Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

ITIL v3 et le catalogue des services en sécurité SI – partie 3

01 fév. 2016 - 12:44,
Tribune - Cédric Cartau
Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    

Au sujet de ces plages d’arrêt justement, nous avons vu que certaines se font plutôt la nuit. Un lecteur me faisait remarquer récemment que pas mal de fournisseurs refusent d’intervenir la nuit, ce qui est en partie vrai. D’une part, c’est le genre de contrainte que l’on met dans un cahier des charges avant la conclusion du marché, et d’autre part en cas d’impossibilité il n’y a pas de miracle : il s’agit simplement d’une contrainte avec laquelle MOA et DSI vont devoir composer.

Autres informations nécessaires dans ce tableau de service : les fameux RTO (Return Time Objective, ou temps contractuel de délai de remise en service) et RPO (ou Return Point Objective, ou fraicheur des données suite une opération de restauration de base). Le cas du RPO est le plus simple : pour ce qui concerne les bases de données métier, elles sont maintenant journalisées ce qui assure un RPO quasi nul (à la transaction non-validée près). Encore faut-il tester régulièrement les restaurations, ce qui est une autre histoire et nécessite plusieurs articles dédiés (le cas de la sauvegarde des journaux de transaction est un vrai délice d’auditeur externe…).

Le cas du RTO est piégeur : s’il fallait restaurer une petite base de données, à compter du lancement technique de l’opération cela peut nécessiter un temps court, moins de 2h dans la plupart des cas. Mais s’il fallait restaurer toute la base patients (et surtout ses satellites, serveurs de comptes rendus, base IPP, base des actes, le tout sans erreur de synchronisation), très honnêtement cette opération est tellement complexe que je ne l’ai jamais vue réalisée de bout en bout. Cela étant il faut contractualiser sur ce RTO, et une durée de 4h à 2j (dans le pire des cas) est ce que l’on observe sur le terrain.

Enfin, parce que l’on est dans de la Qualité, il manque deux éléments pour parfaire le dispositif. D’abord, ce tableau doit être régulièrement réévalué : nouvelles lignes, modifications d’informations existantes, etc. Le point d’entrée est idéalement le RSSI, en lien avec un correspondant côté MOA et un côté DSI. Enfin, tout incident SI doit faire l’objet d’une analyse post-mortem avec analyse des causes, la mise à jour dudit tableau pouvant être nécessaire.

 J’allais oublier : ce fameux tableau a vocation à être publié très largement : l’Intranet, une copie en local sur les PC diffusée par SCCM ou tout autre dispositif fera l’affaire pourvu que personne ne puisse dire qu’il n’y a pas accès, de l’agent de catégorie C au DG.

Cédric Cartau
[email protected]

 

[1]/article/1809/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-1.html 

[2] /article/1815/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-2.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.