Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux
> Présentation
> Résumé / Préface
Le Guide des Bonnes Pratiques tente de recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). Il formalise un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation.Ce guide peut contribuer à rendre les missions du métier plus lisibles, améliorer l'organisation et la technicité mises en œuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles.
Ce projet de guide est né à l'initiative de RESINFO à partir d'une réflexion générale liée aux différents contextes de travail de notre métier dans lesquels on assiste à une intensification des tâches d'exploitation des systèmes informatiques et des réseaux, et des responsabilités attenantes, la plupart du temps à moyens humains constants.
Son objectif vise à déterminer les pratiques et les processus à mettre en place sur le terrain, pour une meilleure organisation personnelle et de travail, afin d'améliorer la qualité et la fourniture de services, la sécurisation de nos serveurs et réseaux, la documentation de nos actions, la communication avec les utilisateurs, la prise en compte des évolutions technologiques, et in fine la lisibilité de nos activités d'ASR.
Pour ce faire, nous avons utilisé les normes ISO pour donner un cadre référentiel à nos pratiques de terrain, ce qui permet de mieux rendre compte de nos activités et de mieux les structurer. Les grandes lignes que nous abordons sont :
- la fourniture de service : le guide décrit les bonnes pratiques des ASR pour assurer une qualité de service grâce aux principaux processus de la norme ISO 20000 ;
- la sécurité du Système d'Information (SI) de nos unités et le respect des contraintes juridiques ont été replacés dans le cadre normatif ISO 27001 ;
- la communication, la gestion du temps et les relations humaines : il s'agit de proposer à l'ASR quelques bonnes pratiques pour s'organiser dans son propre contexte. Nous poursuivons avec la veille technologique et la formation permanente sur la nécessité de suivre au plus près les évolutions technologiques en cours, de se former de façon permanente et de participer aux structures d'échanges du métier ;
- la prise en compte des aspects d’impact environnemental liés directement à l'utilisation des Technologies de l’Information et de la Communication (TIC). Nous indiquons les pistes de base nécessaires pour veiller à la réduction de l’impact des TIC sur l’environnement ;
> Sommaire
Résumé............................13INTRODUCTION............................15
1. Définitions – Objectifs............................15
2. Un cadre minimal proche du terrain............................16
3. Bonnes pratiques et Qualité............................17
4. Les contraintes relevant des tutelles............................17
5. Les contraintes juridiques............................18
6. Les bonnes pratiques liées aux contextes personnel et relationnel des ASR............................18
7. Aspects environnementaux............................19
LA FOURNITURE DE SERVICES INFORMATIQUES............................21
1. Une démarche qualité dans les unités de recherche............................21
-- 1.1 Description des modèles ITIL et ISO 20000............................21
-- 1.2 Transposition au contexte ASR dans une unité de recherche............................22
--- 1.2.1 Définir le périmètre d'action............................23
--- 1.2.2 Mettre en place une gestion des configurations............................23
--- 1.2.3 Définir les niveaux de service............................23
--- 1.2.4 Définir la continuité de service............................23
--- 1.2.5 Gérer les interventions............................23
--- 1.2.6 Gérer les dysfonctionnements............................23
--- 1.2.7 Assurer les changements et les mises en production............................23
-- 1.3 Définition du périmètre............................25
2. La gestion des configurations............................27
-- 2.1 Ce qu'il faut prendre en compte............................27
-- 2.2 Comment organiser la gestion des configurations ?............................28
3. La gestion des niveaux de service............................29
-- 3.1 Déterminer les services à considérer............................29
-- 3.2 Quel niveau pour quel service ?............................30
4. La gestion de la continuité de service............................31
5. La gestion des interventions............................32
-- 5.1 Ce qu'il faut prendre en compte............................32
-- 5.2 Comment organiser la gestion des interventions............................32
--- 5.2.1 Optimiser les ressources pour accélérer le traitement des interventions............................33
--- 5.2.2 Analyser les interventions............................33
6. La gestion des dysfonctionnements............................33
-- 6.1 La gestion des incidents............................33
-- 6.2 La gestion des problèmes............................34
7. La gestion des changements et de la mise en production............................35
8. Le catalogue de services............................36
-- 8.1 Utilité du catalogue de services............................36
-- 8.2 La démarche............................37
-- 8.3 Identification des services............................37
-- 8.4 Communiquer l’offre de services............................42
--- 8.4.1 Fiche de description d’un service............................42
--- 8.4.2 Vue client du catalogue de services............................44
9. La documentation............................46
-- 9.1 La documentation pour les utilisateurs............................46
-- 9.2 La documentation technique destinée aux ASR............................47
-- 9.3 Comment réaliser ces documentations ?............................48
LA GESTION DE LA SECURITE............................49
1. Les enjeux de la sécurité des systèmes d’information............................49
2. La construction du Système de Management de la Sécurité de l’Information (SMSI)............................50
-- 2.1 L'apport des normes ISO 2700x............................50
-- 2.2 Les différentes étapes de mise en place du SMSI............................50
--- 2.2.1 Etape de planification « Plan »............................50
--- 2.2.2 Etape du déploiement « Do »............................51
--- 2.2.3 Étape de vérification « Check »............................51
--- 2.2.4 Étape d'ajustement « Act »............................52
-- 2.3 Organiser la mise en place pratique d'un SMSI dans les unités de recherche............................52
--- 2.3.1 Engagement de la direction et lancement du SMSI............................53
--- 2.3.2 Étude du contexte et de l'environnement............................53
3. La gestion du risque............................54
-- 3.1 Appréciation du risque............................55
-- 3.2 Traitement des risques............................60
-- 3.3 Déclaration d'applicabilité............................62
4. Bénéfice de la démarche SMSI............................63
5. Exemples de mesures de sécurité courantes............................63
-- 5.1 Sécurité physique des locaux............................64
-- 5.2 Sécurité du matériel et du câblage............................64
-- 5.3 Mise au rebut ou recyclage............................64
-- 5.4 Procédures de sécurité informatique liées à l'exploitation............................64
--- 5.4.1 Protection contre les codes malveillants : virus et autres « malwares »............................64
--- 5.4.2 Sauvegarde des informations............................65
--- 5.4.3 Journaux systèmes – les logs............................65
--- 5.4.4 Synchronisation des horloges............................66
--- 5.4.5 Sécurité du réseau – Echange des informations – Contrôle d'accès réseau............................66
--- 5.4.6 Protection des transferts de données : chiffrement............................66
--- 5.4.7 Exigences relatives au contrôle d'accès aux systèmes d'exploitation............................67
--- 5.4.8 Gestion de parc et des moyens nomades – Cybersurveillance............................68
--- 5.4.9 Mesure de l'utilisation des ressources : outils de métrologie............................68
6. Sauvegarde et archivage............................68
-- 6.1 Imposer des standards indépendants des applications et des environnements informatiques............................69
-- 6.2 Respecter la législation............................70
-- 6.3 Pérenniser les données descriptives............................70
-- 6.4 Analyse de risques et politique d'archivage............................70
LES ASPECTS JURIDIQUES DU METIER D'ASR............................71
1. Référentiel légal du métier d’ASR............................71
2. Ne pas ignorer le droit.............................72
3. Faire de la veille juridique............................72
4. Disposer d'une boîte à outils juridiques............................72
5. Ne pas faire ce que tu n'as pas le droit de faire............................73
6. Ne pas être négligent fautif : Informer – Contrôler – Agir............................73
-- 6.1 Informer............................73
-- 6.2 Contrôler............................74
-- 6.3 Agir............................75
7. Prouver que l'on fait bien son travail............................75
8. Connaître et utiliser la bonne chaîne d'alerte............................76
9. Savoir coopérer avec les autorités compétentes............................76
LES CONTEXTES PERSONNEL ET RELATIONNEL............................77
1. La gestion du temps............................77
-- 1.1 Différencier les processus (ou opérations) des projets............................78
-- 1.2 Les processus............................79
--- 1.2.1 Le schéma du flux de travail ou la technique du cycle............................79
--- 1.2.2 Mieux gérer les interruptions............................80
--- 1.2.3 Mettre en place des routines et des automatismes............................80
-- 1.3 La gestion des projets............................81
-- 1.4 La planification............................82
-- 1.5 Conclusion............................83
2. La communication de l'ASR avec ses partenaires............................84
-- 2.1 La communication relevant de la « politique générale » informatique de l'unité............................85
--- 2.1.1 La communication sur les activités du service des SI............................85
--- 2.1.2 La communication avec les utilisateurs............................87
--- 2.1.3 Communication, collaboration avec les partenaires extérieurs............................89
--- 2.1.4 Les relations avec les fournisseurs et les achats............................90
3. Recommandations sur les compétences............................90
-- 3.1 Objectifs............................90
-- 3.2 L'auto-formation............................91
-- 3.3 La formation professionnelle (ex. formation continue)............................92
-- 3.4 La veille technologique............................93
-- 3.5 Les relations de métier............................93
L'ASPECT ENVIRONNEMENTAL............................95
1. Comment réduire les impacts environnementaux ?............................95
-- 1.1 Mettre en place une politique volontariste « développement durable », inscrire un volant « greenIT »............................96
-- 1.2 Mesurer et définir des indicateurs............................96
-- 1.3 Réduire les biens d’équipement en usage et en renouvellement............................96
-- 1.4 Acheter éco-conçu, fiable et solide............................97
-- 1.5 Optimiser le fonctionnement des salles informatiques............................98
-- 1.6 Sensibiliser les utilisateurs............................99
-- 1.7 Porter une attention particulière au devenir des Déchets d’Equipements Electriques et Electroniques (DEEE)............................100
CONCLUSION............................101
1. Un cadre général : promouvoir une démarche qualité............................102
2. Quelques autres pistes pour continuer............................103
BIBLIOGRAPHIE............................105
ANNEXES............................109
ANNEXE 1 : QUESTIONNAIRE D'AUTO-EVALUATION A USAGE INTERNE............................111
ANNEXE 2 : FICHES DE REFERENCE............................115
LA FOURNITURE DE SERVICES INFORMATIQUES............................115
1. Une démarche qualité dans les unités de recherche............................115
2. La gestion des configurations............................115
3. La gestion des niveaux de service............................116
4. La gestion de la continuité de service............................116
5. La gestion des interventions............................117
6. La gestion des dysfonctionnements............................117
7. La gestion des changements et de la mise en production............................118
8. Le catalogue de services............................118
9. La documentation............................118
LA GESTION DE LA SECURITE............................120
LES ASPECTS JURIDIQUES DU METIER D'ASR............................123
LES CONTEXTES PERSONNEL ET RELATIONNEL............................124
1. La gestion du temps............................124
2. Recommandations sur les compétences............................124
FICHES CONCERNANT LES ASPECTS TECHNIQUES SPECIFIQUES A WINDOWS............................127