Navigation sur Internet
Configurez les fonctions de sécurité de votre navigateur
Utilisez uniquement des sites en HTTPS lors de l’échange d’informations confidentielles ou financières
Téléchargez des logiciels provenant seulement de sites de confiance
Vérifiez attentivement les adresses des sites visités afin d’assurer leur véracité
Évitez d’installer des barres d’outils supplémentaires à votre navigateur
Courriel
Évitez d’envoyer des informations personnelles ou financières par courriel
Ignorez les pièces jointes ou les liens provenant de correspondants inconnus
Supprimez toutes chaînes de lettres, offres d’héritages ou autres dès leur réception
Évitez d’échanger des informations professionnelles avec votre courriel personnel
Considérez le contenu d’un courriel comme étant aussi accessible que celui d’une carte postale
Téléphones intelligents
Surveillez constamment votre appareil
Activez un mot de passe et le verrouillage automatique
Faites régulièrement les mises à jour du logiciel d’exploitation
Bloquez toutes connexions automatiques à des réseaux sans-fil inconnus
Utilisez toujours des services de courriel sécurisé (HTTPS / SSL)
Réseau sans-fil / ordis publics
Sécurisez votre réseau sans-fil personnel
Évitez d’utiliser tous points d’accès sans-fil inconnus
Demandez, dans un café ou un hôtel, le nom du réseau sans-fil officiel
Fermez vos sessions de travail à la fin de l’utilisation d’un ordinateur public
Évitez d’échanger des informations confidentielles sur un ordinateur public
Bonnes habitudes
Verrouillez toujours votre poste de travail lorsque vous quittez votre bureau
Rangez tous documents confidentiels dans un espace verrouillé
Déchiquetez tous documents contenant des informations personnelles
Validez toujours l’identité d’une personne vous demandant des informations sensibles
Rapportez immédiatement tout incident de sécurité informatique
Mots de passe
Créez des mots de passe forts : au moins 8 lettres, chiffres et caractères spéciaux
Évitez d’utiliser votre nom, celui de vos enfants ou un mot contenu dans le dictionnaire
Gardez votre mot de passe pour vous, comme votre brosse à dents
Dissociez vos mots de passe pour le travail de ceux de vos services personnels
Utilisez un logiciel de gestion des mots de passe, ne les notez pas sous votre clavier
Configuration du poste de travail
Configurez un mot de passe fort à l’ouverture de votre session
Installez un logiciel antivirus et maintenez-le à jour
Activez les mises à jour automatiques de votre système d’exploitation
Utilisez le pare-feu inclus dans votre système d’exploitation
Activez votre écran de veille avec un mot de passe au retour
Protection contre les virus
Installez un logiciel antivirus et maintenez-le à jour
Téléchargez des logiciels ne provenant uniquement que de sites de confiance
Ignorez les pièces jointes ou les liens provenant de correspondants inconnus
Désactivez les fonctions d’exécution automatique des clés USB
Appliquez les mises à jour sur le système d’exploitation et les logiciels
Médias sociaux
Limitez au maximum l’accès à votre profil, vos informations et vos photos
Divulguez un minimum d’informations personnelles
Portez attention aux liens avant de cliquer; même ceux provenant de vos amis
Partagez uniquement des informations que vous oseriez, sans gêne, répéter en public
Utilisez un mot de passe fort pour protéger l’accès à vos comptes
Source:UQAM - Université du Québec à Montréal
17 nov. 2011
Suivi "de la santé" des Services des Technologies de l'Information
Suivi de l’état de Santé des Systèmes d'Information au sein des organisations; Adapté selon la structure proposée par PWC.
Nous avons 06 pôles devant faire l'objet de suivi : Gouvernance et Gestion des Services, Infrastructures matérielles, Infrastructures logicielles, Portefeuille des Projets des Technologies de l'Information, Personnes Ressources, et Coûts informatiques.
Gouvernance et Gestion des Services
1- Alignement avec les besoins de l'entreprise
2- Gestion des Changements, des Configurations, des Versions, des Problèmes, des Incidents
3- Gestion des fournisseurs, des contrats et des coûts
4- Gestion des risques informatiques
Infrastructures matérielles
1- Centre de données, Équipements et locaux
2- Gestion de l'Architecture du réseau
3- Gestion des Désastres et Catastrophes Informatiques
4- Sécurité informatique
Infrastructures logicielles
1- Architecture des Logicielles, et des Informations (données)
2- Cycle de développement de logiciel informatique
3- Gestion des contrats et maintenances de logiciels
4- Documentation de l'ensemble des logiciels
5- Gestion des versions
Portefeuille des Projets des Technologies de l'Information
1- Portefeuille de l'ensemble des initiatives informatique
2- Planification, Exécution et Suivi
3- Réalisation des Objectifs attendus
Personnes Ressources, Compétences, et Organisation
1- Gestion des compétences informatiques
2- Compétences disponibles en alignement avec les besoins
3- Prestation et Externalisation des services
Coûts informatiques
1- Évaluation et Évolution des coûts informatiques
2- Benchmarking
3- Structure des coûts informatiques
Nous avons 06 pôles devant faire l'objet de suivi : Gouvernance et Gestion des Services, Infrastructures matérielles, Infrastructures logicielles, Portefeuille des Projets des Technologies de l'Information, Personnes Ressources, et Coûts informatiques.
Gouvernance et Gestion des Services
1- Alignement avec les besoins de l'entreprise
2- Gestion des Changements, des Configurations, des Versions, des Problèmes, des Incidents
3- Gestion des fournisseurs, des contrats et des coûts
4- Gestion des risques informatiques
Infrastructures matérielles
1- Centre de données, Équipements et locaux
2- Gestion de l'Architecture du réseau
3- Gestion des Désastres et Catastrophes Informatiques
4- Sécurité informatique
Infrastructures logicielles
1- Architecture des Logicielles, et des Informations (données)
2- Cycle de développement de logiciel informatique
3- Gestion des contrats et maintenances de logiciels
4- Documentation de l'ensemble des logiciels
5- Gestion des versions
Portefeuille des Projets des Technologies de l'Information
1- Portefeuille de l'ensemble des initiatives informatique
2- Planification, Exécution et Suivi
3- Réalisation des Objectifs attendus
Personnes Ressources, Compétences, et Organisation
1- Gestion des compétences informatiques
2- Compétences disponibles en alignement avec les besoins
3- Prestation et Externalisation des services
Coûts informatiques
1- Évaluation et Évolution des coûts informatiques
2- Benchmarking
3- Structure des coûts informatiques
16 nov. 2011
Je parle ITIL.
Information Technology Infrastructure Library
ITIL est l'approche la plus largement adoptée pour la gestion des services IT dans le monde. Il fournit une approche pratique, de l'identification, la planification, la prestation et le soutien des services informatiques pour l'entreprise.
ITIL préconise que les services informatiques doivent être alignés sur les besoins de l'entreprise et sous-tendent les processus métier. Il fournit des conseils aux organisations sur la façon de l'utiliser comme un outil pour faciliter le changement d'entreprise, la transformation et la croissance.
Les meilleures pratiques ITIL sont actuellement détaillées dans les principales publications qui fournissent une approche systématique et professionnelle de la gestion des services IT, permettant aux organisations d'offrir des services appropriés et sans cesse s'assurer qu'ils répondent aux objectifs commerciaux et en offrant des avantages.
Les cinq principaux livres sont les suivants conformément a la version ITIL V3:
1- Service Strategy
2- Service Design
3- Service Transition
4- Service Operation
5- Continual Service Improvement
Un nouvelle version de ITIL en cours de réalisation comble les gaps de la V3 du fait de l’apparition de nouvelle thématiques telles que les notions d'externalisation, le cloud computing, la virtualisation, et le e-services, .. il s'agit de ITIL 2011 édition avec 03 processus en plus :
1- Service Strategy
2- Strategy Management of IT Services
3- Business Relationship Management
4- Service Design
5- Design Coordination
6- Service Transition
7- Service Operation
8- Continual Service Improvement
ITIL est l'approche la plus largement adoptée pour la gestion des services IT dans le monde. Il fournit une approche pratique, de l'identification, la planification, la prestation et le soutien des services informatiques pour l'entreprise.
ITIL préconise que les services informatiques doivent être alignés sur les besoins de l'entreprise et sous-tendent les processus métier. Il fournit des conseils aux organisations sur la façon de l'utiliser comme un outil pour faciliter le changement d'entreprise, la transformation et la croissance.
Les meilleures pratiques ITIL sont actuellement détaillées dans les principales publications qui fournissent une approche systématique et professionnelle de la gestion des services IT, permettant aux organisations d'offrir des services appropriés et sans cesse s'assurer qu'ils répondent aux objectifs commerciaux et en offrant des avantages.
Les cinq principaux livres sont les suivants conformément a la version ITIL V3:
1- Service Strategy
2- Service Design
3- Service Transition
4- Service Operation
5- Continual Service Improvement
Un nouvelle version de ITIL en cours de réalisation comble les gaps de la V3 du fait de l’apparition de nouvelle thématiques telles que les notions d'externalisation, le cloud computing, la virtualisation, et le e-services, .. il s'agit de ITIL 2011 édition avec 03 processus en plus :
1- Service Strategy
2- Strategy Management of IT Services
3- Business Relationship Management
4- Service Design
5- Design Coordination
6- Service Transition
7- Service Operation
8- Continual Service Improvement
Norme ISO 27002 (ex ISO 17799, ex BS 7799-1, ex BS 7799)
La norme ISO 27002 est à la fois un ensemble de mesures techniques et organisationnelles que l'entreprise devrait mettre en place pour gérer de manière sécurisée ses informations.
Politique de sécurité
Necessité de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.
Organisation de la sécurité
La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
la désignation de propriétaires de l'information, qui seront responsables de leur classification,
l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.
La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.
La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).
Classification des informations
Répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.
Sécurité du personnel
Types de mesures :
lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.
Sécurité de l'environnement et des biens physiques
Protection des bâtiments et des équipements :
délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
mise en place de procédures pour la gestion des documents dans les bureaux.
Administration
rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
rédiger et mettre à jour les critères d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)
Contrôle d'accès
Propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
l'existence et la mise en place de procédures concernant le télétravail.
Développement et maintenance
Proposition des mesures incontournables comme des exemples de mise en oeuvre. Sans être exhaustif, on peut retenir :
la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
la mise en place d'une gestion de configuration
Plan de continuité
Nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.
Conformité légale et audit de contrôle
Ce chapitre traite pour l'essentiel de deux points :
la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
la mise en place de procédures pour le déroulement d'audit de contrôle.
Web&Co
Politique de sécurité
Necessité de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.
Organisation de la sécurité
La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
la désignation de propriétaires de l'information, qui seront responsables de leur classification,
l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.
La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.
La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).
Classification des informations
Répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.
Sécurité du personnel
Types de mesures :
lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.
Sécurité de l'environnement et des biens physiques
Protection des bâtiments et des équipements :
délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
mise en place de procédures pour la gestion des documents dans les bureaux.
Administration
rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
rédiger et mettre à jour les critères d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)
Contrôle d'accès
Propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
l'existence et la mise en place de procédures concernant le télétravail.
Développement et maintenance
Proposition des mesures incontournables comme des exemples de mise en oeuvre. Sans être exhaustif, on peut retenir :
la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
la mise en place d'une gestion de configuration
Plan de continuité
Nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.
Conformité légale et audit de contrôle
Ce chapitre traite pour l'essentiel de deux points :
la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
la mise en place de procédures pour le déroulement d'audit de contrôle.
Web&Co
13 nov. 2011
Normes ISO en matière Sécurité de l’Information
Les normes ci dessous qui sous-tendent la gestion de la sécurité de l'information sont déterminant dans la définition de la politique sécurité de l’information d'une trés petite entreprise, d'une organisation, d'une ville, ...
BS7799 : Les exigences pour le management de la sécurité de l’information, Norme britannique crée en 1995.
BS7799-1 : Pratique pour la gestion de la Sécurité de l'Information
BS7799-2 : Management des Systèmes de Sécurité de l'Information
ISO 177999 : Prise en compte additionnel de la politique de sécurité, l’organisation de la sécurité, la sécurité du personnel, le contrôle d’accès, le développement, la maintenance etc
ISO/IEC 27001 : Système de management de la sécurité de l'information (SMSI) (en vigueur)
ISO/IEC 27002 : Renumérotation de l’ISO 17799 (2007)
ISO/IEC 27003 : Implémentation (en développement)
ISO/IEC 27004 : Métriques et mesures (en développement)
ISO/IEC 27005 : Management du risque (ISO 13335-2)
ISO/IEC 27799 : ISO 17799 pour la santé (en développement)
BS7799 : Les exigences pour le management de la sécurité de l’information, Norme britannique crée en 1995.
BS7799-1 : Pratique pour la gestion de la Sécurité de l'Information
BS7799-2 : Management des Systèmes de Sécurité de l'Information
ISO 177999 : Prise en compte additionnel de la politique de sécurité, l’organisation de la sécurité, la sécurité du personnel, le contrôle d’accès, le développement, la maintenance etc
ISO/IEC 27001 : Système de management de la sécurité de l'information (SMSI) (en vigueur)
ISO/IEC 27002 : Renumérotation de l’ISO 17799 (2007)
ISO/IEC 27003 : Implémentation (en développement)
ISO/IEC 27004 : Métriques et mesures (en développement)
ISO/IEC 27005 : Management du risque (ISO 13335-2)
ISO/IEC 27799 : ISO 17799 pour la santé (en développement)
12 nov. 2011
Créer des logiciels adaptés à l’Afrique
« Les entrepreneurs africains dans les TIC doivent persévérer et trouver des solutions qui fonctionnent en Afrique. C’est ainsi qu’ils seront des experts internationaux sur ces solutions. On ne peut pas juste prendre le système d’un autre continent et le plaquer en Afrique, ça ne marchera jamais. Ce sera trop coûteux et, dans beaucoup de cas, ce sera un échec. Il y a une grande opportunité à créer des logiciels adaptés à l’Afrique, et la technologie qui va avec. C’est un domaine de spécialisation qui a de la valeur. »
Point de vue de H.K.Chinery-Hesse, le seul Africain ayant remporté le « Distinguished Alumnus Award » de l’Université d’Etat du Texas.
Point de vue de H.K.Chinery-Hesse, le seul Africain ayant remporté le « Distinguished Alumnus Award » de l’Université d’Etat du Texas.
19 oct. 2011
Plan d'Audit de la sécurité de son Système d'Information
Un test d’intrusion externe (Prouver qu’une personne malveillante ne pourra pas atteindre les informations confidentielles de l’entreprise depuis l’extérieur.- réseau, application web, smartphone, mobile)
Un test de social engineering (Prouver qu'un employé de la boite est très prudent dans ces cas par exemple clef USB abandonnée, mail humoristique sensé venir d’un collègue, mail sensé venir d’un réseau social, etc.)
Un test d’intrusion interne (Prouver qu’étant dans la peau d'un salarié quelles type d'informations l'on est a mesure d'extirper au détriment de l'entreprise)
Un audit organisationnel (Prouver qu'une politique de sécurité, des processus et des procédures de l’entreprise sont définis, mis en œuvre et contrôlés)
Un test de social engineering (Prouver qu'un employé de la boite est très prudent dans ces cas par exemple clef USB abandonnée, mail humoristique sensé venir d’un collègue, mail sensé venir d’un réseau social, etc.)
Un test d’intrusion interne (Prouver qu’étant dans la peau d'un salarié quelles type d'informations l'on est a mesure d'extirper au détriment de l'entreprise)
Un audit organisationnel (Prouver qu'une politique de sécurité, des processus et des procédures de l’entreprise sont définis, mis en œuvre et contrôlés)
29 sept. 2011
Les champs d'action du Systeme d'Information du futur
Risque et contrôle des systèmes d'information:
1-Suivi et Maintenance du contrôle du systèmes d'information;
2-Conception et Implémentation du contrôle du système d'information;
3-Suivi du risque;
4-Reponse au risque;
5-Identification de risque et évaluation;
Gouvernance d'une entreprise orienté Technologie de l'information:
1-Mesure des Performances;
2-Management des ressources;
3-Management des risques;
4-Valeur délivrée;
5-Alignement stratégique;
6-Plateforme pour la gouvernance TI;
Management de la sécurité de l'information:
1-Reponse et management des incidents;
2-Gestion du plan de la sécurité de l'information;
3-Developpement du plan de la securité de l'information;
4-Gouvernance de la sécurité de l'information;
5-Management du risque de l'information;
Audit système d'information:
1-Plan d'audit du système d'information;
2-Gouvernance et management des Technologies de l'Information;
3-Acquisition, Développement et Implémentation du système d'information;
4-Operation, Maintenance et Support du système d'information;
isaca.org
1-Suivi et Maintenance du contrôle du systèmes d'information;
2-Conception et Implémentation du contrôle du système d'information;
3-Suivi du risque;
4-Reponse au risque;
5-Identification de risque et évaluation;
Gouvernance d'une entreprise orienté Technologie de l'information:
1-Mesure des Performances;
2-Management des ressources;
3-Management des risques;
4-Valeur délivrée;
5-Alignement stratégique;
6-Plateforme pour la gouvernance TI;
Management de la sécurité de l'information:
1-Reponse et management des incidents;
2-Gestion du plan de la sécurité de l'information;
3-Developpement du plan de la securité de l'information;
4-Gouvernance de la sécurité de l'information;
5-Management du risque de l'information;
Audit système d'information:
1-Plan d'audit du système d'information;
2-Gouvernance et management des Technologies de l'Information;
3-Acquisition, Développement et Implémentation du système d'information;
4-Operation, Maintenance et Support du système d'information;
isaca.org
3 sept. 2011
Modele Gartner pour la Gouvernance IT
Gartner nous présente cinq type de systèmes selon l’échelle voir ci dessous:
1-Chaotic System
Non documenté
Imprévisible
Plusieurs help desks
2-Reactive System
Problèmes documentés
Résolution des problèmes au cas par cas
Beaucoup d'effort
3-Proactive System
Rendement surveiller
Automatisation des taches
Prévoir les problèmes
4-Manage System
Définition des services
Suivi et évaluation des services
SLA(service level agreement) garantie
5-Optimal System
Les Technologie de l'Information améliore les processes d'affaire
Politique TI
Planification d'entreprise
Le niveau cinq n'est pas la finalité. Chaque organisation quelques soit son niveau selon cette échelle est appelée a progresser vers le niveau meilleur pouvant lui permettre d'obtenir de meilleures résultats ou d'atteindre de meilleures performance.
2 sept. 2011
Modèles matures des processus informatiques
TCO (Total Cost of Ownership) est un modèle de justification des investissements et d'optimisation des coûts, créé par Gartner. http://en.wikipedia.org/wiki/Total_cost_of_ownership
CobiT (Control Objectives for Information and related Technology) définit les contrôles, les pratiques et les processus informatiques formels devant être mis en place, ainsi que les résultats minimaux qu'ils sont censés générer. http://fr.wikipedia.org/wiki/CobiT
ITIL (Information Technology Infrastructure Library), consiste en un ensemble cohérent de meilleures pratiques permettant d'aider les directions informatiques à atteindre dans leurs objectifs de qualité et de maîtrise des coûts. http://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
CMMi (Capability Maturity Model) modèle permettant d'évaluer l'état d'une organisation informatique sur une échelle de maturité de cinq niveaux et définit des critères objectifs pour atteindre les niveaux de maturité supérieurs. http://fr.wikipedia.org/wiki/Capability_Maturity_Model_Integration
Système d'Information / Direction des Services Informatiques
Quelle est la clé pour un retour sur investissement des technologies de l'information au sein d'une organisation ?
La recherche de l'alignement des prestations informatiques sur les stratégies "métier" de l'organisation dans le cadre d'une politique d'amélioration globale et durable de la qualité de service.
L’évolution du système d'information de chaque directions métiers de l'organisation doit impérativement être fait avec la collaboration de chacune des directions métiers.
la Direction des Services Informatiques devra prendre en considération simultanément la dimension processus, organisation, gestion du changement et évolution technologiques.
Sept outils dont pourrait disposer une organisation au compte de la DSI pour l'atteinte de ses objectifs (le retour sur investissement des technologies de l'information):
1-Le plan stratégique des systèmes d'information de l'organisation: apport des systèmes d'information à l'aboutissement des objectifs stratégiques de l'organisation
2-La Politique de communication de la Direction des Services Informatiques
3-Le Catalogue de Produits et Services délivrés par la Direction des Services Informatiques: représente la fonction informatique appliquée au système opérationnel de l'organisation
4-Le Modèle général d'organisation et de fonctionnement de l'organisation basé sur les référentiels ITIL ou Cobit: dispositif précisant une définition claire des processus, des rôles, des responsabilités et des modes de fonctionnement ...
5-Une Méthode standardisée de Gestion des Projets: la responsabilité des acteurs, le cycle de vie des applications, ...
6-Une Politique d'Acquisition: contient les différents processus d'acquisition des biens, des services, des ressources humaines et leur évolutions ...
7-Un Tableau de Bord Opérationnel et Prospectif ou IT Scorecard: cinq critère courant que sont la Rentabilité financière, la Performance opérationnelle, les Services aux utilisateurs, la Contribution au business, la Préparation du futur)
Source RAD, source ACIES
La recherche de l'alignement des prestations informatiques sur les stratégies "métier" de l'organisation dans le cadre d'une politique d'amélioration globale et durable de la qualité de service.
L’évolution du système d'information de chaque directions métiers de l'organisation doit impérativement être fait avec la collaboration de chacune des directions métiers.
la Direction des Services Informatiques devra prendre en considération simultanément la dimension processus, organisation, gestion du changement et évolution technologiques.
Sept outils dont pourrait disposer une organisation au compte de la DSI pour l'atteinte de ses objectifs (le retour sur investissement des technologies de l'information):
1-Le plan stratégique des systèmes d'information de l'organisation: apport des systèmes d'information à l'aboutissement des objectifs stratégiques de l'organisation
2-La Politique de communication de la Direction des Services Informatiques
3-Le Catalogue de Produits et Services délivrés par la Direction des Services Informatiques: représente la fonction informatique appliquée au système opérationnel de l'organisation
4-Le Modèle général d'organisation et de fonctionnement de l'organisation basé sur les référentiels ITIL ou Cobit: dispositif précisant une définition claire des processus, des rôles, des responsabilités et des modes de fonctionnement ...
5-Une Méthode standardisée de Gestion des Projets: la responsabilité des acteurs, le cycle de vie des applications, ...
6-Une Politique d'Acquisition: contient les différents processus d'acquisition des biens, des services, des ressources humaines et leur évolutions ...
7-Un Tableau de Bord Opérationnel et Prospectif ou IT Scorecard: cinq critère courant que sont la Rentabilité financière, la Performance opérationnelle, les Services aux utilisateurs, la Contribution au business, la Préparation du futur)
Source RAD, source ACIES
1 sept. 2011
Cloud Computing: IaaS, PaaS et SaaS
Le SaaS ou Software as a Service, c'est la possibilité d'offrir a un utilisateur final une application disponible en tant que service sur le Web (exple de grands acteurs du SaaS les Google Apps).
Le IaaS ou Infrastructure as a Service, c'est la possibilité d'offrir une infrastructure à la demande qui peut être des serveurs, une bande passante, du stockage ... a un utilisation final ou une organisation finale (exple de grands acteurs du IaaS Amazon).
Le PaaS ou Plate-forme as a Service, c'est la possibilité d'offrir tout une plate forme (bande passante, espace disque, CPU multi-coeurs, base de données , middleware, application serveur) en tant que service sur le Web a un utilisation final ou une organisation finale (exple de grands acteurs du PaaS Google, Microsoft, Salesforce).
Le IaaS ou Infrastructure as a Service, c'est la possibilité d'offrir une infrastructure à la demande qui peut être des serveurs, une bande passante, du stockage ... a un utilisation final ou une organisation finale (exple de grands acteurs du IaaS Amazon).
Le PaaS ou Plate-forme as a Service, c'est la possibilité d'offrir tout une plate forme (bande passante, espace disque, CPU multi-coeurs, base de données , middleware, application serveur) en tant que service sur le Web a un utilisation final ou une organisation finale (exple de grands acteurs du PaaS Google, Microsoft, Salesforce).
27 août 2011
Etudes et Comparaisons - Liste des Frameworks par langage de programmation
Perl (Catalyst, Dancer, Mason, Maypole, Reaction, ...)
PHP (Drupal, Joomla, symfony,...)
Java (Eclipse, OpenLaszlo, ...)
Python(Pyramid, ...)
Ruby(...)
CFML (...)
ASP.NET (...)
Comparison of Web application frameworks
PHP (Drupal, Joomla, symfony,...)
Java (Eclipse, OpenLaszlo, ...)
Python(Pyramid, ...)
Ruby(...)
CFML (...)
ASP.NET (...)
Comparison of Web application frameworks
21 juil. 2011
Vous avez dit SOA ?
La SOA (Services Oriented Architectures) :
La SOA englobe des principes de conception tels que la modularité, l’encapsulation, les standards, la réutilisation et l’informatique distribuée.
Au fur et à mesure de la sophistication des applications et de la technologie, l’attention portée à l’intégration et la modularité est devenue prépondérante. La réutilisation des composants et les préalables d’interopérabilité ont conduit cette évolution vers une Architecture Orientée Services (SOA), où une logique métier autonome peut être affichée et partagée efficacement entre applications et plateformes.
Dans le cadre de la SOA, un service est une procédure ou une méthode qui remplit une fonction précise qui sera utilisée par d’autres modules ou systèmes.
Un service web est une technologie qui permet à des applications séparées de communiquer entre elles indépendamment de la plateforme ou du langage. Les services web sont au cœur de nombreuses solutions SOA.
Plus concrètement dans la mise en place d'une architecture orientée services la principale problématique concerne souvent l'accompagnement du changement. Au sein des organisations cloisonnées, le déploiement de ce type solution pourrait être très complexe car elle exigerait une mise en commun des savoirs entre différents départements. Une gestion de règles automatisées pourrait bien être la solution a ce problème (Business Rules Management System BRMS).
Une architecture applicative au sein de laquelle toutes les fonctions sont définies comme des services indépendants et définis et appelables grâce à leurs interfaces (ou contrat de services). Leur invocation peut être faite en séquence définissant ainsi un processus métier.
La SOA englobe des principes de conception tels que la modularité, l’encapsulation, les standards, la réutilisation et l’informatique distribuée.
Au fur et à mesure de la sophistication des applications et de la technologie, l’attention portée à l’intégration et la modularité est devenue prépondérante. La réutilisation des composants et les préalables d’interopérabilité ont conduit cette évolution vers une Architecture Orientée Services (SOA), où une logique métier autonome peut être affichée et partagée efficacement entre applications et plateformes.
Dans le cadre de la SOA, un service est une procédure ou une méthode qui remplit une fonction précise qui sera utilisée par d’autres modules ou systèmes.
Un service web est une technologie qui permet à des applications séparées de communiquer entre elles indépendamment de la plateforme ou du langage. Les services web sont au cœur de nombreuses solutions SOA.
Plus concrètement dans la mise en place d'une architecture orientée services la principale problématique concerne souvent l'accompagnement du changement. Au sein des organisations cloisonnées, le déploiement de ce type solution pourrait être très complexe car elle exigerait une mise en commun des savoirs entre différents départements. Une gestion de règles automatisées pourrait bien être la solution a ce problème (Business Rules Management System BRMS).
9 juil. 2011
Loi 045-2009/AN du 10/11/2009
Loi portant Réglementation des services et des transactions électroniques au Burkina Faso.
10 juin 2011
Vous avez dit Gouvernance des Systèmes d'Information ?
Les composantes de l'IT Gouvernance :
Alignement IT (Alignement sur la stratégie de l'entreprise et les processus)
Management IT (Management des ressources et des infrastructures)
Ressources IT (Gestion de la gouvernance et des ressources humaines)
Risques IT (Maitrise des risque sur le plan technologique et structurel)
Performance IT (Gestion de la performance des services délivrés)
Contrôle et Audit IT (Contrôle et audit des processus et systèmes)
Valeur IT (Valeur économique des ressources informatiques)
Maturité IT (Maturité des infrastructures et processus)
[] La valeur ajoutée des Technologies de l'Information ne se définit pas forcément par son coût, mais par sa contribution a supporter et optimiser les processus fonctionnels et opérationnels d'une Organisation qu'elle soit publique ou privée.
[] Si l'on peut estimer la maturité, l'alignement, la performance des systèmes d'Information sur les objectifs d'un département de l'organisation fixée par le management, l'actionnaire dispose d'un élément décisionnel supplémentaire qui peut être exploité de façon prédictive et non réactive.
Alignement IT (Alignement sur la stratégie de l'entreprise et les processus)
Management IT (Management des ressources et des infrastructures)
Ressources IT (Gestion de la gouvernance et des ressources humaines)
Risques IT (Maitrise des risque sur le plan technologique et structurel)
Performance IT (Gestion de la performance des services délivrés)
Contrôle et Audit IT (Contrôle et audit des processus et systèmes)
Valeur IT (Valeur économique des ressources informatiques)
Maturité IT (Maturité des infrastructures et processus)
[] La valeur ajoutée des Technologies de l'Information ne se définit pas forcément par son coût, mais par sa contribution a supporter et optimiser les processus fonctionnels et opérationnels d'une Organisation qu'elle soit publique ou privée.
[] Si l'on peut estimer la maturité, l'alignement, la performance des systèmes d'Information sur les objectifs d'un département de l'organisation fixée par le management, l'actionnaire dispose d'un élément décisionnel supplémentaire qui peut être exploité de façon prédictive et non réactive.
9 juin 2011
Google, Microsoft et Yahoo collaborent
Google, Microsoft et Yahoo créent Schema.org pour améliorer la recherche et l’indexation de données structurées. Cette ressource sera utile pour les webmasters qui cherchent à ajouter du balisage à leurs pages et aider les moteurs de recherche à mieux comprendre leurs sites.
L'utilisation de cette technologie permettra aux moteurs de recherche d'afficher les contenus de manière beaucoup plus intelligente a l'utilisateur.
http://www.schema.org/
http://www.schema.org/docs/gs.html
http://www.schema.org/docs/full.html
Un pas de plus vers le web intelligent ! lien
L'utilisation de cette technologie permettra aux moteurs de recherche d'afficher les contenus de manière beaucoup plus intelligente a l'utilisateur.
http://www.schema.org/
http://www.schema.org/docs/gs.html
http://www.schema.org/docs/full.html
Un pas de plus vers le web intelligent ! lien
11 mai 2011
La Certification électronique au Burkina Faso
L’Autorité de Régulation des Communications Electroniques (ARCE) en collaboration avec l’Agence nationale de certification électronique de Tunisie a lancé depuis le 17 février 2011, le processus de certification électronique au Burkina Faso. Pour mieux connaitre les enjeux de ce processus, nous avons interrogé le président de l’Autorité de régulation des communications électroniques, Mathurin Bako qui nous donne dans l’interview qui nous explique la démarche entreprise par sa structure pour sécuriser le cyberespace. Lire la suite de l'entretien
6 mai 2011
Le logiciel en profondes mutations
Le logiciel (les applications) d'entreprise fait l'objet de profondes mutations.
Du point de vue de sa structure, ses modes de consommation et jusqu'à ses processus de conception et de production sont bouleversés.
Le centre de gravité du logiciel se déplace au profit de l'individu et de l'usage, générant ainsi beaucoup de questions pour les specialistes des technologies logicielles.
CRM 2.0, SAAS, Cloud, Social BPM, les reseaux sociaux, Business Intelligence on Demand et Business Intelligence in Memory ...
Nouveaux vocabulaires, nouvelles technologies, nouvelles tendances ... vers ou allons nous ? les precisions sur ces nouvelles solutions seront disponible sur le blog dans les jours avenir.
Du point de vue de sa structure, ses modes de consommation et jusqu'à ses processus de conception et de production sont bouleversés.
Le centre de gravité du logiciel se déplace au profit de l'individu et de l'usage, générant ainsi beaucoup de questions pour les specialistes des technologies logicielles.
CRM 2.0, SAAS, Cloud, Social BPM, les reseaux sociaux, Business Intelligence on Demand et Business Intelligence in Memory ...
Nouveaux vocabulaires, nouvelles technologies, nouvelles tendances ... vers ou allons nous ? les precisions sur ces nouvelles solutions seront disponible sur le blog dans les jours avenir.
5 mai 2011
La rationalisation des sites web dans les ministères fédéraux
« Trop de sites web, tuent le service public », c'est en résumé le sentiment de Barack Obama. Le président américain a signé un décret, vendredi dernier, pour inciter les administrations fédérales à rationaliser le nombre de leurs sites web afin de rendre un meilleur service aux usagers.
Point1: Les gestionnaires du gouvernement doivent apprendre de ce qui fonctionne dans le secteur privé et appliquer ces meilleures pratiques pour fournir de meilleurs services, plus rapides et à moindre coût;
Point2: le décret enjoint toute administration fédérale de se doter, d'un plan de rationalisation et d'amélioration de ses services web.
Point3: le décret demande à chaque ministère de publier, sur son site, le plan d'amélioration de ses services web.
Point4: le quatrième point précise quels organismes vont aider chaque ministère à s'améliorer.
Point5: La partie cinq précise que les organismes indépendants (qui travaillent dans l'orbite fédérale sans être des ministères fédéraux) doivent se conformer à ce plan.
Point6: le decret precise, rien, dans les plans d'amélioration ne doit entraver les nécessités liées à la sécurité nationale.
Point7: le decret spécifie en quoi ce plan doit se conformer à d'autres directives juridiques et financières.
lien: http://www.whitehouse.gov/the-press-office/2011/04/27/executive-order-streamlining-service-delivery-and-improving-customer-ser
Point1: Les gestionnaires du gouvernement doivent apprendre de ce qui fonctionne dans le secteur privé et appliquer ces meilleures pratiques pour fournir de meilleurs services, plus rapides et à moindre coût;
Point2: le décret enjoint toute administration fédérale de se doter, d'un plan de rationalisation et d'amélioration de ses services web.
Point3: le décret demande à chaque ministère de publier, sur son site, le plan d'amélioration de ses services web.
Point4: le quatrième point précise quels organismes vont aider chaque ministère à s'améliorer.
Point5: La partie cinq précise que les organismes indépendants (qui travaillent dans l'orbite fédérale sans être des ministères fédéraux) doivent se conformer à ce plan.
Point6: le decret precise, rien, dans les plans d'amélioration ne doit entraver les nécessités liées à la sécurité nationale.
Point7: le decret spécifie en quoi ce plan doit se conformer à d'autres directives juridiques et financières.
lien: http://www.whitehouse.gov/the-press-office/2011/04/27/executive-order-streamlining-service-delivery-and-improving-customer-ser
2 mai 2011
Historique de l'evolution des Systemes d'Informations
Mainframes
Systèmes centralisés propriétaires
Applications indépendantes, données redondantes
Utilisateurs hors système d’information
Architecture: maître/esclave (réseau étoilé, terminaux passifs en mode texte), administration centralisée
Applications: progiciels de gestion : paie, comptabilité, facturation, commandes
Client-Serveur et des Bases de Données
Systèmes hétérogènes
Applications reliées, données dans SGBD
Utilisateurs sur des stations dédiées: saisie / consultation
Architecture: serveur de données, client-serveur, réseaux; déport de calculs sur les stations de travail : présentation (interfaces), logique applicative
Applications: bureautique, aide à la décision, etc.
Client-Serveur a 3 niveaux
Découpage logique
plusieurs niveaux peuvent être sur la même machine; permet de mieux penser les applications; correspond à l’orientation vers l’objet;
Conséquences
évolutivité/maintenabilité (couches indépendantes); utilisation d’objets métier; réutilisation de composants applicatifs; développement affranchi de la localisation physique des composants; interfaçage aisé avec les SGBD existants; montée en charge facile; complexité d’architecture
La période du tout-distribué
Répartition données/traitements sur plusieurs niveaux, plusieurs systèmes / réseaux hétérogènes
Architecture multiples clients et serveurs, modules indépendants inter opérants, composants, objets communicants
Applications : soutien / structuration de tous les processus des
organisations
Le Web comme plateforme d’intégration
Serveurs web
Navigateur
Avantages: développement, déploiement très rapides, administration/maintenance faciles
ouverture facile du SI vers l’extérieur.
Le Cloud Computing ? Nouvelle revolution ?
Le concept de cloud computing (informatique dans le nuage) est comparable à celui de la distribution de l’énergie électrique. La puissance de calcul et de stockage de l'information est proposée à la consommation par des entreprises spécialisées et facturée d'après l'utilisation réelle. De ce fait, les entreprises n'ont plus besoin de serveurs dédiés, mais confient cette ressource à une entreprise qui leur garantit une puissance de calcul et de stockage à la demande.
Systèmes centralisés propriétaires
Applications indépendantes, données redondantes
Utilisateurs hors système d’information
Architecture: maître/esclave (réseau étoilé, terminaux passifs en mode texte), administration centralisée
Applications: progiciels de gestion : paie, comptabilité, facturation, commandes
Client-Serveur et des Bases de Données
Systèmes hétérogènes
Applications reliées, données dans SGBD
Utilisateurs sur des stations dédiées: saisie / consultation
Architecture: serveur de données, client-serveur, réseaux; déport de calculs sur les stations de travail : présentation (interfaces), logique applicative
Applications: bureautique, aide à la décision, etc.
Client-Serveur a 3 niveaux
Découpage logique
plusieurs niveaux peuvent être sur la même machine; permet de mieux penser les applications; correspond à l’orientation vers l’objet;
Conséquences
évolutivité/maintenabilité (couches indépendantes); utilisation d’objets métier; réutilisation de composants applicatifs; développement affranchi de la localisation physique des composants; interfaçage aisé avec les SGBD existants; montée en charge facile; complexité d’architecture
La période du tout-distribué
Répartition données/traitements sur plusieurs niveaux, plusieurs systèmes / réseaux hétérogènes
Architecture multiples clients et serveurs, modules indépendants inter opérants, composants, objets communicants
Applications : soutien / structuration de tous les processus des
organisations
Le Web comme plateforme d’intégration
Serveurs web
Navigateur
Avantages: développement, déploiement très rapides, administration/maintenance faciles
ouverture facile du SI vers l’extérieur.
Le Cloud Computing ? Nouvelle revolution ?
Le concept de cloud computing (informatique dans le nuage) est comparable à celui de la distribution de l’énergie électrique. La puissance de calcul et de stockage de l'information est proposée à la consommation par des entreprises spécialisées et facturée d'après l'utilisation réelle. De ce fait, les entreprises n'ont plus besoin de serveurs dédiés, mais confient cette ressource à une entreprise qui leur garantit une puissance de calcul et de stockage à la demande.
Autres Vision du Systéme d'Information
Un SI est un ensemble organisé de ressources : matériel,logiciel, personnel, données, procédures… permettant d’acquérir, de traiter, de stocker des informations (sous formes de données, textes, images, sons, etc.) dans et entre des organisations.
L’organisation est à la base de l’action collective. Dès qu’une activité dépasse la capacité d’un seul individu, l’organisation constitue la réponse appropriée (ensemble d’individus, accord, implicite ou explicite, une division du travail, une coordination plus ou moins formalisée)
Le but de tout système d’information est d’apporter un soutien aux processus de travail dans l’organisation selon trois modalités principales (fournir de l’information, assister le travail humain, automatiser le travail).
Les système d’information peuvent être:
Applications fonctionnelles;
Applications d'aide a la decision;
Application d'aide a la communucation;
Application d'aide a la gestion des connaissances;
Intervenant dans trois dimensions:
Informationnelle;
Technologique;
Organisationnelle;
Mettre en place un systéme d'information c'est choisir le type organisationnel approprié et la technologie adaptée pour un meilleur partage de l'information.
L’organisation est à la base de l’action collective. Dès qu’une activité dépasse la capacité d’un seul individu, l’organisation constitue la réponse appropriée (ensemble d’individus, accord, implicite ou explicite, une division du travail, une coordination plus ou moins formalisée)
Le but de tout système d’information est d’apporter un soutien aux processus de travail dans l’organisation selon trois modalités principales (fournir de l’information, assister le travail humain, automatiser le travail).
Les système d’information peuvent être:
Applications fonctionnelles;
Applications d'aide a la decision;
Application d'aide a la communucation;
Application d'aide a la gestion des connaissances;
Intervenant dans trois dimensions:
Informationnelle;
Technologique;
Organisationnelle;
Mettre en place un systéme d'information c'est choisir le type organisationnel approprié et la technologie adaptée pour un meilleur partage de l'information.
21 janv. 2011
Knowledge Management / Gestion des connaissances
La gestion des connaissances (en anglais Knowledge Management) est l'ensemble des initiatives, des méthodes et des techniques permettant de percevoir, d'identifier, d'analyser, d'organiser, de mémoriser, et de partager des connaissances entre les membres des organisations, en particulier les savoirs créés par l'entreprise elle-même ou acquis de l'extérieur en vue d'atteindre l'objectif fixé.
C'est aussi une méthode managériale pour la Société de la Connaissance.
Les acteurs de l'organisation ne doivent pas se limiter à la consommation d'informations brutes. Ils doivent veiller aux usages des informations, ce qui signifie interprétation, structuration, capitalisation, et partage des connaissances.
Dans ce cadre, les systèmes d'information constituent un élément central pour tout type de stratégie de gestion des connaissances.
Voir
C'est aussi une méthode managériale pour la Société de la Connaissance.
Les acteurs de l'organisation ne doivent pas se limiter à la consommation d'informations brutes. Ils doivent veiller aux usages des informations, ce qui signifie interprétation, structuration, capitalisation, et partage des connaissances.
Dans ce cadre, les systèmes d'information constituent un élément central pour tout type de stratégie de gestion des connaissances.
Voir
Inscription à :
Articles (Atom)
