Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Le département informatique au service des organisations
  3. Fiches outils
Extrait - Le département informatique au service des organisations Stratégie, gouvernance et pilotage
Extraits du livre
Le département informatique au service des organisations Stratégie, gouvernance et pilotage Revenir à la page d'achat du livre

Fiches outils - Connaître son environnement pour créer de la valeur

Des exemples de classification de données et des systèmes

Prenons le cas d’une entité publique bien connue : l’OTAN. Nous pouvons ainsi imaginer un certain nombre de types de données que nous pourrions classifier de la manière suivante :

Donnée

Classification et raison du choix

Code source

Confidentiel, car il permet d’identifier de potentielles failles de sécurité dans les applications développées par l’organisation.

Adresses des bâtiments publics

Public, par définition.

Contributions financières au programme de support à l’Ukraine

Confidentielle, cette information permet d’identifier qui est favorable ou non et à quel niveau de contribution chaque pays supporte l’Ukraine.

Adresses des bâtiments militaires

Secrète, étant donné l’importance du sujet, cette information ne peut être connue que par un nombre restreint de personnes.

Organigramme

Interne, cette information est accessible par tous. Notons que tous les rôles de l’organisation ne seront pas présentés dans cet organigramme. Ainsi, les rôles sensibles classifiés comme secret ne sont pas présentés dans un organigramme accessible par des personnes disposant d’accès à des données de classification plus basse.

Liste des niches pour chien

Secret. Bien...

Des exemples de classification des processus

Dans le même ordre d’idée que la classification des données et des systèmes, il est nécessaire de classifier quelques-uns des processus de l’OTAN.

La classification des processus est décrite au chapitre « Gérer et sécuriser les données », section « La classification des données et des processus ».

Processus

Classification et raison du choix

Sélection d’un logiciel informatique

Confidentiel, l’information pouvant mener à informer de potentielles futures failles de sécurité.

Prise de décision pour une intervention militaire

Stratégique, étant donné la classification de l’information mais aussi l’impact de cette information.

Émission des contrats liés au support à l’Ukraine

Critique, la donnée étant confidentielle et l’impact pouvant être important en cas d’arrêt de ce processus.

Approvisionnement en armes

Stratégique, au vu de la classification de la donnée qui est traitée.

Traitement des factures liées aux bâtiments administratifs

Routine, le risque associé s’avère très faible.

Traitement des factures liées à des bâtiments secrets

Stratégique, au vu de la classification...

L’étiquetage et la taxonomie des composants et systèmes

Les différents composants peuvent être classifiés avec une ou plusieurs étiquettes. Plusieurs grandes catégories doivent être couvertes :

  • Technique

  • Utilisation : <Nom application>

  • Environnement : Dev / Test / UAT / Production

  • Rôle : DB / App / Middleware /…

  • Propriétaire technique : <Nom personne>

  • Métier

  • Département : RH / Finance /…

  • Propriétaire métier : <Nom personne>

  • Accessibilité : Externe / Interne

  • Sécurité

  • Conformité : HIPAA / GDPR / DORA /…

  • Classification : Public / Interne / Confidentiel / Secret

  • Automatisation

  • Période de disponibilité : 24/7 / 8/5 /…

  • Date d’expiration : <Date>

Un même composant pourrait dès lors se voir étiqueter de la façon suivante : Application A, UAT, App, Alphonse Russo, Finance, James Dean, Externe, HIPAA, GDPR, Confidentiel, 8/5, 202412.

La description des activités liées à un service donné

Un catalogue de services doit permettre de rapidement comprendre ce que le fournisseur du service est en mesure de faire et dans quel délai et pour quel coût :

Titre

Demandeurs autorisés

Prix

Délai d’exécution

Modification du contenu d’une notification

[Client - ] <Groupe d’utilisateurs>

30 €

1 jour ouvré

Le contenu de la notification est mis à jour. La notification existe déjà. Pour la création d’une notification, se référer à l’entrée spécifique de catalogue

Limitations : cinq modifications maximum par semaine. Nous contacter pour plus.

Support au développement

[Client - ] <Groupe d’utilisateurs>

60 €/heure

1 semaine

En cas de besoin, notre équipe de développement intervient pour vous accompagner dans vos propres développements.

Limitations : 4 heures sur une période de deux semaines. Nous contacter pour plus.

Modification du contenu d’une notification

[Client - ] <Groupe d’utilisateurs>

À définir

Réponse : 3 jours ouvrés

Exécution : À définir

Toute activité n’étant pas couverte par une autre entrée du catalogue.

Un exemple de catalogue de services...

Le contenu de la CMDB

La CMDB (Configuration Management DataBase) est une base de données qui contient des informations détaillées sur les éléments de configuration au sein d’un système informatique ou d’un environnement informatique plus large.

  • Nom de l’élément de configuration (CI) : identifiant ou nom unique de l’élément de configuration, par exemple, le nom du serveur, du logiciel, du périphérique réseau, etc.

  • Type d’élément de configuration : catégorie à laquelle appartient l’élément, comme serveur, logiciel, périphérique réseau, etc.

  • Description : informations descriptives supplémentaires sur l’élément de configuration pour une meilleure compréhension.

  • Numéro de série ou ID unique : identifiant unique associé à l’élément de configuration, souvent utilisé pour le suivi et la gestion.

  • Fabricant : nom du fabricant de l’équipement ou du logiciel.

  • Modèle : modèle spécifique de l’équipement ou du logiciel.

  • Version : version spécifique du logiciel ou de la configuration matérielle.

  • Statut : état actuel de l’élément de configuration (par exemple : actif, inactif, en maintenance...

La CMDB applicative

Une CMDB applicative est en quelque sorte l’extension de la base de données de gestion de configuration (CMDB) présentée ci-avant qui est spécifiquement utilisée pour stocker des informations sur les applications logicielles et leurs composants associés au sein d’un environnement informatique. La CMDB applicative permet de suivre et de gérer les dépendances entre les différentes applications, les versions des logiciels, les configurations, les relations entre les composants, les interdépendances, etc.

Elle fournit généralement des informations détaillées sur les éléments suivants :

  • Applications logicielles : noms, versions, propriétés, etc.

  • Composants applicatifs : modules, services, bases de données, etc.

  • Configurations : paramètres de configuration, options de déploiement, etc.

  • Relations : dépendances entre les différents composants et applications.

  • Historique des changements : journalisation des modifications apportées aux applications et à leurs configurations.

La CMDB applicative est souvent utilisée dans les entreprises et les organisations pour aider à la gestion des services informatiques, la planification des mises à jour logicielles, la résolution des incidents, la gestion des changements, et pour améliorer...

Le registre de licences, de souscriptions et de maintenance

Le registre des licences, des souscriptions et des contrats de maintenance a pour but de faciliter la gestion des services au quotidien, notamment dans le contexte du « cycle de vie des applications » dans le chapitre « Gérer ses applications ». Le registre des licences doit contenir un certain nombre d’informations :

  • Nom de l’application ou de la solution : désigne le nom spécifique du logiciel ou de la solution pour laquelle la licence a été acquise.

  • Catégorie de l’application ou de la solution : classement de l’application ou de la solution en fonction de son type ou de son objectif (par exemple : productivité, sécurité, gestion, etc.).

  • Nom du fournisseur : identifie l’entité ou l’organisation qui fournit le logiciel ou la solution.

  • Modèle de licence : indique le type de licence acquis, comme une licence perpétuelle, une souscription, un contrat de maintenance, etc.

  • Périmètre de licence : précise les limites ou les conditions de la licence, telles que les appareils, les utilisateurs, les serveurs, etc., couverts par la licence. 

  • Référence couverte par la licence : identifie les références spécifiques associées à la licence, comme...

Le contenu d’un changement

Un changement doit décrire ce qui va être fait au sein d’un système. Le changement est de ce fait présenté au travers des attributs suivants :

  • Identifiant du changement : un numéro ou un identifiant unique attribué à chaque changement pour faciliter le suivi et la référence.

  • Description du changement : une explication détaillée de ce qui est modifié, pourquoi le changement est nécessaire et quels sont les objectifs visés. 

  • Type de changement : catégorisation du changement selon sa nature (par exemple : logiciel, matériel, processus, etc.).

  • Impact attendu : évaluation des effets prévus ou anticipés du changement sur les systèmes, les services, les utilisateurs ou l’organisation dans son ensemble. 

  • Urgence : niveau de priorité ou de criticité du changement, déterminant à quelle vitesse le changement doit être mis en œuvre.

  • Date et heure de début du changement : moment prévu pour démarrer la mise en œuvre du changement.

  • Date et heure de fin du changement : moment prévu pour achever la mise en œuvre du changement.

  • Responsable du changement : la personne ou l’équipe chargée de superviser, d’approuver et de mettre en œuvre...