Manager la continuité aspects business et impératifs informatiques. pdf

MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence

La délégation régionale PACA de L’ISACA AFAI vous propose une conférence sur le thème:

Manager la continuité :

aspects business et impératifs informatiques

Mme Isabelle SALESSE LAVERGNE, DSIO de l’Hôpital Saint-

Joseph, va nous faire part de son expérience et de sa vision

prospective.

Cette conférence sera animée par M. Frédéric VILANOVA,

CISA, fondateur d’Effective Yellow et par M. Jean-Yves OBERLE,

Délégué régional – Isaca Afai

Merci à tous pour votre participation et vos interventions en

séance: le partage d’expérience est notre force !

Mercredi 11 mars 2015 18h30 - ESDAC – Aix-en-Provence


SOMMAIRE

1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph à

Marseille - Mme Isabelle Salesse Lavergne

2. Continuité Informatique – COBIT, un référentiel proposé par

l’ISACA pour agir et donner du sens – M. Frederic Vilanova

3. Continuité: Aspects Business et Gouvernance – M. Jean-Yves

Oberlé

Echanges, Conclusion


1.1 Le Système d’Information de l’Hôpital

Saint Joseph et les enjeux associés

1.2 La Continuité de Service :

. Contexte

. Dispositifs en place

. Limites et difficultés

1.3 Perspectives et Facteurs Clés de Succès

1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph


- 1er établissement privé à but non lucratif- 3ème établissement de santé en PACA- 2nd employeur privé de Marseille- 2.350 salariés (1.862 etp)

- 312 médecins libéraux et 96 médecins salariés

- 805 lits et places MCO- 30 places HAD- 56 lits SSR

- 30 services- 37 salles de bloc- 40 lits de soins critiques (Réanimation & Soins Intensifs)

- 224.000 journées et séances par an- 60.000 entrées par an- 1.065 consultations par jour- 88 interventions sous anesthésie par jour

(> 32.000 par an)

- 150 passage par jour aux urgences (> 55.000 par an)

- 12 naissances par jour (> 4.300 par an)

- Budget annuel de 220 M€

1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph1.1 Les enjeux associés

L’Hôpital St Joseph à Marseille


- 224 logiciels

- 1.400 comptes de messagerie

- 210 serveurs virtuels

- 79 serveurs physiques

- 38 serveurs CITRIX

- 4 baies SAN de stockage

- 265 TO de données stockées, dont 150 TO d’imagerie

- 1136 PC et panels PC

- 400 clients légers

- 209 postes mobiles (tablettes, ultraportables, portables, pocket PC)

- 589 imprimantes

- 191 scanners

- 800 TV sous IP

- 2 cœurs de réseaux 10 Gb

- 3.200 points réseaux

- 90 points réseau Biomédial

- 96 postes biomédicaux connectés

- 22 VLAN

- 135 bornes WiFi

- 320 accès distants, 6 VPN prestataires

- 33 locaux techniques

- 2 salles machines


Le Système d’Information Hospitalier en 2014


- 2.541 appels hot-line par mois, 90% résolution N1

- 1.458 demandes via la gestion des demandes (Intranet)

- 136 sessions de formation par an (médecins et secrétaires médicales)

- 0,5 IDE pour former le personnel soignant

- Budget 2014 : 4.678 K€ (2,06% budget de l’hôpital)

- 17 personnes


Le Système d’Information Hospitalier en 2014




1.2 La Continuité de Service :. Contexte




1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph1.2 La Continuité de Service


ENJEUX METIERS

- Une informatisation totale de la prise en charge du patient et des plateaux techniques

- Une ouverture de plus en plus grande vers

l’extérieur pour la continuité des soins

- Des utilisateurs de plus en plus nombreux et « disparates »

- Des exigences de plus en plus fortes en matière de haute disponibilité (Cf. Connexion des Plateaux Techniques et dispositifs médicaux, Continuité des soins, Sécurité du patient)


CONTRAINTES OPERATIONNELLES

- Arrêt total de la Production : 5 personnes pendant 6H (290 éléments physiques à arrêter)

« PRESSION » DES AUTORITES DE TUTELLE

- La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S)

- Le Programme Hôpital Numérique

- La Certification des Etablissements de Santé

Contexte


− Mécanismes de haute disponibilité sur les ressources critiques : Salles machines

Infrastructure de sauvegarde

Infrastructure de stockage

Virtualisation

Réseau

Applications et bases de données critiques

- Maintien en Conditions Opérationnelles Désignation d’un RSSI

Organisation 24H/24 – 7J/7

Supervision

Administration

Gestion des changements

Sécurisation physique, électrique et thermique

grâce à la collaboration des services Techniques

- Procédures dégradées

- Sensibilisation / Formation des utilisateurs

- Plan de Reprise d’Activité

Mais, AVANT TOUT,

une très grande disponibilité des équipes


Dispositifs mis en place


UN BILAN GLOBALEMENT POSITIF ….

√ Des risques globalement maîtrisés√ 99,98 % taux de disponibilité, soit 77H d’indisponibilité en 2013

(< 20 mn / jour)√ Le dernier sinistre majeur remonte à novembre 2011 :

Perte d’une baie SAN

Arrêt total du SIH de 6H à 14H

Aucune sauvegarde possible pendant plus de 48H

MAIS DES ZONES DE RISQUES MAJEURES

DONT ON NE PEUT SE SATISFAIRE …..

− Manque de ressources :√ Documentation insuffisante√ Pas d’exercice de mise en situation√ Disponibilité des ressources critiques en cas de sinistre majeur√ Ressources insuffisante pour réaliser les tâches d’administration

et de MCO nécessaires

- Des difficultés à mobiliser Direction et utilisateurs en l’absence de

sinistre majeur


Limites et difficultés




1.2 La Continuité de Service :

. Contexte




1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph1.3 Perspectives & Facteurs Clés de succès


- Du Plan de Reprise d’Activité au Plan de Continuité d’Activité :

Construction d’un nouveau Data Center hors du 1er

périmètre de l’hôpital

Renforcement des mécanismes de haute disponibilité

− S’appuyer sur les recommandations des Tutelles pour renforcer

la sensibilisation de la Direction Générale

− Renforcer le Maintien en Conditions Opérationnelles

Perspectives



AU NIVEAU DE L’ORGANISATION :

- Considérer la sécurité comme un projet d’entreprise,

dont la Direction Générale porte la vision globale

- Viser des objectifs réalistes, qui répondent aux besoins

de l’organisme ; ne pas viser le risque zéro

- Sensibiliser et faire adhérer les utilisateurs

AU NIVEAU DE LA DSI :

- Ne pas sous estimer le travail de documentation

- Promouvoir le travail d’équipe, la coopération, l’esprit de

service

- Disposer d’une très bonne connaissance des métiers et

des enjeux associés

- Toujours dialoguer avec les utilisateurs pour éviter que

ceux-ci ne contournent la DSI

- Ne pas oublier que l’on n’est jamais plus fort

que le maillon le plus faible

Facteurs Clés de succès



1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph

A présent ou en fin de présentation…

Jean-Yves OBERLE

[email protected]

Frederic VILANOVA

[email protected]

Isabelle SALESSE LAVERGNE

[email protected]


2.1 Eléments de structure Cobit5 . Principes

. Facilitateurs « Principes, Politiques et Référentiels »

. Facilitateurs « Processus »

. Périmètre Cobit5

. RACI

2.2 LSS04 « Gérer la Continuité »

. Contribution de LSS04 aux objectifs liés aux TI

. LSS04 vue générale

. LSS04-03 exemple de sous-processus

. Progresser dans COBIT par niveaux de maturité

. Implémenter LSS04

2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens


2. Continuité Informatique - un référentiel pour agir :2.1 Eléments de structure

Périmètre et notions clés

• Version 1 en 1996 actuellement en V5

USA Canada France (selon le contexte)

Business Affaires Entreprise, Métier, Affaire, Activité

Business Case Dossierd’affaires

Analyse de cas, Etude d’opportunité

Business Plan Plan d’affaires Contrat d’objectifs,Cible

Enabler Facilitateur Levier

IT TI SI, Système d’Information, Informatique

Management Gestion Management, Gestion

Lag Indicators, Achievement of Goals Metrics

Indicateur de résultat

Indicateur de résultat, pour la réalisation des objectifs

Lead Indicators, Application of Practice Metrics

Indicateurs de fonctionnement

Indicateurs de fonctionnement, pour l’application des pratiques

• Partager un vocabulaire commun

2. Couvrir l’entreprise de bout en bout

• 5 principes fondamentaux:

1. Répondre aux besoins des parties

prenantes

• Pas seulement les processus informatiques

• Toutes les fonctions et tous les processus de l’entreprise

• L’information et les technologies qui s’y rapportent sont traitées comme des actifs de l’entreprise

La version 5 a regroupé des référentielsauparavant épars (Risk IT, VAL IT, BMSI,Cobit4…) en se conformant auxréférentiels spécifiques majeurs tels queISO/IEC 27001, ISF Standard for GoodPractice for Information Security et USNational Institute of Standards andTechnology (NIST) SP800-53A

Cobit5 retient une approche holistique intégrant 7types de facilitateurs (enablers, leviers):

1. Principes, politiques et référentiels (pourtraduire le comportement désiré enorientations pratiques)

2. Processus (pratiques et activités pourproduire des résultats et ainsi réaliser desobjectifs globaux)

3. Structures organisationnelles (entités pourdécider et agir)

4. Culture, Ethique et Comportements (desindividus)

5. Information (produite et utilisée pourpermettre à l’organisation de fonctionner)

6. Services, Infrastructures et Applications(traitements et services technologiques)

7. Personnes, Aptitudes et Compétences(individus)

Les trois derniers sont des ressources au sensCobit5.

Distinguer la Gouvernance IT et leManagement IT (= la Gestion des SI)

En effet le management s’attache à :- Planifier- Construire- Gérer- Piloterdes activités en fonction….

…des directives établies en par lesorganes de gouvernance pour atteindreles objectifs de l’entreprise (GEITGovernance of Enterprise IT)

Nous reviendrons en 3ème partie sur lesujet de gouvernance…

1. Valeur pour les parties prenantes2. Portefeuille de produits et services concurrentiels3. Gestion du risque d’affaires (protection des actifs)4. Conformité aux lois et à la règlementation5. Transparence financière

6. Culture de service orientée client7. Continuité et disponibilité des services d’affaires8. Réponses agiles dans un contexte d’affaires en évolution

9. Prise de décisions stratégiques basées sur l’information10. Optimisation des coûts de livraison des services

11. Optimisation de la fonctionnalité des processus d’affaires

12. Optimisation des coûts des processus d’affaires13. Programmes de gestion du changement14. Productivité opérationnelle et productivité du personnel

15. Conformité aux politiques internes

16. Personnes qualifiées et motivées17. Culture d’innovation des produits et des affaires

Apprentissage et Croissance

Interne

Client

Financier

1. Alignement des TI et de la stratégie d’affaires

2. Conformité des TI et soutien à la conformité de l’entreprise aux lois et à la réglementation3. Engagement de la haute direction dans la prise de décisions liées aux TI

4. Gestion du risque d’affaires lié aux TI5. Bénéfices réalisés sur les investissements en TI et sur le portefeuille de services6. Transparence des coûts, des bénéfices et des risques des TI

7. Livraison de services des TI conforme aux exigences opérationnelles8. Utilisation adéquate des applications, de l’information et de solutions technologiques9. Agilité des TI10. Sécurité de l’information, des infrastructures de traitement et des applications11. Optimisation des actifs, des ressources et des capacités des TI

12. Mise en œuvre et soutien des processus d’affaires par leur intégration dans les applications et les technologies

13. Livraison de programmes procurant des avantages, en temps opportun, en respectant budget, exigences et normes de qualité

14. Disponibilité d’informations fiables et utiles pour la prise de décision15. Conformité des TI aux politiques internes

16. Personnel des TI et des lignes d’affaires compétent et motivé17. Connaissances, compétences et initiatives pour l’innovation d’affaires

Apprentissage et Croissance

Interne

Client

Financier

• Partager un vocabulaire commun

2. Couvrir l’entreprise de bout en bout

• 5 principes fondamentaux:

1. Répondre aux besoins des parties

prenantes

Principes

• Version 1 en 1996 actuellement en V5

4. Faciliter une approche globale

5. Distinguer la gouvernance de la

gestion

3. Appliquer un référentiel unique et

intégré

http://www.isaca.org/cobit/pages/default.aspx

http://www.isaca.org/cobit/pages/default.aspx


- COBIT5 propose une démarche pour mettre en place un référentiel adapté à votre situation d’entreprise, par une approche top-down: Principes: supporter les activités de l’entreprise, les défendre, promouvoir des comportements responsable ; Politiques

générales ; Politiques spécifiques ; Procédures ; Eléments requis et documentation


Points clés - Facilitateur « Principes, Politiques et Référentiels »

- Les politiques générales peuvent s’étayer et contribuer aux travaux s’inscrivant dans des cadres plus larges ou différents tels que

- le référentiel international de contrôle interne COSO 2013- le programme de Santé Publique Hôpital Numérique en France

- Les politiques spécifiques sont utiles par exemple pour être en conformité- avec la loi Sarbanes-Oxley aux Etats-Unis (SOX 409 clôturer les comptes en deux

jours; SOX 404 démontrer l’efficacité des contrôles internes)- avec la norme ISO/IEC 27001 en Management de la Sécurité de l’Information- avec la norme PCI DSS pour la gestion des paiements par carte bancaire- avec la règlementation en Banques et Assurances: BASEL2 et BASEL3

(exhaustivité, intégrité); Règlement CRBF 97-02 contrôle interne (article 14, sécurité, continuité, intégrité, confidentialité; articles 37-1 et suivants Maîtrise des prestations essentielles externalisées)

- Les principes de Cobit5 sont compatibles à ceux proposés par la norme ISO/IEC 38500:2008 Gouvernance des technologies de l’information par l’entreprise. ISO38500 observe depuis le toit de la maison, COBIT constitue les murs.

- Eléments requis: ITIL et PRINCE2 (Projects in Controlled Environments 2) sont utiles pour fournir des éléments du « comment? » en compléments des éléments Cobit5.

Enterprise RiskManagement System

Corporate governance of information technology,

InformationSecurityManagementSystem2700127002

Capability Maturity Model and Integration Best Practices Softwre

Developmente, Acquisition, Services

EnterpriseArchitectureTheOpenGroupArchitectureFramework

Project Management and Certification Project IN ControlledEnvironments

ISO/CEI 20000 = a set of requirements which must be met in order to qualify for certification. ITIL V3 has been created to achieve better alignment with the ISO 20000 standard, to provide specific advice on how to design your processes to complement ISO 20000, to strengthen services lifecycles

IT Departement Standard Qualityand Certification

ISO/CEI 22301 Systèmes de managementde la continuité d'activité

ISO International Organization for Standardization (Organisation Internationale de Normalisation (OIN))IEC International Electrotechnical Commission (Commission Electrotechnique Internationale (CEI))

27k list

http://www.pwc.fr/referentiel-coso-2013.html

http://www.sante.gouv.fr/IMG/pdf/hopital_numerique_-_A5_4_pages_-_avril_2013.pdf

http://www.sec.gov/news/press/2003-6.htm

https://www.sec.gov/info/smallbus/404guide/intro.shtml

http://www.iso.org/iso/fr/home/standards/management-standards/iso27001.htm

https://fr.pcisecuritystandards.org/minisite/en/index.php

http://www.infosys.com/industries/financial-services/white-papers/Documents/process-information-system-metamorphosis.pdf

http://acpr.banque-france.fr/fileadmin/user_upload/acp/Controle_prudentiel/reglt97-02-consolide.pdf

Projects in Controlled Environments 2

http://www.iso.org/iso/fr/home/news_index/news_archive/news.htm?refid=Ref1135

http://www.itilfrance.com/

https://www.prince2.com/downloads#download-section-2

http://www.iso27001security.com/html/iso27000.html



Cf. ISO CEI 15504

Achievement of Goals – Lag Indicators Application of Practice – Lead Indicators

Points clés – Facilitateur « Processus »

http://www.boutique.afnor.org/norme/iso-cei-15504-12004/technologies-de-l-information-evaluation-des-procedes-partie-1-concepts-et-vocabulaire/article/660938/xs113522?gclid=CJHQ18TElsQCFY_MtAodsA0AxQ



Périmètre Cobit5

EVALUATE (SEM)

PLAN (APO)

BUILD (BAI)RUN (LSS)

GOVERN (EDS)

EVALUATE (SEM)



RACI

Accountable(In Charge Productor)

Responsible(Supervisor)

ConcernedConsultedcontributor(Other Productors)

Informed


2.1 Eléments de structure Cobit5 . Principes

. Facilitateurs « Principes, Politiques et Référentiels »

. Facilitateurs « Processus »

. Périmètre Cobit5

. RACI

2.2 LSS04 « Gérer la Continuité ». Contribution de LSS04 aux objectifs liés aux TI

. LSS04 vue générale

. LSS04-03 exemple de sous-processus

. Progresser dans COBIT par niveaux de maturité

. Implémenter LSS04

2. Continuité Informatique - un référentiel proposé par l’ISACA pour agir et donner du sens


2. Continuité Informatique - un référentiel pour agir :2.2 LSS04 Gérer la Continuité

Contribution de LSS04 aux Objectifs liés aux TI



Description du processus LSS04

- Etablir et maintenir un plan visant à permettre aux unités d’affaires et aux TI de répondre aux incidents et aux interruptions afin de poursuivre l’exécution des processus d’affaires critiques et des services des TI requis et afin de maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise

Objectif général du processus LSS04

- Poursuivre les opérations critiques de l’entreprise et maintenir la disponibilité de l’information à un niveau acceptable pour l’entreprise en cas d’interruption significative

Le processus LSS04 appuie certains objectifs liés aux TI

- 04 Gestion du risque d’affaires lié aux TI [ex d’indicateur: Nb d’incidents importants liés aux TI qui n’ont pas été signalés dans le cadre de l’évaluation des risques]

- 07 Livraison des services de TI conformes aux exigences d’affaires [ex d’indicateur: Nb d’interruptions des activités d’affaires attribuables à des incidents de service TI]

- 14 Disponibilité d’informations fiables et utiles pour la prise de décision [ex d’indicateur: Nb d’incidents liés aux processus d’affaires causés par la non disponibilité de l’information]

LSS04 Vue générale



Objectifs détaillés Indicateurs connexes (exemples)

1. L’information d’affaire critique est disponible conformément au niveau minimum de service requis

% des services TI qui répondent aux exigences de disponibilité% de restauration réussie en temps opportun à partir des supports de sauvegarde ou d’autres copies

2. Une résilience suffisante est en place pour les services essentiels

Nb de systèmes critiques d’affaires qui ne sont pas couverts par le plan de continuité

3. Des tests de continuité de service ont vérifié l’efficacité du plan de continuité

Nombre d’exercices et de tests qui ont atteint les objectifs de rétablissementFréquence des tests

4. Un plan de continuité à jour reflète les exigences d’affaires actuelles

% de questions identifiées qui ont été ensuite abordées dans le plan de continuité

5. Les intervenants internes et externes ont été formés selon le plan de continuité

% de problèmes dentifiés qui ont été ensuite abordés dans le plan de formation à la continuité




LSS04.01 Définir la politique de continuité des affaires, ses objectifs et sa portée

LSS04.02 Maintenir une stratégie de continuité

LSS04.03 Elaborer et mettre en œuvre une réponse en matière de continuité des affaires

LSS04.04 Faire l’exercice du PCA, le tester et le passer en revue

LSS04.05 Revoir, maintenir et améliorer le plan de continuité

LSS04.06 Dispenser une formation sur le plan de continuité

LSS04.07 Gérer les mesures de sauvegarde

LSS04.08 Procéder à l’examen post-reprise

01. Définir la politique de continuité des affaires et sa portée conformément aux objectifs de l’entreprise et

des parties prenantes

02. Evaluer les options de gestion de la continuité

des opérations et choisir une stratégie de

continuité rentable et viable qui assurera la

reprise de la continuité de l’entreprise en cas de désastre ou d’autres

incidents ou interruptions

03. Elaborer un plan de continuité des affaires

(PCA) basé sur la stratégie qui documente les

procédures et l’information en prévision d’une utilisation lors d’un incident pour permettre à l’entreprise de poursuivre ses activités essentielles

04. Tester les mesures de continuité sur une base régulière afin de valider les plans de reprise par

rapport aux résultats attendus

et pour permettre le développement de

solutions innovantes et pour aider à vérifier que le plan fonctionne

comme prévu

5. Procéder à un examen de la gestion de la

capacité de continuité à intervalle régulier pour

garantir sa pertinence, son adéquation et son

efficacité. Gérer les changements au plan en conformité avec le processus de contrôle des

changements afin de s’assurer que le plan de continuité est à jour et

reflète constamment les exigences d’affaires

réelles.

6. Fournir à toutes les parties internes et

externes concernées des sessions régulières de

formation concernant les procédures, leurs rôles et leurs responsabilités en

cas d’interruption.

7. Maintenir la disponibilité des

informations critiques d’affaires

(sauvegardes internes et externes, accessibilité, chiffrement..)

8. Evaluer la pertinence du PCA suivant la reprise

réussie des processus et des services d’affaires après

une interruption




LSS04-03 Exemple de sous-processus

Intrants

APO09.03 Accord de niveau opérationnel


Activité 1: Définir les actions de réponse aux incidents et les communications à effectuer en cas d’interruption. Définir les rôles et responsabilités connexes, incluant la responsabilité pour la politique et la mise en œuvre.

Activité 2: Développer et maintenir des PCA opérationnels contenant les procédures à suivre pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’exploitation continue des processus critiques de l’entreprise ou pour permettre l’utilisation d’arrangements temporaires, incluant des liens vers des plans de fournisseurs de services externes.

Activité 3: Veiller à ce que les principaux fournisseurs et partenaires d’impartition aient mis en place des plans de continuité efficaces. Recueillir des preuves vérifiées, au besoin.

Extrants

LSS02.01 Actions et communications pour répondre aux incidents

Interne LSS04: Les plans de continuité des affaires



LSS04-03 (Suite)

Intrants



Activité 4: Définir les conditions et les procédures de recouvrement qui permettraient la reprise des affaires, incluant la mise à jour et la conciliation des bases de données pour préserver l’intégrité de l’information.

Activité 5: Définir et documenter les ressources requises pour appuyer les procédures de continuité et de reprise, en tenant compte des personnes, des installations et des infrastructures des TI.

Activité 6: Définir et documenter les exigences de sauvegarde de l’information nécessaires pour appuyer les plans, incluant les plans et les documents papier ainsi que les fichiers de données, et considérer le besoin pour la sécurité et pour un stockage hors site

Extrants





LSS04-03 (suite)

Intrants



Activité 7: Déterminer les compétences nécessaires pour les personnes impliquées dans l’exécution du plan et des procédures.

Activité 8: Distribuer les plans et les documents de soutien de façon sécuritaire aux parties intéressées dûment autorisées et s’assurer qu’ils sont accessibles dans tous les scénarios de désastre.

Extrants





Progresser dans COBIT par Niveaux de Maturité

Att

rib

ut(

s)

Résultats du processus

Pratiques de base

Produits du travail (Intrants

/ Extrants)

INDICATEURS DE PERFORMANCE INDICATEURS DE CAPACITE

Pratiques génériques

Ressources génériques

Résultats génériques de

l’activité

0. Processus incomplet

Aucun

Fonction non atteinte ou pas vérifiable

1. Processus exécuté

AP 1.1 Performance du Processus

Fonction réaliséeProcessus répétable mais intuitif ou ponctuel

2. Processus géré

AP 2.1 Gestion de la performance

AP 2.2 Gestion des résultats de l’activité

Processus planifié, surveillé et ajusté (buts, objectifs, responsable de processus, RACI)Résultats établis, contrôlés, maintenus

3. Processus établi

AP 3.1 Définition du processus

AP 3.2 Déploiement du processus

Mis en œuvre selon une procédure définie permettant d’atteindre les résultats souhaités

4. Processus prévisible

AP 4.1 Gestion du processus

AP 2.2 Contrôle du processus

Fonctionnement selon des limites qui assurent l’atteinte des résultats souhaités

5. Processus en

optimisation

AP 5.1 Innovation du processus

AP 5.2 Optimisation du processus

Amélioré continuellement pour atteindre des objectifs d’affaires pertinents actuels et projetés

Contrôle

Inv

est

isse

me

nt

faib

le

Inv

est

isse

me

nt

fort

Modèles de Maturité : Cobit5 = compatible ISO/IEC 15504 - Processus Génie Logiciel = SPICE Software Process Improvement and Capability dEtermination (différent de CMMICapability Maturity Model Integration)

http://www.boutique.afnor.org/norme/iso-cei-15504-12004/technologies-de-l-information-evaluation-des-procedes-partie-1-concepts-et-vocabulaire/article/660938/xs113522?gclid=CJHQ18TElsQCFY_MtAodsA0AxQ

http://www.er.uqam.ca/nobel/r20014/ReferentielTI/spice.pdf

http://cmmiinstitute.com/about-cmmi-institute


1. Quels sont les inducteurs (drivers) qui donne au management le désir de changer ?

• Reconnaitre les points qui font mal et les évènements déclencheurs

• Internes, externes, techniques, psychologiques, recommandations d’audit…

• Causes sources (ex: « les métiers ne participent pas ») et facteurs clés de succès à

développer (ex: « intégrer des représentants des métiers dans l’évaluation de la

situation actuelle »; « sensibiliser aux risques de non partciipation »)

2. Où en sommes-nous aujourd’hui?

• Qualité du support des métiers à la continuité IT

• Un coût d’amélioration ressenti comme supérieur aux bénéfices perçus

• Niveau de confiance limité entre l’IT et les métiers pour assurer un service continu

3. Où souhaiterions-nous être?

• Faire comprendre l’environnement de continuité et faire évoluer les comportements

• Savoir utiliser Cobit5 et ainsi faire percevoir simplement la complexité de la continuité

• Diminuer fortement la résistance au changement des informaticiens et des utilisateurs

4. Qu’est-il nécessaire de faire pour y parvenir?

• Implication dans l’implémentation, pas-à-pas concrètement…

5. Comment parvenir à cette situation cible?

• Démarrer simplement, se former et se faire aider pour piloter (MOA Cobit5)

6. Sommes-nous effectivement arrivés en situation cible?

• Parvenons-nous à montrer clairement les bénéfices pour le management? Pour la

gouvernance?

7. Comment conservons-nous la dynamique actuelle sur ce sujet?

• Ne pas perdre la motivation, dynamiser la montée en qualité du niveau de contrôle

interne, valoriser les acteurs


Implémenter LSS04


2. Continuité Informatique - un référentiel pour agir :

A présent ou en fin de présentation…

Jean-Yves OBERLE

[email protected]

Frederic VILANOVA

[email protected]


[email protected]


3.1 Aspects Business. AAAA

3.2 Gouvernance

. BBBBBBBBBBB

3. Continuité: Aspects Business et Gouvernance

Continuité: Aspects Business et

Gouvernance – M. Jean-Yves Oberlé


3.1 Aspects Business. AAAA

3.2 Gouvernance. BBBBBBBBBBB


Continuité: Aspects Business et

Gouvernance – M. Jean-Yves Oberlé


Jean-Yves OBERLE

[email protected]

Frederic VILANOVA

[email protected]


[email protected]
