Suivi de l’état de Santé des Systèmes d'Information au sein des organisations; Adapté selon la structure proposée par PWC.
Nous avons 06 pôles devant faire l'objet de suivi : Gouvernance et Gestion des Services, Infrastructures matérielles, Infrastructures logicielles, Portefeuille des Projets des Technologies de l'Information, Personnes Ressources, et Coûts informatiques.
Gouvernance et Gestion des Services
1- Alignement avec les besoins de l'entreprise
2- Gestion des Changements, des Configurations, des Versions, des Problèmes, des Incidents
3- Gestion des fournisseurs, des contrats et des coûts
4- Gestion des risques informatiques
Infrastructures matérielles
1- Centre de données, Équipements et locaux
2- Gestion de l'Architecture du réseau
3- Gestion des Désastres et Catastrophes Informatiques
4- Sécurité informatique
Infrastructures logicielles
1- Architecture des Logicielles, et des Informations (données)
2- Cycle de développement de logiciel informatique
3- Gestion des contrats et maintenances de logiciels
4- Documentation de l'ensemble des logiciels
5- Gestion des versions
Portefeuille des Projets des Technologies de l'Information
1- Portefeuille de l'ensemble des initiatives informatique
2- Planification, Exécution et Suivi
3- Réalisation des Objectifs attendus
Personnes Ressources, Compétences, et Organisation
1- Gestion des compétences informatiques
2- Compétences disponibles en alignement avec les besoins
3- Prestation et Externalisation des services
Coûts informatiques
1- Évaluation et Évolution des coûts informatiques
2- Benchmarking
3- Structure des coûts informatiques
16 nov. 2011
Je parle ITIL.
Information Technology Infrastructure Library
ITIL est l'approche la plus largement adoptée pour la gestion des services IT dans le monde. Il fournit une approche pratique, de l'identification, la planification, la prestation et le soutien des services informatiques pour l'entreprise.
ITIL préconise que les services informatiques doivent être alignés sur les besoins de l'entreprise et sous-tendent les processus métier. Il fournit des conseils aux organisations sur la façon de l'utiliser comme un outil pour faciliter le changement d'entreprise, la transformation et la croissance.
Les meilleures pratiques ITIL sont actuellement détaillées dans les principales publications qui fournissent une approche systématique et professionnelle de la gestion des services IT, permettant aux organisations d'offrir des services appropriés et sans cesse s'assurer qu'ils répondent aux objectifs commerciaux et en offrant des avantages.
Les cinq principaux livres sont les suivants conformément a la version ITIL V3:
1- Service Strategy
2- Service Design
3- Service Transition
4- Service Operation
5- Continual Service Improvement
Un nouvelle version de ITIL en cours de réalisation comble les gaps de la V3 du fait de l’apparition de nouvelle thématiques telles que les notions d'externalisation, le cloud computing, la virtualisation, et le e-services, .. il s'agit de ITIL 2011 édition avec 03 processus en plus :
1- Service Strategy
2- Strategy Management of IT Services
3- Business Relationship Management
4- Service Design
5- Design Coordination
6- Service Transition
7- Service Operation
8- Continual Service Improvement
ITIL est l'approche la plus largement adoptée pour la gestion des services IT dans le monde. Il fournit une approche pratique, de l'identification, la planification, la prestation et le soutien des services informatiques pour l'entreprise.
ITIL préconise que les services informatiques doivent être alignés sur les besoins de l'entreprise et sous-tendent les processus métier. Il fournit des conseils aux organisations sur la façon de l'utiliser comme un outil pour faciliter le changement d'entreprise, la transformation et la croissance.
Les meilleures pratiques ITIL sont actuellement détaillées dans les principales publications qui fournissent une approche systématique et professionnelle de la gestion des services IT, permettant aux organisations d'offrir des services appropriés et sans cesse s'assurer qu'ils répondent aux objectifs commerciaux et en offrant des avantages.
Les cinq principaux livres sont les suivants conformément a la version ITIL V3:
1- Service Strategy
2- Service Design
3- Service Transition
4- Service Operation
5- Continual Service Improvement
Un nouvelle version de ITIL en cours de réalisation comble les gaps de la V3 du fait de l’apparition de nouvelle thématiques telles que les notions d'externalisation, le cloud computing, la virtualisation, et le e-services, .. il s'agit de ITIL 2011 édition avec 03 processus en plus :
1- Service Strategy
2- Strategy Management of IT Services
3- Business Relationship Management
4- Service Design
5- Design Coordination
6- Service Transition
7- Service Operation
8- Continual Service Improvement
Norme ISO 27002 (ex ISO 17799, ex BS 7799-1, ex BS 7799)
La norme ISO 27002 est à la fois un ensemble de mesures techniques et organisationnelles que l'entreprise devrait mettre en place pour gérer de manière sécurisée ses informations.
Politique de sécurité
Necessité de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.
Organisation de la sécurité
La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
la désignation de propriétaires de l'information, qui seront responsables de leur classification,
l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.
La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.
La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).
Classification des informations
Répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.
Sécurité du personnel
Types de mesures :
lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.
Sécurité de l'environnement et des biens physiques
Protection des bâtiments et des équipements :
délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
mise en place de procédures pour la gestion des documents dans les bureaux.
Administration
rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
rédiger et mettre à jour les critères d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)
Contrôle d'accès
Propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
l'existence et la mise en place de procédures concernant le télétravail.
Développement et maintenance
Proposition des mesures incontournables comme des exemples de mise en oeuvre. Sans être exhaustif, on peut retenir :
la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
la mise en place d'une gestion de configuration
Plan de continuité
Nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.
Conformité légale et audit de contrôle
Ce chapitre traite pour l'essentiel de deux points :
la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
la mise en place de procédures pour le déroulement d'audit de contrôle.
Web&Co
Politique de sécurité
Necessité de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.
Organisation de la sécurité
La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
la désignation de propriétaires de l'information, qui seront responsables de leur classification,
l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.
La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.
La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).
Classification des informations
Répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.
Sécurité du personnel
Types de mesures :
lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.
Sécurité de l'environnement et des biens physiques
Protection des bâtiments et des équipements :
délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
mise en place de procédures pour la gestion des documents dans les bureaux.
Administration
rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
rédiger et mettre à jour les critères d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)
Contrôle d'accès
Propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
l'existence et la mise en place de procédures concernant le télétravail.
Développement et maintenance
Proposition des mesures incontournables comme des exemples de mise en oeuvre. Sans être exhaustif, on peut retenir :
la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
la mise en place d'une gestion de configuration
Plan de continuité
Nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.
Conformité légale et audit de contrôle
Ce chapitre traite pour l'essentiel de deux points :
la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
la mise en place de procédures pour le déroulement d'audit de contrôle.
Web&Co
13 nov. 2011
Normes ISO en matière Sécurité de l’Information
Les normes ci dessous qui sous-tendent la gestion de la sécurité de l'information sont déterminant dans la définition de la politique sécurité de l’information d'une trés petite entreprise, d'une organisation, d'une ville, ...
BS7799 : Les exigences pour le management de la sécurité de l’information, Norme britannique crée en 1995.
BS7799-1 : Pratique pour la gestion de la Sécurité de l'Information
BS7799-2 : Management des Systèmes de Sécurité de l'Information
ISO 177999 : Prise en compte additionnel de la politique de sécurité, l’organisation de la sécurité, la sécurité du personnel, le contrôle d’accès, le développement, la maintenance etc
ISO/IEC 27001 : Système de management de la sécurité de l'information (SMSI) (en vigueur)
ISO/IEC 27002 : Renumérotation de l’ISO 17799 (2007)
ISO/IEC 27003 : Implémentation (en développement)
ISO/IEC 27004 : Métriques et mesures (en développement)
ISO/IEC 27005 : Management du risque (ISO 13335-2)
ISO/IEC 27799 : ISO 17799 pour la santé (en développement)
BS7799 : Les exigences pour le management de la sécurité de l’information, Norme britannique crée en 1995.
BS7799-1 : Pratique pour la gestion de la Sécurité de l'Information
BS7799-2 : Management des Systèmes de Sécurité de l'Information
ISO 177999 : Prise en compte additionnel de la politique de sécurité, l’organisation de la sécurité, la sécurité du personnel, le contrôle d’accès, le développement, la maintenance etc
ISO/IEC 27001 : Système de management de la sécurité de l'information (SMSI) (en vigueur)
ISO/IEC 27002 : Renumérotation de l’ISO 17799 (2007)
ISO/IEC 27003 : Implémentation (en développement)
ISO/IEC 27004 : Métriques et mesures (en développement)
ISO/IEC 27005 : Management du risque (ISO 13335-2)
ISO/IEC 27799 : ISO 17799 pour la santé (en développement)
12 nov. 2011
Créer des logiciels adaptés à l’Afrique
« Les entrepreneurs africains dans les TIC doivent persévérer et trouver des solutions qui fonctionnent en Afrique. C’est ainsi qu’ils seront des experts internationaux sur ces solutions. On ne peut pas juste prendre le système d’un autre continent et le plaquer en Afrique, ça ne marchera jamais. Ce sera trop coûteux et, dans beaucoup de cas, ce sera un échec. Il y a une grande opportunité à créer des logiciels adaptés à l’Afrique, et la technologie qui va avec. C’est un domaine de spécialisation qui a de la valeur. »
Point de vue de H.K.Chinery-Hesse, le seul Africain ayant remporté le « Distinguished Alumnus Award » de l’Université d’Etat du Texas.
Point de vue de H.K.Chinery-Hesse, le seul Africain ayant remporté le « Distinguished Alumnus Award » de l’Université d’Etat du Texas.
Inscription à :
Articles (Atom)
