I- Introduction A-Présentation de la réglementation DORA Le projet “Digital Operational Resilience” a été publié par la Commission Européenne à la fin du mois de septembre 2020 sous la forme d’une proposition de mesures visant à accroître la numérisation du secteur financier. La règlementation DORA exige que les entreprises du secteur financier signalent, rapidement et de manière exhaustive, les incidents majeurs liés aux technologies de l’information et de la communication (TIC) aux autorités de surveillance et aux acteurs du marché afin que le système financier de l’Union Européenne (UE) puisse réagir rapidement et de manière appropriée aux perturbations et maintenir la résilience du système. DORA vise à étendre et unifier les normes et exigences européennes et nationales existantes afin de créer un cadre détaillé, harmonisé et complet pour la résilience opérationnelle numérique des entités financières de l’UE. DORA prévoit également, la mise en place d’un mécanisme de surveillance direct, des prestataires de services TIC critiques au niveau de l’UE. B- L’importance croissante de la résilience opérationnelle numérique En 2005, les accords de Bâle II (Basel Committee on Banking Supervision) introduisaient aux côtés des risques bancaires, le risque opérationnel « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ». Les gouvernements et les organismes de réglementation du monde entier reconnaissent de plus en plus l’importance cruciale d’assurer la résilience des systèmes et des infrastructures numériques. Voici quelques raisons pour lesquelles ces initiatives peuvent gagner en importance : Le paysage des menaces de cybersécurité : Le paysage numérique est en constante évolution, et les cybermenaces continuent de gagner en sophistication et en fréquence. La législation et les cadres réglementaires sont essentiels pour fixer des normes et des exigences permettant d’améliorer la position des organisations en matière de cybersécurité. Protection des infrastructures critiques : De nombreux aspects de la société moderne, notamment l’énergie, la finance, les soins de santé et les transports, dépendent fortement de l’infrastructure numérique. Garantir la résilience opérationnelle des infrastructures critiques est une priorité absolue pour les gouvernements afin d’éviter des perturbations qui pourraient avoir des conséquences considérables. Protection des données et de la vie privée : Avec la quantité croissante de données personnelles et sensibles traitées et stockées numériquement, l’accent est mis de plus en plus sur les réglementations en matière de protection des données et de la vie privée. La législation peut porter non seulement sur la sécurité des données, mais aussi sur la résilience des systèmes qui traitent ces données. Interconnexion mondiale : La nature interconnectée du monde numérique signifie que les perturbations ou les vulnérabilités dans une partie du globe peuvent avoir des effets d’entraînement ailleurs. La coopération internationale et les approches normalisées, facilitées par la législation, sont essentielles pour relever les défis mondiaux en matière de cybersécurité. Réponse aux incidents et rétablissement : La législation comporte souvent des dispositions relatives à la réponse aux incidents et à la récupération. L’établissement de protocoles clairs pour la notification et la réponse aux incidents de cybersécurité aide les organisations à minimiser l’impact des violations et à se rétablir plus efficacement. Confiance des consommateurs : Un cadre réglementaire solide contribue à renforcer la confiance des consommateurs et des entreprises. Le fait de savoir qu’il existe des normes établies en matière de résilience opérationnelle numérique peut renforcer la confiance dans les services et produits numériques. Innovation technologique : À mesure que la technologie progresse, de nouveaux défis et de nouveaux risques apparaissent. La législation peut contribuer à garantir que l’innovation s’accompagne de garde-fous, empêchant ainsi que la résilience opérationnelle ne soit compromise dans la poursuite du progrès technologique. Si la loi sur la résilience opérationnelle numérique est récente ou s’il y a eu des mises à jour depuis ma dernière mise à jour des connaissances en janvier 2022, je recommande de vérifier les sources les plus récentes pour obtenir les informations les plus exactes et les plus actuelles sur ses dispositions et son impact. II- Compréhension de la Réglementation DORA A- Explication détaillée et objectifs principaux de la réglementation DORA répond à un contexte marqué par les crises et les incidents menaçant la continuité de l’activité économique globale. Ces évènements impactent plus spécifiquement les institutions financières, puisque ces dernières sont porteuses de la solidité des économies, et qu’elles ont donné ces dernières années une place incontournable aux outils digitaux, à la robotisation et à l’intelligence artificielle dans leurs systèmes informatiques, se rendant ainsi plus vulnérables. Parmi les piliers de DORA, nous pouvons compter quelques-uns, qui ont ainsi pour objectif un meilleur encadrement des risques cyber et informatiques : Le premier pilier de DORA se focalise sur la gestion des risques liés aux Technologies de l’information et de la communication (TIC) renforçant ainsi des exigences préexistantes : mise en place d’un cadre de gestion des risques comprenant l’identification des fonctions critiques et importantes, les risques associés et une cartographie des actifs TIC. Le second pilier quant à lui concerne le signalement des incidents liés aux TIC et introduit pour cela une méthodologie standard de classification des incidents. Le troisième pilier se focalise sur l’aspect préventif, en instaurant des tests de résilience opérationnelle très poussés (TLPT). Ce pilier comporte de nombreuses nouveautés. Ainsi, les entreprises devront définir un programme de tests avancés, exécutés par des parties indépendantes et comprenant une série d’évaluations, de tests et de méthodologies précises. Enfin, le quatrième pilier de la réglementation DORA établit une classification des tiers fournisseurs critiques. Un contrôle de ces tiers sera effectué par l’ACPR qui pourra réaliser des audits sur site, émettre des recommandations et imposer des sanctions pécuniaires en cas de non-conformité. Pour les assureurs, de nombreux défis sont à relever, puisque divers dispositifs devront être mis en place ou renforcés afin de se conformer à ces nouvelles exigences. Désormais, les incidents classés comme majeurs devront être signalés à l’autorité de régulation compétente et un rapport de suivi devra être réalisé à destination des acteurs de la place. Il sera également exigé un réexamen de la politique de sécurité sur base annuelle, ainsi qu’en cas de survenance d’incidents majeurs, conformément aux instructions des
Rationaliser des processus, automatiser certaines tâches, compiler des connaissances ou encore faciliter le travail de la DSI : l’ITSM occupe aujourd’hui une place prépondérante dans une quantité croissante d’organisations. Mais que désigne exactement cet acronyme ? Comment fonctionne l’ITSM ? Quels bénéfices en attendre ? Ce guide détaillé propose une vue d’ensemble d’un concept central à l’ère du numérique. Qu’est-ce que l’ITSM L’ITSM, ou Gestion des Services Informatiques, désigne l’ensemble des pratiques mises en œuvre par une organisation pour concevoir, piloter et optimiser différents services informatiques.Ces derniers peuvent aussi bien être destinés à un usage interne qu’externe.L’ITSM n’opère pas seulement à travers le prisme technologique, mais recouvre en réalité quatre domaines distincts, parfois appelés “4P” : Processus Produits Personnes Partenaires De par son champ d’action relativement vaste, la Gestion des Services Informatiques tend à être mal comprise. Les confusions et erreurs courantes au sujet de l’ITSM ITSM = ITIL Il s’agit probablement d’une des confusions les plus fréquentes au sujet de l’ITSM. En réalité, l’ITIL est une liste de bonnes pratiques pouvant être appliquées dans une approche ITSM. Il s’agit donc d’un framework, mais ce n’est pas le seul comme nous le verrons plus loin.L’ITIL peut donc être considéré comme une composante de l’ITSM, pas comme un équivalent. L’ITSM est seulement pour les grandes entreprises Parfois considéré à tort comme l’apanage des grands groupes, l’ITSM est pourtant applicable aux PME sans aucun problème, grâce à sa dimension évolutive. De même, elle peut guider la croissance en apportant un cadre structurant à l’ensemble du volet IT. ITSM est un synonyme de support technique Cette affirmation n’est techniquement pas fausse, puisque l’ITSM couvre notamment le support aux utilisateurs pour le volet IT.Cependant, il s’agit là encore d’une brique parmi toutes celles composant la gestion des services informatiques. Le raccourci ITSM = support technique reste donc une approximation. L’ITSM est un projet ponctuel Ici encore, il s’agit d’une approximation. Fondamentalement, l’ITSM s’appuie sur plusieurs piliers, et les différents projets d’amélioration menés au fil du temps ont effectivement des durées bien définies.En revanche, l’ITSM en tant que telle est à considérer comme un processus d’amélioration continue, comme pourrait l’être le marketing ou les ressources humaines par exemple. L’ITSM est trop rigide Parfois perçue comme une boîte noire de processus bureaucratiques obscurs, la Gestion des Services Informatiques fait pourtant la part belle aux approches agiles.Par exemple, le framework ITIL 4 (un des plus utilisés en ITSM) met l’accent sur la collaboration, la flexibilité et l’itération. Ainsi, agilité et ITSM ne sont pas à opposer, bien au contraire. Quels sont les principaux processus couverts par l’ITSM ? La gestion des incidents Ce processus se concentre sur la restauration rapide des services informatiques en cas de dysfonctionnement. Lorsqu’un utilisateur signale une interruption de service ou une dégradation (un incident), l’équipe IT utilise la gestion des incidents pour enregistrer, prioriser et résoudre le problème.Ce processus comprend la classification des incidents, l’attribution de priorités en fonction de leur impact et de leur urgence et l’utilisation de solutions de contournement pour rétablir les services le plus rapidement possible. La gestion des problèmes Attention à ne pas confondre cette seconde composante de l’ITSM avec la gestion des incidents : là où la gestion des incidents a une dimension curative, la gestion des problèmes vise le préventif en s’attaquant aux causes “profondes” des dysfonctionnements. Ce processus implique l’analyse des incidents, la recherche de tendances et l’identification des problèmes sous-jacents. Par exemple, si des lenteurs de chargement sur un intranet sont régulièrement signalées, il est intéressant d’aller au-delà de la résolution (temporaire) du problème et de chercher la ou les causes de la récurrence, de façon à la/les traiter durablement. La gestion des demandes de service Ici, l’enjeu est la prise en charge des différentes demandes entrantes concernant des accès ou la mise à jour de matériel notamment. Chaque fois qu’un client ou utilisateur envoie un formulaire nécessitant une action concrète en retour, la demande est analysée, priorisée puis traitée. Un retour est ensuite envoyé à la personne avec les informations nécessaires. La gestion des changements et du changement Si les deux processus semblent identiques d’un point de vue lexical, ils diffèrent pourtant par leur portée. Le premier, la gestion des changements, est focalisé sur l’aspect technique des évolutions informatiques. Ce processus est essentiel pour minimiser les risques et les perturbations en apportant des changements aux environnements informatiques. Chaque changement est évalué, autorisé et enregistré avant son implémentation.Ici, l’objectif est de garantir que toutes les modifications sont réalisées de manière contrôlée, suivant des procédures définies pour la planification, l’essai, la communication, la documentation et l’analyse post-déploiement. Le second, la gestion du changement, se concentre sur le volet humain en vue d’accompagner les évolutions méthodologiques et structurelles au niveau des équipes. La gestion des configurations Ce processus sert à maintenir des informations à jour sur les éléments de configuration qui sont nécessaires pour livrer un service informatique. Cela comprend les serveurs, les dispositifs de stockage, les réseaux, les logiciels et tout autre élément matériel ou logiciel. Au centre de ce processus se trouve la CMDB (Configuration Management Data Base), dont le rôle est de suivre et de piloter l’ensemble des CI tout au long de leur cycle de vie. La gestion des niveaux de service (SLA) Le SLM (Service Level Management) encadre la collaboration entre un fournisseur de services informatiques et ses clients. L’objectif est de clarifier et de formaliser les attentes d’un côté ainsi que les prestations fournies de l’autre pour éviter les décalages de perception. C’est aussi un processus extrêmement utile pour développer la qualité des services au fil du temps. La gestion des connaissances La gestion des connaissances dans l’ITSM consiste à capturer, organiser et partager les connaissances pour améliorer l’efficacité dans les différents services. Cela inclut la documentation des solutions aux incidents et problèmes, les procédures de service ainsi qu’un certain nombre de bonnes pratiques identifiées.L’objectif est de faciliter le quotidien des équipes en leur fournissant de précieuses informations, tout en relâchant la pression sur la DSI grâce au “self-service” : l’information est accessible en autonomie via une recherche par mot clé ou thématique. Cinq Bénéfices concrets de l’ITSM 1- La réduction des coûts IT L’essor du
La puissance du self-service Les options de self-service ont pour but de permettre aux utilisateurs finaux de trouver des solutions à leurs problèmes de manière indépendante. ServiceNow fournit une plateforme robuste qui permet aux entreprises de mettre en place des portails de libre-service complets, des bases de connaissances et des flux de travail automatisés. Jetons un coup d’œil aux principaux avantages de l’adoption des options de libre-service sur ServiceNow. 1. Disponibilité 24/7 Les options de self-service sont disponibles 24h/24, fournissant aux utilisateurs des réponses au moment où ils en ont le plus besoin. Cette disponibilité réduit la nécessité pour les utilisateurs d’attendre le support pendant les heures de bureau, ce qui augmente la satisfaction et la productivité. 2. Résolution efficace des problèmes Les utilisateurs finaux peuvent accéder à une multitude d’informations via les portails en self-service, notamment des FAQ, des guides de dépannage et des tutoriels vidéo. Cette richesse de ressources aide les utilisateurs à dépanner et à résoudre les problèmes rapidement, sans attendre le support. 3. Optimisation des ressources En permettant aux utilisateurs de résoudre les problèmes courants de manière autonome, votre équipe d’assistance peut se concentrer sur des tâches plus complexes, ce qui améliore l’efficacité et réduit les temps de réponse pour les problèmes critiques. 4. Cohérence et précision Les options de self-service fournissent des informations cohérentes et précises. Les utilisateurs reçoivent ainsi les mêmes réponses, quelle que soit la personne qu’ils consultent, ce qui minimise la confusion et les erreurs. 5. Réduction des coûts La rationalisation du support avec des opérations en libre-service peut réduire de manière significative les coûts de support, car moins d’agents sont nécessaires pour traiter les requêtes les plus courantes. Implémentation du libre-service sur ServiceNow Pour exploiter pleinement la puissance du libre-service, voici comment l’implémenter sur la plateforme ServiceNow : 1. Création d’une Knowledge Base (base de connaissances) Commencez par créer une base de connaissances complète qui répond aux questions courantes des utilisateurs. Alimentez-la avec des articles détaillés, des FAQ et des guides pratiques. Les fonctionnalités de gestion des connaissances de ServiceNow facilitent cette tâche. 2. Portails en self-service Concevoir des portails en libre-service conviviaux qui offrent une navigation facile et un accès rapide à la base de connaissances. Ces portails doivent également permettre aux utilisateurs de soumettre des demandes ou des tickets pour les problèmes plus complexes. 3. Workflows automatisés Exploiter les capacités d’automatisation de ServiceNow pour mettre en place des flux de travail qui peuvent guider les utilisateurs dans la résolution des problèmes. Par exemple, un guide de dépannage étape par étape peut être automatisé, fournissant à l’utilisateur des invites et des actions à entreprendre. 4. Analyses et feedbacks Surveillez les performances de vos options de libre-service. ServiceNow fournit des outils d’analyse qui peuvent vous aider à identifier les requêtes les plus courantes des utilisateurs et les domaines dans lesquels des ressources supplémentaires peuvent être nécessaires. Recueillez les commentaires des utilisateurs afin d’améliorer continuellement l’expérience du self-service. Exemple concret : IT Service Desk Les options de libre-service de ServiceNow sont particulièrement bénéfiques pour les centres de services informatiques. Les utilisateurs rencontrent souvent un large éventail de problèmes techniques, allant de la réinitialisation des mots de passe aux pannes logicielles. Avec un système de libre-service robuste en place, bon nombre de ces problèmes peuvent être résolus de manière autonome, libérant ainsi le personnel informatique qui peut se concentrer sur des tâches plus complexes et stratégiques. En conclusion, le self-service de ServiceNow change la donne pour les organisations qui cherchent à rationaliser leurs processus d’assistance. En permettant aux utilisateurs finaux de trouver des solutions de manière autonome, les entreprises peuvent accroître leur efficacité, réduire leurs coûts et améliorer la satisfaction des utilisateurs. Les capacités de ServiceNow facilitent la mise en œuvre et la gestion du libre-service, garantissant que votre organisation reste en tête dans le monde en constante évolution de l’assistance aux utilisateurs finaux. Articles récents All Posts Guide Livre Blanc ServiceNow Software Solution Enterprise Service Management : ce qu’il faut savoir 6 août 2024/Lire la suite Gestion des actifs informatiques (IT Asset Management) : enjeux, bénéfices et bonnes pratiques 24 mai 2024/Lire la suite ITAM et ITSM : quelles différences ? 23 mai 2024/Lire la suite