Download - Le 17 avril 2013 Pavillon Dauphine, Paris
Assises DATACENTER
Le 17 avril 2013
Pavillon Dauphine, Paris
Assises DATACENTER
Nathan SROUR
Principal
+33 (0) 6 09 06 76 91
www.orsypconsulting.com
Le présent document est la propriété exclusive de ORSYP SAS et ne peut être diffusé par quelque moyen que ce soit à une tierce personne n'appartenant pas à CESIT sans l'autorisation préalable de ORSYP SAS
Le présent document est l’analyse d’ORSYP Consulting à la demande du CESIT.
Damien CONVERT
Consultant Senior
+33 (0) 6 08 12 14 27
Assises DATACENTER
Nathan SROUR
Principal, Consultant en Management du SI
Membre de la Commission Normalisation Ingénierie Qualité des Logiciels et des Systèmes auprès de l’AFNOR(développement des normes de la série ISO20000)
Expert ITIL, ISO 20000,
Expérience opérationnelle dans la production IT
Revue par Frederic CHARRON
Assises DATACENTER
Tendances & Evolution de l'Ecosystème
Les normes de l'industrie Informatique
Focus sur ISO 20000
Illustration : Cas concrets
Conclusion
Assises DATACENTER
Vers une spécialisation des offres
◦ Hébergement en colocation
◦ Hébergement managé
◦ Privatif (plein propriété)
Des organisations informatiques en évolution
◦ Traditionnel (au sein d’une DSI)
◦ Opérateurs en Cloud,
◦ GIE Informatique,
◦ Sociétés de Gestion de Datacenter
Un besoin d’accréditation accrue
◦ Niveau d’exigences en croissance exponentielle
◦ Réglementations internationales
◦ Conformités aux normes
Une abondance de normes et standards
◦ SAS 70, PCI DSS, …
◦ ISO 27000, ISO 14000
◦ NFC 15-100, …
Assises DATACENTER
Tendances & Evolution de l'Ecosystème
Les normes de l'industrie Informatique
Focus sur ISO 20000
Illustration : Cas concrets
Conclusion
Assises DATACENTER
Domaine NFC 15 -100
SAS 70
PCI DSS Uptime Institute
BS OHSAS
ISO 27000
ISO 14000
ISO 9000
Technologique O O O
Sécurité O O O
Environnement O
Qualité O
Services
Aucune de ces normes n’engage ou ne démontre la présence d’un système de Gouvernance des opérations du Datacenter vis-à-vis de la Production Informatique.
Assises DATACENTER
Les opérations du DataCenter sont-ils un domaine du SI sans cadre et sans suivi ?
Est-il envisageable d’engager une relation Client / Fournisseur permettant d’établir des liens structurants entre et les besoins de l’IT, définis comme le Client, et les opérations du DataCenter, positionné comme le Fournisseur ?
Assises DATACENTER
Tendances & Evolution de l'Ecosystème
Les normes de l'industrie Informatique
Focus sur ISO 20000
Illustration : Cas concrets
Conclusion
Assises DATACENTER
ISO/IEC 20000
Propriétaire ISO/IEC
Domaine d’application/ auditoire
Organisation bénéficiaire de services
Fournisseur de services IT (GIE Informatique, Production Informatique, Opérateurs Cloud, …)
Objectif Mise en place d’une approche orientée processus pour la fourniture de services IT
Divers Compatible avec les systèmes de management ISO 9000 et ISO 27000
Norme spécifique au domaine informatique
Assises DATACENTER
4
5
6
Exigences générales du Système de
gestion des Services
4.1 - Responsabilité de la direction
4.2 - Gouvernance des processus opérés par des tiers4.3 - Gestion de la documentation
4.4 - Gestion des ressources
4.5 - Etablir et améliorer le SMS
Conception et transition des
modifications ou création de services
Processus de fourniture des services
6.1 - Niveaux de service
6.2 - Rapport de service6.3 - Continuité & Disponibilité
6.4 - Budgétisation & Comptabilisation
6.5 - Gestion de la Capacité6.6 - Gestion de la Sécurité
78
7.1 - Relations clients
7.2 - Relations fournisseurs
Gestion des relations
8.1 - Gestion des Incidents
et des demandes de services8.2 - Gestion des Problèmes
Processus de Résolution
1 Périmètre
3 Termes et définitions
2 Références normatives
9
9.1 - Configurations
9.2 - Changements9.3 - Déploiements et mises en production
Contrôle
Résolution
5.1 - Généralités
5.2 - Planifier des modifications ou création de services5.3 - Concevoir et développer des modifications ou création de services
5.4 - Transition des modifications ou création de services
Client
Exigence de
Services
Client
Services
Fournisseurs de Services
Assises DATACENTER
Domaine NFC 15 -100
SAS 70
PCI DSS Uptime Institute
BS OHSAS
ISO 27000
ISO 14000
ISO 9000
ISO 20000
Technologique O O O
Sécurité O O O O
Environnement O
Qualité O O
Services O
Assises DATACENTER
Pour les opérations du Datacenter ?
Une culture de services renforcée
Des processus qui vont gagner en maturité, en efficacité et en efficience
Une démarche d’amélioration continue La reconnaissance de l’adoption des meilleures pratiques du marché, gage de Professionnalisme
Maîtrise des coûts
La possibilité de se démarquer par son excellence
− Créer un nouveau business et/ou attirer de nouveaux Clients
− Pénétrer des marchés plus vastes (le standard est international)
− Donner aux opérations du Datacenter un avantage basé sur la Qualité
Pour ses Clients ? Une Qualité de Service, gage de confiance et de meilleure satisfaction Client
Des processus alignés sur les meilleures pratiques ITIL
Un Système de Management des Services facilement compréhensible.
Assises DATACENTER
Dans une perspective d’amélioration continue, il convient de bien définir le champ d'application du Système de Management des Services.
Les paramètres à considérer doivent cibler :
Les services fournis aux Clients
Les Clients bénéficiaires des services
L’organisation du Fournisseur de Services
Les localisations géographiques du Fournisseur de Services
L’infrastructure de gestion du Fournisseur de Services
Assises DATACENTER
Tendances & Evolution de l'Ecosystème
Les normes de l'industrie Informatique
Focus sur ISO 20000
Illustration : Cas concrets
Conclusion
Assises DATACENTER
Hébergement du SI
Exécution des
consignes
Installation
d’OS
Administration
des
applications
Supervision du
SI
Hébergement
avec gestion de salle
Gestion de
proximité,
Plan de salle,
inventaire,
Hébergement sec
Sécurité
périmétrique,
Energie (clim,
HQ),
règles
d’urbanisatio
ns,
moyens
généraux du
bâtiment
Exploitation du S.I
Gestion de salle
Cas pratique : Hébergement du SI
La norme est déjà utilisée pour assurer la gouvernance des services liés à l’hébergement du S.I, (Exemple : SYSTALIANS, GIE Informatique dont le retour d’expérience a été présenté aux Assises Gouvernance et ITIL du 26 février 2013)
Champ d’application
Assises DATACENTER
Champ d’application
Hébergement du SI
Exécution des
consignes
Installation
d’OS
Administration
des
applications
Supervision du
SI
Hébergement
avec gestion de salle
Gestion de
proximité,
Plan de salle,
inventaire,
Hébergement sec
Sécurité
périmétrique,
Energie (clim,
HQ),
règles
d’urbanisatio
ns,
moyens
généraux du
bâtiment
Exploitation du S.I
Gestion de salle
Cas pratique : Hébergement avec gestion de salle
Les services cœurs de métier fournis à l’hébergeur du S.I sont couverts. La démarche d’amélioration orientée vers les directions ou entreprises utilisatrices du S.I doit inclure les services d’hébergement du S.I
Assises DATACENTER
Cas pratique : Hébergement sec
Hébergement du SI
Exécution des
consignes
Installation
d’OS
Administration
des
applications
Supervision du
SI
Hébergement
avec gestion de salle
Gestion de
proximité,
Plan de salle,
inventaire,
Hébergement sec
Sécurité
périmétrique,
Energie (clim,
HQ),
règles
d’urbanisatio
ns,
moyens
généraux du
bâtiment
Exploitation du S.I
Gestion de salle
Les services cœurs de métier fournis à l’hébergeur du S.I sont partiellement couverts La démarche d’amélioration orientée vers l’hébergeur du S.I doit inclure les services de gestion de salle
Champ d’application
Assises DATACENTER
Cas pratique : Hébergement en colocation
Hébergeur de colocation
Exploitant 2
Exploitant 2
Client
Fournisseurs de services
Exploitant 1
Client Niveau de maturité
Le Fournisseur de Service doit cibler le(s) client(s) qui disposent d’un niveau de maturité suffisant pour exprimer leurs exigences de services (planification des changements, exigence de capacités, etc. )
Champ d’application
Assises DATACENTER
Hébergeur du S.I
Fournisseur Y
Fournisseurs de Services
Fournisseurs
Direction utilisatrice
Client
Cas pratique : La DSI est le Fournisseur de Services
La DSI impose ses cahiers des charges auprès de l’hébergeur du S.I, reçoit et contrôle les prestations en regards de ses attendus. Dans le cadre d’une initiative de progrès, l’hébergeur du S.I devra tendre vers l’adoption d’un système de management de la qualité
DSI
Exigence de Services
Prestations
Exigence de Services
Prestations
La norme est déjà utilisée par les DSI pour assurer la gouvernance des services (Exemple : Pôle Emploi, Thales, BnP Paribas, …).
Champ d’application
Assises DATACENTER
Gestionnaire de salle
Hébergeur sec
Exploitant du S.I
DSI
Cas pratique : L’Organisation du Fournisseur de Service n’assure qu’une fonction
Client
Fournisseurs de Services
L’apport de la norme est incomplet pour la DSI car la chaîne de fourniture de services n’est pas couverte de bout en bout. Dans le cadre d’une démarche d’amélioration, une extension progressive du périmètre sera requise par le DSI pour permettre la certification d’entreprise
Champ d’application
Assises DATACENTER
Cas pratique : L’Organisation des Fournisseurs s’appuie sur des sous-traitants
Hébergeur gestionnaire de
salle
Hébergeur du S.I Fournisseur X
DSI
Fournisseur Y
Hébergeur sec
Fournisseur De Services
Fournisseurs
Sous-traitant
Client
La norme ne couvre pas la gestion des sous-traitants. Le Fournisseur de Services devra auditer ses sous-traitants (i.e. les Fournisseurs de rang 2) pour s’assurer que les prestations délivrées lui garantissent sa conformité.
Champ d’application
Assises DATACENTER
DSI, GIE
Informatique, …
Fournisseur de Services
Site principal
Client
Cas pratique : Localisation géographique du site de secours non couvert
Hébergeur avec gestion de salle
Site de secours
RTO < 24h ?
Localisation A Localisation B
Le site principal sera certifié en priorité de façon à améliorer l’engagement de services en termes de disponibilité. Au titre de l’amélioration continue, la certification sera étendue aux autres localisations. Cela permettra notamment d’améliorer le respect des exigences de continuité exprimées par les clients
Champ d’application
Assises DATACENTER
Les outils de sureté, la GTB et la DCIM devront être intégrés dans le champ d’application en priorité. Dans le cadre de l’amélioration continue, la GMAO pourra être intégré.
Exploitant du S.I
Fournisseur de Services
Client
Cas pratique : « GMAO non couverte »
Hébergeur avec gestion de salle
Outils de sûreté
DCIM
GTB
GMAO
Champ d’application
Assises DATACENTER
Tendances & Evolution de l'Ecosystème
Les normes de l'industrie Informatique
Focus sur ISO 20000
Illustration : Cas concrets
Conclusion
Assises DATACENTER
◦ La certification ISO 20000 est une démarche itérative et progressive : elle s’appuie sur l’extension des champs d’application. Cette approche est certainement celle qui permettra d’aboutir plus facilement ou plus certainement à une certification d’entreprise.
◦ Les opérations du Datacenter sont un champ d’application certifiable et adapté aux différentes typologies d’hébergement.
◦ La norme ISO 20000 apporte un système de gouvernance efficace pour les opérations du Datacenter ◦ Définit et engage la mise en place des processus
◦ Structure la relation avec les exploitants IT
◦ Etablit des indicateurs de suivi des services
◦ Plan Qualité définit et maîtrisée
◦ Démarche d’amélioration continue
◦ La certification ISO 20000 des opérations du Datacenter permettra de démontrer l’excellence opérationnelle en termes de gestion des services.
Assises DATACENTER
NFC 15-100
Propriétaire AFNOR
Domaine d’application/ auditoire
Bâtiments à usage commercial, établissements industriels, notamment les Datacenter
Objectif Conception, réalisation, vérification et entretien des installations électriques basse tension en France
Divers
Norme régulièrement mise à jour pour prendre en compte les évolutions des technologies et techniques ainsi que des évolutions en termes de sécurité des installations en question
Norme générique
Assises DATACENTER
Classification en tiers des Datacenter
Propriétaire UPTIME INSTITUTE
Domaine d’application/ auditoire
Datacenter
Objectif Evaluer le niveau de résilience offert par les infrastructures techniques du DataCenter
Divers Système de classification des DataCenter en quatre niveaux déterminés selon leur degré de fiabilité et de redondance
Norme spécifique au domaine informatique
Assises DATACENTER
SAS 70 (ou ISAE 3402)
Propriétaire American Institute of Certified Public Accountants
Domaine d’application/ auditoire
Entreprises qui offrent des prestations susceptibles d’affecter la situation financière de leurs client
Objectif Dispositif de contrôle interne
Divers
Cette norme comporte deux niveaux
Le premier (Type I) porte sur la description des activités de la société et sur la pertinence des contrôles.
Le deuxième niveau (type II) évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70.
Norme générique
Assises DATACENTER
Payment Card Industry Data Security Standard
Propriétaire European Payment Council
Domaine d’application/ auditoire
- Entreprises émettrices de cartes de paiement
- Du S.I jusqu’à son hébergement au sein du Datacenter
Objectif Sécurité des données pour les industries de carte de paiement
Divers Protéger leurs données et à prévenir les fraudes.
Norme spécifique au domaine informatique
Assises DATACENTER
BS OHSAS 18001
Propriétaire BSI Group
Domaine d’application/ auditoire
Tout type d’entreprise
Objectif Management de la Santé et de la Sécurité au Travail
Divers Compatible avec les Systèmes de Management ISO 9000 pour la qualité, ISO 14000 pour l’environnement
Norme générique
Assises DATACENTER
ISO/IEC 27000
Propriétaire ISO/IEC
Domaine d’application/ auditoire
Tous les types d’organisations / management, clients
Objectif Standard international de sécurité de l’information, entreprises certifiées
Divers Compatible avec le système de management ISO 9000, pour la qualité et ISO 20000, pour la gestion des services
Norme spécifique au domaine informatique
Assises DATACENTER
ISO 14000
Propriétaire ISO
Domaine d’application/ auditoire
Organisations qui veulent mettre en œuvre une gestion visant à maîtriser leurs impacts sur l'environnement
Objectif Système de management environnemental
Divers Compatible avec le système de management ISO 9000, pour la qualité
Norme générique
Assises DATACENTER
ISO 9000
Propriétaire ISO
Domaine d’application/ auditoire
Industrie et fournisseurs de services/ management, clients
Objectif Standard international de gestion de la qualité, entreprises certifiées
Divers
Compatible avec le système de management ISO 27000 pour la sécurité, et ISO 20000 pour les services
Norme générique