referentiel joa v1repo.mynooblife.org/dsi/referentieljoa1.11simple.pdf · - d'avoir assez de...
TRANSCRIPT
www.referentiel-joa.com Page 2 sur 90
VERSION __________________________________________________________________ 4
SYNTHESE _________________________________________________________________ 5
JOA, le référentiel en management et gouvernance des systèmes d’information pour les PME-PMI __________________________________________________________________ 6
La mission de JOA : _______________________________________________________________ 6
Pourquoi ? _____________________________________________________________________ 6
Pour qui ? _____________________________________________________________________ 6
Comment fonctionne JOA ? ________________________________________________________ 7
Les domaines stratégiques ________________________________________________________ 7
Relation domaines et objectifs stratégiques : _________________________________________ 8
Les relations objectifs stratégiques et bonnes pratiques ________________________________ 10
Les bonnes pratiques redondantes _________________________________________________ 10
La base de connaissance JOA ______________________________________________________ 11
Pourquoi existe-t-il 2 versions du référentiel JOA? ____________________________________ 11
Conclusion ____________________________________________________________________ 12
Gouverner le Système d’information de la DSI (GSI) _______________________________ 14
GSI1 Evaluer et Gérer les risques ___________________________________________________ 15
GSI2 La politique de la sécurité du système d’information ______________________________ 17
GSI3 Gérer le budget informatique _________________________________________________ 19
GSI4 Alléger les coûts informatiques _______________________________________________ 21
GSI5 Protéger sa e-réputation _____________________________________________________ 23
GSI6 Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus __________ 26
Gérer les activités de support _________________________________________________ 28
GAS1 : Charte Informatique _______________________________________________________ 29
GAS2 : Gérer la communication ___________________________________________________ 31
GAS3 : Assurer la veille technico-fonctionnelle _______________________________________ 32
GAS4 : Le respect des lois et des règlements _________________________________________ 33
GAS5 : Gérer les achats et les relations avec les fournisseurs ____________________________ 37
GAS6 : Gérer les ressources humaines ______________________________________________ 39
GAS7 : Faciliter et gérer l’exploitation au quotidien ___________________________________ 41
Construire et Exploiter un service SI ____________________________________________ 42
CES1 Assister les utilisateurs______________________________________________________ 43
CES2 La gestion des actifs (IT Asset Management) et des ressources informatiques __________ 47
CES3 Acquisition d’une solution informatique (application, …)___________________________ 49
CES4 Mise en production d’une solution informatique _________________________________ 51
CES5 Maintenance d’une solution informatique ______________________________________ 53
CES6 Permettre le télétravail ______________________________________________________ 55
www.referentiel-joa.com Page 3 sur 90
CES7 Gérer les changements ______________________________________________________ 58
CES8 La gestion des nomades (ordinateurs et téléphones portables) ______________________ 60
CES9 Gérer les projets ___________________________________________________________ 63
CES10 Gérer les problèmes _______________________________________________________ 66
Gérer la sécurité des Systèmes d’information ____________________________________ 67
GSS1 L’organisation de la sécurité de l’information ____________________________________ 68
GSS2 Plan de continuité de secours informatique _____________________________________ 70
GSS3 Protection contre les logiciels malveillants ______________________________________ 73
GSS4 Réguler l’usage de l’email et d’Internet en Entreprise _____________________________ 75
GSS5 Contrôle d’accès des Systèmes d’exploitation ___________________________________ 78
GSS6 Protection des données _____________________________________________________ 81
GSS7 Sécurité physique et environnementale ________________________________________ 83
GSS8 Sécurité des accès réseaux ___________________________________________________ 85
GSS9 Se protéger contre le piratage informatique _____________________________________ 88
www.referentiel-joa.com Page 4 sur 90
VERSION
Version Date Auteur(s) Action(s)
1.01 11/08/2010 F. Simonetti Rédaction du document de base « référentiel
JOA »
1.10 31/08/2010 F. Simonetti Mise en place de la notion de version du
référentiel
Conclusion de la présentation de l’utilisation de
JOA
Mise à jour de la notion de base de connaissance
JOA
1.11 3/09/2010 F. Simonetti Correction de l’orthographe et de la grammaire
www.referentiel-joa.com Page 5 sur 90
SYNTHESE
Beaucoup de petites et moyennes entreprises n’ont pas conscience que leur système
d’information est leur moyen le plus précieux pour créer de la valeur et avoir un ou des
avantages concurrentiels par rapport à la concurrence.
Pour cela, les entreprises doivent établir un management et une gouvernance du Système
d’information ce qui n’est pas toujours facile faute de moyens humains, financiers,
méthodologiques, …
Certains référentiels tels que ITIL, Cobit, … ont montré tout le bénéfice qu’une entreprise
pouvait tirer profit de ses données, maximisant ainsi ses bénéfices, capitalisant sur les
opportunités qui se présentent et gagnant un avantage concurrentiel.
Malheureusement, ces référentiels sont :
- nombreux
- spécifiques à un domaine en particulier comme ISO27002 pour la sécurité des
systèmes d’informations
- destinés plus particulièrement aux grandes entreprises et non ciblé particulièrement
aux petites et moyennes entreprises
- …
Le référentiel JOA propose un ensemble de bonnes pratiques en terme de management et
gouvernance du système d’information pour les petites et moyennes entreprises. Il cherche à
devenir un référentiel répondant à la plupart des objectifs stratégiques de celles-ci.
JOA se repose sur une répartition distincte de 4 domaines stratégiques qui comprend plusieurs
objectifs stratégiques.
Les domaines stratégiques :
- Construire et Exploiter un service SI
- Gouverner le Système d’information de la DSI
- Gérer les activités de support
- Gérer la sécurité des Systèmes d’information
Un objectif stratégique contient à son tour plusieurs bonnes pratiques permettant d’atteindre
cet objectif stratégique.
Certaines bonnes pratiques dites redondantes sont utilisées dans plusieurs objectifs
stratégiques.
L’orientation de JOA consiste à ce qu’un PDG, direction, informaticien se reporte simplement
directement à un objectif stratégique pour connaître l’ensemble des bonnes pratiques.
JOA a vocation à devenir un cadre de référence permettant un lien de communication entre un
PDG, une direction et/ou un informaticien.
Pour faciliter la prise en main du référentiel, une application supplémentaire Excel JOA est
disponible en fichier EXCEL.
www.referentiel-joa.com Page 6 sur 90
JOA, le référentiel en management et gouvernance des systèmes d’information pour les
PME-PMI
La mission de JOA :
Elle consiste à mettre au point, publier et promouvoir un cadre unique de référence des
meilleures bonnes pratiques pour les petites et moyennes entreprises en terme de management
et de gouvernance du système d’information, actualisé en faisant autorité pour les dirigeants,
l’informaticien, et les utilisateurs de l’entreprise..
Pourquoi ?
Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le
succès de l'entreprise. Ils s'attendent à ce que l'on comprenne de mieux en mieux comment
sont utilisées les technologies de l'information et la probabilité qu'elles contribuent avec
succès à donner un avantage concurrentiel à l'entreprise. Ils veulent savoir en particulier si la
gestion des SI peut leur permettre :
- d'atteindre leurs objectifs ;
- d'avoir assez de résilience pour apprendre et s'adapter ;
- de gérer judicieusement les risques auxquels ils doivent faire face ;
- de savoir bien identifier les opportunités et d'agir pour en tirer parti.
Pour qui ?
L’usage d’un référentiel de bonnes pratiques de management et gouvernance des SI servira
l’intérêt des parties prenantes :
le PDG :
- souhaite un alignement de la stratégie informatique sur celle de l’entreprise
- une création de valeur
- une hausse de la rentabilité des investissements
- un cadre pour l’aider à comprendre l’intérêt et les activités de l’informatique
- un support de communication avec l’informaticien
- l’emploi des meilleures bonnes pratiques
l’informaticien
- un cadre de référence pour l’aider à optimiser, développer, sécurisé le système
d’information
- obtenir des directives claires de la part de la direction
- renforcer ses compétences personnelles alors qu’il n’est pas toujours un spécialiste
les utilisateurs
- avoir un système d’information performant
www.referentiel-joa.com Page 7 sur 90
Comment fonctionne JOA ?
Il suffit à la personne de regarder dans la liste des objectifs stratégiques pour trouver les
meilleures bonnes pratiques.
Au fil du temps, le nombre d’objectifs stratégiques grandira en nombre pour répondre à plus
de problématiques des petites et moyennes entreprises.
Les domaines stratégiques
JOA se repose sur une répartition distincte de 4 domaines stratégiques qui comprend plusieurs
objectifs stratégiques.
Les domaines stratégiques sont:
- Construire et Exploiter un service SI
- Gouverner le Système d’information de la DSI
- Gérer les activités de support
- Gérer la sécurité des Systèmes d’information
Le cœur d’activité de l’entreprise (Domaine Construire et exploiter un SI) est aidé par les 3
autres domaines stratégiques :
www.referentiel-joa.com Page 8 sur 90
Relation domaines et objectifs stratégiques :
Un objectif stratégique contient à son tour plusieurs bonnes pratiques permettant d’atteindre
cet objectif stratégique.
Le domaine « Gouverner le Système d’information de la DSI » englobe les activités
d'élaboration des informations internes permettant le pilotage de l'activité de l'entreprise.et la
gestion du système de management.
Le domaine « Gérer les activités de support » représente l'activité de mise à disposition en
interne des ressources nécessaires à la réalisation des processus opérationnels : Achats de
fournitures, RH, Comptabilité, etc.
Il cherche à garantir le bon fonctionnement du Système d’information.
Le domaine « Construire et Exploiter un service SI » définit les activités opérationnels (de
réalisation), c'est-à-dire l'activité cœur de métier de l'entreprise par le système d’information
www.referentiel-joa.com Page 9 sur 90
Le domaine « Gérer la sécurité des Systèmes d’information » cherche la préservation de la
confidentialité, de l'intégrité et de la disponibilité de l'information et de son utilisation
www.referentiel-joa.com Page 10 sur 90
Les relations objectifs stratégiques et bonnes pratiques
Quelque soit l’objectif stratégique choisi, il comporte au moins une bonne pratique. JOA part
du principe qu’il ne suffit pas de donner une bonne pratique mais il est nécessaire aussi des
pistes d’implémentation, une manière d’implémenter, une aide, …d’où la présence d’un
tableau de synthèse à la fin de chaque objectif stratégique.
Entre les différents objectifs stratégiques, JOA comporte un ensemble de 144 bonnes
pratiques
Les bonnes pratiques redondantes
Parmi les bonnes pratiques, vous remarquerez que certaines bonnes pratiques sont
redondantes c'est-à-dire quelles sont utilisées au moins 2 fois de façon transverses dans
plusieurs domaines
Bonnes pratiques redondantes Objectifs stratégiques liés
Signature de la charte informatique par le
salarié
charte informatique
lois et conformité
gestion des ressources humaines
la gestion des actifs IT
permettre le télétravail Réguler l’usage de
l’email et d’Internet en Entreprise
Participer à des forums d’utilisateurs assure technico veille
maintenance des applications
Contrôler si des logiciels autres que ceux de
l’entreprise sont installés (logiciels pirates)
lois et conformité
la gestion des actifs IT
Se mettre à jour de ces licences lois et conformité
la gestion des actifs IT
Politique d'archivage de données lois et conformité
Protection des données
Mettre en place un système de surveillance
(proxy, filtres, …) et informer le personnel
lois et conformité
Réguler l’usage de l’email et d’Internet en
Entreprise
Recette Mise en production d’une solution
informatique
gérer les projets
Appliquer correctifs, patchs des éditeurs ou
fabricants
Maintenance d'une solution informatique
La gestion des nomades (ordinateurs et
téléphones portables)
Protection contre les logiciels malveillants
Se protéger contre le piratage informatique
Limiter la durée de connexion permettre le télétravail, Contrôle d’accès des Systèmes d’exploitation
Permettre un accès sécurisé depuis l’extérieur permettre le télétravail La gestion des nomades (ordinateurs et téléphones portables) Sécurité des accès réseaux
Identification et authentification La gestion des nomades (ordinateurs et
téléphones portables)
Contrôle d’accès des Systèmes d’exploitation
cryptage des données La gestion des nomades (ordinateurs et
www.referentiel-joa.com Page 11 sur 90
téléphones portables)
Sauvegarde La gestion des nomades (ordinateurs et
téléphones portables)
Protection contre les logiciels malveillants
Protection des données
Utiliser une solution contre les logiciels
malveillants
La gestion des nomades (ordinateurs et
téléphones portables)
Protection contre les logiciels malveillants
Changer les mots de passe par défaut La gestion des nomades (ordinateurs et
téléphones portables)
Communiquer et faire participer les parties
prenantes
Plan de continuité informatique
Gérer la communication
Définir une politique de mot de passe Sécurité des accès réseaux
Contrôle d’accès des Systèmes
d’exploitation, Se protéger contre le piratage
informatique
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
La base de connaissance JOA
Le référentiel JOA est un ensemble de bonnes pratiques qui sont nécessaires au management
et gouvernance SI.
Au fil de la lecture du référentiel, vous verrez que l’on parle « de mise à jour de la base de
connaissances JOA », pour avoir une et une base de données unique au lieu d’avoir une base
de données pour la gestion des actifs, une autre pour les incidents, ….
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
Par exemple, un utilisateur demande d’ouvrir un incident car son Pc fonctionne mal et
l’utilisation est difficile. Quand l’informaticien ouvre le ticket, il peut rattacher ce ticket à la
fiche du PC. En fin d’année, il est possible de connaître l’historique d’intervention sur un PC
ou encore établir des rapports détaillés et précis par machines.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Le référentiel JOA s’appuie notamment sur OCS Inventory/GLPI, Solution open-source de
gestion de parc informatique et de helpdesk
Pourquoi existe-t-il 2 versions du référentiel JOA?
En date du 10/08/2010, il existe 2 versions du référentiel JOA car il peut être utilisé par 2
catégories de personnes.
www.referentiel-joa.com Page 12 sur 90
Le premier référentiel, celui qui est détaillé comporte des références à d’autres référentiels
(ITIL, Cobït, ISO27002) car il se veut être un référentiel unique à partir de sources de
référentiels existantes avec une application adaptée pour les PME-PMI.
Certains utilisateurs du référentiel JOA peuvent trouver un intérêt pour aller plus loin dans la
démarche ou faire le lien avec d’autres référentiels.
Le second référentiel est le plus simple (il ne comporte pas le détail avec Cobit, ITIL,
ISO27002), il est destiné au public standard qui souhaitent juste mettre en place les meilleures
bonnes pratiques en terme de management et gouvernance du système d’information.
Conclusion
En date du 31 aout 2010, JOA est à sa version 1.10. Le référentiel va évoluer dans le temps en
terme de qualité, de réponses à des problématiques, … c’est pourquoi il faut régulièrement le
site www.reférentiel-joa.com pour se tenir informer des nouvelles autour de ce référentiel.
Grâce aux contributeurs, par leur nombre: ils apportent leurs dynamismes et leurs
connaissances pour permettre l'avancée du référentiel.
Les contributeurs visent à la réalisation d'un référentiel qui correspond à la demande des
petites et moyennes entreprises en management et gouvernance et systèmes d'information.
Bien sur, il y a des experts qui contribuent à l'approfondissement des bonnes pratiques mais il
y a également les utilisateurs qui remontent leurs difficultés, leurs remarques, ...
Tout un ensemble qui doit permettre à JOA de devenir un référentiel de référence
Je vous invite donc à contribuer au référentiel JOA en participant au forum sur ce même site
en nous faisant par de vos suggestions, critiques, …
www.referentiel-joa.com Page 13 sur 90
Gouverner le SI de la Direction des Systèmes d’information
Evaluer et Gérer les risques
La politique de sécurité du système d’information
Gérer le budget informatique
Alléger les coûts informatiques
Protéger l’e-réputation
Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus
Gérer les activités de support
Charte informatique
Gérer la communication
Assurer la veille technico-fonctionnelle
Gérer les ressources humaines
Le respect des lois et des règlements
Gérer les achats et les relations avec les fournisseurs
Faciliter et gérer l’exploitation au quotidien
Construire et Exploiter un service SI
Gestion de la base de connaissance
Gestion des actifs IT
Acquisition de solutions informatiques (applications, matériel, …)
Mise en production
Maintenance des applications et autres
Permettre, sécuriser le télétravail
Permettre et sécuriser les nomades
Gérer les changements
Gérer les projets
Gérer les problèmes
Assister les utilisateurs
Gérer la sécurité des Systèmes d’information
L’organisation de la sécurité de l’information
Plan de secours informatique
Se protéger contre les logiciels malveillants
Réguler l’usage d’Internet et de la messagerie
Contrôle d’accès des Systèmes d’exploitation
Protection des données et de l’information
Sécurité physique et environnementale
Sécuriser les accès réseaux
Se protéger des pirates informatiques (hacker)
www.referentiel-joa.com Page 14 sur 90
Gouverner le Système d’information de la DSI (GSI)
GSI1: Evaluer et Gérer les risques
GSI2: La politique de sécurité du système d’information (PSSI)
GSI3: Gérer le budget informatique
GSI4: Alléger les coûts informatiques
GSI5: Gérer sa e-réputation
GSI6: Mesurer la satisfaction des clients et/ou des utilisateurs, des services
rendus
www.referentiel-joa.com Page 15 sur 90
GSI1 Evaluer et Gérer les risques
Les activités des entreprises sont de plus en plus dépendantes des systèmes d’informations,
que ce soit au travers des applications, les infrastructures, ….
En conséquence, il nécessaire d’avoir une vigilance au niveau des risques en terme humain,
financier, organisationnel, technologique, …
La maîtrise des risques est une création de valeur pour l’entreprise en renforçant la confiance
qui entoure les décisions, protège les intérêts individuels et collectifs devient une exigence
croissante pour réduire l’effet de la complexité et de l’incertitude.
GSI1.1 Définir les activités fondamentales et critiques pour l’entreprise
Avant d’identifier les risques, il est fondamental de déterminer quelles sont les activités
fondamentales pour la bonne marche de l’entreprise.
GSI1.2 Etablir l’inventaire / le référentiel des risques (base de données des risques)
Il s'agit de considérer toutes les formes de risques (humain, financier, organisationnel,
technologique...) et de créer une base de données associée.
.
GSI1.3 Valoriser le risque
Il est déterminant de définir un classement rationnel car les risques n’ont pas tous le même
impact.
GSI1.4 Communiquer et faire participer les parties prenantes dans la gestion du risque
Tout au long de l’évaluation et la gestion des risques, il est nécessaire de communiquer avec
les propriétaires des activités fondamentales et des risques pour connaître leurs sentiments et
leurs points de vue dans un objectif de travail de collaboration.
GSI1.5 Définir les parades par un plan d’action
Pour définir correctement le plan d’action, il faut développer et tenir à jour un plan de réponse
contre le risque en cherchant à réduire en permanence l’exposition au risque. La réponse au
risque doit proposer des stratégies comme l’évitement, la réduction, le partage et
l’acceptation, l’assurance, la sous-traitance, …
Elle doit préciser les responsabilités associées et tenir compte du niveau d’appétence aux
risques.
www.referentiel-joa.com Page 16 sur 90
GSI1.6 Identifier les points critiques du risque
Les risques sont changeants. La probabilité et la criticité évoluent au fur et à mesure de
l'avancement du projet. Certaines phases du projet sont plus à risques que d'autres. Il faut les
identifier.
GSI1.7 Réviser la table des risques
La table des risques n'est pas statique. Il faut la réviser régulièrement....
GSI1.8 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Le référentiel JOA conseille notamment de s’appuyer notamment sur OCS Inventory/GLPI,
Solution open-source de gestion de parc informatique et de helpdesk.
Les bonnes pratiques
Bonnes Pratiques Mise en œuvre
Identifier les activités critiques pour
l’entreprise
Il existe plusieurs méthodes d’analyse de risques
comme Ebios, Mehari, …
http://cyberzoide.developpez.com/securite/methodes-
analyse-risques/#LB
Etablir un inventaire / référentiel des
risques
Valoriser le risque
Communiquer et faire participer les
parties prenantes
Définir les parades par un plan
d’action
Identifier les points critiques
Réviser la table du risque
Maintenir à jour la base de
connaissances JOA par rapport à cet
objectif stratégique
Maintenir une documentation des informations
relatives à cet objectif stratégique dans un logiciel
ITSM comme OCS inventory/GLPI
www.referentiel-joa.com Page 17 sur 90
GSI2 La politique de la sécurité du système d’information
La politique de sécurité des systèmes d'information (PSSI) est un plan d'action défini pour
maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de
l’entreprise en matière de sécurité des systèmes d'information (SSI).
La rédaction de la politique de sécurité du système d’information nécessite au préalable
une analyse de risques (il est conseillé d’utiliser la méthode EBIOS)
GSI2.1 Rédaction de la Politique de sécurité des systèmes d’information
La rédaction de la politique de sécurité des systèmes d’information permet d’être un
document référent au sein de l’organisation qui définit les exigences en termes de sécurité.
Elle constitue alors un véritable outil de communication sur l'organisation et les
responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir.
GSI2.2 Diffusion de la politique de sécurité des systèmes d’information aux parties prenantes
Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la
PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs,
exploitants, sous-traitants, prestataires …). Elle constitue alors un véritable outil de
communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens
disponibles pour s'en prémunir.
GSI2.3 Réviser la Politique de Sécurité des Systèmes d’Information
Dans le temps, les exigences en matière de sécurité évoluent, il est donc nécessaire de
maintenir la politique de sécurité des systèmes d’information
GSI2.4 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Le référentiel JOA conseille notamment de s’appuyer notamment sur OCS Inventory/GLPI,
Solution open-source de gestion de parc informatique et de helpdesk.
www.referentiel-joa.com Page 18 sur 90
Les bonnes pratiques
Bonnes Pratiques Mise en œuvre
Rédaction de la PSSI La méthode EBIOS permet d’obtenir une analyse de
risque qui aboutit sur la rédaction.
http://www.ssi.gouv.fr/IMG/pdf/ebiosv2-mp-pssi-
2004-11-10.pdf
Diffusion des documents aux parties
prenantes
Réviser la PSSI
Maintenir à jour la base de
connaissances JOA par rapport à cet
objectif stratégique
Maintenir une documentation des informations
relatives à cet objectif stratégique dans un logiciel
ITSM comme OCS inventory/GLPI
www.referentiel-joa.com Page 19 sur 90
GSI3 Gérer le budget informatique
Le budget informatique correspond à la production d’une prévision de la consommation
annuelle des ressources informatiques par les directions métier de l’entreprise, associé aux
prévisions de recettes provenant de ces mêmes clients et permettant d’équilibrer la balance
budgétaire.
Le budget permet en effet de vérifier que le financement prévu est suffisant pour assurer la
fourniture des services informatiques, mais également de contrôler que les dépenses ne
dépassent pas les prévisions.
GSI3.1 Définir les priorités du budget informatique
Définir les priorités dans l’attribution des ressources informatiques pour l’exploitation, les
projets et la maintenance, dans le but de maximiser la contribution des SI.
GSI3.2 Créer un budget informatique
Le budget informatique regroupe l’ensemble des dépenses courantes, d’investissement, qui
concerne les nouveaux projets et les achats en matériels, logiciels et prestations du service
Informatique.
Le budget est composé d’un ensemble de lignes recensant de manière exhaustive tous les
coûts générés par la fourniture des services informatiques durant la période budgétaire
(généralement annuelle).
GSI3.3 Suivre et Contrôler le budget informatique
L’objectif est de contrôler la consommation de ressources et de valider qu’elle correspond
bien aux prévisions
GSI3.4 Etablir une comptabilité des dépenses et des recettes
La comptabilité est un outil d'évaluation recensant et communiquant des informations sur
l'activité économique d'une entité économique ainsi que sur les éléments de son patrimoine
incorporel, matériel et financier.
Ces informations, généralement exprimées en unités monétaires, sont saisies, classées et
agrégées de manière à établir des documents de synthèse (bilan comptable, compte de
résultats, ...).
GSI3.5 Définir une politique de répartition des coûts informatiques
La répartition des dépenses du service informatique peut se faire par coût direct ou indirect.
La question que l’on peut se poser est : Comment répartir équitablement les coûts indirects
aux différents services qui consomment ?
www.referentiel-joa.com Page 20 sur 90
GSI3.6 Réviser le budget informatique
Certaines fois les prévisions du budget informatique ne correspondent pas à la réalité. Il faut
donc ajuster le budget informatique en cas d’événement exceptionnel.
GSI3.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Le référentiel JOA conseille notamment de s’appuyer notamment sur OCS Inventory/GLPI,
Solution open-source de gestion de parc informatique et de helpdesk.
Les bonnes pratiques
Bonnes pratiques Mise en œuvre
Définir les priorités du budget informatique Classifier l’ensemble et prioriser
Créer un budget informatique Etablir un document de synthèse
Suivi et Contrôler le budget informatique Suivre et Contrôler le budget informatique
Etablir une comptabilité des dépenses et des
recettes
Etablir une comptabilité des dépenses et des
recettes
Définir une politique de répartition des coûts Echanger avec la direction et les autres
responsables de service une politique
commune
Réviser le budget informatique Réviser le budget informatique
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 21 sur 90
GSI4 Alléger les coûts informatiques
L’informatique se décompose en plusieurs charges (coûts informatiques) c'est-à-dire les
consommables, les salaires, …
Alléger les coûts signifie avant tout à améliorer les rendements des applications et des
services existants.
Officieusement une direction ou un PDG, on attend d’un responsable informatique une
optimisation entre le ratio qualité et coût.
GSI4.1 réduire le papier, les dépenses d’énergies, « paraître vert »
Etre une entreprise citoyenne signifie réduire l’empreinte CO² du système d’information ; le
grand public dirait « être vert ». C’est ainsi réduire les consommations d’énergie, les déchets
et éviter les gaspillages.
Dans cet état d’esprit, il faut veiller :
- Avoir une culture d’entreprise de préférer les équipements moins énergétivores à
capacité de traitement égale
- Faire des campagnes anti-imprimantes par la dématérialisation
- Réduire le nombre de photocopieuses et quantités de copies
- Définir une impression par défaut recto verso
- Promouvoir les visioconférences et les téléconférences pour réduire le nombre de
besoins en déplacements professionnels
GSI4.2 Enlever les applications non utilisées et périmées
Les besoins d’une entreprise évoluent dans le temps, il est donc nécessaire de mettre en place
de nouveaux processus (nouvelles applications, …)
En parallèle d’autres processus deviennent obsolètes mais ils coûtent de l’argent en termes de
prise de capacité et de ressources comme de l’espace disque dur, du processeur, … C’est
pourquoi, il est donc nécessaire de désinstaller ce type de logiciel, matériel …qui sont non
utilisés. Ils dérangeant pour les utilisateurs et pour la bonne gestion des applications
GSI4.3 Recycler le matériel non utilisé
Au lieu de jeter du matériel, il est intéressant de recycler le matériel informatique pour des
nouveaux projets.
GSI4.4 Utiliser des services de mutualisation sécurisée
La mutualisation des services met en commun des moyens, équipements matériels via des
plateformes dédiés tel qu’Amazon services, google, …
www.referentiel-joa.com Page 22 sur 90
Ces plateformes utilisent la technologie « Cloud computing »
De cette manière, les entreprises ne sont plus propriétaires de leurs serveurs informatiques
mais peuvent ainsi accéder de manière évolutive à de nombreux services en ligne sans avoir à
gérer l'infrastructure sous-jacente, souvent complexe.
Les applications et les données ne se trouvent plus sur l'ordinateur local, mais un nuage
(« Cloud ») composé d'un certain nombre de serveurs distants interconnectés au moyen d'une
excellente bande passante indispensable à la fluidité du système. L'accès au service se fait par
une application standard facilement disponible, la plupart du temps un navigateur Web.
GSI4.5 La Virtualisation
La Virtualisation consiste à faire fonctionner sur un seul ordinateur plusieurs systèmes
d'exploitation comme s'ils fonctionnaient sur des ordinateurs distincts.
GSI4.6 Appel à la sous-traitance
Faute d’avoir le personnel en termes de nombre ou d’expertise, l’appel à la sous-traitance
permet une optimisation des coûts.
GSI4.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
réduire le papier, les dépenses d"énergie,
« paraître vert »
Donner une directive claire
Enlever les applications non utilisées et out
of version
Etablir un suivi des ressources informatiques
Recyclage du matériel non utilisé Identifier les besoins en ressource
informatique et possibilités de reconversion
La virtualisation
Utiliser des services mutualisés
Appel à la sous-traitance Choisir un fournisseur avec des compétences
identifiées
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 23 sur 90
GSI5 Protéger sa e-réputation
Aujourd’hui, avec l’avènement des médias dit 2.0, l’internaute est devenu acteur et peut créer,
organiser et diffuser son propre contenu. Donner son avis et transmettre au plus grand
nombre (les internautes du monde entier) n’est plus l’apanage des journalistes ou de
technophiles. Avec des outils de plus en plus simples et participatifs, chaque connecté au net
est un métier en puissance : il peut parler d’une société sur son blog, laisser des commentaires
sur un site d’actualités, participer à un wiki, réseau social donner son avis sur votre produit
sur une plateforme d’avis de consommateur, créer une fiche sur un réseau.
Si une entreprise, organisation ou collectivité a décidé de ne pas communiquer sur le net, ses
clients, usagers ou administrés peuvent s’en charger à sa place, de manière sincère, mu par le
marketing ou le militantisme.
On a souvent tendance à parler du net en négatif, plus rarement de ce qui fonctionne bien. Et
pourtant, l’Internet à travers ses stratégies de buzz et marketing viral fait maintenant partie
intégrante des plans de communication.
Un buzz orchestré par les agences ou leurs clients peuvent donc générer des retombées
positives. Mais cela peut-être aussi le cas spontanés ou l’entreprise, ses marques, ses produits,
sont valorisés naturellement par les internautes, sans avoir eu à dépenser un centime en
campagne de publicité.
GSI5.1 Déposer son nom de domaine Internet
Un nom de domaine permet à vos clients et vos prospects d’identifier votre entreprise sur
Internet
En réservant votre nom de domaine dès à présent, vous préservez le nom de votre entreprise
sur Internet
Vous vous protégez contre toute utilisation préjudiciable de votre nom : par exemple, une
entreprise concurrente pourrait réserver un nom de domaine correspondant à votre entreprise
ce qui pourrait vous porter préjudice.
GSI5.2 Créer son site Internet
La création d'un site Internet est devenue incontournable pour toute société. C'est un moyen
efficace, rapide et moderne de faire connaître votre entreprise à grande échelle. Il sera
également la vitrine de votre entreprise afin de trouver de nouveaux clients
Correctement réalisé, il sera votre carte de visite avec description de vos activités, photos et
tarifs de vos produits, vos coordonnées etc. ...
Il fera également gagner du temps à vos clients, futurs clients et fournisseurs. "Combien de
personnes consultent le web pour comparer les produits, effectuer de chez eux à toute heure
du jour comme de la nuit une recherche comparative avec rapport qualité/prix"
Quel meilleur outils publicitaire que le Web pour se faire connaître, annoncer en temps réel
www.referentiel-joa.com Page 24 sur 90
vos nouveaux produits, les offres promotionnelles. Moins cher et plus rapide que les dépliants
publicitaires qui envahissent nos boites à lettres et.... nos poubelles sans vraiment cibler la
clientèle intéressée
GSI5.3 Surveiller sa e-réputation
Les mots clés
Dans le domaine d’Internet, les mots clés (en anglais, keywords) sont des mots utilisés lors
des recherches d'informations sur les moteurs de recherche. Il s’agit souvent de mots relatifs
à l’environnement de l’entreprise telle que le nom de la société, nom du dirigeant de la
société, nom d’un produit, …
Il est donc primordial donc d’établir une liste de mots clés qui permettra de mieux trouver les
commentaires, articles liés à l’entreprise.
Une très grande diversité de sources mondiales
La maîtrise de la surveillance de nombreuses langues est essentielle. La toile est mondiale. Et
le développement des blogs implique qu’un consommateur peut parler à l’étranger dans
langue natale.
Automatiser les recherches en continu
Face à la problématique, un certain nombre d’éditeurs ont développés des solutions payante
ou gratuite de monitoring efficace et d’être alerté le cas échéant.
Google le leader mondial en terme de moteur de recherche, propose une solution d’alerte :
http://www.google.com/alerts
GSI5.4 Agir face à une crise
Lorsqu’il est trop tard pour prévenir les risques, il convient de mettre en place
immédiatement des actions pour gérer la crise et éviter un buzz médiatique négatif.
Il faudra jouer sur l’ouverture de dialogue :
- Contacter directement les internautes
- Engager le dialogue avec des blogueurs ou contributeurs de forum identifiés comme
influent et/ou experts
- Anticiper la crise en préparant un site officiel contre un buzz négatif
- Participer à des forums de discussions
GSI3.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
www.referentiel-joa.com Page 25 sur 90
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Bonnes pratiques
Bonnes Pratiques Mise en œuvre
Réserver et disposer d’un nom de domaine Réserver votre nom de domaine sur l’un des
nombreux dépositaires de nom de domaines:
www.gandi.net
www.eurodns.com
Création d’un site Internet Vous pouvez créer un site Internet à l’aide
d’un logiciel de création de site tel que Web
Easy Creator Pro ou directement en ligne
comme Sites de Google
Définir une solution de monitoring de sa e-
réputation
Surveillance avec une liste de mots clés
Surveillance multilingues de l’information
Etablir une veille Internet
Agir face à une crise - Contacter les internautes directement
- Engager le dialogue avec des
blogueurs ou contributeurs de forum
identifiés comme influent et/ou
experts
- Anticiper la crise en préparant un site
officiel contre un buzz négatif
- Participer à des forums de discussions
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 26 sur 90
GSI6 Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus
Dans une démarche qualité, une enquête de la satisfaction des utilisateurs finaux permet
d’établir un bilan du service fourni d’un point de vue de l’utilisateur en complément des
statistiques comme la disponibilité.
Il ne faut pas voir cela comme une sanction possible mais une démarche d’amélioration
continue des services.
GSI6.1 Définir des objectifs concrets pour une enquête de satisfaction
Il faut commencer par définir pourquoi on veut mettre en place cette enquête de satisfaction :
Évolution du système informatique, nouvelles applications, amélioration du niveau de support
etc.
GSI6.2 Élaborer le questionnaire
Avec des questions sur la qualité perçue et des questions concrètes comme les temps de
réponses.
GSI6.3 Diffuser et promouvoir l'enquête
Il faut que les utilisateurs soient sensibilisés au bien fondé de l’enquête de manière à ce qu’il
adhère et qu’ils y participent.
GSI6.4 Analyser, interpréter les résultats et développer la satisfaction des utilisateurs
Il faut partager avec la direction générale les résultats de l’enquête et les axes d’amélioration
identifiés ainsi que les actions associées.
GSI6.5 Communiquer les résultats de l’enquête aux utilisateurs :
Il est très important que les utilisateurs aient connaissances des résultats de l’enquête avec les
solutions mise en place pour améliorer la qualité de service. Cela leur donnera l’impression
d’avoir apporter leur pierre aux fonctionnements du système informatique.
www.referentiel-joa.com Page 27 sur 90
Les bonnes pratiques
Bonnes Pratiques Mise en œuvre
Définir des objectifs concrets Définir des objectifs concrets
Elaborer le questionnaire Elaborer le questionnaire
Diffuser et promouvoir l’enquête Diffuser et promouvoir l’enquête
Analyser, interpréter les résultats et
développer la satisfaction des utilisateurs
Analyser, interpréter les résultats et
développer la satisfaction des utilisateurs
Communiquer les résultats aux utilisateurs Communiquer les résultats aux utilisateurs
par mail, publication sur l’intranet, …
www.referentiel-joa.com Page 28 sur 90
Gérer les activités de support
GAS1 : Charte Informatique
GAS2 : Gérer la communication
GAS3 : Assurer la veille technico-fonctionnelle
GAS4 : Le respect des lois et des règlements
GAS5 : Gérer les achats et les relations avec les fournisseurs
GAS6 : Gérer les ressources humaines
GAS7 : Faciliter et gérer l’exploitation au quotidien
www.referentiel-joa.com Page 29 sur 90
GAS1 : Charte Informatique
La charte informatique est un document juridique à annexer au règlement intérieur de
l’entreprise et au contrat de travail. Elle décrit les règles d’utilisation du système
d’information et détaille les droits et les responsabilités des utilisateurs.
La charte informatique a un rôle double :
- Obtenir l’adhésion des utilisateurs au processus de sécurité informatique
- Assurer à l’entreprise le respect de ses obligations légales vis-à-vis des tiers
GAS1.1 Rédaction de la charte informatique
Avec le développement des nouvelles technologies de l’information et des communications
(NTIC), et constatant la place de plus en plus importante qu’elles prennent dans l’entreprise,
vous souhaitez élaborer une charte afin d’encadrer l’utilisation de ces technologies par les
salariés.
La charte informatique résume :
- les règles de l’usage des biens de l’entreprise à des fins professionnels uniquement
- la régulation de l’usage d’Internet et de la messagerie d’entreprise
- …
GAS1.2 Révision de la charte informatique
Les moyens de communication et les outils informatiques évoluent avec une extrême rapidité.
C'est pourquoi, pour suivre ces évolutions sans avoir à réécrire sa charte annuellement, il faut
rester le plus neutre possible technologiquement et ne pas viser un moyen de communication
particulier
GAS1.3 Validation de la charte informatique par une profession légale
La charte informatique devient un document juridique qui établit la relation entre l’entreprise
et les salariés.
Il est préférable que ce document soit validé par un expert légal, c'est-à-dire un avocat ou
homme de loi.
En outre, pour que les règles ne soient pas invalidées par d'autres textes juridiques, il faudra
prendre en compte non seulement le Code du travail, mais également la loi Informatique et
libertés de 1978 sur la protection des données à caractère personnel, les textes concernant les
élections électroniques et ceux sur la communication syndicale, voire, si nécessaire, l'accord
interprofessionnel sur le télétravail datant de juillet 2005.
Enfin, une veille juridique annuelle ou semestrielle permet de vérifier que la charte reste
d'actualité. Une jurisprudence importante nécessitera modification du document
www.referentiel-joa.com Page 30 sur 90
GAS1.4 Signature de la charte informatique par le salarié
La charte informatique prévoira également que l’accès aux ressources informatiques ne pourra
se faire qu’après acceptation des modalités convenues dans la charte, et que le non-respect des
dispositions de la charte engagera la responsabilité du salarié. Elle doit être signée par le
salarié en étant annexé au contrat de travail et règlement intérieur
GAS1.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Rédaction de la charte informatique Définir les règles de sécurité et de
l’utilisation des ressources informatique de la
société par les salariés
Révision de la charte informatique Réviser et apporter des améliorations à la
charte informatique
Validation de la charte informatique par une
profession légale
Travailler avec un avocat conseil pour ce
document juridique
Signature de la charte informatique par le
salarié
Travailler en collaboration avec les
ressources humaines pour annexer la charte
informatique au contrat de travail et
règlement intérieur
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 31 sur 90
GAS2 : Gérer la communication
La communication est l'action, le fait de communiquer, d'établir une relation avec autrui, de
transmettre quelque chose à quelqu'un, l'ensemble des moyens et techniques permettant la
diffusion d'un message auprès d'une audience plus ou moins vaste et hétérogène et l'action
pour quelqu'un, une entreprise d'informer et de promouvoir son activité auprès du public,
d'entretenir son image, par tout procédé médiatique.
GAS2.1 Favoriser les échanges par les outils électriques (intranet, …)
La pratique consiste à utiliser un ensemble de nouvelles technologiques de communications
dans le but de diffuser plus facilement et largement l’information.
Les technologies possibles sont :
- la messagerie
- l’intranet
GAS2.2 Diffuser les documents aux parties prenantes
Pour faciliter la prise de décision et l’utilisation, il est nécessaire de partager la connaissance.
GAS2.3 Etablir des feedbacks
Lors d’un processus de demande de collaboration avec des utilisateurs et/ou clients, il est
nécessaire de donner un feedbacks à ces derniers pour montrer l’importance de leur
participation. Le but de cette méthode est de renforcer la confiance mutuelle.
GAS2.4 Communiquer et faire partager les parties prenantes
Tout au long d’un processus, il est nécessaire de communiquer avec les parties prenantes pour
connaître leurs sentiments et leurs points de vue dans un objectif de travail de collaboration.
De plus, elle permet de se prémunir de rivalité et/ou désaccord futurs.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Favoriser les échanges par les outils
électroniques
Utilisation d’intranet, messagerie interne, …
Diffuser les documents pour jouer la
transparence
Pour faciliter la prise de décision et
l’utilisation, il est nécessaire de partager la
connaissance.
Etablir des feedbacks Diffuser les résultats des documents de
synthèse
Communiquer et faire partager les parties
prenantes
communiquer avec les parties prenantes pour
connaître leurs sentiments et leurs points de
vue dans un objectif de travail de
collaboration.
www.referentiel-joa.com Page 32 sur 90
GAS3 : Assurer la veille technico-fonctionnelle
La veille technologique et stratégique est un processus de mise à jour périodique de
l'information. Davantage qu'une simple recherche, la veille consiste à recueillir l'information,
à la synthétiser et à tirer des conclusions pouvant réorienter l'entreprise
GAS3.1 Participer à des forums d’utilisateurs
Au lieu de rester seul dans son coin face à des problématiques complexes, il est recommandé
que l’informaticien participe à des rencontres de groupes d’informations, des forums de
discussion pour acquérir de nouvelles compétences et se tenir à jours des nouveaux faits.
GAS3.2 Se former et suivre des formations
Le renouvellement des technologies est constant en informatique, c’est pourquoi il est
nécessaire que le personnel informatique suive des formations actualisées pour maintenir à
jour ses compétences.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Participer à des forums d’utilisateurs Utiliser les forums de discussion, participer à
des séminaires.
Se former et suivre des formations Suivre des formations
www.referentiel-joa.com Page 33 sur 90
GAS4 : Le respect des lois et des règlements
La conformité identifie, évalue, et contrôle le risque de non-conformité de l’entreprise par
rapport à son environnement.
GAS4.1 Assurer la conformité aux lois et règlements
Au sein d’un pays, un secteur d’activité, … une entreprise est régulée par un certain nombre
de lois, de règlements, normes.
Par exemple, le secteur de la finance est réglementé internationalement par la norme bale II
pour mieux appréhender les risques bancaires.
Au sein d’une entreprise, une personne doit prendre la responsabilité d’identifier, évaluer, et
contrôler le risque de non-conformité de l’établissement. Il doit aussi jouer un rôle de conseil
et d’information en devenant un référent interne (expert).
En cas de non-conformité, le risque de sanction judiciaire, administrative ou
disciplinaire, de perte financière significative, ou d’atteinte à la réputation est persuasif.
GAS4.2 Sensibiliser la protection de la propriété intellectuelle
La propriété intellectuelle est l'ensemble des droits exclusifs accordés sur les créations
intellectuelles. Sa première branche est la propriété littéraire et artistique, qui s'applique aux
œuvres de l'esprit, et est composée du droit d'auteur, du copyright et des droits voisins.
GAS4.3 Contrôler si des logiciels autres que ceux de l’entreprise sont installés (logiciels pirates)
D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et
conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels
concernant la protection de la propriété intellectuelle et du copyright.
L’entreprise peut être sanctionné si un logiciel est copié ou une licence est utilisée sur deux
postes au lieu d’un.
GAS4.4 Se mettre à jour de ces licences
D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et
conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels
concernant la protection de la propriété intellectuelle et du copyright.
L’entreprise achète des licences pour des logiciels à son usage interne exclusif et en
conformité aux conditions générales comme une licence Windows par poste, …
D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et
conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels
concernant la protection de la propriété intellectuelle et du copyright.
www.referentiel-joa.com Page 34 sur 90
L’entreprise peut être sanctionné si un logiciel est copié ou une licence est utilisée sur deux
postes au lieu d’un.
GAS4.5 Archivage de données
Certaines réglementations imposent des obligations légales en matière de gestion fiscale,
comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes
des documents contenant des données à caractère personnel.
Dans ce cas, les entreprises ont l’obligation, au regard de la réglementation applicable,
d’archiver nombre d’informations très détaillées sur leur activité passée, en particulier au sujet
des opérations effectuées avec leurs clients, fournisseurs ou salariés.
GAS4.6 Protection de la vie privée
La plupart des salariés travaillant dans des bureaux ont un accès Internet et ainsi l’usage d’un
ordinateur attribué lui permettant aussi bien de stocker des informations à caractère
professionnel, que des informations à caractère personnel. Le problème qui se pose est alors
de savoir quelles sont les limites à cette utilisation de l’ordinateur à des fins personnels par le
salarié, et que peut faire l’employeur afin d’éviter les abus
L’entreprise doit respecter le secret des correspondances, et plus généralement des
informations personnelles du salarié contenues dans l’ordinateur, relèvent du droit au respect
de la vie privée.
GAS4.7 Logiciel de filtrage (Internet Engineering Management)
Pour éviter les abus, les entreprises peuvent mettre en place des systèmes de surveillance et en
informer les salariés. A l’aide d’outil spécialisé comme un proxy, … il n’est pas interdit de
faire de l’Enterprise Internet Management pour réguler l’usage d’Internet des salariés. (sites
de liens sociaux comme facebook, consultations de sites commerciaux à risques)
Dans le cadre du contrat de travail ou de la charte informatique interne, l’entreprise doit
spécifier que l’outil informatique ne doit être utilisé qu’à des fins professionnelles et non
privé.
Sécuriser la navigation, c'est le domaine des logiciels dits de "filtrage d'url". Leur rôle est de
réguler l'usage du Web en interdisant l'accès à des sites sans lien direct avec l'activité
professionnelle des salariés. Ils s'appuient sur deux procédés de filtrage :
» L'existence d'une base, élaborée par l'éditeur, recensant les adresses des sites interdits
("black list") classés par catégories (sexe, jeux, guerre, drogue...) et mise à jour le plus
souvent quotidiennement.»
L'analyse du contenu des pages des sites visités et des mots qui servent à les trouver dans les
moteurs de recherche en mêlant des méthodes heuristiques et sémantiques. Cela permet de
s'assurer qu'ils sont compatibles avec la politique de régulation définie par l'entreprise, même
s'ils ne figurent pas dans la "black-list".
www.referentiel-joa.com Page 35 sur 90
Ces outils offrent des possibilités de paramétrage plus ou moins poussées : par individus,
groupes d'utilisateurs, créneaux horaires, voire quotas de téléchargement. De quoi instaurer un
contrôle très fin de la navigation.
Ce type de produits est commercialisé par des éditeurs comme ISS, Secure Computing, Surf
Control, Websense… pour ne citer qu'eux.
Il existe aussi des versions prenant en compte le filtrage des emails
GAS4.8Signature de la charte informatique par le salarié
La charte informatique prévoira également que l’accès aux ressources informatiques ne pourra
se faire qu’après acceptation des modalités convenues dans la charte, et que le non-respect des
dispositions de la charte engagera la responsabilité du salarié. Elle doit être signée par le
salarié en étant annexé au contrat de travail et règlement intérieur
GAS4.9 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Un responsable s’assure que la conception,
l’utilisation et la gestion du système
d’information sont conformes au droit
applicable
En France, la CNIL a créé le statut de
« correspondant informatique et libertés »
pour :
- appliquer la loi
- alléger les formalités
http://www.cnil.fr/la-cnil/nos-
relais/correspondants/pourquoi-designer-un-
cil/
Sensibiliser le personnel au sujet de la
propriété intellectuelle et copyright
Etablir une notification dans le contrat de
travail
Effectuer une sensibilisation écrite et orale
Se mettre à jour de ces licences Faire les désinstallations de logiciels
nécessaires sur les postes de travail en cas de
non-conformités
Acheter des licences si nécessaires
Etablir un Inventaire de son patrimoine
applicatif et des licences
Utiliser un logiciel d’inventorisation
automatique des logiciels par postes et des
licences :
- Ocs.inventory,
http://www.ocsinventory-
ng.org/index.php?page=french
- GLPI http://www.glpi-project.org/
www.referentiel-joa.com Page 36 sur 90
Information de l’usage informatique
contractuelle avec le salarié
Spécifier dans le contrat de travail ou charte
informatique, l’outil informatique ne doit être
utilisé qu’à des fins professionnels et non
privé.
Mettre en place un système de surveillance
(proxy, filtres, …) et informer le personnel
Utilisation d’un logiciel EIM comme
websense enterprise, …
Respect de la correspondance privée dans le
cadre de législation, …
Etablir une directive formelle des données
informatique pour l’archivage ou la
destruction
Choisir les informations qui :
- peuvent être détruites directement ?
- doivent être archivées et combien de
temps conservées ?
Certaines données peuvent être
réglementées : http://www.legifrance.gouv.fr
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 37 sur 90
GAS5 : Gérer les achats et les relations avec les fournisseurs
Une entreprise et ses fournisseurs sont interdépendants et des relations mutuellement
bénéfiques doivent se tisser pour que la confiance puisse régner entre eux.
GAS5.1 Définir une liste de fournisseurs référencés
Face aux sollicitations, il est important de définir une liste de fournisseurs de services qui
correspondent à des critères demandés par la direction, le service informatique comme la
qualité, le coût pour une politique transparente.
Pour qu’un nouveau fournisseur soit référencé, il devra se conformer aux demandes de
l’entreprise.
GAS5.2 Procédure de sécurité autour des fournisseurs
Une politique de sécurité pour les fournisseurs doit être mis en place par :
- élaboration d’une clause de confidentialité
- un suivi et gestion des droits d’accès
- Traçabilité de toutes actions
GSA5.3 Définir des contrats de services avec SLA
Etablir un SLA se résume à la formalisation d’un accord négocié entre deux parties
(l’entreprise et le fournisseur). C’est un contrat entre clients et fournisseurs, ou entre
fournisseurs. Il met par écrit, l’attente des parties au niveau des services, priorités,
responsabilités, garanties, et donc au final de ce que l’on pourrait définir comme le « niveau
de service ».
Par exemple, il peut permettre de spécifier les niveaux de disponibilité, de service, de
performance, d’opération ou de tout autre attribut du service en question, tel que la facturation
voire les pénalités (financières ou autres) en cas de manquement au SLA.
GSA5.4 Etablir un référentiel des services fournis par des services tiers
L’ensemble des services d’un tiers doit être consignés inévitablement dans un référentiel.
GSI5.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
www.referentiel-joa.com Page 38 sur 90
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Définir une liste de fournisseurs référencés Définir des critères de choix pour définir une
liste de fournisseurs « référencés »
Procédure de sécurité autour des fournisseurs Définir une procédure de sécurité autour des
fournisseurs :
- clause de confidentialité
- …
Définir des contrats de services avec SLA Définir des contrats de services avec SLA
Etablir un référentiel des services fournis par
des services tiers
Etablir un référentiel des services fournis par
des services tiers
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 39 sur 90
GAS6 : Gérer les ressources humaines
Il donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant
l’implication des Ressources Humaines dans le management informatique.
GAS6.1 Signature de la charte informatique
Pour certaines PME, l’information représente leurs « fonds de commerces » comme le fichier
clients, les résultats de R et D, …
C’est pourquoi, il est nécessaire de s’assurer de la bonne « mœurs » des personnes critiques.
D’un coté, il faut que la Direction des Ressources Humaines vérifie la solvabilité et le casier
judiciaire des personnes potentiellement recrutées.
Dans le processus de recrutement, elle doit :
- faire signer un engagement de confidentialité
- faire une clause de non concurrence
- faire signer le respect de la charte informatique
-
GAS6.2 Une collaboration RH et informaticien
Il est fondamentale pour la sécurité informatique que la Direction des Ressources Humaines
travaille dans la main avec l’informaticien pour :
- établir des compagnes de sensibilisation de la sécurité informatique
- définir les actions à engager en cas de non respect de la charte informatique interne
GAS6.3 Définir et appliquer une procédure de départ d’un salarié
La fin d’un contrat d’un salarié est un risque majeur d’autant plus si elle se fait dans de
mauvais terme.
Il faut donc que l’entreprise doit encadrée à l’aide de procédure dont :
- la restitution du matériel de la société
- révocation des droits de l’utilisateur d’accès logiques et physiques
- communication discrète en amont entre la direction des ressources humaines et
informatique pour prendre des dispositions
GAS6.4 former un binôme
L’informatique est devenue au fil du temps, l’un des piliers de la bonne marche de
l’entreprise. Malheureusement quand il y a un seul informaticien, le risque est élevé lorsqu’il
est en vacances ou malade.
Il est donc conseiller de former une seconde personne à l’exploitation de l’informatique de
l’entreprise.
www.referentiel-joa.com Page 40 sur 90
GAS6.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Bonnes pratiques Mise en œuvre
Signature de la charte informatique Annexer ce document au contrat de travail et
règlement intérieur
Une collaboration RH et informaticien Travail de collaboration
Départ d’un salarié Définir une procédure de départ d’un salarié
former un binôme Définir un binôme qui deviendra compétent
en cas d’indisponibilité du titulaire.
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 41 sur 90
GAS7 : Faciliter et gérer l’exploitation au quotidien
Faute de moyens humains, il est préférable que l’informaticien s’organise afin de se faciliter
la gestion de l’exploitation informatique au quotidien.
GAS7.1 Système de supervision de l’infrastructure
La supervision réseau porte sur la surveillance de manière continue de la disponibilité des
services en ligne - du fonctionnement, des débits, de la sécurité mais également du contrôle
des flux. D’un autre coté, la supervision des applications (ou supervision applicative) permet
de connaître la disponibilité des machines en termes de services rendus en testant les
applications hébergées par les serveurs.
Le processus de supervision permet d’envoyer une alerte sur une messagerie ou sur téléphone
portable en cas d’anomalie, dysfonctionnement.
La supervision renforce la réactivité.
GAS7.2 Planification de maintenance préventive
La maintenance préventive consiste à changer une pièce avant qu'elle ne tombe en panne.
Cette maintenance préventive passe par l'utilisation des logiciels de test, de diagnostic, voire
d'auto-diag, ainsi que la connaissance poussée des modes de fonctionnement des ordinateurs...
GAS7.3 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Bonnes pratiques Mise en œuvre
Système de supervision de l’infrastructure Alerte en cas de dysfonctionnement
Planification de maintenance préventive Prévoir des « fenêtres de maintenance »
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 42 sur 90
Construire et Exploiter un service SI
CES1 : Assister les utilisateurs
CES2 : Gestion des actifs IT
CES3 : Acquisition d’une solution informatique
CES4 : mise en production d’une solution informatique
CES5 : Maintenance d’une solution informatique
CES6 : Permettre et sécuriser le télétravail
CES7 : Gérer et sécuriser les nomades
CES8 : Gérer les changements
CES9 : Gérer les projets
CES10 : Gérer les problèmes
www.referentiel-joa.com Page 43 sur 90
CES1 Assister les utilisateurs
Même si le service informatique aura toujours la volonté de fournir la meilleure qualité de
service, l’incident n’est pas inévitable.
Il existera toujours un événement imprévisible dont on définira comme un « incident » qui
provoquera une interruption ou une baisse de la qualité de service.
Cependant, une gestion des incidents doit permettre :
- une réactivité de la part du service informatique
- capitaliser le savoir en cas de répétition d’un même incident
- prévenir d’un incident mineur avant qu’il ne devienne majeur
CES1.1 Création d’un point unique de contact (SPOC), hotline
Le centre d’appel unique permet aux utilisateurs d’accéder au support informatique par un
point de contact unique.
Il est possible de l’implémenter en mettant en place soit :
- un numéro de téléphone unique
- un email comme [email protected]
Nous le verrons plus tard que le mail est fortement conseillé dans le cadre d’une petite et
moyenne entreprise.
CES1.2 Création d’un système d’enregistrement de tickets
Lors de la prise de contact d’un utilisateur avec le SPOC, la première étape doit consister à
créer un ticket pour garder une traçabilité de l’appel, du mail, …
Pour mettre en place un système de ticket, il est nécessaire de mettre en place un logiciel
spécialisé tel que GLPI (http://www.glpi-project.org/ , produit gratuit et opensource)
Le ticket doit comporter un certain nombre d’informations : un numéro unique de ticket, le
type de ticket (incident, problème, demande de service, demande d’information, alerte)
CE1.3 Classification
Un incident concerne une personne, un matériel, … il faut donc définir des catégories par type
de service, de matériel, …
L’attribution d’un incident à une classification peut permettre de détecter des
dysfonctionnements récurrents ou des comportements de personnes anormaux comme par
exemple:
- l’utilisateur du pc avec la référence 2002 tombe en panne 4 fois par semaine, peut être
qu’il y a un problème et non un incident
=>Le directeur des opérations appelle toutes les 5 minutes
www.referentiel-joa.com Page 44 sur 90
CES1.4 Favoriser le suivi des incidents pour les utilisateurs
Lors du choix du logiciel gérant la notion de tickets, il faut s’assurer qu’il existe un moyen
pour l’utilisateur d’avoir un suivi du ticket sans avoir nécessairement besoin d’appeler
le helpdesk
En contrepartie, l’informaticien doit s’engager à mettre à jour les tickets des qu’il y a un
événement nouveau.
A défaut de cette possibilité, il faut offrir la possibilité à l’utilisateur d’appeler le support
informatique mais il s’agirait d’appels pouvant surcharger le support informatique.
CES1.5 Définir des règles de priorisation
Devant une multitude de requêtes d’assistance, il est nécessaire de définir des règles de
priorisation d’incidents.
Par exemple, vous pouvez établir l’une des règles suivantes :
- Premier arrivé, Premier traité
- Requêtes par le niveau hiérarchique du demandeur
- Nombre d’utilisateur potentiellement impacté
CES1.6 Investigation et diagnostic
Le service informatique va questionner l’utilisateur et une base de connaissance des incidents
pour tenter d’établir un diagnostic et trouver la solution à l’incident.
L’ensemble des actions menées doivent être enregistré dans le ticket incident pour garder un
historique.
CES1.7 Escalade ou une demande aide extérieure
Selon les petites et moyennes entreprises, nous rencontrons deux cas possibles.
Premièrement, certaines entreprises feront appel à des sociétés spécialisées en ingénierie
informatique pour prendre en charge les incidents les plus compliqués. Elle escalade donc
l’incident à une société extérieure.
Faute de moyens, la deuxième catégorie doit se débrouiller par elle-même en faisant appel aux
forums d’utilisateurs sur Internet, réseaux de connaissances, …
CES1.8 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
www.referentiel-joa.com Page 45 sur 90
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
La base de connaissance doit permettre le partage entre tous les informaticiens du service
informatique pour s’entraider à résoudre des incidents, …
C’est pourquoi, elle doit être mise à jour en cas d’incident « nouveau » qui n’est pas renseigné
sous la forme d’une RFC (Request for Change), procédure, …
CES1.9 Clôture de l’incident
Lors de résolution d’un incident, il est important de s’assurer de cet état avec l’utilisateur pour
lui expliquer la source et la solution apportée.
Idéalement, l’incident doit être clos par l’utilisateur pour donner/promouvoir son approbation.
Cependant, il est conseillé de donner une date limite d’appréciation de l’incident à l’utilisateur
afin de le limiter le nombre de tickets ouverts.
CES1.10 Statistiques du centre d’appels
Idéalement le logiciel retenu doit permettre d’éditer des statistiques pour connaître le niveau
d’activité du support informatique.
D’ailleurs, elles doivent être communiquées à la direction régulièrement pour savoir s’il est
nécessaire d’embaucher une personne supplément voir d’externaliser toute ou une partie du
support informatique pour gagner en réactivité.
En cas d’externalisation, vous pourriez exiger des niveaux de services (SLA)
Les statistiques permettent donc notamment de détecter les forces et faiblesses à l’aide d’une
petite analyse.
CES1.11 Communiquer vers les utilisateurs (parties prenantes)
Le support informatique est un canal import pour la communication avec les utilisateurs, il ne
s’agit pas uniquement de répondre à des utilisateurs qui en font la demande.
C’est pourquoi, il est recommandé de faire régulièrement des communications vers les
utilisateurs pour les informer :
- de la manière de demander assistance au support informatique
- de règles générales de sécurité
- d’aide générale pour utiliser un nouveau logiciel
- …
Le support informatique ne doit pas rester « dans sa tour d’ivoire », il doit utiliser les moyens
informatiques pour communiquer vers les utilisateurs de l’aide du mail.
www.referentiel-joa.com Page 46 sur 90
D’ailleurs, il est recommandé de créer des listes de distributions pour faciliter l’envoi de mails
aux utilisateurs. Cette méthode consiste à créer un email dont plusieurs utilisateurs associés.
Au lieu d’envoyer le mail à tous les utilisateurs nominativement, il est plus simple d’envoyer
à une adresse unique afin que tous les utilisateurs concernés reçoivent
Les bonnes pratiques
Bonnes Pratiques Mise en œuvre
Création d’un point unique de contact
(SPOC), hotline
Email ou Numéro de téléphone unique
Création d’un système d’enregistrement de
tickets
Utilisation d’un logiciel de service desk
Classification des tickets Catégoriser les tickets
Favoriser le suivi des incidents pour les
utilisateurs
Définir des règles de priorisation Devant une multitude de requêtes
d’assistance, il est nécessaire de définir des
règles de prioritaire d’incidents.
Investigation et diagnostic
Escalade ou une demande aide extérieure
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
Clôture d’incident Lors de résolution d’un incident, il est
important de s’assurer de cet état avec
l’utilisateur pour lui expliquer la source et la
solution apportée.
Idéalement, l’incident doit être clos par
l’utilisateur pour donner/promouvoir son
approbation.
Cependant, il est conseillé de donner une
date limite d’appréciation de l’incident à
l’utilisateur afin de le limiter le nombre de
tickets ouverts.
Statistiques du centre d’appels éditer des statistiques pour connaître le
niveau d’activité du support informatique.
Communiquer vers les utilisateurs faire régulièrement des communications vers
les utilisateurs pour les informer :
- de la manière de demander assistance
au support informatique
- de règles générales de sécurité
- d’aide générale pour utiliser un
nouveau logiciel
www.referentiel-joa.com Page 47 sur 90
CES2 La gestion des actifs (IT Asset Management) et des ressources informatiques
La gestion des actifs est essentielle, tant en terme financier qu’en terme opérationnel. En effet,
une gestion qualifiée de stratégique permet de limiter les risques liés à la conformité et à la
sécurité, de réduire les coûts, d’augmenter la réactivité et la capacité d’adaptation au
changement et ainsi d’obtenir une meilleure satisfaction client.
CES2 1 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Il est important de constituer une base de données centralisée et mettre en place un outil pour
recenser toutes les informations qui concernent les éléments de configuration. Surveiller et
enregistrer tous les actifs et les changements qui y sont apportés. Pour chaque système tenir à
jour une base des composants de sa configuration pour pouvoir s’y référer après une
modification.
En outre cette base de données centralisée permet d’effectuer des requêtes pour répondre à
des problématiques données :
- les logiciels ont-ils tous une licence d’acquisition ?
- qui est l’utilisateur actuel de tel matériel ?
- quelle est la capacité de mémoire vive du pc portable de l’utilisateur ?
- identifier le matériel en stock
- …
Malheureusement, certaines informations critiques devront être saisies manuellement
comme :
- la durée de garantie
- le prestataire
CES2.2 Définir un statut du matériel
Définir un statut du bien appartenant à la société comme en prêt, en stock, ….
CES2.3 Contrôler si des logiciels autres que ceux de l’entreprise sont installés (logiciels pirates)
D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et
conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels
concernant la protection de la propriété intellectuelle et du copyright.
L’entreprise peut être sanctionné si un logiciel est copié ou une licence est utilisée sur deux
postes au lieu d’un.
CES2.4 Se mettre à jour de ces licences
D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et
conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels
concernant la protection de la propriété intellectuelle et du copyright.
www.referentiel-joa.com Page 48 sur 90
CES2.5 Signature de la charte informatique par les salariés
La bonne pratique consiste à intégrer dans la charte informatique une partie de l’utilisation
Internet contenant les clauses suivantes :
- l’employé ne doit pas compromettre l’entreprise par de la diffamation, du harcèlement,
…
- la procédure en cas de mail douteux tels qu’une pièce jointe, …
- utiliser les dispositifs de sécurité de la société en mode active (antivirus, …)
- informer des règles de sécurité telle que la taille maximale de pièce jointe, de la
messagerie, …
- l’email ne peut pas être utilisé à des fins personnelles telles que des communications
privées, des achats, …
Cette charte devra être diffusée largement pour sensibiliser :
- annexé au contrat de travail
- inclus dans le règlement intérieur
- signé par les salariés
- rappel périodique
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Créer un inventaire automatique (et remplir
manuellement d’autres informations) des
actifs informatiques (Matériels, logiciels,
licences, …) qui peuvent être classés par
utilisateurs, éléments, …
Utiliser un logiciel d’inventorisation
automatique du matériel, des logiciels et des
licences :
- OCS
- GLPI
Définir un statut du matériel, logiciel (en
prêt, retiré, …)
Définir plusieurs statuts possibles des actifs
(Déployé, matériel de secours, en prêt, …)
Contrôler si des logiciels autres que ceux de
l’entreprise sont installés (logiciels pirates)
Faire les désinstallations de logiciels
nécessaires sur les postes de travail en cas de
non-conformités
Se mettre à jour de ces licences Faire des désinstallations de logiciels
nécessaires sur les postes de travail en cas
non-conformités.
Acheter des licences supplémentaires si
nécessaires.
Signature de la charte informatique par les
salariés
Spécifier dans le contrat de travail et/ou la
charte informatique, l’outil informatique doit
être utilisé à des fins professionnels et non
privé.
www.referentiel-joa.com Page 49 sur 90
CES3 Acquisition d’une solution informatique (application, …)
L’acquisition d’une solution informatique représente un investissement qui nécessite d’y
consacrer du temps et un processus d’acquisition strict.
CES3.1Définition du besoin d’une solution informatique
Un nouveau besoin impose une analyse avant achat ou création en établissant la définition des
besoins, la prise en compte de sources alternatives, l’analyse de la faisabilité technique et
économique
CES3.2 Choix d’un fournisseur référencé
Face aux sollicitations, il est important de définir une liste de fournisseurs de services qui
correspondent à des critères demandés par la direction, le service informatique comme la
qualité, le coût pour une politique transparente.
Pour qu’un nouveau fournisseur soit référencé, il devra se conformer aux demandes de
l’entreprise.
CES3.3 Tests du matériel dans un environnement dédié
Avant d’établir un achat, il est recommandé de tester le matériel en dehors de la production
pour déterminer s’il répond aux besoins définis.
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Définition du besoin Un nouveau besoin impose une analyse avant
achat ou création en établissant la définition
des besoins, la prise en compte de sources
alternatives, l’analyse de la faisabilité
technique et économique
Choix d’un fournisseur référencé Face aux sollicitations, il est important de
définir une liste de fournisseurs de services
qui correspondent à des critères demandés
par la direction, le service informatique
comme la qualité, le coût pour une politique
transparente.
Pour qu’un nouveau fournisseur soit
référencé, il devra se conformer aux
demandes de l’entreprise.
Tests du matériel dans un environnement Avant d’établir un achat, il est recommandé
www.referentiel-joa.com Page 50 sur 90
dédié de tester le matériel en dehors de la
production pour déterminer s’il répond aux
besoins définis.
www.referentiel-joa.com Page 51 sur 90
CES4 Mise en production d’une solution informatique
La gestion des mises en production, c’est avoir une vue complète et totale d’un changement
apporté à un service et s’assurer que tous les aspects d’une nouvelle version matérielle et
logicielle aussi bien technique que non technique soient pris en considération
CES4.1 Plan de test
Il est recommandé de tester le matériel en dehors de la production pour déterminer s’il répond
aux besoins définis et définir l’impact
CES4.2 Plan d’implémentation
Définir un plan de mise en production et prévenir la possibilité d’un retour en arrière si
nécessaire.
CES4.3 Conversion des systèmes et des données
Une nouvelle solution peut déterminer la migration de données et des systèmes
CES4.4 Mise en production
La mise en production détermine le début de l'utilisation du programme sur des données
réelles, pour réalisation d'un travail effectif, tout ce qui a précédé n'étant que des simulations.
CES4.5 Recettes
La recette vérifie que la mise en production est conforme aux besoins formulés
CES4.6 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
www.referentiel-joa.com Page 52 sur 90
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Plan de test tester le matériel en dehors de la production
pour déterminer s’il répond aux besoins
définis et définir l’impact
Plan d’implémentation Définir un plan de mise en production et
prévenir la possibilité d’un retour en arrière
si nécessaire.
Conversion des systèmes et des données Une nouvelle solution peut déterminer la
migration de données et des systèmes
Mise en production La mise en production détermine le début de
l'utilisation du programme sur des données
réelles, pour réalisation d'un travail effectif,
tout ce qui a précédé n'étant que des
simulations.
Recettes La recette vérifie que la mise en production
est conforme aux besoins formulés
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 53 sur 90
CES5 Maintenance d’une solution informatique
Pour maintenir une optimisation et un rendement des investissements, il est nécessaire
d’établir une maintenance des solutions informatiques misent en production.
CES5.1 Participer à des forums d’utilisateurs
Le Responsable informatique doit établir une vieille technologique en participant à des
groupes d’utilisateurs comme le clusif, forums, lecture de livre …
Cette démarche est utile pour établir un réseau utile en cas de problèmes.
CES5.2 Etablir un test des correctifs et mise à jour
Avant d’installer directement les correctifs et les patchs de sécuriser, l’informaticien doit
tester dans un environnement dédié.
CES5.3 Appliquer correctifs, patchs des éditeurs ou fabricants
Les pirates informatiques profitent des vulnérabilités (failles de sécurité) pour arriver à leurs
fins. En conséquence, le système et le réseau informatique doit être régulièrement à jour pour
être la victime de failles connues.
C'est-à-dire qu’il faut utiliser les patches des éditeurs et des fabricants pour les ressources
informatiques.
CES5.4 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
www.referentiel-joa.com Page 54 sur 90
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Participer à des forums d’utilisateurs établir une vieille technologique en
participant à des groupes d’utilisateurs
comme le clusif, forums, lecture de livre …
Etablir un test des correctifs et mise à jour
Appliquer correctifs
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 55 sur 90
CES6 Permettre le télétravail
Porté par le développement des nouvelles technologies, le télétravail devait être l'un des
phénomènes majeurs de ce début de siècle. La réalité est différente avec, aujourd'hui, à peine
7,5 % de la population active plus ou moins concernée par ce mode de travail. Mais les
entreprises se piquent enfin au jeu selon le journal officiel du net.
Le télétravail désigne de manière générale toutes les formes de « travail à distance », c'est-à-
dire les formes d'organisation et/ou de réalisation du travail rendues possibles hors de la
classique unité de temps et de lieu, par les moyens de télécommunication et l'Internet dans le
cadre d'une prestation de service ou d'une relation d'emploi contractualisée.
CES6.1 Signature de la charte informatique
La charte informatique prévoira également que l’accès aux ressources informatiques ne pourra
se faire qu’après acceptation des modalités convenues dans la charte, et que le non-respect des
dispositions de la charte engagera la responsabilité du salarié. Elle doit être signée par le
salarié en étant annexé au contrat de travail et règlement intérieur.
CES6.2 Sécurité physique du site du télétravailleur
Une question essentielle à examiner, pour les télétravailleurs, est la sécurité physique du site.
L'organisation devrait se pencher sur la sécurité physique du bâtiment proposé
(Généralement une maison) et aussi prendre en compte la sécurité des environs
région.
L'environnement du télétravail dans le bâtiment devrait également être
pris en compte: est-il un bureau séparé ou il est dans une zone commune?
Les exigences en communications devraient être évaluée, ce qui devrait prendre en compte
les informations classification, la technologie sous-jacente de liaison et de la sensibilité des
le système auquel elle est liée. Enfin, la menace d'accès non autorisé aux
installations (y compris de la famille et amis) devrait également être évaluée.
Il ya un certain nombre de contrôles qui pourraient être envisagées et qui devraient être
inclus dans la politique de télétravail. Comme avec la politique de travail mobile, les
télétravailleurs ne devraient pas être autorisés à commencer l'activité jusqu'à ce qu'ils soient
de façon satisfaisante formés.
CES6.3 Fournitures du matériel par la société
Il faudra envisager la fourniture du matériel par l’entreprise : d'imprimantes, fichiers, les
lecteurs de périphériques et équipements de sécurité tels que des écrans anti-éblouissement,
du poignet
www.referentiel-joa.com Page 56 sur 90
CES6.4 Limiter la durée de connexion
Pour protéger des applications à haut risque, il est indispensable de restreindre l’accès à des
horaires uniquement de travail pour renforcer la sécurité.
De plus, il est bon de restreindre la durée de connexion à une application pour éviter de
surcharger une application et gagner en performance.
Les travaux autorisés doivent être définis, y compris les heures de travail et de la
classification des informations qui peuvent être tenues à, ou accessibles à partir de
l'emplacement.
CES6.5 Permettre un accès sécurisé depuis l’extérieur
L’accès à distance au réseau principal de l’entreprise doit se faire de manière sécuriser avec
l’usage d’un VPN, extranet, …
CES6.6 Utilisation à des fins professionnels
Le matériel professionnel doit rester à des fins professionnels, c’est pourquoi il faut
sensibiliser le salarié que l’entourage ne doit pas utiliser …
CES6.7 Vérifier la conformité régulièrement
Le risque d’un site décentralisé est majeur, il faut donc s’assurer de la conformité de
l’utilisation et de l’installation du télétravailleur.
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Signature de la charte informatique Elle doit être signée par le salarié en étant
annexé au contrat de travail et règlement
intérieur.
Sécurité physique du site L'environnement du télétravail dans le
bâtiment devrait également être
pris en compte: est-il un bureau séparé ou il
est dans une zone commune
Fournitures du matériel par la société C’est à l’entreprise de fournir l’ensemble du
matériel nécessaire. .
Limiter la durée de connexion Pour protéger des applications à haut risque,
il est indispensable de restreindre l’accès à
des horaires uniquement de travail pour
renforcer la sécurité.
Permettre un accès sécurisé depuis L’accès à distance au réseau principal de
www.referentiel-joa.com Page 57 sur 90
l’extérieur l’entreprise doit se faire de manière sécuriser
avec l’usage d’un VPN, extranet, …
Utilisation à des fins professionnels Le matériel professionnel doit rester à des
fins professionnels, c’est pourquoi il faut
sensibiliser le salarié que l’entourage ne doit
pas utiliser …
Vérifier la conformité régulièrement Le risque d’un site décentralisé est majeur, il
faut donc s’assurer de la conformité de
l’utilisation et de l’installation du
télétravailleur.
www.referentiel-joa.com Page 58 sur 90
CES7 Gérer les changements
La gestion du changement cherche à mettre en place un processus permettant la transition
d’un état stable vers un nouvel état stable.
Avec le temps, la mise en place d’une nouvelle version de logiciel, changements
technologiques … rendent le changement inéluctables.
Il est donc nécessaire d’établir un équilibre entre la nécessité du changement et la relation
avec l’impact de ce changement sur les besoins métiers.
CES7.1 Tests pour s’assurer la stabilité du changement et évaluation de l’impact
Au lieu d’appliquer le changement sur la production, il est nécessaire d’établir des tests dans
un environnement dédié à cette bonne pratique.
CES7. 2 Définir les priorités
Parmi l’ensemble des activités, il est nécessaire de priorités les changements pour travailler en
collaboration avec les différents services pour planifier le changement.
De plus, il peut être nécessaire d’établir des demandes d’urgences de mise à jour.
CES7.3 Implémentation du changement
Lorsque le changement est autorisé, il faut gérer l’implémentation du changement en
conformité avec des impératifs comme une date et délai prévu.
CES7.4 Suivi et reporting du changement
Il est nécessaire d’établir des bilans pour établir :
- une amélioration de la gestion des incidents et des problèmes
- une amélioration de la qualité des équipes
CES7.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Tous les changements doivent être consignés dans la base de connaissance pour garder une
traçabilité et un historique.
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
www.referentiel-joa.com Page 59 sur 90
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Tests pour s’assurer la stabilité du
changement et évaluation de l’impact
Au lieu d’appliquer le changement sur la
production, il est nécessaire d’établir des
tests dans un environnement dédié à cette
bonne pratique.
Définir les priorités Parmi l’ensemble des activités, il est
nécessaire de priorités les changements pour
travailler en collaboration avec les différents
services pour planifier le changement.
De plus, il peut être nécessaire d’établir des
demandes d’urgences de mise à jour.
Implémentation du changement Lorsque le changement est autorisé, il faut
gérer l’implémentation du changement en
conformité avec des impératifs comme une
date et délai prévu.
Suivi et reporting du changement Il est nécessaire d’établir des bilans pour
établir :
- une amélioration de la gestion des
incidents et des problèmes
- une amélioration de la qualité des
équipes
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
Tous les changements doivent être consignés
dans la base de connaissance pour garder une
traçabilité et un historique.
www.referentiel-joa.com Page 60 sur 90
CES8 La gestion des nomades (ordinateurs et téléphones portables) On parle souvent de nomades, les PC et des téléphones qui se connectent de l’extérieur. Ils
sont donc perçus comme les principaux vecteurs de risque, car ils échappent au contrôle de
l’entreprise lorsqu’ils sont à l’extérieur, et peuvent donc « récupérer n’importe quoi et le
ramener sur le réseau ».
Il convient de définir clairement les exigences en matière de
protection physique, les contrôles d'accès, la cryptographie, les sauvegardes et les logiciels
malveillants
CES8.1 Protection physique des nomades
La sécurité physique (veiller à ce que ordinateurs portables sans surveillance sont enfermés
et / ou équipés de serrures de sécurité et ne sont jamais laissés sans surveillance) est un tout
aussi important composante d'une politique informatique mobile efficace.
CES8.2 Identification et authentification
Tous les utilisateurs doivent disposés d’un compte qui leur est unique. De cette manière,
l’utilisateur est identifiable est responsable de son compte personnel ce qui facilite
l’administration de droits aux ressources pour l’administrateur réseaux et systèmes.
L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées
comme importantes ou vitales, est réservé aux personnes autorisées et interdites à toute autre
personne, qu’elle soit interne ou externe à « l’organisation ».
CES8.3 Sensibilisation des utilisateurs aux risques des réseaux non identifiés
La prolifération des réseaux sans fil se développe en libre accès. Cependant, il faut
sensibiliser que les réseaux sans fils publics constituent un risque de vols d’informations car il
s’agit de réseau non contrôlé.
Il ne faut faire circuler des informations uniquement que sur des réseaux surs.
CES8.4 La cryptographie des données
Les ordinateurs portables comportent en dehors de l’entreprise, un certain nombre de données
confidentielles et critiques. Pour protéger ces données sensibles, il faut recourir aux
chiffrements de données à l’aide d’un protocole de chiffrement, …
www.referentiel-joa.com Page 61 sur 90
CES8.5 Sauvegarde
Pour se prévenir de tous incidents et notamment de pertes de données à cause d’un logiciel
malveillant, il est nécessaire de mettre en place un système de sauvegarde de données à
intervalle de temps régulier.
Il existe sur le marché plusieurs solutions de sauvegarde décentralisée comme Acronis True
image par exemple.
Cette solution peut être complétée par un système de tolérance à la panne comme le RAID.
CES8.6 Utiliser une solution contre les logiciels malveillants
La première approche doit être l’acquisition d’une solution contre les logiciels malveillants.
Le site www.virusbtn.com établit des tests régulièrement actualisés pour définir le plus
approprié.
L’installation d’un logiciel anti-malware est indispensable pour faire face au développement
de logiciels malveillants vers réseau, phishing, injection de code, usurpation d’identité ou
d’applications,
CES8.7 Changer les mots de passe par défaut
Les mots de passe par défaut configuré sur les systèmes ou du matériel doivent être changé. Il
est facile de retrouver sur Internet les comptes et mot de passe définis initialement par les
constructeurs.
Pour un ordinateur portable, il faudra mettre un mot de passe dans le bios et changer le mot de
passe administrateur.
Pour les téléphones portables, il est conseillé de changer le code PIN qui est souvent 0000 par
défaut.
CES8.7 Appliquer correctifs, patchs des éditeurs ou fabricants
Les pirates informatiques profitent des vulnérabilités (failles de sécurité) pour arriver à leurs
fins. En conséquence, le système et le réseau informatique doit être régulièrement à jour pour
être la victime de failles connues.
C'est-à-dire qu’il faut utiliser les patches des éditeurs et des fabricants pour les ressources
informatiques.
CES8.8 Procédure en cas de vol
Compte tenu du nombre élevé d'ordinateurs portables et PDA qui sont perdus, volés ou
autres, les organisations doivent élaborer une procédure de déclaration de vols.
www.referentiel-joa.com Page 62 sur 90
CES8.9 Permettre un accès sécurisé depuis l’extérieur
L’accès à distance au réseau principal de l’entreprise doit se faire de manière sécuriser avec
l’usage d’un VPN, extranet, …
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Protection physique des nomades Veiller à ce que ordinateurs portables sans
surveillance sont enfermés
et / ou équipés de serrures de sécurité et ne
sont jamais laissés sans surveillance
Identification et authentification Tous les utilisateurs doivent disposés d’un
compte qui est unique.
Sensibilisation des utilisateurs aux risques La prolifération des réseaux sans fil se
développe en libre accès. Cependant, il faut
sensibiliser que les réseaux sans fils publics
constituent un risque de vols d’informations
car il s’agit de réseau non contrôlé
La cryptographie des données Les ordinateurs portables comportent en
dehors de l’entreprise, un certain nombre de
données confidentielles et critiques. Pour
protéger ces données sensibles, il faut
recourir aux chiffrements de données à l’aide
d’un protocole de chiffrement, …
Sauvegarde mettre en place un système de sauvegarde de
données à intervalle de temps régulier.
Utiliser une solution contre les logiciels
malveillants
Utiliser un logiciel contre les logiciels
malveillants (antivirus, pare-feu, …)
Mise à jour régulier des correctifs et des
patchs
utiliser les patches des éditeurs et des
fabricants pour les ressources informatiques.
Procédure en cas de vol les organisations doivent élaborer une
procédure de déclaration de vols.
Permettre un accès sécurisé depuis
l’extérieur
L’accès à distance au réseau principal de
l’entreprise doit se faire de manière sécuriser
avec l’usage d’un VPN, extranet, …
www.referentiel-joa.com Page 63 sur 90
CES9 Gérer les projets
La gestion de projet (ou conduite de projet) est une démarche visant à organiser de bout en
bout le bon déroulement d’un projet
CES9.1 Étape d’initiation du projet
La phase d'initiation est l’occasion de définir :
- composition de l’équipe de projet à mobiliser
- le planning des tâches à réaliser avec leur ordonnancement, leur durée, leur affectation
de ressources et les moyens techniques nécessaires, les différents jalons (Diagramme
de Gantt, PERT)
- le budget du projet à engager
-
CES9.2 Étape d'étude générale et étude détaillée (ou spécifications)
Le but de cette phase est de concevoir ou de spécifier ce qui doit être réalisé ou fabriqué pour
atteindre l’objectif (on rédige éventuellement un cahier des charges). Ces études associent la
maîtrise d'ouvrage et la maîtrise d'œuvre.
On parle parfois d’expression de besoins ou de spécifications générales lorsque ces livrables
sont « fonctionnels » et exprimés par les utilisateurs, et on réserve alors le vocable de
spécifications (ou spécifications détaillées) à des documents plus techniques, ou en tout cas
qui détaillent plus le fonctionnement interne du logiciel (dans le cas d'un projet informatique
par exemple) attendu.
CES9.3 Étape de recherche et détermination de solutions pour le gestionnaire de projet
Cette phase consiste à étudier différentes solutions ou architectures techniques et
fonctionnelles en fonction de contraintes de compétences, d’équipement, de délais ainsi que
des aspects financiers et de commercialisation. Les choix doivent être ensuite validés par la
réalisation de maquettes ou de prototypes et éventuellement la mise sur un marché test. Les
écarts mesurés permettent de rectifier les choix.
Dans les projets informatiques, cette phase prend en compte les préoccupations d’urbanisation
et d’architecture.
Lors d’un choix de solution existante sur le marché (cas des progiciels notamment), cette
phase s’articule autour d’un appel d'offres.
CES9.4 Étape de réalisation et contrôle ou fabrication
C’est lors de cette phase que le projet est réalisé ou fabriqué, c’est-à-dire que les tâches
permettant de mettre en œuvre le nouveau produit, bien ou service, sont réalisées. Dans les
projets informatiques, c’est cette phase qui permet la construction du logiciel.
Pour contrôler l’avancement de ces tâches et le respect des délais on utilise des outils de
www.referentiel-joa.com Page 64 sur 90
gestion de projet notamment des logiciels qui permettent, en cas de retard ou dépassement des
délais, de planifier à nouveau la suite du projet.
Dans cette phase sont également réalisés les tests : test unitaire, test d'intégration, test de
performance.
CES9.5 Étape d'analyse des recettes
Dès la mise à disposition ou la réception du livrable, il est nécessaire de procéder à des
vérifications de manière à contrôler la conformité du résultat fabriqué avec la commande qui
avait été passée lors des spécifications. Les contrôles s’effectuent sous forme de tests
rigoureux à partir des cahiers de tests qui ont été préparés.
À l’issue de la phase de recette est signé un procès-verbal de réception définitive.
Selon la complexité du projet, des séquences de vérification globale peuvent s’avérer
nécessaires.
Lorsqu’il a été fait appel à une sous-traitance, la fin de la recette marque une étape importante
car elle déclenche la période de garantie juridique pendant laquelle le demandeur peut se
retourner contre son prestataire.
CES9.6 Étape de diffusion ou déploiement
Le produit est mis à disposition du marché ou des utilisateurs, c’est ici qu’entre en action la
politique de communication et d’une manière plus générale ce qu’on désigne par
l’accompagnement du changement.
CES9.7 Étape de suivi des performances et de la qualité
Les outils de suivi ont été établis dès la préparation du projet, en même temps qu’ont été
définis les objectifs de performance et de qualité.
CES9.8 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
www.referentiel-joa.com Page 65 sur 90
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Étape d’initiation La phase d'initiation est l’occasion de
définir :
- composition de l’équipe de projet à
mobiliser
- le planning des tâches à réaliser avec
leur ordonnancement, leur durée, leur
affectation de ressources et les
moyens techniques nécessaires, les
différents jalons (Diagramme de
Gantt, PERT)
- le budget du projet à engager
Étape d'étude générale et étude détaillée (ou
spécifications)
concevoir ou de spécifier ce qui doit être
réalisé ou fabriqué pour atteindre l’objectif
(on rédige éventuellement un cahier des
charges). Ces études associent la maîtrise
d'ouvrage et la maîtrise d'œuvre.
Étape de recherche et détermination de
solutions pour le gestionnaire de projet
étudier différentes solutions ou architectures
techniques et fonctionnelles en fonction de
contraintes de compétences, d’équipement,
de délais ainsi que des aspects financiers et
de commercialisation.
Étape d'analyse des recettes Dès la mise à disposition ou la réception du
livrable, il est nécessaire de procéder à des
vérifications de manière à contrôler la
conformité du résultat fabriqué avec la
commande qui avait été passée lors des
spécifications. Les contrôles s’effectuent
sous forme de tests rigoureux à partir des
cahiers de tests qui ont été préparés.
Étape de diffusion ou déploiement Le produit est mis à disposition du marché ou
des utilisateurs, c’est ici qu’entre en action la
politique de communication et d’une manière
plus générale ce qu’on désigne par
l’accompagnement du changement.
Étape de suivi des performances et de la
qualité
A l’aide des outils de suivi, on définit si les
objectifs de performance et de qualité sont
atteints
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 66 sur 90
CES10 Gérer les problèmes
La gestion des problèmes est déterminée par une vue globale des incidents (synthèse,
corrélation, impact, tendance, ...), définie par le centre de support. On cherche ici la source
des dysfonctionnements de manière à faire de la prévention.
Grâce à cette activité, le but de réduire le nombre d’incidents au centre de support.
CES10.1 Identification et classification des problèmes
Suite à l’activité du support informatique, on recoupe les informations pour déterminer les
problèmes qui peuvent être ou sont sources d’incidents.
CES10.2 Suivi et résolution des problèmes
Pour gérer les problèmes, il est nécessaire d’établir un suivi et résoudre les problèmes.
CES10.3 Clôture du problème
Quand un problème est définitivement résolu, il est clôturé.
CES10.4 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Toutes activités du management des problèmes doivent être enregistrées et documenter dans
la base de données JOA.
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Bonnes pratiques Exemple d’implémentation
Identification et classification des problèmes
Suivi et résolution des problèmes
Clôture du problème
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 67 sur 90
Gérer la sécurité des Systèmes d’information
GSS1 : L’organisation de la sécurité de l’information
GSS2 : Plan de secours informatique
GSS3 : Se protéger contre les logiciels malveillants
GSS4 : Réguler l’usage d’Internet et de la messagerie
GSS5 : Contrôle d’accès des Systèmes d’exploitation
GSS6 : Protection des données et de l’information
GSS7 : Sécurité physique et environnementale
GSS8 : Sécuriser les accès réseaux
GSS9 : Se protéger des pirates informatiques (hacker)
www.referentiel-joa.com Page 68 sur 90
GSS1 L’organisation de la sécurité de l’information
Il est nécessaires d’établir de bonnes pratiques pour l’établissement d’un cadre de gestion de
la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès
par des tiers (clients, sous-traitants, …) au système d’information.
GSS1.1 Le responsable de la sécurité des systèmes d’information
Dans entreprise, il faut qu’une personne soit en charge de la sécurité des systèmes
d’information avec une délégation de pouvoir et/ou un appui de la direction. L’appui de la
direction est nécessaire car le responsable de la sécurité des systèmes d’information est amené
à prendre des décisions impopulaires mais qui vont souvent dans le bon sens.
Il est chargé de la définition et de la mise en œuvre de la politique de sécurité de l'entreprise.
Il possède en outre un rôle stratégique d'information, de conseil et d'alerte de la direction
générale sur les risques en matière de sécurité informatique.
GSS1.2 Maintenir une veille technologique en sécurité des S.I.
Le Responsable de la sécurité des systèmes d’information doit établir une vieille
technologique à la sécurité d’information en participant à des groupes d’utilisateurs comme le
clusif, forums, lecture de livre …
Cette démarche est utile pour établir un réseau utile en cas de problèmes,
GSS1.3 Etablir des audits extérieurs
Pour renforcer la sécurité informatique alors que l’on ne dispose pas d’une équipe d’expert
dans le domaine de la sécurité informatique, les petites et moyennes entreprises devraient
procédés à des tests de sécurité (intrusions extérieures, …) par des entreprises indépendantes.
Le résultat de cette prestation de service doit permettre au responsable de la sécurité
informatique de procéder à une mise à jour des règles de sécurité interne.
GSS1.4 Identification des risques extérieures
De plus en plus, les entreprises sont amenées à amener à ouvrir leur système d’information
avec des entreprises partenaires afin de gagner en synergie et réactivité.
Malheureusement qui dit « ouverture » dit aussi risque.
C’est pourquoi, il est essentiel d’établir un référentiel des services offerts à des entreprises
tiers, de définir des procédures de surveillance et une procédure documentée de révocation de
droits en cas de problèmes.
En outre, il est favorable de créer un email dédié à la communication des sociétés tierces
partenaires pour garder un historique.
www.referentiel-joa.com Page 69 sur 90
GSS1.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Le responsable de la sécurité des systèmes
d’information
Désigner un responsable de la sécurité des
systèmes d’information
Maintenir une vieille technologique de la
sécurité SI
Participer à des groupes d’utilisateurs, des
forums de discussions, …
Etablir des audits de sécurité par une société
extérieure
Etablir des audits de sécurité par une société
extérieure
Identification des risques extérieurs Etablir un référentiel des services ouverts à
l’extérieur
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 70 sur 90
GSS2 Plan de continuité de secours informatique
Le plan de continuité d’activité informatique a pour objectif la reprise des activités après un
sinistre important touchant le système informatique. Il s'agit de redémarrer l'activité le plus
rapidement possible avec le minimum de perte de données.
Un plan de continuité de secours informatique nécessite au préalable une analyse de
risques (il est conseillé d’utiliser la méthode EBIOS)
GSS2.1 Définir des mesures préventives
Le choix de mesures préventives cherche à éviter la discontinuité.
Il s’agit souvent de mettre en place :
- des plans de sauvegarde des données
- créer et maintenir un site de secours pour une redondance et/ou basculement
GSS2.2 Définir des mesures curatives
Les mesures curatives consistent à rétablir la continuité après un sinistre comme le
rétablissement de données, le redémarrage d’applications, …
GSS2.3 Développement du plan de reprise
Le plan de reprise contient les informations suivantes :
La composition et le rôle des "équipes de pilotage du plan de reprise". Ces équipes se
situent au niveau stratégique :
- les dirigeants qui ont autorité pour engager des dépenses,
- le porte-parole en charge des contacts avec les tiers : la presse, les clients et les
fournisseurs, etc.,
- au niveau tactique, les responsables qui coordonnent les actions,
- au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur
le site de remplacement.
La composition de ces équipes doit être connue et à jour, ainsi que les personnes de
remplacement et les moyens de les prévenir. Les membres des équipes doivent recevoir une
formation.
www.referentiel-joa.com Page 71 sur 90
GSS2.4 Communiquer et faire participer les parties prenantes
Tout au long de la définition du plan de reprise, il est nécessaire de communiquer avec les
propriétaires des activités visées pour connaître leurs sentiments et leurs points de vue dans un
objectif de travail de collaboration.
GSS2.5 Tests du plan de continuité du plan de reprise informatique
Le plan doit être régulièrement essayé au cours d’exercices. Un exercice peut être une simple
revue des procédures, éventuellement un jeu de rôles entre les équipes de pilotage. Un
exercice peut aussi être mené en grandeur réelle, mais peut se limiter à la reprise d’une
ressource (par exemple, le serveur principal), ou à une seule fonction du plan (par exemple, la
procédure d’intervention immédiate). Le but de l’exercice est multiple :
Vérifier que les procédures permettent d'assurer la continuité d'activité
Vérifier que le plan est complet et réalisable
Maintenir un niveau de compétence suffisant parmi les équipes de pilotage
Évaluer la résistance au stress des équipes de pilotage
GSS2.6 Réviser et corriger le plan
Un plan doit aussi être revu et mis à jour régulièrement (au moins une fois par an) pour tenir
compte de l’évolution de la technologie et des objectifs de l’entreprise. La seule façon
efficace de mettre à jour le PCA est d'en sous traiter la maintenance aux métiers afin qu'il soit
réactualisé à chaque réunion mensuelle de service.
GSS2.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en oeuvre
Définir des mesures préventives Travailler en équipe avec les personnes
concernées Définir des mesures curatives
Développement du plan
Communiquer et faire participer l’ensemble
des parties prenantes
Tests du plan de continuité du plan de reprise
informatique
Simulation de plusieurs scénarios
Réviser et corriger le plan Détecter ce qui n’a pas marché correctement
et faire une amélioration continué
www.referentiel-joa.com Page 72 sur 90
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 73 sur 90
GSS3 Protection contre les logiciels malveillants
Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à
un système informatique.
On distingue plusieurs catégories de malwares :
- virus
- worms
- trojans
- spyware
GSS3.1 Utiliser une solution contre les logiciels malveillants
La première approche doit être l’acquisition d’une solution contre les logiciels malveillants.
Le site www.virusbtn.com établit des tests régulièrement actualisés pour définir le plus
approprié.
GSS3.2 Créer une alerte mail en cas d’attaque ou détection d’un logiciel malveillant
Pour rester informer de la présence ou d’une attaque d’un logiciel malveillant, il est
intéressant de paramétrer une alerte par mail vers vous.
GSS3.3 Installer les patchs, …
Un système d’exploitation et/ou une application doit être mis à jour des patchs éditeurs pour
laisser des failles de sécurité ouvertes.
GSS3.4 Réduire des ressources physiques
L’interdiction de l’usage de clés USB, des lecteurs de disquettes, … permet de réduire le
risque.
GSS3.5 Restriction de l’exécution des codes mobiles
Les applications ActiveX, Java, JavaScript, VBScript, MS Word, macros et PostScript.
Accessibles depuis un navigateur Internet doivent être par défaut restrictives. Ces applications
permettent de récupérer des informations à l’insu de l’utilisateur
www.referentiel-joa.com Page 74 sur 90
GSS3.6 Sauvegarde
Pour se prévenir de tous incidents et notamment de pertes de données à cause d’un logiciel
malveillant, il est nécessaire de mettre en place un système de sauvegarde de données à
intervalle de temps régulier.
Il existe sur le marché plusieurs solutions de sauvegarde décentralisée comme Acronis True
image par exemple.
Cette solution peut être complétée par un système de tolérance à la panne comme le RAID.
GSS3.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en oeuvre
Utiliser une solution contre les logiciels
malveillants
Choisir une solution anti malware
Créer une alerte mail en cas d’attaque ou
détection d’un logiciel malveillant
Etre alerté en cas d’un événement anormal
Installer les patchs, … Tenir le système à jour
Réduire des ressources physiques Interdire les ressources inutiles
Restriction de l’exécution des codes mobiles Réduction des droits utilisateurs
Sauvegarde Etablir un système de sauvegarde centralisé
pour les portables
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 75 sur 90
GSS4 Réguler l’usage de l’email et d’Internet en Entreprise
Perte de productivité, détournement des ressources informatiques, risques juridiques... Les
conséquences de l'usage à titre privé d'Internet et de la messagerie au travail peuvent être
lourdes.
Peu à peu, la messagerie électronique a remplacé l’usage du fax pour une question
économique et de rapidité.
Cependant, l’usage de l’email comporte un certain nombre de sécurité :
- envoi massif de courrier électronique pour saturer une boite mail
- usurpation facile de l’identité de l’émetteur original
- problème de preuve de réception ou mail original (Phishing)
- …
Le risque le plus sensible est l’utilisation de la messagerie pour nuire à l’image de l’entreprise
ou diffuser des informations confidentielles par un salarié.
Néanmoins, il reste délicat d’interdire l’usage de la messagerie alors qu’il est devenu un
moyen commun de communication.
Selon un sondage du journal officiel du net, 45% des salariées déclarent utiliser Internet à des
fins privées durant leurs heures de travail.
Alors qu’il est un outil incontournable dans bien des métiers, Internet peut se transformer en
frein à la productivité lorsqu'il est abusivement utilisé à des fins personnelles.
Selon plusieurs études, la perte de productivité est estimée à environ 30%.
Cet usage personnel est aussi un problème à d’autres niveaux :
- juridique
- capacité de la bande passante
- …
Par exemple, le téléchargement de musiques MP3 sur le fameux logiciel edonkey réduit le
débit général donc le confort d’utilisation des autres salariés et peut s’avérer illégal avec des
poursuites judiciaires pour l’entreprise
GSS4.1 Signature de la charte informatique par les salariés
La bonne pratique consiste à intégrer dans la charte informatique une partie de l’utilisation
Internet contenant les clauses suivantes :
- l’employé ne doit pas compromettre l’entreprise par de la diffamation, du harcèlement,
…
- la procédure en cas de mail douteux tels qu’une pièce jointe, …
- utiliser les dispositifs de sécurité de la société en mode active (antivirus, …)
- informer des règles de sécurité telle que la taille maximale de pièce jointe, de la
messagerie, …
- l’email ne peut pas être utilisé à des fins personnelles telles que des communications
privées, des achats, …
Cette charte devra être diffusée largement pour sensibiliser :
- annexé au contrat de travail
- inclus dans le règlement intérieur
- signé par les salariés
www.referentiel-joa.com Page 76 sur 90
- rappel périodique
GSS4.2 Définir une stratégie de protection de contournement de l’utilisation d’Internet
La mise en place d’une stratégie de limitations de l’usage de l’utilisation d’Internet est
nécessaire.
Les méthodes de restrictions décrites dans la charte de l’utilisation de la messagerie doivent
être mises en application :
- réduction de la taille des pièces jointes
- blocage des renvois automatiques
- Insérer un « disclamer » vers toutes les correspondances électroniques
- …
GSS4.3 Logiciel de filtrage (Internet Engeneering Management)
Sécuriser la navigation, c'est le domaine des logiciels dits de "filtrage d'url". Leur rôle est de
réguler l'usage du Web en interdisant l'accès à des sites sans lien direct avec l'activité
professionnelle des salariés. Ils s'appuient sur deux procédés de filtrage :
L'existence d'une base, élaborée par l'éditeur, recensant les adresses des sites interdits ("black
list") classés par catégories (sexe, jeux, guerre, drogue...) et mise à jour le plus souvent
quotidiennement.»
L'analyse du contenu des pages des sites visités et des mots qui servent à les trouver dans les
moteurs de recherche en mêlant des méthodes heuristiques et sémantiques. Cela permet de
s'assurer qu'ils sont compatibles avec la politique de régulation définie par l'entreprise, même
s'ils ne figurent pas dans la "black-list".
Ces outils offrent des possibilités de paramétrage plus ou moins poussées : par individus,
groupes d'utilisateurs, créneaux horaires, voire quotas de téléchargement. De quoi instaurer un
contrôle très fin de la navigation.
Ce type de produits est commercialisé par des éditeurs comme ISS, Secure Computing, Surf
Control, Websense… pour ne citer qu'eux.
Il existe aussi des versions prenant en compte le filtrage des emails
GSS4.4 Superviser l’activité de l’usage Internet et modifier les règles du logiciel de filtrage
Afin que le logiciel de filtrage d’url soit efficace, il est recommandé d’établir un rapport
quotidien pour détecter des anomalies et corriger en conséquence les règles.
www.referentiel-joa.com Page 77 sur 90
GSS4.5 Combattre le SPAM
Le SPAM est une communication électronique non sollicitée qui pollue la messagerie des
salariés.
Les salariés perdent énormément de tend à gérer ces courriers indésirables parmi les
communications courantes.
Pour combatte ce phénomène, le plus simple est d’utiliser un logiciel de filtrage dit anti-
spam.
GSS4.6 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Bonnes pratiques Mise en œuvre
Signature de la charte informatique par les
salariés
La charte informatique doit être signé par les
salaries. De plus, il doit annexer au contrat de
travail et règlement intérieur, …
Définir une stratégie de protection de
contournement de l’utilisation d’Internet
Les méthodes de restrictions décrites dans la
charte de l’utilisation de la messagerie
doivent être mises en application :
- réduction de la taille des pièces jointes
- blocage des renvois automatiques
- Insérer un « disclamer » vers toutes les
correspondances électroniques
Logiciel de filtrage (Internet Engeneering
Management)
Logiciel de filtrage
Superviser l’activité de l’usage Internet et
modifier les règles du logiciel de filtrage
détecter des anomalies et corriger en
conséquence les règles.
Combattre le SPAM d’utiliser un logiciel de filtrage dit anti-
spam.
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 78 sur 90
GSS5 Contrôle d’accès des Systèmes d’exploitation
Les contrôles d’accès des systèmes d’exploitation (Windows, Linux, …) ont vocation à
empêcher l'accès non autorisé aux systèmes d'information.
Les systèmes cumulent un certain nombre de fonctionnalités :
- limiter l'accès aux ressources de l'ordinateur en identifiant et en vérifiant l'identité de
l’utilisateur
- un système d’audit qui enregistre les tentatives d’accès réussi ou échoué
- limitant l'utilisateur à un temps de connexion
- l'émission d’alarmes lorsque des politiques de sécurité du système ont été violée.
GSS5.1 Identification et authentification
Tous les utilisateurs doivent disposés d’un compte qui est unique. De cette manière,
l’utilisateur est identifiable est responsable de son compte personnel ce qui facilite
l’administration de droits aux ressources pour l’administrateur réseaux et systèmes.
GSS5.2 Définir une politique de mot de passe
Pour permettre l’authentification, l’utilisation utilisateur couple son compte utilisateur avec un
mot de passe.
Le choix d’un mot de passe doit dépendre d’une politique des mots de passe qui est une suite
de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des
mots de passe relativement robustes et en les utilisant correctement.
Par exemple, vous pouvez définir une bonne politique de mot de passe avec celle-ci, un mot
de passe doit :
- être d’une longueur comprise entre 6 et 8 caractères
- utiliser des caractères spéciaux, des lettres et des chiffres
- une durée de validité de 3 mois
Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :
- ne jamais partager un compte utilisateur ;
- ne jamais utiliser le même mot de passe pour différents accès ;
- ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;
- ne jamais écrire sur papier son mot de passe ;
- ne jamais communiquer son mot de passe par téléphone, mail ou messagerie
instantanée ;
- s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est
protégé par un mot de passe ;
- changer le mot de passe au moindre soupçon de compromission.
GSS5.3 Gestion des utilitaires systèmes
Pour sécuriser les accès aux systèmes d’exploitation, les utilisateurs ont accès à un certain
nombre d’utilitaires systèmes qui permettent l’audit, la gestion des comptes, …
L’utilisation de ces utilitaires doit être réguliers et réserver à des personnes habilitées.
www.referentiel-joa.com Page 79 sur 90
GSS5.4 Fermeture de session après une inactivité
L’une des premières causes de sécurité interne reste l’ouverture de session sans activité. Il est
fréquent qu’un utilisateur quitte temporaire son poste de travail et il laisse volontairement sa
session ouverture. En son absence, une personne peut utiliser sa session à des fins négatives.
(Accès à des données sensibles, …)
La contre mesure est de définir une fermeture de session après une durée courte (5 minutes).
GSS5.5 Limiter la durée de connexion
Pour protéger des applications à haut risque, il est indispensable de restreindre l’accès à des
horaires uniquement de travail pour renforcer la sécurité.
De plus, il est bon de restreindre la durée de connexion à une application pour éviter de
surcharger une application et gagner en performance.
GSS5.6 Limiter le nombre de tentatives d’authentification
Pour lutter contre les tentatives de crack de mot de passe qui consiste à se connecter à un
système en essayant de trouver le mot de passe d’un utilisateur, il est recommandé de bloquer
le compte d’un utilisateur aux bouts de plusieurs tentatives infructueuses.
GSS5.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Identification et authentification Création d’un compte par utilisateur
Définir une politique de mot de passe Couplé à chaque compte utilisateur, un mot
de passe
Définir une politique de mot de passe :
- longueur
- lettres, caractères, …
- durée de validité
Gestion des utilitaires systèmes Quels sont les utilitaires systèmes de votre
système d’exploitation ? Active Directory ?
Fermeture de session après une période Fermeture automatique d’une session après
www.referentiel-joa.com Page 80 sur 90
d’inactivité une période définie d’inactivité
Limiter la durée de connexion Fermeture de la session après une période
définie de connexion et en dehors des
périodes des heures normales de travail
Limiter le nombre de tentatives de connexion Bloquer le compte utilisateur après x échecs
de tentatives de connexion
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 81 sur 90
GSS6 Protection des données
Les données sont pour les entreprises fondamentales et sensibles car elle constitue la plupart
du temps, l’une des valeurs les plus importantes pour elles. C’est pourquoi, il est nécessaire de
les protéger.
GSS6.1 Classifier les données
Classer les données réduit le risque de les mélanger et donc ne pas retrouver correctement les
données recherchées.
Par exemple, il faut hiérarchiser les données à l’aide de dossier sur un serveur de fichiers.
GSS6.2 Mettre en place une politique d’archivage des données
Certaines réglementations imposent des obligations légales en matière de gestion fiscale,
comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes
des documents contenant des données à caractère personnel
Dans ce cas, les entreprises ont l’obligation, au regard de la réglementation applicable,
d’archiver nombre d’informations très détaillées sur leur activité passée, en particulier au sujet
des opérations effectuées avec leurs clients, fournisseurs ou salariés.
GSS6.3 Protection des données en dehors du système d’information (media de sauvegarde, …)
Tous les medias (Cdrom, clé USB, …) doivent être protégés avec un mot de passé pour
renforcer la sécurité de l’accès aux données.
GSS6.4 Chiffrement
Les entreprises comportent un certain nombre de données confidentielles et critiques. Pour
protéger ces données sensibles, il faut recourir aux chiffrements de données à l’aide d’un
protocole de chiffrement, …
GSS6.5 Sauvegarde
Pour se prévenir de tous incidents et notamment de pertes de données à cause d’un logiciel
malveillant, il est nécessaire de mettre en place un système de sauvegarde de données à
intervalle de temps régulier.
Il existe sur le marché plusieurs solutions de sauvegarde décentralisée comme Acronis True
image par exemple.
Cette solution peut être complétée par un système de tolérance à la panne comme le RAID.
www.referentiel-joa.com Page 82 sur 90
GSS6.6 Tests de restauration de données
Il faut s’assurer périodiquement que la restauration des données est conforme.
GSS6.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Mise en œuvre
Classifier les données Classer les données réduit le risque de les
mélanger et donc ne pas retrouver
correctement les données recherchées.
Mettre en place une politique d’archivage des
données
Certaines réglementations imposent des
obligations légales en matière de gestion
fiscale, comptable ou sociale imposent
souvent aux entreprises de conserver sur de
longues périodes des documents contenant
des données à caractère personnel
Protection des données en dehors du système
d’information (media de sauvegarde, …)
Tous les medias (Cdrom, clé USB, …)
doivent être protégé avec un mot de passé
pour renforcer la sécurité de l’accès aux
données.
Chiffrement recourir aux chiffrements de données à l’aide
d’un protocole de chiffrement, …
Sauvegarde mettre en place un système de sauvegarde de
données à intervalle de temps régulier.
Tests de restauration de données s’assurer périodiquement que la restauration
des données est conforme.
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 83 sur 90
GSS7 Sécurité physique et environnementale
Il décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et
les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement,
maintenance, alimentation électrique …).
GSS7.1 Salle dédiée à l’informatique
Tous les éléments informatiques qui sont répertoriés comme importants ou vitaux pour «
l’organisation » doivent être installés dans des locaux sûrs. Ces locaux constituent le
périmètre de sécurité.
GSS7.2 Dispositif de filtrage des personnes habilitées
Dans un premier temps, un référentiel des personnes habilitées doit être dressé.
Ensuite un certain nombre de dispositifs doivent être mis en place dans le but que seules les
personnes habilitées puissent accéder à la salle informatique.
Cela peut se faire par un accès par badge électronique, …
GSS7.3 Surveillance des locaux informatiques
La mise sous surveillance des locaux informatiques permet de sécuriser l’accès à la salle
informatique.
Elle joue un double rôle :
- dissuader
- être alerté en cas de tentatives d’accès non conforme
GSS7.4 Mise en place de dispositifs contre les menaces environnementales, naturelles, …
Il nécessite au préalable une analyse de risques (il est conseillé d’utiliser la méthode
EBIOS)
A la suite d’une analyse de risques, il est nécessaire de mettre en place des mesures de
protection contre les facteurs environnementaux.
Ces dispositifs de protection peuvent être par exemple une climatisation, …
GSS7.5 Consignes de réception pour matériel, visiteurs, …
La réception du matériel informatique nécessite une procédure dédiée pour trouver un
compromis entre la sécurité et l’efficience.
Lors de la visite d’un fournisseur qui a besoin d’accéder à la salle informatique, il est
nécessaire de définir s’il doit être accompagné et par qui ?
www.referentiel-joa.com Page 84 sur 90
GSS7.6 Bureau de l’informaticien dans un lieu sécurisé
Au-delà de la salle informatique, le bureau de l’informaticien doit être isolé et sécurisé.
L’informaticien est amené à tenir des conversations confidentielles et stratégiques pour
l’entreprise.
GSS7.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Miser en oeuvre
Salle dédiée à l’informatique Définir un lieu sécurisé pour une salle
informatique
Dispositif de filtrage des personnes habilitées Utiliser des dispositifs comme une
reconnaissance par badge, …
Surveillance des locaux informatiques Utiliser des dispositifs de surveillance
comme la vidéo
Mise en place de dispositifs contre les
menaces environnementales, naturelles, …
Mettre en place des dispositifs comme la
climatisation, …
Consignes de réception de matériel, visiteurs Etablir une règle générale
Bureau de l’informaticien dans un lieu
sécurisé
Définir un lieu sécurisé
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 85 sur 90
GSS8 Sécurité des accès réseaux
Lorsque des ordinateurs privés (PCs des collaborateurs), sont raccordées entre eux et à
Internet il est très important de veiller à ce que les mesures de sécurité de base soient
appliquées, faute de quoi leurs utilisateurs encourent de gros risques
GSS8.1 réduire l'accès au réseau
Dans le cadre d’un réseau, le pare-feu est utilisé pour séparer le réseau internet et le réseau
local d’entreprise.
Le pare-feu est configuré de façon à ne laisser passer que les flux et les utilisateurs autorisés.
Le pare-feu permet de faire :
- un filtrage de ports
- de protocoles
- …
GSS8.2 Politique de mot de passe
Pour permettre l’authentification, l’utilisation utilisateur couple son compte utilisateur avec un
mot de passe.
Le choix d’un mot de passe doit dépendre d’une politique des mots de passe qui est une suite
de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des
mots de passe relativement robustes et en les utilisant correctement.
Par exemple, vous pouvez définir une bonne politique de mot de passe avec celle-ci, un mot
de passe doit :
- être d’une longueur comprise entre 6 et 8 caractères
- utiliser des caractères spéciaux, des lettres et des chiffres
- une durée de validité de 3 mois
Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :
- ne jamais partager un compte utilisateur ;
- ne jamais utiliser le même mot de passe pour différents accès ;
- ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;
- ne jamais écrire sur papier son mot de passe ;
- ne jamais communiquer son mot de passe par téléphone, mail ou messagerie
instantanée ;
- s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est
protégé par un mot de passe ;
- changer le mot de passe au moindre soupçon de compromission.
-
GSS8.3 déployer des utilitaires de sécurité
Sur le réseau interne il est intéressant d’utiliser des utilitaires de supervision du trafic pour
détecter des anomalies.
Pour cela, vous pouvez par exemple utiliser un système de détection d'intrusion.
www.referentiel-joa.com Page 86 sur 90
Il s’agit d’un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible
analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives
réussies comme échouées des intrusions
GSS8.4 Etablir une table de routage
La table de routage est une structure de données utilisée par un routeur ou un ordinateur en
réseau qui permet de connaître le chemin à suivre à atteindre pour atteindre la cible voulue.
Une bonne table de routage statique permet de renforcer la sécurité.
GSS8.5 Utilisation d’une authentification pour les connexions extérieures
Pour authentifier les connexions extérieures, il est possible de mettre en place des dispositifs
comme filtrage sur @mac pour le wifi ou encore l’adresse IP pour les accès distants.
Wifi @mac
Accès distant @IP
… …
GSS8.6 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Miser en oeuvre
réduire l'accès au réseau le pare-feu est utilisé pour séparer le réseau
internet et le réseau local d’entreprise
Politique de mot de passe Pour permettre l’authentification, l’utilisation
utilisateur couple son compte utilisateur avec
un mot de passe.
déployer des utilitaires de sécurité
d’utiliser des utilitaires de supervision du
trafic pour détecter des anomalies comme les
IDS
Etablir une table de routage Créer manuellement une table de routage qui
définit les autorisations entre la source et la
destination
Utilisation d’une authentification pour les
connexions extérieures
Pour authentifier les connexions extérieures,
on peut utiliser l’équivalent d’une carte
d’identité car l’adresse mac qui est « censé »
www.referentiel-joa.com Page 87 sur 90
être unique
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI
www.referentiel-joa.com Page 88 sur 90
GSS9 Se protéger contre le piratage informatique
Un pirate informatique est une personne commettant des délits ou des crimes dont l'objet ou
l'arme est lié à l'informatique
Pour se protéger contre les pirates informatiques, il faut prendre les mesures pour gérer et
contrôler les accès logiques aux informations, pour assurer la protection des systèmes en
réseau, et pour détecter les activités non autorisées.
GSS9.1 Maintenir les applications, le matériel, … à jour
Les pirates informatiques profitent des vulnérabilités (failles de sécurité) pour arriver à leurs
fins. En conséquence, le système et le réseau informatique doit être régulièrement à jour pour
être la victime de failles connues.
C'est-à-dire qu’il faut utiliser les patches et correctifs des éditeurs et des fabricants pour les
ressources informatiques.
GSS9.2 Identification et authentification
Tous les utilisateurs doivent disposés d’un compte qui est unique. De cette manière,
l’utilisateur est identifiable est responsable de son compte personnel ce qui facilite
l’administration de droits aux ressources pour l’administrateur réseaux et systèmes.
L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées
comme importantes ou vitales, est réservé aux personnes autorisées et interdites à toute autre
personne, qu’elle soit interne ou externe à « l’organisation ».
GSS9.3 Management des droits et comptes utilisateurs avec accord des propriétaires
Avant de créer un compte personnel pour un utilisateur, le responsable de l’informatique
s’assure que les responsables des données ont donné leur accord pour l’accès aux différents
groupes d’utilisateurs, disques, répertoires et applications. Il en profite pour passer en revue
les membres des groupes et leurs droits.
GSS 9.4 Attribution des droits d’accès « super-user »
Les droits privilégiés ou les comptes privilégiés « super-user » ne sont accordés que lorsque
cela s’avère indispensable pour les personnes concernées et durant la période requise.
Les mots de passe provisoires, attribués aux comptes lors de leur création, sont communiqués
de manière sûre, perdent leur validité après une utilisation.
GSS9.5 Politique de mot de passe
Pour permettre l’authentification, l’utilisation utilisateur couple son compte utilisateur avec un
mot de passe.
www.referentiel-joa.com Page 89 sur 90
Le choix d’un mot de passe doit dépendre d’une politique des mots de passe qui est une suite
de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des
mots de passe relativement robustes et en les utilisant correctement.
Par exemple, vous pouvez définir une bonne politique de mot de passe avec celle-ci, un mot
de passe doit :
- être d’une longueur comprise entre 6 et 8 caractères
- utiliser des caractères spéciaux, des lettres et des chiffres
- une durée de validité de 3 mois
Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :
- ne jamais partager un compte utilisateur ;
- ne jamais utiliser le même mot de passe pour différents accès ;
- ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;
- ne jamais écrire sur papier son mot de passe ;
- ne jamais communiquer son mot de passe par téléphone, mail ou messagerie
instantanée ;
- s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est
protégé par un mot de passe ;
- changer le mot de passe au moindre soupçon de compromission.
GSS9.6 Changer les mots de passe par défaut
Les mots de passe par défaut configuré sur les systèmes ou du matériel doivent être changé. Il
est facile de retrouver sur Internet les comptes et mot de passe définis initialement par les
constructeurs.
GSS9.7 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique
Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet
objectif stratégique dans la base de données JOA.
Le recoupage des informations permet d’avoir une meilleure maîtrise du système
d’information pour la prise de décision.
C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.
Les bonnes pratiques
Les bonnes pratiques Miser en oeuvre
Tenir un système et réseau informatique à
jour
Installer les correctifs et patchs des fabricants
et ou des éditeurs
Politiques de contrôles d’accès Tous les utilisateurs doivent disposés d’un
compte qui est unique
Management de compte utilisateur Demander l’accord des responsables ou
propriétaires des données, applications, …
avant de donner des droits d’accès
Management de droits d’accès Ne pas attribuer les droits administrateurs a
www.referentiel-joa.com Page 90 sur 90
des utilisateurs lambda
Politique de mot de passe Définir des règles de complexité d’un mot de
passe (longueur, …)
Changer les mots de passe par défaut Changer le mot de passe par défaut défini par
les constructeurs, …
Maintenir à jour la base de connaissances
JOA par rapport à cet objectif stratégique
Maintenir une documentation des
informations relatives à cet objectif
stratégique dans un logiciel ITSM comme
OCS inventory/GLPI