 |
|
|
| |
|
|
|
| Euler Hermes contourne ITIL pour sa gestion des risques informatiques |
| Pour optimiser sa production informatique, le groupe d'assurance crédit s'appuie sur ITIL. Une base à laquelle échappe la gestion des risques qui a donné lieu à l'élaboration de processus ad hoc.
(22/05/2006) |
|
"ITIL présente peu de facteurs différenciant autour de la gestion de la sécurité", nous indiquait Pierre Merea,
directeur général
de la société de services Synopse, en mars 2005 (lire l'interview). Le point de vue est confirmé par le retour d'expérience d'Euler Hermes.
Partant d'ITIL (IT Infrastructure Library) pour refondre ses processus de production informatique, le groupe d'assurance crédit a en effet décidé de concevoir un cadre ad hoc pour supporter sa gestion des risques informatiques plutôt que de s'appuyer directement sur le référentiel de bonnes pratiques britannique.
Chez Euler Hermes, le chantier ITIL remonte à 2002. Il est lancé alors dans le cadre d'un projet visant à centraliser en France l'infrastructure informatique de la société pour l'ensemble de ses unités métiers, y compris pour ses filiales internationales. Des activités étrangères qui avaient été acquises dans les années 1990 par le groupe, alors appelé Société française d'assurance crédit (SFAC), stratégie qui avait par la suite conduit au changement de nom du nouvel ensemble.
La nouvelle plate-forme centralisée a notamment pour but de supporter les applications transversales à l'ensemble de ces entités. Au total, 40 pays sont concernés. "En faisant appel à ITIL, l'idée était de se doter d'un cadre de travail pour répondre à l'exigence de transparence et de fiabilité informatiques nécessaires à cette nouvelle structure", commente Jean-Michel Gagnière, responsable de la production chez Euler Hermes.
| ITIL est retenu comme socle aux processus de service delivery et de support |
Le référentiel (lire l'analyse du 07/03/2005) est retenu comme socle des processus de service delivery et de support informatique.
Il est également choisi par le groupe pour orchestrer la gestion d'incidents (lire l'article du 22/11/2004) "Nous avons vite pris conscience que la gestion des risques n'était pas couverte par ITIL, y compris dans ses recommandations autour de la gestion d'incidents, de la gestion des problèmes et de la gestion des changements", note Jean-Michel Gagnière.
Comment définir un risque informatique ? "Il s'agit d'un événement lié au système d'information qui se situe dans le futur et qui présente une probabilité d'occurrence se situant entre 1 et 100%", poursuit Jean-Michel Gagnière.
Afin de gérer ce type d'évènement, Euler Hermes élabore donc un mode de traitement particulier : les risques IT sont identifiés à l'occasion d'une réunion hebdomadaire opérationnelle. Des notes leur sont attribuées au regard de leur degré de criticité. Pour chacun d'entre eux, un membre de l'équipe de production est chargé de concevoir un plan décliné en actions élémentaires, elles mêmes attribuées à des responsables opérationnels. Les risques informatiques déjà en cours de traitement sont également passés en revue, leur niveau de gravité est éventuellement redéfini en fonction des travaux réalisés.
Les risques informatiques identifiés sont de natures diverses. Il peut s'agir notamment de points informatiques pour lesquels la sécurité n'est pas suffisante, telle une faille susceptible d'être exploitée pour une action malveillante. Autres risques évoqués : un déficit d'organisation ou de ressources humaines, pouvant engendrer une indisponibilité de systèmes, ou encore une application de support pouvant impliquer un temps de debuggage trop long en cas de plantage, et de ce fait avoir un impact sur certaines applications critiques.
"Un plan d'actions peut consister par exemple à s'assurer d'une mise à jour logicielle, mettre en place un équipement supplémentaire, remplacer un équipement, ou encore remettre à plat le paramétrage d'un matériel", détaille Jean-Michel Gagnière. Il résume : "En tout état de cause, cette démarche globale de gestion des risques permet de justifier ces investissements tout en les équilibrant en fonction du niveau de criticité envisagé au regard de l'impact métier possible. Dans certains cas, on pourra d'ailleurs accepter l'existence de certains risques."
Compatible ITIL, la solution Mercury Business Availability Center a été choisie pour supporter les processus service delivery, notamment en vue de gérer les contrats de service (disponibilité, temps de réponse, etc.). Quant au processus de gestion et d'évaluation des risques, il est pour l'instant mis en œuvre de façon non-centralisée et non-automatisée. Les analyses de risques sont réalisées à la main, à partir de la base de gestion des configurations, par une étude de l'impact du crash d'un composant technique sur les services métier qu'il supporte.
"Mais nous envisageons de déployer un outil dans cette perspective", confie le responsable. "L'offre Mercury est sur ce plan intéressante. Elle s'est en effet étoffée d'une application de gestion des risques associés au changement informatique qui pourrait se révéler intéressant. Cet aspect couvre en effet 70 à 80% des risques IT."
|
Le projet en bref
|
|
Organisme
|
Euler Hermes
|
|
Secteur d'activité
|
Assurance crédit
|
|
Type de projet
|
Gestion des changements et du delivery, et des risques informatiques
|
|
Solution retenue
|
Mercury Business Availability Center (gestion du service delivery) Mercury dashboard (tableau de bord des éléments techniques et applicatifs du SI)
|
|
Date de lancement du projet
|
Janvier 2002
|
|
|
|
|
|
|
|
Dossier 
