Les processus informatiques se structurent au niveau de la sécurité (RSSI, Plan de Continuité de l'Activité), de la gestion de projet (PMO), du service desk (ITIL), avec le développement d'un schéma directeur, d'une planification budgétaire mieux maitrisée, d'un DRP souple et nettement moins coûteux qu'auparavant, etc ...
Des services Data et Cybersécurité sont même en cours de développement pour les clients finaux. Cette transformation a nécessité une réorganisation des équipes et le renforcement des compétences. Elle n'est pas totalement terminée mais les principales pièces du puzzle sont assemblées. Les équipes de la DSI deviennent autonomes pour stabiliser cette transformation. Ce projet répond à notre approche du service, qui consiste à améliorer la maturité des équipes sur les plans organisationnels, de la sécurité de l'information et de la gouvernance des SI pour, in fine, rendre notre client autonome.
0 Commentaires
👉 Tu es DSI.
Conseil 15 / 15 que j’aurais apprécié en tant que DSI. Développe un plan de continuité de l’activité (PCA). La direction demande à l’informatique de mettre en place un DRP (Disaster Recovery Plan) ou PRA (Plan de Reprise de l’Activité) en cas d’incident grave, et considère parfois que la continuité de l’activité est assurée. Partiellement VRAI avec un budget gigantesque 😀 FAUX avec un budget raisonnable ☹️ 👉 Le DRP représente l’aspect technique de traitement d’un incident majeur, tel qu’une panne d’infrastructure système ou réseau, ou une attaque par un hacker. Comment et quand déclencher le DRP ? Comment et quand revenir à la normale ? Comment travailler pendant l’activation du DRP ? Ces questions nécessitent un travail en amont avec les métiers : le Plan de Continuité de l’Activité. 👉 Ce plan doit être piloté par la direction générale avec l’appui de la DSI. Il s’agit d’assurer la survie de l’entreprise en cas d’incident majeur où l’informatique est impactée. Le DRP n’est une des composantes du Plan de Continuité de l’Activité. Le PCA va identifier les processus critiques de l’entreprise, qui eux-mêmes permettront d’identifier les logiciels, les systèmes virtuels et physiques, qui permettent à ses processus de vivre. Les processus critiques seront au cœur du DRP. Se concentrer sur ces derniers permet également de minimiser le coût du DRP. Le PCA va formaliser les scénarios de crise classés par probabilité d’occurrence et impacts sur l’activité de l’entreprise. Le PCA va formaliser le déclenchement d’une cellule de crise qui sera décisionnaire quant au déclenchement du DRP. Le PCA va formaliser le fonctionnement des processus en mode dégradé, notamment les processus non critiques. 👉 Initie ce travail de formalisation avec la DG, et accompagne sa réalisation. Cela t’offre une occasion d’immersion dans les processus clés de l’entreprise. Tu contribues à définir les modes dégradés avec les métiers. Cet exercice te permet aussi d’ajuster le plan stratégique, offrir une architecture flexible, rapprocher ton offre des besoins, améliorer la sécurité, … Et dans ton entreprise, comment est adressée la continuité de l’activité ? 👉 Tu es DSI.
Conseil 8/15 que j’aurais apprécié en tant que DSI. Mets en place une démarche de protection des données. C’est un sujet dont on parle beaucoup, mais qui n’est pas nouveau.
Les données sont des actifs de l’entreprise, qui doivent être protégés comme des biens tangibles. 👉 Attention : la sécurisation des données ne se limite pas à la sécurisation physique des serveurs et des locaux ! Elle est nécessaire, mais … 70% à 80% des failles sont liées à des comportements humains, selon les analyses. 👉 Concentre-toi sur la sensibilisation des collaborateurs. Fait appel à des prestataires spécialisés dans l’ingénierie sociale. C’est leur métier. Ils te fourniront des conseils spécifiques et pourront simuler une attaque auprès des collaborateurs, afin de vérifier leur maturité sur le sujet. 👉 Mets en place une gouvernance de la donnée basée sur des bonnes pratiques. Là aussi, fait appel à un spécialiste. C’est un métier en émergence, pas encore très répandu, bien que le management de la donnée ne soit pas nouveau. 👉 Utilise les services d’un DPO (Data Protection Officer) interne est en mesure de l’occuper à temps plein, ou fait appel à un DPO externe. Réfléchie aussi à l’utilisation des données, afin d’identifier de nouveaux services à valeur ajoutée destinés aux clients, et à la façon dont ces données vont circuler et être manipulées. Cette réflexion rapprochera la DSI des métiers. Et dans ton entreprise, quel est le principal challenge que tu rencontres ? 👉 Tu es DSI.
Conseil 5/15 que j’aurais apprécié en tant que DSI. Élabore un Schéma Directeur des Systèmes d’Information (#SDSI pour les intimes). As-tu déjà pris la route sans savoir où tu vas ? Probablement non. Le schéma directeur des SI permet de décliner la stratégie d’entreprise au niveau des systèmes d’information. L’informatique étant au cœur de quasiment toutes les activités de l’entreprise, il s’agit d’un non-sens de ne pas connaître la direction à lui donner. 👉 Tu vas élaborer le #schémadirecteur avec les métiers afin de répondre à LEURS besoins. C’est la première étape : bien comprendre les attentes et les besoins des directions opérationnelles. 👉 Recherche le meilleur équilibre entre les attentes des métiers, les contraintes techniques et budgétaires. 👉 Prend en compte les nouvelles technologies et intègre les dans tes réflexions si elles peuvent apporter une valeur ajoutée à l’entreprise : nouveaux services aux clients, amélioration de processus interne, optimisation budgétaire, flexibilité, mobilité, … Ne considère pas le budget comme une contrainte dans un 1er temps. Cela viendra bien assez tôt. 👉 Commence par élaborer le sommaire, cela t’aidera à structurer la démarche et les discussions. 👉 Prépare ton questionnaire. 👉 Rencontre des collaborateurs clés, des opérateurs, les directeurs, la direction générale. 👉 Opère plusieurs itérations, afin que chaque partie s’approprie la démarche et le schéma directeur. A l’issue de cette séquence, tu auras démontré ta capacité à :
Les métiers comprendront mieux ce que fait l’informatique, grâce à un document qui formalise la démarche et démontre les interactions entre l’informatique et les directions opérationnelles. Tu amélioreras ta crédibilité en amenant de la valeur ajoutée à l’entreprise. 👉 Maintenant, il ne reste plus qu’à …. Exécuter le SDSI !! 😜 N’hésite pas à partager tes expériences réussies et tes challenges ! 👉 Tu es DSI.
Conseil 4/15 que j’aurais apprécié en tant que DSI. Mets en place une infrastructure solide et pérenne. Ici encore, nous adressons une des fondations de l’informatique. C’est d’ailleurs sur ce pilier que tout le monde t’attend, puisque que tu es le seul à le maîtriser dans l’entreprise. La qualité de l’infrastructure repose entièrement sur toi et sur tes équipes. 👉 Identifie les données critiques et les processus clés de l’entreprise. Cela te permet de concentrer ton énergie et de gérer les priorités dans l’évolution de ton infrastructure. 👉 Identifie les attentes des collaborateurs et de la direction générale en termes de performance, de mobilité, de disponibilité, de sécurité des accès, de protection des données, etc ... Tout cela apparaitra dans ton #planstratégique. 👉 Élabore ton architecture technique et fonctionnelle. 👉 Compare les variantes entre hébergement interne, cloud privé / public / hybride, ou toute autre combinaison. Identifie les nouvelles technologies qui seraient porteuses de valeur ajoutée pour ton entreprise. 👉 Intègre un DRP dans la configuration de ton architecture. Assure toi aussi qu’un plan de continuité de l’activité (PCA) est formalisé. Maintenant, ton infrastructure est en place, ou le sera prochainement. 👉 Prépare des OLA (accord de niveaux de services opérationnels). ITIL peut t’aider, mais reste pragmatique. 👉 Mets en place un tableau de bord de suivi des performances, des disponibilités, des problèmes, de la sécurité, et publie-le (conseil 3/15). Tu pourras anticiper des changements à opérer, préparer ton budget et compléter le portefeuille de projets. 👉 Mets en place un pilotage en temps réel des infrastructures avec un écran toujours visible par les équipes systèmes et réseaux. 👉 Ajoute un affichage des indicateurs dans les bureaux du service desk et de l’infrastructure. Les 2 équipes pourront réagir en temps réel lors d’un événement imprévu, ou anticiper. Travaille sur l’orientation client du back-office, cela donnera du sens à ses actions. N’hésite pas à commenter et partager tes expériences ! 👉 Tu es DSI.
Conseil 3/15 que j’aurais apprécié en tant que DSI. Mets en place un tableau de bord de l’activité et … partage le ! On te demande de réduire les coûts. On te demande d’améliorer la performance. On te demande d’améliorer la disponibilité des applications, des systèmes et des réseaux. On te demande de garantir la protection des données et la sécurisation des autres actifs. On te demande d’assurer la continuité de l’activité. J’en passe … Comme tu le sais, pour améliorer une activité il faut d’abord la mesurer. 👉 Commence par mesurer ce qui est nécessaire pour la DSI et ce qui est utile pour la direction et les métiers : - les niveaux de services (SLA – Service Level Agreement), - la performances par site ou par service des applications, des systèmes, des réseaux, - la disponibilité de ces services et des processus, - la sécurité des données, des systèmes et des réseaux, - le suivi du budget, l’évolution des coûts de fonctionnement et des investissements, - le suivi des licences par site / par utilisateur / par application, - etc … 👉 Présente tes premiers résultats à la DG. Avec cette présentation, tu démontres à nouveau que la DSI est sous contrôle, même si certains indicateurs ne paraissent pas bons. Valide les attentes avec la direction générale et ajuste les objectifs en fonction des attentes. Cela te fournit un plan d’action automatiquement validé par la direction générale. Affine ou complète certains indicateurs pour creuser un point particulier, ponctuellement. Tu vas découvrir des zones de non-performance et des axes d’améliorations. Au fil du temps, tu verras les performances générales évoluer favorablement … et l’image de la DSI évoluera dans le même sens 😊 Et toi, quels sont tes principaux indicateurs de pilotage de la DSI ? Un hôpital envoie des radiographies dans le cloud d’un prestataire pour les faire analyser par l’algorithme d’intelligence artificielle d’un autre fournisseur, et ce sans qu’aucune des trois organisations ne puisse accéder aux informations des autres. Ce scénario résume la promesse du confidential computing, un groupe de technologies en plein essor dans lequel s’activent les géants du cloud, mais aussi des entreprises Suisses.
Une technique développée par Intel s’inscrit dans le domaine prometteur de l’informatique confidentielle. Avec un concept relativement limpide: protéger les données pendant qu’elles sont traitées, et non plus seulement les chiffrer lorsqu’elles sont stockées ou en transit. Swisscom, Intel, mais aussi les principaux développeurs de microprocesseurs et les leaders du cloud ont donné naissance au Confidential Computing Consortium, une coalition destinée à accélérer l’adoption de standard et technologies d’informatique confidentielle. Une barrière de moins vers le cloud «L’informatique confidentielle supprime l’obstacle qui subsiste à l’adoption du cloud pour les entreprises très réglementées ou celles qui s’inquiètent de l’accès non autorisé de tiers aux données. Ce changement de paradigme pour la sécurité des données dans le cloud est la raison pour laquelle Paladin Capital a investi dans la startup Suisse Decentriq». L’informatique confidentielle sera un facteur décisif pour convaincre les sociétés de migrer leurs applications et données les plus sensibles dans le cloud. Gartner a ainsi placé le «privacy-enhancing computing» dans son Top 10 des tendances technologiques en 2021. « Imaginez que vous puissiez collaborer à la recherche génomique dans le cloud, à travers plusieurs zones géographiques, entre concurrents, tout en préservant la confidentialité des dossiers médicaux. Imaginez que vous puissiez concevoir ou découvrir plus rapidement des vaccins et guérir des maladies grâce à une collaboration sécurisée. Les possibilités sont infinies.» Vint Cerf (Chief Internet Evangelist de Google). Source : ICT Journal - Rodolphe Koller - 04.02.2021 |