referentiel joa v1repo.mynooblife.org/dsi/referentieljoa1.11simple.pdf · - d'avoir assez de...

www.referentiel-joa.com sur 90

REFERENTIEL JOA

V1.11


VERSION __________________________________________________________________ 4

SYNTHESE _________________________________________________________________ 5

JOA, le référentiel en management et gouvernance des systèmes d’information pour les PME-PMI __________________________________________________________________ 6

La mission de JOA : _______________________________________________________________ 6

Pourquoi ? _____________________________________________________________________ 6

Pour qui ? _____________________________________________________________________ 6

Comment fonctionne JOA ? ________________________________________________________ 7

Les domaines stratégiques ________________________________________________________ 7

Relation domaines et objectifs stratégiques : _________________________________________ 8

Les relations objectifs stratégiques et bonnes pratiques ________________________________ 10

Les bonnes pratiques redondantes _________________________________________________ 10

La base de connaissance JOA ______________________________________________________ 11

Pourquoi existe-t-il 2 versions du référentiel JOA? ____________________________________ 11

Conclusion ____________________________________________________________________ 12

Gouverner le Système d’information de la DSI (GSI) _______________________________ 14

GSI1 Evaluer et Gérer les risques ___________________________________________________ 15

GSI2 La politique de la sécurité du système d’information ______________________________ 17

GSI3 Gérer le budget informatique _________________________________________________ 19

GSI4 Alléger les coûts informatiques _______________________________________________ 21

GSI5 Protéger sa e-réputation _____________________________________________________ 23

GSI6 Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus __________ 26

Gérer les activités de support _________________________________________________ 28

GAS1 : Charte Informatique _______________________________________________________ 29

GAS2 : Gérer la communication ___________________________________________________ 31

GAS3 : Assurer la veille technico-fonctionnelle _______________________________________ 32

GAS4 : Le respect des lois et des règlements _________________________________________ 33

GAS5 : Gérer les achats et les relations avec les fournisseurs ____________________________ 37

GAS6 : Gérer les ressources humaines ______________________________________________ 39

GAS7 : Faciliter et gérer l’exploitation au quotidien ___________________________________ 41

Construire et Exploiter un service SI ____________________________________________ 42

CES1 Assister les utilisateurs______________________________________________________ 43

CES2 La gestion des actifs (IT Asset Management) et des ressources informatiques __________ 47

CES3 Acquisition d’une solution informatique (application, …)___________________________ 49

CES4 Mise en production d’une solution informatique _________________________________ 51

CES5 Maintenance d’une solution informatique ______________________________________ 53

CES6 Permettre le télétravail ______________________________________________________ 55


CES7 Gérer les changements ______________________________________________________ 58

CES8 La gestion des nomades (ordinateurs et téléphones portables) ______________________ 60

CES9 Gérer les projets ___________________________________________________________ 63

CES10 Gérer les problèmes _______________________________________________________ 66

Gérer la sécurité des Systèmes d’information ____________________________________ 67

GSS1 L’organisation de la sécurité de l’information ____________________________________ 68

GSS2 Plan de continuité de secours informatique _____________________________________ 70

GSS3 Protection contre les logiciels malveillants ______________________________________ 73

GSS4 Réguler l’usage de l’email et d’Internet en Entreprise _____________________________ 75

GSS5 Contrôle d’accès des Systèmes d’exploitation ___________________________________ 78

GSS6 Protection des données _____________________________________________________ 81

GSS7 Sécurité physique et environnementale ________________________________________ 83

GSS8 Sécurité des accès réseaux ___________________________________________________ 85

GSS9 Se protéger contre le piratage informatique _____________________________________ 88


VERSION

Version Date Auteur(s) Action(s)

1.01 11/08/2010 F. Simonetti Rédaction du document de base « référentiel

JOA »

1.10 31/08/2010 F. Simonetti Mise en place de la notion de version du

référentiel

Conclusion de la présentation de l’utilisation de

JOA

Mise à jour de la notion de base de connaissance

JOA

1.11 3/09/2010 F. Simonetti Correction de l’orthographe et de la grammaire


SYNTHESE

Beaucoup de petites et moyennes entreprises n’ont pas conscience que leur système

d’information est leur moyen le plus précieux pour créer de la valeur et avoir un ou des

avantages concurrentiels par rapport à la concurrence.

Pour cela, les entreprises doivent établir un management et une gouvernance du Système

d’information ce qui n’est pas toujours facile faute de moyens humains, financiers,

méthodologiques, …

Certains référentiels tels que ITIL, Cobit, … ont montré tout le bénéfice qu’une entreprise

pouvait tirer profit de ses données, maximisant ainsi ses bénéfices, capitalisant sur les

opportunités qui se présentent et gagnant un avantage concurrentiel.

Malheureusement, ces référentiels sont :

- nombreux

- spécifiques à un domaine en particulier comme ISO27002 pour la sécurité des

systèmes d’informations

- destinés plus particulièrement aux grandes entreprises et non ciblé particulièrement

aux petites et moyennes entreprises

- …

Le référentiel JOA propose un ensemble de bonnes pratiques en terme de management et

gouvernance du système d’information pour les petites et moyennes entreprises. Il cherche à

devenir un référentiel répondant à la plupart des objectifs stratégiques de celles-ci.

JOA se repose sur une répartition distincte de 4 domaines stratégiques qui comprend plusieurs

objectifs stratégiques.

Les domaines stratégiques :

- Construire et Exploiter un service SI

- Gouverner le Système d’information de la DSI

- Gérer les activités de support

- Gérer la sécurité des Systèmes d’information

Un objectif stratégique contient à son tour plusieurs bonnes pratiques permettant d’atteindre

cet objectif stratégique.

Certaines bonnes pratiques dites redondantes sont utilisées dans plusieurs objectifs

stratégiques.

L’orientation de JOA consiste à ce qu’un PDG, direction, informaticien se reporte simplement

directement à un objectif stratégique pour connaître l’ensemble des bonnes pratiques.

JOA a vocation à devenir un cadre de référence permettant un lien de communication entre un

PDG, une direction et/ou un informaticien.

Pour faciliter la prise en main du référentiel, une application supplémentaire Excel JOA est

disponible en fichier EXCEL.


JOA, le référentiel en management et gouvernance des systèmes d’information pour les

PME-PMI

La mission de JOA :

Elle consiste à mettre au point, publier et promouvoir un cadre unique de référence des

meilleures bonnes pratiques pour les petites et moyennes entreprises en terme de management

et de gouvernance du système d’information, actualisé en faisant autorité pour les dirigeants,

l’informaticien, et les utilisateurs de l’entreprise..

Pourquoi ?

Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le

succès de l'entreprise. Ils s'attendent à ce que l'on comprenne de mieux en mieux comment

sont utilisées les technologies de l'information et la probabilité qu'elles contribuent avec

succès à donner un avantage concurrentiel à l'entreprise. Ils veulent savoir en particulier si la

gestion des SI peut leur permettre :

- d'atteindre leurs objectifs ;

- d'avoir assez de résilience pour apprendre et s'adapter ;

- de gérer judicieusement les risques auxquels ils doivent faire face ;

- de savoir bien identifier les opportunités et d'agir pour en tirer parti.

Pour qui ?

L’usage d’un référentiel de bonnes pratiques de management et gouvernance des SI servira

l’intérêt des parties prenantes :

le PDG :

- souhaite un alignement de la stratégie informatique sur celle de l’entreprise

- une création de valeur

- une hausse de la rentabilité des investissements

- un cadre pour l’aider à comprendre l’intérêt et les activités de l’informatique

- un support de communication avec l’informaticien

- l’emploi des meilleures bonnes pratiques

l’informaticien

- un cadre de référence pour l’aider à optimiser, développer, sécurisé le système

d’information

- obtenir des directives claires de la part de la direction

- renforcer ses compétences personnelles alors qu’il n’est pas toujours un spécialiste

les utilisateurs

- avoir un système d’information performant


Comment fonctionne JOA ?

Il suffit à la personne de regarder dans la liste des objectifs stratégiques pour trouver les

meilleures bonnes pratiques.

Au fil du temps, le nombre d’objectifs stratégiques grandira en nombre pour répondre à plus

de problématiques des petites et moyennes entreprises.

Les domaines stratégiques

JOA se repose sur une répartition distincte de 4 domaines stratégiques qui comprend plusieurs

objectifs stratégiques.

Les domaines stratégiques sont:

- Construire et Exploiter un service SI

- Gouverner le Système d’information de la DSI

- Gérer les activités de support

- Gérer la sécurité des Systèmes d’information

Le cœur d’activité de l’entreprise (Domaine Construire et exploiter un SI) est aidé par les 3

autres domaines stratégiques :


Relation domaines et objectifs stratégiques :

Un objectif stratégique contient à son tour plusieurs bonnes pratiques permettant d’atteindre

cet objectif stratégique.

Le domaine « Gouverner le Système d’information de la DSI » englobe les activités

d'élaboration des informations internes permettant le pilotage de l'activité de l'entreprise.et la

gestion du système de management.

Le domaine « Gérer les activités de support » représente l'activité de mise à disposition en

interne des ressources nécessaires à la réalisation des processus opérationnels : Achats de

fournitures, RH, Comptabilité, etc.

Il cherche à garantir le bon fonctionnement du Système d’information.

Le domaine « Construire et Exploiter un service SI » définit les activités opérationnels (de

réalisation), c'est-à-dire l'activité cœur de métier de l'entreprise par le système d’information


Le domaine « Gérer la sécurité des Systèmes d’information » cherche la préservation de la

confidentialité, de l'intégrité et de la disponibilité de l'information et de son utilisation


Les relations objectifs stratégiques et bonnes pratiques

Quelque soit l’objectif stratégique choisi, il comporte au moins une bonne pratique. JOA part

du principe qu’il ne suffit pas de donner une bonne pratique mais il est nécessaire aussi des

pistes d’implémentation, une manière d’implémenter, une aide, …d’où la présence d’un

tableau de synthèse à la fin de chaque objectif stratégique.

Entre les différents objectifs stratégiques, JOA comporte un ensemble de 144 bonnes

pratiques

Les bonnes pratiques redondantes

Parmi les bonnes pratiques, vous remarquerez que certaines bonnes pratiques sont

redondantes c'est-à-dire quelles sont utilisées au moins 2 fois de façon transverses dans

plusieurs domaines

Bonnes pratiques redondantes Objectifs stratégiques liés

Signature de la charte informatique par le

salarié

charte informatique

lois et conformité

gestion des ressources humaines

la gestion des actifs IT

permettre le télétravail Réguler l’usage de

l’email et d’Internet en Entreprise

Participer à des forums d’utilisateurs assure technico veille

maintenance des applications

Contrôler si des logiciels autres que ceux de

l’entreprise sont installés (logiciels pirates)

lois et conformité


Se mettre à jour de ces licences lois et conformité


Politique d'archivage de données lois et conformité

Protection des données

Mettre en place un système de surveillance

(proxy, filtres, …) et informer le personnel

lois et conformité

Réguler l’usage de l’email et d’Internet en

Entreprise

Recette Mise en production d’une solution

informatique

gérer les projets

Appliquer correctifs, patchs des éditeurs ou

fabricants

Maintenance d'une solution informatique

La gestion des nomades (ordinateurs et

téléphones portables)

Protection contre les logiciels malveillants

Se protéger contre le piratage informatique

Limiter la durée de connexion permettre le télétravail, Contrôle d’accès des Systèmes d’exploitation

Permettre un accès sécurisé depuis l’extérieur permettre le télétravail La gestion des nomades (ordinateurs et téléphones portables) Sécurité des accès réseaux

Identification et authentification La gestion des nomades (ordinateurs et


Contrôle d’accès des Systèmes d’exploitation

cryptage des données La gestion des nomades (ordinateurs et



Sauvegarde La gestion des nomades (ordinateurs et



Protection des données

Utiliser une solution contre les logiciels

malveillants

La gestion des nomades (ordinateurs et



Changer les mots de passe par défaut La gestion des nomades (ordinateurs et


Communiquer et faire participer les parties

prenantes

Plan de continuité informatique

Gérer la communication

Définir une politique de mot de passe Sécurité des accès réseaux

Contrôle d’accès des Systèmes

d’exploitation, Se protéger contre le piratage

informatique

Maintenir à jour la base de connaissances

JOA par rapport à cet objectif stratégique

Maintenir une documentation des

informations relatives à cet objectif

stratégique dans un logiciel ITSM comme

OCS inventory/GLPI

La base de connaissance JOA

Le référentiel JOA est un ensemble de bonnes pratiques qui sont nécessaires au management

et gouvernance SI.

Au fil de la lecture du référentiel, vous verrez que l’on parle « de mise à jour de la base de

connaissances JOA », pour avoir une et une base de données unique au lieu d’avoir une base

de données pour la gestion des actifs, une autre pour les incidents, ….

Le recoupage des informations permet d’avoir une meilleure maîtrise du système

d’information pour la prise de décision.

Par exemple, un utilisateur demande d’ouvrir un incident car son Pc fonctionne mal et

l’utilisation est difficile. Quand l’informaticien ouvre le ticket, il peut rattacher ce ticket à la

fiche du PC. En fin d’année, il est possible de connaître l’historique d’intervention sur un PC

ou encore établir des rapports détaillés et précis par machines.

C’est pourquoi, nous trouvons sur le marché des logiciels que l’on nomme ITSM.

Le référentiel JOA s’appuie notamment sur OCS Inventory/GLPI, Solution open-source de

gestion de parc informatique et de helpdesk

Pourquoi existe-t-il 2 versions du référentiel JOA?

En date du 10/08/2010, il existe 2 versions du référentiel JOA car il peut être utilisé par 2

catégories de personnes.


Le premier référentiel, celui qui est détaillé comporte des références à d’autres référentiels

(ITIL, Cobït, ISO27002) car il se veut être un référentiel unique à partir de sources de

référentiels existantes avec une application adaptée pour les PME-PMI.

Certains utilisateurs du référentiel JOA peuvent trouver un intérêt pour aller plus loin dans la

démarche ou faire le lien avec d’autres référentiels.

Le second référentiel est le plus simple (il ne comporte pas le détail avec Cobit, ITIL,

ISO27002), il est destiné au public standard qui souhaitent juste mettre en place les meilleures

bonnes pratiques en terme de management et gouvernance du système d’information.

Conclusion

En date du 31 aout 2010, JOA est à sa version 1.10. Le référentiel va évoluer dans le temps en

terme de qualité, de réponses à des problématiques, … c’est pourquoi il faut régulièrement le

site www.reférentiel-joa.com pour se tenir informer des nouvelles autour de ce référentiel.

Grâce aux contributeurs, par leur nombre: ils apportent leurs dynamismes et leurs

connaissances pour permettre l'avancée du référentiel.

Les contributeurs visent à la réalisation d'un référentiel qui correspond à la demande des

petites et moyennes entreprises en management et gouvernance et systèmes d'information.

Bien sur, il y a des experts qui contribuent à l'approfondissement des bonnes pratiques mais il

y a également les utilisateurs qui remontent leurs difficultés, leurs remarques, ...

Tout un ensemble qui doit permettre à JOA de devenir un référentiel de référence

Je vous invite donc à contribuer au référentiel JOA en participant au forum sur ce même site

en nous faisant par de vos suggestions, critiques, …

http://www.reférentiel-joa.com/


Gouverner le SI de la Direction des Systèmes d’information

Evaluer et Gérer les risques

La politique de sécurité du système d’information

Gérer le budget informatique

Alléger les coûts informatiques

Protéger l’e-réputation

Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus

Gérer les activités de support

Charte informatique

Gérer la communication

Assurer la veille technico-fonctionnelle

Gérer les ressources humaines

Le respect des lois et des règlements

Gérer les achats et les relations avec les fournisseurs

Faciliter et gérer l’exploitation au quotidien

Construire et Exploiter un service SI

Gestion de la base de connaissance

Gestion des actifs IT

Acquisition de solutions informatiques (applications, matériel, …)

Mise en production

Maintenance des applications et autres

Permettre, sécuriser le télétravail

Permettre et sécuriser les nomades

Gérer les changements

Gérer les projets

Gérer les problèmes

Assister les utilisateurs

Gérer la sécurité des Systèmes d’information

L’organisation de la sécurité de l’information

Plan de secours informatique

Se protéger contre les logiciels malveillants

Réguler l’usage d’Internet et de la messagerie

Contrôle d’accès des Systèmes d’exploitation

Protection des données et de l’information

Sécurité physique et environnementale

Sécuriser les accès réseaux

Se protéger des pirates informatiques (hacker)


Gouverner le Système d’information de la DSI (GSI)

GSI1: Evaluer et Gérer les risques

GSI2: La politique de sécurité du système d’information (PSSI)

GSI3: Gérer le budget informatique

GSI4: Alléger les coûts informatiques

GSI5: Gérer sa e-réputation

GSI6: Mesurer la satisfaction des clients et/ou des utilisateurs, des services

rendus


GSI1 Evaluer et Gérer les risques

Les activités des entreprises sont de plus en plus dépendantes des systèmes d’informations,

que ce soit au travers des applications, les infrastructures, ….

En conséquence, il nécessaire d’avoir une vigilance au niveau des risques en terme humain,

financier, organisationnel, technologique, …

La maîtrise des risques est une création de valeur pour l’entreprise en renforçant la confiance

qui entoure les décisions, protège les intérêts individuels et collectifs devient une exigence

croissante pour réduire l’effet de la complexité et de l’incertitude.

GSI1.1 Définir les activités fondamentales et critiques pour l’entreprise

Avant d’identifier les risques, il est fondamental de déterminer quelles sont les activités

fondamentales pour la bonne marche de l’entreprise.

GSI1.2 Etablir l’inventaire / le référentiel des risques (base de données des risques)

Il s'agit de considérer toutes les formes de risques (humain, financier, organisationnel,

technologique...) et de créer une base de données associée.

.

GSI1.3 Valoriser le risque

Il est déterminant de définir un classement rationnel car les risques n’ont pas tous le même

impact.

GSI1.4 Communiquer et faire participer les parties prenantes dans la gestion du risque

Tout au long de l’évaluation et la gestion des risques, il est nécessaire de communiquer avec

les propriétaires des activités fondamentales et des risques pour connaître leurs sentiments et

leurs points de vue dans un objectif de travail de collaboration.

GSI1.5 Définir les parades par un plan d’action

Pour définir correctement le plan d’action, il faut développer et tenir à jour un plan de réponse

contre le risque en cherchant à réduire en permanence l’exposition au risque. La réponse au

risque doit proposer des stratégies comme l’évitement, la réduction, le partage et

l’acceptation, l’assurance, la sous-traitance, …

Elle doit préciser les responsabilités associées et tenir compte du niveau d’appétence aux

risques.


GSI1.6 Identifier les points critiques du risque

Les risques sont changeants. La probabilité et la criticité évoluent au fur et à mesure de

l'avancement du projet. Certaines phases du projet sont plus à risques que d'autres. Il faut les

identifier.

GSI1.7 Réviser la table des risques

La table des risques n'est pas statique. Il faut la réviser régulièrement....

GSI1.8 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique

Par cette bonne pratique, l’informaticien doit maintenir à jour une documentation de cet

objectif stratégique dans la base de données JOA.




Le référentiel JOA conseille notamment de s’appuyer notamment sur OCS Inventory/GLPI,

Solution open-source de gestion de parc informatique et de helpdesk.

Les bonnes pratiques

Bonnes Pratiques Mise en œuvre

Identifier les activités critiques pour

l’entreprise

Il existe plusieurs méthodes d’analyse de risques

comme Ebios, Mehari, …

http://cyberzoide.developpez.com/securite/methodes-

analyse-risques/#LB

Etablir un inventaire / référentiel des

risques

Valoriser le risque

Communiquer et faire participer les

parties prenantes

Définir les parades par un plan

d’action

Identifier les points critiques

Réviser la table du risque

Maintenir à jour la base de

connaissances JOA par rapport à cet

objectif stratégique

Maintenir une documentation des informations

relatives à cet objectif stratégique dans un logiciel

ITSM comme OCS inventory/GLPI


GSI2 La politique de la sécurité du système d’information

La politique de sécurité des systèmes d'information (PSSI) est un plan d'action défini pour

maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de

l’entreprise en matière de sécurité des systèmes d'information (SSI).

La rédaction de la politique de sécurité du système d’information nécessite au préalable

une analyse de risques (il est conseillé d’utiliser la méthode EBIOS)

GSI2.1 Rédaction de la Politique de sécurité des systèmes d’information

La rédaction de la politique de sécurité des systèmes d’information permet d’être un

document référent au sein de l’organisation qui définit les exigences en termes de sécurité.

Elle constitue alors un véritable outil de communication sur l'organisation et les

responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir.

GSI2.2 Diffusion de la politique de sécurité des systèmes d’information aux parties prenantes

Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la

PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs,

exploitants, sous-traitants, prestataires …). Elle constitue alors un véritable outil de

communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens

disponibles pour s'en prémunir.

GSI2.3 Réviser la Politique de Sécurité des Systèmes d’Information

Dans le temps, les exigences en matière de sécurité évoluent, il est donc nécessaire de

maintenir la politique de sécurité des systèmes d’information












Rédaction de la PSSI La méthode EBIOS permet d’obtenir une analyse de

risque qui aboutit sur la rédaction.

http://www.ssi.gouv.fr/IMG/pdf/ebiosv2-mp-pssi-

2004-11-10.pdf

Diffusion des documents aux parties

prenantes

Réviser la PSSI

Maintenir à jour la base de

connaissances JOA par rapport à cet

objectif stratégique

Maintenir une documentation des informations

relatives à cet objectif stratégique dans un logiciel

ITSM comme OCS inventory/GLPI


GSI3 Gérer le budget informatique

Le budget informatique correspond à la production d’une prévision de la consommation

annuelle des ressources informatiques par les directions métier de l’entreprise, associé aux

prévisions de recettes provenant de ces mêmes clients et permettant d’équilibrer la balance

budgétaire.

Le budget permet en effet de vérifier que le financement prévu est suffisant pour assurer la

fourniture des services informatiques, mais également de contrôler que les dépenses ne

dépassent pas les prévisions.

GSI3.1 Définir les priorités du budget informatique

Définir les priorités dans l’attribution des ressources informatiques pour l’exploitation, les

projets et la maintenance, dans le but de maximiser la contribution des SI.

GSI3.2 Créer un budget informatique

Le budget informatique regroupe l’ensemble des dépenses courantes, d’investissement, qui

concerne les nouveaux projets et les achats en matériels, logiciels et prestations du service

Informatique.

Le budget est composé d’un ensemble de lignes recensant de manière exhaustive tous les

coûts générés par la fourniture des services informatiques durant la période budgétaire

(généralement annuelle).

GSI3.3 Suivre et Contrôler le budget informatique

L’objectif est de contrôler la consommation de ressources et de valider qu’elle correspond

bien aux prévisions

GSI3.4 Etablir une comptabilité des dépenses et des recettes

La comptabilité est un outil d'évaluation recensant et communiquant des informations sur

l'activité économique d'une entité économique ainsi que sur les éléments de son patrimoine

incorporel, matériel et financier.

Ces informations, généralement exprimées en unités monétaires, sont saisies, classées et

agrégées de manière à établir des documents de synthèse (bilan comptable, compte de

résultats, ...).

GSI3.5 Définir une politique de répartition des coûts informatiques

La répartition des dépenses du service informatique peut se faire par coût direct ou indirect.

La question que l’on peut se poser est : Comment répartir équitablement les coûts indirects

aux différents services qui consomment ?


GSI3.6 Réviser le budget informatique

Certaines fois les prévisions du budget informatique ne correspondent pas à la réalité. Il faut

donc ajuster le budget informatique en cas d’événement exceptionnel.










Bonnes pratiques Mise en œuvre

Définir les priorités du budget informatique Classifier l’ensemble et prioriser

Créer un budget informatique Etablir un document de synthèse

Suivi et Contrôler le budget informatique Suivre et Contrôler le budget informatique

Etablir une comptabilité des dépenses et des

recettes

Etablir une comptabilité des dépenses et des

recettes

Définir une politique de répartition des coûts Echanger avec la direction et les autres

responsables de service une politique

commune

Réviser le budget informatique Réviser le budget informatique






OCS inventory/GLPI


GSI4 Alléger les coûts informatiques

L’informatique se décompose en plusieurs charges (coûts informatiques) c'est-à-dire les

consommables, les salaires, …

Alléger les coûts signifie avant tout à améliorer les rendements des applications et des

services existants.

Officieusement une direction ou un PDG, on attend d’un responsable informatique une

optimisation entre le ratio qualité et coût.

GSI4.1 réduire le papier, les dépenses d’énergies, « paraître vert »

Etre une entreprise citoyenne signifie réduire l’empreinte CO² du système d’information ; le

grand public dirait « être vert ». C’est ainsi réduire les consommations d’énergie, les déchets

et éviter les gaspillages.

Dans cet état d’esprit, il faut veiller :

- Avoir une culture d’entreprise de préférer les équipements moins énergétivores à

capacité de traitement égale

- Faire des campagnes anti-imprimantes par la dématérialisation

- Réduire le nombre de photocopieuses et quantités de copies

- Définir une impression par défaut recto verso

- Promouvoir les visioconférences et les téléconférences pour réduire le nombre de

besoins en déplacements professionnels

GSI4.2 Enlever les applications non utilisées et périmées

Les besoins d’une entreprise évoluent dans le temps, il est donc nécessaire de mettre en place

de nouveaux processus (nouvelles applications, …)

En parallèle d’autres processus deviennent obsolètes mais ils coûtent de l’argent en termes de

prise de capacité et de ressources comme de l’espace disque dur, du processeur, … C’est

pourquoi, il est donc nécessaire de désinstaller ce type de logiciel, matériel …qui sont non

utilisés. Ils dérangeant pour les utilisateurs et pour la bonne gestion des applications

GSI4.3 Recycler le matériel non utilisé

Au lieu de jeter du matériel, il est intéressant de recycler le matériel informatique pour des

nouveaux projets.

GSI4.4 Utiliser des services de mutualisation sécurisée

La mutualisation des services met en commun des moyens, équipements matériels via des

plateformes dédiés tel qu’Amazon services, google, …


Ces plateformes utilisent la technologie « Cloud computing »

De cette manière, les entreprises ne sont plus propriétaires de leurs serveurs informatiques

mais peuvent ainsi accéder de manière évolutive à de nombreux services en ligne sans avoir à

gérer l'infrastructure sous-jacente, souvent complexe.

Les applications et les données ne se trouvent plus sur l'ordinateur local, mais un nuage

(« Cloud ») composé d'un certain nombre de serveurs distants interconnectés au moyen d'une

excellente bande passante indispensable à la fluidité du système. L'accès au service se fait par

une application standard facilement disponible, la plupart du temps un navigateur Web.

GSI4.5 La Virtualisation

La Virtualisation consiste à faire fonctionner sur un seul ordinateur plusieurs systèmes

d'exploitation comme s'ils fonctionnaient sur des ordinateurs distincts.

GSI4.6 Appel à la sous-traitance

Faute d’avoir le personnel en termes de nombre ou d’expertise, l’appel à la sous-traitance

permet une optimisation des coûts.








Les bonnes pratiques Mise en œuvre

réduire le papier, les dépenses d"énergie,

« paraître vert »

Donner une directive claire

Enlever les applications non utilisées et out

of version

Etablir un suivi des ressources informatiques

Recyclage du matériel non utilisé Identifier les besoins en ressource

informatique et possibilités de reconversion

La virtualisation

Utiliser des services mutualisés

Appel à la sous-traitance Choisir un fournisseur avec des compétences

identifiées






OCS inventory/GLPI


GSI5 Protéger sa e-réputation

Aujourd’hui, avec l’avènement des médias dit 2.0, l’internaute est devenu acteur et peut créer,

organiser et diffuser son propre contenu. Donner son avis et transmettre au plus grand

nombre (les internautes du monde entier) n’est plus l’apanage des journalistes ou de

technophiles. Avec des outils de plus en plus simples et participatifs, chaque connecté au net

est un métier en puissance : il peut parler d’une société sur son blog, laisser des commentaires

sur un site d’actualités, participer à un wiki, réseau social donner son avis sur votre produit

sur une plateforme d’avis de consommateur, créer une fiche sur un réseau.

Si une entreprise, organisation ou collectivité a décidé de ne pas communiquer sur le net, ses

clients, usagers ou administrés peuvent s’en charger à sa place, de manière sincère, mu par le

marketing ou le militantisme.

On a souvent tendance à parler du net en négatif, plus rarement de ce qui fonctionne bien. Et

pourtant, l’Internet à travers ses stratégies de buzz et marketing viral fait maintenant partie

intégrante des plans de communication.

Un buzz orchestré par les agences ou leurs clients peuvent donc générer des retombées

positives. Mais cela peut-être aussi le cas spontanés ou l’entreprise, ses marques, ses produits,

sont valorisés naturellement par les internautes, sans avoir eu à dépenser un centime en

campagne de publicité.

GSI5.1 Déposer son nom de domaine Internet

Un nom de domaine permet à vos clients et vos prospects d’identifier votre entreprise sur

Internet

En réservant votre nom de domaine dès à présent, vous préservez le nom de votre entreprise

sur Internet

Vous vous protégez contre toute utilisation préjudiciable de votre nom : par exemple, une

entreprise concurrente pourrait réserver un nom de domaine correspondant à votre entreprise

ce qui pourrait vous porter préjudice.

GSI5.2 Créer son site Internet

La création d'un site Internet est devenue incontournable pour toute société. C'est un moyen

efficace, rapide et moderne de faire connaître votre entreprise à grande échelle. Il sera

également la vitrine de votre entreprise afin de trouver de nouveaux clients

Correctement réalisé, il sera votre carte de visite avec description de vos activités, photos et

tarifs de vos produits, vos coordonnées etc. ...

Il fera également gagner du temps à vos clients, futurs clients et fournisseurs. "Combien de

personnes consultent le web pour comparer les produits, effectuer de chez eux à toute heure

du jour comme de la nuit une recherche comparative avec rapport qualité/prix"

Quel meilleur outils publicitaire que le Web pour se faire connaître, annoncer en temps réel


vos nouveaux produits, les offres promotionnelles. Moins cher et plus rapide que les dépliants

publicitaires qui envahissent nos boites à lettres et.... nos poubelles sans vraiment cibler la

clientèle intéressée

GSI5.3 Surveiller sa e-réputation

Les mots clés

Dans le domaine d’Internet, les mots clés (en anglais, keywords) sont des mots utilisés lors

des recherches d'informations sur les moteurs de recherche. Il s’agit souvent de mots relatifs

à l’environnement de l’entreprise telle que le nom de la société, nom du dirigeant de la

société, nom d’un produit, …

Il est donc primordial donc d’établir une liste de mots clés qui permettra de mieux trouver les

commentaires, articles liés à l’entreprise.

Une très grande diversité de sources mondiales

La maîtrise de la surveillance de nombreuses langues est essentielle. La toile est mondiale. Et

le développement des blogs implique qu’un consommateur peut parler à l’étranger dans

langue natale.

Automatiser les recherches en continu

Face à la problématique, un certain nombre d’éditeurs ont développés des solutions payante

ou gratuite de monitoring efficace et d’être alerté le cas échéant.

Google le leader mondial en terme de moteur de recherche, propose une solution d’alerte :

http://www.google.com/alerts

GSI5.4 Agir face à une crise

Lorsqu’il est trop tard pour prévenir les risques, il convient de mettre en place

immédiatement des actions pour gérer la crise et éviter un buzz médiatique négatif.

Il faudra jouer sur l’ouverture de dialogue :

- Contacter directement les internautes

- Engager le dialogue avec des blogueurs ou contributeurs de forum identifiés comme

influent et/ou experts

- Anticiper la crise en préparant un site officiel contre un buzz négatif

- Participer à des forums de discussions






http://www.google.com/alerts



Bonnes pratiques


Réserver et disposer d’un nom de domaine Réserver votre nom de domaine sur l’un des

nombreux dépositaires de nom de domaines:

www.gandi.net

www.eurodns.com

Création d’un site Internet Vous pouvez créer un site Internet à l’aide

d’un logiciel de création de site tel que Web

Easy Creator Pro ou directement en ligne

comme Sites de Google

Définir une solution de monitoring de sa e-

réputation

Surveillance avec une liste de mots clés

Surveillance multilingues de l’information

Etablir une veille Internet

Agir face à une crise - Contacter les internautes directement

- Engager le dialogue avec des

blogueurs ou contributeurs de forum

identifiés comme influent et/ou

experts

- Anticiper la crise en préparant un site

officiel contre un buzz négatif

- Participer à des forums de discussions






OCS inventory/GLPI

http://www.gandi.net/

http://www.eurodns.com/

http://www.lmsoft.com/

http://www.lmsoft.com/

https://www.google.com/accounts/ServiceLogin?continue=http%3A%2F%2Fsites.google.com%2F&followup=http%3A%2F%2Fsites.google.com%2F&service=jotspot&passive=true&ul=1


GSI6 Mesurer la satisfaction des clients et/ou des utilisateurs, des services rendus

Dans une démarche qualité, une enquête de la satisfaction des utilisateurs finaux permet

d’établir un bilan du service fourni d’un point de vue de l’utilisateur en complément des

statistiques comme la disponibilité.

Il ne faut pas voir cela comme une sanction possible mais une démarche d’amélioration

continue des services.

GSI6.1 Définir des objectifs concrets pour une enquête de satisfaction

Il faut commencer par définir pourquoi on veut mettre en place cette enquête de satisfaction :

Évolution du système informatique, nouvelles applications, amélioration du niveau de support

etc.

GSI6.2 Élaborer le questionnaire

Avec des questions sur la qualité perçue et des questions concrètes comme les temps de

réponses.

GSI6.3 Diffuser et promouvoir l'enquête

Il faut que les utilisateurs soient sensibilisés au bien fondé de l’enquête de manière à ce qu’il

adhère et qu’ils y participent.

GSI6.4 Analyser, interpréter les résultats et développer la satisfaction des utilisateurs

Il faut partager avec la direction générale les résultats de l’enquête et les axes d’amélioration

identifiés ainsi que les actions associées.

GSI6.5 Communiquer les résultats de l’enquête aux utilisateurs :

Il est très important que les utilisateurs aient connaissances des résultats de l’enquête avec les

solutions mise en place pour améliorer la qualité de service. Cela leur donnera l’impression

d’avoir apporter leur pierre aux fonctionnements du système informatique.




Définir des objectifs concrets Définir des objectifs concrets

Elaborer le questionnaire Elaborer le questionnaire

Diffuser et promouvoir l’enquête Diffuser et promouvoir l’enquête

Analyser, interpréter les résultats et

développer la satisfaction des utilisateurs

Analyser, interpréter les résultats et

développer la satisfaction des utilisateurs

Communiquer les résultats aux utilisateurs Communiquer les résultats aux utilisateurs

par mail, publication sur l’intranet, …


Gérer les activités de support

GAS1 : Charte Informatique

GAS2 : Gérer la communication

GAS3 : Assurer la veille technico-fonctionnelle

GAS4 : Le respect des lois et des règlements

GAS5 : Gérer les achats et les relations avec les fournisseurs

GAS6 : Gérer les ressources humaines

GAS7 : Faciliter et gérer l’exploitation au quotidien


GAS1 : Charte Informatique

La charte informatique est un document juridique à annexer au règlement intérieur de

l’entreprise et au contrat de travail. Elle décrit les règles d’utilisation du système

d’information et détaille les droits et les responsabilités des utilisateurs.

La charte informatique a un rôle double :

- Obtenir l’adhésion des utilisateurs au processus de sécurité informatique

- Assurer à l’entreprise le respect de ses obligations légales vis-à-vis des tiers

GAS1.1 Rédaction de la charte informatique

Avec le développement des nouvelles technologies de l’information et des communications

(NTIC), et constatant la place de plus en plus importante qu’elles prennent dans l’entreprise,

vous souhaitez élaborer une charte afin d’encadrer l’utilisation de ces technologies par les

salariés.

La charte informatique résume :

- les règles de l’usage des biens de l’entreprise à des fins professionnels uniquement

- la régulation de l’usage d’Internet et de la messagerie d’entreprise

- …

GAS1.2 Révision de la charte informatique

Les moyens de communication et les outils informatiques évoluent avec une extrême rapidité.

C'est pourquoi, pour suivre ces évolutions sans avoir à réécrire sa charte annuellement, il faut

rester le plus neutre possible technologiquement et ne pas viser un moyen de communication

particulier

GAS1.3 Validation de la charte informatique par une profession légale

La charte informatique devient un document juridique qui établit la relation entre l’entreprise

et les salariés.

Il est préférable que ce document soit validé par un expert légal, c'est-à-dire un avocat ou

homme de loi.

En outre, pour que les règles ne soient pas invalidées par d'autres textes juridiques, il faudra

prendre en compte non seulement le Code du travail, mais également la loi Informatique et

libertés de 1978 sur la protection des données à caractère personnel, les textes concernant les

élections électroniques et ceux sur la communication syndicale, voire, si nécessaire, l'accord

interprofessionnel sur le télétravail datant de juillet 2005.

Enfin, une veille juridique annuelle ou semestrielle permet de vérifier que la charte reste

d'actualité. Une jurisprudence importante nécessitera modification du document


GAS1.4 Signature de la charte informatique par le salarié

La charte informatique prévoira également que l’accès aux ressources informatiques ne pourra

se faire qu’après acceptation des modalités convenues dans la charte, et que le non-respect des

dispositions de la charte engagera la responsabilité du salarié. Elle doit être signée par le

salarié en étant annexé au contrat de travail et règlement intérieur

GAS1.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique








Rédaction de la charte informatique Définir les règles de sécurité et de

l’utilisation des ressources informatique de la

société par les salariés

Révision de la charte informatique Réviser et apporter des améliorations à la

charte informatique

Validation de la charte informatique par une

profession légale

Travailler avec un avocat conseil pour ce

document juridique

Signature de la charte informatique par le

salarié

Travailler en collaboration avec les

ressources humaines pour annexer la charte

informatique au contrat de travail et

règlement intérieur






OCS inventory/GLPI


GAS2 : Gérer la communication

La communication est l'action, le fait de communiquer, d'établir une relation avec autrui, de

transmettre quelque chose à quelqu'un, l'ensemble des moyens et techniques permettant la

diffusion d'un message auprès d'une audience plus ou moins vaste et hétérogène et l'action

pour quelqu'un, une entreprise d'informer et de promouvoir son activité auprès du public,

d'entretenir son image, par tout procédé médiatique.

GAS2.1 Favoriser les échanges par les outils électriques (intranet, …)

La pratique consiste à utiliser un ensemble de nouvelles technologiques de communications

dans le but de diffuser plus facilement et largement l’information.

Les technologies possibles sont :

- la messagerie

- l’intranet

GAS2.2 Diffuser les documents aux parties prenantes

Pour faciliter la prise de décision et l’utilisation, il est nécessaire de partager la connaissance.

GAS2.3 Etablir des feedbacks

Lors d’un processus de demande de collaboration avec des utilisateurs et/ou clients, il est

nécessaire de donner un feedbacks à ces derniers pour montrer l’importance de leur

participation. Le but de cette méthode est de renforcer la confiance mutuelle.

GAS2.4 Communiquer et faire partager les parties prenantes

Tout au long d’un processus, il est nécessaire de communiquer avec les parties prenantes pour

connaître leurs sentiments et leurs points de vue dans un objectif de travail de collaboration.

De plus, elle permet de se prémunir de rivalité et/ou désaccord futurs.



Favoriser les échanges par les outils

électroniques

Utilisation d’intranet, messagerie interne, …

Diffuser les documents pour jouer la

transparence

Pour faciliter la prise de décision et

l’utilisation, il est nécessaire de partager la

connaissance.

Etablir des feedbacks Diffuser les résultats des documents de

synthèse

Communiquer et faire partager les parties

prenantes

communiquer avec les parties prenantes pour

connaître leurs sentiments et leurs points de

vue dans un objectif de travail de

collaboration.


GAS3 : Assurer la veille technico-fonctionnelle

La veille technologique et stratégique est un processus de mise à jour périodique de

l'information. Davantage qu'une simple recherche, la veille consiste à recueillir l'information,

à la synthétiser et à tirer des conclusions pouvant réorienter l'entreprise

GAS3.1 Participer à des forums d’utilisateurs

Au lieu de rester seul dans son coin face à des problématiques complexes, il est recommandé

que l’informaticien participe à des rencontres de groupes d’informations, des forums de

discussion pour acquérir de nouvelles compétences et se tenir à jours des nouveaux faits.

GAS3.2 Se former et suivre des formations

Le renouvellement des technologies est constant en informatique, c’est pourquoi il est

nécessaire que le personnel informatique suive des formations actualisées pour maintenir à

jour ses compétences.



Participer à des forums d’utilisateurs Utiliser les forums de discussion, participer à

des séminaires.

Se former et suivre des formations Suivre des formations


GAS4 : Le respect des lois et des règlements

La conformité identifie, évalue, et contrôle le risque de non-conformité de l’entreprise par

rapport à son environnement.

GAS4.1 Assurer la conformité aux lois et règlements

Au sein d’un pays, un secteur d’activité, … une entreprise est régulée par un certain nombre

de lois, de règlements, normes.

Par exemple, le secteur de la finance est réglementé internationalement par la norme bale II

pour mieux appréhender les risques bancaires.

Au sein d’une entreprise, une personne doit prendre la responsabilité d’identifier, évaluer, et

contrôler le risque de non-conformité de l’établissement. Il doit aussi jouer un rôle de conseil

et d’information en devenant un référent interne (expert).

En cas de non-conformité, le risque de sanction judiciaire, administrative ou

disciplinaire, de perte financière significative, ou d’atteinte à la réputation est persuasif.

GAS4.2 Sensibiliser la protection de la propriété intellectuelle

La propriété intellectuelle est l'ensemble des droits exclusifs accordés sur les créations

intellectuelles. Sa première branche est la propriété littéraire et artistique, qui s'applique aux

œuvres de l'esprit, et est composée du droit d'auteur, du copyright et des droits voisins.

GAS4.3 Contrôler si des logiciels autres que ceux de l’entreprise sont installés (logiciels pirates)

D’un coté, l’entreprise doit mettre en place un dispositif ou une procédure pour être à jour et

conforme aux licences achetées. De l’autre coté, elle doit sensibiliser leurs personnels

concernant la protection de la propriété intellectuelle et du copyright.

L’entreprise peut être sanctionné si un logiciel est copié ou une licence est utilisée sur deux

postes au lieu d’un.

GAS4.4 Se mettre à jour de ces licences




L’entreprise achète des licences pour des logiciels à son usage interne exclusif et en

conformité aux conditions générales comme une licence Windows par poste, …







GAS4.5 Archivage de données

Certaines réglementations imposent des obligations légales en matière de gestion fiscale,

comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes

des documents contenant des données à caractère personnel.

Dans ce cas, les entreprises ont l’obligation, au regard de la réglementation applicable,

d’archiver nombre d’informations très détaillées sur leur activité passée, en particulier au sujet

des opérations effectuées avec leurs clients, fournisseurs ou salariés.

GAS4.6 Protection de la vie privée

La plupart des salariés travaillant dans des bureaux ont un accès Internet et ainsi l’usage d’un

ordinateur attribué lui permettant aussi bien de stocker des informations à caractère

professionnel, que des informations à caractère personnel. Le problème qui se pose est alors

de savoir quelles sont les limites à cette utilisation de l’ordinateur à des fins personnels par le

salarié, et que peut faire l’employeur afin d’éviter les abus

L’entreprise doit respecter le secret des correspondances, et plus généralement des

informations personnelles du salarié contenues dans l’ordinateur, relèvent du droit au respect

de la vie privée.

GAS4.7 Logiciel de filtrage (Internet Engineering Management)

Pour éviter les abus, les entreprises peuvent mettre en place des systèmes de surveillance et en

informer les salariés. A l’aide d’outil spécialisé comme un proxy, … il n’est pas interdit de

faire de l’Enterprise Internet Management pour réguler l’usage d’Internet des salariés. (sites

de liens sociaux comme facebook, consultations de sites commerciaux à risques)

Dans le cadre du contrat de travail ou de la charte informatique interne, l’entreprise doit

spécifier que l’outil informatique ne doit être utilisé qu’à des fins professionnelles et non

privé.

Sécuriser la navigation, c'est le domaine des logiciels dits de "filtrage d'url". Leur rôle est de

réguler l'usage du Web en interdisant l'accès à des sites sans lien direct avec l'activité

professionnelle des salariés. Ils s'appuient sur deux procédés de filtrage :

» L'existence d'une base, élaborée par l'éditeur, recensant les adresses des sites interdits

("black list") classés par catégories (sexe, jeux, guerre, drogue...) et mise à jour le plus

souvent quotidiennement.»

L'analyse du contenu des pages des sites visités et des mots qui servent à les trouver dans les

moteurs de recherche en mêlant des méthodes heuristiques et sémantiques. Cela permet de

s'assurer qu'ils sont compatibles avec la politique de régulation définie par l'entreprise, même

s'ils ne figurent pas dans la "black-list".


Ces outils offrent des possibilités de paramétrage plus ou moins poussées : par individus,

groupes d'utilisateurs, créneaux horaires, voire quotas de téléchargement. De quoi instaurer un

contrôle très fin de la navigation.

Ce type de produits est commercialisé par des éditeurs comme ISS, Secure Computing, Surf

Control, Websense… pour ne citer qu'eux.

Il existe aussi des versions prenant en compte le filtrage des emails

GAS4.8Signature de la charte informatique par le salarié




salarié en étant annexé au contrat de travail et règlement intérieur









Un responsable s’assure que la conception,

l’utilisation et la gestion du système

d’information sont conformes au droit

applicable

En France, la CNIL a créé le statut de

« correspondant informatique et libertés »

pour :

- appliquer la loi

- alléger les formalités

http://www.cnil.fr/la-cnil/nos-

relais/correspondants/pourquoi-designer-un-

cil/

Sensibiliser le personnel au sujet de la

propriété intellectuelle et copyright

Etablir une notification dans le contrat de

travail

Effectuer une sensibilisation écrite et orale

Se mettre à jour de ces licences Faire les désinstallations de logiciels

nécessaires sur les postes de travail en cas de

non-conformités

Acheter des licences si nécessaires

Etablir un Inventaire de son patrimoine

applicatif et des licences

Utiliser un logiciel d’inventorisation

automatique des logiciels par postes et des

licences :

- Ocs.inventory,

http://www.ocsinventory-

ng.org/index.php?page=french

- GLPI http://www.glpi-project.org/

http://www.cnil.fr/la-cnil/nos-relais/correspondants/pourquoi-designer-un-cil/



http://www.ocsinventory-ng.org/index.php?page=french

http://www.ocsinventory-ng.org/index.php?page=french


Information de l’usage informatique

contractuelle avec le salarié

Spécifier dans le contrat de travail ou charte

informatique, l’outil informatique ne doit être

utilisé qu’à des fins professionnels et non

privé.

Mettre en place un système de surveillance

(proxy, filtres, …) et informer le personnel

Utilisation d’un logiciel EIM comme

websense enterprise, …

Respect de la correspondance privée dans le

cadre de législation, …

Etablir une directive formelle des données

informatique pour l’archivage ou la

destruction

Choisir les informations qui :

- peuvent être détruites directement ?

- doivent être archivées et combien de

temps conservées ?

Certaines données peuvent être

réglementées : http://www.legifrance.gouv.fr






OCS inventory/GLPI

http://www.legifrance.gouv.fr/


GAS5 : Gérer les achats et les relations avec les fournisseurs

Une entreprise et ses fournisseurs sont interdépendants et des relations mutuellement

bénéfiques doivent se tisser pour que la confiance puisse régner entre eux.

GAS5.1 Définir une liste de fournisseurs référencés

Face aux sollicitations, il est important de définir une liste de fournisseurs de services qui

correspondent à des critères demandés par la direction, le service informatique comme la

qualité, le coût pour une politique transparente.

Pour qu’un nouveau fournisseur soit référencé, il devra se conformer aux demandes de

l’entreprise.

GAS5.2 Procédure de sécurité autour des fournisseurs

Une politique de sécurité pour les fournisseurs doit être mis en place par :

- élaboration d’une clause de confidentialité

- un suivi et gestion des droits d’accès

- Traçabilité de toutes actions

GSA5.3 Définir des contrats de services avec SLA

Etablir un SLA se résume à la formalisation d’un accord négocié entre deux parties

(l’entreprise et le fournisseur). C’est un contrat entre clients et fournisseurs, ou entre

fournisseurs. Il met par écrit, l’attente des parties au niveau des services, priorités,

responsabilités, garanties, et donc au final de ce que l’on pourrait définir comme le « niveau

de service ».

Par exemple, il peut permettre de spécifier les niveaux de disponibilité, de service, de

performance, d’opération ou de tout autre attribut du service en question, tel que la facturation

voire les pénalités (financières ou autres) en cas de manquement au SLA.

GSA5.4 Etablir un référentiel des services fournis par des services tiers

L’ensemble des services d’un tiers doit être consignés inévitablement dans un référentiel.










Définir une liste de fournisseurs référencés Définir des critères de choix pour définir une

liste de fournisseurs « référencés »

Procédure de sécurité autour des fournisseurs Définir une procédure de sécurité autour des

fournisseurs :

- clause de confidentialité

- …

Définir des contrats de services avec SLA Définir des contrats de services avec SLA

Etablir un référentiel des services fournis par

des services tiers

Etablir un référentiel des services fournis par

des services tiers






OCS inventory/GLPI


GAS6 : Gérer les ressources humaines

Il donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant

l’implication des Ressources Humaines dans le management informatique.

GAS6.1 Signature de la charte informatique

Pour certaines PME, l’information représente leurs « fonds de commerces » comme le fichier

clients, les résultats de R et D, …

C’est pourquoi, il est nécessaire de s’assurer de la bonne « mœurs » des personnes critiques.

D’un coté, il faut que la Direction des Ressources Humaines vérifie la solvabilité et le casier

judiciaire des personnes potentiellement recrutées.

Dans le processus de recrutement, elle doit :

- faire signer un engagement de confidentialité

- faire une clause de non concurrence

- faire signer le respect de la charte informatique

-

GAS6.2 Une collaboration RH et informaticien

Il est fondamentale pour la sécurité informatique que la Direction des Ressources Humaines

travaille dans la main avec l’informaticien pour :

- établir des compagnes de sensibilisation de la sécurité informatique

- définir les actions à engager en cas de non respect de la charte informatique interne

GAS6.3 Définir et appliquer une procédure de départ d’un salarié

La fin d’un contrat d’un salarié est un risque majeur d’autant plus si elle se fait dans de

mauvais terme.

Il faut donc que l’entreprise doit encadrée à l’aide de procédure dont :

- la restitution du matériel de la société

- révocation des droits de l’utilisateur d’accès logiques et physiques

- communication discrète en amont entre la direction des ressources humaines et

informatique pour prendre des dispositions

GAS6.4 former un binôme

L’informatique est devenue au fil du temps, l’un des piliers de la bonne marche de

l’entreprise. Malheureusement quand il y a un seul informaticien, le risque est élevé lorsqu’il

est en vacances ou malade.

Il est donc conseiller de former une seconde personne à l’exploitation de l’informatique de

l’entreprise.










Signature de la charte informatique Annexer ce document au contrat de travail et

règlement intérieur

Une collaboration RH et informaticien Travail de collaboration

Départ d’un salarié Définir une procédure de départ d’un salarié

former un binôme Définir un binôme qui deviendra compétent

en cas d’indisponibilité du titulaire.






OCS inventory/GLPI


GAS7 : Faciliter et gérer l’exploitation au quotidien

Faute de moyens humains, il est préférable que l’informaticien s’organise afin de se faciliter

la gestion de l’exploitation informatique au quotidien.

GAS7.1 Système de supervision de l’infrastructure

La supervision réseau porte sur la surveillance de manière continue de la disponibilité des

services en ligne - du fonctionnement, des débits, de la sécurité mais également du contrôle

des flux. D’un autre coté, la supervision des applications (ou supervision applicative) permet

de connaître la disponibilité des machines en termes de services rendus en testant les

applications hébergées par les serveurs.

Le processus de supervision permet d’envoyer une alerte sur une messagerie ou sur téléphone

portable en cas d’anomalie, dysfonctionnement.

La supervision renforce la réactivité.

GAS7.2 Planification de maintenance préventive

La maintenance préventive consiste à changer une pièce avant qu'elle ne tombe en panne.

Cette maintenance préventive passe par l'utilisation des logiciels de test, de diagnostic, voire

d'auto-diag, ainsi que la connaissance poussée des modes de fonctionnement des ordinateurs...









Système de supervision de l’infrastructure Alerte en cas de dysfonctionnement

Planification de maintenance préventive Prévoir des « fenêtres de maintenance »






OCS inventory/GLPI


Construire et Exploiter un service SI

CES1 : Assister les utilisateurs

CES2 : Gestion des actifs IT

CES3 : Acquisition d’une solution informatique

CES4 : mise en production d’une solution informatique

CES5 : Maintenance d’une solution informatique

CES6 : Permettre et sécuriser le télétravail

CES7 : Gérer et sécuriser les nomades

CES8 : Gérer les changements

CES9 : Gérer les projets

CES10 : Gérer les problèmes


CES1 Assister les utilisateurs

Même si le service informatique aura toujours la volonté de fournir la meilleure qualité de

service, l’incident n’est pas inévitable.

Il existera toujours un événement imprévisible dont on définira comme un « incident » qui

provoquera une interruption ou une baisse de la qualité de service.

Cependant, une gestion des incidents doit permettre :

- une réactivité de la part du service informatique

- capitaliser le savoir en cas de répétition d’un même incident

- prévenir d’un incident mineur avant qu’il ne devienne majeur

CES1.1 Création d’un point unique de contact (SPOC), hotline

Le centre d’appel unique permet aux utilisateurs d’accéder au support informatique par un

point de contact unique.

Il est possible de l’implémenter en mettant en place soit :

- un numéro de téléphone unique

- un email comme [email protected]

Nous le verrons plus tard que le mail est fortement conseillé dans le cadre d’une petite et

moyenne entreprise.

CES1.2 Création d’un système d’enregistrement de tickets

Lors de la prise de contact d’un utilisateur avec le SPOC, la première étape doit consister à

créer un ticket pour garder une traçabilité de l’appel, du mail, …

Pour mettre en place un système de ticket, il est nécessaire de mettre en place un logiciel

spécialisé tel que GLPI (http://www.glpi-project.org/ , produit gratuit et opensource)

Le ticket doit comporter un certain nombre d’informations : un numéro unique de ticket, le

type de ticket (incident, problème, demande de service, demande d’information, alerte)

CE1.3 Classification

Un incident concerne une personne, un matériel, … il faut donc définir des catégories par type

de service, de matériel, …

L’attribution d’un incident à une classification peut permettre de détecter des

dysfonctionnements récurrents ou des comportements de personnes anormaux comme par

exemple:

- l’utilisateur du pc avec la référence 2002 tombe en panne 4 fois par semaine, peut être

qu’il y a un problème et non un incident

=>Le directeur des opérations appelle toutes les 5 minutes

mailto:[email protected]

http://www.glpi-project.org/


CES1.4 Favoriser le suivi des incidents pour les utilisateurs

Lors du choix du logiciel gérant la notion de tickets, il faut s’assurer qu’il existe un moyen

pour l’utilisateur d’avoir un suivi du ticket sans avoir nécessairement besoin d’appeler

le helpdesk

En contrepartie, l’informaticien doit s’engager à mettre à jour les tickets des qu’il y a un

événement nouveau.

A défaut de cette possibilité, il faut offrir la possibilité à l’utilisateur d’appeler le support

informatique mais il s’agirait d’appels pouvant surcharger le support informatique.

CES1.5 Définir des règles de priorisation

Devant une multitude de requêtes d’assistance, il est nécessaire de définir des règles de

priorisation d’incidents.

Par exemple, vous pouvez établir l’une des règles suivantes :

- Premier arrivé, Premier traité

- Requêtes par le niveau hiérarchique du demandeur

- Nombre d’utilisateur potentiellement impacté

CES1.6 Investigation et diagnostic

Le service informatique va questionner l’utilisateur et une base de connaissance des incidents

pour tenter d’établir un diagnostic et trouver la solution à l’incident.

L’ensemble des actions menées doivent être enregistré dans le ticket incident pour garder un

historique.

CES1.7 Escalade ou une demande aide extérieure

Selon les petites et moyennes entreprises, nous rencontrons deux cas possibles.

Premièrement, certaines entreprises feront appel à des sociétés spécialisées en ingénierie

informatique pour prendre en charge les incidents les plus compliqués. Elle escalade donc

l’incident à une société extérieure.

Faute de moyens, la deuxième catégorie doit se débrouiller par elle-même en faisant appel aux

forums d’utilisateurs sur Internet, réseaux de connaissances, …

CES1.8 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique







La base de connaissance doit permettre le partage entre tous les informaticiens du service

informatique pour s’entraider à résoudre des incidents, …

C’est pourquoi, elle doit être mise à jour en cas d’incident « nouveau » qui n’est pas renseigné

sous la forme d’une RFC (Request for Change), procédure, …

CES1.9 Clôture de l’incident

Lors de résolution d’un incident, il est important de s’assurer de cet état avec l’utilisateur pour

lui expliquer la source et la solution apportée.

Idéalement, l’incident doit être clos par l’utilisateur pour donner/promouvoir son approbation.

Cependant, il est conseillé de donner une date limite d’appréciation de l’incident à l’utilisateur

afin de le limiter le nombre de tickets ouverts.

CES1.10 Statistiques du centre d’appels

Idéalement le logiciel retenu doit permettre d’éditer des statistiques pour connaître le niveau

d’activité du support informatique.

D’ailleurs, elles doivent être communiquées à la direction régulièrement pour savoir s’il est

nécessaire d’embaucher une personne supplément voir d’externaliser toute ou une partie du

support informatique pour gagner en réactivité.

En cas d’externalisation, vous pourriez exiger des niveaux de services (SLA)

Les statistiques permettent donc notamment de détecter les forces et faiblesses à l’aide d’une

petite analyse.

CES1.11 Communiquer vers les utilisateurs (parties prenantes)

Le support informatique est un canal import pour la communication avec les utilisateurs, il ne

s’agit pas uniquement de répondre à des utilisateurs qui en font la demande.

C’est pourquoi, il est recommandé de faire régulièrement des communications vers les

utilisateurs pour les informer :

- de la manière de demander assistance au support informatique

- de règles générales de sécurité

- d’aide générale pour utiliser un nouveau logiciel

- …

Le support informatique ne doit pas rester « dans sa tour d’ivoire », il doit utiliser les moyens

informatiques pour communiquer vers les utilisateurs de l’aide du mail.


D’ailleurs, il est recommandé de créer des listes de distributions pour faciliter l’envoi de mails

aux utilisateurs. Cette méthode consiste à créer un email dont plusieurs utilisateurs associés.

Au lieu d’envoyer le mail à tous les utilisateurs nominativement, il est plus simple d’envoyer

à une adresse unique afin que tous les utilisateurs concernés reçoivent



Création d’un point unique de contact

(SPOC), hotline

Email ou Numéro de téléphone unique

Création d’un système d’enregistrement de

tickets

Utilisation d’un logiciel de service desk

Classification des tickets Catégoriser les tickets

Favoriser le suivi des incidents pour les

utilisateurs

Définir des règles de priorisation Devant une multitude de requêtes

d’assistance, il est nécessaire de définir des

règles de prioritaire d’incidents.

Investigation et diagnostic

Escalade ou une demande aide extérieure






OCS inventory/GLPI

Clôture d’incident Lors de résolution d’un incident, il est

important de s’assurer de cet état avec

l’utilisateur pour lui expliquer la source et la

solution apportée.

Idéalement, l’incident doit être clos par

l’utilisateur pour donner/promouvoir son

approbation.

Cependant, il est conseillé de donner une

date limite d’appréciation de l’incident à

l’utilisateur afin de le limiter le nombre de

tickets ouverts.

Statistiques du centre d’appels éditer des statistiques pour connaître le

niveau d’activité du support informatique.

Communiquer vers les utilisateurs faire régulièrement des communications vers

les utilisateurs pour les informer :

- de la manière de demander assistance

au support informatique

- de règles générales de sécurité

- d’aide générale pour utiliser un

nouveau logiciel


CES2 La gestion des actifs (IT Asset Management) et des ressources informatiques

La gestion des actifs est essentielle, tant en terme financier qu’en terme opérationnel. En effet,

une gestion qualifiée de stratégique permet de limiter les risques liés à la conformité et à la

sécurité, de réduire les coûts, d’augmenter la réactivité et la capacité d’adaptation au

changement et ainsi d’obtenir une meilleure satisfaction client.

CES2 1 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique

Il est important de constituer une base de données centralisée et mettre en place un outil pour

recenser toutes les informations qui concernent les éléments de configuration. Surveiller et

enregistrer tous les actifs et les changements qui y sont apportés. Pour chaque système tenir à

jour une base des composants de sa configuration pour pouvoir s’y référer après une

modification.

En outre cette base de données centralisée permet d’effectuer des requêtes pour répondre à

des problématiques données :

- les logiciels ont-ils tous une licence d’acquisition ?

- qui est l’utilisateur actuel de tel matériel ?

- quelle est la capacité de mémoire vive du pc portable de l’utilisateur ?

- identifier le matériel en stock

- …

Malheureusement, certaines informations critiques devront être saisies manuellement

comme :

- la durée de garantie

- le prestataire

CES2.2 Définir un statut du matériel

Définir un statut du bien appartenant à la société comme en prêt, en stock, ….

CES2.3 Contrôler si des logiciels autres que ceux de l’entreprise sont installés (logiciels pirates)






CES2.4 Se mettre à jour de ces licences





CES2.5 Signature de la charte informatique par les salariés

La bonne pratique consiste à intégrer dans la charte informatique une partie de l’utilisation

Internet contenant les clauses suivantes :

- l’employé ne doit pas compromettre l’entreprise par de la diffamation, du harcèlement,

…

- la procédure en cas de mail douteux tels qu’une pièce jointe, …

- utiliser les dispositifs de sécurité de la société en mode active (antivirus, …)

- informer des règles de sécurité telle que la taille maximale de pièce jointe, de la

messagerie, …

- l’email ne peut pas être utilisé à des fins personnelles telles que des communications

privées, des achats, …

Cette charte devra être diffusée largement pour sensibiliser :

- annexé au contrat de travail

- inclus dans le règlement intérieur

- signé par les salariés

- rappel périodique


Bonnes pratiques Exemple d’implémentation



Créer un inventaire automatique (et remplir

manuellement d’autres informations) des

actifs informatiques (Matériels, logiciels,

licences, …) qui peuvent être classés par

utilisateurs, éléments, …

Utiliser un logiciel d’inventorisation

automatique du matériel, des logiciels et des

licences :

- OCS

- GLPI

Définir un statut du matériel, logiciel (en

prêt, retiré, …)

Définir plusieurs statuts possibles des actifs

(Déployé, matériel de secours, en prêt, …)

Contrôler si des logiciels autres que ceux de

l’entreprise sont installés (logiciels pirates)

Faire les désinstallations de logiciels

nécessaires sur les postes de travail en cas de

non-conformités

Se mettre à jour de ces licences Faire des désinstallations de logiciels

nécessaires sur les postes de travail en cas

non-conformités.

Acheter des licences supplémentaires si

nécessaires.

Signature de la charte informatique par les

salariés

Spécifier dans le contrat de travail et/ou la

charte informatique, l’outil informatique doit

être utilisé à des fins professionnels et non

privé.


CES3 Acquisition d’une solution informatique (application, …)

L’acquisition d’une solution informatique représente un investissement qui nécessite d’y

consacrer du temps et un processus d’acquisition strict.

CES3.1Définition du besoin d’une solution informatique

Un nouveau besoin impose une analyse avant achat ou création en établissant la définition des

besoins, la prise en compte de sources alternatives, l’analyse de la faisabilité technique et

économique

CES3.2 Choix d’un fournisseur référencé

Face aux sollicitations, il est important de définir une liste de fournisseurs de services qui

correspondent à des critères demandés par la direction, le service informatique comme la

qualité, le coût pour une politique transparente.

Pour qu’un nouveau fournisseur soit référencé, il devra se conformer aux demandes de

l’entreprise.

CES3.3 Tests du matériel dans un environnement dédié

Avant d’établir un achat, il est recommandé de tester le matériel en dehors de la production

pour déterminer s’il répond aux besoins définis.



Définition du besoin Un nouveau besoin impose une analyse avant

achat ou création en établissant la définition

des besoins, la prise en compte de sources

alternatives, l’analyse de la faisabilité

technique et économique

Choix d’un fournisseur référencé Face aux sollicitations, il est important de

définir une liste de fournisseurs de services

qui correspondent à des critères demandés

par la direction, le service informatique

comme la qualité, le coût pour une politique

transparente.

Pour qu’un nouveau fournisseur soit

référencé, il devra se conformer aux

demandes de l’entreprise.

Tests du matériel dans un environnement Avant d’établir un achat, il est recommandé


dédié de tester le matériel en dehors de la

production pour déterminer s’il répond aux

besoins définis.


CES4 Mise en production d’une solution informatique

La gestion des mises en production, c’est avoir une vue complète et totale d’un changement

apporté à un service et s’assurer que tous les aspects d’une nouvelle version matérielle et

logicielle aussi bien technique que non technique soient pris en considération

CES4.1 Plan de test

Il est recommandé de tester le matériel en dehors de la production pour déterminer s’il répond

aux besoins définis et définir l’impact

CES4.2 Plan d’implémentation

Définir un plan de mise en production et prévenir la possibilité d’un retour en arrière si

nécessaire.

CES4.3 Conversion des systèmes et des données

Une nouvelle solution peut déterminer la migration de données et des systèmes

CES4.4 Mise en production

La mise en production détermine le début de l'utilisation du programme sur des données

réelles, pour réalisation d'un travail effectif, tout ce qui a précédé n'étant que des simulations.

CES4.5 Recettes

La recette vérifie que la mise en production est conforme aux besoins formulés










Plan de test tester le matériel en dehors de la production

pour déterminer s’il répond aux besoins

définis et définir l’impact

Plan d’implémentation Définir un plan de mise en production et

prévenir la possibilité d’un retour en arrière

si nécessaire.

Conversion des systèmes et des données Une nouvelle solution peut déterminer la

migration de données et des systèmes

Mise en production La mise en production détermine le début de

l'utilisation du programme sur des données

réelles, pour réalisation d'un travail effectif,

tout ce qui a précédé n'étant que des

simulations.

Recettes La recette vérifie que la mise en production

est conforme aux besoins formulés






OCS inventory/GLPI


CES5 Maintenance d’une solution informatique

Pour maintenir une optimisation et un rendement des investissements, il est nécessaire

d’établir une maintenance des solutions informatiques misent en production.

CES5.1 Participer à des forums d’utilisateurs

Le Responsable informatique doit établir une vieille technologique en participant à des

groupes d’utilisateurs comme le clusif, forums, lecture de livre …

Cette démarche est utile pour établir un réseau utile en cas de problèmes.

CES5.2 Etablir un test des correctifs et mise à jour

Avant d’installer directement les correctifs et les patchs de sécuriser, l’informaticien doit

tester dans un environnement dédié.

CES5.3 Appliquer correctifs, patchs des éditeurs ou fabricants

Les pirates informatiques profitent des vulnérabilités (failles de sécurité) pour arriver à leurs

fins. En conséquence, le système et le réseau informatique doit être régulièrement à jour pour

être la victime de failles connues.

C'est-à-dire qu’il faut utiliser les patches des éditeurs et des fabricants pour les ressources

informatiques.










Participer à des forums d’utilisateurs établir une vieille technologique en

participant à des groupes d’utilisateurs

comme le clusif, forums, lecture de livre …

Etablir un test des correctifs et mise à jour

Appliquer correctifs






OCS inventory/GLPI


CES6 Permettre le télétravail

Porté par le développement des nouvelles technologies, le télétravail devait être l'un des

phénomènes majeurs de ce début de siècle. La réalité est différente avec, aujourd'hui, à peine

7,5 % de la population active plus ou moins concernée par ce mode de travail. Mais les

entreprises se piquent enfin au jeu selon le journal officiel du net.

Le télétravail désigne de manière générale toutes les formes de « travail à distance », c'est-à-

dire les formes d'organisation et/ou de réalisation du travail rendues possibles hors de la

classique unité de temps et de lieu, par les moyens de télécommunication et l'Internet dans le

cadre d'une prestation de service ou d'une relation d'emploi contractualisée.

CES6.1 Signature de la charte informatique




salarié en étant annexé au contrat de travail et règlement intérieur.

CES6.2 Sécurité physique du site du télétravailleur

Une question essentielle à examiner, pour les télétravailleurs, est la sécurité physique du site.

L'organisation devrait se pencher sur la sécurité physique du bâtiment proposé

(Généralement une maison) et aussi prendre en compte la sécurité des environs

région.

L'environnement du télétravail dans le bâtiment devrait également être

pris en compte: est-il un bureau séparé ou il est dans une zone commune?

Les exigences en communications devraient être évaluée, ce qui devrait prendre en compte

les informations classification, la technologie sous-jacente de liaison et de la sensibilité des

le système auquel elle est liée. Enfin, la menace d'accès non autorisé aux

installations (y compris de la famille et amis) devrait également être évaluée.

Il ya un certain nombre de contrôles qui pourraient être envisagées et qui devraient être

inclus dans la politique de télétravail. Comme avec la politique de travail mobile, les

télétravailleurs ne devraient pas être autorisés à commencer l'activité jusqu'à ce qu'ils soient

de façon satisfaisante formés.

CES6.3 Fournitures du matériel par la société

Il faudra envisager la fourniture du matériel par l’entreprise : d'imprimantes, fichiers, les

lecteurs de périphériques et équipements de sécurité tels que des écrans anti-éblouissement,

du poignet


CES6.4 Limiter la durée de connexion

Pour protéger des applications à haut risque, il est indispensable de restreindre l’accès à des

horaires uniquement de travail pour renforcer la sécurité.

De plus, il est bon de restreindre la durée de connexion à une application pour éviter de

surcharger une application et gagner en performance.

Les travaux autorisés doivent être définis, y compris les heures de travail et de la

classification des informations qui peuvent être tenues à, ou accessibles à partir de

l'emplacement.

CES6.5 Permettre un accès sécurisé depuis l’extérieur

L’accès à distance au réseau principal de l’entreprise doit se faire de manière sécuriser avec

l’usage d’un VPN, extranet, …

CES6.6 Utilisation à des fins professionnels

Le matériel professionnel doit rester à des fins professionnels, c’est pourquoi il faut

sensibiliser le salarié que l’entourage ne doit pas utiliser …

CES6.7 Vérifier la conformité régulièrement

Le risque d’un site décentralisé est majeur, il faut donc s’assurer de la conformité de

l’utilisation et de l’installation du télétravailleur.



Signature de la charte informatique Elle doit être signée par le salarié en étant

annexé au contrat de travail et règlement

intérieur.

Sécurité physique du site L'environnement du télétravail dans le

bâtiment devrait également être

pris en compte: est-il un bureau séparé ou il

est dans une zone commune

Fournitures du matériel par la société C’est à l’entreprise de fournir l’ensemble du

matériel nécessaire. .

Limiter la durée de connexion Pour protéger des applications à haut risque,

il est indispensable de restreindre l’accès à

des horaires uniquement de travail pour

renforcer la sécurité.

Permettre un accès sécurisé depuis L’accès à distance au réseau principal de


l’extérieur l’entreprise doit se faire de manière sécuriser

avec l’usage d’un VPN, extranet, …

Utilisation à des fins professionnels Le matériel professionnel doit rester à des

fins professionnels, c’est pourquoi il faut

sensibiliser le salarié que l’entourage ne doit

pas utiliser …

Vérifier la conformité régulièrement Le risque d’un site décentralisé est majeur, il

faut donc s’assurer de la conformité de

l’utilisation et de l’installation du

télétravailleur.


CES7 Gérer les changements

La gestion du changement cherche à mettre en place un processus permettant la transition

d’un état stable vers un nouvel état stable.

Avec le temps, la mise en place d’une nouvelle version de logiciel, changements

technologiques … rendent le changement inéluctables.

Il est donc nécessaire d’établir un équilibre entre la nécessité du changement et la relation

avec l’impact de ce changement sur les besoins métiers.

CES7.1 Tests pour s’assurer la stabilité du changement et évaluation de l’impact

Au lieu d’appliquer le changement sur la production, il est nécessaire d’établir des tests dans

un environnement dédié à cette bonne pratique.

CES7. 2 Définir les priorités

Parmi l’ensemble des activités, il est nécessaire de priorités les changements pour travailler en

collaboration avec les différents services pour planifier le changement.

De plus, il peut être nécessaire d’établir des demandes d’urgences de mise à jour.

CES7.3 Implémentation du changement

Lorsque le changement est autorisé, il faut gérer l’implémentation du changement en

conformité avec des impératifs comme une date et délai prévu.

CES7.4 Suivi et reporting du changement

Il est nécessaire d’établir des bilans pour établir :

- une amélioration de la gestion des incidents et des problèmes

- une amélioration de la qualité des équipes


Tous les changements doivent être consignés dans la base de connaissance pour garder une

traçabilité et un historique.









Tests pour s’assurer la stabilité du

changement et évaluation de l’impact

Au lieu d’appliquer le changement sur la

production, il est nécessaire d’établir des

tests dans un environnement dédié à cette

bonne pratique.

Définir les priorités Parmi l’ensemble des activités, il est

nécessaire de priorités les changements pour

travailler en collaboration avec les différents

services pour planifier le changement.

De plus, il peut être nécessaire d’établir des

demandes d’urgences de mise à jour.

Implémentation du changement Lorsque le changement est autorisé, il faut

gérer l’implémentation du changement en

conformité avec des impératifs comme une

date et délai prévu.

Suivi et reporting du changement Il est nécessaire d’établir des bilans pour

établir :

- une amélioration de la gestion des

incidents et des problèmes

- une amélioration de la qualité des

équipes






OCS inventory/GLPI

Tous les changements doivent être consignés

dans la base de connaissance pour garder une

traçabilité et un historique.


CES8 La gestion des nomades (ordinateurs et téléphones portables) On parle souvent de nomades, les PC et des téléphones qui se connectent de l’extérieur. Ils

sont donc perçus comme les principaux vecteurs de risque, car ils échappent au contrôle de

l’entreprise lorsqu’ils sont à l’extérieur, et peuvent donc « récupérer n’importe quoi et le

ramener sur le réseau ».

Il convient de définir clairement les exigences en matière de

protection physique, les contrôles d'accès, la cryptographie, les sauvegardes et les logiciels

malveillants

CES8.1 Protection physique des nomades

La sécurité physique (veiller à ce que ordinateurs portables sans surveillance sont enfermés

et / ou équipés de serrures de sécurité et ne sont jamais laissés sans surveillance) est un tout

aussi important composante d'une politique informatique mobile efficace.

CES8.2 Identification et authentification

Tous les utilisateurs doivent disposés d’un compte qui leur est unique. De cette manière,

l’utilisateur est identifiable est responsable de son compte personnel ce qui facilite

l’administration de droits aux ressources pour l’administrateur réseaux et systèmes.

L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées

comme importantes ou vitales, est réservé aux personnes autorisées et interdites à toute autre

personne, qu’elle soit interne ou externe à « l’organisation ».

CES8.3 Sensibilisation des utilisateurs aux risques des réseaux non identifiés

La prolifération des réseaux sans fil se développe en libre accès. Cependant, il faut

sensibiliser que les réseaux sans fils publics constituent un risque de vols d’informations car il

s’agit de réseau non contrôlé.

Il ne faut faire circuler des informations uniquement que sur des réseaux surs.

CES8.4 La cryptographie des données

Les ordinateurs portables comportent en dehors de l’entreprise, un certain nombre de données

confidentielles et critiques. Pour protéger ces données sensibles, il faut recourir aux

chiffrements de données à l’aide d’un protocole de chiffrement, …


CES8.5 Sauvegarde

Pour se prévenir de tous incidents et notamment de pertes de données à cause d’un logiciel

malveillant, il est nécessaire de mettre en place un système de sauvegarde de données à

intervalle de temps régulier.

Il existe sur le marché plusieurs solutions de sauvegarde décentralisée comme Acronis True

image par exemple.

Cette solution peut être complétée par un système de tolérance à la panne comme le RAID.

CES8.6 Utiliser une solution contre les logiciels malveillants

La première approche doit être l’acquisition d’une solution contre les logiciels malveillants.

Le site www.virusbtn.com établit des tests régulièrement actualisés pour définir le plus

approprié.

L’installation d’un logiciel anti-malware est indispensable pour faire face au développement

de logiciels malveillants vers réseau, phishing, injection de code, usurpation d’identité ou

d’applications,

CES8.7 Changer les mots de passe par défaut

Les mots de passe par défaut configuré sur les systèmes ou du matériel doivent être changé. Il

est facile de retrouver sur Internet les comptes et mot de passe définis initialement par les

constructeurs.

Pour un ordinateur portable, il faudra mettre un mot de passe dans le bios et changer le mot de

passe administrateur.

Pour les téléphones portables, il est conseillé de changer le code PIN qui est souvent 0000 par

défaut.

CES8.7 Appliquer correctifs, patchs des éditeurs ou fabricants




C'est-à-dire qu’il faut utiliser les patches des éditeurs et des fabricants pour les ressources

informatiques.

CES8.8 Procédure en cas de vol

Compte tenu du nombre élevé d'ordinateurs portables et PDA qui sont perdus, volés ou

autres, les organisations doivent élaborer une procédure de déclaration de vols.

http://www.virusbtn.com/


CES8.9 Permettre un accès sécurisé depuis l’extérieur

L’accès à distance au réseau principal de l’entreprise doit se faire de manière sécuriser avec

l’usage d’un VPN, extranet, …



Protection physique des nomades Veiller à ce que ordinateurs portables sans

surveillance sont enfermés

et / ou équipés de serrures de sécurité et ne

sont jamais laissés sans surveillance

Identification et authentification Tous les utilisateurs doivent disposés d’un

compte qui est unique.

Sensibilisation des utilisateurs aux risques La prolifération des réseaux sans fil se

développe en libre accès. Cependant, il faut

sensibiliser que les réseaux sans fils publics

constituent un risque de vols d’informations

car il s’agit de réseau non contrôlé

La cryptographie des données Les ordinateurs portables comportent en

dehors de l’entreprise, un certain nombre de

données confidentielles et critiques. Pour

protéger ces données sensibles, il faut

recourir aux chiffrements de données à l’aide

d’un protocole de chiffrement, …

Sauvegarde mettre en place un système de sauvegarde de

données à intervalle de temps régulier.


malveillants

Utiliser un logiciel contre les logiciels

malveillants (antivirus, pare-feu, …)

Mise à jour régulier des correctifs et des

patchs

utiliser les patches des éditeurs et des

fabricants pour les ressources informatiques.

Procédure en cas de vol les organisations doivent élaborer une

procédure de déclaration de vols.

Permettre un accès sécurisé depuis

l’extérieur

L’accès à distance au réseau principal de

l’entreprise doit se faire de manière sécuriser

avec l’usage d’un VPN, extranet, …


CES9 Gérer les projets

La gestion de projet (ou conduite de projet) est une démarche visant à organiser de bout en

bout le bon déroulement d’un projet

CES9.1 Étape d’initiation du projet

La phase d'initiation est l’occasion de définir :

- composition de l’équipe de projet à mobiliser

- le planning des tâches à réaliser avec leur ordonnancement, leur durée, leur affectation

de ressources et les moyens techniques nécessaires, les différents jalons (Diagramme

de Gantt, PERT)

- le budget du projet à engager

-

CES9.2 Étape d'étude générale et étude détaillée (ou spécifications)

Le but de cette phase est de concevoir ou de spécifier ce qui doit être réalisé ou fabriqué pour

atteindre l’objectif (on rédige éventuellement un cahier des charges). Ces études associent la

maîtrise d'ouvrage et la maîtrise d'œuvre.

On parle parfois d’expression de besoins ou de spécifications générales lorsque ces livrables

sont « fonctionnels » et exprimés par les utilisateurs, et on réserve alors le vocable de

spécifications (ou spécifications détaillées) à des documents plus techniques, ou en tout cas

qui détaillent plus le fonctionnement interne du logiciel (dans le cas d'un projet informatique

par exemple) attendu.

CES9.3 Étape de recherche et détermination de solutions pour le gestionnaire de projet

Cette phase consiste à étudier différentes solutions ou architectures techniques et

fonctionnelles en fonction de contraintes de compétences, d’équipement, de délais ainsi que

des aspects financiers et de commercialisation. Les choix doivent être ensuite validés par la

réalisation de maquettes ou de prototypes et éventuellement la mise sur un marché test. Les

écarts mesurés permettent de rectifier les choix.

Dans les projets informatiques, cette phase prend en compte les préoccupations d’urbanisation

et d’architecture.

Lors d’un choix de solution existante sur le marché (cas des progiciels notamment), cette

phase s’articule autour d’un appel d'offres.

CES9.4 Étape de réalisation et contrôle ou fabrication

C’est lors de cette phase que le projet est réalisé ou fabriqué, c’est-à-dire que les tâches

permettant de mettre en œuvre le nouveau produit, bien ou service, sont réalisées. Dans les

projets informatiques, c’est cette phase qui permet la construction du logiciel.

Pour contrôler l’avancement de ces tâches et le respect des délais on utilise des outils de


gestion de projet notamment des logiciels qui permettent, en cas de retard ou dépassement des

délais, de planifier à nouveau la suite du projet.

Dans cette phase sont également réalisés les tests : test unitaire, test d'intégration, test de

performance.

CES9.5 Étape d'analyse des recettes

Dès la mise à disposition ou la réception du livrable, il est nécessaire de procéder à des

vérifications de manière à contrôler la conformité du résultat fabriqué avec la commande qui

avait été passée lors des spécifications. Les contrôles s’effectuent sous forme de tests

rigoureux à partir des cahiers de tests qui ont été préparés.

À l’issue de la phase de recette est signé un procès-verbal de réception définitive.

Selon la complexité du projet, des séquences de vérification globale peuvent s’avérer

nécessaires.

Lorsqu’il a été fait appel à une sous-traitance, la fin de la recette marque une étape importante

car elle déclenche la période de garantie juridique pendant laquelle le demandeur peut se

retourner contre son prestataire.

CES9.6 Étape de diffusion ou déploiement

Le produit est mis à disposition du marché ou des utilisateurs, c’est ici qu’entre en action la

politique de communication et d’une manière plus générale ce qu’on désigne par

l’accompagnement du changement.

CES9.7 Étape de suivi des performances et de la qualité

Les outils de suivi ont été établis dès la préparation du projet, en même temps qu’ont été

définis les objectifs de performance et de qualité.










Étape d’initiation La phase d'initiation est l’occasion de

définir :

- composition de l’équipe de projet à

mobiliser

- le planning des tâches à réaliser avec

leur ordonnancement, leur durée, leur

affectation de ressources et les

moyens techniques nécessaires, les

différents jalons (Diagramme de

Gantt, PERT)

- le budget du projet à engager

Étape d'étude générale et étude détaillée (ou

spécifications)

concevoir ou de spécifier ce qui doit être

réalisé ou fabriqué pour atteindre l’objectif

(on rédige éventuellement un cahier des

charges). Ces études associent la maîtrise

d'ouvrage et la maîtrise d'œuvre.

Étape de recherche et détermination de

solutions pour le gestionnaire de projet

étudier différentes solutions ou architectures

techniques et fonctionnelles en fonction de

contraintes de compétences, d’équipement,

de délais ainsi que des aspects financiers et

de commercialisation.

Étape d'analyse des recettes Dès la mise à disposition ou la réception du

livrable, il est nécessaire de procéder à des

vérifications de manière à contrôler la

conformité du résultat fabriqué avec la

commande qui avait été passée lors des

spécifications. Les contrôles s’effectuent

sous forme de tests rigoureux à partir des

cahiers de tests qui ont été préparés.

Étape de diffusion ou déploiement Le produit est mis à disposition du marché ou

des utilisateurs, c’est ici qu’entre en action la

politique de communication et d’une manière

plus générale ce qu’on désigne par

l’accompagnement du changement.

Étape de suivi des performances et de la

qualité

A l’aide des outils de suivi, on définit si les

objectifs de performance et de qualité sont

atteints






OCS inventory/GLPI


CES10 Gérer les problèmes

La gestion des problèmes est déterminée par une vue globale des incidents (synthèse,

corrélation, impact, tendance, ...), définie par le centre de support. On cherche ici la source

des dysfonctionnements de manière à faire de la prévention.

Grâce à cette activité, le but de réduire le nombre d’incidents au centre de support.

CES10.1 Identification et classification des problèmes

Suite à l’activité du support informatique, on recoupe les informations pour déterminer les

problèmes qui peuvent être ou sont sources d’incidents.

CES10.2 Suivi et résolution des problèmes

Pour gérer les problèmes, il est nécessaire d’établir un suivi et résoudre les problèmes.

CES10.3 Clôture du problème

Quand un problème est définitivement résolu, il est clôturé.


Toutes activités du management des problèmes doivent être enregistrées et documenter dans

la base de données JOA.








Identification et classification des problèmes

Suivi et résolution des problèmes

Clôture du problème






OCS inventory/GLPI


Gérer la sécurité des Systèmes d’information

GSS1 : L’organisation de la sécurité de l’information

GSS2 : Plan de secours informatique

GSS3 : Se protéger contre les logiciels malveillants

GSS4 : Réguler l’usage d’Internet et de la messagerie

GSS5 : Contrôle d’accès des Systèmes d’exploitation

GSS6 : Protection des données et de l’information

GSS7 : Sécurité physique et environnementale

GSS8 : Sécuriser les accès réseaux

GSS9 : Se protéger des pirates informatiques (hacker)


GSS1 L’organisation de la sécurité de l’information

Il est nécessaires d’établir de bonnes pratiques pour l’établissement d’un cadre de gestion de

la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès

par des tiers (clients, sous-traitants, …) au système d’information.

GSS1.1 Le responsable de la sécurité des systèmes d’information

Dans entreprise, il faut qu’une personne soit en charge de la sécurité des systèmes

d’information avec une délégation de pouvoir et/ou un appui de la direction. L’appui de la

direction est nécessaire car le responsable de la sécurité des systèmes d’information est amené

à prendre des décisions impopulaires mais qui vont souvent dans le bon sens.

Il est chargé de la définition et de la mise en œuvre de la politique de sécurité de l'entreprise.

Il possède en outre un rôle stratégique d'information, de conseil et d'alerte de la direction

générale sur les risques en matière de sécurité informatique.

GSS1.2 Maintenir une veille technologique en sécurité des S.I.

Le Responsable de la sécurité des systèmes d’information doit établir une vieille

technologique à la sécurité d’information en participant à des groupes d’utilisateurs comme le

clusif, forums, lecture de livre …

Cette démarche est utile pour établir un réseau utile en cas de problèmes,

GSS1.3 Etablir des audits extérieurs

Pour renforcer la sécurité informatique alors que l’on ne dispose pas d’une équipe d’expert

dans le domaine de la sécurité informatique, les petites et moyennes entreprises devraient

procédés à des tests de sécurité (intrusions extérieures, …) par des entreprises indépendantes.

Le résultat de cette prestation de service doit permettre au responsable de la sécurité

informatique de procéder à une mise à jour des règles de sécurité interne.

GSS1.4 Identification des risques extérieures

De plus en plus, les entreprises sont amenées à amener à ouvrir leur système d’information

avec des entreprises partenaires afin de gagner en synergie et réactivité.

Malheureusement qui dit « ouverture » dit aussi risque.

C’est pourquoi, il est essentiel d’établir un référentiel des services offerts à des entreprises

tiers, de définir des procédures de surveillance et une procédure documentée de révocation de

droits en cas de problèmes.

En outre, il est favorable de créer un email dédié à la communication des sociétés tierces

partenaires pour garder un historique.


GSS1.5 Maintenir à jour la base de connaissances JOA par rapport à cet objectif stratégique








Le responsable de la sécurité des systèmes

d’information

Désigner un responsable de la sécurité des

systèmes d’information

Maintenir une vieille technologique de la

sécurité SI

Participer à des groupes d’utilisateurs, des

forums de discussions, …

Etablir des audits de sécurité par une société

extérieure

Etablir des audits de sécurité par une société

extérieure

Identification des risques extérieurs Etablir un référentiel des services ouverts à

l’extérieur






OCS inventory/GLPI


GSS2 Plan de continuité de secours informatique

Le plan de continuité d’activité informatique a pour objectif la reprise des activités après un

sinistre important touchant le système informatique. Il s'agit de redémarrer l'activité le plus

rapidement possible avec le minimum de perte de données.

Un plan de continuité de secours informatique nécessite au préalable une analyse de

risques (il est conseillé d’utiliser la méthode EBIOS)

GSS2.1 Définir des mesures préventives

Le choix de mesures préventives cherche à éviter la discontinuité.

Il s’agit souvent de mettre en place :

- des plans de sauvegarde des données

- créer et maintenir un site de secours pour une redondance et/ou basculement

GSS2.2 Définir des mesures curatives

Les mesures curatives consistent à rétablir la continuité après un sinistre comme le

rétablissement de données, le redémarrage d’applications, …

GSS2.3 Développement du plan de reprise

Le plan de reprise contient les informations suivantes :

La composition et le rôle des "équipes de pilotage du plan de reprise". Ces équipes se

situent au niveau stratégique :

- les dirigeants qui ont autorité pour engager des dépenses,

- le porte-parole en charge des contacts avec les tiers : la presse, les clients et les

fournisseurs, etc.,

- au niveau tactique, les responsables qui coordonnent les actions,

- au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur

le site de remplacement.

La composition de ces équipes doit être connue et à jour, ainsi que les personnes de

remplacement et les moyens de les prévenir. Les membres des équipes doivent recevoir une

formation.


GSS2.4 Communiquer et faire participer les parties prenantes

Tout au long de la définition du plan de reprise, il est nécessaire de communiquer avec les

propriétaires des activités visées pour connaître leurs sentiments et leurs points de vue dans un

objectif de travail de collaboration.

GSS2.5 Tests du plan de continuité du plan de reprise informatique

Le plan doit être régulièrement essayé au cours d’exercices. Un exercice peut être une simple

revue des procédures, éventuellement un jeu de rôles entre les équipes de pilotage. Un

exercice peut aussi être mené en grandeur réelle, mais peut se limiter à la reprise d’une

ressource (par exemple, le serveur principal), ou à une seule fonction du plan (par exemple, la

procédure d’intervention immédiate). Le but de l’exercice est multiple :

Vérifier que les procédures permettent d'assurer la continuité d'activité

Vérifier que le plan est complet et réalisable

Maintenir un niveau de compétence suffisant parmi les équipes de pilotage

Évaluer la résistance au stress des équipes de pilotage

GSS2.6 Réviser et corriger le plan

Un plan doit aussi être revu et mis à jour régulièrement (au moins une fois par an) pour tenir

compte de l’évolution de la technologie et des objectifs de l’entreprise. La seule façon

efficace de mettre à jour le PCA est d'en sous traiter la maintenance aux métiers afin qu'il soit

réactualisé à chaque réunion mensuelle de service.








Les bonnes pratiques Mise en oeuvre

Définir des mesures préventives Travailler en équipe avec les personnes

concernées Définir des mesures curatives

Développement du plan

Communiquer et faire participer l’ensemble

des parties prenantes

Tests du plan de continuité du plan de reprise

informatique

Simulation de plusieurs scénarios

Réviser et corriger le plan Détecter ce qui n’a pas marché correctement

et faire une amélioration continué







OCS inventory/GLPI


GSS3 Protection contre les logiciels malveillants

Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à

un système informatique.

On distingue plusieurs catégories de malwares :

- virus

- worms

- trojans

- spyware

GSS3.1 Utiliser une solution contre les logiciels malveillants

La première approche doit être l’acquisition d’une solution contre les logiciels malveillants.

Le site www.virusbtn.com établit des tests régulièrement actualisés pour définir le plus

approprié.

GSS3.2 Créer une alerte mail en cas d’attaque ou détection d’un logiciel malveillant

Pour rester informer de la présence ou d’une attaque d’un logiciel malveillant, il est

intéressant de paramétrer une alerte par mail vers vous.

GSS3.3 Installer les patchs, …

Un système d’exploitation et/ou une application doit être mis à jour des patchs éditeurs pour

laisser des failles de sécurité ouvertes.

GSS3.4 Réduire des ressources physiques

L’interdiction de l’usage de clés USB, des lecteurs de disquettes, … permet de réduire le

risque.

GSS3.5 Restriction de l’exécution des codes mobiles

Les applications ActiveX, Java, JavaScript, VBScript, MS Word, macros et PostScript.

Accessibles depuis un navigateur Internet doivent être par défaut restrictives. Ces applications

permettent de récupérer des informations à l’insu de l’utilisateur

http://www.virusbtn.com/


GSS3.6 Sauvegarde





image par exemple.









Les bonnes pratiques Mise en oeuvre


malveillants

Choisir une solution anti malware

Créer une alerte mail en cas d’attaque ou

détection d’un logiciel malveillant

Etre alerté en cas d’un événement anormal

Installer les patchs, … Tenir le système à jour

Réduire des ressources physiques Interdire les ressources inutiles

Restriction de l’exécution des codes mobiles Réduction des droits utilisateurs

Sauvegarde Etablir un système de sauvegarde centralisé

pour les portables






OCS inventory/GLPI


GSS4 Réguler l’usage de l’email et d’Internet en Entreprise

Perte de productivité, détournement des ressources informatiques, risques juridiques... Les

conséquences de l'usage à titre privé d'Internet et de la messagerie au travail peuvent être

lourdes.

Peu à peu, la messagerie électronique a remplacé l’usage du fax pour une question

économique et de rapidité.

Cependant, l’usage de l’email comporte un certain nombre de sécurité :

- envoi massif de courrier électronique pour saturer une boite mail

- usurpation facile de l’identité de l’émetteur original

- problème de preuve de réception ou mail original (Phishing)

- …

Le risque le plus sensible est l’utilisation de la messagerie pour nuire à l’image de l’entreprise

ou diffuser des informations confidentielles par un salarié.

Néanmoins, il reste délicat d’interdire l’usage de la messagerie alors qu’il est devenu un

moyen commun de communication.

Selon un sondage du journal officiel du net, 45% des salariées déclarent utiliser Internet à des

fins privées durant leurs heures de travail.

Alors qu’il est un outil incontournable dans bien des métiers, Internet peut se transformer en

frein à la productivité lorsqu'il est abusivement utilisé à des fins personnelles.

Selon plusieurs études, la perte de productivité est estimée à environ 30%.

Cet usage personnel est aussi un problème à d’autres niveaux :

- juridique

- capacité de la bande passante

- …

Par exemple, le téléchargement de musiques MP3 sur le fameux logiciel edonkey réduit le

débit général donc le confort d’utilisation des autres salariés et peut s’avérer illégal avec des

poursuites judiciaires pour l’entreprise

GSS4.1 Signature de la charte informatique par les salariés

La bonne pratique consiste à intégrer dans la charte informatique une partie de l’utilisation

Internet contenant les clauses suivantes :

- l’employé ne doit pas compromettre l’entreprise par de la diffamation, du harcèlement,

…

- la procédure en cas de mail douteux tels qu’une pièce jointe, …

- utiliser les dispositifs de sécurité de la société en mode active (antivirus, …)

- informer des règles de sécurité telle que la taille maximale de pièce jointe, de la

messagerie, …

- l’email ne peut pas être utilisé à des fins personnelles telles que des communications

privées, des achats, …

Cette charte devra être diffusée largement pour sensibiliser :

- annexé au contrat de travail

- inclus dans le règlement intérieur

- signé par les salariés


- rappel périodique

GSS4.2 Définir une stratégie de protection de contournement de l’utilisation d’Internet

La mise en place d’une stratégie de limitations de l’usage de l’utilisation d’Internet est

nécessaire.

Les méthodes de restrictions décrites dans la charte de l’utilisation de la messagerie doivent

être mises en application :

- réduction de la taille des pièces jointes

- blocage des renvois automatiques

- Insérer un « disclamer » vers toutes les correspondances électroniques

- …

GSS4.3 Logiciel de filtrage (Internet Engeneering Management)

Sécuriser la navigation, c'est le domaine des logiciels dits de "filtrage d'url". Leur rôle est de

réguler l'usage du Web en interdisant l'accès à des sites sans lien direct avec l'activité

professionnelle des salariés. Ils s'appuient sur deux procédés de filtrage :

L'existence d'une base, élaborée par l'éditeur, recensant les adresses des sites interdits ("black

list") classés par catégories (sexe, jeux, guerre, drogue...) et mise à jour le plus souvent

quotidiennement.»

L'analyse du contenu des pages des sites visités et des mots qui servent à les trouver dans les

moteurs de recherche en mêlant des méthodes heuristiques et sémantiques. Cela permet de

s'assurer qu'ils sont compatibles avec la politique de régulation définie par l'entreprise, même

s'ils ne figurent pas dans la "black-list".

Ces outils offrent des possibilités de paramétrage plus ou moins poussées : par individus,

groupes d'utilisateurs, créneaux horaires, voire quotas de téléchargement. De quoi instaurer un

contrôle très fin de la navigation.

Ce type de produits est commercialisé par des éditeurs comme ISS, Secure Computing, Surf

Control, Websense… pour ne citer qu'eux.

Il existe aussi des versions prenant en compte le filtrage des emails

GSS4.4 Superviser l’activité de l’usage Internet et modifier les règles du logiciel de filtrage

Afin que le logiciel de filtrage d’url soit efficace, il est recommandé d’établir un rapport

quotidien pour détecter des anomalies et corriger en conséquence les règles.


GSS4.5 Combattre le SPAM

Le SPAM est une communication électronique non sollicitée qui pollue la messagerie des

salariés.

Les salariés perdent énormément de tend à gérer ces courriers indésirables parmi les

communications courantes.

Pour combatte ce phénomène, le plus simple est d’utiliser un logiciel de filtrage dit anti-

spam.









Signature de la charte informatique par les

salariés

La charte informatique doit être signé par les

salaries. De plus, il doit annexer au contrat de

travail et règlement intérieur, …

Définir une stratégie de protection de

contournement de l’utilisation d’Internet

Les méthodes de restrictions décrites dans la

charte de l’utilisation de la messagerie

doivent être mises en application :

- réduction de la taille des pièces jointes

- blocage des renvois automatiques

- Insérer un « disclamer » vers toutes les

correspondances électroniques

Logiciel de filtrage (Internet Engeneering

Management)

Logiciel de filtrage

Superviser l’activité de l’usage Internet et

modifier les règles du logiciel de filtrage

détecter des anomalies et corriger en

conséquence les règles.

Combattre le SPAM d’utiliser un logiciel de filtrage dit anti-

spam.






OCS inventory/GLPI


GSS5 Contrôle d’accès des Systèmes d’exploitation

Les contrôles d’accès des systèmes d’exploitation (Windows, Linux, …) ont vocation à

empêcher l'accès non autorisé aux systèmes d'information.

Les systèmes cumulent un certain nombre de fonctionnalités :

- limiter l'accès aux ressources de l'ordinateur en identifiant et en vérifiant l'identité de

l’utilisateur

- un système d’audit qui enregistre les tentatives d’accès réussi ou échoué

- limitant l'utilisateur à un temps de connexion

- l'émission d’alarmes lorsque des politiques de sécurité du système ont été violée.

GSS5.1 Identification et authentification

Tous les utilisateurs doivent disposés d’un compte qui est unique. De cette manière,



GSS5.2 Définir une politique de mot de passe

Pour permettre l’authentification, l’utilisation utilisateur couple son compte utilisateur avec un

mot de passe.

Le choix d’un mot de passe doit dépendre d’une politique des mots de passe qui est une suite

de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des

mots de passe relativement robustes et en les utilisant correctement.

Par exemple, vous pouvez définir une bonne politique de mot de passe avec celle-ci, un mot

de passe doit :

- être d’une longueur comprise entre 6 et 8 caractères

- utiliser des caractères spéciaux, des lettres et des chiffres

- une durée de validité de 3 mois

Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :

- ne jamais partager un compte utilisateur ;

- ne jamais utiliser le même mot de passe pour différents accès ;

- ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;

- ne jamais écrire sur papier son mot de passe ;

- ne jamais communiquer son mot de passe par téléphone, mail ou messagerie

instantanée ;

- s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est

protégé par un mot de passe ;

- changer le mot de passe au moindre soupçon de compromission.

GSS5.3 Gestion des utilitaires systèmes

Pour sécuriser les accès aux systèmes d’exploitation, les utilisateurs ont accès à un certain

nombre d’utilitaires systèmes qui permettent l’audit, la gestion des comptes, …

L’utilisation de ces utilitaires doit être réguliers et réserver à des personnes habilitées.


GSS5.4 Fermeture de session après une inactivité

L’une des premières causes de sécurité interne reste l’ouverture de session sans activité. Il est

fréquent qu’un utilisateur quitte temporaire son poste de travail et il laisse volontairement sa

session ouverture. En son absence, une personne peut utiliser sa session à des fins négatives.

(Accès à des données sensibles, …)

La contre mesure est de définir une fermeture de session après une durée courte (5 minutes).

GSS5.5 Limiter la durée de connexion

Pour protéger des applications à haut risque, il est indispensable de restreindre l’accès à des

horaires uniquement de travail pour renforcer la sécurité.

De plus, il est bon de restreindre la durée de connexion à une application pour éviter de

surcharger une application et gagner en performance.

GSS5.6 Limiter le nombre de tentatives d’authentification

Pour lutter contre les tentatives de crack de mot de passe qui consiste à se connecter à un

système en essayant de trouver le mot de passe d’un utilisateur, il est recommandé de bloquer

le compte d’un utilisateur aux bouts de plusieurs tentatives infructueuses.









Identification et authentification Création d’un compte par utilisateur

Définir une politique de mot de passe Couplé à chaque compte utilisateur, un mot

de passe

Définir une politique de mot de passe :

- longueur

- lettres, caractères, …

- durée de validité

Gestion des utilitaires systèmes Quels sont les utilitaires systèmes de votre

système d’exploitation ? Active Directory ?

Fermeture de session après une période Fermeture automatique d’une session après


d’inactivité une période définie d’inactivité

Limiter la durée de connexion Fermeture de la session après une période

définie de connexion et en dehors des

périodes des heures normales de travail

Limiter le nombre de tentatives de connexion Bloquer le compte utilisateur après x échecs

de tentatives de connexion






OCS inventory/GLPI


GSS6 Protection des données

Les données sont pour les entreprises fondamentales et sensibles car elle constitue la plupart

du temps, l’une des valeurs les plus importantes pour elles. C’est pourquoi, il est nécessaire de

les protéger.

GSS6.1 Classifier les données

Classer les données réduit le risque de les mélanger et donc ne pas retrouver correctement les

données recherchées.

Par exemple, il faut hiérarchiser les données à l’aide de dossier sur un serveur de fichiers.

GSS6.2 Mettre en place une politique d’archivage des données

Certaines réglementations imposent des obligations légales en matière de gestion fiscale,

comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes

des documents contenant des données à caractère personnel

Dans ce cas, les entreprises ont l’obligation, au regard de la réglementation applicable,

d’archiver nombre d’informations très détaillées sur leur activité passée, en particulier au sujet

des opérations effectuées avec leurs clients, fournisseurs ou salariés.

GSS6.3 Protection des données en dehors du système d’information (media de sauvegarde, …)

Tous les medias (Cdrom, clé USB, …) doivent être protégés avec un mot de passé pour

renforcer la sécurité de l’accès aux données.

GSS6.4 Chiffrement

Les entreprises comportent un certain nombre de données confidentielles et critiques. Pour

protéger ces données sensibles, il faut recourir aux chiffrements de données à l’aide d’un

protocole de chiffrement, …

GSS6.5 Sauvegarde





image par exemple.



GSS6.6 Tests de restauration de données

Il faut s’assurer périodiquement que la restauration des données est conforme.









Classifier les données Classer les données réduit le risque de les

mélanger et donc ne pas retrouver

correctement les données recherchées.

Mettre en place une politique d’archivage des

données

Certaines réglementations imposent des

obligations légales en matière de gestion

fiscale, comptable ou sociale imposent

souvent aux entreprises de conserver sur de

longues périodes des documents contenant

des données à caractère personnel

Protection des données en dehors du système

d’information (media de sauvegarde, …)

Tous les medias (Cdrom, clé USB, …)

doivent être protégé avec un mot de passé

pour renforcer la sécurité de l’accès aux

données.

Chiffrement recourir aux chiffrements de données à l’aide

d’un protocole de chiffrement, …

Sauvegarde mettre en place un système de sauvegarde de

données à intervalle de temps régulier.

Tests de restauration de données s’assurer périodiquement que la restauration

des données est conforme.






OCS inventory/GLPI


GSS7 Sécurité physique et environnementale

Il décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et

les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement,

maintenance, alimentation électrique …).

GSS7.1 Salle dédiée à l’informatique

Tous les éléments informatiques qui sont répertoriés comme importants ou vitaux pour «

l’organisation » doivent être installés dans des locaux sûrs. Ces locaux constituent le

périmètre de sécurité.

GSS7.2 Dispositif de filtrage des personnes habilitées

Dans un premier temps, un référentiel des personnes habilitées doit être dressé.

Ensuite un certain nombre de dispositifs doivent être mis en place dans le but que seules les

personnes habilitées puissent accéder à la salle informatique.

Cela peut se faire par un accès par badge électronique, …

GSS7.3 Surveillance des locaux informatiques

La mise sous surveillance des locaux informatiques permet de sécuriser l’accès à la salle

informatique.

Elle joue un double rôle :

- dissuader

- être alerté en cas de tentatives d’accès non conforme

GSS7.4 Mise en place de dispositifs contre les menaces environnementales, naturelles, …

Il nécessite au préalable une analyse de risques (il est conseillé d’utiliser la méthode

EBIOS)

A la suite d’une analyse de risques, il est nécessaire de mettre en place des mesures de

protection contre les facteurs environnementaux.

Ces dispositifs de protection peuvent être par exemple une climatisation, …

GSS7.5 Consignes de réception pour matériel, visiteurs, …

La réception du matériel informatique nécessite une procédure dédiée pour trouver un

compromis entre la sécurité et l’efficience.

Lors de la visite d’un fournisseur qui a besoin d’accéder à la salle informatique, il est

nécessaire de définir s’il doit être accompagné et par qui ?


GSS7.6 Bureau de l’informaticien dans un lieu sécurisé

Au-delà de la salle informatique, le bureau de l’informaticien doit être isolé et sécurisé.

L’informaticien est amené à tenir des conversations confidentielles et stratégiques pour

l’entreprise.








Les bonnes pratiques Miser en oeuvre

Salle dédiée à l’informatique Définir un lieu sécurisé pour une salle

informatique

Dispositif de filtrage des personnes habilitées Utiliser des dispositifs comme une

reconnaissance par badge, …

Surveillance des locaux informatiques Utiliser des dispositifs de surveillance

comme la vidéo

Mise en place de dispositifs contre les

menaces environnementales, naturelles, …

Mettre en place des dispositifs comme la

climatisation, …

Consignes de réception de matériel, visiteurs Etablir une règle générale

Bureau de l’informaticien dans un lieu

sécurisé

Définir un lieu sécurisé






OCS inventory/GLPI


GSS8 Sécurité des accès réseaux

Lorsque des ordinateurs privés (PCs des collaborateurs), sont raccordées entre eux et à

Internet il est très important de veiller à ce que les mesures de sécurité de base soient

appliquées, faute de quoi leurs utilisateurs encourent de gros risques

GSS8.1 réduire l'accès au réseau

Dans le cadre d’un réseau, le pare-feu est utilisé pour séparer le réseau internet et le réseau

local d’entreprise.

Le pare-feu est configuré de façon à ne laisser passer que les flux et les utilisateurs autorisés.

Le pare-feu permet de faire :

- un filtrage de ports

- de protocoles

- …

GSS8.2 Politique de mot de passe


mot de passe.





de passe doit :










instantanée ;




-

GSS8.3 déployer des utilitaires de sécurité

Sur le réseau interne il est intéressant d’utiliser des utilitaires de supervision du trafic pour

détecter des anomalies.

Pour cela, vous pouvez par exemple utiliser un système de détection d'intrusion.


Il s’agit d’un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible

analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives

réussies comme échouées des intrusions

GSS8.4 Etablir une table de routage

La table de routage est une structure de données utilisée par un routeur ou un ordinateur en

réseau qui permet de connaître le chemin à suivre à atteindre pour atteindre la cible voulue.

Une bonne table de routage statique permet de renforcer la sécurité.

GSS8.5 Utilisation d’une authentification pour les connexions extérieures

Pour authentifier les connexions extérieures, il est possible de mettre en place des dispositifs

comme filtrage sur @mac pour le wifi ou encore l’adresse IP pour les accès distants.

Wifi @mac

Accès distant @IP

… …









réduire l'accès au réseau le pare-feu est utilisé pour séparer le réseau

internet et le réseau local d’entreprise

Politique de mot de passe Pour permettre l’authentification, l’utilisation

utilisateur couple son compte utilisateur avec

un mot de passe.

déployer des utilitaires de sécurité

d’utiliser des utilitaires de supervision du

trafic pour détecter des anomalies comme les

IDS

Etablir une table de routage Créer manuellement une table de routage qui

définit les autorisations entre la source et la

destination

Utilisation d’une authentification pour les

connexions extérieures

Pour authentifier les connexions extérieures,

on peut utiliser l’équivalent d’une carte

d’identité car l’adresse mac qui est « censé »


être unique






OCS inventory/GLPI


GSS9 Se protéger contre le piratage informatique

Un pirate informatique est une personne commettant des délits ou des crimes dont l'objet ou

l'arme est lié à l'informatique

Pour se protéger contre les pirates informatiques, il faut prendre les mesures pour gérer et

contrôler les accès logiques aux informations, pour assurer la protection des systèmes en

réseau, et pour détecter les activités non autorisées.

GSS9.1 Maintenir les applications, le matériel, … à jour




C'est-à-dire qu’il faut utiliser les patches et correctifs des éditeurs et des fabricants pour les

ressources informatiques.

GSS9.2 Identification et authentification

Tous les utilisateurs doivent disposés d’un compte qui est unique. De cette manière,



L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées

comme importantes ou vitales, est réservé aux personnes autorisées et interdites à toute autre

personne, qu’elle soit interne ou externe à « l’organisation ».

GSS9.3 Management des droits et comptes utilisateurs avec accord des propriétaires

Avant de créer un compte personnel pour un utilisateur, le responsable de l’informatique

s’assure que les responsables des données ont donné leur accord pour l’accès aux différents

groupes d’utilisateurs, disques, répertoires et applications. Il en profite pour passer en revue

les membres des groupes et leurs droits.

GSS 9.4 Attribution des droits d’accès « super-user »

Les droits privilégiés ou les comptes privilégiés « super-user » ne sont accordés que lorsque

cela s’avère indispensable pour les personnes concernées et durant la période requise.

Les mots de passe provisoires, attribués aux comptes lors de leur création, sont communiqués

de manière sûre, perdent leur validité après une utilisation.

GSS9.5 Politique de mot de passe


mot de passe.






de passe doit :










instantanée ;




GSS9.6 Changer les mots de passe par défaut

Les mots de passe par défaut configuré sur les systèmes ou du matériel doivent être changé. Il

est facile de retrouver sur Internet les comptes et mot de passe définis initialement par les

constructeurs.









Tenir un système et réseau informatique à

jour

Installer les correctifs et patchs des fabricants

et ou des éditeurs

Politiques de contrôles d’accès Tous les utilisateurs doivent disposés d’un

compte qui est unique

Management de compte utilisateur Demander l’accord des responsables ou

propriétaires des données, applications, …

avant de donner des droits d’accès

Management de droits d’accès Ne pas attribuer les droits administrateurs a


des utilisateurs lambda

Politique de mot de passe Définir des règles de complexité d’un mot de

passe (longueur, …)

Changer les mots de passe par défaut Changer le mot de passe par défaut défini par

les constructeurs, …






OCS inventory/GLPI

referentiel joa v1repo.mynooblife.org/dsi/referentieljoa1.11simple.pdf · - d'avoir assez de...

Documents