Les activitйs d’exploitation informatique - PowerPoint PPT Presentation

Loading...

PPT – Les activitйs d’exploitation informatique PowerPoint presentation | free to download - id: 3b627f-MTEyN



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Les activitйs d’exploitation informatique

Description:

Les activit s d exploitation informatique Gestion des technologies de l information GEST310 Pascale Vande Velde Agenda Activit s d exploitation ITIL ... – PowerPoint PPT presentation

Number of Views:297
Avg rating:3.0/5.0
Slides: 47
Provided by: ulbAcBes
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Les activitйs d’exploitation informatique


1
Les activités dexploitation informatique
  • Gestion des technologies de linformation
    GEST310
  • Pascale Vande Velde

2
Agenda
  • Activités dexploitation ITIL
  • Sécurité
  • Audit
  • Disponibilité

3
Introduction
  • Les entreprises deviennent de plus en plus
    dépendantes de linformatique. Cela les conduit à
    avoir des exigences de plus en plus fortes quant
    à la qualité des services IT
  • ITIL est de plus en plus utilisé comme cadre
    dorganisation des services informatiques
  • Les systèmes informatiques deviennent
    incontournables. Leur indisponibilité pose des
    problèmes de discontinuité dactivités de plus en
    plus aigus
  • Des systèmes de disaster recovery souvent très
    coûteux sont mis en place pour pallier toute
    faille des systèmes
  • Les systèmes informatiques fonctionnent en
    réseaux. Linternet a fortement complexifié les
    problématiques de sécurité de ces systèmes
  • Evolution rapide et investissements lourds en
    mesures de sécurité
  • Le département Exploitation est responsable de
    ces activités

4
Quest ce quun service IT ?
  • Ensemble de fonctions fournies par les systèmes
    IT en support des métiers (gestion du parc PC,
    gestion des applications au jour le jour,
    production doutputs, gestion des accès aux
    applications, helpdesk, etc...)
  • Un service est constitué de composants software,
    hardware et de communication (réseaux)
  • Les services peuvent couvrir de nombreux domaines
    depuis laccès à une application jusquà la
    mise à disposition dun service impliquant
    plusieurs applications, des réseaux, etc...
  • Exemples
  • Disponibilité de systèmes critiques
  • Transactions sécurisées sur réseaux ouverts
  • Transfert de données entre applications via un
    WAN

5
Définition de ITIL
  • ITIL (Information Technology Infrastructure
    Library) est un ensemble de recommendations
    développé par le UK Office of Government Commerce
  • Ces recommendations sont documentées et décrivent
    un cadre de gestion des services IT intégré et
    basé sur les différents processus de fournitures
    de services
  • Développé dans les années 80 pour le
    gouvernement britannique, l ITIL est devenu une
    référence mondiale en matière de gestion de
    services IT
  • Plusieurs centaines de sociétés ont implémentés
    des processus conformes à ITIL
  • Objectifs du modèle ITIL
  • Faciliter une gestion de qualité des services IT
  • Améliorer lefficacité
  • Réduire les risques
  • Fournir un best practice

6
Modèle ITIL
  • Hypothèse ITIL les fonctions suivantes sont
    essentielles afin de livrer des services IT de
    qualité
  • ITIL propose une approche structurée pour
    définir, implémenter et gérer chacune de ces
    fonctions au jour le jour

Source ITIL CD ROM
7
Modèle ITIL
  • Service support
  • Assure que lutilisateur a accès aux services
    appropriés pour supporter les fonctions métiers
  • Release management
  • Problem management
  • Change management
  • Incident management
  • Configuration management
  • Service delivery
  • Quels sont les services demandés par les métiers
    afin de servir correctement les clients de
    lentreprise
  • Service level management
  • Availability management
  • Service continuity
  • Financial management
  • Capacity management

8
Modèle ITIL Service delivery
  • Service level management
  • Processus incluant la définition, négociation,
    mise au point dun contrat de SLA
  • Processus de gestion de ces contrats
  • Processus de revues de niveaux de services
    utilisateurs
  • Prioritisation des services (requis, coûts
    justifiés)
  • Capacity management
  • Processus de planification, définition et gestion
    de la capacité des systèmes IT
  • Se base sur des critères (temps de réponse,
    volumes, etc..) définis dans le cadre des niveaux
    de services
  • Service continuity
  • Processus définissant comment adresser et
    résoudre des calamités pannes, incendies,
    fraudes informatiques....
  • Définit également comment éviter que des
    incidents deviennent des calamités

9
Modèle ITIL Service delivery
  • Availability management
  • Processus de planification, optimisation et
    exécution des activités requises pour gérer la
    disponibilité des services IT au jour le jour
  • Processus dexécution de maintenance corrective
    et évolutive afin de rencontrer les besoins de
    disponibilités requis par les métiers
  • Financial management
  • La gestion et le chargement des services IT aux
    métiers
  • Ceci nécessite didentifier et de classifier les
    différents composants de coûts et de calculer les
    coûts liés à chaque service (comptabilité
    analytique)

10
Modèle ITIL Service support
  • Configuration management
  • Processus didentification et de définition des
    éléments de configuration dans un système
    (écrans, tables, formats, interfaces, etc...)
  • Processus denregistrement des éléments de
    configuration et de leur statut
  • Processus de vérification du caractère correct et
    complet de ces éléments de configuration
  • Problem management
  • Processus de contrôle des incidents, erreurs,
    problèmes
  • Processus de pilotage des incidents, erreurs,
    problèmes
  • Objectif principal sassurer que les services
    fournis sont stables, précis et fournis à temps

11
Modèle ITIL Service support
  • Release management
  • Processus de contrôle de la distribution,
    gestion, enregistrement physique et
    implémentation de nouveaux éléments de software
  • Sassurer que uniquement des versions autorisées
    et dûment vérifiées en termes de qualité sont
    portées dans lenvironnement de production
  • Change management
  • Processus de gestion et de contrôle des requêtes
    en vue deffectuer des changements à
    linfrastructure IT ou aux services IT
  • Processus de gestion et de contrôle de
    limplémentation de ces changements
  • Incident management
  • Processus de gestion des incidents (support de
    première ligne par le helpdesk, support de 2e et
    3e lignes dans les départements développements ou
    exploitation)
  • Le helpdesk est un point de contact unique pour
    rapporter les erreurs de systèmes observées

12
Lapplication de ITIL
  • Au cours du dernier trimestre 2001, itSMF fit
    réaliser une enquête sur la compréhension et
    lapplication des méthodes ITIL au Royaume-Uni
  • Plus de 100 entreprises ou agences
    gouvernementales participèrent à lenquête
  • 87 dentre elles se considéraient comme
    utilisateurs de ITIL ou appliquaient dans une
    certaine mesure les principes ITIL

itSMF IT Service Management Forum
Sources http//www.itsmf.com/members/marketresear
ch.asp
13
Bénéfices attendus
  • La performance des initiatives de gestion de
    services est nettement plus élevée quand ces
    initiatives sont basées sur lapproche et le
    modèle ITIL
  • Pour ceux utilisant lapproche ITIL, 97
    déclarent que leur entreprise a engrangé des
    résultats. 70 déclarent que ces résultats sont
    mesurables et quantifiables

Sources http//www.itsmf.com/members/marketresear
ch.asp
14
Bénéfices attendus
  • Les entreprises interrogées reconnaissent avoir
    vécu un changement positif au niveau de la
    culture de fourniture de services (80 des
    utilisateurs)
  • Finalement, dans un contexte de gestion de
    services, la perception de lamélioration des
    services par le client est extrêmement
    importante. Plus de 70 des utilisateurs ITIL
    affirment que leurs clients ont observé les
    améliorations de services apportées

Sources http//www.itsmf.com/members/marketresear
ch.asp
15
Sécurité - Définition
  • Sécurité moyens de protéger des actifs (gens,
    actifs tangibles, intangibles). Lobjectif est de
    minimiser les pertes
  • Sécurité informatique protection des actifs
    informatiques (données, applications, serveurs,
    processus)
  • La sécurité est avant tout une préoccupation des
    métiers
  • La sécurité fait partie de la gestion des
    risques. Il faut évaluer les risques et les
    mitiger, si ceci est justifié économiquement
  • Types de risques
  • Opérationnel arrêt du fonctionnement normal
    dune application (par exemple, suite à une
    attaque internet)
  • Légal lentreprise ne peut plus remplir ses
    obligations légales et réglementaires (par
    exemple, divulgation de données confidentielles)
  • Financier coût financier direct (par exemple,
    fraude informatique)

16
Sécurité informatique Préoccupations des métiers
  • Productivité
  • Elle est améliorée quand on exclut des évènements
    qui font perdre du temps ou empèchent le bon
    fonctionnement de lorganisation (par ex, virus
    détruisant de linformation).
  • Préoccupations contrôle des spam et la mauvaise
    utilisation de linternet
  • Réglementation
  • Nombreuses réglementations dans lentreprise
    (gestion financière, fonctionnement dun front
    office, etc...). Elles nécessitent de sauver et
    de conserver des données et enregistrements, y
    compris qui est responsable dactions/décisions,
    etc...
  • Préoccupations sauver, conserver et protéger
    ces données
  • Privacy and Digital Rights Management
  • Assure que linformation confidentielle ne soit
    pas divulguée. Privacy concerne linformation
    personnelle. DRM concerne linformation
    professionnelle à valeur commerciale.
  • Préoccupations encrypter les données,
    autorisations

17
Sécurité informatique Préoccupations des métiers
  • Disponibilité
  • La continuité des activités nécessite la
    disponibilité des systèmes (par exemple, une
    attaque informatique peut causer larrêt dun
    système) et des données
  • Préoccupations dupliquer les données et
    systèmes, architectures de back ups
  • Intégrité
  • Maintenir lintégrité des processus, données,
    applications est essentielle. Lors dune
    intrusion, cette intégrité peut être mise en
    danger
  • Préoccupations architectures de sécurité
    internet, profils daccès, etc..

18
Sécurité informatique Exemples de moyens
  • Protection des frontières
  • Anti virus
  • Filtrage de données
  • Systèmes de détection dintrusion
  • Systèmes de protection contre les intrusions
  • Firewalls
  • Sécurité de linfrastructure
  • Firewalls
  • Encryption de données sauvegardées
  • Sécurité des communications
  • Encryption
  • PKI
  • VPN

19
Sécurité informatique Exemples de moyens
  • Gestion de la sécurité
  • Audits
  • Gestion des procédures
  • Evaluation de sécurité
  • Gestion des versions, configurations
  • Gestion des utilisateurs
  • Contrôle daccès
  • Authentication
  • Identification

20
Sécurité informatique Illustration PC banking
21
Gestion de la sécurité
  • Accès physique
  • Personnel
  • Equipements
  • Organisation technique
  • Softwares
  • Aspects organisationnels
  • Sécurité des données
  • Calamités

22
Accès physique
  • Management
  • Définit les procédures daccès
  • Définit les tâches du personnel de sécurité
  • Exécution
  • Nommer un security manager
  • Procédures pour la gestion des systèmes
  • Procédures en cas de vol ou de destruction
  • Procédures pour visiteurs
  • Procédures pour le personnel de nettoyage
  • Gestion des fournisseurs
  • Procédure pour les heures supplémentaires

23
Personnel
  • Recrutement
  • Règles de recrutement
  • Motifs pour une démission précédente
  • Règles de recrutement du personnel de sécurité
  • Enregistrement du personnel
  • Présences
  • Heures supplémentaires
  • Vacances
  • Fonctions
  • Etre formé et expérimenté
  • Règles pour un remplacement
  • Job rotation
  • Descriptions de fonctions
  • Evaluation du personnel
  • Objectifs personnels (rapporter les anomalies à
    au moins 2 personnes)
  • Procédures de démission

24
Equipement
  • Acquisition, location
  • Se mettre daccord sur les aspects de sécurité
  • Documentation
  • Installation et acceptation
  • Maintenance (remote, outsourced)
  • Se mettre daccord sur les aspects de sécurité
  • Documentation
  • Pannes
  • Alertes de pannes
  • Procédures de redémarrage
  • Contrôle interne sur les réparations
  • Monitoring des pannes
  • Test du disaster recovery plan

25
Organisation technique
  • Maintenance périodique
  • Rapports dincidents
  • Enregistrement des incidents
  • Documentation
  • Plan détage
  • Inventaire des équipements
  • Liste des contrats de maintenance

26
Softwares
  • Gestion des releases et des versions
  • Documentation
  • Librairie des programmes
  • Règles de back up et recovery
  • Utilisation de programmes de correction et
    durgence
  • Gestion des disques et des fichiers
  • Echanges de fichiers avec des tiers
  • Procédures dacceptation (développement)
  • Les procédures en matière de définition de
    profils utilisateurs
  • Les procédures super user
  • Lencryption des données

27
Aspects organisationnels
  • Département IT indépendant des autres
    départements
  • Séparation entre transactions et contrôle,
    approbations
  • Définition claire des rôles et responsabilités
  • Planning de production
  • Gestion des pannes
  • Contrôles inputs/outputs
  • Séparation des rôles entre production/input de
    données/développement
  • Contrôle de lusage des documents dinputs et
    doutputs
  • Contrôle de la complétude des rapports

28
Sécurité des données
  • Passwords
  • Autorisations et accès
  • Profils utilisateurs
  • Encryption des données
  • Sécurité réseaux
  • Signatures électroniques
  • Back ups

29
Calamités
  • Feu
  • Avoir un back up dans un autre bâtiment
  • Avoir des détecteurs de feu
  • No smoking
  • Bâtiment équipé pour retarder le feu
  • Intervention des pompiers rapide
  • Panne délectricité
  • Back up - recovery
  • Dégâts des eaux
  • Détecteurs
  • Pouvoir évacuer leau facilement

30
Sécurité du système
Utilisateurs
Super user
Auditeur
DBA
Administrateur de sécurité
Profils utilisateurs
Login
Log file
Authentication
Modèle de données
Système dautorisation
Règles de sécurité
Transaction manager
Base de données
Règles dautorisation
Data manager
31
Audit - Définition
  • Définition
  • Auditing is a systematic process of objectively
    obtaining and evaluating evidence regarding
    assertions about economic actions and events to
    ascertain the degree of correspondence between
    those assertions and established criteria, and
    communicating the results to interested users.
    American Accouting Association (AAA)

32
Audit - Définition
  • Un processus systématique
  • Structuré comme une activité dynamique de manière
    logique
  • Une approche non planifiée en matière daudit
    informatique peut conduire à négliger
    dimportants domaines de processing
  • Obtenir et évaluer les preuves
  • Fiabilité de la structure de contrôle
  • Tests afin de vérifier que la fonction de
    contrôle fonctionne comme convenu
  • Contenu des fichiers
  • Tests pour vérifier la cohérence des fichiers
    avec les transactions de la société
  • Confirmer la correspondance entre les critéres
    préétablis et les assertions
  • Communiquer les résultats aux parties intéressées
  • Autres membres de laudit, direction, etc...

33
Audit de sécurité et schéma général daudit
Audit
Security manager
External auditor
Security audit
Company audit
  • Sécurité et privacy
  • Disponibilité
  • Confidentialité
  • Accessibilité

Accounting system
Internal control system
  • Contrôle des systèmes IT
  • Approche daudit des systèmes IT
  • Vérification de lapproche daudit

IT audit
34
Audit informatique
  • Problèmes spécifiques à un audit informatique
  • Concentration du traitement des données
  • Consultation des données par le personnel IT
  • Les données peuvent être détruites
  • Les données sont très compactes (peuvent être
    perdues, volées, etc...)
  • Disparition de documents de base (téléphone,...)
  • Prise de décision automatisée
  • Plus de complexité
  • Vulnérabilité (réseaux)
  • Laudit informatique est très spécialisé et
    évolue rapidement

35
Evaluation du risque de contrôle
  • Objectif
  • Lobjectif dune évaluation du risque de contrôle
    est dévaluer lefficacité des structures de
    contrôle internes dune entreprise à prévenir ou
    détecter des malversations importantes dans la
    comptabilité
  • Risque de contrôle
  • La probabilité que les malversations dans les
    données comptables ne soient pas prévenues ou
    détectées et corrigées
  • Structure de contrôle
  • Les règles et procédures mises en place par
    lentreprise pour fournir une garantie
    raisonnable que les objectifs établis seront
    atteints

36
Lenvironnement de contrôle
  • Leffet collectif de différents facteurs sur la
    mise en place, lamélioration et la mitigation de
    lefficacité de règles et procédures spécifiques
  • La philosophie de management et le style de
    gestion
  • La structure organisationnelle de lentreprise
  • Le fonctionnement du comité de direction et du
    comité daudit
  • Les méthodes de responsabilisation
  • Les méthodes daudit interne et de contrôle de
    performance
  • Les règles en matière de personnel et les
    pratiques
  • Différents facteurs externes
  • Reflète lattitude générale, la prise de
    conscience et les actions relatives à
    limportance du contrôle

37
Le système comptable
  • Le système comptable consiste en méthodes et des
    enregistrements mis en place pour identifier,
    assembler, analyser, classifier, enregistrer et
    rapporter les transactions dune entreprise et
    pour gérer et rapporter les actifs et dettes de
    lentreprise. Cela inclut la capacité de
  • Identifier et enregistrer toutes les transactions
    valides
  • Décrire les transactions avec un niveau de détail
    suffisant que pour classifier ces transactions
    correctement dans la comptabilité
  • Mesurer la valeur des transactions dune manière
    qui permette denregistrer leur valeur monétaire
    correctement
  • Définir la période au cours de laquelle la
    transaction a eu lieu
  • Présenter correctement les transactions et leurs
    disclosures dans les états financiers

38
Les procédures de contrôle
  • Les règles et procédures que le management a mis
    en place pour fournir une garantie raisonnable
    que les objectifs de lentreprise seront atteints
    en matière daudit. Ceci inclut
  • Autorisation correcte des transactions et des
    activités
  • Ségrégation des rôles et responsabilités
  • Définition de mécanismes de sauvegarde en ce qui
    concerne laccès et lutilisation des
    enregistrements et des actifs
  • Vérifications indépendantes sur la valorisation
    des montants enregistrés

39
Impact de lIT sur les contrôles comptables
  • Exemples
  • Des activités décentralisées effectuées par
    différents employés peuvent être centralisées
    dans un seul ordinateur,oubliant un contrôle
    interne
  • Pas daudit trail
  • Quand le nombre demployés impliqués dans le
    comptabilité diminue, on élimine les procédures
    de 4-eye check
  • Erreurs systématiques au lieu dêtre aléatoires
  • Besoin de gens spécialisés pour auditer
    lactivité
  • Lauditeur IT doit être impliqué dans la
    conception du système de comptabilité pour
    prévoir les contrôles nécessaires
  • Fraude informatique (checks non autorisés,...)

40
Laudit trail
  • Laudit trail est un ensemble denregistrements
    qui permettent de tracer des transactions, des
    activités depuis leur origine
  • Le systéme informatique peut impacter laudit
    trail de différentes manières
  • Documents source sauvés de manière difficilement
    accessibles
  • Documents source éliminés
  • Pas de listing de transactions ou de journaux
  • Rapports papier uniquement pour les exceptions
  • Des programmes sont toujours nécessaires pour
    accéder aux données
  • Séquence des données et des activités difficile à
    observer

41
Disponibilité coût dun arrêt dactivité
7 des sociétés avec des revenus gt 5bn ont connu
un arrêt dactivité qui leur a coûté plus de 5m
au cours des 12 derniers mois.
Impact financier
Source Continuity Insights/KPMG 2003
42
Disponibilité causes darrêt dactivité
  • Dégâts des eaux
  • Coupure délectricté
  • Forces naturelles
  • e.g. inondations, tremblements de terre,
    ouragans
  • Incendie
  • Panne de communication
  • Panne dun système majeur
  • Interférences humaines
  • e.g. erreur dopérateur, actes malhonnêtes,
    sabotage, grèves, virus

43
Définition de Business Continuity
  • Business Continuity Management concerne la
    gestion des risques pour sassurer que, à tout
    moment, une organisation peut continuer à
    fonctionner à un niveau minimum pré déterminé
  • Cela inclut
  • Evaluer et réduire les risques
  • Planifier pour le redémarrage de processus clés
    quand un risque se matérialise et un arrêt
    dactivité se produit
  • Tester ces plans de manière régulière
  • Business continuity ne concerne pas uniquement
    les systèmes IT mais également les gens, des
    actifs physiques, des bureaux et des documents
    critiques
  • Seulement 25 des entreprises ont un Business
    Continuity Plan. Dici 2007, 75 des entreprises
    devraient avoir un BCP (source Gartner)

44
Définition de Business Continuity
  • Business continuity management est appelé de
    différentes manières
  • Business continuity planning
  • Disaster recovery planning
  • Business recovery planning
  • Business resumption planning
  • Crisis management
  • Contingency planning

45
Disponibilité Niveaux de services
46
Business continuity évolution historique
Périmètre historique Réplication et backup
Périmètre IT
Périmètre Business IT
  • Duplication de données
  • Backup recovery
  • Storage-centric
  • Infrastructure (e.g., réseaux, serveurs)
  • Applications
  • Centre de données sécurisé
  • Processus métiers et composants IT
  • Systèmes, processus et personnes
About PowerShow.com