MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
La délégation rég...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
SOMMAIRE
1. Prati...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 1er établisseme...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 224 logiciels
-...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 2.541 appels ho...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
ENJEUX METIERS
- ...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
− Mécanismes de h...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
UN BILAN GLOBALEM...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- Du Plan de Repr...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
AU NIVEAU DE L’OR...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Pratique et Co...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de s...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- COBIT5 propose ...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de s...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Quels sont les...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Inf...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Busin...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Busin...
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
Jean-Yves OBERLE
...
Prochain SlideShare
Chargement dans…5
×

Manager la continuité aspects business et impératifs informatiques. pdf

736 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
736
Sur SlideShare
0
Issues des intégrations
0
Intégrations
18
Actions
Partages
0
Téléchargements
23
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Manager la continuité aspects business et impératifs informatiques. pdf

  1. 1. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence La délégation régionale PACA de L’ISACA AFAI vous propose une conférence sur le thème: Manager la continuité : aspects business et impératifs informatiques Mme Isabelle SALESSE LAVERGNE, DSIO de l’Hôpital Saint- Joseph, va nous faire part de son expérience et de sa vision prospective. Cette conférence sera animée par M. Frédéric VILANOVA, CISA, fondateur d’Effective Yellow et par M. Jean-Yves OBERLE, Délégué régional – Isaca Afai Merci à tous pour votre participation et vos interventions en séance: le partage d’expérience est notre force ! Mercredi 11 mars 2015 18h30 - ESDAC – Aix-en-Provence
  2. 2. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence SOMMAIRE 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph à Marseille - Mme Isabelle Salesse Lavergne 2. Continuité Informatique – COBIT, un référentiel proposé par l’ISACA pour agir et donner du sens – M. Frederic Vilanova 3. Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé Echanges, Conclusion
  3. 3. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
  4. 4. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 1er établissement privé à but non lucratif - 3ème établissement de santé en PACA - 2nd employeur privé de Marseille - 2.350 salariés (1.862 etp) - 312 médecins libéraux et 96 médecins salariés - 805 lits et places MCO - 30 places HAD - 56 lits SSR - 30 services - 37 salles de bloc - 40 lits de soins critiques (Réanimation & Soins Intensifs) - 224.000 journées et séances par an - 60.000 entrées par an - 1.065 consultations par jour - 88 interventions sous anesthésie par jour (> 32.000 par an) - 150 passage par jour aux urgences (> 55.000 par an) - 12 naissances par jour (> 4.300 par an) - Budget annuel de 220 M€ 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés L’Hôpital St Joseph à Marseille
  5. 5. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 224 logiciels - 1.400 comptes de messagerie - 210 serveurs virtuels - 79 serveurs physiques - 38 serveurs CITRIX - 4 baies SAN de stockage - 265 TO de données stockées, dont 150 TO d’imagerie - 1136 PC et panels PC - 400 clients légers - 209 postes mobiles (tablettes, ultraportables, portables, pocket PC) - 589 imprimantes - 191 scanners - 800 TV sous IP - 2 cœurs de réseaux 10 Gb - 3.200 points réseaux - 90 points réseau Biomédial - 96 postes biomédicaux connectés - 22 VLAN - 135 bornes WiFi - 320 accès distants, 6 VPN prestataires - 33 locaux techniques - 2 salles machines 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés Le Système d’Information Hospitalier en 2014
  6. 6. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 2.541 appels hot-line par mois, 90% résolution N1 - 1.458 demandes via la gestion des demandes (Intranet) - 136 sessions de formation par an (médecins et secrétaires médicales) - 0,5 IDE pour former le personnel soignant - Budget 2014 : 4.678 K€ (2,06% budget de l’hôpital) - 17 personnes 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés Le Système d’Information Hospitalier en 2014
  7. 7. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service
  8. 8. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence ENJEUX METIERS - Une informatisation totale de la prise en charge du patient et des plateaux techniques - Une ouverture de plus en plus grande vers l’extérieur pour la continuité des soins - Des utilisateurs de plus en plus nombreux et « disparates » - Des exigences de plus en plus fortes en matière de haute disponibilité (Cf. Connexion des Plateaux Techniques et dispositifs médicaux, Continuité des soins, Sécurité du patient) 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service CONTRAINTES OPERATIONNELLES - Arrêt total de la Production : 5 personnes pendant 6H (290 éléments physiques à arrêter) « PRESSION » DES AUTORITES DE TUTELLE - La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) - Le Programme Hôpital Numérique - La Certification des Etablissements de Santé Contexte
  9. 9. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence − Mécanismes de haute disponibilité sur les ressources critiques :  Salles machines  Infrastructure de sauvegarde  Infrastructure de stockage  Virtualisation  Réseau  Applications et bases de données critiques - Maintien en Conditions Opérationnelles  Désignation d’un RSSI  Organisation 24H/24 – 7J/7  Supervision  Administration  Gestion des changements  Sécurisation physique, électrique et thermique grâce à la collaboration des services Techniques - Procédures dégradées - Sensibilisation / Formation des utilisateurs - Plan de Reprise d’Activité Mais, AVANT TOUT, une très grande disponibilité des équipes 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service Dispositifs mis en place
  10. 10. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence UN BILAN GLOBALEMENT POSITIF …. √ Des risques globalement maîtrisés √ 99,98 % taux de disponibilité, soit 77H d’indisponibilité en 2013 (< 20 mn / jour) √ Le dernier sinistre majeur remonte à novembre 2011 :  Perte d’une baie SAN  Arrêt total du SIH de 6H à 14H  Aucune sauvegarde possible pendant plus de 48H MAIS DES ZONES DE RISQUES MAJEURES DONT ON NE PEUT SE SATISFAIRE ….. − Manque de ressources : √ Documentation insuffisante √ Pas d’exercice de mise en situation √ Disponibilité des ressources critiques en cas de sinistre majeur √ Ressources insuffisante pour réaliser les tâches d’administration et de MCO nécessaires - Des difficultés à mobiliser Direction et utilisateurs en l’absence de sinistre majeur 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service Limites et difficultés
  11. 11. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  12. 12. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - Du Plan de Reprise d’Activité au Plan de Continuité d’Activité :  Construction d’un nouveau Data Center hors du 1er périmètre de l’hôpital  Renforcement des mécanismes de haute disponibilité − S’appuyer sur les recommandations des Tutelles pour renforcer la sensibilisation de la Direction Générale − Renforcer le Maintien en Conditions Opérationnelles Perspectives 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  13. 13. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence AU NIVEAU DE L’ORGANISATION : - Considérer la sécurité comme un projet d’entreprise, dont la Direction Générale porte la vision globale - Viser des objectifs réalistes, qui répondent aux besoins de l’organisme ; ne pas viser le risque zéro - Sensibiliser et faire adhérer les utilisateurs AU NIVEAU DE LA DSI : - Ne pas sous estimer le travail de documentation - Promouvoir le travail d’équipe, la coopération, l’esprit de service - Disposer d’une très bonne connaissance des métiers et des enjeux associés - Toujours dialoguer avec les utilisateurs pour éviter que ceux-ci ne contournent la DSI - Ne pas oublier que l’on n’est jamais plus fort que le maillon le plus faible Facteurs Clés de succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  14. 14. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph A présent ou en fin de présentation… Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr
  15. 15. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2.1 Eléments de structure Cobit5 . Principes . Facilitateurs « Principes, Politiques et Référentiels » . Facilitateurs « Processus » . Périmètre Cobit5 . RACI 2.2 LSS04 « Gérer la Continuité » . Contribution de LSS04 aux objectifs liés aux TI . LSS04 vue générale . LSS04-03 exemple de sous-processus . Progresser dans COBIT par niveaux de maturité . Implémenter LSS04 2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens
  16. 16. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Périmètre et notions clés • Version 1 en 1996 actuellement en V5 USA Canada France (selon le contexte) Business Affaires Entreprise, Métier, Affaire, Activité Business Case Dossier d’affaires Analyse de cas, Etude d’opportunité Business Plan Plan d’affaires Contrat d’objectifs, Cible Enabler Facilitateur Levier IT TI SI, Système d’Information, Informatique Management Gestion Management, Gestion Lag Indicators, Achievement of Goals Metrics Indicateur de résultat Indicateur de résultat, pour la réalisation des objectifs Lead Indicators, Application of Practice Metrics Indicateurs de fonctionnement Indicateurs de fonctionnement, pour l’application des pratiques • Partager un vocabulaire commun 2. Couvrir l’entreprise de bout en bout • 5 principes fondamentaux: 1. Répondre aux besoins des parties prenantes • Pas seulement les processus informatiques • Toutes les fonctions et tous les processus de l’entreprise • L’information et les technologies qui s’y rapportent sont traitées comme des actifs de l’entreprise La version 5 a regroupé des référentiels auparavant épars (Risk IT, VAL IT, BMSI, Cobit4…) en se conformant aux référentiels spécifiques majeurs tels que ISO/IEC 27001, ISF Standard for Good Practice for Information Security et US National Institute of Standards and Technology (NIST) SP800-53A Cobit5 retient une approche holistique intégrant 7 types de facilitateurs (enablers, leviers): 1. Principes, politiques et référentiels (pour traduire le comportement désiré en orientations pratiques) 2. Processus (pratiques et activités pour produire des résultats et ainsi réaliser des objectifs globaux) 3. Structures organisationnelles (entités pour décider et agir) 4. Culture, Ethique et Comportements (des individus) 5. Information (produite et utilisée pour permettre à l’organisation de fonctionner) 6. Services, Infrastructures et Applications (traitements et services technologiques) 7. Personnes, Aptitudes et Compétences (individus) Les trois derniers sont des ressources au sens Cobit5. Distinguer la Gouvernance IT et le Management IT (= la Gestion des SI) En effet le management s’attache à : - Planifier - Construire - Gérer - Piloter des activités en fonction…. …des directives établies en par les organes de gouvernance pour atteindre les objectifs de l’entreprise (GEIT Governance of Enterprise IT) Nous reviendrons en 3ème partie sur le sujet de gouvernance… 1. Valeur pour les parties prenantes 2. Portefeuille de produits et services concurrentiels 3. Gestion du risque d’affaires (protection des actifs) 4. Conformité aux lois et à la règlementation 5. Transparence financière 6. Culture de service orientée client 7. Continuité et disponibilité des services d’affaires 8. Réponses agiles dans un contexte d’affaires en évolution 9. Prise de décisions stratégiques basées sur l’information 10. Optimisation des coûts de livraison des services 11. Optimisation de la fonctionnalité des processus d’affaires 12. Optimisation des coûts des processus d’affaires 13. Programmes de gestion du changement 14. Productivité opérationnelle et productivité du personnel 15. Conformité aux politiques internes 16. Personnes qualifiées et motivées 17. Culture d’innovation des produits et des affaires Apprentissage et Croissance Interne Client Financier 1. Alignement des TI et de la stratégie d’affaires 2. Conformité des TI et soutien à la conformité de l’entreprise aux lois et à la réglementation 3. Engagement de la haute direction dans la prise de décisions liées aux TI 4. Gestion du risque d’affaires lié aux TI 5. Bénéfices réalisés sur les investissements en TI et sur le portefeuille de services 6. Transparence des coûts, des bénéfices et des risques des TI 7. Livraison de services des TI conforme aux exigences opérationnelles 8. Utilisation adéquate des applications, de l’information et de solutions technologiques 9. Agilité des TI 10. Sécurité de l’information, des infrastructures de traitement et des applications 11. Optimisation des actifs, des ressources et des capacités des TI 12. Mise en œuvre et soutien des processus d’affaires par leur intégration dans les applications et les technologies 13. Livraison de programmes procurant des avantages, en temps opportun, en respectant budget, exigences et normes de qualité 14. Disponibilité d’informations fiables et utiles pour la prise de décision 15. Conformité des TI aux politiques internes 16. Personnel des TI et des lignes d’affaires compétent et motivé 17. Connaissances, compétences et initiatives pour l’innovation d’affaires Apprentissage et Croissance Interne Client Financier • Partager un vocabulaire commun 2. Couvrir l’entreprise de bout en bout • 5 principes fondamentaux: 1. Répondre aux besoins des parties prenantes Principes • Version 1 en 1996 actuellement en V5 4. Faciliter une approche globale 5. Distinguer la gouvernance de la gestion 3. Appliquer un référentiel unique et intégré
  17. 17. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - COBIT5 propose une démarche pour mettre en place un référentiel adapté à votre situation d’entreprise, par une approche top-down: Principes: supporter les activités de l’entreprise, les défendre, promouvoir des comportements responsable ; Politiques générales ; Politiques spécifiques ; Procédures ; Eléments requis et documentation 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Points clés - Facilitateur « Principes, Politiques et Référentiels » - Les politiques générales peuvent s’étayer et contribuer aux travaux s’inscrivant dans des cadres plus larges ou différents tels que - le référentiel international de contrôle interne COSO 2013 - le programme de Santé Publique Hôpital Numérique en France - Les politiques spécifiques sont utiles par exemple pour être en conformité - avec la loi Sarbanes-Oxley aux Etats-Unis (SOX 409 clôturer les comptes en deux jours; SOX 404 démontrer l’efficacité des contrôles internes) - avec la norme ISO/IEC 27001 en Management de la Sécurité de l’Information - avec la norme PCI DSS pour la gestion des paiements par carte bancaire - avec la règlementation en Banques et Assurances: BASEL2 et BASEL3 (exhaustivité, intégrité); Règlement CRBF 97-02 contrôle interne (article 14, sécurité, continuité, intégrité, confidentialité; articles 37-1 et suivants Maîtrise des prestations essentielles externalisées) - Les principes de Cobit5 sont compatibles à ceux proposés par la norme ISO/IEC 38500:2008 Gouvernance des technologies de l’information par l’entreprise. ISO38500 observe depuis le toit de la maison, COBIT constitue les murs. - Eléments requis: ITIL et PRINCE2 (Projects in Controlled Environments 2) sont utiles pour fournir des éléments du « comment? » en compléments des éléments Cobit5. Enterprise Risk Management System Corporate governance of information technology, Information Security Management System 27001 27002 Capability Maturity Model and Integration Best Practices Softwre Developmente, Acquisition, Services Enterprise Architecture The Open Group Architecture Framework Project Management and Certification Project IN Controlled Environments ISO/CEI 20000 = a set of requirements which must be met in order to qualify for certification. ITIL V3 has been created to achieve better alignment with the ISO 20000 standard, to provide specific advice on how to design your processes to complement ISO 20000, to strengthen services lifecycles IT Departement Standard Quality and Certification ISO/CEI 22301 Systèmes de management de la continuité d'activité ISO International Organization for Standardization (Organisation Internationale de Normalisation (OIN)) IEC International Electrotechnical Commission (Commission Electrotechnique Internationale (CEI)) 27k list
  18. 18. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Cf. ISO CEI 15504 Achievement of Goals – Lag Indicators Application of Practice – Lead Indicators Points clés – Facilitateur « Processus »
  19. 19. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Périmètre Cobit5 EVALUATE (SEM) PLAN (APO) BUILD (BAI) RUN (LSS) GOVERN (EDS) EVALUATE (SEM)
  20. 20. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure RACI Accountable (In Charge Productor) Responsible (Supervisor) Concerned Consulted contributor (Other Productors) Informed
  21. 21. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2.1 Eléments de structure Cobit5 . Principes . Facilitateurs « Principes, Politiques et Référentiels » . Facilitateurs « Processus » . Périmètre Cobit5 . RACI 2.2 LSS04 « Gérer la Continuité » . Contribution de LSS04 aux objectifs liés aux TI . LSS04 vue générale . LSS04-03 exemple de sous-processus . Progresser dans COBIT par niveaux de maturité . Implémenter LSS04 2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens
  22. 22. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Contribution de LSS04 aux Objectifs liés aux TI
  23. 23. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Description du processus LSS04 - Etablir et maintenir un plan visant à permettre aux unités d’affaires et aux TI de répondre aux incidents et aux interruptions afin de poursuivre l’exécution des processus d’affaires critiques et des services des TI requis et afin de maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise Objectif général du processus LSS04 - Poursuivre les opérations critiques de l’entreprise et maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise en cas d’interruption significative Le processus LSS04 appuie certains objectifs liés aux TI - 04 Gestion du risque d’affaires lié aux TI [ex d’indicateur: Nb d’incidents importants liés aux TI qui n’ont pas été signalés dans le cadre de l’évaluation des risques] - 07 Livraison des services de TI conformes aux exigences d’affaires [ex d’indicateur: Nb d’interruptions des activités d’affaires attribuables à des incidents de service TI] - 14 Disponibilité d’informations fiables et utiles pour la prise de décision [ex d’indicateur: Nb d’incidents liés aux processus d’affaires causés par la non disponibilité de l’information] LSS04 Vue générale
  24. 24. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Objectifs détaillés Indicateurs connexes (exemples) 1. L’information d’affaire critique est disponible conformément au niveau minimum de service requis % des services TI qui répondent aux exigences de disponibilité % de restauration réussie en temps opportun à partir des supports de sauvegarde ou d’autres copies 2. Une résilience suffisante est en place pour les services essentiels Nb de systèmes critiques d’affaires qui ne sont pas couverts par le plan de continuité 3. Des tests de continuité de service ont vérifié l’efficacité du plan de continuité Nombre d’exercices et de tests qui ont atteint les objectifs de rétablissement Fréquence des tests 4. Un plan de continuité à jour reflète les exigences d’affaires actuelles % de questions identifiées qui ont été ensuite abordées dans le plan de continuité 5. Les intervenants internes et externes ont été formés selon le plan de continuité % de problèmes dentifiés qui ont été ensuite abordés dans le plan de formation à la continuité LSS04 Vue générale
  25. 25. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04.01 Définir la politique de continuité des affaires, ses objectifs et sa portée LSS04.02 Maintenir une stratégie de continuité LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires LSS04.04 Faire l’exercice du PCA, le tester et le passer en revue LSS04.05 Revoir, maintenir et améliorer le plan de continuité LSS04.06 Dispenser une formation sur le plan de continuité LSS04.07 Gérer les mesures de sauvegarde LSS04.08 Procéder à l’examen post-reprise 01. Définir la politique de continuité des affaires et sa portée conformément aux objectifs de l’entreprise et des parties prenantes 02. Evaluer les options de gestion de la continuité des opérations et choisir une stratégie de continuité rentable et viable qui assurera la reprise de la continuité de l’entreprise en cas de désastre ou d’autres incidents ou interruptions 03. Elaborer un plan de continuité des affaires (PCA) basé sur la stratégie qui documente les procédures et l’information en prévision d’une utilisation lors d’un incident pour permettre à l’entreprise de poursuivre ses activités essentielles 04. Tester les mesures de continuité sur une base régulière afin de valider les plans de reprise par rapport aux résultats attendus et pour permettre le développement de solutions innovantes et pour aider à vérifier que le plan fonctionne comme prévu 5. Procéder à un examen de la gestion de la capacité de continuité à intervalle régulier pour garantir sa pertinence, son adéquation et son efficacité. Gérer les changements au plan en conformité avec le processus de contrôle des changements afin de s’assurer que le plan de continuité est à jour et reflète constamment les exigences d’affaires réelles. 6. Fournir à toutes les parties internes et externes concernées des sessions régulières de formation concernant les procédures, leurs rôles et leurs responsabilités en cas d’interruption. 7. Maintenir la disponibilité des informations critiques d’affaires (sauvegardes internes et externes, accessibilité, chiffrement..) 8. Evaluer la pertinence du PCA suivant la reprise réussie des processus et des services d’affaires après une interruption LSS04 Vue générale
  26. 26. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 Exemple de sous-processus Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 1: Définir les actions de réponse aux incidents et les communications à effectuer en cas d’interruption. Définir les rôles et responsabilités connexes, incluant la responsabilité pour la politique et la mise en œuvre. Activité 2: Développer et maintenir des PCA opérationnels contenant les procédures à suivre pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’utilisation d’arrangements temporaires, incluant des liens vers des plans de fournisseurs de services externes. Activité 3: Veiller à ce que les principaux fournisseurs et partenaires d’impartition aient mis en place des plans de continuité efficaces. Recueillir des preuves vérifiées, au besoin. Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  27. 27. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 (Suite) Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 4: Définir les conditions et les procédures de recouvrement qui permettraient la reprise des affaires, incluant la mise à jour et la conciliation des bases de données pour préserver l’intégrité de l’information. Activité 5: Définir et documenter les ressources requises pour appuyer les procédures de continuité et de reprise, en tenant compte des personnes, des installations et des infrastructures des TI. Activité 6: Définir et documenter les exigences de sauvegarde de l’information nécessaires pour appuyer les plans, incluant les plans et les documents papier ainsi que les fichiers de données, et considérer le besoin pour la sécurité et pour un stockage hors site Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  28. 28. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 (suite) Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 7: Déterminer les compétences nécessaires pour les personnes impliquées dans l’exécution du plan et des procédures. Activité 8: Distribuer les plans et les documents de soutien de façon sécuritaire aux parties intéressées dûment autorisées et s’assurer qu’ils sont accessibles dans tous les scénarios de désastre. Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  29. 29. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Progresser dans COBIT par Niveaux de Maturité Attribut(s) Résultats du processus Pratiques de base Produits du travail (Intrants / Extrants) INDICATEURS DE PERFORMANCE INDICATEURS DE CAPACITE Pratiques génériques Ressources génériques Résultats génériques de l’activité 0. Processus incomplet Aucun Fonction non atteinte ou pas vérifiable 1. Processus exécuté AP 1.1 Performance du Processus Fonction réalisée Processus répétable mais intuitif ou ponctuel 2. Processus géré AP 2.1 Gestion de la performance AP 2.2 Gestion des résultats de l’activité Processus planifié, surveillé et ajusté (buts, objectifs, responsable de processus, RACI) Résultats établis, contrôlés, maintenus 3. Processus établi AP 3.1 Définition du processus AP 3.2 Déploiement du processus Mis en œuvre selon une procédure définie permettant d’atteindre les résultats souhaités 4. Processus prévisible AP 4.1 Gestion du processus AP 2.2 Contrôle du processus Fonctionnement selon des limites qui assurent l’atteinte des résultats souhaités 5. Processus en optimisation AP 5.1 Innovation du processus AP 5.2 Optimisation du processus Amélioré continuellement pour atteindre des objectifs d’affaires pertinents actuels et projetés Contrôle Investissement faible Investissement fort Modèles de Maturité : Cobit5 = compatible ISO/IEC 15504 - Processus Génie Logiciel = SPICE Software Process Improvement and Capability dEtermination (différent de CMMI Capability Maturity Model Integration)
  30. 30. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1. Quels sont les inducteurs (drivers) qui donne au management le désir de changer ? • Reconnaitre les points qui font mal et les évènements déclencheurs • Internes, externes, techniques, psychologiques, recommandations d’audit… • Causes sources (ex: « les métiers ne participent pas ») et facteurs clés de succès à développer (ex: « intégrer des représentants des métiers dans l’évaluation de la situation actuelle »; « sensibiliser aux risques de non partciipation ») 2. Où en sommes-nous aujourd’hui? • Qualité du support des métiers à la continuité IT • Un coût d’amélioration ressenti comme supérieur aux bénéfices perçus • Niveau de confiance limité entre l’IT et les métiers pour assurer un service continu 3. Où souhaiterions-nous être? • Faire comprendre l’environnement de continuité et faire évoluer les comportements • Savoir utiliser Cobit5 et ainsi faire percevoir simplement la complexité de la continuité • Diminuer fortement la résistance au changement des informaticiens et des utilisateurs 4. Qu’est-il nécessaire de faire pour y parvenir? • Implication dans l’implémentation, pas-à-pas concrètement… 5. Comment parvenir à cette situation cible? • Démarrer simplement, se former et se faire aider pour piloter (MOA Cobit5) 6. Sommes-nous effectivement arrivés en situation cible? • Parvenons-nous à montrer clairement les bénéfices pour le management? Pour la gouvernance? 7. Comment conservons-nous la dynamique actuelle sur ce sujet? • Ne pas perdre la motivation, dynamiser la montée en qualité du niveau de contrôle interne, valoriser les acteurs 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Implémenter LSS04
  31. 31. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : A présent ou en fin de présentation… Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr
  32. 32. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 3.1 Aspects Business . AAAA 3.2 Gouvernance . BBBBBBBBBBB 3. Continuité: Aspects Business et Gouvernance Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé
  33. 33. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 3.1 Aspects Business . AAAA 3.2 Gouvernance . BBBBBBBBBBB 3. Continuité: Aspects Business et Gouvernance Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé
  34. 34. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr 3. Continuité: Aspects Business et Gouvernance

×