Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

ITIL v3 et le catalogue des services en sécurité SI – partie 3

01 fév. 2016 - 12:44,
Tribune - Cédric Cartau
Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    

Au sujet de ces plages d’arrêt justement, nous avons vu que certaines se font plutôt la nuit. Un lecteur me faisait remarquer récemment que pas mal de fournisseurs refusent d’intervenir la nuit, ce qui est en partie vrai. D’une part, c’est le genre de contrainte que l’on met dans un cahier des charges avant la conclusion du marché, et d’autre part en cas d’impossibilité il n’y a pas de miracle : il s’agit simplement d’une contrainte avec laquelle MOA et DSI vont devoir composer.

Autres informations nécessaires dans ce tableau de service : les fameux RTO (Return Time Objective, ou temps contractuel de délai de remise en service) et RPO (ou Return Point Objective, ou fraicheur des données suite une opération de restauration de base). Le cas du RPO est le plus simple : pour ce qui concerne les bases de données métier, elles sont maintenant journalisées ce qui assure un RPO quasi nul (à la transaction non-validée près). Encore faut-il tester régulièrement les restaurations, ce qui est une autre histoire et nécessite plusieurs articles dédiés (le cas de la sauvegarde des journaux de transaction est un vrai délice d’auditeur externe…).

Le cas du RTO est piégeur : s’il fallait restaurer une petite base de données, à compter du lancement technique de l’opération cela peut nécessiter un temps court, moins de 2h dans la plupart des cas. Mais s’il fallait restaurer toute la base patients (et surtout ses satellites, serveurs de comptes rendus, base IPP, base des actes, le tout sans erreur de synchronisation), très honnêtement cette opération est tellement complexe que je ne l’ai jamais vue réalisée de bout en bout. Cela étant il faut contractualiser sur ce RTO, et une durée de 4h à 2j (dans le pire des cas) est ce que l’on observe sur le terrain.

Enfin, parce que l’on est dans de la Qualité, il manque deux éléments pour parfaire le dispositif. D’abord, ce tableau doit être régulièrement réévalué : nouvelles lignes, modifications d’informations existantes, etc. Le point d’entrée est idéalement le RSSI, en lien avec un correspondant côté MOA et un côté DSI. Enfin, tout incident SI doit faire l’objet d’une analyse post-mortem avec analyse des causes, la mise à jour dudit tableau pouvant être nécessaire.

 J’allais oublier : ce fameux tableau a vocation à être publié très largement : l’Intranet, une copie en local sur les PC diffusée par SCCM ou tout autre dispositif fera l’affaire pourvu que personne ne puisse dire qu’il n’y a pas accès, de l’agent de catégorie C au DG.

Cédric Cartau
[email protected]

 

[1]/article/1809/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-1.html 

[2] /article/1815/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-2.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.