Computer Associates : Développer les meilleures pratiques dans des environnements informatiques complexes

Transcription

1 LIVRE BLANC Computer Associates : Développer les meilleures pratiques dans des environnements informatiques complexes Mike Stephenson, John Kampman Office of the CTO Octobre 2004

2 Développer les meilleures pratiques dans des environnements informatiques complexes Face à la complexité croissante des technologies de l information, la gestion et la sécurisation des infrastructures informatiques s'imposent comme de réels défis. De nombreuses entreprises s appuient sur les meilleures pratiques, reconnues comme standard de facto, pour relever ces défis. Les meilleures pratiques offrent aux entreprises une structure éprouvée pour formaliser leurs processus et gérer leurs environnements informatiques. Les principaux standards dans ce domaine sont : ITIL (Information Technology Infrastructure Library) ; BS15000 (British Standard), norme émergente de gestion des services informatiques basée sur la méthodologie ITIL) ; et ISO 17799, norme mondiale de sécurisation des informations professionnelles basée sur la norme BS7799 (British Standard). Ces meilleures pratiques servent avant tout de lignes directrices permettant aux entreprises d élaborer leurs processus en fonction des besoins spécifiques à leur activité. Cette approche personnalisée requiert des outils souples pour prendre en charge ces processus. Les solutions de Computer Associates International, Inc. offrent aux entreprises la souplesse nécessaire pour mettre en œuvre des pratiques ITIL, BS15000 et ISO afin de gérer leurs services informatiques de façon efficace et rentable. Vue d ensemble des méthodologies associées aux meilleures pratiques Les entreprises qui souhaitent privilégier l usage des meilleures pratiques fondée sur les normes ont plusieurs méthodologies à leur disposition: ITIL : décrit les meilleures pratiques relatives à la gestion des services. La définition de ces pratiques est scindée en deux volumes : Support des services Fourniture des services BS15000 : première norme mondiale de gestion des services informatiques. Elle est destinée aux infogérants et aux entreprises qui externalisent ou gèrent leurs propres besoins informatiques. BS15000 spécifie un ensemble de processus de gestion corrélatifs, essentiellement basés sur ITIL, formant ainsi les fondements nécessaires à l audit des services mis en place. ISO : norme mondiale fondée sur le BS7799, qui définit les meilleures pratiques pour la gestion de la sécurité de l information. Gestion de la sécurité ITIL : meilleures pratiques étroitement liées à l application de la norme ISO pour la sécurisation de l infrastructure informatique. ITIL et la gestion de services ITIL est une librairie des meilleures pratiques pour la gestion des services informatiques qui n a cessé d évoluer depuis A l origine, ITIL recouvrait un ensemble de processus utilisés par l administration britannique afin d améliorer la gestion de ses services informatiques. ITIL a ensuite été adopté par le secteur comme la clé de voûte d une gestion réussie des services informatiques. La fourniture et le support des services sont décrits dans deux volumes, réécrits en La sécurité fait quand à elle l'objet d'un volume, écrit en Au total la bibliothèque ITIL compte 40 volumes. Le support des services ITIL comprend cinq disciplines, qui offrent la souplesse et la stabilité nécessaires pour la fourniture de services informatiques à l entreprise. Ces disciplines sont les suivantes : Gestion des incidents Gestion des problèmes Gestion des changements Gestion des versions Gestion des configurations La fourniture des services ITIL comprend également cinq disciplines, qui permettent aux entreprises de disposer de services informatiques rentables et de qualité. Ces disciplines sont les suivantes : Gestion du niveau de service Gestion de la disponibilité Gestion de la capacité Gestion financière des services informatiques Gestion de la continuité 1

3 Les disciplines couvertes par le support et la fourniture des services se combinent afin d aider l entreprise à gérer ses services informatiques. Des corrélations complexes existent entre les dix disciplines de la gestion des services ; elles interagissent pour obtenir un même objectif : veiller à ce que le système d information fournisse une valeur à l entreprise au travers de services rentables et de qualité. Enfin, la gestion de la sécurité de l infrastructure informatique et des services qu elle fournit est de plus en plus importante. L approche ITIL de la sécurité est décrite plus loin dans ce livre blanc. À travers toutes ses disciplines, ITIL vise à définir les meilleures pratiques pour les processus et les responsabilités qui doivent être établis afin de gérer efficacement les services informatiques de l entreprise et ainsi l aider à atteindre ses objectifs en termes de fourniture de services et de rentabilité. En théorie, la mise en œuvre et la prise en charge de tous ces processus devraient être possibles sans utiliser d outils informatiques. En pratique, cela s avère difficile et des systèmes électroniques sont devenus essentiels pour prendre en charge ces processus. Figure 1. Modèle de processus ITIL La Figure 1 illustre les principales interactions qui existent entre les disciplines et inclut la fonction de Service Desk. Par exemple, la gestion des changements est liée à toutes les autres disciplines de la fourniture des services. Des données relatives à la gestion financière peuvent s avérer nécessaires pour connaître le coût d un changement envisagé, ou encore des informations concernant la gestion des capacités permettent de comprendre les incidences d un changement sur l infrastructure. De même, la gestion des configurations fournit des informations sur la structure de l entreprise à l ensemble des disciplines de la fourniture des services. Toutes les disciplines fonctionnent ensemble afin d assurer une gestion efficace des services, au profit de l entreprise et des utilisateurs des systèmes d information. Les utilisateurs peuvent être les employés, les partenaires ou les clients de l entreprise. L utilisation directe des services informatiques par les partenaires et les clients, de plus en plus fréquente, augmente l importance d une gestion efficace des services. Ce diagramme montre également d autres relations importantes. Le support et la fourniture des services interagissent avec les réseaux, systèmes, applications et bases de données de l infrastructure informatique, ainsi qu avec la gestion opérationnelle de ces entités. La gestion de la relation client est une discipline qui gère l interaction entre, d une part, la fourniture et le support des services et, d autre part, les utilisateurs et les clients de l entreprise à qui les services sont fournis. BS15000 BS15000 spécifie un ensemble de processus de gestion corrélatifs, essentiellement basés sur ITIL, formant ainsi les fondements nécessaires à l audit des services mis en place. La gestion de la relation client, couverte par cette norme, s adresse aux entreprises qui ont besoin d un service de qualité. La norme BS15000 a été introduite à l occasion de la conférence itsmf (IT Service Management Forum) qui s est tenue à Birmingham, en Angleterre, le 6 novembre Elle complète le Code des Pratiques pour la gestion des services informatiques PD0005 et le classeur d auto-évaluation PD0015 du BSI (British Standards Institute). Utilisées ensemble, les normes BS15000 et PD0005 fournissent un cadre pour un ensemble complet de meilleures pratiques. Figure 2. Éléments de la norme BS15000 La Figure 2 illustre les principaux éléments de la norme BS15000, à partir desquels vous pouvez voir la relation avec les modules de traitement ITIL. 2

4 La gestion de la sécurité ISO et ITIL La sécurité constitue le principal défi que les entreprises doivent relever pour profiter des avantages de l ebusiness. Les entreprises doivent s assurer que leurs ressources critiques et propriétés intellectuelles sont protégées et que les clients se sentent en sécurité lors de leurs transactions commerciales avec elles. La norme ISO prend en charge la mise en oeuvre de la sécurité de plusieurs façons : Elle définit un ensemble d objectifs clés et identifie un jeu de contrôles de sécurité qui constituent des mesures pouvant être adoptées afin de remplir les objectifs de la norme. Elle spécifie des contrôles de sécurité qui peuvent être utilisés, en fonction des résultats d une évaluation de la gestion des risques, comme base de la certification formelle d une entreprise informatique dans le cadre de la norme BS7799. ITIL a défini les meilleures pratiques pour la sécurisation de l infrastructure informatique gérée, qui est elle-même étroitement liée à l utilisation des bonnes pratiques ISO La Figure 3 illustre le flux des processus de sécurité ITIL. Les axes stratégiques de CA Les solutions de CA peuvent être groupées dans quatre domaines de spécialisation ciblés répondant aux besoins les plus impérieux des entreprises actuelles : Operations Storage Security Life Cycle Figure 4. Les axes stratégiques de CA À travers ces domaines de spécialisation stratégiques, CA fournit des technologies innovantes qui aident les entreprises à mettre en oeuvre les meilleures pratiques ITIL. Figure 3. Modèle de sécurité ITIL D après la section de l accord sur le niveau de service qui traite de la sécurité, la première étape correspond à la phase de planification ; elle consiste à évaluer les risques pesant sur l activité afin d identifier les menaces et les vulnérabilités. Ce processus, essentiellement fondé sur la norme ISO 17799, conduit à la sélection de mesures de sécurité appropriées, appelées contrôles. Lors de la phase de mise en œuvre, les contrôles sont établis à l aide des outils et processus appropriés. Le reste du processus consiste à continuellement évaluer et revoir la stratégie de sécurité et sa pertinence par rapport à des conditions métier changeantes ; à maintenir la stratégie au niveau approprié afin que la sécurité de l activité reste cohérente ; et à fournir des rapports afin de garantir le respect des accords de niveau de service. Operations Modulaires et évolutives, les solutions Unicenter exploitent une architecture souple et unifiée, conçue pour intégrer de manière transparente la gestion des opérations informatiques, la gestion des services et la gestion des ressources informatiques en prenant en charge la relation synchrone entre les opérations métier et l infrastructure informatique. Le résultat : une optimisation de la productivité, de l efficacité et de l adaptabilité. Au travers des services communs des solutions CA et du portail Unicenter, les données de gestion sont présentées à quasiment toutes les entités au sein d un service informatique afin de prendre en charge le processus décisionnel. La gamme de solutions Unicenter couvre pratiquement tous les besoins et centralise les informations générées à tous les niveaux de l entreprise dans une source commune. Outre les capacités d autogestion et d automatisation qu elles apportent à la direction informatique, les solutions Unicenter visent à assurer une transparence totale pour les utilisateurs de l entreprise. 3

5 Storage La sauvegarde des données stratégiques requiert des solutions de stockage compatibles avec plusieurs platesformes. Les solutions BrightStor de CA fournissent les outils nécessaires. Offrant des capacités de sauvegarde ultra-rapide pour les plates-formes Windows, NetWare, Linux et UNIX, cette suite de solutions apporte une vraie réponse de bout en bout aux besoins de stockage, notamment avec la sauvegarde serverless, la sauvegarde à chaud et la sauvegarde des mobiles, la possibilité de consolider des informations sur un portail, ainsi que la prise en charge complète des configurations SAN et NAS. Security Les solutions etrust Identity and Access Management (gestion des identités et des accès), etrust Threat Management (gestion des menaces) et etrust Security Information Management (gestion des informations de sécurité) de CA permettent de sécuriser l ensemble des activités métier. Ces solutions de sécurité offrent des avantages immédiats aux clients grâce à leur étendue, leur intégration étroite et une vision de la sécurité adaptée à l entreprise. Life Cycle Les actifs logiciels doivent être gérés. Quelle DSI n a pas plusieurs années de retard en ce qui concerne des besoins applicatifs? Une gestion professionnelle du cycle de vie des actifs logiciels, qu il s agisse d applications personnalisées ou standards, optimise la capacité de réutilisation des données, la qualité du code source, la rapidité de la mise à disposition des logiciels, leur adoption par les utilisateurs finaux et la gestion des moteurs d exécution. Elle favorise également l exhaustivité des réponses aux besoins en matière de logiciels. Les solutions éprouvées dans ce domaine permettent aux clients de modéliser, développer, tester et déployer des applications à l échelle de l entreprise. Soutien des services ITIL Un grand nombre des solutions CA peuvent être utilisées pour couvrir les disciplines traitant du soutien des services. Service Desk Recevoir et enregistrer tous les appels Fournir une évaluation initiale et tenter une résolution directe Surveiller et, si nécessaire, faire remonter (escalade) les incidents Fournir un retour d informations rapide aux utilisateurs Générer des rapports de gestion Unicenter ServicePlus Service Desk gère ces fonctions, rend directement compte aux clients de la progression des incidents et permet de mettre en place un libre-service via une interface Web. En outre, les clients peuvent rechercher eux-mêmes des solutions à l aide des fonctions de recherche par mot-clé qui sont offertes par Unicenter ServicePlus Knowledge Tools. Ces fonctions éliminent de nombreux appels au service de support. Unicenter ServicePlus Dashboard fournit une vue dynamique, quasiment en temps réel, des principaux indicateurs de performance qui mesurent l efficacité des services. Ce produit aide à gérer les crises, à optimiser l utilisation des ressources et à améliorer les performances. Il aide également à améliorer les services, à respecter les engagements les concernant et à réduire les coûts. Gestion des incidents Détection et enregistrement des incidents Classification des incidents et support initial Résolution et reprise du bon fonctionnement Clôture des incidents Propriété et suivi des incidents Unicenter ServicePlus Service Desk prend en charge ce processus, ce qui permet d enregistrer, de classifier, de suivre et de faire remonter les incidents. La résolution est facilitée par un accès intégré à des outils de base de connaissances, Unicenter Remote Control et Unicenter Network and Systems Management. Unicenter ServicePlus Dashboard fournit une vue dynamique, quasiment en temps réel, des principaux indicateurs de performance qui mesurent l efficacité des services. Ce produit aide à gérer les crises, à optimiser l utilisation des ressources et à améliorer les performances. Il aide également à améliorer les services, à respecter les engagements les concernant et à réduire les coûts. Gestion des problèmes dentification et enregistrement des problèmes Classification des problèmes Enquête et diagnostic des problèmes Élimination proactive des problèmes au moyen de techniques telles que l analyse des tendances Passage en revue des problèmes Rapports de gestion sur les causes des problèmes 4

6 Unicenter ServicePlus Service Desk permet d enregistrer et de classifier les problèmes. La transmission des incidents est intégrée au processus de gestion des problèmes. Cette transmission peut être fondée sur la définition de la cause première, qui est stockée au niveau de l incident. La détermination de la cause première écourte considérablement les temps de réponse pour la résolution. Ce produit permet de suivre et de faire remonter les problèmes jusqu à la résolution, et de signaler des erreurs connues une fois la cause identifiée. Il est également possible de générer les rapports de gestion requis. Unicenter ServicePlus Knowledge Tools fournit les moyens nécessaires pour catégoriser et stocker les enregistrements d erreurs connues, qui deviennent des solutions ou des solutions de contournement pour corriger certains incidents dans l environnement. En fonction des informations provenant de Unicenter ServicePlus Knowledge Tools, le responsable des problèmes peut décider de transformer des erreurs connues en solutions définitives en les transférant au responsable des changements. Gestion des changements Remontée et enregistrement des demandes de changement Évaluation de l impact, du coût, des avantages et des risques des changements Obtention des approbations requises pour les changements Gestion de la mise en œuvre des changements Surveillance et génération de rapports sur la mise en œuvre Passage en revue et clôture des demandes de changement Unicenter ServicePlus Service Desk enregistre et suit les demandes de changement. Ces dernières peuvent être directement saisies ou émaner des incidents ou des problèmes. Ce produit prend également en charge le processus d approbations, ce qui permet de suivre et de rendre compte des procédures de changement. La gamme de produits Unicenter utilise des capacités de découverte et des Business Process Views pour fournir des informations sur la nature de l environnement, ce qui facilite l évaluation de l impact du changement. AllFusion Harvest Change Manager fournit des capacités de contrôle et de gestion des changements pour le développement d applications tout au long du cycle de vie, du développement jusqu à la production, en passant par les tests et le déploiement. En outre, ce produit prend en charge le processus de gestion des changements en analysant l impact d un changement proposé afin de s assurer que son effet ne dépasse par les attentes. Gestion des versions Planification et supervision du déploiement réussi des logiciels dans l environnement Coordination du plan de déploiement avec la gestion des changements Enregistrement correct du processus de déploiement Stockage sécurisé d une copie du package déployé dans la DSL (Definitive Software Library) Gestion des attentes des clients Unicenter Software Delivery prend en charge la gestion des versions en fournissant les outils nécessaires à la création et la distribution effective et contrôlée de package logiciels. Une trace d audit du processus est réalisée afin d en rendre compte. La définition du package distribué est placée dans la bibliothèque de logiciels, qui fournit une fonction de DSL. Unicenter Software Delivery permet également de s assurer que les versions correctes des logiciels sont systématiquement déployées. Les logiciels installés sont périodiquement vérifiés et mis à jour si les versions installées ne sont pas appropriées. Ainsi, les logiciels utilisés sont toujours conformes à la définition dans la DSL. AllFusion Harvest Change Manager fournit des capacités de contrôle et de gestion des changements pour le développement d applications tout au long du cycle de vie, du développement jusqu à la production, en passant par les tests et le déploiement. En outre, les fichiers stockés par AllFusion Harvest Change Manager sont l entrée de la DSL. La DSL ne stocke que des copies approuvées des logiciels utilisés, ainsi que la source de ces copies. Gestion des configurations Identifier tous les éléments de configuration matériels et logiciels pertinents Maintenir le contrôle sur les éléments de configuration Rendre compte du statut des éléments de configuration Fournir des informations d audit sur les éléments de configuration Permettre la planification 5

7 Unicenter Asset Management fournit un enregistrement des éléments de configuration présents dans l environnement en collectant automatiquement des informations et en les stockant dans Unicenter Asset Management Database. Comme l environnement est régulièrement analysé, le déplacement, l ajout et le retrait d éléments peuvent être détectés. Unicenter ServicePlus Service Desk dispose d un référentiel gérant chacun des éléments de configuration. Certains de ces éléments sont fournis à l aide de Unicenter Asset Management. Base de données de gestion des configurations Lors du déploiement de solutions CA pour prendre en charge les disciplines du soutien des services ITIL, la plupart des processus associés exploitent des informations stockées dans la CA-MDB (CA Management Database). Le référentiel d informations de la CA-MDB peut être défini comme base de données centralisée ou répartie, au service de plusieurs bases de données distinctes, telles que la base de données Unicenter Asset Management, le référentiel Unicenter ServicePlus Service Desk, la base de données Unicenter Argis Portfolio Asset Management et le COR (Unicenter Common Object Repository). La CA- MDB contient des informations essentielles sur les éléments de configuration, dérivées des installations individuelles. Ces informations (qui sont centralisées) incluent, entre autres, les données suivantes : Nom Localisation Contact Règles de stratégie Relation Matériel/logiciel L intégration des produits CA rend les informations pertinentes de la CA-MDB facilement accessibles par les processus qui doivent les utiliser et garantit la cohérence en évitant les doublons. De nombreuses solutions CA intègrent également des outils de découverte qui permettent de vérifier la validité des informations de configuration par rapport aux conditions réelles. La gestion du cycle de vie étend la CA-MDB du point de vue du développement logiciel. La CA-MDB contiendra tout le code source et toutes les copies de production approuvées, ainsi que les relations entre les applications et les groupes de développement. En outre, un lien direct vers les enregistrements de changements et d incidents existe dans le référentiel Unicenter ServicePlus Service Desk. Unicenter Argis Portfolio Asset Management ajoute des relations aux informations fournies par des outils d inventaire tels que Unicenter Asset Management. Les informations contenues dans Unicenter Argis Portfolio Asset Management peuvent servir à analyser l impact de changements importants au sein de l entreprise et les risques liés à ces changements. Les informations stockées fournissent des détails sur les interruptions de l activité, ainsi que sur les processus IMAC (Installation, Move, Add, Change - installation, transfert, ajout, changement). Figure 5. La CA-MDB au centre de la gestion d infrastructure d entreprise Fourniture des services ITIL Le volume ITIL sur la fourniture des services définie par ITIL comprend la gestion des niveaux de service, la gestion de la disponibilité, la gestion de la capacité, la gestion financière des services informatiques et la gestion de la continuité du service informatique. CA propose des solutions pour supporter chacun de ces processus. Gestion du niveau de service Proposer un catalogue de Services Négocier et trouver un accord sur les objectifs de la fourniture de services Mesurer et générer des rapports sur les niveaux de service effectifs, les ressources requises et le coût de la fourniture des services Continuellement améliorer les niveaux de service Coordonner d autres fonctions de la gestion de services Réviser les accords sur le niveau de service afin de les adapter aux besoins changeants de l entreprise 6

8 Les outils de support proposés par CA visent à fournir des informations sur les performances des services par rapport aux accords sur les niveaux de service. Unicenter Service Catalog propose un moyen flexible de définition et de gestion centralisée des services. A chaque service peut être associé différents attributs, tel qu ' un nom, une description complète, un code produit, des niveaux de services, et des règles de refacturation si besoin. Un service du catalogue peut référencer d autres services. Le contenu du catalogue de services peut être contrôlé en limitant, par exemple, les niveaux d accès par profils utilisateurs (ex : les lignes métiers). Unicenter Service Catalog permet de modéliser l organisation pour associer à chaque entité les services appropriés. Chaque niveau de la structure organisationnelle peut hériter des services souscrits par les niveaux supérieurs. L interface Web personnalisable permet d utiliser Unicenter Service Catalog comme un outil promotionnel adapté aux standards de l entreprise. Unicenter Service Level Management permet de capturer des informations sur les performances des services et de générer des rapports sur ces informations par rapport aux niveaux convenus. Ce produit permet également de déterminer les niveaux de service pouvant raisonnablement être atteints avant que l entreprise ne conclue un accord avec le client. Unicenter Service Assure aide à définir et à formaliser la relation existant entre le service informatique et ses clients internes ou externes par la gestion du cycle de vie intégral des accords sur les niveaux de service. En ce qui concerne la surveillance et la génération de rapports sur ces accords, la portée d Unicenter Service Assure dépasse le cadre des indicateurs traditionnels de mesure des performances des services. La gestion des accords sur les niveaux de service prend en compte des indicateurs essentiels pour l'entreprise, tels que l'utilisation temps réel des ressources partagées. Lorsque le maintien des services et le respect des contrats sont essentiels pour éviter des pénalités ou des remises coûteuses, le moteur de notification avancé d Unicenter Service Assure déclenche une alerte avant qu une violation de contrat ne se produise. Il peut également déclencher des actions configurées, telles qu une demande d activation ou d intervention du service de support, ou encore un ajustement de la facturation. Unicenter Service Meter collecte des données sur l utilisation et les performances des services à partir des domaines Internet et des ressources partagées. Il est possible de surveiller automatiquement ces données et de générer des rapports sur l utilisation et l activité en temps réel pour n importe quelle application, système ou réseau. Ces rapports peuvent suivre l utilisation par département, groupe d utilisateurs ou utilisateur individuel, ou par application. Cela permet aux responsables informatiques d allouer des ressources en fonction du niveau réel d activité utilisateur à prendre en charge, et à la direction de planifier la disponibilité présente et future de ces services. Une relation forte avec Unicenter ServicePlus Service Desk permet d enregistrer les accords négociés pour la fourniture de services aux clients du Service Desk. Il est possible de rendre compte de la progression par rapport à l accord sur le niveau de service et d émettre des avertissements proactifs en cas de risque de non respect de l accord. Les solutions Unicenter fournissent des informations sur les performances des éléments qui facilitent la mesure des niveaux de service atteints. Unicenter Management Portal permet, par exemple, d afficher simultanément plusieurs écrans d informations pertinents sur le même poste de travail afin de faciliter l accès aux informations sur lesquelles reposent les processus de gestion et d assurer leur utilisation efficace. Les responsables informatiques ont en outre la possibilité de surveiller les niveaux des services du point de vue de leurs utilisateurs. La génération de rapports de bout en bout sur le niveau de service leur permet de suivre une pile de fonctions informatiques. Unicenter ServicePlus Dashboard fournit une vue dynamique, quasiment en temps réel, des principaux indicateurs de performance qui mesurent l efficacité des services. Ce produit aide à gérer les crises, à optimiser l utilisation des ressources et à améliorer les performances. Il aide également à améliorer les services, à respecter les engagements les concernant et à réduire les coûts. Gestion de la disponibilité Déterminer les besoins de disponibilité en termes d activité Établir un plan de disponibilité Collecter des données sur la disponibilité afin de générer des rapports Garantir le respect des niveaux de service en surveillant la disponibilité Constamment vérifier et améliorer la disponibilité Calculer les coûts nécessaires au maintien de la disponibilité Les outils de CA supportent le principe de haute disponibilité en assurant une gestion ciblée de l infrastructure grâce à des fonctions proactives et prédictives conçues pour optimiser la disponibilité des services de l entreprise. Bien qu ils fournissent certaines des mesures de disponibilité nécessaires à la surveillance de la conformité, ces outils n effectuent pas directement d analyse et de planification de la disponibilité. 7

9 Unicenter Service Meter collecte des données sur l utilisation et les performances des services à partir des domaines Internet et des ressources partagées. Il est possible de surveiller automatiquement ces données et de générer des rapports sur l utilisation et l activité en temps réel pour n importe quelle application, système ou réseau. Ces rapports peuvent suivre l utilisation par département, groupe d utilisateurs ou utilisateur individuel, ou par application. Cela permet aux responsables informatiques d allouer des ressources en fonction du niveau réel d activité utilisateur à prendre en charge, et à la direction de planifier la disponibilité présente et future de ces services. Gestion de la capacité Prévoir les besoins futurs de l entreprise en matière de services informatiques et mettre en oeuvre ces services au moment opportun Surveiller et mesurer les performances des services existants afin de respecter les accords de niveau de service Surveiller, mesurer et générer des rapports sur tous les composants de l infrastructure informatique actuelle Les outils Unicenter Operations Management collectent des informations sur les performances des systèmes et des applications qui fournissent des services à l entreprise. Ils permettent de générer des rapports sur les performances et les tendances. Ces informations peuvent également fournir une base pour la prévision des besoins futurs. BrightStor Storage Resource Manager permet d évaluer la croissance du stockage et d identifier précocement les problèmes de capacité potentiels, laissant ainsi un délai adéquat pour la préparation et l amélioration. BrightStor Storage Resource Manager permet également de prévoir facilement les besoins de stockage actuels et futurs de l entreprise. Unicenter Service Meter collecte des données sur l utilisation et les performances à partir des domaines Internet et des ressources partagées. Il est possible de surveiller automatiquement ces données et de générer des rapports sur l utilisation et l activité en temps réel pour n importe quelle application, système ou réseau. Ces rapports peuvent suivre l utilisation par département, groupe d utilisateurs ou utilisateur individuel, ou par application. Cela permet aux responsables informatiques d allouer des ressources en fonction du niveau réel d activité utilisateur à prendre en charge, et à la direction de déterminer la priorité de ses investissements informatiques en fonction des activités les plus rentables pour l entreprise. Gestion financière des services informatiques Permettre à l entreprise de rendre entièrement compte des dépenses en services informatiques et d attribuer ces coûts aux utilisateurs de ces services Soutenir la cause de l entreprise pour l investissement informatique Contrôler et gérer le budget informatique et permettre une réduction substantielle des coûts de fourniture de services Unicenter Argis Portfolio Asset Management s intègre à Unicenter Asset Management afin de fournir des informations financières et contractuelles sur les actifs déployés au sein de l infrastructure informatique. Unicenter Service Accounting permet aux entreprises d allouer leurs coûts informatiques et d établir des plans de tarification souples et personnalisés pour leurs services informatiques. Ce logiciel peut être utilisé pour planifier des budgets informatiques, justifier les demandes de budget, mettre en place la rétrofacturation des ressources informatiques au siège et facturer aux clients les services informatiques en fonction de l utilisation. Gestion de la continuité Réaliser une évaluation des risques pour l entreprise afin de comprendre les risques potentiels Comprendre les options de continuité les plus appropriées et choisir celles qui sont le plus adaptées aux opérations de l entreprise Établir des plans de reprise informatique et de continuité de l activité, et les revoir régulièrement Définir les rôles et les responsabilités à assumer dans l éventualité où le plan de reprise devrait être utilisé Les solutions BrightStor fournissent le support technique permettant de réaliser les éléments du plan de continuité de l activité. Elles fournissent des mécanismes complets de sauvegarde et de restauration contribuant à assurer la continuité de l activité, même durant les périodes de crise. BrightStor ARCserve Backup permet une sauvegarde et une restauration efficaces des informations stratégiques, tandis que BrightStor High Availability fournit les capacités de prise de relais en temps réel nécessaires pour empêcher qu un incident n interrompe le flux d informations de l entreprise. 8

10 Figure 6. Alignement du modèle de processus ITIL avec les solutions CA Mise en oeuvre de la gestion des services ITIL Les outils décrits dans les sections précédentes supportent de nombreux domaines pour la mise en oeuvre des processus de fourniture et de support des services qui font partie des meilleures pratiques de gestion des services ITIL pour la gestion de l infrastructure informatique de l entreprise. De nombreuses interactions existent entre les processus ITIL, comme l illustre la Figure 1 au début de ce document. Par conséquent, la mise en œuvre de disciplines individuelles peut nécessiter des outils utilisés pour d autres disciplines. Inversement, des outils utilisés pour une discipline particulière peuvent souvent être étendus à d autres disciplines. La Figure 6 récapitule les solutions CA supportant ces disciplines ITIL. Définition des processus Le déploiement des meilleures pratiques ITIL dépend essentiellement des procédures en place qui définissent les processus à suivre et de la façon dont les outils seront utilisés pour appliquer les procédures à la gestion de l infrastructure informatique. 9 Deux outils CA peuvent fournir une aide à la capture et la publication des procédures afin que tout utilisateur concerné puisse comprendre ce qui est exigé et comment suivre les procédures. AllFusion Process Management Suite peut capturer et documenter les processus des meilleures pratiques, puis les mettre à disposition dans une bibliothèque de meilleures pratiques. Les équipes peuvent ensuite identifier la procédure correcte pour une situation particulière et suivre une procédure documentée qui leur permette de mettre en œuvre les pratiques ITIL pour cette situation. De plus, CleverPath Aion Business Rules Expert permet de développer des applications réglementées facilitant l application de méthodologies ITIL à des situations de gestion et garantissant la mise en œuvre de meilleures pratiques si nécessaire. Gestion de la sécurité ITIL, COBIT et ISO La sécurité constitue une préoccupation essentielle dans le déploiement des services informatiques et doit être prise en compte dans le déploiement des processus ITIL pour le support de ces services informatiques. Le modèle de sécurité ITIL illustré dans la Figure 3 au début de ce document montre comment les processus de sécurité s intègrent aux autres disciplines ITIL. Ce modèle s appuie sur les méthodes des meilleures pratiques et les contrôles décrits par la norme ISO pour le détail de la phase de mise en oeuvre figurant dans le modèle de sécurité.

11 Figure 7. Alignement du modèle de sécurité ITIL avec les solutions etrust et Unicenter Ces contrôles nécessitent une évaluation correcte des risques pour l entreprise. A partir de cette évaluation, une stratégie de sécurité sera définie et une sélection de contrôles de sécurité sera ensuite mis en œuvre afin d atténuer les risques identifiés à un niveau acceptable. La Figure 7 récapitule les solutions CA supportant le modèle de sécurité ITIL. Dans la norme COBIT, la définition du contrôle est dérivée du COSO (Committee of Sponsoring Organizations of the Treadway Commission) : les stratégies, procédures, pratiques et structures organisationnelles sont conçues pour assurer, raisonnablement, que les objectifs de l entreprise seront atteints et que les événements indésirables seront évités ou détectés et corrigés. La norme COBIT fournit un cadre orienté métier pour aider les entreprises à répondre à leurs critères de gestion. Du point de vue de la sécurité, le processus d évaluation des risques au coeur de la norme BS7799 équivaut à l objectif de planification et d organisation COBIT PO9 : Évaluer les risques. La mise en oeuvre de contrôles de sécurité équivaut à l objectif de fourniture et de support COBIT DS5 : Assurer la sécurité des systèmes. DS5 définit le besoin en matière de sécurité et BS7799/ISO fournit les détails nécessaires pour prendre en charge ce besoin. Une combinaison de solutions intégrées etrust et Unicenter, et de services technologiques CA afin de faciliter la définition des procédures, peut être utilisée pour mettre en œuvre les contrôles de sécurité définis dans BS7799 Part 2 et choisis à l issue de l évaluation des risques pour l entreprise. Ces contrôles répondent aussi bien aux critères de sécurité ITIL qu à ceux du contrôle COBIT DS5. La planification et la mise en œuvre de ces contrôles constituent les deux premières phases du processus de sécurité ITIL, illustré par les éléments de planification et de mise en oeuvre du diagramme du modèle de sécurité ITIL. Les solutions intégrées etrust et Unicenter supportent les éléments de contrôle, d évaluation et de maintenance du diagramme. Les solutions etrust Threat Management offrent une couverture étendue. etrust Intrusion Detection empêche toute activité malveillante du trafic de traverser le pare-feu. etrust Antivirus détecte et éradique les virus aux niveaux du poste de travail et du serveur, ainsi que de la passerelle, d où il protège également l entreprise contre les attaques par code malveillant. etrust Policy Compliance identifie les vulnérabilités des configurations au sein des systèmes à l échelle de l entreprise et etrust Vulnerability Manager fournit des fonctions de recherche et de réparation pour faire face au nombre croissant de vulnérabilités logicielles et y remédier proactivement avant qu elles ne soient exploitées. Ces capacités sont soutenues par les membres de notre Security Advisory Team, opérationnelle 24 heures sur 24, 7 jours sur 7. 10

12 Cette équipe, qui recherche et valide de nouvelles vulnérabilités, met à jour les outils régulièrement (tous les heures, si nécessaire) en y apportant des informations sur les vulnérabilités les plus récentes et des correctifs. etrust Secure Content Manager assure une gestion intégrée du contenu du courrier électronique et de la navigation sur le Web, ainsi qu une protection antivirus, afin de protéger l entreprise contre les attaques perpétrées par ces voies. La suite etrust Threat Management permet aux entreprises de maintenir facilement de hauts niveaux de sécurité dans un environnement changeant. Les solutions etrust Identity et Access Management assurent un contrôle d identification et d accès avancé au sein de l entreprise, incluant la protection et l authentification des systèmes critiques. etrust PKI (comprenant etrust OCSPro) offre des services de certificat numérique permettant une authentification forte, un chiffrement des données, une intégrité des données et une non répudiation des transactions. Il assure également la validation en temps réel des certificats numériques sous le contrôle des règles de l entreprise. etrust Directory fournit un référentiel de privilèges des utilisateurs de l entreprise qui peut être dimensionné à l échelle mondiale. etrust Admin centralise la gestion des services fournis aux utilisateurs tout en contrôlant leurs droits et privilèges. etrust Single Sign-On contrôle l accès des utilisateurs et des administrateurs à l environnement, ce qui permet de réduire le coût et la complexité de l accès à différents systèmes tout en renforçant le contrôle de la stratégie. etrust Web Access Control détermine et régule l accès aux services Web. etrust Access Control assure un contrôle des accès aux ressources stratégiques de type mainframe géré depuis un point central à travers des plates-formes distribuées, contrôle les pouvoirs du super-utilisateur et protège contre les dépassements de mémoire tampon non identifiés ou non corrigés. etrust CA-ACF2 Security et etrust CA- Top Secret Security assurent la consolidation des systèmes d exploitation et le contrôle de l accès aux ressources pour les applications d entreprise basées sur les mainframes (z/os, VM et VSE). Les solutions etrust Security Command Center fournissent une vue exhaustive de l ensemble des préoccupations sécuritaires au sein de l entreprise. Composant clé de cette suite, etrust Audit collecte des données d audit dans toute l entreprise afin d identifier les attaques complexes et de fournir des actions appropriées. etrust Security Command Center centralise la commande, le contrôle, la corrélation des événements et l automatisation des actions entre plusieurs solutions de sécurité de tiers déployées dans l entreprise, y compris l ensemble des solutions etrust. Ce produit fournit, sur un portail, des récapitulatifs de sécurité correspondant au rôle de l utilisateur, ainsi que des états de sécurité en fonction des services fournis. Les phases d évaluation et de maintenance du processus de sécurité ITIL sont prises en charge par les solutions etrust de plusieurs façons. etrust Policy Compliance fournit une évaluation complète de l état des stratégies de sécurité mises en œuvre dans l environnement et permet de générer des rapports sur les écarts par rapport à ces stratégies lorsqu ils surviennent. L utilisation de Unicenter Service Level Management permet, ici également, de surveiller les performances de la sécurité et de gérer les accords sur le niveau de service convenu en matière de sécurité. La fonction de contrôle (illustrée au centre du diagramme du modèle de sécurité ITIL) est prise en charge par etrust Security Command Center qui récupère des informations sur les audits et les événements des outils et des systèmes de sécurité et fournit une vue coordonnée des opérations de sécurité. Ce produit prend également en charge la fonction de génération de rapports en fournissant des rapports de gestion concernant l état de la sécurité dans l entreprise. L utilisation de Unicenter Service Level Management permet, ici également, de surveiller les performances de la sécurité et de gérer les accords sur le niveau de service convenu en matière de sécurité. Conclusion CA propose un large éventail de solutions aidant les entreprises qui prévoient de mettre en œuvre les pratiques ITIL, BS15000, COBIT ou ISO à gérer de façon efficace et rentable leurs services informatiques. Les solutions Unicenter IT Resource Management et Unicenter Service Management, en particulier Unicenter ServicePlus Service Desk et Unicenter Software Delivery, sont des éléments clés de la majorité des disciplines de support des services ITIL et fournissent un support direct dans la mise en œuvre des processus ITIL. (Une version de Unicenter ServicePlus Service Desk spécialement conçue pour ITIL est d ailleurs disponible.) Ces solutions Unicenter fournissent les outils nécessaires pour prendre en charge la mise en œuvre des meilleures pratiques ITIL via une gestion proactive des réseaux, systèmes, bases de données et applications de gestion, ainsi que l automatisation requise pour une gestion complète des services de l infrastructure informatique. AllFusion Harvest Change Manager fournit une solution ITIL de gestion des changements qui peut également s intégrer à la fonction de Service Desk. En outre, les produits AllFusion Process Management Suite et CleverPath Aion Business Rules Expert offrent des solutions de documentation et de contrôle des processus ITIL afin de faciliter leur adoption et leur application au sein de l entreprise. 11

13 Les solutions etrust fournissent des outils permettant de répondre aux critères des processus de gestion de la sécurité ITIL. Les solutions etrust se révèlent particulièrement performantes dans le contrôle de la gestion, fonction essentielle pour rendre efficaces les mesures de sécurité, tout en contrôlant le coût de l application de cette sécurité de haut niveau pour l entreprise. Grâce à leur intégration étroite à Unicenter, les solutions etrust répondent aux critères des contrôles ISO sur lesquels s appuie la gestion de la sécurité ITIL. La gestion et la sécurisation des services informatiques ont toujours été au cœur des solutions CA. Bien qu elles n emploient pas systématiquement la terminologie ITIL exacte, ces solutions offrent les fonctionnalités essentielles au support des entreprises dans la fourniture à leurs clients de services informatiques fondés sur les meilleures pratiques ITIL et ISO de la façon la plus efficace et rentable qui soit. Biographies Mike Stephenson, CISSP Ditton Park, Riding Court Road, Datchet, Slough, Royaume-Uni SL3 9LL (Michael.Stephenson@ca.com). M. Stephenson est ingénieur en sécurité rattaché au groupe des services technologiques de CA au Royaume- Uni. Il est chargé de comprendre les problèmes stratégiques de nos clients et de leur expliquer comment les solutions CA peuvent les aider à surmonter ces problèmes, ainsi qu à promouvoir leur activité de la façon la plus rentable possible. Justifiant d une riche expérience de plus de 30 ans dans le secteur informatique, notamment dans les réseaux, le support logiciel et le conseil technique, il a récemment acquis une solide expertise dans les domaines de la gestion d entreprise, de la gestion des services et de la sécurité de l information. M. Stephenson a obtenu un diplôme d honneur de première classe en informatique et systèmes du centre de téléenseignement universitaire du Royaume-Uni. Il est également titulaire du certificat des gestionnaires ITIL de l ISEB pour la gestion de services, du certificat de l ISEB sur les principes de gestion de la sécurité, et possède une certification CISSP (Certified Information Systems Security Professional). John Kampman Wattbaan 27, 3439 ML Nieuwegein, Pays-Bas (John.Kampman@ca.com). M. Kampman est responsable des solutions pour les produits de gestion des services rattachés au groupe des services technologiques de CA. Il travaille en étroite collaboration avec les clients sur leurs initiatives de gestion des services et assure la liaison avec l équipe de développement afin de l aider à planifier l évolution des produits CA dans ce domaine. En outre, M. Kampman supervise les efforts concernant l utilisation de méthodologies standards sur les sites des clients et en interne chez CA. M. Kampman justifie de 18 ans d expérience dans la gestion des systèmes et la gestion des services informatiques pour les environnements mainframe et distribués. 12

14 Computer Associates 25 Quai Paul Doumer Courbevoie cedex Tél. : Fax : Computer Associates International, Inc. (CA). Les marques commerciales, les noms de marque, les marques de service et les logos référencés dans ce document appartiennent tous à leurs sociétés respectives. Ce document est uniquement fourni à titre d information. Dans la mesure permise par la loi en vigueur, CA fournit ce document «EN L ETAT», sans garantie d aucune sorte, y compris, sans s y limiter, les garanties implicites de commercialisation, d adéquation à un but spécifique ou de non infraction. CA ne pourra en aucun cas être tenu responsable d une perte ou d un dommage résultant, directement ou indirectement, de l utilisation de ce document, y compris, sans s y limiter, les pertes de bénéfice, les interruptions d activité, les écarts d acquisition ou les pertes de données, et ce même si CA a été expressément avisée de la possibilité de tels dommages. MP _gen_fra_itilwp