Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Transcription

1 Le 17 avril 2013 Pavillon Dauphine, Paris

2 Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) Nathan.Srour@orsyp.com Damien CONVERT Consultant Senior +33 (0) Damien.Convert@orsyp.com Le présent document est la propriété exclusive de ORSYP SAS et ne peut être diffusé par quelque moyen que ce soit à une tierce personne n'appartenant pas à CESIT sans l'autorisation préalable de ORSYP SAS

3 Nathan SROUR Principal, Consultant en Management du SI Membre de la Commission Normalisation Ingénierie Qualité des Logiciels et des Systèmes auprès de l AFNOR(développement des normes de la série ISO20000) Expert ITIL, ISO 20000, Expérience opérationnelle dans la production IT Revue par Frederic CHARRON

4 Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO Illustration : Cas concrets Conclusion

5 Vers une spécialisation des offres Hébergement en colocation Hébergement managé Privatif (plein propriété) Des organisations informatiques en évolution Traditionnel (au sein d une DSI) Opérateurs en Cloud, GIE Informatique, Sociétés de Gestion de Datacenter Un besoin d accréditation accrue Niveau d exigences en croissance exponentielle Réglementations internationales Conformités aux normes Une abondance de normes et standards SAS 70, PCI DSS, ISO 27000, ISO NFC ,

6 Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO Illustration : Cas concrets Conclusion

7 Domaine NFC SAS 70 PCI DSS Uptime Institute BS OHSAS ISO ISO ISO 9000 Technologique O O O Sécurité O O O Environnement O Qualité O Services Aucune de ces normes n engage ou ne démontre la présence d un système de Gouvernance des opérations du Datacenter vis-à-vis de la Production Informatique.

8 Les opérations du DataCenter sont-ils un domaine du SI sans cadre et sans suivi? Est-il envisageable d engager une relation Client / Fournisseur permettant d établir des liens structurants entre et les besoins de l IT, définis comme le Client, et les opérations du DataCenter, positionné comme le Fournisseur?

9 Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO Illustration : Cas concrets Conclusion

10 ISO/IEC Propriétaire Domaine d application/ auditoire Objectif ISO/IEC Organisation bénéficiaire de services Fournisseur de services IT (GIE Informatique, Production Informatique, Opérateurs Cloud, ) Mise en place d une approche orientée processus pour la fourniture de services IT Divers Compatible avec les systèmes de management ISO 9000 et ISO Norme spécifique au domaine informatique

11 Client 1 Périmètre Fournisseurs de Services Client 2 Références normatives 3 Termes et définitions 4 5 Exigences générales du Système de gestion des Services Conception et transition des modifications ou création de services Responsabilité de la direction Gouvernance des processus opérés par des tiers Gestion de la documentation Gestion des ressources Etablir et améliorer le SMS Généralités Planifier des modifications ou création de services Concevoir et développer des modifications ou création de services Transition des modifications ou création de services Niveaux de service Rapport de service Continuité & Disponibilité 6 Processus de fourniture des services 9 Contrôle Budgétisation & Comptabilisation Gestion de la Capacité Gestion de la Sécurité Exigence de Services Configurations 8 Résolution Changements Déploiements Processus et mises de Résolution en production Gestion des Incidents et des demandes de services Gestion des Problèmes 7 Gestion des relations Relations clients Relations fournisseurs Services

12 Domaine NFC SAS 70 PCI DSS Uptime Institute BS OHSAS ISO ISO ISO 9000 ISO Technologique O O O Sécurité O O O O Environnement O Qualité O O Services O

13 Pour les opérations du Datacenter? Une culture de services renforcée Des processus qui vont gagner en maturité, en efficacité et en efficience Une démarche d amélioration continue La reconnaissance de l adoption des meilleures pratiques du marché, gage de Professionnalisme Maîtrise des coûts La possibilité de se démarquer par son excellence Créer un nouveau business et/ou attirer de nouveaux Clients Pénétrer des marchés plus vastes (le standard est international) Donner aux opérations du Datacenter un avantage basé sur la Qualité Pour ses Clients? Une Qualité de Service, gage de confiance et de meilleure satisfaction Client Des processus alignés sur les meilleures pratiques ITIL Un Système de Management des Services facilement compréhensible.

14 Dans une perspective d amélioration continue, il convient de bien définir le champ d'application du Système de Management des Services. Les paramètres à considérer doivent cibler : Les services fournis aux Clients Les Clients bénéficiaires des services L organisation du Fournisseur de Services Les localisations géographiques du Fournisseur de Services L infrastructure de gestion du Fournisseur de Services

15 Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO Illustration : Cas concrets Conclusion

16 Cas pratique : Hébergement du SI Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment La norme est déjà utilisée pour assurer la gouvernance des services liés à l hébergement du S.I, (Exemple : SYSTALIANS, GIE Informatique dont le retour d expérience a été présenté aux Assises Gouvernance et ITIL du 26 février 2013)

17 Cas pratique : Hébergement avec gestion de salle Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment Les services cœurs de métier fournis à l hébergeur du S.I sont couverts. La démarche d amélioration orientée vers les directions ou entreprises utilisatrices du S.I doit inclure les services d hébergement du S.I

18 Cas pratique : Hébergement sec Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment Les services cœurs de métier fournis à l hébergeur du S.I sont partiellement couverts La démarche d amélioration orientée vers l hébergeur du S.I doit inclure les services de gestion de salle

19 Cas pratique : Hébergement en colocation Client Niveau de maturité Fournisseurs de services Exploitant Client 1 Hébergeur de colocation Exploitant 2 Exploitant 2 Champ d application Le Fournisseur de Service doit cibler le(s) client(s) qui disposent d un niveau de maturité suffisant pour exprimer leurs exigences de services (planification des changements, exigence de capacités, etc. )

20 Cas pratique : La DSI est le Fournisseur de Services Fournisseurs Exigence de Services Fournisseurs de Services La norme est déjà utilisée par les DSI pour assurer la gouvernance des services (Exemple : Pôle Emploi, Thales, BnP Paribas, ). Fournisseur Y Prestations Client Hébergeur du S.I Exigence de Services Prestations DSI Direction utilisatrice La DSI impose ses cahiers des charges auprès de l hébergeur du S.I, reçoit et contrôle les prestations en regards de ses attendus. Champ d application Dans le cadre d une initiative de progrès, l hébergeur du S.I devra tendre vers l adoption d un système de management de la qualité

21 Cas pratique : L Organisation du Fournisseur de Service n assure qu une fonction Fournisseurs de Services Hébergeur sec Client Gestionnaire de salle DSI Champ d application Exploitant du S.I L apport de la norme est incomplet pour la DSI car la chaîne de fourniture de services n est pas couverte de bout en bout. Dans le cadre d une démarche d amélioration, une extension progressive du périmètre sera requise par le DSI pour permettre la certification d entreprise

22 Cas pratique : L Organisation des Fournisseurs s appuie sur des sous-traitants Fournisseurs Fournisseur Y Fournisseur De Services Client Sous-traitant Fournisseur X Hébergeur du S.I DSI Hébergeur sec Champ d application Hébergeur gestionnaire de salle La norme ne couvre pas la gestion des soustraitants. Le Fournisseur de Services devra auditer ses sous-traitants (i.e. les Fournisseurs de rang 2) pour s assurer que les prestations délivrées lui garantissent sa conformité.

23 Cas pratique : Localisation géographique du site de secours non couvert Fournisseur de Services Hébergeur avec gestion de salle Client RTO < 24h? Localisation A Localisation B DSI, GIE Informatique, Site de secours Site principal Champ d application Le site principal sera certifié en priorité de façon à améliorer l engagement de services en termes de disponibilité. Au titre de l amélioration continue, la certification sera étendue aux autres localisations. Cela permettra notamment d améliorer le respect des exigences de continuité exprimées par les clients

24 Cas pratique : «GMAO non couverte» Fournisseur de Services Outils de sûreté Hébergeur avec gestion de salle Client GTB Exploitant du S.I DCIM GMAO Champ d application Les outils de sureté, la GTB et la DCIM devront être intégrés dans le champ d application en priorité. Dans le cadre de l amélioration continue, la GMAO pourra être intégré.

25 Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO Illustration : Cas concrets Conclusion

26 La certification ISO est une démarche itérative et progressive : elle s appuie sur l extension des champs d application. Cette approche est certainement celle qui permettra d aboutir plus facilement ou plus certainement à une certification d entreprise. Les opérations du Datacenter sont un champ d application certifiable et adapté aux différentes typologies d hébergement. La norme ISO apporte un système de gouvernance efficace pour les opérations du Datacenter Définit et engage la mise en place des processus Structure la relation avec les exploitants IT Etablit des indicateurs de suivi des services Plan Qualité définit et maîtrisée Démarche d amélioration continue La certification ISO des opérations du Datacenter permettra de démontrer l excellence opérationnelle en termes de gestion des services.

27 NFC Propriétaire Domaine d application/ auditoire Objectif Divers AFNOR Bâtiments à usage commercial, établissements industriels, notamment les Datacenter Conception, réalisation, vérification et entretien des installations électriques basse tension en France Norme régulièrement mise à jour pour prendre en compte les évolutions des technologies et techniques ainsi que des évolutions en termes de sécurité des installations en question Norme générique

28 Classification en tiers des Datacenter Propriétaire Domaine d application/ auditoire Objectif Divers UPTIME INSTITUTE Datacenter Evaluer le niveau de résilience offert par les infrastructures techniques du DataCenter Système de classification des DataCenter en quatre niveaux déterminés selon leur degré de fiabilité et de redondance Norme spécifique au domaine informatique

29 SAS 70 (ou ISAE 3402) Propriétaire Domaine d application/ auditoire American Institute of Certified Public Accountants Entreprises qui offrent des prestations susceptibles d affecter la situation financière de leurs client Objectif Dispositif de contrôle interne Divers Cette norme comporte deux niveaux Le premier (Type I) porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau (type II) évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70. Norme générique

30 Payment Card Industry Data Security Standard Propriétaire Domaine d application/ auditoire Objectif Divers European Payment Council - Entreprises émettrices de cartes de paiement - Du S.I jusqu à son hébergement au sein du Datacenter Sécurité des données pour les industries de carte de paiement Protéger leurs données et à prévenir les fraudes. Norme spécifique au domaine informatique

31 BS OHSAS Propriétaire Domaine d application/ auditoire Objectif BSI Group Tout type d entreprise Management de la Santé et de la Sécurité au Travail Divers Compatible avec les Systèmes de Management ISO 9000 pour la qualité, ISO pour l environnement Norme générique

32 ISO/IEC Propriétaire Domaine d application/ auditoire Objectif ISO/IEC Tous les types d organisations / management, clients Standard international de sécurité de l information, entreprises certifiées Divers Compatible avec le système de management ISO 9000, pour la qualité et ISO 20000, pour la gestion des services Norme spécifique au domaine informatique

33 ISO Propriétaire Domaine d application/ auditoire Objectif ISO Organisations qui veulent mettre en œuvre une gestion visant à maîtriser leurs impacts sur l'environnement Système de management environnemental Divers Compatible avec le système de management ISO 9000, pour la qualité Norme générique

34 ISO 9000 Propriétaire Domaine d application/ auditoire Objectif Divers ISO Industrie et fournisseurs de services/ management, clients Standard international de gestion de la qualité, entreprises certifiées Compatible avec le système de management ISO pour la sécurité, et ISO pour les services Norme générique