Publicité en cours de chargement...

Publicité en cours de chargement...

ITIL v3 et le catalogue des services en sécurité SI – partie 1

18 jan. 2016 - 10:28,
Tribune - Cédric Cartau
La norme ITIL, dans sa version 3, réserve une place spécifique à la sécurité du SI. On retrouve le découpage classique en roue de Déming (PDCA) et les items habituels de planification, implémentation, audit, etc.

Intéressons-nous plus particulièrement au volet « disponibilité » de l'offre de service SI. Ce n'est bien entendu pas le seul aspect (il y a tout le DICP), mais la partie disponibilité est la plus simple à formaliser sous l'aspect d'un catalogue de service (SLA).

La première étape est de définir la liste des composants du SI qui sont officiellement identifiés comme critiques : ce qui est inclus dans la liste bénéficie d'un traitement particulier, ce qui n'y est pas est en mode best effort en termes de délais de remise en service. Cela sert notamment à officialiser ce qui est d'astreinte ou pas : les informaticiens d'astreinte disposent d'un document sur lequel se baser (qui n'a pas été écrit par eux, du reste) et qui les autorise à refuser de traiter un appel concernant un composant absent de la liste. 

La deuxième étape est de positionner un niveau de criticité pour chacun des éléments de la liste. Dans l'idéal, on définit trois niveaux de criticité standard (par exemple GOLD, SILVER et BRONZE) comportant chacun un engagement en termes de délai de remise en service. Par exemple 4h pour les composants en GOLD, 12h pour le SILVER et 48h pour le BRONZE. Il est possible d'affiner le modèle en distinguant les délais de remise en service pour les arrêts en heures ouvrables ou non ouvrables, de définir un quatrième niveau de service, etc.

La troisième étape est de positionner des responsables identifiés, à la fois côté DSI et côté MOA, pour chacun des composants listés. Quand l'un des éléments tombe en panne, qui prévenir en effet côté MOA ? Qui prend en charge côté DSI, à la fois sur le plan technique (système) et fonctionnel (AMOA) ?

La quatrième étape est de définir, pour chaque élément de la liste, au moins deux périodes temporelles pour les arrêts programmés de maintenance : une période pour les arrêts courts (moins de 30mn) qui doit obligatoirement se positionner en heures et jours ouvrables, une période pour les arrêts longs (plus de 30mn), qui doit se positionner hors heures ouvrables. On pourra également renseigner des conditions de déclenchement (par exemple avertir la MOA 1 semaine à l'avance avec un rappel à J-1). Cette formalisation permet de ne pas se reposer indéfiniment la question des arrêts, et de renégocier à chaque fois.

Avec cela, on est parés : bien entendu, à chaque nouvel ajout de composant, à chaque incident il convient de se poser la question de savoir si les éléments renseignés sont juste ou s'il faut les remettre à jour.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Illustration Interopérabilité en santé : FHIR on fire

Interopérabilité en santé : FHIR on fire

23 juin 2025 - 21:47,

Actualité

- DSIH, Guilhem De Clerck

HLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Illustration « Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

23 juin 2025 - 21:23,

Actualité

- DSIH, Mehdi Lebranchu

Le 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.