Le 22 fevrier 2007

Newsletter 14

Edito

ITIL et la gestion de la sécurité

Les piliers de la gestion des services informatiques sont les processus, les personnes et les technologies. Nous sommes heureux de vous annoncer une nouvelle rubrique dédiée à la gestion des hommes. Cette rubrique est inaugurée par Arnaud Tonnelé auteur de l’excellent livre « Equipes autonomes : guide de mise en œuvre ». En complément, vous pourrez découvrir deux nouveautés : Le blog Questions / Réponses pour vous permettre d’échanger directement entre vous, l’annonce des ApéritITILs.

Le premier bénéfice d’ITIL est d’avoir un langage et une vision communs, nous vous invitons à transmettre cette newsletter à votre entourage pour la partager en cliquant sur ce lien.

Si vous n’êtes pas encore inscrit nous vous demandons de remplir le formulaire en cliquant sur ce lien pour recevoir gratuitement les prochains numéros.

Bonne lecture et à bientôt,

Le mois prochain le thème est : ITIL et CMMI.

Daniel Kervarec
Newsitweb.info


DTS-B
Expert ITIL en environnement MICROSOFT
Nos offres basées sur 3 axes : systèmes, bases de données et BI, plateforme collaborative
Microsoft Certified Partner

ITIL et la sécurité

Présentation générale

L'entreprise ne peut ignorer les problématiques de sécurité de son information. Dans la continuité de la norme BS7799, ce sujet dispose de sa norme internationale: ISO/IEC 17799. Le référentiel ITIL propose un ouvrage basé sur ce code pratique pour la sécurité de l'information: ITIL Security Management.  Le sujet inquiète toujours les candidats à la certification ITIL Foundation, car deux questions sur la sécurité sont généralement posées lors de l'examen de certification, alors que les formations restent souvent discrètes sur ce thème. S'il faut rassurer les candidats à la certification, nous pouvons remarquer que ces questions sont généralement faciles et qu'elles font la plupart du temps appel au bon sens.  Publié en avril 1999, doit-on considérer cet ouvrage comme obsolète ou peut-on encore y trouver de la valeur? La réponse se trouve certainement dans le processus structurant proposé par ITIL. En effet, le sujet y est abordé sous la forme d'un processus organisé autour de cinq fonctions: contrôle, planification, implémentation, évaluation et maintenance. Les quatre premières peuvent aisément être associées respectivement aux étapes Act, Plan, Do et Check d'un plan d'amélioration itératif.

En associant les lignes directrices de l'ISO/IEC 17799 et l'apport méthodologique ITIL, le RSSI (Responsable de la Sécurité des Systèmes d'Information) dispose des outils indispensables à sa mission.

Depuis, ISO 27001 fait référence en matière de norme de sécurité.

Les fonctions du processus

Le processus de gestion de la disponibilité est structuré autour des activités suivantes:

  • Contrôle: cette fonction organise et supervise le processus de gestion de la sécurité à travers une définition de règles dictées par les exigences propres à l'entreprise. C'est également à ce niveau que sont définis les rôles et les responsabilités des acteurs de ce processus. Enfin cette fonction produit des rapports d'activité.
  • Planification: en lien avec la gestion des niveaux de services, la planification intervient directement sur les relations contractuelles (SLA, OLA et contrats). Lorsque la convention de services aborde le sujet de la sécurité, il revient à la fonction de planification de l'alimenter. Mais sur une démarche de bout en bout, cette étape du processus intervient aussi sur les conventions opérationnelles et sur les contrats de sous-traitance.
  • Implémentation: à partir du cadrage de la politique de sécurité de l'information, le processus met en oeuvre les règles de sécurité. Cette activité utilise largement la CMDB pour identifier les composants de l'infrastructure vulnérables et implémenter les contre-mesures. Les règles destinées aux ressources humaines, en matière de sécurité, sont aussi mises en oeuvre à ce niveau.
  • Evaluation: étape critique du processus, car trop souvent négligée, l'évaluation a pour objectif de contrôler la bonne implémentation des mesures de sécurité. Cette évaluation est traitée à la fois en réactif après chaque incident de sécurité et, principalement en proactif par des exercices d'audits destinés à valider la pertinence des mesures déployées par l'entreprise pour protéger l'information. Chaque évaluation fait l'objet d'un rapport et doit être suivie d'un plan d'actions correctrices.
  • Maintenance: accompagne le processus de gestion des changements sur le chapitre de la sécurité. En lien direct avec la fonction d'évaluation, la maintenance consiste à maintenir à jour les conventions de services. La fonction maintenance produit essentiellement des recommandations qui seront ensuite traitées en mode itératif par la fonction contrôle.

Ainsi, en s'appyuant sur ces cinq fonctions, ITIL reste fidèle au modèle  PDCA de Deming destiné à alimenter le programme d'amélioration continue de la qualité des services. L'objectif est donc de maintenir et d'améliorer en permanence la sécurité de l'information dans une optique d'alignement des services.

Liens avec les autres processus ITIL

La gestion de la sécurité présente des liens avec la plupart des autres processus de fourniture et de support des services (ITIL service delivery et ITIL service support). En effet, le dossier concerne à la fois les couches tactiques (livre rouge) et les couches opérationnelles (livre bleu):

  • Sur le périmètre de la fourniture des services, la gestion des relations contractuelles (SLA, OLA et contrats de sous-traitance) impose la prise en compte de l'exigence de niveaux de services. Autrement dit, les contraintes liées à l'activité métier de l'entreprise. Les éléments de confidentialité et d'intégrité sont naturellement traités à ce niveau et imposent l'activation du processus de gestion de la sécurité. Les processus liés aux capacités, à la disponibilité et à la continuité sont également en lien direct avec la sécurité. Tout incident lié à une vulnérabilité sur la sécurité de l'information peut impacter immédiatement la performance de ces processus et la qualité des livrables associés. Sur le volet financier, il n'est pas question de mettre en place des mesures non justifiées par une exigence réelle. La fonction comptabilité du processus de gestion financière des services vérifiera le bon respect des règles budgétaires pour la sécurité.
  • Le support des services, généralement perçu sur la couche opérationnelle, intègrera également les règles imposées par la sécurité. Il interviendra même sur le cycle d'amélioration en imposant sa méthodologie de gestion des modifications. Au quotidien, les processus de gestion des incidents et des problèmes apporteront la réactivité et l'anticipation nécessaires face aux incidents et aux menaces potentielles.

Les avantages du processus

Au moment où l'entreprise met son information électronique à la disposition de ses clients, le dossier de la sécurité n'a jamais été aussi préoccupant. Nul ne peut ignorer les menaces et les conséquences potentielles. La sécurité concerne l'entreprise toute entière, et le processus proposé par ITIL apporte des avantages pour l'ensemble de ses activités.

  • Pour les directions utilisatrices: l'information fait partie du capital de l'entreprise. En fonction du secteur d'activité, des règlementations imposent la mise en oeuvre de mesures destinées à protéger l'information. Le processus ITIL apporte aux directions métiers l'assurance d'une démarche structurée et itérative pour maintenir le niveau de sécurité exigée par l'activité. 
  • Pour la DSI: la sécurité n'est pas une option. ITIL apporte à la DSI une méthodologie lui permettant de disposer de bonnes pratiques cohérentes avec les normes de sécurité. L'intégration de ce processus avec les autres domaines du référentiel démultiplie la valeur apportée et améliore la prise en compte des exigences de sécurité sur l'ensemble des activités opérationnelles.

Prochain numéro
ITIL et CMMI

Christian Nawrocki
www.itpms.fr

Pour transmettre cette newsletter cliquer sur ce lien

GESTION DU CHANGEMENT

Les paradoxes de l’informatique et le facteur humain

Il est communément reconnu, dans la communauté informatique, que beaucoup de projets de systèmes d’information échouent, ou obtiennent des résultats en demi-teinte. Bien souvent, face à ce constat désabusé, une même cause est mise en avant : la résistance au changement. Nous voudrions montrer, d’une part, que cette explication n’en est pas une, la résistance au changement étant davantage une conséquence qu’une cause ; d’autre part que, si « résistances » il y a, elles proviennent pour partie de certains paradoxes dans lesquels sont pris les organisations.

Nous aborderons ce mois le premier paradoxe : chercher ses clés là où c’est allumé.

Il y a une sorte de paradoxe à voir les incroyables progrès réalisés par la technologie et, dans le même temps, la stagnation, voire la régression, de la compréhension et de la prise en compte des phénomènes humains dans la performance de l’entreprise. Tout se passe comme si l’intégralité de l’intelligence humaine déployée sur un  projet de SI était concentrée sur la technologie.
Or, avec un peu de réflexion, la plupart d’entre nous sommes prêts à reconnaître qu’entre un système d’information, si complexe soit-il, et une équipe ou un ensemble d’équipes (une entreprise), le degré de complexité est sans commune mesure.
Se rejoue en fait à petite échelle, ce qui se joue au niveau de l’économie de marché dans son ensemble : l’investissement se réalise là où il y a de la « lumière » (entendez : là où il y a déjà de l’investissement). Tout le monde connaît l’histoire de cet homme ayant perdu ses clés dans la nuit. Un quidam s’approche de l’homme et lui demande : « Vous avez perdu quelque chose ? – Oui, j’ai perdu mes clés de voiture et de maison. – Ah ?… et vous êtes sûr de les avoir perdues ici ? – Non, pas du tout, mais c’est le seul endroit où je vois quelque chose ! »
L’entreprise investit là où elle « voit clair » (la technologie), alors que ce n’est pas forcément à cet endroit que se situe la meilleure chance d’obtenir les gains les plus significatifs.
Investir dans les hommes, la performance de l’organisation, le développement des individus, l’amélioration du fonctionnement des équipes, de leur réactivité et de leur autonomie, n’est pas perçu comme aussi utile que l’investissement technologique. Et pourtant, combien de dirigeants sont surpris lorsque, intervenant dans les entreprises, nous présentons les résultats à la question que nous posons rituellement aux salariés (« Avez-vous le sentiment d’être employé à votre juste potentiel ? »). Amusez-vous à poser cette question autour de vous !
Le facteur humain souffre du syndrome gaullien : « L’intendance suivra ». « Investissez dans les SI : les utilisateurs, les équipes suivront ». Les amateurs d’Histoire savent ce que la sous-estimation de « l’intendance » en coûta à Napoléon lors de la campagne de Russie de 1812 (100.000 survivants sur 700.00 hommes engagés) ; les entreprises et leurs utilisateurs d’un côté, les chefs de projet et les équipes de production de l’autre savent aussi ce qu’il en coûte de ne chercher ses clés que là où le lampadaire est allumé…

Le mois prochain le second paradoxe: ne pas investir là où ce n’est pas coûteux.

Pour en savoir plus découvrez le livre d’ Arnaud Tonnelé, « Equipes autonomes : guide de mise en œuvre – Organisation, Gestion des compétences, Conduite du changement, éditions d’Organisation ».

Pour prendre contact avec l’auteur cliquer ici

Pour transmettre cette newsletter cliquer sur ce lien

DICO BUSINESS: LA DEFINITION DU MOIS

Gouvernance:

Gouvernement, gouvernance de sociétés ou corporate governance en anglais, c’est l’ensemble des institutions et des pratiques qui rendent légitimes les décisions qui sont prises. C’est donc faire en sorte que ceux qui subissent les répercussions des moyens et des contraintes choisis, considèrent, même si ils les contestent, comme légitimes.
Trois enjeux caractérisent la gouvernance sous la forme de trois couples opposés : Le pouvoir discrétionnaire versus le contrôle du pouvoir, les intérêts privés versus les intérêts généraux, l’information versus le secret.
La gouvernance nécessite donc arbitrage et équilibre pour aller de l’avant…
Vous souhaitez proposer des définitions utiles à l’alignement de l’IT au business cliquer ici.

Pour transmettre cette newsletter cliquer sur ce lien

 
Vidéo témoignage

Vidéo gratuite Auditec-Gartner
Répondre aux besoins des Métiers par la surveillance des applications d'un point de vue de l'utilisateur

Formation

FCT SOLUTIONS
Centre de formation agrée EXIN Formation Certification Service Manager ITIL en français.
Nombres de places limitées - inscrivez-vous vite !

HDI : Help Desk Institute
ITIL s'interesse aux process,
HDI aux hommes -
Découvrez les programmes

Livre Blanc

TENGIS
Une vision bout en bout,temps
réel de la qualité du service SI

Technologie

DTS-B
Expert ITIL en environnement MICROSOFT -

MICROSOFT Certified Partner

Evènement

ApérITIL
Venez échangez de vive voix autour d'un apéritif sur Paris

A lire

Arnaud Tonnelé
Equipes autonomes - Guide de mise en oeuvre

Communication

ACM ITIL
La communication est l'un des points clef de la réussite de vos projets ITIL. Alors pensez à ACM ITIL, l'agence de communication et marketing ITIL

Blog

BLOG QUESTIONS/REPONSES
Pour échanger directement entre vous découvrez le blog questions/réponses


Vidéo témoignage

Vidéo gratuite Auditec-Gartner
Répondre aux besoins des Métiers par la surveillance des applications d'un point de vue de l'utilisateur

Formation

FCT SOLUTIONS
Centre de formation agrée EXIN Formation Certification Service Manager ITIL en français.
Nombres de places limitées - inscrivez-vous vite !

HDI : Help Desk Institute
ITIL s'interesse aux process,
HDI aux hommes -
Découvrez les programmes

Livre Blanc

TENGIS
Une vision bout en bout,temps
réel de la qualité du service SI

Technologie

DTS-B
Expert ITIL en environnement MICROSOFT -

MICROSOFT Certified Partner

Evènement

ApérITIL
Venez échangez de vive voix autour d'un apéritif sur Paris

A lire

Arnaud Tonnelé
Equipes autonomes - Guide de mise en oeuvre

Communication

ACM ITIL
La communication est l'un des points clef de la réussite de vos projets ITIL. Alors pensez à ACM ITIL, l'agence de communication et marketing ITIL

Blog

BLOG QUESTIONS/REPONSES
Pour échanger directement entre vous découvrez le blog questions/réponses


 

 

 

 

 
ITIL ® is a registered trade mark and a registered community trade mark of the office of government commerce, and is registered in the US patent and trademark office.