2. Objectifs
A la fin de cette leçon ,vous serez capable de :
Évaluer les pratiques de gestion de niveau de services pour s’assurer que
les niveaux de services des fournisseurs internes et externes sont définis et
gérés.
Evaluer la gestion des opération des SI pour s’assurer que les fonctions de
support des TI sont alignées aux besoins de l’entreprise.
Evaluer les pratiques d’administration des données pour s’assurer de
l’intégrité et de l’optimisation des bases de données de l’organisation.
Evaluer les pratiques de gestion des changement, de gestion de la
configuration et de gestion des versions pour fournir l’assurance que les
changement apportés à l’environnement de production de l’organisation
sont bien contrôlés et documentés.
Evaluer les pratiques de gestion des problèmes et de gestion des incidents
pour fournir l’assurance que les incidents et problèmes sont enregistrés,
analysés et résolus en temps opportun.
3. Opérations des SI
Gestion des opérations des SI
Attribution des ressources : S’assurer que les
ressources nécessaires sont disponibles pour
effectuer les activités prévues par les fonctions
des SI.
Normes et procédures : Etablir les normes et les
procédures nécessaires pour toutes les opérations
et conformité avec les stratégies et les politiques
globales de l’entreprise.
Contrôle des processus : Surveiller et mesurer
l’efficience des processus d’opération des SI pour
que ces processus soient améliorés dans le
temps
4. Opérations des SI
Gestion des services des TI
Bureau de service
Gestion des incidents
Gestion des problèmes
Gestion de la configuration
Gestion des changements
Gestion des versions
Gestion des niveaux de service
Gestion financière des TI
Gestion des capacités
Gestion de la continuité des services de TI
Gestion de la disponibilité
5. Opérations des SI
Vérification du niveau de service
Rapport d’exception : rapport automatisé énumérant toutes
les applications ne s’étant pas terminé avec succès ou
n’ayant pas fonctionné convenablement.
Journaux de système et d’application : journaux générés
par divers systèmes et applications fournissant des
informations concernant les activités effectuées et les
évènements anormaux.
Rapport sur les problèmes de l’opérateur : rapport manuel
utilisé par les opérateurs pour consigner les problèmes liés
aux opérations informatiques et leurs solutions.
Horaires de travail des opérateurs : horaires habituellement
définis par le groupe de gestion des SI pour aider à planifier
les ressources humaines.
6. Opérations des SI
Infrastructure des opérations
L’exécution et la surveillance des tâches prévues
La sauvegarde de copies de secours en temps opportun
La surveillance des intrusions non autorisées et de
l’utilisation des données sensibles
La surveillance et la vérification de l’étendue de la
conformité aux procédures d’opération des TI, telles
qu’établies par la gestion des SI de l’entreprise.
La participation au test des plan de reprise après sinistre
La surveillance de la performance, de la capacité, de la
disponibilité et de l’échec des ressources
informationnelles;
La gestion du dépannage et des incidents
7. Opérations des SI
Surveillance de l’utilisation des ressources
Gestion des incidents : Améliore la continuité des
services grâce à la réduction ou l’élimination des
nuisances causées par les perturbations des services
des TI. Les étapes sont la détection, la classification,
l’assignation aux spécialistes, la résolution et la
fermeture des dossiers d’incidents.
Gestion des problèmes : Vise à résoudre les problèmes
par l’enquête et l’analyse en profondeur d’un incident
majeur ou de plusieurs incidents de nature similaire afin
d’en identifier la cause principale. L’une des méthodes
d’analyse est le développement d’un diagramme
Ishikawa grâce à des séances de brainstorming par les
parties concernées.
8. Opérations des SI
Centre d’assistance
Documenter les incidents des utilisateurs et
débuter le processus de résolution de problème
Prioriser les problèmes et les faire suivre au
personnel des TI adéquat, ou les transmettre à la
gestion des TI au besoin
Effectuer un suivi des incidents non résolus
Conclure les incidents résolus, en notant
l’autorisation de clore l’incident obtenue auprès de
l’utilisateur
9. Opérations des SI
Processus de gestion des modifications
La documentation des systèmes, opérations et programmes est
complète, à jour et en conformité avec les normes établies;
Les instructions de préparation de travaux, d’ordonnancement et
d’opération ont été établies;
Les résultats de test des systèmes et des programmes ont été
examinés et approuvés par le service de gestion des utilisateurs et les
responsables du projet;
La conversion des fichiers de données, lorsque cela s’avère
nécessaire, a été effectuée de façon rigoureuse et complète, comme en
fait foi l’examen et l’approbation par le service de gestion des
utilisateurs;
Tous les aspects de la livraison des travaux ont été testés, examinés et
approuvés par le personnel de contrôle et des opérations;
Les risques d’impacts négatifs sur les opérations de l’entreprise sont
examinés et un plan de retour en arrière est mis en place afin d’annuler
les modifications si cela s’avère nécessaire
10. Opérations des SI
Gestion des versions
Versions majeures : Contient habituellement un
changement important ou un ajout de nouvelles
fonctionnalité et surpasse habituellement toutes
les mises à niveau mineures précédentes.
Versions mineures : Mises à niveaux comportant
habituellement de petites améliorations et
corrections et surpasse habituellement toutes les
versions d’urgence précédentes.
Versions d’urgence (patch) : Contient
habituellement la correction d’un petit nombre de
problèmes connus afin de prévenir une
interruption des fonctions critiques de l’entreprise.
11. Opérations des SI
Planification de versions
L’obtention d’un consensus sur le contenu de la
versions;
L’entente sur la stratégie de sortie
La production d’un échéancier de haut niveau pour la
version
La planification des niveaux de ressources
L’entente sur les rôles et responsabilités de chacun
La production des plans de retrait
Le développement d’un plan de qualité pour la version
L’acceptation de la planification par les groupes de
soutien et le client
12. Opérations des SI
Assurance de la qualité
Le personnel d’assurance de la qualité vérifie que
les modifications au systèmes sont autorisées,
testées et implantées de façon contrôlée avant
d’être introduite dans l’environnement de
production.
A l’aide de logiciel de bibliothèque, le personnel
d’assurance qualité supervise également la
maintenance appropriée des versions du
programme et du code source pour en vérifier
l’intégrité.
13. Opérations des SI
Gestion de la sécurité de l’information
Evaluation des risques portant sur les actifs
informationnels;
Analyse des répercussions sur les opérations
(BIA);
Mise en place des politiques, procédures et
normes liées à la sécurité de l’information;
Evaluation régulière de la sécurité
Mise en place d’un processus de gestion des
vulnérabilités.
14. Opérations des SI
Nettoyage des supports de données
Identifier les types de supports utilisés pour le
stockage de l’information
Cibler les techniques de nettoyage pour les
supports approuvés en fonction du niveau de
sensibilité de l’information et des exigences de
protection.
15. Structure matérielle des SI
Composantes et architectures
Composantes de traitement : L’unité centrale de
traitement est la composante centrale d’un
ordinateur et est composé d’une unité
arithmétique et logique, d’une unité de contrôle
et d’une mémoire interne.
Composantes d’entée-sortie : servent à
transmettre les instructions ou informations à
l’ordinateur ainsi qu’à afficher ou enregistrer les
sorties générées par l’ordinateur.
16. Structure matérielle des SI
Type d’ordinateurs
Superordinateurs
Ordinateurs centraux
Serveurs haut de gamme et milieu de gamme
Ordinateurs personnels
Ordinateurs clients légers
Ordinateurs bloc-notes ou portatifs
Téléphones intelligents et ANP
17. Structure matérielle des SI
Dispositifs dorsaux communs pour les entreprises
Serveur d’impression
Serveur de fichiers
Serveur d’application
Serveur Web
Serveur mandataires (Proxy)
Serveur de base de données
Serveur monofonctionnels
Coupe-feu
Système de détection d’intrusion
Système de prévention d’intrusion
Commutateurs
Routeurs
Réseau privé virtuel
Equilibreur de charges
18. Structure matérielle des SI
Bus USB
Norme de bus série pour relier des appareils à un hôte.
Conçue pour permettre le branchement de plusieurs
périphériques à une interface de connexion unique et
pour améliorer les capacités de branchement à chaud;
Permet d’alimenter en énergie des appareils à faible
consommation d’énergie sans recourir à une source de
courant externe;
Permet d’utiliser de nombreux appareils sans devoir
installer de pilotes propres au fabricant pour chacun
d’eux.
19. Structure matérielle des SI
Bus USB - Risques
Virus et autres logiciels malveillants
Vol de données
Perte de données et du support
Corruption des données
Perte de confidentialité
20. Structure matérielle des SI
Bus USB – Contrôle de sécurité
Chiffrement
Contrôle granulaire
Eduquer le personnel de sécurité
Faire respecter la politique de verrouillage des
ordinateurs
Mettre à jour la politique antivirus
Utiliser uniquement des appareils sécurisés
Inscrire vos coordonnées
21. Structure matérielle des SI
Identification par radiofréquence
RFID se sert des ondes radio pour identifier des objets
étiquetés dans un rayon limité.
L’étiquette consiste en une puce et une antenne.
La puce emmagasine l’information ainsi qu’une
identification du produit.
L’antenne constitue l’autre partie de l’étiquette, laquelle
transmet l’information au lecteur RFID
Plusieurs applications :
Gestion des actifs
Suivi
Vérification de l’authenticité
Correspondance
Contrôle des processus
Contrôle d’accès
Gestion de la chaîne d’approvisionnement
22. Structure matérielle des SI
RFID – Risques
Risque pour les processus d’entreprise
Risque pour les renseignements d’entreprise
Risque pour la confidentialité
Risque pour l’externalité
23. Structure matérielle des SI
RFID - Contrôle de sécurité
Administratif : Supervision de la sécurité du système
RFID;
Opérationnel : Actions effectuées quotidiennement par
les administrateurs et utilisateurs du système;
Technique : Recours à la technologie pour surveiller et
restreindre les actions pouvant être effectuées au sein
du système.
24. Structure matérielle des SI
Programme de maintenance du matériel
Renseignements fiables relatifs à l’entreprise de
service pour chaque matériel qui requiert un
entretien
Programme formel d’entretien approuvé par la
direction;
Coûts d’entretien
Historique des entretiens effectués (planifiés,
non planifiés, effectués et exceptionnels)
25. Structure matérielle des SI
Procédures de surveillance du matériel
Rapports de disponibilité : Indiquent les périodes
durant lesquelles l’ordinateur fonctionne et qu’il est à
la disposition des utilisateurs ou d’autres processus.
Rapports d’erreur du matériel : Montrent les
défaillances de l’UCT, des E/S, de l’alimentation et du
stockage.
Rapports d’utilisation : Informent sur l’utilisation de
la machine et de ses périphériques.
Rapports de gestion des actifs : Font état de
l’inventaire des équipements branchés au réseau
comme les PC, serveurs, routeurs et autres appareils.
26. Structure matérielle des SI
Gestion de la capacité
Planification et suivi des ressources informatiques et de
réseau pour garantir que les ressources disponibles sont
utilisées de façon efficace.
Tient compte des prévisions dictées par les expériences
antérieures tout en prenant en considération la
croissance de l’entreprise et les agrandissements futurs.
Les renseignements suivants sont essentiels :
L’utilisation de l’UCT
L’utilisation de la capacité de stockage de l’ordinateur
L’utilisation des télécommunications, du réseau local et de la largeur de bande
du réseau étendu
L’utilisation des canaux d’E/S
Le nombre d’utilisateurs
Les nouvelles technologies disponibles
Les nouvelles applications disponibles
Les SLA
27. Architecture et logiciels des SI
Système d’exploitation
Traitement des interruptions
Création et destruction de processus
Commutation de l’état de processus
Répartition
Synchronisation du processus
Communication interprocessus
Soutien des processus d’E/S
Allocation de la mémoire
28. Architecture et logiciels des SI
Système de gestion de base de données
L’indépendance des données pour les systèmes d’applications
La facilité de support et la flexibilité à satisfaire les exigences
relatives aux modifications des données
L’efficience du traitement des transactions
La réduction de la redondance des données
La capacité d’optimiser la cohérence des données
La capacité de minimiser les coûts de maintenance grâce au
partage des données
L’occasion de mettre en œuvre les normes liées aux données ou
à la programmation
L’occasion de mettre en œuvre la sécurité des données
La disponibilité des vérifications de l’intégrité des données
stockées
La facilitation de l’accès ponctuel des utilisateurs aux données
29. Architecture et logiciels des SI
Système de gestion de base de données
Dictionnaire des données
Modèle de base :
Hiérarchique
Réseau
Relationnelle
Contrôles de la base de données
Etablissement de mise en œuvre de normes
Etablissement et implantation de procédures de sauvegarde et
de récupération
Etablissement des niveaux de contrôles d’accès
Etablissement de contrôles afin de garantir l’exactitude,
l’exhaustivité et la cohérence des données
Utilisation de points de contrôle de base de données
…
30. Architecture et logiciels des SI
Programmes utilitaires
Cinq domaines fonctionnels :
La compréhension des systèmes d’applications
L’évaluation de la qualité des données
Les tests de programmes
L’assistance à la conception rapide de programmes
L’amélioration de l’efficience opérationnelle
Utilitaires sur PC
Vérification, nettoyage et défragmentation de disques
Définition de normes du système de fichiers
Initialisation des volumes de données
Sauvegarde et restauration des images du système
Reconstruction ou restauration des fichiers effacés
Test des unités et périphériques du systèmes
…
31. Architecture et logiciels des SI
Licences de logiciels
Centralisation du contrôle et de l’installation des logiciels
Restriction des disques durs et ports USB sur les PC
Installation de logiciels de comptage sur le réseau local
Utilisation des licences Site (fonction du nombre
d’utilisateur plutôt que d’un utilisateur ou d’une machine
en particulier)
Utilisation de licences d’utilisation concurrente (fonction
du nombre d’utilisateur accédant au logiciel au même
moment)
Examen régulier des PC utilisateurs
32. Infrastructure du réseau des SI
Type de réseau
Réseaux personnels (PAN)
Réseau locaux (LAN)
Réseaux étendus (WAN)
Réseaux métropolitains (MAN)
Réseaux de stockage (SAN)
33. Infrastructure du réseau des SI
Services réseau
Système de fichiers réseau
Services de courriel
Services d’impression
Services d’accès à distance
Services d’annuaire
Gestion du réseau
Protocole DHCP
Système de nom de domaine (DNS)
34. Infrastructure du réseau des SI
Architecture du modèle de référence OSI
Couche d’application
Couche de présentation
Couche de session
Couche de transport
Couche réseau
Couche de liaison de
données
Couche physique
35. Infrastructure du réseau des SI
Média de transmission
Cuivre Utilisé pour de courtes
distances (< 60 mètres)
Soutien la voix et les données
Bon marché
Simple à installer
Facile à se procurer
Simple à modifier
Facile à mettre sous écoute
Facile à raccorder
Diaphonie
Perturbation
Bruit
Câble coaxial Soutient les données et les
vidéos
Facile à installer
Simple
Facile à se procurer
épais
Cher
Ne soutien pas beaucoup de LAN
Sensible à distance
Difficile à modifier
Fibre optique Utilisé pour les longues distances
Soutient les données vocales, les
images et les vidéos
Grande capacité de bande
passante
Sécuritaire
Difficile à mettre sous écoute
Pas de diaphonie
Plus petit et léger que le cuivre
Cher
Difficile à raccorder
Difficile à modifier
Systèmes de
radio
communication
Utilisé pour de courtes distances Bon marché Facile à mettre sous écoute
Perturbation
Bruit
Réseaux
hertziens
Ligne de vision d’onde porteuse
pour les signaux de données
Bon marché
Simple à installer
Disponible
Facile à mettre sous écoute
Perturbation
Bruit
Faisceaux
hertziens par
satellite
Utilise les transporteurs pour
envoyer l’information
Grande bande passante et
différentes fréquences
Facile à mettre sous écoute
Perturbation
Bruit
36. Infrastructure du réseau des SI
Composantes du LAN
Répéteurs
Concentrateurs
Ponts
Commutateur de couche liaison de données
Routeurs
Passerelles
38. Plan de reprise après sinistre
RPO et RTO
L’OPR quantifie de façon efficace la quantité tolérable de
données perdues en cas d’interruption.
L’OTR est déterminé en fonction de la période d’arrêt
acceptable en cas d’interruption des opérations.
1 1 1
Hour Day Week
Recovery Point Objective Recovery Time Objective
Interruption
1 1 1
Week Day Hour
39. Plan de reprise après sinistre
Stratégie de reprise
Centre de secours immédiat
Centre de secours intermédiaire
Salle blanche (ou vide)
Centre de traitement informatique redondant
Centre mobile
Accord de réciprocité avec d’autres
organisations
40. Plan de reprise après sinistre
Méthodes de reprise
Applications
Grappe active-passive
Grappe active-active
Données
RAID
Réseaux de télécommunication
Redondance
Réacheminement
Acheminement divers
Diversité du réseau sur les longues distances
Protection des circuits du dernier kilomètre
Restauration de la voix
41. Plan de reprise après sinistre
Elaboration des plans de reprise
Les procédures de déclaration d’un sinistre
Les critères d’activation du plan
Les liens avec les plans d’ensemble
Les personnes responsables de chaque fonction du plan
Les équipes de reprise et leurs responsabilités
Les listes de coordonnées et de communication
Les scénarios de reprise
Le processus de reprise global
Les procédures de reprise de chaque système
Les coordonnées des fournisseurs importants
La liste des ressources requises pour la reprise
42. Plan de reprise après sinistre
Sauvegarde et restauration
Quoi ?
Définir les données à sauvegarder
Comment ?
Quel type de sauvegarde réaliser
Quand ?
Établir la périodicité
Où ?
Déterminer le support à utiliser
43. Plan de reprise après sinistre
Sauvegarde et restauration
Sauvegarde complète :
Sauve l’ensemble des fichiers du disque dur, en un seul bloc.
Souvent de très longue durée
Oblige un temps de non utilisation du serveur
Récupération très longue, surtout s’il faut chercher un seul fichier
Sauvegarde incrémentale :
Sauve seulement les fichiers modifiés depuis la dernière opération de
sauvegarde, quelque soit son type.
La récupération des fichiers implique une série de restaurations en
remontant dans le temps jusqu’à sauvegarde complète du dossier.
Sauvegarde différentielle :
Sauve tous les fichiers modifiés depuis la précédente sauvegarde
complète, indépendamment de leur modification.
Le temps de sauvegarde peut être long et augmente à chaque
sauvegarde.
44. Plan de reprise après sinistre
Sauvegarde et restauration
Prévoir un planning de sauvegarde, en fonction :
des données : OS, annuaires, données utilisateurs…
des disponibilités de la PR.
Exemple de planning :
En semaine 3, on utilise les bandes de la semaine 1 et
en semaine 4, celles de la semaine 2
L M M J V S D L M M J V S D
Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff. Compl.
Bandes L1 M1 M1 J1 V1 COMP1 L2 M2 M2 J2 V2 COMP2
45. Plan de reprise après sinistre
Sauvegarde et restauration
Les bandes
Les cartouches DAT, 4 & 8 mm, de 2GB à 1.3
TB compressé
Les cartouches DLT et SuperDLT, de 15 GB à
2,4TB compressé.
Les disques durs
NAS (Network Attached Storage)
SAN (Storage Attached Network)
• Les sauvegardes se font sur des disques durs
implantés dans un serveur spécifique dédié.
• L’administration se fait par interface web.
46.
47. Question type examen
Lequel des énoncés suivants constitue la MEILLEURE
méthode pour déterminer le niveau de performance
offert par d’autres installations similaires de traitement
des données ?
A. La satisfaction de l’utilisateur
B. L’atteinte des objectifs
C. L’analyse comparative
D. La planification de la capacité et de la croissance
48. Question type examen
Pour les systèmes critiques de mission ayant une faible
tolérance à l‘interruption et un coût de rétablissement
élevé, l’auditeur des SI devrait, en principe,
recommander l’utilisation de laquelle des options de
reprise suivante?
A. Un centre mobile
B. Un centre de secours intermédiaire
C. Une salle blanche
D. Un centre de secours immédiat
49. Question type examen
Un département des TI universitaire et un bureau des services
financiers ont conclu un accord de niveau de service (SLA) selon
lequel la disponibilité doit dépasser 98% chaque mois. Le bureau
des services financiers a analysé la disponibilité et a noté qu’elle
dépassait 98% pour chacun des 12 derniers mois, mais que la
moyenne était de seulement 93% lors de la fermeture de fin de
mois. Laquelle des options suivantes constitue l’action la PLUS
appropriée que le bureau des services financiers doit entreprendre ?
A. Renégocier l’accord
B. Informer le département des TI que l’accord ne répond pas aux
exigences relatives à la disponibilité
C. Acquérir de nouvelles ressources informatiques
D. Rationaliser le processus de fermeture de fin de mois.
50. Question type examen
Laquelle des méthodes suivantes est la PLUS efficace
pour qu’un auditeur des SI puisse tester le processus de
gestion des modifications apportées aux programmes ?
A. Le traçage de l’information générée par le système vers
la documentation de la gestion des modifications
B. L’examen de la documentation de gestion des
modifications pour vérifier l’exactitude
C. Le traçage de la documentation de la gestion des
modifications vers une piste d’audit générée par le
système
D. L’examen de la documentation de gestion des
modifications pour vérifier l’intégrité.
51. Question type examen
L’objectif principal de la planification de la capacité est
de s’assurer que :
A. Les ressources disponibles sont pleinement utilisées
B. De nouvelles ressources dévouées aux nouvelles
applications seront ajoutées au moment opportun
C. Les ressources disponibles sont utilisées de façon
efficace et efficiente
D. Le pourcentage d’utilisation des ressources ne passe
pas sous la barre de 85%.
52. Question type examen
L’avantage PRINCIPAL de la normalisation de la base
de données est :
A. La minimisation, dans les tables, de la redondance de
l’information requise pour satisfaire les besoins des
utilisateurs
B. La capacité de répondre à plus de requêtes
C. L’optimisation de l’intégrité de la base de données en
fournissant de l’information dans plus d’une table
D. La minimisation du temps de réponse grâce au
traitement plus rapide de l’information
53. Question type examen
Lequel des points suivants permettrait à une entreprise
d’étendre son intranet à ses partenaires commerciaux à
l’aide d’Internet ?
A. Réseau privé virtuel
B. Client-serveur
C. Accès par ligne commuté
D. Fournisseur de services de réseau
54. Question type examen
La classification d’une application logicielle en fonction
de sa criticité dans le cadre d’un plan de continuité des
opérations de SI est déterminée par :
A. La nature de l’entreprise et la valeur de l’application
pour l’entreprise
B. Le coût de remplacement de l’application
C. Le soutien offert par le fournisseur relativement à
l’application
D. Les menaces et vulnérabilités associées à l’application.
55. Question type examen
Lors de la réalisation d’un audit concernant la sécurité
de la base de données client-serveur, l’auditeur du
secteur des SI doit être SURTOUT informé de la
disponibilité des éléments suivants :
A. Les installations du système
B. Les générateurs de programmes d’applications
C. La documentation traitant de la sécurité des systèmes
D. L’accès aux procédures stockées
56. Question type examen
Lors de la revue du réseau utilisé pour les
communications Internet, un auditeur du secteur des SI
doit D’ABORD vérifier :
A. La validation des occurrences de modification des mots
de passe
B. L’architecture de l’application client-serveur
C. L’architecture réseau et la conception
D. La protection des coupe-feux et les serveurs
mandataires
57. Question type examen
Un auditeur des SI doit être impliqué dans :
A. L’observation des test de plan de reprise après sinistre
B. Le développement du plan de reprise après sinistre
C. Le maintien du plan de reprise après sinistre
D. L’examen des exigences de reprise après sinistre
relatives aux contrats avec les fournisseurs
58. Question type examen
La période nécessaire au rétablissement des fonctions
de traitement de l’information repose sur :
A. La criticité des processus touchés
B. La qualité des données traitées
C. La nature du sinistre
D. Les applications centrales