ITIL et son processus de gestion de la sécurité
Gérard Blanc -01/03/2008En sa qualité de référentiel probablement le plus répandu actuellement sur la planète, ITIL prend en compte nombre d'aspects de la sécurité informatique.
DOSSIER: sécurité
Le concept de base
Il s'agit de protéger le bien fondamental qu'est l'information et les outils permettant de la stocker et de la traiter. Cela consiste à protéger l'information et son environnement contre les risques connus et, dans la mesure du possible, à anticiper les risques inconnus.
Dans son concept de base, ITIL s'attache plus particulièrement à la confidentialité, à l'intégrité et à la disponibilité de l'information. Des vieux tabous qui hantent depuis longtemps tous les gestionnaires de bases de données. ITIL n'est pas une révolution, mais bien une rationalisation. Il en est de même pour son processus de gestion de la sécurité. ITIL y ajoute de façon directe le caractère privé relatif aux individus, l'anonymat et des exigences de vérification.
Le processus
Compte tenu de la vitesse d'évolution actuelle des organisations et, par conséquent, de leurs systèmes d'information, les efforts consentis en sécurité informatique ne parviennent pas toujours à rester en phase. Les listes de contrôle et la pratique des méthodologies usuelles sont beaucoup trop statiques. Pour conserver son efficacité, la sécurité informatique doit être optimale en permanence.
Pour ce faire, ITIL utilise le cycle de l'amélioration continue, connu sous l'acronyme de PDCA (Plan, Do, Check, Act), qui est l'adaptation de la théorie de la roue de Deming (voir l'article « L'amélioration continue des processus, du principe à la pratique » Direction informatique, novembre 2007). ITIL considérant les biens livrables de l'informatique comme des fournitures de services, les processus mis en jeux opèrent toujours dans une relation client-fournisseur de services, que le client soit interne ou externe à l'organisation. De même, le fournisseur de services peut être interne s'il s'agit du département informatique, ou externe en situation d'impartition.
Le processus de gestion de la sécurité d'ITIL est donc un cycle récurrent. Ce cycle se décrit comme suit. Le début du processus est initié par les exigences du client, telles qu'elles sont relatées dans l'accord sur les niveaux de service (en anglais, service level agreement ou SLA). Ce dernier définit à la fois les services de sécurité requis et les niveaux de sécurité exigés.
C'est là qu'intervient la première phase du cycle : la planification (Plan). En effet, le fournisseur transcrit les exigences du client concernant les normes de sécurité et les actions de niveau opérationnel, dans un « Plan de sécurité », qu'il soumet à l'organisation. Puis, débute la seconde phase du cycle, la mise en œuvre du plan de sécurité (Do). Ensuite se déroule la troisième phase du cycle : l'évaluation de la mise en œuvre du plan (Check).
Enfin arrive la quatrième phase du cycle, qui consiste à mettre à jour le plan de sécurité et à y apporter les changements nécessaires (Act). La roue continue de tourner et le cycle repart pour un tour avec le nouveau plan de sécurité modifié, et ainsi de suite. Il existe également une fonction de contrôle de ce cycle, qui le chapeaute.
Cette fonction organise, crée le cadre de gestion, attribue les responsabilités et veille à la production des rapports de gestion prévus, précis et circonstanciés, à l'intention du client. C'est effectivement une gestion et une amélioration continue du processus, par le cycle récurent que forme les actions du fournisseur et du client.
Retour à la page 1
Page 2 - Les objectifs du processus
Page 3 - Les avantages Les commentaires de ce site sont propulsés par Disqus
 |
 |
 |
 |
| delicious | Digg it | Diigo | Google | Technorati | StumbleIt | Yahoo! |
