GBP Guide de Bonnes Pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche. Groupe de travail RESINFO

Transcription

1 GBP Guide de Bonnes Pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche Groupe de travail RESINFO O. Brand-Foissac, L. Chardon, M. David, M. Libes, G. Requilé, A. Rivet

2 Plan de la présentation Présentation RESINFO Les objectifs du groupe GBP Le contenu du Guide Focus sur les processus ITIL Les évolutions à venir du GBP Strasbourg 2

3 RESINFO? Fédération de réseau métier d' «Administrateurs Systèmes et Réseau» (ASR) créé en(vers) 2005 Les ASR de plusieurs départements scientifiques sont organisés en réseaux de compétence régionaux, avec des objectifs communs : faciliter la communication entre les membres échanger les compétences, mutualiser les expériences But : Pallier à l'isolement des ASR, mettre en commun les «savoir faire», Améliorer le service rendu aux utilisateurs de l enseignement supérieur et de la recherche Strasbourg 3

4 Resinfo? Animateurs réseau Liste de mail Serveur web Réunions thématiques Formations locales Séminaires... Strasbourg 4

5 RESINFO : les actions Formations régulières «JoSy» : Virtualisation, sauvegardes, outils collaboratifs Des ANGD Qualité en fourniture de services : ITIL/iso Nomadisme (Oct. 2011) Logiciels libres (Déc.2011) Des groupes de travail Ecoinfo Guide des bonnes pratiques pour les ASR Strasbourg 5

6 Le Guide des bonnes pratiques Projet initié début Olivier BRAND-FOISSAC (IR CNRS, UMR8627, Orsay) Laurette CHARDON (IR CNRS, UMR6072, Caen) Marie DAVID (IR CNRS, DR-Alpes, Grenoble) Maurice LIBES (IR CNRS, UMS 2196, Marseille) Gilles REQUILE (IR CNRS, UMR5508, Montpellier) Alain RIVET (IR CNRS, UPR 5301, Grenoble) une première version terminée en Décembre 2009 et présentée au JRES de Nantes une seconde version en préparation Strasbourg 6

7 Le Guide des Bonnes Pratiques pour ASR Constat : Les ASR se sont longtemps inscrits dans un contexte de travail purement technique Constat fait de l'absence de cadre «Démarche Qualité» concernant le métier d'asr sur le terrain... Motivations Élaborer un corpus de bonnes pratiques d'administration et d'organisation de services Contribuer à rendre plus «lisibles» les missions, l'organisation de nos services vis à vis de nos Directions, Tutelles et utilisateurs S'inscrire dans une démarche qualité de la fourniture de service.. Aller vers la mise en place de processus d'amélioration continue du service Strasbourg 7

8 GBP : motivations groupe de travail Le terme "qualité" est utilisé ici en référence aux projets de "Démarche Qualité en Recherche" qui se développent dans nos laboratoires mais qui ne prennent pas en compte jusqu'à présent la spécificité du métier d'asr. Le projet de notre groupe de travail GBP à l'origine peut donc s'inscrire dans un cadre général de "Démarche Qualité" Référence nécessaire aux quelques standards et normes en vigueur utilisés dans le monde industriel (ITIL ou ISO 20000) essentiellement pour se conformer à l'existant, fixer des repères identifiables, avoir un langage commun dans la classification que nous proposons. Strasbourg 8

9 GBP : Objectifs Un guide, pourquoi faire? Répondre aux évolutions du contexte d exercice du métier Le métier demande de fortes capacités d'adaptation et d'organisation Gérer et prioriser les multiples demandes utilisateurs et les évolutions systèmes et réseau Prendre en compte les contraintes réglementaires Assurer la sécurité, suivre les jurispridences, gérer le budget... Documenter les actions, se former Accompagner les ASR dans leur travail de tous les jours Formaliser des comportements qui font consensus Contribuer à rendre plus lisible le travail vis à vis des DU et des tutelles S inscrire dans une démarche qualité Améliorer l organisation des tâches Mise en place des processus et services bien identifiés Démarche de satisfaction des besoins clients Processus d'amélioration continue Strasbourg 9

10 GBP : objectifs groupe de travail Ce Guide de Bonnes Pratiques tente de: Ce Guide peut recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). formaliser un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation. contribuer à rendre plus «lisibles» les missions du métier, améliorer l'organisation et la technicité mises en oeuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles. Strasbourg 10

11 GBP : contenu Les bonnes pratiques d'ordre organisationnelles : on s'inspire du modèle d'organisation découlant du standard ITIL et de la norme ISO pour établir les bonnes pratiques dans la fourniture de services informatiques. Ces référentiels ITIL et ISO20000 : fournissent un modèle pour la gestion des services informatiques et la qualité en fourniture de service, et introduisent un niveau d'organisation alors que seuls les aspects techniques sont traditionnellement pris en compte par les ASR.. Ne pas rester trop théorique : Notre guide fournit des pointeurs vers des fiches «techniques» décrivant des solutions logicielles ou matérielles pour prendre en charge tel ou tel processus Strasbourg 11

12 GBP : contenu Les bonnes pratiques dans la gestion de la sécurité et des contraintes réglementaires : les bonnes pratiques liées à la gestion de la sécurité du SI dans l'unité issues de la norme ISO-27001, et Les bonnes pratiques liées aux aspects juridiques et réglementaires (le triptyque information contrôle - action). Les bonnes pratiques liées au profil personnel et relationnel des ASR : aspects du métier qui requièrent de la méthode et capacités d'organisation personnelle (gestion du temps, agenda, planning...), des qualités de communication, de compréhension et souvent de diplomatie vis a vis de nos utilisateurs. Strasbourg 12

13 GBP : contenu Les bonnes pratiques relatives à la "mise à niveau des compétences" : compétences fortement évolutives dans notre métier et qui nécessitent de s'intéresser à la veille technologique et à la formation continue : comment l'asr peut (et doit) s'adapter et évoluer dans un métier sujet à des avancées technologiques importantes. Strasbourg 13

14 Rappel ITIL - iso20000 Le standard ITIL et la norme iso20000 préconisent des exigences pour organiser un système d'information améliorer l'efficacité du système d'information réduire les risques augmenter la qualité des services informatiques C'est une approche par processus pour améliorer la qualité des services et satisfaire les besoins clients/utilisateurs Bénéfices pour les clients : meilleure traçabilité de l'ensemble des actions du département informatique. Ce suivi permet d'optimiser en permanence les processus des services pour atteindre un meilleur niveau de qualité et de satisfaction des clients. Bénéfices pour le fournisseur : une meilleure organisation autour de taches identifiées Strasbourg 14

15 fourniture de service informatique selon ITIL La «fourniture de services» décrit les services devant être fournis aux utilisateurs pour répondre aux besoins de l'entreprise : la gestion des niveaux de service (catalogues et contrats de services) la gestion de la continuité et de la disponibilité la gestion de la capacité la budgétisation la gestion de la sécurité Le «support de service» décrit comment on s'assure que le "client" a accès aux services informatiques appropriés : Le centre de service : point d'entrée unique (helpdesk) la gestion des incidents et problèmes la gestion des changements la gestion de la mise en production la gestion des configurations Strasbourg 15

16 fourniture de service informatique selon ITIL ITIL v3 met l'accent sur les services : Gestion du portefeuille des services : comprend les services en projet, le catalogue des services (services en cours) et les services retirés. la «Gestion de la demande des clients : elle consiste à comprendre les nécessités du client et leurs évolutions au long du cycle métier en termes de services informatiques. Ce processus est lié aux autres concepts ITIL du cycle de vie des services tels que la conception, le catalogue, le portefeuille, l'exploitation et la gestion financière des services. Strasbourg 16

17 Les processus de fourniture de service adaptés à un contexte de laboratoire Strasbourg 17

18 GBP : focus fourniture de service Définir le périmètre d action : Recenser les éléments indispensables pour l activité vitale du laboratoire les matériels (commutateurs, serveurs, bornes wifi, imprimantes Le catalogue de services doit décrire les services fournis aux utilisateurs Les services en soutien à la recherche (serveurs de calcul, bases de données, salle enseignements, gestion données scientifiques...) Les services d'infrastructure : (gestion du réseau, messagerie, passerelles de connexion, annuaires, ) Les services de gestion internes : gestion du budget, rapports d'activités, gestion de parc de PC Strasbourg 18

19 GBP : focus fourniture de service Définir les niveaux de services via des contrats de service Accord écrit entre le fournisseur de services et le client qui documente les services et les niveaux de service adaptés Déterminer le niveau de service à délivrer aux utilisateurs pour supporter les métiers de l unité de recherche, Période de fonctionnement, disponibilité, point d'accès, plan de reprise d'activité exceptions... Définir des niveaux de priorité selon des périodes d'interruption ou indisponibilité ( # gestion des risques) Service : vital, important, normal Permet d'initialiser un suivi pour identifier si les niveaux demandés ont été atteints et prendre les mesures appropriée (démarche d'amélioration continue PDCA) Strasbourg 19

20 GBP : fourniture de service : gestion continuité de service But : diminuer la fréquence et la durée des incidents en s assurant que l infrastructure informatique et la fourniture de service associée peuvent être remises en fonction dans les temps requis et convenus Spécifier les exigences des utilisateurs en termes de continuité des services Ex: Disponibilité des moyens de calcul, de la messagerie, du support aux utilisateurs Identifier les menaces et les vulnérabilités sur les actifs de l infrastructure, appliquer des mesures préventives et palliatives (plans de reprises) qui permettent de conserver la continuité de service. Engagement établi en accord avec la Direction ou une commission d'utilisateurs Strasbourg 20

21 GBP : gestion Dysfonctionnements Gestion des incidents et des problèmes Processus qui consiste à rétablir les services le plus rapidement possible. Installation des mécanismes de détection et de prise en charge Le prendre en charge, le suivre, le résoudre Minimiser les impacts Tout incident doit être enregistré et documenté pour tracer les opérations qui ont été nécessaires à sa résolution. Date, cause, catégorie, résolution impacts... Analyser les causes, prévenir leur réapparition, mettre en place des mesures proactives Strasbourg 21

22 GBP contrôle : gestion des configurations Permet de suivre avec efficacité l évolution des infrastructures informatiques, et d en assurer la gestion et l'exploitation. Dans la terminologie ITIL/ISO-20000, l ensemble de ces informations de configuration est connue sous le terme CMDB Biens matériels ou immatériels qui composent les services offerts dans le périmètre qui a été défini. les serveurs, postes de travail, imprimantes, autres périphériques, logiciels, licences, équipements réseaux, comptes informatiques, consommables, documentations techniques, contrats. Les éléments d infrastructure doivent être identifiés et classés dans une base de connaissances qui sera tenue à jour régulièrement. Strasbourg 22

23 GBP contrôle : gestion des changements Assurer les changements apportés au S.I et la mise en production de services sont maitrisés But: faire évoluer le S.I de façon structurée en évitant les erreurs connaître les modifications apportées, leurs impacts solution de «replis» en cas d'échec tests permettant de valider les modifications apportées. procédures de validation Planifier, informer Avoir des procédures écrites documentées Tout changement doit etre documenté Strasbourg 23

24 GBP support de service : gestion des interventions Prise en compte des demandes d'intervention des utilisateurs But : formaliser la chaîne de demandes d assistance aux utilisateurs, avec une bonne réactivité du service. Fonction de Centre d'appel unique (helpdesk) Sert de guichet unique aux utilisateurs pour leurs besoins de services Point de contact central entre l'utilisateur et la gestion des services Prend en charge tous les incidents et toutes les demandes Une interface qui représente le fournisseur de services. Objectif "satisfaction du client Cette fonction peut servir de paramètre de mesure de l'activité du service analyses, statistiques sur les interventions (coûts, temps passés, fréquence...) Strasbourg 24

25 GBP support : Documentation But : documenter les actions du service informatique, fournir des documentations d'aide aux utilisateurs Pour le service informatique : donner une image de l'état technique des services (systèmes, réseaux) en exploitation à un temps donné, des procédures pour assurer la continuité de service Fiches de configuration des services Fiches d'exploitation (arrêt/redémarrage d'une salle serveur, d'une grappe de calcul) Base de connaissance (FAQ, HowTo) Pour les utilisateurs : Livret d'accueil (mode de fonctionnement, services offerts...) documentations d'utilisation des services en production Comment paramétrer sa messagerie, procédure de connexion au laboratoire de l'extérieur... Strasbourg 25

26 GBP : gestion de la sécurité d'un S.I selon ISO Définition des besoins et des niveaux de disponibilité confidentialité, et intégrité des données Définir le périmètre d application de la sécurité du S.I Recenser les actifs primordiaux (fonctions métier...) Recenser les actifs de soutien (matériels, logiciels, personnels...) Appréciation des risques (analyse de risques) : Identifier les menaces et les vulnérabilités qui pèsent sur le S.I Identifier et mesurer les impacts Evaluer et traiter les risques choisir les mesures pertinentes de l'iso27002 permettant de traiter les risques identifiés (réduction, transfert...) Strasbourg 26

27 GBP : Aspects Juridiques Se prémunir des risques d'ordre juridique en 3 concepts : Informer alertes, mises en garde, conseils mails, affichages Contrôler mise en place d outils remontées d information consulter les logs confidentialité Agir correctifs, assurer la continuté de service réagir (selon les cas) Traçabilité : Essayer de prouver qu'on a informé, controlé et agi Strasbourg 27

28 GBP support : Formation et gestion du temps Recommandations sur les compétences l auto-formation la formation professionnelle (ex. continue) la veille technologique les relations métier Des conseils pour la gestion du temps (méthode GTD) sollicitations imprévisibles, flot continue de requêtes Écrire toute les tâches, les classer, déterminer la PCAF Commencer par action facile (effort faible) avec un impact important Mettre en place un bouclier anti-interruption (heures consacrées à travail perso...) etc... Strasbourg 28

29 GBP v2 : évolution? Volonté du groupe de publier l'ouvrage Aux éditions MRCT? Une relecture et mise à jour est en cours avec un approfondissement de certains chapitres Élaboration d'un catalogue de service Processus de gestion d'un SMSI Mise à jour de la partie juridique (hadopi...) Strasbourg 29

30 Conclusions Ce document GBP est une «première» dans le métier ASR des unités de recherche Tente de replacer le besoin utilisateur et le service fournit au centre du métier Document structurant autour d'un cadre commun d'organisation... utile dans les changements qui se profilent (mutualisations) Oriente vers une approche «qualité» Donne des pistes d'organisation pour un ASR qui prendrait ses fonctions ou ceux qui veulent améliorer le service Strasbourg 30

31 Questions? Strasbourg 31