section 7 : les activités d'exploitation informatique
DESCRIPTION
TRANSCRIPT
![Page 1: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/1.jpg)
Les activités d’exploitation informatique
Gestion des technologies de l’information – GEST310
Pascale Vande Velde
![Page 2: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/2.jpg)
|2
Agenda
• Activités d’exploitation – ITIL • Sécurité• Audit• Disponibilité
![Page 3: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/3.jpg)
|3
Introduction
• Les entreprises deviennent de plus en plus dépendantes de l’informatique. Cela les conduit à avoir des exigences de plus en plus fortes quant à la qualité des services IT– ITIL est de plus en plus utilisé comme cadre d’organisation des services
informatiques • Les systèmes informatiques deviennent incontournables. Leur
indisponibilité pose des problèmes de discontinuité d’activités de plus en plus aigus– Des systèmes de disaster recovery souvent très coûteux sont mis en place
pour pallier toute faille des systèmes• Les systèmes informatiques fonctionnent en réseaux. L’internet a
fortement complexifié les problématiques de sécurité de ces systèmes– Evolution rapide et investissements lourds en mesures de sécurité
• Le département Exploitation est responsable de ces activités
![Page 4: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/4.jpg)
|4
Qu’est ce qu’un service IT ?
• Ensemble de fonctions fournies par les systèmes IT en support des métiers (gestion du parc PC, gestion des applications au jour le jour, production d’outputs, gestion des accès aux applications, helpdesk, etc...)
• Un service est constitué de composants software, hardware et de communication (réseaux)
• Les services peuvent couvrir de nombreux domaines : depuis l’accès à une application jusqu’à la mise à disposition d’un service impliquant plusieurs applications, des réseaux, etc...– Exemples :
• Disponibilité de systèmes critiques• Transactions sécurisées sur réseaux ouverts• Transfert de données entre applications via un WAN
![Page 5: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/5.jpg)
|5
Définition de ITIL
• ITIL (“Information Technology Infrastructure Library”) est un ensemble de recommendations développé par le UK Office of Government Commerce
• Ces recommendations sont documentées et décrivent un cadre de gestion des services IT intégré et basé sur les différents processus de fournitures de services
• Développé dans les années ’80 pour le gouvernement britannique, l’ ITIL est devenu une référence mondiale en matière de gestion de services IT
• Plusieurs centaines de sociétés ont implémentés des processus conformes à ITIL
• Objectifs du modèle ITIL– Faciliter une gestion de qualité des services IT– Améliorer l’efficacité– Réduire les risques– Fournir un “best practice”
![Page 6: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/6.jpg)
|6
Modèle ITIL
Source: ITIL CD ROM
Service Support
Configuration Management
Incident Management
Problem Management
Change Management
Release Management
Service Delivery
Service Continuity
Capacity Management
Financial Management
Service Level Management
Availability Management
• Hypothèse ITIL : les fonctions suivantes sont essentielles afin de livrer des services IT de qualité
• ITIL propose une approche structurée pour définir, implémenter et gérer chacune de ces fonctions au jour le jour
![Page 7: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/7.jpg)
|7
Modèle ITIL
• Service support– Assure que l’utilisateur a accès aux services appropriés pour supporter
les fonctions métiers• Release management• Problem management• Change management• Incident management• Configuration management
• Service delivery– Quels sont les services demandés par les métiers afin de servir
correctement les clients de l’entreprise• Service level management • Availability management• Service continuity• Financial management• Capacity management
![Page 8: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/8.jpg)
|8
Modèle ITIL – Service delivery
• Service level management – Processus incluant la définition, négociation, mise au point d’un contrat de
SLA– Processus de gestion de ces contrats – Processus de revues de niveaux de services utilisateurs– Prioritisation des services (requis, coûts justifiés)
• Capacity management– Processus de planification, définition et gestion de la capacité des systèmes
IT – Se base sur des critères (temps de réponse, volumes, etc..) définis dans le
cadre des niveaux de services• Service continuity
– Processus définissant comment adresser et résoudre des “calamités” – pannes, incendies, fraudes informatiques....
– Définit également comment éviter que des incidents deviennent des “calamités”
![Page 9: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/9.jpg)
|9
Modèle ITIL – Service delivery
• Availability management– Processus de planification, optimisation et exécution des activités
requises pour gérer la disponibilité des services IT au jour le jour– Processus d’exécution de maintenance corrective et évolutive afin de
rencontrer les besoins de disponibilités requis par les métiers
• Financial management– La gestion et le chargement des services IT aux métiers– Ceci nécessite d’identifier et de classifier les différents composants de
coûts et de calculer les coûts liés à chaque service (comptabilité analytique)
![Page 10: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/10.jpg)
|10
Modèle ITIL – Service support
• Configuration management– Processus d’identification et de définition des éléments de configuration
dans un système (écrans, tables, formats, interfaces, etc...)– Processus d’enregistrement des éléments de configuration et de leur
statut– Processus de vérification du caractère correct et complet de ces éléments
de configuration
• Problem management– Processus de contrôle des incidents, erreurs, problèmes– Processus de pilotage des incidents, erreurs, problèmes– Objectif principal : s’assurer que les services fournis sont stables, précis
et fournis à temps
![Page 11: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/11.jpg)
|11
Modèle ITIL – Service support
• Release management– Processus de contrôle de la distribution, gestion, enregistrement physique et
implémentation de nouveaux éléments de software– S’assurer que uniquement des versions autorisées et dûment vérifiées en
termes de qualité sont portées dans l’environnement de production• Change management
– Processus de gestion et de contrôle des requêtes en vue d’effectuer des changements à l’infrastructure IT ou aux services IT
– Processus de gestion et de contrôle de l’implémentation de ces changements• Incident management
– Processus de gestion des incidents (support de première ligne par le helpdesk, support de 2e et 3e lignes dans les départements développements ou exploitation)
– Le helpdesk est un point de contact unique pour rapporter les erreurs de systèmes observées
![Page 12: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/12.jpg)
|12
L’application de ITIL
• Au cours du dernier trimestre 2001, itSMF fit réaliser une enquête sur la compréhension et l’application des méthodes ITIL au Royaume-Uni
• Plus de 100 entreprises ou agences gouvernementales participèrent à l’enquête• 87% d’entre elles se considéraient comme utilisateurs de ITIL ou appliquaient dans
une certaine mesure les principes ITIL
Full ITIL Users 28%
Partial ITIL Users 59%
Non ITIL Users 13%
Sources: http://www.itsmf.com/members/marketresearch.asp
itSMF : IT Service Management Forum
![Page 13: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/13.jpg)
|13
Bénéfices attendus
• La performance des initiatives de gestion de services est nettement plus élevée quand ces initiatives sont basées sur l’approche et le modèle ITIL
• Pour ceux utilisant l’approche ITIL, 97% déclarent que leur entreprise a engrangé des résultats. 70% déclarent que ces résultats sont mesurables et quantifiables
Sources: http://www.itsmf.com/members/marketresearch.asp
![Page 14: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/14.jpg)
|14
Bénéfices attendus
• Les entreprises interrogées reconnaissent avoir vécu un changement positif au niveau de la culture de fourniture de services (80% des utilisateurs)
• Finalement, dans un contexte de gestion de services, la perception de l’amélioration des services par le client est extrêmement importante. Plus de 70% des utilisateurs ITIL affirment que leurs clients ont observé les améliorations de services apportées
Sources: http://www.itsmf.com/members/marketresearch.asp
![Page 15: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/15.jpg)
|15
Sécurité - Définition
• Sécurité : moyens de protéger des actifs (gens, actifs tangibles, intangibles). L’objectif est de minimiser les pertes
• Sécurité informatique : protection des actifs informatiques (données, applications, serveurs, processus)
• La sécurité est avant tout une préoccupation des métiers• La sécurité fait partie de la gestion des risques. Il faut évaluer les
risques et les mitiger, si ceci est justifié économiquement• Types de risques
– Opérationnel : arrêt du fonctionnement normal d’une application (par exemple, suite à une attaque internet)
– Légal : l’entreprise ne peut plus remplir ses obligations légales et réglementaires (par exemple, divulgation de données confidentielles)
– Financier : coût financier direct (par exemple, fraude informatique)
![Page 16: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/16.jpg)
|16
Sécurité informatique – Préoccupations des métiers• Productivité
– Elle est améliorée quand on exclut des évènements qui font perdre du temps ou empèchent le bon fonctionnement de l’organisation (par ex, virus détruisant de l’information).
– Préoccupations : contrôle des spam et la mauvaise utilisation de l’internet• Réglementation
– Nombreuses réglementations dans l’entreprise (gestion financière, fonctionnement d’un front office, etc...). Elles nécessitent de sauver et de conserver des données et enregistrements, y compris qui est responsable d’actions/décisions, etc...
– Préoccupations : sauver, conserver et protéger ces données• Privacy and Digital Rights Management
– Assure que l’information confidentielle ne soit pas divulguée. Privacy concerne l’information personnelle. DRM concerne l’information professionnelle à valeur commerciale.
– Préoccupations : encrypter les données, autorisations
![Page 17: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/17.jpg)
|17
Sécurité informatique – Préoccupations des métiers• Disponibilité
– La continuité des activités nécessite la disponibilité des systèmes (par exemple, une attaque informatique peut causer l’arrêt d’un système) et des données
– Préoccupations : dupliquer les données et systèmes, architectures de back ups
• Intégrité– Maintenir l’intégrité des processus, données, applications est
essentielle. Lors d’une intrusion, cette intégrité peut être mise en danger
– Préoccupations : architectures de sécurité internet, profils d’accès, etc..
![Page 18: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/18.jpg)
|18
Sécurité informatique – Exemples de moyens• Protection des frontières
– Anti virus– Filtrage de données– Systèmes de détection d’intrusion– Systèmes de protection contre les intrusions– Firewalls
• Sécurité de l’infrastructure– Firewalls– Encryption de données sauvegardées
• Sécurité des communications– Encryption– PKI– VPN
![Page 19: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/19.jpg)
|19
Sécurité informatique – Exemples de moyens• Gestion de la sécurité
– Audits– Gestion des procédures– Evaluation de sécurité– Gestion des versions, configurations
• Gestion des utilisateurs– Contrôle d’accès– Authentication– Identification
![Page 20: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/20.jpg)
|20
Sécurité informatique – Illustration PC banking
Bank core system
End UserClient
LocalDirector
Firewall
Firewall
CommServer
InternalNetwork
DB Server
App Server App Server
App Server
App Server
Internet
SSL
H9000
H9000
H9000
H9000
Internal Network
DB Server
Workstation
Cash Dispensersand other EMP
TerminalsTelephone Banking
CommServer
Front end Back end
![Page 21: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/21.jpg)
|21
Gestion de la sécurité
• Accès physique• Personnel• Equipements• Organisation technique• Softwares• Aspects organisationnels• Sécurité des données• Calamités
![Page 22: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/22.jpg)
|22
Accès physique
• Management– Définit les procédures d’accès– Définit les tâches du personnel de sécurité
• Exécution– Nommer un security manager– Procédures pour la gestion des systèmes– Procédures en cas de vol ou de destruction– Procédures pour visiteurs– Procédures pour le personnel de nettoyage– Gestion des fournisseurs– Procédure pour les heures supplémentaires
![Page 23: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/23.jpg)
|23
Personnel
• Recrutement– Règles de recrutement– Motifs pour une démission précédente– Règles de recrutement du personnel de sécurité
• Enregistrement du personnel– Présences– Heures supplémentaires – Vacances
• Fonctions– Etre formé et expérimenté– Règles pour un remplacement– Job rotation– Descriptions de fonctions– Evaluation du personnel– Objectifs personnels (rapporter les anomalies à au moins 2 personnes)
• Procédures de démission
![Page 24: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/24.jpg)
|24
Equipement
• Acquisition, location– Se mettre d’accord sur les aspects de sécurité– Documentation– Installation et acceptation
• Maintenance (remote, outsourced)– Se mettre d’accord sur les aspects de sécurité– Documentation
• Pannes– Alertes de pannes– Procédures de redémarrage– Contrôle interne sur les réparations– Monitoring des pannes– Test du disaster recovery plan
![Page 25: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/25.jpg)
|25
Organisation technique
• Maintenance périodique• Rapports d’incidents• Enregistrement des incidents• Documentation
– Plan d’étage– Inventaire des équipements– Liste des contrats de maintenance
![Page 26: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/26.jpg)
|26
Softwares
• Gestion des releases et des versions• Documentation• Librairie des programmes• Règles de back up et recovery• Utilisation de programmes de correction et d’urgence• Gestion des disques et des fichiers• Echanges de fichiers avec des tiers• Procédures d’acceptation (développement) • Les procédures en matière de définition de profils utilisateurs• Les procédures “super user”• L’encryption des données
![Page 27: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/27.jpg)
|27
Aspects organisationnels
• Département IT indépendant des autres départements• Séparation entre transactions et contrôle, approbations• Définition claire des rôles et responsabilités• Planning de production• Gestion des pannes• Contrôles inputs/outputs• Séparation des rôles entre production/input de
données/développement• Contrôle de l’usage des documents d’inputs et d’outputs• Contrôle de la complétude des rapports
![Page 28: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/28.jpg)
|28
Sécurité des données
• Passwords• Autorisations et accès• Profils utilisateurs• Encryption des données• Sécurité réseaux• Signatures électroniques• Back ups
![Page 29: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/29.jpg)
|29
Calamités
• Feu– Avoir un back up dans un autre bâtiment– Avoir des détecteurs de feu– No smoking– Bâtiment équipé pour retarder le feu– Intervention des pompiers rapide
• Panne d’électricité– Back up - recovery
• Dégâts des eaux– Détecteurs– Pouvoir évacuer l’eau facilement
![Page 30: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/30.jpg)
|30
Sécurité du système
Règles d’autorisation
Règles de sécurité
Système d’autorisation
Modèle de données
Transaction manager
Data manager
Profils utilisateurs
Log file
Login
Authentication
DBA Administrateur de sécurité
Super user
Base de données
UtilisateursAuditeur
![Page 31: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/31.jpg)
|31
Audit - Définition
• Définition– “Auditing is a systematic process of objectively
obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria, and communicating the results to interested users.” American Accouting Association (AAA)
![Page 32: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/32.jpg)
|32
Audit - Définition
• Un processus systématique– Structuré comme une activité dynamique de manière logique– Une approche non planifiée en matière d’audit informatique peut
conduire à négliger d’importants domaines de processing• Obtenir et évaluer les preuves
– Fiabilité de la structure de contrôle• Tests afin de vérifier que la fonction de contrôle fonctionne comme convenu
– Contenu des fichiers• Tests pour vérifier la cohérence des fichiers avec les transactions de la société
• Confirmer la correspondance entre les critéres préétablis et les assertions
• Communiquer les résultats aux parties intéressées– Autres membres de l’audit, direction, etc...
![Page 33: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/33.jpg)
|33
Audit de sécurité et schéma général d’audit
Audit
Security audit Company audit
Accounting system
Internal control system
IT audit
• Sécurité et privacy• Disponibilité• Confidentialité• Accessibilité
• Vérification de l’approche d’audit
• Contrôle des systèmes IT
• Approche d’audit des systèmes IT
Security manager External auditor
![Page 34: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/34.jpg)
|34
Audit informatique
• Problèmes spécifiques à un audit informatique– Concentration du traitement des données– Consultation des données par le personnel IT– Les données peuvent être détruites– Les données sont très compactes (peuvent être perdues, volées,
etc...)– Disparition de documents de base (téléphone,...)– Prise de décision automatisée– Plus de complexité– Vulnérabilité (réseaux)
• L’audit informatique est très spécialisé et évolue rapidement
![Page 35: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/35.jpg)
|35
Evaluation du risque de contrôle
• Objectif– L’objectif d’une évaluation du risque de contrôle est d’évaluer
l’efficacité des structures de contrôle internes d’une entreprise à prévenir ou détecter des malversations importantes dans la comptabilité
• Risque de contrôle– La probabilité que les malversations dans les données comptables ne
soient pas prévenues ou détectées et corrigées
• Structure de contrôle– Les règles et procédures mises en place par l’entreprise pour fournir
une garantie raisonnable que les objectifs établis seront atteints
![Page 36: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/36.jpg)
|36
L’environnement de contrôle
• L’effet collectif de différents facteurs sur la mise en place, l’amélioration et la mitigation de l’efficacité de règles et procédures spécifiques– La philosophie de management et le style de gestion– La structure organisationnelle de l’entreprise– Le fonctionnement du comité de direction et du comité d’audit– Les méthodes de responsabilisation– Les méthodes d’audit interne et de contrôle de performance– Les règles en matière de personnel et les pratiques– Différents facteurs externes
• Reflète l’attitude générale, la prise de conscience et les actions relatives à l’importance du contrôle
![Page 37: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/37.jpg)
|37
Le système comptable
• Le système comptable consiste en méthodes et des enregistrements mis en place pour identifier, assembler, analyser, classifier, enregistrer et rapporter les transactions d’une entreprise et pour gérer et rapporter les actifs et dettes de l’entreprise. Cela inclut la capacité de :– Identifier et enregistrer toutes les transactions valides– Décrire les transactions avec un niveau de détail suffisant que
pour classifier ces transactions correctement dans la comptabilité
– Mesurer la valeur des transactions d’une manière qui permette d’enregistrer leur valeur monétaire correctement
– Définir la période au cours de laquelle la transaction a eu lieu– Présenter correctement les transactions et leurs disclosures
dans les états financiers
![Page 38: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/38.jpg)
|38
Les procédures de contrôle
• Les règles et procédures que le management a mis en place pour fournir une garantie raisonnable que les objectifs de l’entreprise seront atteints en matière d’audit. Ceci inclut :– Autorisation correcte des transactions et des activités– Ségrégation des rôles et responsabilités– Définition de mécanismes de sauvegarde en ce qui concerne
l’accès et l’utilisation des enregistrements et des actifs– Vérifications indépendantes sur la valorisation des montants
enregistrés
![Page 39: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/39.jpg)
|39
Impact de l’IT sur les contrôles comptables
• Exemples– Des activités décentralisées effectuées par différents employés
peuvent être centralisées dans un seul ordinateur,oubliant un contrôle interne
– Pas d’audit trail– Quand le nombre d’employés impliqués dans le comptabilité diminue,
on élimine les procédures de 4-eye check– Erreurs systématiques au lieu d’être aléatoires– Besoin de gens spécialisés pour auditer l’activité– L’auditeur IT doit être impliqué dans la conception du système de
comptabilité pour prévoir les contrôles nécessaires– Fraude informatique (checks non autorisés,...)
![Page 40: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/40.jpg)
|40
L’audit trail
• L’audit trail est un ensemble d’enregistrements qui permettent de tracer des transactions, des activités depuis leur origine
• Le systéme informatique peut impacter l’audit trail de différentes manières :– Documents source sauvés de manière difficilement accessibles– Documents source éliminés– Pas de listing de transactions ou de journaux– Rapports papier uniquement pour les exceptions– Des programmes sont toujours nécessaires pour accéder aux données– Séquence des données et des activités difficile à observer
![Page 41: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/41.jpg)
|41
Disponibilité – coût d’un arrêt d’activité
7% des sociétés avec des revenus > $5bn ont connu un arrêt d’activité qui leur a coûté plus de $5m au cours des 12 derniers mois….
Source – Continuity Insights/KPMG 2003
Impact financier
< $100k
$100k - $500k
$500k - $1m
$1m - $5m
> $5m
![Page 42: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/42.jpg)
|42
Disponibilité – causes d’arrêt d’activité
Interférences humainese.g. erreur d’opérateur, actes malhonnêtes, sabotage, grèves, virus
Dégâts des eaux Coupure d’électricté
Forces naturellese.g. inondations, tremblements de terre, ouragans
Incendie Panne de communication
Panne d’un système majeur
![Page 43: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/43.jpg)
|43
Définition de Business Continuity
• Business Continuity Management concerne la gestion des risques pour s’assurer que, à tout moment, une organisation peut continuer à fonctionner à un niveau minimum pré déterminé
• Cela inclut :– Evaluer et réduire les risques– Planifier pour le redémarrage de processus clés quand un risque se
matérialise et un arrêt d’activité se produit– Tester ces plans de manière régulière
• Business continuity ne concerne pas uniquement les systèmes IT mais également les gens, des actifs physiques, des bureaux et des documents critiques
• Seulement 25% des entreprises ont un Business Continuity Plan. D’ici 2007, 75% des entreprises devraient avoir un BCP (source : Gartner)
![Page 44: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/44.jpg)
|44
Définition de Business Continuity
• Business continuity management est appelé de différentes manières :– Business continuity planning– Disaster recovery planning– Business recovery planning– Business resumption planning– Crisis management– Contingency planning
![Page 45: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/45.jpg)
|45
Disponibilité – Niveaux de servicesINTERRUPTION WINDOW: BUSINESS PROCESS 1INTERRUPTION WINDOW: BUSINESS PROCESS 1
Time
Service Level
Normal SLA
Minimum SLA
RTO (Min. SLA)
Normal Operation
Interruption
Recovery Period Minimum Service Normal Operation Restored
RTO (Minimum SLA):
RTO (Normal Operations)
RTO (Normal Operations):
RPO
Potential Loss of
Information
RPO:
Minimum SLA:
2 Days
10 Days
Start of Day
x% of orders processed within y mins of receipt
![Page 46: Section 7 : Les activités d'exploitation informatique](https://reader035.vdocuments.site/reader035/viewer/2022081518/554245e4550346c0078b4618/html5/thumbnails/46.jpg)
|46
Business continuity – évolution historique
Périmètre historiqueRéplication et backup
Duplication de données Backup & recovery Storage-centric
Périmètre IT
Text
Infrastructure (e.g., réseaux, serveurs)
Applications Centre de données sécurisé
Périmètre Business + IT
Processus métiers et composants IT
Systèmes, processus et personnes
Text