Le 17 avril 2013 Pavillon Dauphine, Paris
Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT Consultant Senior +33 (0) 6 08 12 14 27 Damien.Convert@orsyp.com www.orsypconsulting.com Le présent document est la propriété exclusive de ORSYP SAS et ne peut être diffusé par quelque moyen que ce soit à une tierce personne n'appartenant pas à CESIT sans l'autorisation préalable de ORSYP SAS
Nathan SROUR Principal, Consultant en Management du SI Membre de la Commission Normalisation Ingénierie Qualité des Logiciels et des Systèmes auprès de l AFNOR(développement des normes de la série ISO20000) Expert ITIL, ISO 20000, Expérience opérationnelle dans la production IT Revue par Frederic CHARRON
Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO 20000 Illustration : Cas concrets Conclusion
Vers une spécialisation des offres Hébergement en colocation Hébergement managé Privatif (plein propriété) Des organisations informatiques en évolution Traditionnel (au sein d une DSI) Opérateurs en Cloud, GIE Informatique, Sociétés de Gestion de Datacenter Un besoin d accréditation accrue Niveau d exigences en croissance exponentielle Réglementations internationales Conformités aux normes Une abondance de normes et standards SAS 70, PCI DSS, ISO 27000, ISO 14000 NFC 15-100,
Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO 20000 Illustration : Cas concrets Conclusion
Domaine NFC 15-100 SAS 70 PCI DSS Uptime Institute BS OHSAS ISO 27000 ISO 14000 ISO 9000 Technologique O O O Sécurité O O O Environnement O Qualité O Services Aucune de ces normes n engage ou ne démontre la présence d un système de Gouvernance des opérations du Datacenter vis-à-vis de la Production Informatique.
Les opérations du DataCenter sont-ils un domaine du SI sans cadre et sans suivi? Est-il envisageable d engager une relation Client / Fournisseur permettant d établir des liens structurants entre et les besoins de l IT, définis comme le Client, et les opérations du DataCenter, positionné comme le Fournisseur?
Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO 20000 Illustration : Cas concrets Conclusion
ISO/IEC 20000 Propriétaire Domaine d application/ auditoire Objectif ISO/IEC Organisation bénéficiaire de services Fournisseur de services IT (GIE Informatique, Production Informatique, Opérateurs Cloud, ) Mise en place d une approche orientée processus pour la fourniture de services IT Divers Compatible avec les systèmes de management ISO 9000 et ISO 27000 Norme spécifique au domaine informatique
Client 1 Périmètre Fournisseurs de Services Client 2 Références normatives 3 Termes et définitions 4 5 Exigences générales du Système de gestion des Services Conception et transition des modifications ou création de services 4.1 - Responsabilité de la direction 4.2 - Gouvernance des processus opérés par des tiers 4.3 - Gestion de la documentation 4.4 - Gestion des ressources 4.5 - Etablir et améliorer le SMS 5.1 - Généralités 5.2 - Planifier des modifications ou création de services 5.3 - Concevoir et développer des modifications ou création de services 5.4 - Transition des modifications ou création de services 6.1 - Niveaux de service 6.2 - Rapport de service 6.3 - Continuité & Disponibilité 6 Processus de fourniture des services 9 Contrôle 6.4 - Budgétisation & Comptabilisation 6.5 - Gestion de la Capacité 6.6 - Gestion de la Sécurité Exigence de Services 9.1 - Configurations 8 Résolution 9.2 - Changements 9.3 - Déploiements Processus et mises de Résolution en production 8.1 - Gestion des Incidents et des demandes de services 8.2 - Gestion des Problèmes 7 Gestion des relations 7.1 - Relations clients 7.2 - Relations fournisseurs Services
Domaine NFC 15-100 SAS 70 PCI DSS Uptime Institute BS OHSAS ISO 27000 ISO 14000 ISO 9000 ISO 20000 Technologique O O O Sécurité O O O O Environnement O Qualité O O Services O
Pour les opérations du Datacenter? Une culture de services renforcée Des processus qui vont gagner en maturité, en efficacité et en efficience Une démarche d amélioration continue La reconnaissance de l adoption des meilleures pratiques du marché, gage de Professionnalisme Maîtrise des coûts La possibilité de se démarquer par son excellence Créer un nouveau business et/ou attirer de nouveaux Clients Pénétrer des marchés plus vastes (le standard est international) Donner aux opérations du Datacenter un avantage basé sur la Qualité Pour ses Clients? Une Qualité de Service, gage de confiance et de meilleure satisfaction Client Des processus alignés sur les meilleures pratiques ITIL Un Système de Management des Services facilement compréhensible.
Dans une perspective d amélioration continue, il convient de bien définir le champ d'application du Système de Management des Services. Les paramètres à considérer doivent cibler : Les services fournis aux Clients Les Clients bénéficiaires des services L organisation du Fournisseur de Services Les localisations géographiques du Fournisseur de Services L infrastructure de gestion du Fournisseur de Services
Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO 20000 Illustration : Cas concrets Conclusion
Cas pratique : Hébergement du SI Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment La norme est déjà utilisée pour assurer la gouvernance des services liés à l hébergement du S.I, (Exemple : SYSTALIANS, GIE Informatique dont le retour d expérience a été présenté aux Assises Gouvernance et ITIL du 26 février 2013)
Cas pratique : Hébergement avec gestion de salle Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment Les services cœurs de métier fournis à l hébergeur du S.I sont couverts. La démarche d amélioration orientée vers les directions ou entreprises utilisatrices du S.I doit inclure les services d hébergement du S.I
Cas pratique : Hébergement sec Exploitation du S.I Hébergement du SI Exécution des consignes Installation d OS Administration des applications Supervision du SI Gestion de salle Gestion de proximité, Plan de salle, inventaire, Champ d application Hébergement avec gestion de salle Sécurité périmétrique, Hébergement sec Energie (clim, HQ), règles d urbanisatio ns, moyens généraux du bâtiment Les services cœurs de métier fournis à l hébergeur du S.I sont partiellement couverts La démarche d amélioration orientée vers l hébergeur du S.I doit inclure les services de gestion de salle
Cas pratique : Hébergement en colocation Client Niveau de maturité Fournisseurs de services Exploitant Client 1 Hébergeur de colocation Exploitant 2 Exploitant 2 Champ d application Le Fournisseur de Service doit cibler le(s) client(s) qui disposent d un niveau de maturité suffisant pour exprimer leurs exigences de services (planification des changements, exigence de capacités, etc. )
Cas pratique : La DSI est le Fournisseur de Services Fournisseurs Exigence de Services Fournisseurs de Services La norme est déjà utilisée par les DSI pour assurer la gouvernance des services (Exemple : Pôle Emploi, Thales, BnP Paribas, ). Fournisseur Y Prestations Client Hébergeur du S.I Exigence de Services Prestations DSI Direction utilisatrice La DSI impose ses cahiers des charges auprès de l hébergeur du S.I, reçoit et contrôle les prestations en regards de ses attendus. Champ d application Dans le cadre d une initiative de progrès, l hébergeur du S.I devra tendre vers l adoption d un système de management de la qualité
Cas pratique : L Organisation du Fournisseur de Service n assure qu une fonction Fournisseurs de Services Hébergeur sec Client Gestionnaire de salle DSI Champ d application Exploitant du S.I L apport de la norme est incomplet pour la DSI car la chaîne de fourniture de services n est pas couverte de bout en bout. Dans le cadre d une démarche d amélioration, une extension progressive du périmètre sera requise par le DSI pour permettre la certification d entreprise
Cas pratique : L Organisation des Fournisseurs s appuie sur des sous-traitants Fournisseurs Fournisseur Y Fournisseur De Services Client Sous-traitant Fournisseur X Hébergeur du S.I DSI Hébergeur sec Champ d application Hébergeur gestionnaire de salle La norme ne couvre pas la gestion des soustraitants. Le Fournisseur de Services devra auditer ses sous-traitants (i.e. les Fournisseurs de rang 2) pour s assurer que les prestations délivrées lui garantissent sa conformité.
Cas pratique : Localisation géographique du site de secours non couvert Fournisseur de Services Hébergeur avec gestion de salle Client RTO < 24h? Localisation A Localisation B DSI, GIE Informatique, Site de secours Site principal Champ d application Le site principal sera certifié en priorité de façon à améliorer l engagement de services en termes de disponibilité. Au titre de l amélioration continue, la certification sera étendue aux autres localisations. Cela permettra notamment d améliorer le respect des exigences de continuité exprimées par les clients
Cas pratique : «GMAO non couverte» Fournisseur de Services Outils de sûreté Hébergeur avec gestion de salle Client GTB Exploitant du S.I DCIM GMAO Champ d application Les outils de sureté, la GTB et la DCIM devront être intégrés dans le champ d application en priorité. Dans le cadre de l amélioration continue, la GMAO pourra être intégré.
Tendances & Evolution de l'ecosystème Les normes de l'industrie Informatique Focus sur ISO 20000 Illustration : Cas concrets Conclusion
La certification ISO 20000 est une démarche itérative et progressive : elle s appuie sur l extension des champs d application. Cette approche est certainement celle qui permettra d aboutir plus facilement ou plus certainement à une certification d entreprise. Les opérations du Datacenter sont un champ d application certifiable et adapté aux différentes typologies d hébergement. La norme ISO 20000 apporte un système de gouvernance efficace pour les opérations du Datacenter Définit et engage la mise en place des processus Structure la relation avec les exploitants IT Etablit des indicateurs de suivi des services Plan Qualité définit et maîtrisée Démarche d amélioration continue La certification ISO 20000 des opérations du Datacenter permettra de démontrer l excellence opérationnelle en termes de gestion des services.
NFC 15-100 Propriétaire Domaine d application/ auditoire Objectif Divers AFNOR Bâtiments à usage commercial, établissements industriels, notamment les Datacenter Conception, réalisation, vérification et entretien des installations électriques basse tension en France Norme régulièrement mise à jour pour prendre en compte les évolutions des technologies et techniques ainsi que des évolutions en termes de sécurité des installations en question Norme générique
Classification en tiers des Datacenter Propriétaire Domaine d application/ auditoire Objectif Divers UPTIME INSTITUTE Datacenter Evaluer le niveau de résilience offert par les infrastructures techniques du DataCenter Système de classification des DataCenter en quatre niveaux déterminés selon leur degré de fiabilité et de redondance Norme spécifique au domaine informatique
SAS 70 (ou ISAE 3402) Propriétaire Domaine d application/ auditoire American Institute of Certified Public Accountants Entreprises qui offrent des prestations susceptibles d affecter la situation financière de leurs client Objectif Dispositif de contrôle interne Divers Cette norme comporte deux niveaux Le premier (Type I) porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau (type II) évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70. Norme générique
Payment Card Industry Data Security Standard Propriétaire Domaine d application/ auditoire Objectif Divers European Payment Council - Entreprises émettrices de cartes de paiement - Du S.I jusqu à son hébergement au sein du Datacenter Sécurité des données pour les industries de carte de paiement Protéger leurs données et à prévenir les fraudes. Norme spécifique au domaine informatique
BS OHSAS 18001 Propriétaire Domaine d application/ auditoire Objectif BSI Group Tout type d entreprise Management de la Santé et de la Sécurité au Travail Divers Compatible avec les Systèmes de Management ISO 9000 pour la qualité, ISO 14000 pour l environnement Norme générique
ISO/IEC 27000 Propriétaire Domaine d application/ auditoire Objectif ISO/IEC Tous les types d organisations / management, clients Standard international de sécurité de l information, entreprises certifiées Divers Compatible avec le système de management ISO 9000, pour la qualité et ISO 20000, pour la gestion des services Norme spécifique au domaine informatique
ISO 14000 Propriétaire Domaine d application/ auditoire Objectif ISO Organisations qui veulent mettre en œuvre une gestion visant à maîtriser leurs impacts sur l'environnement Système de management environnemental Divers Compatible avec le système de management ISO 9000, pour la qualité Norme générique
ISO 9000 Propriétaire Domaine d application/ auditoire Objectif Divers ISO Industrie et fournisseurs de services/ management, clients Standard international de gestion de la qualité, entreprises certifiées Compatible avec le système de management ISO 27000 pour la sécurité, et ISO 20000 pour les services Norme générique