Publicité en cours de chargement...
ITIL v3 et le catalogue des services en sécurité SI – partie 3
Au sujet de ces plages d’arrêt justement, nous avons vu que certaines se font plutôt la nuit. Un lecteur me faisait remarquer récemment que pas mal de fournisseurs refusent d’intervenir la nuit, ce qui est en partie vrai. D’une part, c’est le genre de contrainte que l’on met dans un cahier des charges avant la conclusion du marché, et d’autre part en cas d’impossibilité il n’y a pas de miracle : il s’agit simplement d’une contrainte avec laquelle MOA et DSI vont devoir composer.
Autres informations nécessaires dans ce tableau de service : les fameux RTO (Return Time Objective, ou temps contractuel de délai de remise en service) et RPO (ou Return Point Objective, ou fraicheur des données suite une opération de restauration de base). Le cas du RPO est le plus simple : pour ce qui concerne les bases de données métier, elles sont maintenant journalisées ce qui assure un RPO quasi nul (à la transaction non-validée près). Encore faut-il tester régulièrement les restaurations, ce qui est une autre histoire et nécessite plusieurs articles dédiés (le cas de la sauvegarde des journaux de transaction est un vrai délice d’auditeur externe…).
Le cas du RTO est piégeur : s’il fallait restaurer une petite base de données, à compter du lancement technique de l’opération cela peut nécessiter un temps court, moins de 2h dans la plupart des cas. Mais s’il fallait restaurer toute la base patients (et surtout ses satellites, serveurs de comptes rendus, base IPP, base des actes, le tout sans erreur de synchronisation), très honnêtement cette opération est tellement complexe que je ne l’ai jamais vue réalisée de bout en bout. Cela étant il faut contractualiser sur ce RTO, et une durée de 4h à 2j (dans le pire des cas) est ce que l’on observe sur le terrain.
Enfin, parce que l’on est dans de la Qualité, il manque deux éléments pour parfaire le dispositif. D’abord, ce tableau doit être régulièrement réévalué : nouvelles lignes, modifications d’informations existantes, etc. Le point d’entrée est idéalement le RSSI, en lien avec un correspondant côté MOA et un côté DSI. Enfin, tout incident SI doit faire l’objet d’une analyse post-mortem avec analyse des causes, la mise à jour dudit tableau pouvant être nécessaire.
J’allais oublier : ce fameux tableau a vocation à être publié très largement : l’Intranet, une copie en local sur les PC diffusée par SCCM ou tout autre dispositif fera l’affaire pourvu que personne ne puisse dire qu’il n’y a pas accès, de l’agent de catégorie C au DG.
Cédric Cartau
[email protected]
[1]/article/1809/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-1.html
[2] /article/1815/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-2.html
Avez-vous apprécié ce contenu ?
A lire également.
Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?
20 oct. 2025 - 14:04,
Communiqué
- Computer EngineeringPas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne
17 oct. 2025 - 10:18,
Actualité
- Rédaction, DSIHL’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients
13 oct. 2025 - 19:56,
Communiqué
- CHU de ReimsLe Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe
13 oct. 2025 - 11:17,
Tribune
-L’accès aux dossiers patients informatisés (« DPI ») dans le respect du secret médical est une question épineuse à laquelle sont confrontés, au quotidien, les professionnels de santé. Dans une récente affaire, le Conseil d’Etat s’est prononcé sur le cas de l’accès aux DPI d’un service médical hospit...
