Publicité en cours de chargement...

Publicité en cours de chargement...

ITIL v3 et le catalogue des services en sécurité SI – partie 3

01 fév. 2016 - 12:44,
Tribune - Cédric Cartau
Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    

Au sujet de ces plages d’arrêt justement, nous avons vu que certaines se font plutôt la nuit. Un lecteur me faisait remarquer récemment que pas mal de fournisseurs refusent d’intervenir la nuit, ce qui est en partie vrai. D’une part, c’est le genre de contrainte que l’on met dans un cahier des charges avant la conclusion du marché, et d’autre part en cas d’impossibilité il n’y a pas de miracle : il s’agit simplement d’une contrainte avec laquelle MOA et DSI vont devoir composer.

Autres informations nécessaires dans ce tableau de service : les fameux RTO (Return Time Objective, ou temps contractuel de délai de remise en service) et RPO (ou Return Point Objective, ou fraicheur des données suite une opération de restauration de base). Le cas du RPO est le plus simple : pour ce qui concerne les bases de données métier, elles sont maintenant journalisées ce qui assure un RPO quasi nul (à la transaction non-validée près). Encore faut-il tester régulièrement les restaurations, ce qui est une autre histoire et nécessite plusieurs articles dédiés (le cas de la sauvegarde des journaux de transaction est un vrai délice d’auditeur externe…).

Le cas du RTO est piégeur : s’il fallait restaurer une petite base de données, à compter du lancement technique de l’opération cela peut nécessiter un temps court, moins de 2h dans la plupart des cas. Mais s’il fallait restaurer toute la base patients (et surtout ses satellites, serveurs de comptes rendus, base IPP, base des actes, le tout sans erreur de synchronisation), très honnêtement cette opération est tellement complexe que je ne l’ai jamais vue réalisée de bout en bout. Cela étant il faut contractualiser sur ce RTO, et une durée de 4h à 2j (dans le pire des cas) est ce que l’on observe sur le terrain.

Enfin, parce que l’on est dans de la Qualité, il manque deux éléments pour parfaire le dispositif. D’abord, ce tableau doit être régulièrement réévalué : nouvelles lignes, modifications d’informations existantes, etc. Le point d’entrée est idéalement le RSSI, en lien avec un correspondant côté MOA et un côté DSI. Enfin, tout incident SI doit faire l’objet d’une analyse post-mortem avec analyse des causes, la mise à jour dudit tableau pouvant être nécessaire.

 J’allais oublier : ce fameux tableau a vocation à être publié très largement : l’Intranet, une copie en local sur les PC diffusée par SCCM ou tout autre dispositif fera l’affaire pourvu que personne ne puisse dire qu’il n’y a pas accès, de l’agent de catégorie C au DG.

Cédric Cartau
[email protected]

 

[1]/article/1809/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-1.html 

[2] /article/1815/itil-v3-et-le-catalogue-des-services-en-securite-si-partie-2.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.