SlideShare une entreprise Scribd logo
1  sur  34
Télécharger pour lire hors ligne
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
La délégation régionale PACA de L’ISACA AFAI vous propose une conférence sur le thème:
Manager la continuité :
aspects business et impératifs informatiques
Mme Isabelle SALESSE LAVERGNE, DSIO de l’Hôpital Saint-
Joseph, va nous faire part de son expérience et de sa vision
prospective.
Cette conférence sera animée par M. Frédéric VILANOVA,
CISA, fondateur d’Effective Yellow et par M. Jean-Yves OBERLE,
Délégué régional – Isaca Afai
Merci à tous pour votre participation et vos interventions en
séance: le partage d’expérience est notre force !
Mercredi 11 mars 2015 18h30 - ESDAC – Aix-en-Provence
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
SOMMAIRE
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph à
Marseille - Mme Isabelle Salesse Lavergne
2. Continuité Informatique – COBIT, un référentiel proposé par
l’ISACA pour agir et donner du sens – M. Frederic Vilanova
3. Continuité: Aspects Business et Gouvernance – M. Jean-Yves
Oberlé
Echanges, Conclusion
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 1er établissement privé à but non lucratif
- 3ème établissement de santé en PACA
- 2nd employeur privé de Marseille
- 2.350 salariés (1.862 etp)
- 312 médecins libéraux et 96 médecins salariés
- 805 lits et places MCO
- 30 places HAD
- 56 lits SSR
- 30 services
- 37 salles de bloc
- 40 lits de soins critiques (Réanimation & Soins Intensifs)
- 224.000 journées et séances par an
- 60.000 entrées par an
- 1.065 consultations par jour
- 88 interventions sous anesthésie par jour
(> 32.000 par an)
- 150 passage par jour aux urgences
(> 55.000 par an)
- 12 naissances par jour (> 4.300 par an)
- Budget annuel de 220 M€
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
L’Hôpital St Joseph à Marseille
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 224 logiciels
- 1.400 comptes de messagerie
- 210 serveurs virtuels
- 79 serveurs physiques
- 38 serveurs CITRIX
- 4 baies SAN de stockage
- 265 TO de données stockées, dont 150 TO d’imagerie
- 1136 PC et panels PC
- 400 clients légers
- 209 postes mobiles (tablettes, ultraportables, portables, pocket PC)
- 589 imprimantes
- 191 scanners
- 800 TV sous IP
- 2 cœurs de réseaux 10 Gb
- 3.200 points réseaux
- 90 points réseau Biomédial
- 96 postes biomédicaux connectés
- 22 VLAN
- 135 bornes WiFi
- 320 accès distants, 6 VPN prestataires
- 33 locaux techniques
- 2 salles machines
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
Le Système d’Information Hospitalier en 2014
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 2.541 appels hot-line par mois, 90% résolution N1
- 1.458 demandes via la gestion des demandes (Intranet)
- 136 sessions de formation par an (médecins et secrétaires
médicales)
- 0,5 IDE pour former le personnel soignant
- Budget 2014 : 4.678 K€ (2,06% budget de l’hôpital)
- 17 personnes
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
Le Système d’Information Hospitalier en 2014
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
ENJEUX METIERS
- Une informatisation totale de la prise en
charge du patient
et des plateaux techniques
- Une ouverture de plus en plus grande vers
l’extérieur pour la continuité des soins
- Des utilisateurs de plus en plus nombreux et
« disparates »
- Des exigences de plus en plus fortes en
matière de haute disponibilité (Cf. Connexion
des Plateaux Techniques et dispositifs
médicaux, Continuité des soins, Sécurité du
patient)
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
CONTRAINTES OPERATIONNELLES
- Arrêt total de la Production : 5 personnes
pendant 6H
(290 éléments physiques à arrêter)
« PRESSION » DES AUTORITES DE TUTELLE
- La Politique Générale de Sécurité des
Systèmes d’Information de Santé
(PGSSI-S)
- Le Programme Hôpital Numérique
- La Certification des Etablissements de Santé
Contexte
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
− Mécanismes de haute disponibilité sur les ressources critiques :
 Salles machines
 Infrastructure de sauvegarde
 Infrastructure de stockage
 Virtualisation
 Réseau
 Applications et bases de données critiques
- Maintien en Conditions Opérationnelles
 Désignation d’un RSSI
 Organisation 24H/24 – 7J/7
 Supervision
 Administration
 Gestion des changements
 Sécurisation physique, électrique et thermique
grâce à la collaboration des services Techniques
- Procédures dégradées
- Sensibilisation / Formation des utilisateurs
- Plan de Reprise d’Activité
Mais, AVANT TOUT,
une très grande disponibilité des équipes
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
Dispositifs mis en place
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
UN BILAN GLOBALEMENT POSITIF ….
√ Des risques globalement maîtrisés
√ 99,98 % taux de disponibilité, soit 77H d’indisponibilité en 2013
(< 20 mn / jour)
√ Le dernier sinistre majeur remonte à novembre 2011 :
 Perte d’une baie SAN
 Arrêt total du SIH de 6H à 14H
 Aucune sauvegarde possible pendant plus de 48H
MAIS DES ZONES DE RISQUES MAJEURES
DONT ON NE PEUT SE SATISFAIRE …..
− Manque de ressources :
√ Documentation insuffisante
√ Pas d’exercice de mise en situation
√ Disponibilité des ressources critiques en cas de sinistre majeur
√ Ressources insuffisante pour réaliser les tâches d’administration
et de MCO nécessaires
- Des difficultés à mobiliser Direction et utilisateurs en l’absence de
sinistre majeur
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
Limites et difficultés
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- Du Plan de Reprise d’Activité au Plan de Continuité d’Activité :
 Construction d’un nouveau Data Center hors du 1er
périmètre de l’hôpital
 Renforcement des mécanismes de haute disponibilité
− S’appuyer sur les recommandations des Tutelles pour renforcer
la sensibilisation de la Direction Générale
− Renforcer le Maintien en Conditions Opérationnelles
Perspectives
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
AU NIVEAU DE L’ORGANISATION :
- Considérer la sécurité comme un projet d’entreprise,
dont la Direction Générale porte la vision globale
- Viser des objectifs réalistes, qui répondent aux besoins
de l’organisme ; ne pas viser le risque zéro
- Sensibiliser et faire adhérer les utilisateurs
AU NIVEAU DE LA DSI :
- Ne pas sous estimer le travail de documentation
- Promouvoir le travail d’équipe, la coopération, l’esprit de
service
- Disposer d’une très bonne connaissance des métiers et
des enjeux associés
- Toujours dialoguer avec les utilisateurs pour éviter que
ceux-ci ne contournent la DSI
- Ne pas oublier que l’on n’est jamais plus fort
que le maillon le plus faible
Facteurs Clés de succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
A présent ou en fin de présentation…
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de structure Cobit5
. Principes
. Facilitateurs « Principes, Politiques et Référentiels »
. Facilitateurs « Processus »
. Périmètre Cobit5
. RACI
2.2 LSS04 « Gérer la Continuité »
. Contribution de LSS04 aux objectifs liés aux TI
. LSS04 vue générale
. LSS04-03 exemple de sous-processus
. Progresser dans COBIT par niveaux de maturité
. Implémenter LSS04
2. Continuité Informatique - un référentiel proposé par l’ISACA
pour agir et donner du sens
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Périmètre et notions clés
• Version 1 en 1996 actuellement en V5
USA Canada France (selon le
contexte)
Business Affaires Entreprise, Métier,
Affaire, Activité
Business Case Dossier
d’affaires
Analyse de cas,
Etude d’opportunité
Business Plan Plan d’affaires Contrat d’objectifs,
Cible
Enabler Facilitateur Levier
IT TI SI, Système
d’Information,
Informatique
Management Gestion Management,
Gestion
Lag Indicators,
Achievement of
Goals Metrics
Indicateur de
résultat
Indicateur de
résultat, pour la
réalisation des
objectifs
Lead Indicators,
Application of
Practice Metrics
Indicateurs de
fonctionnement
Indicateurs de
fonctionnement,
pour l’application des
pratiques
• Partager un vocabulaire commun
2. Couvrir l’entreprise de bout en bout
• 5 principes fondamentaux:
1. Répondre aux besoins des parties
prenantes
• Pas seulement les processus
informatiques
• Toutes les fonctions et tous les
processus de l’entreprise
• L’information et les technologies qui
s’y rapportent sont traitées comme
des actifs de l’entreprise
La version 5 a regroupé des référentiels
auparavant épars (Risk IT, VAL IT, BMSI,
Cobit4…) en se conformant aux
référentiels spécifiques majeurs tels que
ISO/IEC 27001, ISF Standard for Good
Practice for Information Security et US
National Institute of Standards and
Technology (NIST) SP800-53A
Cobit5 retient une approche holistique intégrant 7
types de facilitateurs (enablers, leviers):
1. Principes, politiques et référentiels (pour
traduire le comportement désiré en
orientations pratiques)
2. Processus (pratiques et activités pour
produire des résultats et ainsi réaliser des
objectifs globaux)
3. Structures organisationnelles (entités pour
décider et agir)
4. Culture, Ethique et Comportements (des
individus)
5. Information (produite et utilisée pour
permettre à l’organisation de fonctionner)
6. Services, Infrastructures et Applications
(traitements et services technologiques)
7. Personnes, Aptitudes et Compétences
(individus)
Les trois derniers sont des ressources au sens
Cobit5.
Distinguer la Gouvernance IT et le
Management IT (= la Gestion des SI)
En effet le management s’attache à :
- Planifier
- Construire
- Gérer
- Piloter
des activités en fonction….
…des directives établies en par les
organes de gouvernance pour atteindre
les objectifs de l’entreprise (GEIT
Governance of Enterprise IT)
Nous reviendrons en 3ème partie sur le
sujet de gouvernance…
1. Valeur pour les parties prenantes
2. Portefeuille de produits et services concurrentiels
3. Gestion du risque d’affaires (protection des actifs)
4. Conformité aux lois et à la règlementation
5. Transparence financière
6. Culture de service orientée client
7. Continuité et disponibilité des services d’affaires
8. Réponses agiles dans un contexte d’affaires en
évolution
9. Prise de décisions stratégiques basées sur
l’information
10. Optimisation des coûts de livraison des services
11. Optimisation de la fonctionnalité des processus
d’affaires
12. Optimisation des coûts des processus d’affaires
13. Programmes de gestion du changement
14. Productivité opérationnelle et productivité du
personnel
15. Conformité aux politiques internes
16. Personnes qualifiées et motivées
17. Culture d’innovation des produits et des affaires
Apprentissage et Croissance
Interne
Client
Financier
1. Alignement des TI et de la stratégie d’affaires
2. Conformité des TI et soutien à la conformité de l’entreprise aux
lois et à la réglementation
3. Engagement de la haute direction dans la prise de décisions
liées aux TI
4. Gestion du risque d’affaires lié aux TI
5. Bénéfices réalisés sur les investissements en TI et sur le
portefeuille de services
6. Transparence des coûts, des bénéfices et des risques des TI
7. Livraison de services des TI conforme aux exigences
opérationnelles
8. Utilisation adéquate des applications, de l’information et de
solutions technologiques
9. Agilité des TI
10. Sécurité de l’information, des infrastructures de traitement et
des applications
11. Optimisation des actifs, des ressources et des capacités des TI
12. Mise en œuvre et soutien des processus d’affaires par leur
intégration dans les applications et les technologies
13. Livraison de programmes procurant des avantages, en temps
opportun, en respectant budget, exigences et normes de qualité
14. Disponibilité d’informations fiables et utiles pour la prise
de décision
15. Conformité des TI aux politiques internes
16. Personnel des TI et des lignes d’affaires compétent et motivé
17. Connaissances, compétences et initiatives pour l’innovation
d’affaires
Apprentissage et Croissance
Interne
Client
Financier
• Partager un vocabulaire commun
2. Couvrir l’entreprise de bout en bout
• 5 principes fondamentaux:
1. Répondre aux besoins des parties
prenantes
Principes
• Version 1 en 1996 actuellement en V5
4. Faciliter une approche globale
5. Distinguer la gouvernance de la
gestion
3. Appliquer un référentiel unique et
intégré
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- COBIT5 propose une démarche pour mettre en place un référentiel adapté à votre
situation d’entreprise, par une approche top-down: Principes: supporter les activités de
l’entreprise, les défendre, promouvoir des comportements responsable ; Politiques
générales ; Politiques spécifiques ; Procédures ; Eléments requis et documentation
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Points clés - Facilitateur « Principes, Politiques et Référentiels »
- Les politiques générales peuvent s’étayer et contribuer aux travaux s’inscrivant dans
des cadres plus larges ou différents tels que
- le référentiel international de contrôle interne COSO 2013
- le programme de Santé Publique Hôpital Numérique en France
- Les politiques spécifiques sont utiles par exemple pour être en conformité
- avec la loi Sarbanes-Oxley aux Etats-Unis (SOX 409 clôturer les comptes en deux
jours; SOX 404 démontrer l’efficacité des contrôles internes)
- avec la norme ISO/IEC 27001 en Management de la Sécurité de l’Information
- avec la norme PCI DSS pour la gestion des paiements par carte bancaire
- avec la règlementation en Banques et Assurances: BASEL2 et BASEL3
(exhaustivité, intégrité); Règlement CRBF 97-02 contrôle interne (article 14,
sécurité, continuité, intégrité, confidentialité; articles 37-1 et suivants Maîtrise des
prestations essentielles externalisées)
- Les principes de Cobit5 sont compatibles à ceux proposés par la norme ISO/IEC
38500:2008 Gouvernance des technologies de l’information par l’entreprise. ISO38500
observe depuis le toit de la maison, COBIT constitue les murs.
- Eléments requis: ITIL et PRINCE2 (Projects in Controlled Environments 2) sont utiles pour
fournir des éléments du « comment? » en compléments des éléments Cobit5.
Enterprise
Risk
Management
System
Corporate governance of information technology,
Information
Security
Management
System
27001
27002
Capability Maturity Model and
Integration Best Practices Softwre
Developmente, Acquisition, Services
Enterprise
Architecture
The
Open
Group
Architecture
Framework
Project Management
and Certification
Project IN Controlled
Environments
ISO/CEI 20000
= a set of requirements
which must be met in order to
qualify for certification.
ITIL V3 has been created to
achieve better alignment with
the ISO 20000 standard, to
provide specific advice on how
to design your processes to
complement ISO 20000, to
strengthen services lifecycles
IT Departement Standard Quality
and Certification
ISO/CEI 22301
Systèmes de
management
de la continuité
d'activité
ISO International Organization for Standardization (Organisation Internationale de Normalisation (OIN))
IEC International Electrotechnical Commission (Commission Electrotechnique Internationale (CEI))
27k list
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Cf.
ISO CEI
15504
Achievement of Goals – Lag Indicators Application of Practice – Lead Indicators
Points clés – Facilitateur « Processus »
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Périmètre Cobit5
EVALUATE (SEM)
PLAN (APO)
BUILD (BAI)
RUN (LSS)
GOVERN (EDS)
EVALUATE (SEM)
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
RACI
Accountable
(In Charge Productor)
Responsible
(Supervisor)
Concerned
Consulted
contributor
(Other Productors)
Informed
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de structure Cobit5
. Principes
. Facilitateurs « Principes, Politiques et Référentiels »
. Facilitateurs « Processus »
. Périmètre Cobit5
. RACI
2.2 LSS04 « Gérer la Continuité »
. Contribution de LSS04 aux objectifs liés aux TI
. LSS04 vue générale
. LSS04-03 exemple de sous-processus
. Progresser dans COBIT par niveaux de maturité
. Implémenter LSS04
2. Continuité Informatique - un référentiel proposé par l’ISACA
pour agir et donner du sens
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Contribution de LSS04 aux Objectifs liés aux TI
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Description du processus LSS04
- Etablir et maintenir un plan visant à permettre aux unités d’affaires et aux TI de répondre
aux incidents et aux interruptions afin de poursuivre l’exécution des processus d’affaires
critiques et des services des TI requis et afin de maintenir la disponibilité de l’information
à un niveau acceptable pour l’entreprise
Objectif général du processus LSS04
- Poursuivre les opérations critiques de l’entreprise et maintenir la disponibilité de
l’information à un niveau acceptable pour l’entreprise en cas d’interruption significative
Le processus LSS04 appuie certains objectifs liés aux TI
- 04 Gestion du risque d’affaires lié aux TI [ex d’indicateur: Nb d’incidents importants liés
aux TI qui n’ont pas été signalés dans le cadre de l’évaluation des risques]
- 07 Livraison des services de TI conformes aux exigences d’affaires [ex d’indicateur: Nb
d’interruptions des activités d’affaires attribuables à des incidents de service TI]
- 14 Disponibilité d’informations fiables et utiles pour la prise de décision [ex d’indicateur:
Nb d’incidents liés aux processus d’affaires causés par la non disponibilité de
l’information]
LSS04 Vue générale
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Objectifs détaillés Indicateurs connexes (exemples)
1. L’information d’affaire critique est disponible
conformément au niveau minimum de service
requis
% des services TI qui répondent aux exigences
de disponibilité
% de restauration réussie en temps opportun à
partir des supports de sauvegarde ou d’autres
copies
2. Une résilience suffisante est en place pour
les services essentiels
Nb de systèmes critiques d’affaires qui ne sont
pas couverts par le plan de continuité
3. Des tests de continuité de service ont vérifié
l’efficacité du plan de continuité
Nombre d’exercices et de tests qui ont atteint
les objectifs de rétablissement
Fréquence des tests
4. Un plan de continuité à jour reflète les
exigences d’affaires actuelles
% de questions identifiées qui ont été ensuite
abordées dans le plan de continuité
5. Les intervenants internes et externes ont
été formés selon le plan de continuité
% de problèmes dentifiés qui ont été ensuite
abordés dans le plan de formation à la
continuité
LSS04 Vue générale
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04.01 Définir la politique de continuité des
affaires, ses objectifs et sa portée
LSS04.02 Maintenir une stratégie de
continuité
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
LSS04.04 Faire l’exercice du PCA, le tester et le
passer en revue
LSS04.05 Revoir, maintenir et améliorer le
plan de continuité
LSS04.06 Dispenser une formation sur le plan
de continuité
LSS04.07 Gérer les mesures de sauvegarde
LSS04.08 Procéder à l’examen post-reprise
01. Définir la politique de
continuité des affaires et sa
portée conformément aux
objectifs de l’entreprise et
des parties prenantes
02. Evaluer les options de
gestion de la continuité
des opérations et choisir
une stratégie de
continuité rentable et
viable qui assurera la
reprise de la continuité de
l’entreprise en cas de
désastre ou d’autres
incidents ou interruptions
03. Elaborer un plan de
continuité des affaires
(PCA) basé sur la stratégie
qui documente les
procédures et
l’information en prévision
d’une utilisation lors d’un
incident pour permettre à
l’entreprise de poursuivre
ses activités essentielles
04. Tester les mesures de
continuité sur une base
régulière afin de valider
les plans de reprise par
rapport aux résultats
attendus
et pour permettre le
développement de
solutions innovantes
et pour aider à vérifier
que le plan fonctionne
comme prévu
5. Procéder à un examen
de la gestion de la
capacité de continuité à
intervalle régulier pour
garantir sa pertinence, son
adéquation et son
efficacité.
Gérer les changements au
plan en conformité avec le
processus de contrôle des
changements afin de
s’assurer que le plan de
continuité est à jour et
reflète constamment les
exigences d’affaires
réelles.
6. Fournir à toutes les
parties internes et
externes concernées des
sessions régulières de
formation concernant les
procédures, leurs rôles et
leurs responsabilités en
cas d’interruption.
7. Maintenir la
disponibilité des
informations critiques
d’affaires
(sauvegardes internes et externes,
accessibilité, chiffrement..)
8. Evaluer la pertinence du
PCA suivant la reprise
réussie des processus et
des services d’affaires après
une interruption
LSS04 Vue générale
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 Exemple de sous-processus
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 1: Définir les actions de réponse aux incidents
et les communications à effectuer en cas
d’interruption. Définir les rôles et responsabilités
connexes, incluant la responsabilité pour la politique
et la mise en œuvre.
Activité 2: Développer et maintenir des PCA
opérationnels contenant les procédures à suivre pour
permettre l’exploitation continue des processus
critiques de l’entreprise ou pour permettre
l’exploitation continue des processus critiques de
l’entreprise ou pour permettre l’utilisation
d’arrangements temporaires, incluant des liens vers
des plans de fournisseurs de services externes.
Activité 3: Veiller à ce que les principaux fournisseurs
et partenaires d’impartition aient mis en place des
plans de continuité efficaces. Recueillir des preuves
vérifiées, au besoin.
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 (Suite)
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 4: Définir les conditions et les procédures de
recouvrement qui permettraient la reprise des
affaires, incluant la mise à jour et la conciliation des
bases de données pour préserver l’intégrité de
l’information.
Activité 5: Définir et documenter les ressources
requises pour appuyer les procédures de continuité et
de reprise, en tenant compte des personnes, des
installations et des infrastructures des TI.
Activité 6: Définir et documenter les exigences de
sauvegarde de l’information nécessaires pour appuyer
les plans, incluant les plans et les documents papier
ainsi que les fichiers de données, et considérer le
besoin pour la sécurité et pour un stockage hors site
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 (suite)
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 7: Déterminer les compétences nécessaires
pour les personnes impliquées dans l’exécution du
plan et des procédures.
Activité 8: Distribuer les plans et les documents de
soutien de façon sécuritaire aux parties intéressées
dûment autorisées et s’assurer qu’ils sont accessibles
dans tous les scénarios de désastre.
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Progresser dans COBIT par Niveaux de Maturité
Attribut(s)
Résultats du
processus
Pratiques de
base
Produits du
travail (Intrants
/ Extrants)
INDICATEURS DE
PERFORMANCE INDICATEURS DE CAPACITE
Pratiques
génériques
Ressources
génériques
Résultats
génériques de
l’activité
0. Processus
incomplet
Aucun
Fonction non
atteinte ou
pas vérifiable
1. Processus
exécuté
AP 1.1 Performance
du Processus
Fonction réalisée
Processus
répétable mais
intuitif ou ponctuel
2. Processus
géré
AP 2.1 Gestion de
la performance
AP 2.2 Gestion des
résultats de
l’activité
Processus planifié,
surveillé et ajusté
(buts, objectifs,
responsable de
processus, RACI)
Résultats établis,
contrôlés, maintenus
3. Processus
établi
AP 3.1 Définition du
processus
AP 3.2 Déploiement
du processus
Mis en œuvre selon
une procédure
définie permettant
d’atteindre les
résultats souhaités
4. Processus
prévisible
AP 4.1 Gestion du
processus
AP 2.2 Contrôle du
processus
Fonctionnement
selon des limites qui
assurent l’atteinte
des résultats
souhaités
5. Processus
en
optimisation
AP 5.1 Innovation
du processus
AP 5.2 Optimisation
du processus
Amélioré
continuellement
pour atteindre des
objectifs d’affaires
pertinents actuels
et projetés
Contrôle
Investissement
faible
Investissement
fort
Modèles de Maturité : Cobit5 = compatible ISO/IEC 15504 - Processus Génie Logiciel =
SPICE Software Process Improvement and Capability dEtermination (différent de CMMI
Capability Maturity Model Integration)
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Quels sont les inducteurs (drivers) qui donne au management le désir de changer ?
• Reconnaitre les points qui font mal et les évènements déclencheurs
• Internes, externes, techniques, psychologiques, recommandations d’audit…
• Causes sources (ex: « les métiers ne participent pas ») et facteurs clés de succès à
développer (ex: « intégrer des représentants des métiers dans l’évaluation de la
situation actuelle »; « sensibiliser aux risques de non partciipation »)
2. Où en sommes-nous aujourd’hui?
• Qualité du support des métiers à la continuité IT
• Un coût d’amélioration ressenti comme supérieur aux bénéfices perçus
• Niveau de confiance limité entre l’IT et les métiers pour assurer un service continu
3. Où souhaiterions-nous être?
• Faire comprendre l’environnement de continuité et faire évoluer les comportements
• Savoir utiliser Cobit5 et ainsi faire percevoir simplement la complexité de la continuité
• Diminuer fortement la résistance au changement des informaticiens et des utilisateurs
4. Qu’est-il nécessaire de faire pour y parvenir?
• Implication dans l’implémentation, pas-à-pas concrètement…
5. Comment parvenir à cette situation cible?
• Démarrer simplement, se former et se faire aider pour piloter (MOA Cobit5)
6. Sommes-nous effectivement arrivés en situation cible?
• Parvenons-nous à montrer clairement les bénéfices pour le management? Pour la
gouvernance?
7. Comment conservons-nous la dynamique actuelle sur ce sujet?
• Ne pas perdre la motivation, dynamiser la montée en qualité du niveau de contrôle
interne, valoriser les acteurs
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Implémenter LSS04
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
A présent ou en fin de présentation…
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Business
. AAAA
3.2 Gouvernance
. BBBBBBBBBBB
3. Continuité: Aspects Business et Gouvernance
Continuité: Aspects Business et
Gouvernance – M. Jean-Yves Oberlé
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Business
. AAAA
3.2 Gouvernance
. BBBBBBBBBBB
3. Continuité: Aspects Business et Gouvernance
Continuité: Aspects Business et
Gouvernance – M. Jean-Yves Oberlé
MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
3. Continuité: Aspects Business et Gouvernance

Contenu connexe

Tendances

2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...
2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...
2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...ASIP Santé
 
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...ASIP Santé
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"ASIP Santé
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"ASIP Santé
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"ASIP Santé
 
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...ASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...ASIP Santé
 
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"ASIP Santé
 
Présentation cpam 06.02.2014
Présentation cpam 06.02.2014Présentation cpam 06.02.2014
Présentation cpam 06.02.2014phild68131
 
Iterop - Presentation - Health Process Management
Iterop - Presentation - Health Process ManagementIterop - Presentation - Health Process Management
Iterop - Presentation - Health Process ManagementIterop
 
2010.th16419.durand.arnaud
2010.th16419.durand.arnaud2010.th16419.durand.arnaud
2010.th16419.durand.arnaudvangogue
 
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson Analytics
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson AnalyticsLe CHU de Liège améliore l'exploration de ses données avec IBM Watson Analytics
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson AnalyticsLydie GEMENT
 

Tendances (12)

2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...
2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...
2016-05-25 ASIP Santé Ateliers PHW16 "Comment décliner la politique générale ...
 
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...
2016-05-26 ASIP Santé Ateliers PHW16 "Projet TSN PASCALINE : présentation gén...
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 3_CH_CompiegneNoyon_MSSante"
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140522_HIT_Labellisation"
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"
2014-05-22 ASIP Sante Ateliers SSA 2014 "Atelier 1_CliniquePasteur_MSSante"
 
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...
2014 02-06 asip-2014-02-06 ASIP Santé RIR "Le DMP au service de la prise en c...
 
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
 
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"
2014-11-13 ASIP Santé JNI "MSSanté: Point d’avancement, outils, marché"
 
Présentation cpam 06.02.2014
Présentation cpam 06.02.2014Présentation cpam 06.02.2014
Présentation cpam 06.02.2014
 
Iterop - Presentation - Health Process Management
Iterop - Presentation - Health Process ManagementIterop - Presentation - Health Process Management
Iterop - Presentation - Health Process Management
 
2010.th16419.durand.arnaud
2010.th16419.durand.arnaud2010.th16419.durand.arnaud
2010.th16419.durand.arnaud
 
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson Analytics
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson AnalyticsLe CHU de Liège améliore l'exploration de ses données avec IBM Watson Analytics
Le CHU de Liège améliore l'exploration de ses données avec IBM Watson Analytics
 

Similaire à Manager la continuité aspects business et impératifs informatiques. pdf

2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...
2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...
2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...ASIP Santé
 
5 ms santé - vladimir vilter - mathilde sabourin - virginie moly
5   ms santé - vladimir vilter - mathilde sabourin - virginie moly5   ms santé - vladimir vilter - mathilde sabourin - virginie moly
5 ms santé - vladimir vilter - mathilde sabourin - virginie molyASIP Santé
 
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"ASIP Santé
 
5 ms santé, point d'avancement
5 ms santé,  point d'avancement5 ms santé,  point d'avancement
5 ms santé, point d'avancementASIP Santé
 
2014-04-10 ASIP Sante RIR "MSSanté ouverture de l’espace de confiance et pre...
2014-04-10 ASIP Sante RIR "MSSanté  ouverture de l’espace de confiance et pre...2014-04-10 ASIP Sante RIR "MSSanté  ouverture de l’espace de confiance et pre...
2014-04-10 ASIP Sante RIR "MSSanté ouverture de l’espace de confiance et pre...ASIP Santé
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"ASIP Santé
 
Présentation cpam 06.02.2014
Présentation cpam 06.02.2014Présentation cpam 06.02.2014
Présentation cpam 06.02.2014phild68131
 
Med In Tech : La technologie au service de la santé - Les Hôpitaux
Med In Tech : La technologie au service de la santé - Les HôpitauxMed In Tech : La technologie au service de la santé - Les Hôpitaux
Med In Tech : La technologie au service de la santé - Les HôpitauxTheFamily
 
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...ASIP Santé
 
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...France Qualité • AFQP
 
Messagerie MSSanté : un espace de confiance entre professionnels
Messagerie MSSanté : un espace de confiance entre professionnelsMessagerie MSSanté : un espace de confiance entre professionnels
Messagerie MSSanté : un espace de confiance entre professionnelsMarie Bonnaud
 
Cycle certifiant Contrôleur de gestion à l'hôpital
Cycle certifiant Contrôleur de gestion à l'hôpitalCycle certifiant Contrôleur de gestion à l'hôpital
Cycle certifiant Contrôleur de gestion à l'hôpitalComundi
 
Diaporama ars Ressourcial 6 décembre 2013
Diaporama ars Ressourcial 6 décembre 2013Diaporama ars Ressourcial 6 décembre 2013
Diaporama ars Ressourcial 6 décembre 2013Ressourcial
 
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...ASIP Santé
 
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...ASIP Santé
 
systeme information sanitaire chu cheikh .pdf
systeme information sanitaire chu cheikh .pdfsysteme information sanitaire chu cheikh .pdf
systeme information sanitaire chu cheikh .pdfrachidaerrahli2
 
Tic Sante 2010 02 10 Perinice
Tic Sante 2010 02 10 PeriniceTic Sante 2010 02 10 Perinice
Tic Sante 2010 02 10 Perinicealilou2955
 
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routine
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routineMSSanté : le CH Compiègne-Noyon du béta-test à la production en routine
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routineMarie Bonnaud
 
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"ASIP Santé
 

Similaire à Manager la continuité aspects business et impératifs informatiques. pdf (20)

2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...
2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...
2014-06-20 ASIP Santé JNI "MSSanté - Présentations ASIP Santé, CH de Compiègn...
 
5 ms santé - vladimir vilter - mathilde sabourin - virginie moly
5   ms santé - vladimir vilter - mathilde sabourin - virginie moly5   ms santé - vladimir vilter - mathilde sabourin - virginie moly
5 ms santé - vladimir vilter - mathilde sabourin - virginie moly
 
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"
2014-06-26 ASIP Santé RIR "MSSanté-Point d'avancement"
 
5 ms santé, point d'avancement
5 ms santé,  point d'avancement5 ms santé,  point d'avancement
5 ms santé, point d'avancement
 
2014-04-10 ASIP Sante RIR "MSSanté ouverture de l’espace de confiance et pre...
2014-04-10 ASIP Sante RIR "MSSanté  ouverture de l’espace de confiance et pre...2014-04-10 ASIP Sante RIR "MSSanté  ouverture de l’espace de confiance et pre...
2014-04-10 ASIP Sante RIR "MSSanté ouverture de l’espace de confiance et pre...
 
CV Michel Mlacrino 2015
CV Michel Mlacrino 2015CV Michel Mlacrino 2015
CV Michel Mlacrino 2015
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"
2014-05-22 ASIP Sante Ateliers SSA 2014 "MSSante_HIT_Generique"
 
Présentation cpam 06.02.2014
Présentation cpam 06.02.2014Présentation cpam 06.02.2014
Présentation cpam 06.02.2014
 
Med In Tech : La technologie au service de la santé - Les Hôpitaux
Med In Tech : La technologie au service de la santé - Les HôpitauxMed In Tech : La technologie au service de la santé - Les Hôpitaux
Med In Tech : La technologie au service de la santé - Les Hôpitaux
 
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...
 
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...
Institut Arnault Tzanck, lauréat du Prix des Bonnes Pratiques Qualité Perform...
 
Messagerie MSSanté : un espace de confiance entre professionnels
Messagerie MSSanté : un espace de confiance entre professionnelsMessagerie MSSanté : un espace de confiance entre professionnels
Messagerie MSSanté : un espace de confiance entre professionnels
 
Cycle certifiant Contrôleur de gestion à l'hôpital
Cycle certifiant Contrôleur de gestion à l'hôpitalCycle certifiant Contrôleur de gestion à l'hôpital
Cycle certifiant Contrôleur de gestion à l'hôpital
 
Diaporama ars Ressourcial 6 décembre 2013
Diaporama ars Ressourcial 6 décembre 2013Diaporama ars Ressourcial 6 décembre 2013
Diaporama ars Ressourcial 6 décembre 2013
 
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...
2016-05-26 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : l'exe...
 
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...
2016-05-24 ASIP Santé Ateliers PHW16 "MSSanté franchit un nouveau cap : les é...
 
systeme information sanitaire chu cheikh .pdf
systeme information sanitaire chu cheikh .pdfsysteme information sanitaire chu cheikh .pdf
systeme information sanitaire chu cheikh .pdf
 
Tic Sante 2010 02 10 Perinice
Tic Sante 2010 02 10 PeriniceTic Sante 2010 02 10 Perinice
Tic Sante 2010 02 10 Perinice
 
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routine
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routineMSSanté : le CH Compiègne-Noyon du béta-test à la production en routine
MSSanté : le CH Compiègne-Noyon du béta-test à la production en routine
 
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"
2015-09-30 ASIP Santé JNI "Point d’avancement MSSanté"
 

Plus de Antoine Vigneron

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASAntoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notairesAntoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@PostAntoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreAntoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...Antoine Vigneron
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieAntoine Vigneron
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteAntoine Vigneron
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simpliciteAntoine Vigneron
 

Plus de Antoine Vigneron (20)

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 

Manager la continuité aspects business et impératifs informatiques. pdf

  • 1. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence La délégation régionale PACA de L’ISACA AFAI vous propose une conférence sur le thème: Manager la continuité : aspects business et impératifs informatiques Mme Isabelle SALESSE LAVERGNE, DSIO de l’Hôpital Saint- Joseph, va nous faire part de son expérience et de sa vision prospective. Cette conférence sera animée par M. Frédéric VILANOVA, CISA, fondateur d’Effective Yellow et par M. Jean-Yves OBERLE, Délégué régional – Isaca Afai Merci à tous pour votre participation et vos interventions en séance: le partage d’expérience est notre force ! Mercredi 11 mars 2015 18h30 - ESDAC – Aix-en-Provence
  • 2. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence SOMMAIRE 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph à Marseille - Mme Isabelle Salesse Lavergne 2. Continuité Informatique – COBIT, un référentiel proposé par l’ISACA pour agir et donner du sens – M. Frederic Vilanova 3. Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé Echanges, Conclusion
  • 3. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
  • 4. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 1er établissement privé à but non lucratif - 3ème établissement de santé en PACA - 2nd employeur privé de Marseille - 2.350 salariés (1.862 etp) - 312 médecins libéraux et 96 médecins salariés - 805 lits et places MCO - 30 places HAD - 56 lits SSR - 30 services - 37 salles de bloc - 40 lits de soins critiques (Réanimation & Soins Intensifs) - 224.000 journées et séances par an - 60.000 entrées par an - 1.065 consultations par jour - 88 interventions sous anesthésie par jour (> 32.000 par an) - 150 passage par jour aux urgences (> 55.000 par an) - 12 naissances par jour (> 4.300 par an) - Budget annuel de 220 M€ 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés L’Hôpital St Joseph à Marseille
  • 5. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 224 logiciels - 1.400 comptes de messagerie - 210 serveurs virtuels - 79 serveurs physiques - 38 serveurs CITRIX - 4 baies SAN de stockage - 265 TO de données stockées, dont 150 TO d’imagerie - 1136 PC et panels PC - 400 clients légers - 209 postes mobiles (tablettes, ultraportables, portables, pocket PC) - 589 imprimantes - 191 scanners - 800 TV sous IP - 2 cœurs de réseaux 10 Gb - 3.200 points réseaux - 90 points réseau Biomédial - 96 postes biomédicaux connectés - 22 VLAN - 135 bornes WiFi - 320 accès distants, 6 VPN prestataires - 33 locaux techniques - 2 salles machines 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés Le Système d’Information Hospitalier en 2014
  • 6. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - 2.541 appels hot-line par mois, 90% résolution N1 - 1.458 demandes via la gestion des demandes (Intranet) - 136 sessions de formation par an (médecins et secrétaires médicales) - 0,5 IDE pour former le personnel soignant - Budget 2014 : 4.678 K€ (2,06% budget de l’hôpital) - 17 personnes 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.1 Les enjeux associés Le Système d’Information Hospitalier en 2014
  • 7. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service
  • 8. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence ENJEUX METIERS - Une informatisation totale de la prise en charge du patient et des plateaux techniques - Une ouverture de plus en plus grande vers l’extérieur pour la continuité des soins - Des utilisateurs de plus en plus nombreux et « disparates » - Des exigences de plus en plus fortes en matière de haute disponibilité (Cf. Connexion des Plateaux Techniques et dispositifs médicaux, Continuité des soins, Sécurité du patient) 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service CONTRAINTES OPERATIONNELLES - Arrêt total de la Production : 5 personnes pendant 6H (290 éléments physiques à arrêter) « PRESSION » DES AUTORITES DE TUTELLE - La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) - Le Programme Hôpital Numérique - La Certification des Etablissements de Santé Contexte
  • 9. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence − Mécanismes de haute disponibilité sur les ressources critiques :  Salles machines  Infrastructure de sauvegarde  Infrastructure de stockage  Virtualisation  Réseau  Applications et bases de données critiques - Maintien en Conditions Opérationnelles  Désignation d’un RSSI  Organisation 24H/24 – 7J/7  Supervision  Administration  Gestion des changements  Sécurisation physique, électrique et thermique grâce à la collaboration des services Techniques - Procédures dégradées - Sensibilisation / Formation des utilisateurs - Plan de Reprise d’Activité Mais, AVANT TOUT, une très grande disponibilité des équipes 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service Dispositifs mis en place
  • 10. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence UN BILAN GLOBALEMENT POSITIF …. √ Des risques globalement maîtrisés √ 99,98 % taux de disponibilité, soit 77H d’indisponibilité en 2013 (< 20 mn / jour) √ Le dernier sinistre majeur remonte à novembre 2011 :  Perte d’une baie SAN  Arrêt total du SIH de 6H à 14H  Aucune sauvegarde possible pendant plus de 48H MAIS DES ZONES DE RISQUES MAJEURES DONT ON NE PEUT SE SATISFAIRE ….. − Manque de ressources : √ Documentation insuffisante √ Pas d’exercice de mise en situation √ Disponibilité des ressources critiques en cas de sinistre majeur √ Ressources insuffisante pour réaliser les tâches d’administration et de MCO nécessaires - Des difficultés à mobiliser Direction et utilisateurs en l’absence de sinistre majeur 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.2 La Continuité de Service Limites et difficultés
  • 11. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1.1 Le Système d’Information de l’Hôpital Saint Joseph et les enjeux associés 1.2 La Continuité de Service : . Contexte . Dispositifs en place . Limites et difficultés 1.3 Perspectives et Facteurs Clés de Succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  • 12. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - Du Plan de Reprise d’Activité au Plan de Continuité d’Activité :  Construction d’un nouveau Data Center hors du 1er périmètre de l’hôpital  Renforcement des mécanismes de haute disponibilité − S’appuyer sur les recommandations des Tutelles pour renforcer la sensibilisation de la Direction Générale − Renforcer le Maintien en Conditions Opérationnelles Perspectives 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  • 13. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence AU NIVEAU DE L’ORGANISATION : - Considérer la sécurité comme un projet d’entreprise, dont la Direction Générale porte la vision globale - Viser des objectifs réalistes, qui répondent aux besoins de l’organisme ; ne pas viser le risque zéro - Sensibiliser et faire adhérer les utilisateurs AU NIVEAU DE LA DSI : - Ne pas sous estimer le travail de documentation - Promouvoir le travail d’équipe, la coopération, l’esprit de service - Disposer d’une très bonne connaissance des métiers et des enjeux associés - Toujours dialoguer avec les utilisateurs pour éviter que ceux-ci ne contournent la DSI - Ne pas oublier que l’on n’est jamais plus fort que le maillon le plus faible Facteurs Clés de succès 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph 1.3 Perspectives & Facteurs Clés de succès
  • 14. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph A présent ou en fin de présentation… Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr
  • 15. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2.1 Eléments de structure Cobit5 . Principes . Facilitateurs « Principes, Politiques et Référentiels » . Facilitateurs « Processus » . Périmètre Cobit5 . RACI 2.2 LSS04 « Gérer la Continuité » . Contribution de LSS04 aux objectifs liés aux TI . LSS04 vue générale . LSS04-03 exemple de sous-processus . Progresser dans COBIT par niveaux de maturité . Implémenter LSS04 2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens
  • 16. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Périmètre et notions clés • Version 1 en 1996 actuellement en V5 USA Canada France (selon le contexte) Business Affaires Entreprise, Métier, Affaire, Activité Business Case Dossier d’affaires Analyse de cas, Etude d’opportunité Business Plan Plan d’affaires Contrat d’objectifs, Cible Enabler Facilitateur Levier IT TI SI, Système d’Information, Informatique Management Gestion Management, Gestion Lag Indicators, Achievement of Goals Metrics Indicateur de résultat Indicateur de résultat, pour la réalisation des objectifs Lead Indicators, Application of Practice Metrics Indicateurs de fonctionnement Indicateurs de fonctionnement, pour l’application des pratiques • Partager un vocabulaire commun 2. Couvrir l’entreprise de bout en bout • 5 principes fondamentaux: 1. Répondre aux besoins des parties prenantes • Pas seulement les processus informatiques • Toutes les fonctions et tous les processus de l’entreprise • L’information et les technologies qui s’y rapportent sont traitées comme des actifs de l’entreprise La version 5 a regroupé des référentiels auparavant épars (Risk IT, VAL IT, BMSI, Cobit4…) en se conformant aux référentiels spécifiques majeurs tels que ISO/IEC 27001, ISF Standard for Good Practice for Information Security et US National Institute of Standards and Technology (NIST) SP800-53A Cobit5 retient une approche holistique intégrant 7 types de facilitateurs (enablers, leviers): 1. Principes, politiques et référentiels (pour traduire le comportement désiré en orientations pratiques) 2. Processus (pratiques et activités pour produire des résultats et ainsi réaliser des objectifs globaux) 3. Structures organisationnelles (entités pour décider et agir) 4. Culture, Ethique et Comportements (des individus) 5. Information (produite et utilisée pour permettre à l’organisation de fonctionner) 6. Services, Infrastructures et Applications (traitements et services technologiques) 7. Personnes, Aptitudes et Compétences (individus) Les trois derniers sont des ressources au sens Cobit5. Distinguer la Gouvernance IT et le Management IT (= la Gestion des SI) En effet le management s’attache à : - Planifier - Construire - Gérer - Piloter des activités en fonction…. …des directives établies en par les organes de gouvernance pour atteindre les objectifs de l’entreprise (GEIT Governance of Enterprise IT) Nous reviendrons en 3ème partie sur le sujet de gouvernance… 1. Valeur pour les parties prenantes 2. Portefeuille de produits et services concurrentiels 3. Gestion du risque d’affaires (protection des actifs) 4. Conformité aux lois et à la règlementation 5. Transparence financière 6. Culture de service orientée client 7. Continuité et disponibilité des services d’affaires 8. Réponses agiles dans un contexte d’affaires en évolution 9. Prise de décisions stratégiques basées sur l’information 10. Optimisation des coûts de livraison des services 11. Optimisation de la fonctionnalité des processus d’affaires 12. Optimisation des coûts des processus d’affaires 13. Programmes de gestion du changement 14. Productivité opérationnelle et productivité du personnel 15. Conformité aux politiques internes 16. Personnes qualifiées et motivées 17. Culture d’innovation des produits et des affaires Apprentissage et Croissance Interne Client Financier 1. Alignement des TI et de la stratégie d’affaires 2. Conformité des TI et soutien à la conformité de l’entreprise aux lois et à la réglementation 3. Engagement de la haute direction dans la prise de décisions liées aux TI 4. Gestion du risque d’affaires lié aux TI 5. Bénéfices réalisés sur les investissements en TI et sur le portefeuille de services 6. Transparence des coûts, des bénéfices et des risques des TI 7. Livraison de services des TI conforme aux exigences opérationnelles 8. Utilisation adéquate des applications, de l’information et de solutions technologiques 9. Agilité des TI 10. Sécurité de l’information, des infrastructures de traitement et des applications 11. Optimisation des actifs, des ressources et des capacités des TI 12. Mise en œuvre et soutien des processus d’affaires par leur intégration dans les applications et les technologies 13. Livraison de programmes procurant des avantages, en temps opportun, en respectant budget, exigences et normes de qualité 14. Disponibilité d’informations fiables et utiles pour la prise de décision 15. Conformité des TI aux politiques internes 16. Personnel des TI et des lignes d’affaires compétent et motivé 17. Connaissances, compétences et initiatives pour l’innovation d’affaires Apprentissage et Croissance Interne Client Financier • Partager un vocabulaire commun 2. Couvrir l’entreprise de bout en bout • 5 principes fondamentaux: 1. Répondre aux besoins des parties prenantes Principes • Version 1 en 1996 actuellement en V5 4. Faciliter une approche globale 5. Distinguer la gouvernance de la gestion 3. Appliquer un référentiel unique et intégré
  • 17. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence - COBIT5 propose une démarche pour mettre en place un référentiel adapté à votre situation d’entreprise, par une approche top-down: Principes: supporter les activités de l’entreprise, les défendre, promouvoir des comportements responsable ; Politiques générales ; Politiques spécifiques ; Procédures ; Eléments requis et documentation 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Points clés - Facilitateur « Principes, Politiques et Référentiels » - Les politiques générales peuvent s’étayer et contribuer aux travaux s’inscrivant dans des cadres plus larges ou différents tels que - le référentiel international de contrôle interne COSO 2013 - le programme de Santé Publique Hôpital Numérique en France - Les politiques spécifiques sont utiles par exemple pour être en conformité - avec la loi Sarbanes-Oxley aux Etats-Unis (SOX 409 clôturer les comptes en deux jours; SOX 404 démontrer l’efficacité des contrôles internes) - avec la norme ISO/IEC 27001 en Management de la Sécurité de l’Information - avec la norme PCI DSS pour la gestion des paiements par carte bancaire - avec la règlementation en Banques et Assurances: BASEL2 et BASEL3 (exhaustivité, intégrité); Règlement CRBF 97-02 contrôle interne (article 14, sécurité, continuité, intégrité, confidentialité; articles 37-1 et suivants Maîtrise des prestations essentielles externalisées) - Les principes de Cobit5 sont compatibles à ceux proposés par la norme ISO/IEC 38500:2008 Gouvernance des technologies de l’information par l’entreprise. ISO38500 observe depuis le toit de la maison, COBIT constitue les murs. - Eléments requis: ITIL et PRINCE2 (Projects in Controlled Environments 2) sont utiles pour fournir des éléments du « comment? » en compléments des éléments Cobit5. Enterprise Risk Management System Corporate governance of information technology, Information Security Management System 27001 27002 Capability Maturity Model and Integration Best Practices Softwre Developmente, Acquisition, Services Enterprise Architecture The Open Group Architecture Framework Project Management and Certification Project IN Controlled Environments ISO/CEI 20000 = a set of requirements which must be met in order to qualify for certification. ITIL V3 has been created to achieve better alignment with the ISO 20000 standard, to provide specific advice on how to design your processes to complement ISO 20000, to strengthen services lifecycles IT Departement Standard Quality and Certification ISO/CEI 22301 Systèmes de management de la continuité d'activité ISO International Organization for Standardization (Organisation Internationale de Normalisation (OIN)) IEC International Electrotechnical Commission (Commission Electrotechnique Internationale (CEI)) 27k list
  • 18. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Cf. ISO CEI 15504 Achievement of Goals – Lag Indicators Application of Practice – Lead Indicators Points clés – Facilitateur « Processus »
  • 19. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Périmètre Cobit5 EVALUATE (SEM) PLAN (APO) BUILD (BAI) RUN (LSS) GOVERN (EDS) EVALUATE (SEM)
  • 20. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure RACI Accountable (In Charge Productor) Responsible (Supervisor) Concerned Consulted contributor (Other Productors) Informed
  • 21. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2.1 Eléments de structure Cobit5 . Principes . Facilitateurs « Principes, Politiques et Référentiels » . Facilitateurs « Processus » . Périmètre Cobit5 . RACI 2.2 LSS04 « Gérer la Continuité » . Contribution de LSS04 aux objectifs liés aux TI . LSS04 vue générale . LSS04-03 exemple de sous-processus . Progresser dans COBIT par niveaux de maturité . Implémenter LSS04 2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens
  • 22. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Contribution de LSS04 aux Objectifs liés aux TI
  • 23. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Description du processus LSS04 - Etablir et maintenir un plan visant à permettre aux unités d’affaires et aux TI de répondre aux incidents et aux interruptions afin de poursuivre l’exécution des processus d’affaires critiques et des services des TI requis et afin de maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise Objectif général du processus LSS04 - Poursuivre les opérations critiques de l’entreprise et maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise en cas d’interruption significative Le processus LSS04 appuie certains objectifs liés aux TI - 04 Gestion du risque d’affaires lié aux TI [ex d’indicateur: Nb d’incidents importants liés aux TI qui n’ont pas été signalés dans le cadre de l’évaluation des risques] - 07 Livraison des services de TI conformes aux exigences d’affaires [ex d’indicateur: Nb d’interruptions des activités d’affaires attribuables à des incidents de service TI] - 14 Disponibilité d’informations fiables et utiles pour la prise de décision [ex d’indicateur: Nb d’incidents liés aux processus d’affaires causés par la non disponibilité de l’information] LSS04 Vue générale
  • 24. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Objectifs détaillés Indicateurs connexes (exemples) 1. L’information d’affaire critique est disponible conformément au niveau minimum de service requis % des services TI qui répondent aux exigences de disponibilité % de restauration réussie en temps opportun à partir des supports de sauvegarde ou d’autres copies 2. Une résilience suffisante est en place pour les services essentiels Nb de systèmes critiques d’affaires qui ne sont pas couverts par le plan de continuité 3. Des tests de continuité de service ont vérifié l’efficacité du plan de continuité Nombre d’exercices et de tests qui ont atteint les objectifs de rétablissement Fréquence des tests 4. Un plan de continuité à jour reflète les exigences d’affaires actuelles % de questions identifiées qui ont été ensuite abordées dans le plan de continuité 5. Les intervenants internes et externes ont été formés selon le plan de continuité % de problèmes dentifiés qui ont été ensuite abordés dans le plan de formation à la continuité LSS04 Vue générale
  • 25. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04.01 Définir la politique de continuité des affaires, ses objectifs et sa portée LSS04.02 Maintenir une stratégie de continuité LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires LSS04.04 Faire l’exercice du PCA, le tester et le passer en revue LSS04.05 Revoir, maintenir et améliorer le plan de continuité LSS04.06 Dispenser une formation sur le plan de continuité LSS04.07 Gérer les mesures de sauvegarde LSS04.08 Procéder à l’examen post-reprise 01. Définir la politique de continuité des affaires et sa portée conformément aux objectifs de l’entreprise et des parties prenantes 02. Evaluer les options de gestion de la continuité des opérations et choisir une stratégie de continuité rentable et viable qui assurera la reprise de la continuité de l’entreprise en cas de désastre ou d’autres incidents ou interruptions 03. Elaborer un plan de continuité des affaires (PCA) basé sur la stratégie qui documente les procédures et l’information en prévision d’une utilisation lors d’un incident pour permettre à l’entreprise de poursuivre ses activités essentielles 04. Tester les mesures de continuité sur une base régulière afin de valider les plans de reprise par rapport aux résultats attendus et pour permettre le développement de solutions innovantes et pour aider à vérifier que le plan fonctionne comme prévu 5. Procéder à un examen de la gestion de la capacité de continuité à intervalle régulier pour garantir sa pertinence, son adéquation et son efficacité. Gérer les changements au plan en conformité avec le processus de contrôle des changements afin de s’assurer que le plan de continuité est à jour et reflète constamment les exigences d’affaires réelles. 6. Fournir à toutes les parties internes et externes concernées des sessions régulières de formation concernant les procédures, leurs rôles et leurs responsabilités en cas d’interruption. 7. Maintenir la disponibilité des informations critiques d’affaires (sauvegardes internes et externes, accessibilité, chiffrement..) 8. Evaluer la pertinence du PCA suivant la reprise réussie des processus et des services d’affaires après une interruption LSS04 Vue générale
  • 26. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 Exemple de sous-processus Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 1: Définir les actions de réponse aux incidents et les communications à effectuer en cas d’interruption. Définir les rôles et responsabilités connexes, incluant la responsabilité pour la politique et la mise en œuvre. Activité 2: Développer et maintenir des PCA opérationnels contenant les procédures à suivre pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’utilisation d’arrangements temporaires, incluant des liens vers des plans de fournisseurs de services externes. Activité 3: Veiller à ce que les principaux fournisseurs et partenaires d’impartition aient mis en place des plans de continuité efficaces. Recueillir des preuves vérifiées, au besoin. Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  • 27. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 (Suite) Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 4: Définir les conditions et les procédures de recouvrement qui permettraient la reprise des affaires, incluant la mise à jour et la conciliation des bases de données pour préserver l’intégrité de l’information. Activité 5: Définir et documenter les ressources requises pour appuyer les procédures de continuité et de reprise, en tenant compte des personnes, des installations et des infrastructures des TI. Activité 6: Définir et documenter les exigences de sauvegarde de l’information nécessaires pour appuyer les plans, incluant les plans et les documents papier ainsi que les fichiers de données, et considérer le besoin pour la sécurité et pour un stockage hors site Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  • 28. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité LSS04-03 (suite) Intrants APO09.03 Accord de niveau opérationnel LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires Activité 7: Déterminer les compétences nécessaires pour les personnes impliquées dans l’exécution du plan et des procédures. Activité 8: Distribuer les plans et les documents de soutien de façon sécuritaire aux parties intéressées dûment autorisées et s’assurer qu’ils sont accessibles dans tous les scénarios de désastre. Extrants LSS02.01 Actions et communications pour répondre aux incidents Interne LSS04: Les plans de continuité des affaires
  • 29. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : 2.1 Eléments de structure Progresser dans COBIT par Niveaux de Maturité Attribut(s) Résultats du processus Pratiques de base Produits du travail (Intrants / Extrants) INDICATEURS DE PERFORMANCE INDICATEURS DE CAPACITE Pratiques génériques Ressources génériques Résultats génériques de l’activité 0. Processus incomplet Aucun Fonction non atteinte ou pas vérifiable 1. Processus exécuté AP 1.1 Performance du Processus Fonction réalisée Processus répétable mais intuitif ou ponctuel 2. Processus géré AP 2.1 Gestion de la performance AP 2.2 Gestion des résultats de l’activité Processus planifié, surveillé et ajusté (buts, objectifs, responsable de processus, RACI) Résultats établis, contrôlés, maintenus 3. Processus établi AP 3.1 Définition du processus AP 3.2 Déploiement du processus Mis en œuvre selon une procédure définie permettant d’atteindre les résultats souhaités 4. Processus prévisible AP 4.1 Gestion du processus AP 2.2 Contrôle du processus Fonctionnement selon des limites qui assurent l’atteinte des résultats souhaités 5. Processus en optimisation AP 5.1 Innovation du processus AP 5.2 Optimisation du processus Amélioré continuellement pour atteindre des objectifs d’affaires pertinents actuels et projetés Contrôle Investissement faible Investissement fort Modèles de Maturité : Cobit5 = compatible ISO/IEC 15504 - Processus Génie Logiciel = SPICE Software Process Improvement and Capability dEtermination (différent de CMMI Capability Maturity Model Integration)
  • 30. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 1. Quels sont les inducteurs (drivers) qui donne au management le désir de changer ? • Reconnaitre les points qui font mal et les évènements déclencheurs • Internes, externes, techniques, psychologiques, recommandations d’audit… • Causes sources (ex: « les métiers ne participent pas ») et facteurs clés de succès à développer (ex: « intégrer des représentants des métiers dans l’évaluation de la situation actuelle »; « sensibiliser aux risques de non partciipation ») 2. Où en sommes-nous aujourd’hui? • Qualité du support des métiers à la continuité IT • Un coût d’amélioration ressenti comme supérieur aux bénéfices perçus • Niveau de confiance limité entre l’IT et les métiers pour assurer un service continu 3. Où souhaiterions-nous être? • Faire comprendre l’environnement de continuité et faire évoluer les comportements • Savoir utiliser Cobit5 et ainsi faire percevoir simplement la complexité de la continuité • Diminuer fortement la résistance au changement des informaticiens et des utilisateurs 4. Qu’est-il nécessaire de faire pour y parvenir? • Implication dans l’implémentation, pas-à-pas concrètement… 5. Comment parvenir à cette situation cible? • Démarrer simplement, se former et se faire aider pour piloter (MOA Cobit5) 6. Sommes-nous effectivement arrivés en situation cible? • Parvenons-nous à montrer clairement les bénéfices pour le management? Pour la gouvernance? 7. Comment conservons-nous la dynamique actuelle sur ce sujet? • Ne pas perdre la motivation, dynamiser la montée en qualité du niveau de contrôle interne, valoriser les acteurs 2. Continuité Informatique - un référentiel pour agir : 2.2 LSS04 Gérer la Continuité Implémenter LSS04
  • 31. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 2. Continuité Informatique - un référentiel pour agir : A présent ou en fin de présentation… Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr
  • 32. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 3.1 Aspects Business . AAAA 3.2 Gouvernance . BBBBBBBBBBB 3. Continuité: Aspects Business et Gouvernance Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé
  • 33. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence 3.1 Aspects Business . AAAA 3.2 Gouvernance . BBBBBBBBBBB 3. Continuité: Aspects Business et Gouvernance Continuité: Aspects Business et Gouvernance – M. Jean-Yves Oberlé
  • 34. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence Jean-Yves OBERLE jyoberle@sarapis.fr Frederic VILANOVA frederic.vilanova@effectiveyellow.com Isabelle SALESSE LAVERGNE isalesselavergne@hopital-saint-joseph.fr 3. Continuité: Aspects Business et Gouvernance