Les activits dexploitation

informatique
Gestion des technologies de
linformation GEST310
Pascale Vande Velde

Agenda

Activits dexploitation ITIL

Scurit
Audit
Disponibilit

|2

Introduction
Les entreprises deviennent de plus en plus dpendantes de
linformatique. Cela les conduit avoir des exigences de plus en plus
fortes quant la qualit des services IT
ITIL est de plus en plus utilis comme cadre dorganisation des services
informatiques

Les systmes informatiques deviennent incontournables. Leur

indisponibilit pose des problmes de discontinuit dactivits de plus
en plus aigus
Des systmes de disaster recovery souvent trs coteux sont mis en place
pour pallier toute faille des systmes

Les systmes informatiques fonctionnent en rseaux. Linternet a

fortement complexifi les problmatiques de scurit de ces systmes
Evolution rapide et investissements lourds en mesures de scurit

Le dpartement Exploitation est responsable de ces activits

|3

Quest ce quun service IT ?

Ensemble de fonctions fournies par les systmes IT en support des
mtiers (gestion du parc PC, gestion des applications au jour le jour,
production doutputs, gestion des accs aux applications, helpdesk,
etc...)
Un service est constitu de composants software, hardware et de
communication (rseaux)
Les services peuvent couvrir de nombreux domaines : depuis laccs
une application jusqu la mise disposition dun service impliquant
plusieurs applications, des rseaux, etc...
Exemples :
Disponibilit de systmes critiques
Transactions scurises sur rseaux ouverts
Transfert de donnes entre applications via un WAN

|4

Dfinition de ITIL
ITIL (Information Technology Infrastructure Library) est un ensemble de
recommendations dvelopp par le UK Office of Government Commerce
Ces recommendations sont documentes et dcrivent un cadre de gestion
des services IT intgr et bas sur les diffrents processus de fournitures
de services
Dvelopp dans les annes 80 pour le gouvernement britannique, l ITIL
est devenu une rfrence mondiale en matire de gestion de services IT
Plusieurs centaines de socits ont implments des processus conformes
ITIL
Objectifs du modle ITIL

Faciliter une gestion de qualit des services IT

Amliorer lefficacit
Rduire les risques
Fournir un best practice

|5

Modle ITIL

Hypothse ITIL : les fonctions suivantes sont essentielles afin de livrer des
services IT de qualit
ITIL propose une approche structure pour dfinir, implmenter et grer
chacune de ces fonctions au jour le jour
Service
Support

Service
Delivery

Change
Management

Service Level
Management

Release
Management

Configuration
Management

Source: ITIL CD ROM

Problem
Management

Incident
Management

Availability
Management

Service
Continuity

Financial
Management

Capacity
Management

|6

Modle ITIL
Service support

Assure que lutilisateur a accs aux services appropris pour supporter les
fonctions mtiers

Release management
Problem management
Change management
Incident management
Configuration management

Service delivery

Quels sont les services demands par les mtiers afin de servir
correctement les clients de lentreprise

Service level management

Availability management
Service continuity
Financial management
Capacity management

|7

Modle ITIL Service delivery

Service level management

Processus incluant la dfinition, ngociation, mise au point dun contrat de SLA

Processus de gestion de ces contrats
Processus de revues de niveaux de services utilisateurs
Prioritisation des services (requis, cots justifis)

Capacity management

Processus de planification, dfinition et gestion de la capacit des systmes IT

Se base sur des critres (temps de rponse, volumes, etc..) dfinis dans le
cadre des niveaux de services

Service continuity

Processus dfinissant comment adresser et rsoudre des calamits pannes,

incendies, fraudes informatiques....
Dfinit galement comment viter que des incidents deviennent des
calamits

|8

Modle ITIL Service delivery

Availability management
Processus de planification, optimisation et excution des activits
requises pour grer la disponibilit des services IT au jour le jour
Processus dexcution de maintenance corrective et volutive afin de
rencontrer les besoins de disponibilits requis par les mtiers

Financial management
La gestion et le chargement des services IT aux mtiers
Ceci ncessite didentifier et de classifier les diffrents composants de
cots et de calculer les cots lis chaque service (comptabilit
analytique)

|9

Modle ITIL Service support

Configuration management
Processus didentification et de dfinition des lments de configuration
dans un systme (crans, tables, formats, interfaces, etc...)
Processus denregistrement des lments de configuration et de leur
statut
Processus de vrification du caractre correct et complet de ces
lments de configuration

Problem management
Processus de contrle des incidents, erreurs, problmes
Processus de pilotage des incidents, erreurs, problmes
Objectif principal : sassurer que les services fournis sont stables, prcis
et fournis temps

|10

Modle ITIL Service support

Release management
Processus de contrle de la distribution, gestion, enregistrement physique et
implmentation de nouveaux lments de software
Sassurer que uniquement des versions autorises et dment vrifies en termes
de qualit sont portes dans lenvironnement de production

Change management
Processus de gestion et de contrle des requtes en vue deffectuer des
changements linfrastructure IT ou aux services IT
Processus de gestion et de contrle de limplmentation de ces changements

Incident management
Processus de gestion des incidents (support de premire ligne par le helpdesk,
support de 2e et 3e lignes dans les dpartements dveloppements ou
exploitation)
Le helpdesk est un point de contact unique pour rapporter les erreurs de
systmes observes

|11

Lapplication de ITIL

Au cours du dernier trimestre 2001, itSMF fit raliser une enqute sur la
comprhension et lapplication des mthodes ITIL au Royaume-Uni
Plus de 100 entreprises ou agences gouvernementales participrent lenqute
87% dentre elles se considraient comme utilisateurs de ITIL ou appliquaient dans
une certaine mesure les principes ITIL
Non ITIL Users
13%

Full ITIL Users

28%

Partial ITIL Users

59%

itSMF : IT Service Management Forum

Sources: http://www.itsmf.com/members/marketresearch.asp

|12

Bnfices attendus

La performance des initiatives de gestion de services est nettement plus leve

quand ces initiatives sont bases sur lapproche et le modle ITIL
Pour ceux utilisant lapproche ITIL, 97% dclarent que leur entreprise a engrang des
rsultats. 70% dclarent que ces rsultats sont mesurables et quantifiables

Sources: http://www.itsmf.com/members/marketresearch.asp

|13

Bnfices attendus

Les entreprises interroges reconnaissent avoir vcu un changement positif au

niveau de la culture de fourniture de services (80% des utilisateurs)
Finalement, dans un contexte de gestion de services, la perception de lamlioration
des services par le client est extrmement importante. Plus de 70% des utilisateurs
ITIL affirment que leurs clients ont observ les amliorations de services apportes

Sources: http://www.itsmf.com/members/marketresearch.asp

|14

Scurit - Dfinition
Scurit : moyens de protger des actifs (gens, actifs tangibles,
intangibles). Lobjectif est de minimiser les pertes
Scurit informatique : protection des actifs informatiques
(donnes, applications, serveurs, processus)
La scurit est avant tout une proccupation des mtiers
La scurit fait partie de la gestion des risques. Il faut valuer les
risques et les mitiger, si ceci est justifi conomiquement
Types de risques
Oprationnel : arrt du fonctionnement normal dune application (par
exemple, suite une attaque internet)
Lgal : lentreprise ne peut plus remplir ses obligations lgales et
rglementaires (par exemple, divulgation de donnes confidentielles)
Financier : cot financier direct (par exemple, fraude informatique)

|15

Scurit informatique Proccupations des

mtiers
Productivit

Elle est amliore quand on exclut des vnements qui font perdre du temps
ou empchent le bon fonctionnement de lorganisation (par ex, virus
dtruisant de linformation).
Proccupations : contrle des spam et la mauvaise utilisation de linternet

Rglementation

Nombreuses rglementations dans lentreprise (gestion financire,

fonctionnement dun front office, etc...). Elles ncessitent de sauver et de
conserver des donnes et enregistrements, y compris qui est responsable
dactions/dcisions, etc...
Proccupations : sauver, conserver et protger ces donnes

Privacy and Digital Rights Management

Assure que linformation confidentielle ne soit pas divulgue. Privacy

concerne linformation personnelle. DRM concerne linformation
professionnelle valeur commerciale.
Proccupations : encrypter les donnes, autorisations

|16

Scurit informatique Proccupations des

mtiers
Disponibilit

La continuit des activits ncessite la disponibilit des systmes (par

exemple, une attaque informatique peut causer larrt dun systme)
et des donnes
Proccupations : dupliquer les donnes et systmes, architectures de
back ups

Intgrit

Maintenir lintgrit des processus, donnes, applications est

essentielle. Lors dune intrusion, cette intgrit peut tre mise en
danger
Proccupations : architectures de scurit internet, profils daccs, etc..

|17

Scurit informatique Exemples de

moyens
Protection des frontires

Anti virus
Filtrage de donnes
Systmes de dtection dintrusion
Systmes de protection contre les intrusions
Firewalls

Scurit de linfrastructure

Firewalls
Encryption de donnes sauvegardes

Scurit des communications

Encryption
PKI
VPN

|18

Scurit informatique Exemples de

moyens
Gestion de la scurit

Audits
Gestion des procdures
Evaluation de scurit
Gestion des versions, configurations

Gestion des utilisateurs

Contrle daccs
Authentication
Identification

|19

Scurit informatique Illustration PC

banking

Back end

Front end

End User
Client

DB Server
CommServer

SSL

DB Server

Internet
Firewall

Internal
Network

Local
Director

9000
H

Internal
Network

App Server
CommServer

Workstation

Bank core system

9000
H

Firewall
9000
H

App Server

90 00
H

App Server

App Server

Cash Dispensers
and other EMP

Terminals

|20

Telephone
Banking

Gestion de la scurit

Accs physique
Personnel
Equipements
Organisation technique
Softwares
Aspects organisationnels
Scurit des donnes
Calamits

|21

Accs physique
Management
Dfinit les procdures daccs
Dfinit les tches du personnel de scurit

Excution

Nommer un security manager

Procdures pour la gestion des systmes
Procdures en cas de vol ou de destruction
Procdures pour visiteurs
Procdures pour le personnel de nettoyage
Gestion des fournisseurs
Procdure pour les heures supplmentaires

|22

Personnel

Recrutement

Enregistrement du personnel

Prsences
Heures supplmentaires
Vacances

Fonctions

Rgles de recrutement
Motifs pour une dmission prcdente
Rgles de recrutement du personnel de scurit

Etre form et expriment

Rgles pour un remplacement
Job rotation
Descriptions de fonctions
Evaluation du personnel
Objectifs personnels (rapporter les anomalies au moins 2 personnes)

Procdures de dmission

|23

Equipement
Acquisition, location

Se mettre daccord sur les aspects de scurit

Documentation
Installation et acceptation

Maintenance (remote, outsourced)

Se mettre daccord sur les aspects de scurit

Documentation

Pannes

Alertes de pannes
Procdures de redmarrage
Contrle interne sur les rparations
Monitoring des pannes
Test du disaster recovery plan

|24

Organisation technique

Maintenance priodique
Rapports dincidents
Enregistrement des incidents
Documentation
Plan dtage
Inventaire des quipements
Liste des contrats de maintenance

|25

Softwares

Gestion des releases et des versions

Documentation
Librairie des programmes
Rgles de back up et recovery
Utilisation de programmes de correction et durgence
Gestion des disques et des fichiers
Echanges de fichiers avec des tiers
Procdures dacceptation (dveloppement)
Les procdures en matire de dfinition de profils utilisateurs
Les procdures super user
Lencryption des donnes

|26

Aspects organisationnels

Dpartement IT indpendant des autres dpartements

Sparation entre transactions et contrle, approbations
Dfinition claire des rles et responsabilits
Planning de production
Gestion des pannes
Contrles inputs/outputs
Sparation des rles entre production/input de
donnes/dveloppement
Contrle de lusage des documents dinputs et doutputs
Contrle de la compltude des rapports

|27

Scurit des donnes

Passwords
Autorisations et accs
Profils utilisateurs
Encryption des donnes
Scurit rseaux
Signatures lectroniques
Back ups

|28

Calamits
Feu

Avoir un back up dans un autre btiment

Avoir des dtecteurs de feu
No smoking
Btiment quip pour retarder le feu
Intervention des pompiers rapide

Panne dlectricit
Back up - recovery

Dgts des eaux

Dtecteurs
Pouvoir vacuer leau facilement

|29

Scurit du systme
Utilisateurs

Auditeur

Profils
utilisateurs

Login

Log file

Authentication

Administrateur
de scurit

Super user

Modle de donnes

Rgles
de scurit
Systme
dautorisation
Rgles
dautorisation

DBA

Transaction manager

Data manager

Base
de donnes

|30

Audit - Dfinition
Dfinition
Auditing is a systematic process of objectively obtaining
and evaluating evidence regarding assertions about
economic actions and events to ascertain the degree of
correspondence between those assertions and
established criteria, and communicating the results to
interested users. American Accouting Association (AAA)

|31

Audit - Dfinition
Un processus systmatique
Structur comme une activit dynamique de manire logique
Une approche non planifie en matire daudit informatique peut
conduire ngliger dimportants domaines de processing

Obtenir et valuer les preuves

Fiabilit de la structure de contrle
Tests afin de vrifier que la fonction de contrle fonctionne comme convenu

Contenu des fichiers

Tests pour vrifier la cohrence des fichiers avec les transactions de la socit

Confirmer la correspondance entre les critres prtablis et les

assertions
Communiquer les rsultats aux parties intresses
Autres membres de laudit, direction, etc...

|32

Audit de scurit et schma gnral daudit

Audit

Security manager

External auditor

Security audit

Company audit

Scurit et privacy
Disponibilit
Confidentialit
Accessibilit

Accounting
system
Vrification de
lapproche daudit
IT audit

Internal control
system
Contrle des
systmes IT
Approche daudit des
systmes IT

|33

Audit informatique
Problmes spcifiques un audit informatique

Concentration du traitement des donnes

Consultation des donnes par le personnel IT
Les donnes peuvent tre dtruites
Les donnes sont trs compactes (peuvent tre perdues, voles,
etc...)
Disparition de documents de base (tlphone,...)
Prise de dcision automatise
Plus de complexit
Vulnrabilit (rseaux)

Laudit informatique est trs spcialis et volue rapidement

|34

Evaluation du risque de contrle

Objectif
Lobjectif dune valuation du risque de contrle est dvaluer
lefficacit des structures de contrle internes dune entreprise
prvenir ou dtecter des malversations importantes dans la
comptabilit

Risque de contrle
La probabilit que les malversations dans les donnes comptables ne
soient pas prvenues ou dtectes et corriges

Structure de contrle
Les rgles et procdures mises en place par lentreprise pour fournir
une garantie raisonnable que les objectifs tablis seront atteints

|35

Lenvironnement de contrle
Leffet collectif de diffrents facteurs sur la mise en place,
lamlioration et la mitigation de lefficacit de rgles et
procdures spcifiques

La philosophie de management et le style de gestion

La structure organisationnelle de lentreprise
Le fonctionnement du comit de direction et du comit daudit
Les mthodes de responsabilisation
Les mthodes daudit interne et de contrle de performance
Les rgles en matire de personnel et les pratiques
Diffrents facteurs externes

Reflte lattitude gnrale, la prise de conscience et les

actions relatives limportance du contrle

|36

Le systme comptable
Le systme comptable consiste en mthodes et des
enregistrements mis en place pour identifier, assembler,
analyser, classifier, enregistrer et rapporter les transactions
dune entreprise et pour grer et rapporter les actifs et dettes
de lentreprise. Cela inclut la capacit de :

Identifier et enregistrer toutes les transactions valides

Dcrire les transactions avec un niveau de dtail suffisant que
pour classifier ces transactions correctement dans la comptabilit
Mesurer la valeur des transactions dune manire qui permette
denregistrer leur valeur montaire correctement
Dfinir la priode au cours de laquelle la transaction a eu lieu
Prsenter correctement les transactions et leurs disclosures dans
les tats financiers

|37

Les procdures de contrle

Les rgles et procdures que le management a mis en
place pour fournir une garantie raisonnable que les objectifs
de lentreprise seront atteints en matire daudit. Ceci
inclut :
Autorisation correcte des transactions et des activits
Sgrgation des rles et responsabilits
Dfinition de mcanismes de sauvegarde en ce qui concerne
laccs et lutilisation des enregistrements et des actifs
Vrifications indpendantes sur la valorisation des montants
enregistrs

|38

Impact de lIT sur les contrles comptables

Exemples
Des activits dcentralises effectues par diffrents employs
peuvent tre centralises dans un seul ordinateur,oubliant un contrle
interne
Pas daudit trail
Quand le nombre demploys impliqus dans le comptabilit diminue,
on limine les procdures de 4-eye check
Erreurs systmatiques au lieu dtre alatoires
Besoin de gens spcialiss pour auditer lactivit
Lauditeur IT doit tre impliqu dans la conception du systme de
comptabilit pour prvoir les contrles ncessaires
Fraude informatique (checks non autoriss,...)

|39

Laudit trail
Laudit trail est un ensemble denregistrements qui permettent de
tracer des transactions, des activits depuis leur origine
Le systme informatique peut impacter laudit trail de diffrentes
manires :

Documents source sauvs de manire difficilement accessibles

Documents source limins
Pas de listing de transactions ou de journaux
Rapports papier uniquement pour les exceptions
Des programmes sont toujours ncessaires pour accder aux donnes
Squence des donnes et des activits difficile observer

|40

Disponibilit cot dun arrt dactivit

7% des socits avec des revenus > $5bn ont connu un arrt dactivit qui leur a cot plus
de $5m au cours des 12 derniers mois.
Impact financier

Source Continuity Insights/KPMG 2003

|41

Disponibilit causes darrt dactivit

Dgts des eaux

Coupure dlectrict
Forces naturelles
e.g. inondations, tremblements
de terre, ouragans
Incendie
Panne de communication
Interfrences humaines
e.g. erreur doprateur,
actes malhonntes,
sabotage, grves, virus

Panne dun systme

majeur

|42

Dfinition de Business Continuity

Business Continuity Management concerne la gestion des risques pour
sassurer que, tout moment, une organisation peut continuer
fonctionner un niveau minimum pr dtermin
Cela inclut :
Evaluer et rduire les risques
Planifier pour le redmarrage de processus cls quand un risque se matrialise
et un arrt dactivit se produit
Tester ces plans de manire rgulire

Business continuity ne concerne pas uniquement les systmes IT mais

galement les gens, des actifs physiques, des bureaux et des documents
critiques
Seulement 25% des entreprises ont un Business Continuity Plan. Dici
2007, 75% des entreprises devraient avoir un BCP (source : Gartner)

|43

Dfinition de Business Continuity

Business continuity management est appel de diffrentes
manires :

Business continuity planning

Disaster recovery planning
Business recovery planning
Business resumption planning
Crisis management
Contingency planning

|44

Disponibilit Niveaux de services

INTERRUPTION
INTERRUPTION WINDOW:
WINDOW: BUSINESS
BUSINESS PROCESS 1
Interruption

RTO (Minimum SLA):

2 Days

RTO (Normal Operations):

10 Days

Service
Level
RPO

RPO:

Start of Day

Minimum SLA:

x% of orders processed
within y mins of receipt

Normal SLA
RTO
(Normal Operations)
Minimum SLA
RTO
(Min. SLA)

Potential
Loss of
Information

Recovery Period

Minimum Service

Normal Operation
Restored

Time

Normal Operation

|45

Business continuity volution historique

Primtre historique
Rplication et backup

Primtre IT

Primtre Business + IT

Text
Text

Duplication de donnes
Backup & recovery
Storage-centric

Infrastructure (e.g., rseaux,

serveurs)
Applications
Centre de donnes scuris

Processus mtiers et
composants IT
Systmes, processus et
personnes

|46