Publicité en cours de chargement...
ITIL v3 et le catalogue des services en sécurité SI – partie 1
Intéressons-nous plus particulièrement au volet « disponibilité » de l'offre de service SI. Ce n'est bien entendu pas le seul aspect (il y a tout le DICP), mais la partie disponibilité est la plus simple à formaliser sous l'aspect d'un catalogue de service (SLA).
La première étape est de définir la liste des composants du SI qui sont officiellement identifiés comme critiques : ce qui est inclus dans la liste bénéficie d'un traitement particulier, ce qui n'y est pas est en mode best effort en termes de délais de remise en service. Cela sert notamment à officialiser ce qui est d'astreinte ou pas : les informaticiens d'astreinte disposent d'un document sur lequel se baser (qui n'a pas été écrit par eux, du reste) et qui les autorise à refuser de traiter un appel concernant un composant absent de la liste.
La deuxième étape est de positionner un niveau de criticité pour chacun des éléments de la liste. Dans l'idéal, on définit trois niveaux de criticité standard (par exemple GOLD, SILVER et BRONZE) comportant chacun un engagement en termes de délai de remise en service. Par exemple 4h pour les composants en GOLD, 12h pour le SILVER et 48h pour le BRONZE. Il est possible d'affiner le modèle en distinguant les délais de remise en service pour les arrêts en heures ouvrables ou non ouvrables, de définir un quatrième niveau de service, etc.
La troisième étape est de positionner des responsables identifiés, à la fois côté DSI et côté MOA, pour chacun des composants listés. Quand l'un des éléments tombe en panne, qui prévenir en effet côté MOA ? Qui prend en charge côté DSI, à la fois sur le plan technique (système) et fonctionnel (AMOA) ?
La quatrième étape est de définir, pour chaque élément de la liste, au moins deux périodes temporelles pour les arrêts programmés de maintenance : une période pour les arrêts courts (moins de 30mn) qui doit obligatoirement se positionner en heures et jours ouvrables, une période pour les arrêts longs (plus de 30mn), qui doit se positionner hors heures ouvrables. On pourra également renseigner des conditions de déclenchement (par exemple avertir la MOA 1 semaine à l'avance avec un rappel à J-1). Cette formalisation permet de ne pas se reposer indéfiniment la question des arrêts, et de renégocier à chaque fois.
Avec cela, on est parés : bien entendu, à chaque nouvel ajout de composant, à chaque incident il convient de se poser la question de savoir si les éléments renseignés sont juste ou s'il faut les remettre à jour.
Avez-vous apprécié ce contenu ?
A lire également.
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
BRISS : Transformer la crise hospitalière en levier de résilience
18 nov. 2025 - 09:35,
Actualité
- Rédaction, DSIHLa plateforme BRISS, portée par l'ARS et la FHF Bourgogne-Franche-Comté, révolutionne la formation des établissements de santé en France en proposant des séries immersives inspirées de crises réelles comme la cyberattaque du CH de Pontarlier en octobre 2025.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
Santé et cybersécurité : à la Journée SSI Santé, Judith Nicogossian rappelle que la résilience commence par l’humain
17 nov. 2025 - 15:08,
Actualité
- Rédaction, DSIHC’est lors de la conférence de clôture de la Journée SSI Santé organisée par l’APSSIS, le 13 novembre 2025, que Judith Nicogossian, anthropobiologiste et spécialiste des interactions humain-technologie, a livré un message sans détour : dans les établissements de santé, la cybersécurité ne peut plus ...
