• Save
Gouvernance ITIL:2011 - ISO/CEI 20000
Upcoming SlideShare
Loading in...5
×
 

Gouvernance ITIL:2011 - ISO/CEI 20000

on

  • 907 vues

L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)

L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Dominick Boutet (S3i conseil)

Statistics

Vues

Total Views
907
Views on SlideShare
906
Embed Views
1

Actions

Likes
1
Downloads
0
Comments
0

1 intégré 1

http://www.slashdocs.com 1

Accessibilité

Catégories

Détails de l'import

Uploaded via as Adobe PDF

Droits d'utilisation

© Tous droits réservés

Report content

Signalé comme inapproprié Signaler comme inapproprié
Signaler comme inapproprié

Indiquez la raison pour laquelle vous avez signalé cette présentation comme n'étant pas appropriée.

Annuler
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Votre message apparaîtra ici
    Processing...
Poster un commentaire
Modifier votre commentaire

Gouvernance ITIL:2011 - ISO/CEI 20000 Gouvernance ITIL:2011 - ISO/CEI 20000 Presentation Transcript

  • ConférenceLévolution des bonnes pratiques de sécurité de linformation et de gestion des services TI ITIL®2011 / ISO/CEI 20000 - COBIT®5 Volet gouvernance ITIL® :2011 - ISO/CEI 20000
  • Au menu• Objectifs:  Démontrer que l’évolution des besoins d’affaires affectent directement les TI et les bonnes pratiques en la matière;  Aborder le lien étroit entre les TI et la sécurité de l’information soutenant les besoins d’affaires;  Annoncer les nouvelles éditions parues au regard des bonnes pratiques (ITIL: 2011, ISO/CEI 20000 : 2011, ISO/CEI 27013: 2012 lesquelles font l’objet de cette présentation;  Démontrer que ces bonnes pratiques et normes concourent a une gouvernance des TI• Table des matières  Les TI et la sécurité de l’information dans les affaires  Tendances et prévisions 2013 en technologies de l’information  L’implantation de la gestion des services  Les bonnes pratiques et normes en matière de gestion des services et de sécurité de l’information  En conclusion
  • LES TECHNOLOGIES DEL’INFORMATION ET LA SÉCURITÉ JOUENT UN RÔLE TOUJOURS CROISSANT EN SOUTIEN AUX AFFAIRES
  • Évolution des TI• Années 80 apparaissent les ordinateurs personnels• Années 90 l’ère des communications• Années 2000 les TI deviennent omniprésentes chez l’individu et dans les organisations• En 2013…  Les TI deviennent des services d’information  Les TI doivent démontrer la valeur qu’elles apportent aux affaires à travers les services qu’elles fournissent.  Les organisations TI s’organisent en unités opérationnelles et stratégiques  Les directeurs TI deviennent des directeurs de l’innovation.  Avec l’émergence du BYOD (bring you own device) et du SYOD (support your own device), les centres de services vont avoir tendance à disparaitre en fusionnant avec NOC (Network operation center)  Les technophiles/spécialistes TI plébiscitent les portails d’auto-assistance (self-help portal) Chaque évolution combinant l’effet subséquent…. Sources : Cefrio : L’innovation et les technologies de l’information et des communications 2011 Gartner, Pink elephant, Forrester
  • LES GRANDES TENDANCES ET PRÉVISIONS 2013 DES TECHNOLOGIES DE L’INFORMATION
  • La bataille des mobiles
  • développement de la mobilité et entreprise
  • Le Cloud…
  • Le « big data » stratégique
  • L’ENVERS DE LA MÉDAILLE…
  • L’augmentation des risques• Les statistiques sont ahurissantes  En 2012, Symantec, a bloqué un total de 5,5 milliards d’attaques de malware : une augmentation de 80% par rapport à 2010;  Augmentation de 35% dans les attaques liées aux sites web et 41% d’augmentation de nouveaux types de malware;  Vulnérabilité « 0-day »: une faille de sécurité dans une application (java Internet Explorer) inconnue du publique;  42% des messageries ciblées par des attaques appartiennent à des dirigeants d’entreprise ou des collaborateurs clefs;  La moitiés des attaques en 2011 ciblaient les petites et moyennes entreprises;  La vulnérabilité liée aux OS des mobiles à doublé depuis 2010.Source: http://www.networkworld.com/research/2013/010313-how-to-talk-security-so-265464.htm
  • L’augmentation des coûts• Augmentation des coûts liés à la gestion des problèmes de sécurité  Selon une étude réalisée par lInstitut Ponemon auprès d’organismes américains privés et publics, les coûts informatiques liés aux cyberattaques au cours de la dernière année se chiffraient à 8,9 millions de dollars en moyenne par entreprise.  Facteurs externes des coûts:  linterruption de lactivité commerciale, le vol et la destruction dinformations, la perte de revenus, les dommages matériels.  Facteurs internes des coûts:  les outils de détection, linvestigation, le confinement, la restauration et les efforts subséquents pour parer les attaques futures.http://www.lemondeinformatique.fr/actualites/lire-8-9-millions-de-dollars-par-entreprise-pour-reparer-les-degats-lies-aux-cyberattaques-50751.html
  • 2013 priorité #1 - La sécurité des TISource : http://www.informationweek.com/global-cio/interviews/6-ways-it-still-fails-the-business/
  • AUJOURD’HUI, LE DÉFI RÉSIDE DANS LA DÉFINITION ETL’IMPLANTATION DE LA GESTION DES SERVICES COMME UN ACTIF STRATÉGIQUE POUR L’ORGANISATION
  • Qu’est ce qu’un service? « La qualité dans un service ou un produit nest pas ce que vous mettez à l’intérieur. Cest ce que le ou les clients tire de celui-ci » Quality – Peter Drucker Aboutissement d’une Moyen de fournir de activité, d’un processus, la valeur à des clients de la fourniture d’un en facilitant lesservice informatique, etc. résultats désirés parLe terme « résultat » fait ceux-ci sans qu’ils autant référence aux aient la propriété des résultats escomptés qu’à coûts ou des risques des résultats réels spécifiques
  • Clients (Service d’affaires)Les services TI Services rehaussés Ajout à un service de base pour le rendre plus attrayant Services de base Fournit les résultats essentiels attendus par un ou plusieurs clients Services de soutien Requis afin de fournir un service de base. Peuvent être visibles ou non des clients
  • La sécurité des technologies del’information• Lintégrité : Les données doivent être celles que lon sattend à ce quelles soient, et ne doivent pas être altérées de façon fortuite ou volontaire.• La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.• La disponibilité : Le système doit fonctionner sans faille durant les plages dutilisation prévues, garantir laccès aux services et ressources installées avec le temps de réponse attendu.• La non-répudiation et limputation : Aucun utilisateur ne doit pouvoir contester les opérations quil a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir sattribuer les actions dun autre utilisateur.• Lauthentification : Lidentification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations déchange la sécurité des technologies de linformation (TI) renferme des « mesures de protection » de la confidentialité, de lintégrité, la disponibilité, lutilisation recherchée et la valeur de linformation entreposée, traitée ou transmise électroniquement.
  • Qu’est-ce que la gestion de services TI Stratégie Outils Politiques C’est un ensemble d’aptitudes organisationnelles spécialisée, mises en commun et destinées à fournir de la valeur aux clients sous forme de service Personnes Objectifs Processus
  • AUTANT D’ÉLÉMENTS À PRENDREEN COMPTE DANS LE CYCLE DE VIE DES SERVICES DEPUIS LA DÉFINITION DES SERVICES JUSQU’À L’EXPLOITATION DES SERVICES
  • Bonnes pratiques et normes en matièrede gestion des services Gouvernance d’entreprise Normes Gouvernance des TI Gestion de la sécurité de l’information  ISO/CEI 27001 Gestion intégrée TI + sécurité information Cadre de bonnes pratiques ISO/CEI 27013  ITIL®  ISO/CEI 20000 Fournisseur (sous-traitant) Gestion des services
  • ITIL® en résumé• ITIL est un recueil de volumes traitant des meilleures pratiques sur la gestion des services de T.I.  Indépendant  Non prescriptif  Met à contribution une communauté internationale d’experts de la gestion des services de T.I.• Principaux événements: 1ere 2e 3e Nouvelle Prochaine publication publication publication édition édition Fin des années 80 2001 2007 2011 2011 Cycle de vie des services Stratégie des services Relations d’affaires Évolution des T.I.
  • Structure du cycle de vie des services selon ITIL®:2011
  • Stratégie des services selon ITIL®• ITIL® aidera à établir un encadrement autour d’une autorité et établissant comment prendre les décisions, de structures et de processus organisationnels, mettant laccent et priorisant les efforts et investissement en se basant sur les stratégies et objectifs de lorganisation d’affaires.• La stratégie des services vise principalement à définir:  Qui sont les clients des services TI  Quels sont leur besoins et exigences (SLR)  Quelle est la valeur attendue des services en soutien aux besoins d’affaires  Quels sont les sont les actifs disponibles et la capacité pour soutenir la livraison des services (ressources et aptitudes)  Quels sont les risques  Quels sont les moyens financiers Tous ces éléments s’inscrivent dans une gouvernance TI
  • Quelques avantages d’ITIL®• Augmentation de la fiabilité et de la qualité des service TI en soutien aux services d’affaires• Des attentes claires entre l’organisation d’affaires et les TI• Une meilleure intégration, adéquation des niveaux de services en fonction des besoins et des risques d’affaires (disponibilité, capacité, continuité et sécurité)• Une réponse plus rapide aux besoins d’affaires toujours croissants• Un meilleur positionnement de l’offre de service TI• Des responsabilités et autorités définies et attribuées• Des processus cohérents, répétables et mesurables• Des informations de gestion disponibles facilitant l’amélioration et les décisions• Un contrôle des dépenses et des coûts liés au changements et améliorations aux services
  • Qu’est-ce que l’ISO/CEI 20000 ?
  • Parties et évolution de l’ISO/CEI 20000 • 20000-1: 2011 Service management systems requirements Partie 1 • 20000-2: 2012 Guidance on implementation of service management systems • 20000-3 :2009 Scope definition and applicability of ISO/IEC 20000-1 Partie 2 • 20000-4 : 2010 Process reference model • 20000-5 : 2010 Exemplar implementation plan for ISO/IEC 20000-1 • 20000-6 : à définir Partie 3,4,5,…11 • 20000-7 : Guidance on the application of ISO/IEC 20000-1 to the cloud • 20000-9 : à définir Cadres de reference ITIL®, MOF, COBIT®, CMMI-SCV®, eTOM®, • 20000-10 : Concepts and terminology eSCM® • 20000-11 : Guidance on the relationship between ISO/IEC 20000-1 and related frameworks Cadre de gestion interne Légende • Actuelle Page  26 • En cours d’édition
  • Quelques avantages del’ISO/CEI 20000• Alignement des services de technologie de linformation et de la stratégie daffaires;• Création dun cadre formel pour les projets actuels damélioration des services• Fournit une comparaison de type « benchmark » avec les meilleures pratiques• Crée un avantage concurrentiel via la promotion de services• Réduction du risque et donc le coût en termes de réception de services externes• Grâce à la création dune approche standard uniforme, aide aux changements organisationnels majeurs• Contribue à l’amélioration de la perception des services rendus• Amélioration des relations entre les différents départements grâce à une meilleure définition et clarté des responsabilité et de la portée de chacun• Offre un cadre stable pour la formation des ressources
  • Qu’est ce que l’ISO/CEI 27000 ? Termonologie 27000 Vue d’ensemble et vocabulaire Fournit des informations générales, termes et définitions applicables à la famille de normes SGSI Exigences générales 27006 27001 Exigences pour les organismes procédant Exigences la l’audit et la certification du SGSI 27002 27007 Dans un monde interconnecté, Code de bonne pratique Guide d’audit du SGSI linformation et les processus liés, Guides (orientations) les systèmes et réseaux sont des Généraux 27005 atouts essentiels pour les 27003 Gestion des risques Lignes directrices pour organisations, un système de la mise en œuvre du SGSI gestion de linformation de sécurité 27004 est essentiel. Mesurage Domaines spécifiques Guides (orientations) 27011 Organisations domaine des télécommunications Normes Guides 27799 Légende: (exigences de informatifs Flèches: Organisation domaine la norme) (normes) soutien de la santé Page  28
  • Parties et évolution de la série 27000• ISO/IEC WD 27001 - Requirements  ISO/IEC FCD 27033-2 - Network security - Part 2: Guidelines for the design and implementation of network security• ISO/IEC NP 27002 - Code of practice for information security management  ISO/IEC FDIS 27033-3 - Network security - Part 3: Reference• ISO/IEC FCD 27005 - Information security risk networking scenarios - Threats, design techniques and control issues management  ISO/IEC WD 27033-4 - Network security - Part 4: Securing• ISO/IEC CD 27007 - Guidelines for information communications between networks using security gateways -- Risks, security management systems auditing design techniques and control issues• ISO/IEC PDTR 27008 - Guidance for auditors on  ISO/IEC NP 27033-5 - Network security - Part 5: Securing virtual private ISMS control networks - Risks, design techniques and control issues• ISO/IEC WD 27010 - sector and inter-  ISO/IEC NP 27033-6 - Network security - Part 6: Wireless organizational communications  ISO/IEC NP 27033-7 - Network security - Part 7: Wireless• ISO/IEC WD 27013 - Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC  ISO/IEC FCD 27034-1 - Application security - Part 1: Overview and 27001 concepts• ISO/IEC WD 27014 - Proposal on an Information  ISO/IEC WD 27034-2 - Application security - Part 2: Organization security governance (ISG) framework normative framework• ISO/IEC WD 27015 - Proposal on an Information  ISO/IEC NP 27034-3 - Application security - Part 3: Application security security management guidelines for financial and management process insurance services  ISO/IEC NP 27034 - Application security - Part 4: Application security• ISO/IEC FDIS 27031 - Guidelines for information validation and communication technology readiness for business continuity  ISO/IEC NP 27034-5 - Application security - Part 5: Protocols and application security controls data structure• ISO/IEC CD 27032 - Guidelines for cyber security  ISO/IEC FCD 27035 - Information security incident management  ISO/IEC NP 27036 - Guidelines for security of outsourcing  ISO/IEC WD 27037 - Guidelines for identification, collection and/or acquisition and preservation of digital evidence  ISO/IEC NP 27038 - Specification for Digital Redaction Page  29
  • Qu’est-ce que l’ISO/CEI 27013 ?• Cette Norme internationale a été publiée en octobre 2012• Vise à fournir des orientations pour une mise en œuvre intégrée de la norme ISO/CEI 27001 et ISO/CEI 20000-1 pour les organisations qui ont lintention de soit:  Mettre en œuvre lISO/CEI 27001 lorsque la norme ISO/CEI 20000-1 est déjà adoptée, ou vice versa  Mettre en œuvre lISO/CEI 27001 et ISO/CEI 20000-1 ensemble  Aligner l’implantation d’un système de gestion lorsqu’un système de gestion ISO/CEI 27001 ou ISO/CEI 20000-1 est déjà en place La relation entre la sécurité de linformation et la gestion des services est si proche que de nombreuses organisations reconnaissent déjà les avantages de ladoption de deux ensembles de normes pour leur gestion de la qualité. Tiré des travaux ISO-IECJTC1-SC27 27013
  • Cadre intégré de gestion de services TIBasé sur les normes ISO/CEI 20000: 2011 et ISO/CEI 27013:2012 et le référentiel ITIL® édition 2011
  • Conclusion La gouvernance des TI, la conformité aux règlements, la reddition de comptes améliorée ainsi que la vérification sont devenues les pierres angulaires dans la prestation de services informatiques aux entreprises. La notion de gestion des services IT (ITSM) vise à aider les organisations à sassurer que les TI et les affaires sont mieux alignés, et répond aux besoins de lentreprise dune manière transparente, reproductible et gérable, grâce à des processus et des procédures. Edward Carbutt, Directeur exécutif, Marval SA Johannesburg, 20 Juillet 2010
  • Dominick BoutetConseillère séniore en gestion des servicesITIL® gestionnaire des services v2 - Expert v3Consultant en gestion des services de T.I. - ISO/CEI 20000TIPA® évaluateur maturité des processus ITIL®Déléguée canadienne ISO/CEI JTC 1/SC 7/WG 25s3i@s3iconseil.comSite web : www.s3iconseil.net