grer son temps est un des moyens pour y parvenir. Outre ces demandes et ces incidents dans l'exploitation du parc informatique, nous avons besoin de maintenir nos connaissances concernant la veille technologique. Cela demande de rserver du temps pour tester, valuer les nouveaux produits, connatre de nouvelles technologies, etc. Enfin, appliquer une mthode de gestion du temps apporte une aide lors de la rdaction des rapports d'activits. En effet, on peut se rfrer aux listes de projets, d'actions lmentaires, l'agenda, l'chancier tenus jour au cours de l'anne passe. Notre objectif est de donner quelques pistes concrtes pour amliorer la gestion du temps dans le mtier d'ASR, principalement, partir de trois sources d'informations qui sont :

la mthode Getting Thing Done , de David Allen, plus connue sous l'acronyme GTD [GTD], le livre de Thomas Limoncelli Admin'sys, grer son temps [AdminSys]. le livre de Franois Delivr Question de temps [QuestionTemps]
11.1- Les grands principes de la gestion du temps

La majeure partie du stress nat d'une mauvaise gestion des engagements pris ou accepts. En effet, si on prend le temps de rflchir sur les tches ralises lors des dernires semaines par exemple, on se rend compte du trs grand nombre d'engagements internes pris : cela va des grandes ambitions (projet d'Universit Numrique en Rgions ou la restructuration du service informatique), jusqu' des intentions plus modestes (des migrations de services, mise en place de nouveaux serveurs) ou encore banales (remplacer le bloc-notes ou recharger le portable). Prendre conscience de ces divers type de tches est un pas certain vers une meilleure gestion de son temps. Un autre point important galement est de pouvoir dfinir quel niveau de rflexion ou de "profondeur" se situe un projet ou une tche. Par exemple, un projet reste flou ou une affaire en suspens s'il n'a pas d'objectifs clairs (que veut-on vraiment obtenir ?) et si aucune action concrte n'a t dfinie. Ce n'est pas quelque chose de ngatif en soi. Au contraire, cela correspondant au tout dbut du projet, au moment ou l'ide merge tout simplement. Ceci dit, un projet flou est trs difficile planifier puisqu'aucun droulement n'est dfini. C'est un point capital d'autant plus que s'il nous proccupe excessivement, c'est que soit on n'a pas les moyens pour le rgler ou bien on n'a pas de solutions. La plupart des conflits de priorit un instant donn entre plusieurs tches peuvent tre rsolus par une bonne harmonisation entre les tches ncessaires ( il faut que ) et celles qu'on aime bien ( j'ai envie de ) [QuestionTemps]. Si nos tches du type il faut que sont trop prpondrantes Page 42 / 80
12/12/09
gbp-v1-0.odm
par rapport celles du type j'ai envie de , cela se traduira par une dmotivation de l'ASR. C'est dans notre j'ai envie de que se situe la plus grande nergie, la plus grande dtermination agir. Enfin, nos difficults pour grer notre temps viennent aussi du fait d'tre victime des ruses de notre mental dont nous n'avons pas ncessairement conscience tels que tre systmatiquement tent de sous-estimer le dlai d'une tche, se disperser, la peur des responsabilits, l'hsitation perptuelle. Franois Delivr les appellent les diablotins dans son livre. Il en recense une dizaine. En prendre conscience, l aussi peut nous aider amliorer la gestion de notre temps [ResumeQuestionTemps].
11.2- Le schma du flux de travail ou la technique du cycle

La mthode GTD propose un schma du flux de travail [rsumGTD] pour apprendre grer son temps. L'ide est de librer son cerveau le plus possible des diverses tches effectuer. Si l'esprit est encombr d'une multitude de dtails, il ne pourra pas tre efficace. Pour se concentrer et viter d'oublier, le mieux est de coucher sur le papier ou de saisir au clavier tout ce qui nous proccupe et de centraliser le tout dans une boite d'entre. Ensuite pour chaque lment stock dans cette boite, soit il s'agit d'une information stocker dans les documents de rfrence, jeter ou noter dans une liste A faire un jour/peut-tre , soit il s'agit d'un lment qui demande une action. C'est ce niveau que se situe le cur de la mthode : quelle action faut-il entreprendre ? Pour certains lments, l'action est vidente et facile raliser (envoi d'un mail pour poser une question bien dfinie, ou pour informer). Pour d'autres, le rflexe est de dcouper en plusieurs actions lmentaires appeles PCAF ( Premire Chose A Faire ). Si la PCAF en question ne demande que quelques minutes, alors le mieux est de l'excuter sur le champ. Sinon, on se demande si on est la personne la mieux place pour l'excuter. Selon la rponse, on dlgue ou on la reporte dans sa liste de PCAF, en bref : on excute, on dlgue ou on consigne. En rsum, il est prconis de maintenir au minimum une liste de projets, une liste de PCAF et un agenda. D'autres catgories sont aussi utiles et expliques en dtail. Les pointeurs sont donns dans le document Fiches de Rfrence du guide. A un instant donn de la journe, on est soit dans la ralisation de tches prdfinies (liste de PCAF), soit on gre les imprvus, soit on dfinit son travail (on est dans ce schma du flux de travail). Prenons quelques minutes au dbut pour s'observer : n'est-on pas trop souvent dans les imprvus au dtriment des autres tches ? Une fois cette organisation tablie et bien intgre, il devient naturel de revenir rgulirement sur son planning en particulier pour raliser un bilan, effacer les tches ralises et en ajouter de nouvelles. L'idal tant le vendredi aprs-midi pour librer son esprit pour le week-end parce le travail ralis dans la semaine est encore bien l'esprit. Thomas Limoncelli propose la technique du Cycle, similaire la mthode GTD : il s'agit de consacrer dix quinze minutes chaque matin pour mettre en place son emploi du temps de la journe, ordonner selon les priorits et les temps d'excution, suivre le programme, conclure et recommencer le lendemain. Il est prfrable de commencer avec une organisation minimale ( avec un papier et un crayon) laquelle on adhre compltement car on est convaincu que c'est ncessaire et on l'amliore petit petit pour soi et pour le service informatique. Voici quelques exemples de diffrents types d'informations traiter dans sa boite d'entre :
12/12/09
Page 43 / 80
gbp-v1-0.odm
l'information disque nxx de la baie scsi est tomb en panne le ../../.. Remplac le ../../.. aprs appel au fournisseur, sous garantie ... est stocker dans la fiche d'exploitation du matriel. remplacer le contrleur de domaine Samba est un projet noter dans la liste des projets. se remmorer l'actuelle configuration du serveur samba d'aprs la fiche d'exploitation ou les fiches d'intervention est une PCAF de mme que lire les nouveauts entre les 2 versions et rflchir leur impact par rapport au paramtrage du service effectif dans mon laboratoire .
11.3- La gestion des projets et des priorits

Il est frquent chez les ASR d'tre dbords par les demandes quotidiennes, gnralement courtes et frquentes occasionnant le report de grands projets initialement prvus (et qui deviennent de plus en plus urgents au fur et mesure du temps qui passe). Pourquoi ? Une des raisons est que ces projets sont souvent longs et complexes et qu'il est difficile de savoir par ou commencer.
Thomas Limoncelli comme David Allen propose le dcoupage en sous-projets plus simples et courts. La mthode GTD est plus concrte dans le sens ou elle prconise de dfinir une premire action (appele PCAF) concrte et d'une dure assez courte. Pour dfinir un moment donn l'action effectuer, plusieurs modles sont proposs. Le premier modle repose sur quatre critres : le contexte, la disponibilit, le niveau d'nergie et la priorit. Ce dernier critre fait appel son jugement du moment comme par exemple le facteur d'impact de l'action. En effet, connatre les attentes des utilisateurs et faire passer un projet riche en consquences (pour le laboratoire, pour l'image de marque...) avant les projets faciles mais aux consquences et retombes moindres ou inutiles est un critre important. Le classement suivant en 4 catgories, de A D, peut servir attribuer une priorit. On privilgiera videmment la catgorie A : A: une action facile (effort faible) avec un impact important et positif B: une action difficile (gros effort) avec un impact important et positif C: une action facile avec un impact superficiel D: une action difficile et un impact superficiel Un exemple peut tre la demande de mise en place d'un site web pour une confrence organise dans son laboratoire. Mme si cette demande est la dernire dans l'ordre chronologique, elle peut tre classe prioritaire grce un impact positif et immdiat vis vis des utilisateurs et de l'extrieur. Le second modle repose sur la notion d'chelle, une faon de prendre du recul. Il s'agit de passer d'un tat o on est au plus prs des actions en cours celui qui permet d'obtenir une vue d'ensemble correspondant son plan de vie [GTD] . Cela permet d'excuter une action de son plan de vie qui ne fait pas partie des actions quotidiennes. Par exemple, prenons le cas d'un ASR qui souhaite approfondir ses connaissances sur le systme Linux, qu'il connait trs peu tant plutt comptent sur le systme Windows. Ce souhait fait partie de son plan de vie (mutation, ). Si une formation sur Linux se prsente, il choisira d'y participer mme si c'est pendant une priode o de nombreuses tches sur le parc des machines Windows l'attendent.
12/12/09
Page 44 / 80
gbp-v1-0.odm
11.4- Mieux grer les interruptions

Un des grands problmes dans notre travail d'ASR est le grand nombre d'interruptions auxquelles nous sommes confronts continuellement et qui nous font abandonner des tches en cours pour les reprendre plus tard. Ces interruptions incessantes nous font souvent perdre le fil du travail en cours. Dans la gestion du temps, l'ASR est galement parfois son propre ennemi en tant tent de rpondre au flux incessant de courriels qu'il reoit et en maintenant trop de tches en cours (trop de fentres l'cran,...). Il s'agit alors de mieux ragir aux interruptions frquentes de notre mtier (urgences, multiples demandes des utilisateurs, courriel..), et donc d'organiser au mieux son temps et sa liste de tches avec des mthodes appropries parmi lesquelles:
avoir un environnement rang favorisant la concentration, et diminuant les distractions (ranger l'cran, pas trop de fentres ouvertes et d'actions simultanes en mme temps) connatre son rythme biologique et savoir quelle heure on est plus dispos pour des activits ncessitant de la concentration mettre en place un bouclier anti-interruptions , avec un systme de plages horaires spcifiquement rserves aux demandes des utilisateurs. En dehors de celles-ci, l'ASR peut alors s'isoler, quitter son bureau et avancer sur ses projets plus sereinement. face aux multiples demandes des utilisateurs, revenir au schma du flux de travail cit dans la mthode GTD : dterminer la premire action faire (PCAF), l'excuter, la dlguer ou la consigner puis recommencer.
11.5- Mettre en place des routines et des automatismes

Ces actions rgulires que l'on s'impose permettent de mieux structurer ses activits et grer son temps. On peut citer par exemple :
planifier systmatiquement des rencontres dans son service pour faire le point sur l'tat d'avancement de projets (tous les lundis, le planning hebdomadaire du service informatique, tous les premiers lundis de chaque mois, les runions avec des collgues, etc). On peut largir cette habitude de programmer des runions avec son suprieur, voire les utilisateurs (voir le paragraphe suivant sur la communication) mettre en place des scripts pour automatiser les sauvegardes, les vrifications sur la place disponible des serveurs, des services en arrt, etc. automatiser l'envoi de mails pour se rappeler les tches rcurrentes mais manuelles : compacter une base de donnes, diter le listing mensuel des machines infectes,etc. se dplacer systmatiquement avec son organiseur, son stylo, ses cls, ses cartes d'accs est aussi une bonne habitude.
11.6- Conclusion
L'ide qui nous incite penser qu'appliquer une mthode de gestion de temps apporte un travail supplmentaire sans rel bnfice est trs rpandue. Cela signifie que la phase Page 45 / 80
12/12/09
gbp-v1-0.odm
motivation/intention n'a pas t traite en profondeur. En fait, appliquer une telle mthode (qui revient planifier un projet) ne diminue pas le nombre de tches que nous avons : ce n'est pas une recette miracle ! Au contraire, elle met en relief, parfois de faon douloureuse, les dysfonctionnements qu'ils proviennent de nous ou non, et va inciter dfinir bien clairement les priorits. Pour maintenir le cap, on doit prendre l'habitude de librer son esprit, de dterminer les actions ncessaires et les rsultats voulus aussitt qu'une situation se prsente, revoir et mettre jour l'inventaire complet des affaires en suspens. Ne soyons pas tonns si ces habitudes ne deviennent pas automatiques du jour au lendemain. Soyons patients et apprivoisons-les en douceur !
12/12/09
Page 46 / 80
gbp-v1-0.odm
12- La communication de l'ASR avec ses partenaires

Nous abordons ici les relations avec ce qui, dans ITIL ou la norme ISO20000, est class sous le terme de "client". En effet, dans un laboratoire de recherche, les ASR doivent bien sr rendre des comptes et satisfaire des besoins de diffrentes natures et niveaux. Il y aura donc plusieurs formes de communications adaptes chaque catgorie de client ou de besoin (formes crites, orales, contractuelles, dialogues, coutes, etc ). Outre les qualits techniques requises, l'ASR (ou du moins le service informatique) porte galement une fonction de communication :
il a un devoir d'informer, de former et de sensibiliser la Direction et les utilisateurs pour tout ce qui concerne l'utilisation du systme informatique, son volution, ses changements et sa scurit. il a galement une obligation de conseil, de recommandation, d'alerte et de mise en garde pour toutes les pratiques ou vnements qui pourraient mettre en cause la scurit ou le fonctionnement normal du S.I. enfin il a un rle dans la relation au quotidien avec les utilisateurs, travers la prise en compte des multiples demandes d'assistance de leur part.
D'une manire plus gnrale, un des rles de l'ASR, est souvent de reformuler en termes de "solutions techniques" ce qu'expriment les utilisateurs (les clients) en termes de besoins fonctionnels ou scientifiques afin de les concrtiser par des volutions, des investissements ou des modes de fonctionnement. La communication (dont l'coute) est donc un lment fondamental dans nos relations avec les utilisateurs/clients, qui va viser d'une part, comprendre et prendre en compte les besoins et problmes des utilisateurs de l'unit et d'autre part conseiller la Direction dans son rle de responsable de la scurit du S.I. Enfin une bonne communication permet d'assurer la bonne lisibilit des missions du service au sein de l'entit. Il s'agira donc de mettre en uvre les bonnes pratiques , les bonnes structures organisationnelles pour assurer ces missions de communication rcurrentes l'intrieur de l'unit comme vers l'extrieur.
12.1- La communication relevant de la politique gnrale informatique de l'unit

On est l dans le cadre du suivi d'un schma directeur qui va fixer les grandes lignes des activits informatiques au cours de l'anne, les priorits traiter, les investissements raliser et l'attribution d'un budget de fonctionnement. Ce type de communication permet de dfinir et d'amliorer la lisibilit du service Informatique au sein du laboratoire, et permet d'afficher les missions du service, son organisation, ses moyens, les priorits suivre, ses actions et ralisations, etc.
12/12/09
Page 47 / 80
gbp-v1-0.odm
12.1.1- La communication sur les activit du Service Informatique

La Direction est l'lment primordial dans le management de la scurit de l'information du laboratoire. L'ASR est son conseiller principal. Le Directeur d'unit s'entoure parfois d'une commission d'utilisateurs avec laquelle il va valider les choix techniques et budgtaires que l'ASR lui soumet. Voici quelques pistes possibles adapter chaque contexte.
12.1.1.a- Commission informatique d'une unit
Une commission informatique d'utilisateurs regroupant les principales fonctions de l'entit (chercheurs, enseignants, administratifs..) est une instance qui peut se prter parfaitement l'tablissement et la validation d'une politique gnrale d'un service informatique d'une unit. Ce type d'instance a plusieurs avantages, parmi lesquels :
de prsenter et valider le compte rendu d'activits annuel tabli par le service informatique auprs des reprsentants de l'unit, d'examiner et valider le budget demand par le service informatique, de dfinir les priorits des investissements informatiques que l'ASR propose, de dfinir les besoins en continuit de services (dures acceptables de perte de services ou dures acceptables de service dgrad), de dfinir ce qui est critique dans le fonctionnement du laboratoire afin d'orienter, tablir et justifier aux yeux de chacun les priorits d'intervention des ASR, d'avoir un retour sur la qualit de service du service informatique et sur l'indice de satisfaction des utilisateurs.
Le statut de cette commission est dfinir clairement ds sa constitution. Les actions mises en uvre par l'ASR sont avant tout prises en accord avec sa direction. Les avis de cette commission peuvent tre consults et pris en compte autant que possible dans ce contexte.
12.1.1.b- Livret d'accueil informatique de l'unit
La rdaction d'un livret/guide d'accueil dcrivant les services offerts, et les procdures pour y accder pour les nouveaux entrants concourent une bonne lisibilit des services mis en place par le service informatique. Il permet galement de se reposer sur un document qui assurera de gagner beaucoup de temps en n'ayant pas rpter les mmes choses chaque personne, tout en affichant un grand professionnalisme. Ce livret d'accueil peut bien entendu tre disponible sous sa forme lectronique sur le site web de l'unit. On peut par exemple indiquer dans ce livret d'accueil les principaux services offerts ainsi que les modalits et procdures pour y avoir accs :

l'architecture en place, ses fonctions et ses limites, les demandes d'assistance informatique, l'accs et l'usage de la messagerie, la configuration de son logiciel de messagerie avec les adresses des serveurs en fonction, le changement de son mot de passe, l'change de fichiers volumineux avec un correspondant extrieur,
12/12/09
Page 48 / 80
gbp-v1-0.odm
l'espace de stockage en rseau, comment y accder, les quotas disques disponibles par individu, l'accs au service de rseau sans fil, Eduroam, la politique de sauvegardes des donnes, l'accs aux moyens de calcul disponibles dans l'unit, la salle libre accs, quels sont les logiciels disponibles et les horaires d'ouverture, le service VPN pour accder de manire scurise ses donnes depuis l'extrieur du laboratoire, etc.
12.1.1.c- Compte rendu d'activits
Le compte rendu d'activits du service informatique est un document de communication. C'est l'lment qui affiche, archive et tmoigne des grandes tches ralises par le service tout au long de l'anne devant les utilisateurs et la Direction. Il est aussi important que ces activits fassent partie du rapport rdig lors des rapports d'valuation des autorits de tutelle. Pour exemple, on pourra y mettre :
une synthse du nombre et de la diversit des tches d'assistances ralises auprs des utilisateurs, et qui ont t inventories par le processus de gestion des interventions. Cela peut par exemple se traduire effectivement dans nos units par un systme de suivi des demandes (HelpDesk). les extensions ou modifications du rseau, du cblage, du dploiement de wifi, les changements et volutions dans les systmes d'exploitation, les installations de nouveaux services, l'tat des lieux des serveurs et des systmes de stockage : quantitatifs (nombres de machines, PC, portables, augmentation par rapport l'an dernier et nombre de services) et qualitatifs (libell des services implments), les problmes de scurit qui ont eu lieu et comment y remdier, les formations effectues, les tudes et projets en cours et finaliss, etc.
En dfinitive, il permet de rsumer et de prsenter au grand jour l'ensemble des activits et des tches ralises amliorant, de ce fait la communication et la lisibilit du service informatique.
12.2- La communication avec les utilisateurs

Outre la politique gnrale dfinissant les missions et orientations gnrales du service, les ASR sont au contact permanent et quotidien avec la quasi totalit des personnels d'une unit en traitant leurs demandes d'assistance et les diverses rsolutions d'incident. Sans une organisation rigoureuse et adapte qui permet d'taler et planifier les interventions, on est assur d'une perte de temps, d'un stress quotidien, et du sentiment d'tre dbord en permanence.
12/12/09
Page 49 / 80
gbp-v1-0.odm
Quelles sont les bonnes pratiques dans ce domaine ? Il s'agit de faire connatre aux utilisateurs les moyens et les procdures mis en place pour satisfaire leurs demandes, comme par exemple : un Systme de Suivi de Demande , un site Web intranet propre au service informatique.
Il est ncessaire de bien expliquer quelles sont les procdures (o, qui et comment) suivre en cas de problme et vrifier rgulirement la qualit de la communication (commission d'utilisateurs), comme par exemple un mode d'emploi clair pour trouver la bonne documentation en ligne sur le site Web. On privilgiera les outils et procdures de communication gnraux qui serviront former le plus grand nombre (1 vers n), plutt que de s'adresser n fois une seule personne (1 vers 1). La communication avec les utilisateurs pourra seffectuer au moyen de formations internes et par la mise disposition dinformations au moyen du systme documentaire mis en place.
12.2.1- Relation 1 vers 1

C'est dans ce type de communication qu'il faut veiller insister sur l'coute pour dtecter les besoins sous-jacents et les reformuler en termes oprationnels. Il est ncessaire pour l'ASR de prendre en compte toutes les demandes d'intervention des utilisateurs et d'accuser rception de leurs demandes en leur accordant de l'attention ncessaire. On vitera une non prise en compte de la demande ou une raction silencieuse , et on privilgiera les demandes des utilisateurs qui auront suivi les consignes et procdures mises en place par le service informatique et auront inscrit leur demande sur l'outil de suivi de demandes. Autant que faire se peut, on vitera le vocabulaire du mtier afin d'tre compris par un utilisateur perdu qui a du mal exprimer sa demande. A cet effet l'ASR a le choix entre notifier, enregistrer la demande dans le HelpDesk [GPLI][RT] pour un traitement ultrieur, ou aiguiller les utilisateurs vers le bon interlocuteur. Dans les deux cas la prise en charge de la demande est un gage de professionnalisme et de qualit de service.
Esup-Portail]
Cet archivage des demandes des utilisateurs dans un HelpDesk [HelpDesk] permet l'ASR de se donner la possibilit de planifier et ordonnancer son excution, plutt que d'tre ballott par les interruptions incessantes. Un HelpDesk permet galement de dlguer une requte d'autres ASR. L'utilisateur voit par qui sa demande est prise en compte et peut suivre l'tat d'avancement de sa ralisation.
12.2.2- Relation 1 vers n

La diffusion dinformations sur les vnements en cours , par exemple partir d'un site Web spcifique du service informatique pourra permettre d'informer les utilisateurs sur :

les projets en cours : un service wifi qui sera install telle date,... les volutions prvues ou en cours sur tel ou tel systme : changement du serveur web , prvu telle date,... les nouveauts qui ont t installes : un agenda collaboratif va tre install,... les changements de configuration de certains services : en raison de nombreux problmes de scurit les connexions ssh se feront dsormais sur le port 2324,l'organisation de formations internes regroupant plusieurs utilisateurs sur, par exemple, l'utilisation de SPIP , ou le paramtrage de thunderbird ,... Page 50 / 80
12/12/09
gbp-v1-0.odm
12.2.3- Prise en compte de la satisfaction des utilisateurs

Lanalyse de la satisfaction des utilisateurs est l'origine du processus damlioration continue (Roue de Deming, PDCA que l'on retrouve dans ITIL et la norme ISO-20000 ). C'est une tape fondamentale de la qualit de service dans laquelle on doit vrifier la qualit du service rendu aux utilisateurs, s'assurer qu'elle rpond bien aux besoins et la demande, et l'amliorer le cas chant. Dans nos structures, cela pourrait se concrtiser de manire informelle par des rencontres planifies avec les utilisateurs : mini-sminaires, cafs informatiques, etc) ou encore de manire plus officielle et formelle par des commissions informatiques d'units avec la Direction et les utilisateurs pour faire remonter un niveau de satisfaction.
12.2.4- La communication au sein du service informatique

Enfin, outre la communication dirige vers les utilisateurs ( client ) de l'unit, il est galement ncessaire de bien communiquer au sein mme du service Informatique. Dans ce cadre l, les bonnes pratiques quand l'effectif du service le permet, sont :
de mettre en place des runions de service rgulires. Ces runions dont la frquence est dterminer (quotidiennes ?, hebdomadaires ?...) permettent de passer en revue les actions et les problmes en cours, de savoir qui s'occupe de quel projet pour quelle chance, de savoir quelles sont les priorits et les objectifs... Ces runions peuvent aussi permettre d'laborer un planning qui servira de bouclier anti-interruption en assignant telle ou telle personne temps plein sur une action pendant que les autres prennent en charge les demandes et problmes quotidiens des utilisateurs. mettre en place et tenir jour un systme documentaire (cf chapitre 8) permettant d'changer toute la connaissance au sein du service en l'absence des autres membres.
12.3- Communication, collaboration avec les partenaires extrieurs

Le milieu de la recherche scientifique est par principe trs ouvert d'autres partenaires extrieurs. Il est ncessaire de mettre en place une communication approprie auprs de ce public particulier externe nos units. En effet, d'une part nos units sont souvent hberges par des tutelles diffrentes, et d'autre part, elles sont amenes travailler avec des partenaires industriels. Nos units partagent souvent leur environnement technique avec d'autres partenaires, si bien que les limites du S.I peuvent tre floues ou mal dfinies. Il est donc ncessaire de mettre en place une large ouverture et communication avec ces partenaires comme par exemple :
mettre en place une coordination avec les autres tutelles. En cas d'incidents de scurit, notamment il convient d'informer et de se concerter avec les autres tutelles. intgrer des groupes de travail avec les tutelles qui hbergent des units de recherche, notamment pour des projets communs de dploiements et de scurisation du S.I. prendre en compte et respecter les rgles de scurit dun partenaire lors de la connexion son S.I. par des moyens nomades du CNRS.
Les circuits de communication de l'ASR sont galement tourns vers l'extrieur. Il collabore troitement avec diverses instances extrieures et avec les autorits comptentes relevant de sa
12/12/09
Page 51 / 80
gbp-v1-0.odm
tutelle ou de son environnement professionnel. On aura soin d'avoir rgulirement des changes ou des runions avec par exemple : la Direction du S.I (le Directeur de l'unit), le CRI de l'universit ou du site hbergeur, la chane fonctionnelle de scurit mise en place par la PSSI de l'tablissement, le RSSI local l'Universit, s'il existe ou son quivalent le plus "proche", la CNIL ou toute autre autorit judiciaire qui pourrait requrir l'information, les rseaux mtiers locaux.
12.3.1 Les relations avec les fournisseurs et les achats

De nombreux ASR, lorsqu'ils occupent des fonctions de gestion de service sont galement amens manipuler l'argent public de leur entit, pour le fonctionnement et pour les investissements du service informatique. Ces investissements peuvent, bien souvent, tre trs onreux (systme de sauvegardes, systme de baies de disques SAN ou NAS, cluster de calcul ), et les ASR devront tre particulirement vigilants sur le plan technique et budgtaire pour acqurir les matriels aux meilleurs cots. De nos jours, l'ASR doit alors galement souvent s'investir et avoir des comptences dans la rdaction et la passation des marchs publics ( CCTP, CCAP, MAPA, PUMA...). Il doit, par ailleurs, avoir des qualits relatiionnelles pour contacter les fournisseurs, obtenir des dmonstrations, ngocier des prix et savoir choisir entre des offres partiellement comparables.
12/12/09
Page 52 / 80
gbp-v1-0.odm
13- Recommandations sur les comptences

13.1- Objectifs
C'est un lieu commun de rappeler que l'informatique est un des domaines o l'volution des techniques a t une des plus rapides ces dernires annes. Les techniques ne sont d'ailleurs pas les seules voluer : les contextes d'exercice de nos mtiers changent. Les notions techniques des utilisateurs ne sont plus les mmes qu'il y a 10 ans, leurs rapports l'informatique s'est modifi et notre communication doit s'y adapter. Dans le contexte d'une unit de recherche, le mtier d'informaticien couvre des domaines trs tendus qui concernent l'administration des systmes et rseaux, l'assistance aux utilisateurs en bureautique, en passant parfois par la programmation, la mise au point de processus d'acquisition exprimentaux ou encore la gestion et de l'optimisation de grappes de calcul (domaine de l'informatique scientifique). L'ASR, souvent isol, doit faire preuve de comptences et de savoir-faire dans un grand nombre de domaines simplement pour rpondre aux diverses missions qui lui sont confies, aux utilisateurs et de par son mtier. Outre l'volution des techniques, les matriels et les logiciels arrivent galement vite obsolescence, en quelques annes tout au plus. Des comptences nouvelles sont alors ncessaires pour apprcier et choisir les outils qui vont correspondre aux besoins des utilisateurs, souvent l'initiative de l'ASR. Le taux de renouvellement tant ce qu'il est (faible en gnral), il s'agit de prvoir l'utilisation raliste de ces outils jusqu' leur terme, en tchant d'extrapoler raisonnablement leurs volutions. De l'assistance utilisateur l'expression des besoins, de la prsentation des choix techniques ou organisationnels aux formations l'utilisation des outils mis en place, l'ASR doit donc aussi acqurir des comptences diversifies, allant de la technique aux produits disponibles en passant par la communication pour s'adapter ses interlocuteurs internes ou externes. Par exemple, dfendre ses choix et son budget vis vis de sa Direction ; savoir grer les conflits et les priorits (importance de l'aspect "humain" de ses relations). Des formations spcifiques existent dans ces domaines. Il est crucial que l'ASR se tienne constamment jour dans le maintien, l'amlioration et l'volution de ses comptences, de ses connaissances et savoir-faire.

De quels moyens dispose-t-il pour cela ? Dans quel contexte doit-il voluer pour rester au niveau des exigences requises par sa fonction ?
C'est ce que nous proposons de cerner dans ce chapitre en prsentant diffrents aspects de la mise--niveau des comptences. Nous allons proposer quatre voies complmentaires permettant l'ASR de ne pas tre dpass par les volutions technologiques :

l'auto-formation, la formation continue, la veille technologique, Page 53 / 80
12/12/09
gbp-v1-0.odm
les relations mtier.
13.2- L'auto-formation
Installer un nouveau systme sur une machine de test, valider le paramtrage d'une configuration, ... faire soi-mme exprimentalement sur le tas sont des manires de progresser et d'acqurir des connaissances et un savoir-faire nouveau. Toutefois, une bonne pratique va consister formaliser ces nouvelles connaissances : noter et conserver la trace rutilisable de ses exprimentations (sous forme de notes crites ou de documentations). Trouver des conseils auprs de collgues dont on sait qu'ils ont une exprience vcue dans un domaine, qu'ils ont eu choisir une solution parmi l'offre du march et transmettre en retour ses solutions concrtes permet de capitaliser un savoir-faire collectif. Il s'agit ici non seulement de ne pas perdre de temps en ritrant les cueils que d'autres ont dj prouvs, mais aussi de permettre d'aller plus loin et de partager cette exprience. C'est de la valeur ajoute l'exprience des autres. Avoir disposition un PC de test, voire une machine virtuelle, pour tester valuer un nouveau systme ou un nouveau service est une manire d'apprendre les nouvelles fonctionnalits et d'acqurir un savoir-faire mais cela ncessite souvent de s'appuyer sur des expriences de collgues ou d'homologues pour valider sa dmarche. S'auto-former sur internet, avec des articles ou des ouvrages de librairies est aussi, bien sr, une source d'acquisition et d'approfondissement de comptences importantes.
13.3- La formation professionnelle (ex. formation continue)

Trois niveaux sont considrer en termes de formation :

l'adaptation au poste, l'volution du mtier, l'acquisition de nouvelles comptences.
Nos tutelles, conscientes de la ncessit de maintenir les comptences tant techniques que relationnelles voire organisationnelles, disposent de structures de formation finances annuellement :
chaque dlgation rgionale CNRS dispose d'un Bureau de Formation Permanente anim par un ou plusieurs conseillers qui coordonnent des correspondants formation dans les units, chaque universit a aussi un service de formation avec un correspondant dans chaque dpartement d'enseignement ou de recherche, il en est de mme dans d'autres EPST ou structures de recherche.
L'interlocuteur sera soit le correspondant formation de son unit, s'il existe, soit le correspondant formation de sa dlgation rgionale, de son universit ou de sa tutelle. Pour le CNRS par exemple, plusieurs types de formations sont accessibles :
12/12/09
Page 54 / 80
gbp-v1-0.odm
les formations ralises l'initiative des rgions, dont le catalogue et les annonces sont en gnral accessibles sur la site de la Dlgation, les formations organises l'initiative d'autres units via leur Plan de Formation d'Unit (PFU) et annonces via le Bureau de Formation, les formations nationales dont les Actions Nationales Gestion Dconcentres (ANGD).
Il est absolument ncessaire l'ASR de prvoir et de dfinir des objectifs de formation chaque anne. Il devrait tre aid dans cette tche par son correspondant formation pour la formulation de la demande. Le Plan de Formation de son unit est le cadre adapt ces demandes mises par ses membres. Le personnel CNRS a aussi la possibilit de demander un Plan Individuel de Formation (PIF) afin d'entreprendre sur une priode plus longue une formation qualifiante ; il pourra alors bnficier d'une organisation de son temps de travail en accord avec sa Direction lui permettant de suivre ce cursus. laborer un plan de formation personnel ncessite de connatre ses manques par rapport l'tat de l'art et des avances technologiques dans le domaine des systmes et rseau, autant que par rapport ses besoins propres. Il peut inclure notamment des formations personnelles (apprentissage de langue trangre, apprendre grer son temps, apprendre communiquer en public, etc). On pourra aussi se rfrer aux fiches d'emploi-type dans l'observatoire des mtiers pour apprcier ce qui est demand et complter ce qu'on doit acqurir pour tre plus efficace et faire voluer sa mission en faisant des propositions son unit.
13.4- La veille technologique

Elle permet de se faire une ide des volutions en cours dans son domaine et d'tre en mesure d'anticiper pour proposer des modifications de structures au sein de son unit. Plusieurs mthodes complmentaires sont accessibles :

s'abonner des revues techniques spcialises ou gnralistes du domaine, s'abonner des lettres de news techniques, assister des sminaires proposs par les constructeurs ou les fournisseurs, participer des congrs techniques nationaux (par exemple [JRES]) ou des salons techniques, des journes thmatiques, consulter des sites spcialiss sur internet.
13.5- Les relations de mtier

Si l'ASR est souvent isol dans son unit eu gard son secteur d'activit, il ne l'est certes pas l'chelle rgionale ou nationale. C'est ce qui a motiv la cration de moyens pour mettre en relation les personnes exerant le mme mtier ou des mtiers proches.
12/12/09
Page 55 / 80
gbp-v1-0.odm
Les services rendus par les ASR ont souvent beaucoup de points communs d'une unit l'autre, mme si les utilisateurs ont acquis des mthodes ou des outils parfois trs diffrents. Il est donc utile d'avoir une liste de contacts, de collgues avec leurs comptences/expriences particulires. Plusieurs moyens sont disponibles pour enrichir de telles listes : c'est un des buts des rseaux rgionaux d'ASR que de partager les connaissances, didentifier les comptences autour de soi et plus loin si lon ne trouve pas de rponse proximit. De nombreuses listes thmatiques de messagerie ont t cres au niveau national l'initiative de l'UREC, du CRU, mais aussi dans les Universits, les campus, etc. Il importe de connatre les listes techniques nationales ou rgionales qui permettront d'acqurir de l'information en temps rel. Des serveurs de listes disponibles dans nos communauts peuvent tre un bon point de dpart : serveur de listes du CRU [CRU], serveurs de liste du CNRS [CNRSlist],
Les communications entre collgues ASR permettent le partage des connaissances, la capitalisation globale des savoir-faire. L'un aura expriment une solution et pourra prciser les difficults et les risques pour ceux qui comptent la mettre en place. Trois outils sont disponibles :

les listes de diffusion : envoyer/recevoir des mails une communaut thmatique, les rseaux de mtiers : rencontres, exposs, organisation de formations, les colloques spcialiss : des journes thmatiques organises tout au long de l'anne.
On pourra se rfrer aux rseaux de mtier de la Mission Ressources et Comptences Technologiques (MRCT) du CNRS qui regroupe les rseaux de mtiers.
Le site de la MRCT [MRCT], le site de RESINFO [RESINFO],
Et en particulier la fdration des rseaux d'ASR : RESINFO
Ainsi qu'au site de l'UREC [UREC] pour le CNRS et au CRU [CRU] pour les Universits. En rsum il peut tre utile de tenir jour un agenda qui recense les diffrentes ressources disponibles dans son environnement selon le modle ci-dessous : Type de formation auto-formation formation continue Type d'information liste de collgues avec comptences liste de sites internet interlocuteur local interlocuteur dlgation interlocuteur universit veille technologique plan de formation revues lettres de news liste de sites sminaires
12/12/09
Page 56 / 80
gbp-v1-0.odm
relations de mtier
congrs listes de diffusion rseau rgional journes thmatiques sites de fiches techniques
12/12/09
Page 57 / 80
gbp-v1-0.odm
CONCLUSION
L'ambition de ce guide est de fournir aux ASR quelques principes de base dans l'organisation de leur travail quotidien et de formaliser un ensemble de comportements qui font consensus dans la communaut des ASR. Comme M. Jourdain faisait de la prose sans le savoir, chacun de nous n'a, bien sr, pas attendu la sortie des normes ISO, sur lesquelles nous nous sommes appuyes dans ce guide, pour mettre en place certains principes d'organisation de service et des outils afin d'assurer le bon fonctionnement et la scurit de nos infrastructures informatiques. Cependant nous avons utilis les normes ISO-20000 et ISO-27001, dans l'optique gnrale de donner un cadre rfrentiel nos pratiques de terrain, ce qui permet de rendre compte de la meilleure faon, de nos activits et qui contribue, terme, amliorer la qualit du service. Attention : comme il a t dit dans l'introduction et rappel plusieurs endroits dans divers chapitres, ce guide n'a pas la prtention d'apporter des solutions "magiques" nos difficults de travail mais plutt de donner des pistes pour mieux s'organiser. Nous pouvons nanmoins suggrer une approche pragmatique qui consiste, non pas chercher systmatiquement tout remettre plat d'emble dans nos mthodes de travail, mais tenter, par exemple quand un nouveau projet ou service est mettre en place, d'appliquer la mthodologie dcrite pour le concevoir et passer la phase oprationnelle. L'important est de prendre en compte le contexte spcifique de notre environnement avec les moyens dont nous disposons et d'y adapter de manire gradue ces "Bonnes Pratiques". En rappel et en conclusion, vous trouverez ci-aprs une synthse des points importants de ce guide.
Un cadre gnral : promouvoir une Dmarche Qualit

Ce Guide des Bonnes Pratiques, est en effet un document o l'on a tent de recenser la grande majorit des spcificits du mtier d'ASR. Il a t en partie motiv par le fait que les conditions d'exercice du mtier d'ASR, dans nos milieux acadmiques, ne sont pas explicites dans les fiches mtiers qui dcrivent les diffrents postes. Il nous a donc sembl indispensable, dans le contexte actuel, d'laborer un corpus de bonnes pratiques d'administration qui contribue rendre plus lisibles, vis vis de nos Directions, de nos tutelles et de nos utilisateurs/clients, les missions du mtier, l'organisation et la technicit mis en uvre au sein de nos services. Il est bon de rappeler que la rfrence une Dmarche Qualit va devenir maintenant d'actualit dans le fonctionnement des entits de recherche et d'enseignement, elle a donc t une des lignes directrices mise en avant dans les domaines importants que nous avons traits et dont nous reprenons les points essentiels ci-dessous.
La fourniture de services, mission de base de l'ASR
Tout ce qui concerne la fourniture de service, dans le domaine de l'informatique et des rseaux et plus largement du S.I est la proccupation principale du mtier d'ASR. Mettre en uvre
12/12/09
Page 58 / 80
gbp-v1-0.odm
une continuit de services et les conditions de la prservation des donnes produites par les utilisateurs ncessitent une bonne organisation du travail. Outre la possibilit de pouvoir amliorer d'une manire continue le service rendu ce guide apporte des cls de base pour mieux structurer le service fourni et, rappelons-le, le faire connatre au mieux par nos Directions, nos tutelles et nos utilisateurs/clients.
La scurit du S.I
Parmi les points importants prendre en compte dans les pratiques des ASR figure la scurit de nos infrastructures informatiques et du S.I. Cette scurisation fait partie de nos proccupations quotidiennes car elle est au cur du fonctionnement des structures de recherche et d'enseignement. Sa mise en uvre, malgr des contraintes rglementaires diffrentes d'une tutelle l'autre, peut tre ralise grce des bonnes pratiques communes que nous avons replaces dans le cadre normatif ISO-27001. Il nous donc a paru indispensable de dgager les principales procdures indispensables la scurisation de nos infrastructures. D'autre part, notre mtier, vu sa place nvralgique dans la gestion des flux d'informations, touche largement de nombreuses donnes caractre confidentiel et nous avons insist sur les pratiques de base pour prendre connaissance et suivre les nombreuses volutions du contexte juridique dans lequel nous voluons et qui touchent le mtier d'ASR.
Communication, gestion du temps et relations humaines
Un autre point important retenir dans ce guide est la prsentation de pistes de bonnes pratiques et conseils pour grer au mieux les relations humaines avec nos diffrents partenaires. Le mtier d'ASR comporte en effet une forte part de gestion du comportement personnel et de relations publiques et humaines. Nous avons abord ces diffrents aspects qui constituent le quotidien des ASR. D'autre part, l'ASR doit faire face l'accroissement des demandes de service, rpondre aux urgences, tout en assurant la gestion quotidienne et programmer la mise en place de nouveaux services. Il nous faut pour cela de bonnes pratiques de gestion du temps pour organiser les journes et semaines de travail afin de planifier au mieux nos actions. Pour ce faire, nous nous sommes appuys sur les ouvrages et mthodes connus afin de dgager des mthodes d'organisation du temps.
Veille technologique et de formation continue
Enfin, nous avons termin en insistant sur le fait qu'il parat indispensable de penser aussi intgrer dans notre travail le temps ncessaire la mise jour de nos propres connaissances en utilisant largement la formation professionnelle, et les journes organises par les rseaux mtiers ou structures locales des tablissements. Notre mtier utilise des matriels et concepts en volution rapide et notre capacit d'adaptation est, bien sr, lie notre capacit suivre au plus prs les volutions technologiques en cours. La ncessit de se former et d'assurer une veille technologique est donc essentielle.
Quelques autres pistes pour continuer

Nous insistons sur le fait que le fil "l'crit". En effet, que ce soit pour la communication, les rapports d'activits, la gestion des traces, il est indispensable
12/12/09
conducteur de l'ensemble des mthodes abordes est formalisation des procdures, la documentation, la gestion de parc, la configuration des quipements, la de consigner par crit (quel que soit le mdia) ces
gbp-v1-0.odm
Page 59 / 80
informations afin qu'elles soient, confidentielles ou non, transmissibles ou consultables et si besoin partages. Par ailleurs, si l'on se rfre au contexte de mutualisation des moyens tant matriels qu'humains qui concerne directement notre mtier (par exemple recomposition de laboratoire ou d'quipe de recherche, regroupement de services communs au sein d'un campus, ...), il devient en effet indispensable de travailler avec des outils qui nous permettent une adaptabilit rapide tant des mthodes de travail que des solutions mettre en uvre. Ce qui a t propos dans ce guide ne peut que faciliter la transposition de solutions d'un contexte un autre et surtout permettre l'ASR de ne pas avoir rinventer la roue s'il doit travailler dans des cadres diffrents. Ce guide est une base qui se veut volutive, nul doute que nous aurons besoin d'y revenir pour le modifier et le faire voluer dans les annes qui viennent. Le questionnaire ci-joint, but de bilan/ valuation interne, en est un prolongement ; utilisez-le priodiquement pour faire le point dans vos activits ou faire des propositions d'amlioration pour la collectivit. La fdration de rseau de mtier RESINFO et les rseaux rgionaux ou thmatiques qui le constituent sont en effet une des possibilits pour partager vos expriences. Cette ncessit d'change de pratique est une "piste" importante retenir pour donner une suite ce guide, le maintenir jour et pouvoir rpondre d'une manire efficace nos missions. Il revient donc chacun de nous de l'enrichir et de le faire voluer par l'apport de nos "bonnes pratiques" quotidiennes mises l'preuve des diffrentes situations d'exercice de notre mtier. Toute participation est cet effet la bienvenue! Donc bientt ! Le contact pour le Guide des Bonnes Pratiques est gbp@listes.resinfo.org
12/12/09
Page 60 / 80
gbp-v1-0.odm
12/12/09
Page 61 / 80
gbp-v1-0.odm
ANNEXE 1 : QUESTIONNAIRE D'AUTO-EVALUATION A USAGE INTERNE

Remerciements: ce questionnaire a t labor initialement pour une tude similaire sur les bonnes pratiques des ASR au sein de l'IN2P3 par J-M Barbet, et adapt l'objet de notre guide. Il est propos dans le but de permettre l'ASR de faire le point sur ses pratiques et sur l'tat des diffrents services existants au sein de sa structure. Il reprend globalement la classification inspire de la norme ISO expose dans le guide. Il peut servir mettre en vidence des aspects traiter en priorit, se fixer des objectifs, ou rflchir sur des possibilit de rorganisation du service fourni. Un exemple d'utilisation de ce questionnaire pourrait tre de le refaire intervalle rgulier (chaque anne) pour constater ce qui a volu depuis le bilan prcdent, et se fixer de nouveaux objectifs... Une manire comme une autre de mettre en place un plan PDCA ... .
1) Recueil des besoins des utilisateurs

Comment prenez-vous connaissance des besoins des utilisateurs ? Vous arrive-t-il d'avoir les reformuler pour les traduire en service oprationnel ? Le recueil des besoins est-il une dmarche formalise ? Organisez-vous des runions avec les utilisateurs dans ce but ? (frquence, frquentation) Certaines demandes font-elles l'objet d'une ngociation et si oui, comment procdez-vous (arguments, exigences, etc.) ? Qui arbitre en cas de dsaccord, de difficult ou de conflit sur la dfinition des besoins ?
2) Gestion des actifs- Gestion des configurations

On appelle "actifs" l'ensemble des biens matriels ou immatriels auxquels on peut ajouter des lments de configuration. Une premire liste non exhaustive pourrait tre : postes de travail, serveurs, imprimantes, autres priphriques, logiciels, licences, consommables, adresses rseau, comptes informatiques, prises rseau, commandes, contrats,... Disposez-vous d'un systme d'enregistrement ou de gestion pour des lments de la liste ci-dessus ? si oui, quelle forme ce systme revt-il ? Outil maison ou commercial ? si outil maison : est-ce distribuable d'autres tablissements ? Est-ce bas sur un SGBD ? Lequel ? Page 62 / 80
12/12/09
gbp-v1-0.odm
quels sont les lments grs par votre outil ? utilisez-vous un ou des outils d'inventaire automatique ? Si oui, lesquels ?
3) Gestion des changements et documentation interne au service

- Est-ce que vous enregistrez les vnements suivants ? : indiquez si c'est systmatique et pour quelles classes de machines : serveurs, postes fixes, nomades ajout/suppression de logiciels modifications de configuration correction de problme et de dfaut - Sur quels outils vous appuyez-vous pour ces enregistrements ? logiciels de gestion de conf : CVS, subversion, Trac ? journaux de bord manuels, lectroniques ? autres mthodes - Comment se fait le partage des connaissances au sein de l'quipe des ASRs (si c'est le cas) ? - Disposez-vous de procdures crites pour certaines tches ? Si oui, lesquelles ? - Comment est organis la gestion du temps dans le service (si vous travaillez plusieurs) : Y a t-il des runions hebdomadaires fixes pour faire le point ? Avez vous mis en place une dfinition des plages horaires pour les utilisateurs avec un bouclier anti-interruption? - Utilisez-vous un outil ou une mthode de gestion des priorits ? - Utilisez-vous des outils de gestion de projets? Lesquels? des tches rcurrentes? - Utilisez-vous des agendas partags? Lesquels?
4) Documentation pour les utilisateurs, Communication

Quels sont les principaux lments couverts par votre documentation ? Mettez-vous de la documentation disposition des utilisateurs ? Si oui, de quelle manire et avec quels outils ? Avez-vous des mthodes pour grer l'obsolescence et l'volution de cette documentation ? Disposez-vous d'une page Web rserve au service (interne ou externe) ? Comment les utilisateurs sont-ils tenus au courant de la vie du S.I volutions, arrts pour maintenance, incidents, etc.
5) Gestion des demandes des utilisateurs gestion des incidents
Disposez-vous d'un outil de gestion et de suivi des demandes des utilisateurs ? Si oui, comment se fait l'affectation des tickets aux personnes charges de leur prise en charge ? Comment se fait le suivi des tickets ? Page 63 / 80
gbp-v1-0.odm
12/12/09
Disposez-vous d'un outil de recherche dans le corpus des tickets rsolus ? Qui arbitre les priorits et sur quels critres en cas de file d'attente importante ?
6) Surveillance et dtection des problmes gestion des problmes

(S'il s'agit d'outils internes, prcisez les fonctionnalits gnrales).

Disposez-vous de systmes de dtection de sinistres ou de conditions environnementales dgrades ? (inondation, incendie, lvation de temprature,...) Disposez-vous de systmes d'alerte pour des vnements susceptibles de compromettre la scurit logique des quipements ou des donnes (intrusion, perte/modification de donnes, virus, etc.) ? Disposez-vous de systmes de surveillance et d'alerte permettant de dtecter les problmes pour les services importants ? Quels services, quels outils, quel mcanisme d'alerte ? Disposez-vous d'un systme de centralisation des journaux systmes ? D'un systme d'analyse de ces journaux ?
7) Gestion de la continuit de service
Avez vous mis en place des systmes haute disponibilit pour assurer une redondance ? Lesquels et sur quel service? La commutation est-elle automatique, semi-automatique, manuelle ? Avez vous mis en place des systmes de rpartition de charge ? Pour quels services ? Lesquels ? Avez vous mis en place un plan de reprise d'activits ? Sur quels services? En quoi consiste t-il? Quel systme de scurisation et de sauvegarde des donnes avez vous mis en place ? Pratiquez-vous un talement des congs du personnel du service informatique ? Qui peut redmarrer (et comment) les services critiques en cas d'absence de votre part ?
8) Gestion financire

Rdigez-vous une demande annuelle de moyens financiers auprs de la direction ou des quipes de recherche ? Comment vous sont attribus les crdits ncessaires cette demande ? Est-ce une discussion avec la direction et/ou les quipes de recherches ? Participez-vous au montage des dossiers CPER, ANR, ... ?
9) Formation
12/12/09
Page 64 / 80
gbp-v1-0.odm
Avez-vous particip des stages de formation pendant l'anne ? Si non pourquoi ? Qu'avez-vous not comme volutions prvisibles de solutions matrielles et/ou logicielles qui ncessiteraient une formation pour une mise en uvre ? Faites-vous partie de rseaux mtiers rgionaux d'ASR ?
10) Scurit et rglementation

- Prenez-vous en compte les recommandations relatives la rglementation en vigueur dans le mtier d'ASR ou Pensez-vous avoir une bonne prise en compte de la rglementation en vigueur et des actions que nous imposent les jurisprudences rendues rcemment ? :

gestion des traces informatiques, protection des fichiers nominatifs, notice lgale de site web, protection des donnes,
Quelles sont les principales actions que vous avez mises en place pour prendre en compte les lments de scurit que prconise la PSSI de votre /vos tutelle(s) ? : chiffrement, destruction/effacement des supports magntiques avant mise au rebut,...
11) Divers

Participez-vous la rdaction du rapport d'activit (chapitre spcifique au service ) ? Disposez-vous d'une page Web rserve au service (interne ou externe) ? Etes-vous sensibiliss la rduction de la consommation lectrique de nos quipements informatiques et celle de consommables informatiques? Si oui, qu'avez-vous mis en place (virtualisation, arrt automatique des machines aprs inactivit,...). Quels conseils donnez-vous aux utilisateurs dans ce sens ?
12/12/09
Page 65 / 80
gbp-v1-0.odm
ANNEXE 2 : FICHES DE REFERENCES

Guide de bonnes pratiques organisationnelles pour les Administrateurs Systmes et Rseaux dans les units de recherche.
12/12/09
Page 66 / 80
gbp-v1-0.odm
Nous avons rpertori ici un certain nombre d'outils logiciels essentiellement issus du monde openSource , et de rfrences bibliographiques pouvant illustrer et tre utiliss dans les diffrents chapitres de ce guide des bonnes pratiques.
Introduction
Productions antrieures de groupe de travail de RESINFO :
[SiLabo] : http://www.resinfo.org/spip.php?article11 : aider le responsable charg du S.I d'un laboratoire identifier et spcifier les services rendus, actuels ou futurs, ainsi que les ressources ncessaires [EcoInfo] : http://www.ecoinfo.cnrs.fr/ : Les activits de ce groupe de travail se concentrent autour des problmatiques de la consommation nergtique et de la pollution lies lutilisation et au dveloppement de loutil informatique. [PSSI CNRS] : http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf : Politique de scurit du S.I du CNRS [ISO-9001] : http://www.iso.org/iso/fr/
1 Une dmarche qualit dans les units de recherche
[ITIL] : Information Technology Infrastructure Library

http://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library http://www.itilfrance.com/
[Deming] : Roue de Deming http://fr.wikipedia.org/wiki/PDCA [ISO-20000-1] : Technologies de l'information Part1 Gestion des services & Part 2 Code of practice http://www.iso.org/ [ISO-27000] : Technologies de l'information Techniques de scurit Systmes de gestion de la scurit de l'information Exigences - http://www.iso.org/
2 La gestion des configurations

Quelques systmes logiciels permettant d'effectuer des administrations centralises ou de grer des configurations de parc de PC et un exemple de procdure d'ouverture de compte :
OCS Inventory : Inventaire automatique de parc informatique et tldistribution Site Web http://www.ocsinventory-ng.org/ Fiche Plume : http://www.projet-plume.org/fr/fiche/ocs-inventory-ng
cfengine : administration automatise de systmes htrognes Page 67 / 80

gbp-v1-0.odm
12/12/09
Site Web : http://www.cfengine.org/ Fiche Plume : http://www.projet-plume.org/fiche/cfengine
NetDirector : plateforme Web dadministration Site Web : http://www.netdirector.org/ Puppet : permet d'automatiser un grand nombre de tches d'administration : l'installation de logiciels, de services ou encore de modifier des fichiers. http://reductivelabs.com/trac/puppet bcfg2 : Administration centralise de serveurs http://trac.mcs.anl.gov/projects/bcfg2/ Quattor : http://apps.sourceforge.net/mediawiki/quattor/index.php?title=Main_Page Active Directory http://fr.wikipedia.org/wiki/Active_Directory http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/de fault.mspx http://www.adirectory.net/
Exemple de procdure d'ouverture de compte : http://www.com.univ-mrs.fr/ssc/sic/spip.php?article43
3 La gestion des niveaux de service

On trouvera ici des outils pour mesurer le niveau de service offert aux clients du S.I. GLPI fournit des statistiques d'intervention qui permettent de mesurer le temps pass sur les demandes des utilisateurs
GLPI : helpdesk associ un outil de gestion

Site Web : http://www.glpi-project.org/ Fiche Plume : http://www.projet-plume.org/fiche/glpi
4 - La gestion de la continuit de service

On trouvera dans cette partie des logiciels permettant de surveiller les activits du rseau et des systmes serveurs et donc d'analyser des causes de dysfonctionnement, d'y ragir promptement, amliorant ainsi la continuit des services.
Cacti : logiciel de supervision rseau Site Web : http://www.cacti.net/ Ntop : ntop est une sonde rseau qui permet de remonter et analyser le trafic rseau sous forme de graphe site web : http://www.ntop.org/overview.html Nagios : logiciel de supervision de rseaux et de systmes (serveurs et postes de travail.) Page 68 / 80
12/12/09
gbp-v1-0.odm
Site Web : http://www.nagios.org/
Centreon fournit une interface graphique pour permettre la consultation des informations issues de Nagios. Site Web : http://www.centreon.com/ Webalizer : logiciel d'analyse des fichiers logs d'un serveur et de calcul des statistiques d'un site Web Site Web : http://www.webalizer.org/
Outre la surveillance rseau et systme, la gestion de la continuit de service doit saccompagner galement dun plan de continuit de service (actions durgence, sauvegardes des enregistrements vitaux, valuation des dommages, plan de reprise...) et de systmes logiciels permettant une reprise d'activit rapide
Heartbeat : fournit une solution de haute disponibilit en mettant en place une redondance de serveurs en temps rel
http://www.linux-ha.org/
virtualisation : Les systmes de virtualisation permettent une souplesse dans l'administration et des rinstallations rapides; diminuant ainsi les dures d'indisponibilit

Journes josy sur la virtualisation : http://www.resinfo.cnrs.fr/spip.php?article3 Xen :
http://www.xen.org/ http://linux-vserver.org/Welcome_to_Linux-VServer.org http://wiki.openvz.org/Main_Page http://pve.proxmox.com/wiki/Main_Page
Vserver
openVZ:
Proxmox (cluster de serveurs openVZ)
5 - La gestion des interventions

On trouvera dans cette partie des logiciels permettant de formaliser un systme de suivi de demandes entre les utilisateurs et le service informatique. Ce seront gnralement des portails d'entre qui permettront aux utilisateurs de poster leurs demandes d'assistance avec un certain degr d'urgence. Les demandes sont traites par le service informatique. Des statistiques permettent de consulter les dures moyennes d'intervention, les dures d'attente avant prise en compte permettant ainsi d'afficher et d'amliorer le service rendu. OTRS : Open source Ticket Request System, distribu sous licence GPL fonctionne sur tout type de plate-forme. 1. http://otrs.org/
GLPI : helpdesk associ un outil de gestion 1. Site Web : http://www.glpi-project.org/
12/12/09
Page 69 / 80
gbp-v1-0.odm
2. Fiche Plume : http://www.projet-plume.org/fiche/glpi
Request Tracker (RT) : gestion de tickets dincidents 1. Site Web : http://bestpractical.com/rt/ Helpdesk de ESUP-Portail : c'est le systme de suivi de demandes qu'on trouve dans ESUP-Portail qui est un Espace numrique de travail 1. http://www.esup-portail.org/display/ESUP/2008/08/22/esup-helpdesk+v3 2. http://www.esup-portail.org/display/PROJHELPDESK/esup-helpdesk++user+support+at+establishment-level
La gestion des dysfonctionnements

Outils de remontes d'incidents : Mantis : Outil web de gestion des incidents : dpt, validation, prise en compte, traitement et retour de signalement dincident. o Site Web : http://www.mantisbt.org/ o Fiche plume : http://www.projet-plume.org/fr/fiche/mantis
Bugzilla : outil de gestion de bugs o http://www.bugzilla.org/about/ Gnats : outil de gestion de bugs o Site Web : http://www.gnu.org/software/gnats/
Outils de remise en tat initial d'un systme permettant, par exemple de cloner des systmes et de les restaurer pour remettre en service un systme dans son tat de base :
Mondo Rescue : outil de disaster recovery o Site Web : http://www.mondorescue.org/ System Imager o http://wiki.systemimager.org/index.php/Main_Page PartImage o http://www.partimage.org/Page_Principale JeDDlaJ : o http://la.firme.perso.esil.univmed.fr/website/rubrique.php3?id_rubrique=7
7 - La gestion des changements et de la mise en production

Des outils de type main courante :
elog : site web permettant de dposer de l'information sous forme de messages texte horodats de manire chronologique permet de tenir jour un journal des modifications et interventions sur les diffrents lments du SI (serveurs, config rseau, firewall, etc...).
https://midas.psi.ch/elog/#whatis Page 70 / 80
gbp-v1-0.odm
12/12/09
voila : un tableau de bord synthtique des incidents et travaux
http://2007.jres.org/planning/paperfeed.html?pid=116
8-
La Documentation
[DocBook] Le format DocBook est un langage de balisage conu l'origine pour la documentation technique informatique (matriel et logiciel). Il permet de produire une documentation de type papier : http://fr.wikipedia.org/wiki/DocBook [Wiki] : Les systmes Wikis peuvent tre de bons candidats pour rdiger et grer une documentation. Les Wikis permettent la cration et l'entretien collectif de sites Internet. On pourra notamment les utiliser pour dposer facilement de la documentation jour au sein d'un service informatique. Une liste de quelques wikis les plus connus
Choisir un outil et un format d'dition efficace est communment accept au sein de l'quipe d'ASR, pour rdiger la documentation technique propre au service.
http://www.framasoft.net/rubrique335.html http://www.wikimatrix.org/compare/DokuWiki+PmWiki+TikiWiki+TWiki
Un comparatif de wikis :
PMWiki : http://www.pmwiki.org/wiki/PmWikiFr.PmWikiFr MediaWiki : http://www.mediawiki.org/wiki/MediaWiki/fr

DokuWiki : http://www.dokuwiki.org/ TWiki : http://www.twiki.net/
Les gestionnaires de contenu sur le Web (CMS) permettent galement aux individus comme aux communauts d'utilisateurs de publier facilement, de grer et d'organiser un vaste ventail de contenus sur un site web. Les gestionnaires de contenu Web (CMS) :
comparatif de serveurs de contenus :

http://2007.jres.org/planning/pdf/104.pdf http://www.projet-plume.org/files/PLUME_Choix_Drupal.pdf http://www.comparatif-cms.com/
Drupal : http://drupalfr.org/ Spip : http://www.spip.net/ joomla : http://www.joomla.org/ WordPress :http://fr.wordpress.org/
9 - Les bonnes pratiques dans la gestion de la scurit des systmes d'information
[EBIOS] : mthode d'analyse de risques des systmes d'information
12/12/09
Page 71 / 80
gbp-v1-0.odm
http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf formation de l'UREC http://www.urec.cnrs.fr/article368.html http://www.urec.cnrs.fr/article389.html mise au rebut et recyclage des disques : techniques d'effacement de disques avant mise au rebut http://www.ipnl.in2p3.fr/perso/pugnere/effacement-disque-DP.pdf http://www.ssi.gouv.fr/documentation/Guide_effaceur_V1.12du040517.pdf
[PSSI CNRS] :
[A2IMP] : Aide l'acquisition d'informations sur machine pirate :
[A3IMP] : Aide l'Analyse des Actions Intentes sur une Machine Pirate

[ISO-27002] : Techologie de l'information Techniques de scurit Code de bonnes pratiques pour la gestion de la scurit de l'information http://www.iso.org/ [log cnrs] : http://www.sg.cnrs.fr/FSD/gestrace.htm [journaux systmes] : Journaux Systmes : gestion des traces informatiques problmatique de centralisation des journaux et des traces informatiques :

http://www.jres.org/tuto/tuto7/index http://www.jres.org/_media/tuto/tuto7/syslog-ng-tutojres.pdf http://www.dsi.cnrs.fr/pre_BO/2007/03-07/tpg/charte-informatique.pdf http://www.resinfo.cnrs.fr/spip.php?article4 backuppc : http://backuppc.sourceforge.net/ bacula : http://www.bacula.org/fr/ arkeia : http://www.arkeia.fr/ amanda : http://www.amanda.org/ time navigator : http://fr.atempo.com/products/timeNavigator/default.asp netbackup : http://www.symantec.com/fr/fr/business/netbackup ntp : http://www.ntp.org/ serveurs LDAP :

Charte informatique du CNRS :
sauvegardes de donnes:

Synchronisation des horloges systmes
Contrle d'accs aux systmes authentification
http://www.cru.fr/documentation/ldap/index http://www.openldap.org/
12/12/09
Page 72 / 80
gbp-v1-0.odm
serveur Radius :

http://fr.wikipedia.org/wiki/Radius_(informatique) http://freeradius.org/ http://fr.wikipedia.org/wiki/Active_Directory http://www.microsoft.com/windowsserver2003/technologies/directory/activedirector y/default.mspx http://www.adirectory.net/
Active Directory

mots de passe : ncessit de mot de passes solides
[CERTA-2005-INF-001] : http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/ 802.1x :

contrle d'accs au rseau
http://fr.wikipedia.org/wiki/IEEE_802.1X http://2003.jres.org/actes/paper.111.pdf http://wapiti.telecomlille1.eu/commun/ens/peda/options/ST/RIO/pub/exposes/exposesrio2005/sertdeprey/pres.htm
cloisonnement des rseaux 802.1q architecture de rseau

http://www.urec.fr/IMG/pdf/secu.articles.archi.reseau.court.pdf http://www.urec.cnrs.fr/IMG/pdf/articles.03.JRES03.archi.secu.slides.pdf VNC :http://www.realvnc.com/ TighVNC : http://www.tightvnc.com http://www.sg.cnrs.fr/fsd/securite-systemes/documentations_pdf/journee_crssi/9Chiffrement.pdf http://igc.services.cnrs.fr Quelques exemples d'outils de chiffrement des donnes sur les PC :

contrle de poste a distance , cyber-surveillance

[Chiffrement] : Protection de transfert des donnes
truecrypt : http://www.truecrypt.org/ Dm-Crypt, chiffrage de supports sous Linux : http://www.saout.de/misc/dm-crypt/ ZoneCentral : http://www.primx.eu/zonecentral.aspx Utilisation
SASL :
http://fr.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer
12/12/09
Page 73 / 80
gbp-v1-0.odm
http://asg.web.cmu.edu/sasl/
Outils de mtrologie et de surveillance rseau

cacti : http://www.cacti.net/ Zabbix : http://www.zabbix.com/ openNMS : http://www.opennms.org/wiki/Main_Page munin :

http://munin.projects.linpro.no/ ; http://fr.wikipedia.org/wiki/Munin_(Surveillance_systme_et_rseau)
ntop : http://www.ntop.org/news.html NetDisco :

http://netdisco.org/ http://en.wikipedia.org/wiki/Netdisco
NfSen : http://nfsen.sourceforge.net/ smokeping : http://oss.oetiker.ch/smokeping/
10 - Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur
Circulaire du 12 mars 1993 relative la protection de la vie prive en matire de traitements automatiss. Loi n 78-17 du 6 janvier 1978 informatique et liberts. Loi n 83-634 du 13 juillet 1983 sur les droits et obligations des fonctionnaires. Recommandation n 901 du 2 mars 1994 relative la protection des systmes d'information traitant des informations sensibles non classifies de dfense. Dcret n81-550 du 12 mai 1981 relatif la communication de documents et renseignements d'ordre conomique, commercial ou technique des personnes physiques ou morales trangres. Guide n400 SGDN/DISSI/SCSSI du 18 octobre 1991 relatif l'installation des sites et systmes traitant des informations sensibles ne relevant pas du secret de dfense : protection contre les signaux parasites compromettants. Loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique. Loi n2001-1062 du 15 novembre 2001 relative la scurit quotidienne (Article 30 et 31). Directive 485/SGDN/DCSSI/DR du 1er septembre 2000 sur la protection contre les signaux parasites compromettants. Recommandations n600/SGDN/DISSI/SCSSI de mars 1993 relatives la protection des informations sensibles ne relevant pas du secret de dfense sur les postes de travail.
12/12/09
Page 74 / 80
gbp-v1-0.odm
La gestion des traces d'utilisation des moyens informatiques et des services rseaux au CNRS a t dclar la CNIL sous forme gnrique, pour l'ensemble des laboratoires sous tutelle CNRS et a fait l'objet d'une dcision publie le 11 octobre 2004 au bulletin officiel du CNRS (dcision 04P014dsi.htm) http://www.dsi.cnrs.fr/bo/2004/12-04/4111-bo1204-dec04p014dsi.htm Articles relatifs la rglementation en matire de scurit, de protection du secret et de la confidentialit notamment ceux relatifs la protection du patrimoine, au secret des correspondances crites, aux sanctions pnales de la loi "informatique et liberts", pour les crimes et dlits contre les personnes, les atteintes la personne humaine et aux accs frauduleux un systme informatique et modifications frauduleuses. [Legalis] http://www.legalis.net : compte rendu des jurisprudences de diffrents tribunaux
11 - La gestion du temps
Vous trouverez dans cette partie trois rfrences de livres utilises dans le guide ainsi que quelques rfrences internet lies au sujet :
[AdminSys]: Admin ' sys, Grer son temps de Thomas Limoncelli, traduit par Sbastien Blondeel, aux ditions Eyrolles :
http://www.editions-eyrolles.com/Livre/9782212119572/admin-sys
[GTD] : Getting Thing Done est le titre d'un livre de David Allen publi en 2001, dcrivant une mthode de gestion des priorits quotidiennes.
Divers articles ce sujet sont prsents sur http://avm.free.fr/ notamment la notion de Premire Chose A Faire (PCAF) ( http://avm.free.fr/spip.php?article26) Plus connue sous l'acronyme GTD, sur wikipdia : http://fr.wikipedia.org/wiki/Getting_Things_Done Un rsum de la mthode GTD par chapitre est donn sur http://gagnermavie.com/balade-a-travers-getting-things-done-chapitre-par-chapitre/ http://fr.wikipedia.org/wiki/Comparaison_de_logiciels_GTD http://www.taskfreak.com/
Une comparaison des logiciels mettant en oeuvre la mthode GTD :

Plugins GTD : certains sont cits dans le document de comparaison ci-dessus. En particulier, le plugin GTD pour le Dokuwiki: http://www.dokuwiki.org/plugin:gtd [rsumGTD] : Un rsum de 7 pages du livre de David Allen : http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/GbpFichePratiqueGestionduTempsDavidAllen.pdf ou https://www.greyc.fr/sites/default/files/GbpFichePratiqueGestionduTempsDavidAllen.pdf [QuestionTemps] : Question de temps de Franois Dlivr, consultant en relations Humaines et Organisation, spcialis dans le coaching des cadres dirigeants. Le rsum du livre de Franois Delivr : http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/ResumeLivreQuestiondeTempsFrancoisDelivre ou https://www.greyc.fr/? q=user/14
12/12/09
Page 75 / 80
gbp-v1-0.odm
12 - La communication de l'ASR avec ses partenaires
[GPLI], [RT], [Esup-Portail],[HelpDesk] : voir les rfrences donnes dans le chapitre 5 Gestion des interventions .
13 - Recommandations sur les comptences

Des liens liens utiles de sites des listes de diffusion

[CRU] : https://listes.cru.fr/sympa/lists/informatique [CNRSlist] : http://listes.services.cnrs.fr/wws [MRCT] : http://www.mrct.cnrs.fr/ [RESINFO] http://www.resinfo.cnrs.fr/ [UREC] : http://www.urec.cnrs.fr/ [CRU] : http://www.cru.fr/
Des liens liens utiles de rseaux de mtiers

Des liens liens utiles de sites qui diffusent des tutoriaux ou (auto-)formations

[CCM] : http://www.commentcamarche.net/ [Zero] : http://www.siteduzero.com/ [JRES] : http://www.jres.org/ [TutoJRes] : http://www.jres.org/tuto/ [Resinfo/Josy] : http://www.resinfo.org/spip.php?rubrique1 [CUME] : http://cume.univ-angers.fr/index.php [Renater] : http://www.renater.fr/spip.php?rubrique45 www.journaux.fr : liste par thme tous les magazines qui paraissent. [TDLP] : http://www.tdlp.org/ Linux documentation Project [LinuxFrance] : http://www.linux-france.org/ Linux-france [TutEns] : http://www.tuteurs.ens.fr/ Tutoriaux de l'ENS [MIT] : http://ocw.mit.edu/OcwWeb/web/home/home/ anglais) [ClubIc] : http://www.clubic.com/ [ItEspresso] : http://www.itespresso.fr/ [InterActu] : http://www.interactu.net/ [Atelier] : http://www.atelier.fr/ [Informaticien] : http://www.linformaticien.com/ [UseNix] : http://www.usenix.org/ (en anglais) Page 76 / 80
gbp-v1-0.odm
Open CourseWare du MIT (en
Liens vers des sites de veille technologique

12/12/09
Les nouvelles dispositions de la loi concernant la Formation Professionnelle

Extraits du dcret :
Dcret no 2007-1470 du 15 octobre 2007 relatif la formation professionnelle tout au long de la vie des fonctionnaires de lEtat
NOR : BCFF0758784D
Art. 1er. Lobjet de la formation professionnelle tout au long de la vie des fonctionnaires de
lEtat et des tablissements publics de lEtat est de les habiliter exercer avec la meilleure efficacit les fonctions qui leur sont confies durant lensemble de leur carrire, en vue de la satisfaction des besoins des usagers et du plein accomplissement des missions du service. Elle doit favoriser le dveloppement professionnel de ces fonctionnaires, leur mobilit ainsi que la ralisation de leurs aspirations personnelles. Elle concourt lgalit effective daccs aux diffrents grades et emplois, en particulier entre femmes et hommes, et facilite la progression des moins qualifis. La formation professionnelle tout au long de la vie comprend principalement les actions suivantes : 1o La formation professionnelle statutaire, destine, conformment aux rgles prvues dans les statuts particuliers, confrer aux fonctionnaires accdant un grade les connaissances thoriques et pratiques ncessaires lexercice de leurs fonctions et la connaissance de lenvironnement dans lequel elles sexercent ;
..
2o La formation continue, tendant maintenir ou parfaire, compte tenu du contexte professionnel dans lequel ils exercent leurs fonctions, la comptence des fonctionnaires en vue dassurer : a) Leur adaptation immdiate au poste de travail ; b) Leur adaptation lvolution prvisible des mtiers ; c) Le dveloppement de leurs qualifications ou lacquisition de nouvelles qualifications ; 3o La formation de prparation aux examens, concours administratifs et autres procdures de promotion interne ; 4o La ralisation de bilans de comptences permettant aux agents danalyser leurs comptences, aptitudes et motivations en vue de dfinir un projet professionnel ; 5o La validation des acquis de leur exprience en vue de lacquisition dun diplme, dun titre finalit professionnelle ou dun certificat de qualification inscrit au rpertoire national prvu par larticle L. 335-6 du code de lducation ; 6o Lapprofondissement de leur formation en vue de satisfaire des projets personnels et professionnels grce au cong de formation professionnelle rgi par le 6o de larticle 34 de la loi du 11 janvier 1984 susvise. Le contenu des formations prvues au 1o ci-dessus est fix par arrt conjoint du ministre intress et du ministre charg de la fonction publique. Cet arrt peut prvoir une modulation des obligations de formation en fonction des acquis de lexprience professionnelle des agents.
Le CNRS et les Universits, par exemple, ont intgr ces dispositifs dans leur dossiers de suivi de carrire et en particulier la classification en 3 catgories des formations (paragraphe 2). Il faut aussi attirer l'attention sur les diffrentes possibilits de complter son niveau initial de formation : la possibilit de raliser des bilans de comptences (paragraphe 4)
12/12/09
Page 77 / 80
gbp-v1-0.odm
la procdure de VAE, Validation des Acquis d'Exprience (paragraphe 5) Vous trouverez la dclinaison de la mise en uvre de ce dcret pour le CNRS aux URL suivants : http://www.sg.cnrs.fr/drh/competences/form.htm http://www.sg.cnrs.fr/drh/competences/documents/cadrage.pdf
14 - Outils Windows
Nous avons rpertori dans cette partie un certain nombre d'outils logiciels tournant sous Windows pouvant illustrer et tre utiliss dans les diffrents chapitres de ce guide des bonnes pratiques. Nous remercions cet effet D. Baba (Centre dImmunologie de Marseille-Luminy, Unit Mixte de Recherche du CNRS, de lInserm et de lUniversit de la Mditerrane) pour son aide dans l'inventaire de ce type de produit Microsoft
Administration des systmes - La gestion des configurations
System Center (http://www.microsoft.com/france/serveur/system-center/default.mspx ) est la gamme Microsoft doutils et logiciels pour ladministration des S.I. Elle se veut aider les entreprises simplifier leur administration informatique : exploitation plus facile, rduction des temps dindisponibilit, automatisation des dploiements, et meilleure matrise du systme dinformation. On y trouve :
SCOM 2007 (System Center Operation Manager), solution de supervision des environnements Windows offrant une collecte des vnements et compteurs de performances, des fonctions de cration de rapports et danalyse de tendance. Cest une solution qui s'appuie sur des connaissances spcifiques par le biais de packs dadministration pour des environnements Microsoft et autres fournisseurs. Il se positionne comme un concurrent direct de IBM (Tivoli) ou de HP (Open View). La version SCOM 2007 R2 permet de superviser les systmes UNIX et LINUX et les applications hberges sur ces derniers. SCCM 2007 (System Center Configuration Manager), solution dadministration de parc informatique, changements et configuration, fournissant des fonctions dinventaire (matriel et logiciels), ainsi que de tldistribution des applications et des mises jour (scurit et services pack), support distance des postes et serveurs. SCDPM 2007 (System Center Data Protection Manager), application de sauvegarde chaud et en continue des donnes avec possibilit de restauration par lutilisateur et bas sur les technologies des clichs instantanes. SCVMM 2008 (System center Virtual machine manager), solution dadministration denvironnement virtualis permettant une meilleure utilisation et optimisation des serveurs physiques. Supporte ladministration des serveurs VMware ESX. Dploiement des postes de travail WAIK (Windows Automated Installation Kit) est un Kit dinstallation Windows automatise qui permet de personnaliser et de dployer la famille des systmes d'exploitation de Microsoft Windows Vista. Windows AIK permet d'effectuer des installations Windows sans assistance, de capturer des images Windows avec ImageX et de crer des images Page 78 / 80
gbp-v1-0.odm
12/12/09
Windows PE qui est un mini-environnement de dmarrage en mode commande bas sur Windows Vista. Tlchargement gratuit sur le site de Microsoft.
WDS (Windows Deployment Services) permet de proposer aux postes de travail en rseau un ensemble dimages dinstallation pour une migration ou mise niveau. Cest un outil fournit avec le service pack 3 de Windows Serveur 2003 et intgr dans le WAIK. Cest une volution de RIS (Remote Installation Services) Windows System Image manager, outil graphique pour crer et modifier les fichiers de rponse (unattended.xml), dajouter des composanst, etcIl est fournit avec le WAIK. USMT 3.0 (User State Migration Tool) qui permet de sauvegarder les fichiers et paramtres de configuration du poste dun utilisateur en vue dune restauration aprs migration. Pour les phases dun dploiement :

Application Compatibility Toolkit 5.0 pour la compatibilit logicielle Windows Vista Hadware Assessment pour les configurations matrielles
MDT 2008 (Microsoft Deployment Toolkit), permet lautomatisation de la gestion de cycle de vie du poste. Facilite lautomatisation des dploiements des postes de travail et des serveurs Windows. Il ncessite le WAIK. Continuit de service Virtualisation
(http://technet.microsoft.com/fr-fr/virtualization/default.aspx)
Hyper-V, technologie de virtualisation matrielle base sur une approche de type hyperviseur. Disponible dans les ditions 64 bits des diffrentes versions de Windows serveur 2008. Egalement disponible en tlchargement. Il existe aussi une version qui peut tre install directement sur une machine vierge avec loffre Microsoft Hyper-V server 2008. Virtual Server 2005 R2, virtualisation matrielle pour environnement Windows serveur 2003, utilis surtout pour la consolidation et lautomatisation des tests (logiciels et dveloppements), hbergement dapplications anciennes sur des matriels et OS rcents et aussi pour la consolidation des serveurs. Produit gratuit Virtual PC 2007, solution de virtualisation de postes de travail permettant dexcuter plusieurs systmes dexploitation en mme temps sur le mme ordinateur physique. Produit gratuit Scurit et mobilit ISA serveur 2006 (Microsoft Internet Security and Acceleration) est une solution de pare-feu applicatif, de VPN (rseau priv virtuel), de proxy et cache web IAG 2007 (Intelligent Application Gateway) est un ensemble de technologies offrant la possibilit daccder de faon simple et scuris aux donnes et aux applications publies partir de nombreux appareils diffrents (PDA compris) et ceci depuis nimporte quel site reli Internet
12/12/09
Page 79 / 80
gbp-v1-0.odm
Gestion des correctifs de scurits et de services pack WSUS 3.0 (Windows server Update Services) est un produit qui permet de grer de faon contrle les diffrentes mises jour publies sur le site de Microsoft Update (Correctifs, services packs, hotfix). Produit tlchargeable sur le site de Microsoft. Et enfin pour tous les utilisateurs avertis
(http://technet.microsoft.com/fr-fr/sysinternals/default.aspx )
La collection dutilitaires SysInternals cre par Mark Russinovich et Bruce Cogswell et rachet depuis par Microsoft constitue une mine doutils totalement indispensable pour des outils systmes sous Windows : Utilitaires disques, Utilitaires rseau, utilitaires de ressources et de processus, Utilitaires de scurit...
12/12/09
Page 80 / 80
gbp-v1-0.odm

GBP V1 0

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

GBP V1 0

Загружено:

Авторское право:

Доступные форматы

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Guide de bonnes pratiques organisationnelles pour les Administrateurs Systmes et Rseaux

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Table des matires

1- Une dmarche qualit dans les units de recherche...............................................................9

2- La gestion des configurations.................................................................................................14

3- La gestion des niveaux de service...........................................................................................16

4- La gestion de la continuit de service....................................................................................18 5- La gestion des interventions...................................................................................................19

6- La gestion des dysfonctionnements........................................................................................21

7- La gestion des changements et de la mise en production.....................................................23 8- La Documentation...................................................................................................................25

Guide de Bonnes Pratiques Organisationnelles pour les ASR

11- La gestion du temps...............................................................................................................42

12- La communication de l'ASR avec ses partenaires..............................................................47

13- Recommandations sur les comptences...............................................................................53

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Un cadre minimal proche du terrain

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Bonnes pratiques et Qualit

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Les contraintes relevant des tutelles

Les contraintes juridiques

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Guide de Bonnes Pratiques Organisationnelles pour les ASR

LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES

Guide de Bonnes Pratiques Organisationnelles pour les ASR

1- Une dmarche qualit dans les units de recherche

les rles et responsabilits de la Direction, Page 9 / 80

Guide de Bonnes Pratiques Organisationnelles pour les ASR

la gestion documentaire, la gestion des comptences et de la formation, la surveillance et la mesure

1.2- Transposition au contexte ASR dans une unit de recherche

1.2.1- Dfinir le primtre d'action

1.2.2- Mettre en place une gestion des configurations

1.2.3- Dfinir les niveaux de service

Guide de Bonnes Pratiques Organisationnelles pour les ASR

1.2.4- Dfinir la continuit de service

1.2.5- Grer les interventions

1.2.6- Grer les dysfonctionnements

1.2.7- Assurer les changements et mise en production

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Cartographie des processus dans un laboratoire de recherche

1.3- Dfinition du primtre

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Guide de Bonnes Pratiques Organisationnelles pour les ASR

2- La gestion des configurations

Guide de Bonnes Pratiques Organisationnelles pour les ASR

2.2- Comment organiser la gestion des configurations

Guide de Bonnes Pratiques Organisationnelles pour les ASR

3- La gestion des niveaux de service

Guide de Bonnes Pratiques Organisationnelles pour les ASR

3.2- Quel niveau pour quel service ?

Guide de Bonnes Pratiques Organisationnelles pour les ASR

4- La gestion de la continuit de service

Guide de Bonnes Pratiques Organisationnelles pour les ASR

5- La gestion des interventions

5.2- Comment organiser la gestion des interventions

5.2.1- Optimiser les ressources pour acclrer le traitement des interventions

5.2.2- Analyser les interventions

tableaux de bord, recherches multicritres sur les interventions, base de connaissances,

Guide de Bonnes Pratiques Organisationnelles pour les ASR

rapports statistiques personnaliser (ex : nombre dinterventions par mois ...)

Guide de Bonnes Pratiques Organisationnelles pour les ASR

6- La gestion des dysfonctionnements

6.1- La gestion des incidents