Consulting

Consulting

Sécurité des systèmes d’information

Sécurité des SI

AMJ-groupe intervient dans le domaine de la Sécurité des systèmes d’information depuis plus de 15 ans. Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises. Les conséquences d’une sécurité mal gérée peut-être catastrophique.

Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu 1.

Les objectifs de la sécurité des SI sont les suivants :

  1.  Disponibilité
  2.  Intégrité
  3.  Confidentialité

Afin que le système fonctionne sans faille, que les ressources et les services répondent dans les délais impartis ; que les données soient fiables ; que les accès à l’information soit filtrés.

Gérer le risque

Pour sécuriser le SI, la démarche suivante est généralement appliquée :

  1. Cartographier les risques et leur criticité.
  2. Rechercher des solutions, les choisir en fonction du contexte.
  3. Mettre en oeuvre tout ou partie des protections et s’assurer de leur bon fonctionnement.

AMJ-groupe vous accompagne dans ces différentes étapes et réalise pour ses clients divers types de prestations telles que :

1. JF Pillou, Tout sur les systèmes d’information, Paris Dunod 2006.

Etudes d’opportunité

« Est-il rentable d’investir dans ce projet ? »

Nous vous aiderons à évaluer l’intérêt de l’informatisation d’une activité donnée ou encore de la modification d’une organisation.

Nous vous aiderons à procéder à un premier recueil de besoins afin d’identifier les principales solutions techniques à l’aide de scénarios.

Nous examinerons ensemble les avantages et inconvénients et dresserons le retour sur investissement potentiel.

En effet, l’étude d’opportunité permet de commencer à formaliser :

  • les objectifs du projet,
  • son périmètre,
  • les principaux besoins.

Elle permet également de se prononcer de manière globale sur :

  • les solutions possibles avec leurs avantages et inconvénients,
  • les coûts associés,
  • les délais de mise en œuvre,
  • le retour sur investissement du projet.

De ce fait, elle permet d’aller au-delà de la simple expression de besoin des utilisateurs pour mieux cerner le projet, ses enjeux et ses perspectives de rentabilité.

Sélection de progiciels

Nous pouvons vous assister dans le choix de vos systèmes et outils pour maîtriser et piloter votre dispositif informatique :

  • Choix technologiques (matériels, réseaux, etc.),
  • Étude de produits,
  • Recherches et choix de progiciels, …

Il s’agit là d’aider à rechercher et/ou trouver un progiciel qui permettra de répondre le mieux possible aux besoins exprimés. En effet, face à la multitude de produits généralement disponibles sur le marché les clients souhaitent souvent sous-traiter ou se faire aider dans les tâches suivantes :

  • Présélection de produits
  • Définition de critères de choix
  • Evaluation des produits
  • Elaboration d’une liste restreinte à 2 ou 3 produits
  • Aide au choix final

Ceci suppose néanmoins que les besoins du client aient déjà été formalisés par écrit. Dans le cas contraire, l’étude de choix devra être précédée de la rédaction d’un cahier des charges ou d’une expression des besoins.

La démarche d’AMJ-groupe possède plusieurs étapes qui permettent de restreindre progressivement le choix pour aboutir au produit le plus adapté. Elle se caractérise notamment par son haut niveau de formalisation ainsi que par sa traçabilité.

Elle permet ainsi d’expliquer à chaque étape les raisons des filtrages successifs. Elle permet également de formaliser les échanges avec les éditeurs afin de permettre de faire reposer les choix sur des éléments tangibles et opposables en cas de besoin. Son fil conducteur correspond ainsi à la réduction des risques et à la sécurisation du choix.

A ce titre, nous rappelons qu’AMJ-groupe est totalement indépendant de tout éditeur de progiciel ce qui vous garantie la plus grande objectivité dans les analyses qui seront effectuées et les choix qui en résulteront.

PCA ou PRA ?

En voilà une bonne question !

J’entends souvent dire qu’il s’agit de la même chose. D’un point de vue un peu global c’est effectivement un peu la même chose. Dans les deux cas, il s’agit bien de mettre en place un plan pour permettre de faire face à un sinistre susceptible de toucher les différents moyens de production d’une entreprise (informatique, locaux, ressources humaines).

Cependant, sur le fond, il existe deux nuances très importantes : le « R » de reprise et le « C » de continuité.

PRA : plan de reprise d’activité

Le PRA induit une notion de reprise. Or qui dit reprise dit arrêt. Dans le cadre d’un PRA, on suppose que l’activité s’arrête, que des moyens de secours sont mis en place et que l’activité reprend après un certain laps de temps plus ou moins long.

PCA : plan de continuité d’activité

Dans le cadre du PCA, on suppose que l’activité continue et donc qu’elle ne s’arrête pas.

Dans la pratique cela à des conséquences extrêmement importantes en termes de solutions techniques à mettre en œuvre en cas de sinistre des moyens informatiques. En effet, les solutions de continuité induisent notamment des systèmes de miroring en temps réel, voire des systèmes de clustering sur sites distants qui peuvent s’avérer extrêmement couteux. De plus, si cette notion de continuité est bien susceptible de s’appliquer à un sinistre des moyens informatiques, elle ne s’applique toutefois pas à un sinistre des locaux ou des ressources humaines.

Bien entendu, les solutions de reprise s’appliquent à tous les types de sinistres et sont généralement beaucoup moins onéreuses en ce qui concerne le sinistre des moyens informatiques.

Il arrive souvent que des solutions de continuité soient mises en œuvre pour certains systèmes alors que d’autres (moins critiques) feront l’objet de solutions de reprise. Il n’est donc pas anormal de parler de PRA/PCA, mais il s’agit bien de deux notions différentes.

Cohérence des analyses de risques

S’il est bien un problème qu’il est nécessaire d’éviter c’est de solliciter plusieurs fois des personnes pour poser les mêmes questions.

Pourtant c’est bien ce qui se passe dans de nombreuses entreprises lorsque d’un côté l’on sollicite des utilisateurs dans le cadre d’une analyse de risques et que de l’autre on les sollicite dans le cadre d’un plan de continuité d’activité. Cela est d’autant plus gênant que ces démarches sont assez consommatrices de temps. De plus, le fait de solliciter deux fois les utilisateurs sur des sujets identiques donne un peu un sentiment de désorganisation.

En effet, l’analyse de risque va généralement s’attacher à qualifier les impacts de la perte des critères suivants :

  • Disponibilité
  • Intégrité
  • Confidentialité
  • Preuve (traçabilité)

Dans le cadre de la démarche d’élaboration de PCA/PRA, une analyse de risque va également être menée au niveau de la phase dite d’analyse d’impacts. Elle va aussi s’attacher à déterminer les impacts de la perte des moyens de production mais de façon beaucoup plus fine. Elle va notamment évaluer le temps pendant lequel il est possible de se passer de ces moyens.

Dans les analyses de risques, le problème est que les analyses de perte de disponibilité qui sont menées restent assez générales et ne sont pas suffisantes pour déterminer de façon précise les moyens de continuité/ reprise d’activité. En effet, dans le cadre des PCA/PRA relatifs au sinistre des moyens informatiques, il existe deux éléments absolument fondamentaux dans ce domaine qui sont :

  • La Durée d’indisponibilité maximale autorisée (DIMA)
  • Perte de données maximale admissible (PDMA)

Ce sont ces éléments qui vont permettre de dimensionner les solutions techniques à mettre en œuvre.

Or les analyses de risques du type EBIOS, MEHARI, …ne rentrent pas dans ce niveau de détail et ne peuvent pas être utilisées telles quelles pour déterminer les solutions de continuité ou reprise d’activité.

Il existe donc une nécessaire mise en cohérence des analyses de risques avec les démarches de plans de continuité d’activité avant de solliciter les utilisateurs.

Il est d’ailleurs regrettable que cette problématique de cohérence ne soit pas abordée dans le référentiel ITIL.

Un planning, mais pour quoi faire ?

Le planning !

Moto1

Qui dit planning dit tenue du planning. Voilà une charge de travail que je vois souvent supprimée ou trop fortement réduite dans bon nombre de projets. Mais au fait, à quoi ça sert un planning ?

Bien souvent le chef de projet (expérimenté) sur des projets de taille moyenne a en tête les tâches à mener et le besoin d’un planning ne se fait pas nécessairement ressentir.

Il est donc bien entendu possible de mener à bien un projet sans pour autant faire un planning.

Cela est principalement lié à la taille du projet et aux risques que l’on accepte de prendre sur le projet.

Dans la catégorie casse-cou (du genre saut du grand canyon à moto), il y a ceux qui réussissent et ceux qui y laissent leur peau. L’expérience montre que ceux qui réussissent sont justement ceux qui vont le mieux préparer et planifier leur action afin d’anticiper les risques et de les prévenir. Et bien dans les projets informatiques, c’est un peu pareil.

Les bonnes questions à se poser

En effet, l’élaboration d’un planning oblige à se projeter dans le futur, à réfléchir aux tâches à mener ce qui amène naturellement des questions :

  • untel a-t-il bien été prévenu des tâches qu’il va devoir réaliser ?
  • les ressources disponibles sont-elles suffisantes ?
  • les ressources sont-elles sous occupées, sur occupées ?
  • avons-nous bien l’ensemble du budget associé aux tâches ?
  • l’absence de X sur telle période a-t-elle été intégrée ?
  • pour mener telle tâche je vais avoir besoin de telle autre tâche qui n’était pas prévue ?
  • les délais impartis sont-ils réalistes ?
  • manque-t-il des tâches ?
  • etc…

Rien que l’exercice de création d’un planning est déjà riche d’enseignement en matière de gestion prévisionnelle d’un certain nombre de risques.

Un outil de communication

Le planning est aussi , il permet de partager la vision des travaux à réaliser avec l’ensemble des intervenants. Il permet à chacun de visualiser ce qu’il doit faire, de vérifier si des tâches n’ont pas été oubliées et si tout le monde a confiance dans le fait de mener à bien les tâches dans les délais prévus.

Avec le planning vient la gestion prévisionnelle des ressources et charges associées. Il est essentiel de pouvoir suivre régulièrement le taux d’occupation prévisionnel des ressources. Le problème ici est qu’il est souvent tentant pour bon nombre de personnes de ne pas vouloir connaître l’occupation prévisionnelle des ressources. A court terme, il est bien plus facile de ne pas se poser de questions sur les problèmes potentiels plutôt que de faire face à la réalité. Dans le meilleur des cas, les ressources concernées vont alerter. Bien souvent, il n’y a pas d’alerte par rapport aux surcharges de travail et ça dégénère car il est trop tard.

L’autre avantage du planning est qu’il permet de suivre l’avancement des tâches. En effet, tout dérapage est susceptible de remettre en cause la date de fin.

Le suivi du planning sera d’autant plus fréquent que l’on va approcher des phases critiques du projet telles que la mise en production par exemple. Plus on approche de la mise en production, plus chaque intervenant doit être en phase avec ses tâche et plus les dérapages potentiels doivent être rapidement détectés pour être corrigés. C’est un peu comme un avion qui s’apprête à atterrir et qui intensifie son échange avec la tour de contrôle à l’approche de la piste.

Enfin, il permet de visualiser immédiatement les impacts d’un dérapage (ou d’une avance) de tâche et de prévenir les personnes concernées.

Bien sûr cette gestion de planning à un coût qui est directement proportionnel au nombre de tâche, de ressources et à la fréquence de mise à jour.

Le planning est donc un instrument de pilotage essentiel et indispensable à partir d’une certaine taille de projets. Inutile de préciser que cet instrument n’est certainement pas Excel.

Retour en haut