|
|
|
L'arborescence des caractéristiques de l'indice de mesure du service présente une structure à plusieurs niveaux, chaque caractéristique principale pouvant compter jusqu'à trois niveaux de détail.
Indique la facilité avec laquelle un service peut être restauré dans un état opérationnel normal par des moyens communs (comme les connaissances, les techniques et les manuels existants).
Indique la capacité du fournisseur de services à apporter des modifications au service afin de le conserver dans un bon état.
Indique le temps nécessaire au fournisseur de services pour réparer des problèmes identifiés et rétablir le service dans un état opérationnel.
Indique la mesure dans laquelle un service assure une disponibilité ininterrompue grâce à une planification adéquate d'atténuation des risques.
Indique le pourcentage de temps durant lequel le service est disponible et dans l'état attendu de fonctionnement.
Indique dans quelle mesure un service fonctionne sans échec dans des conditions données pendant une période spécifique.
Indique dans quelle mesure le service résiste aux changements, aux détériorations ou aux fluctuations.
Indique dans quelle mesure un service peut retourner à son état de configuration autorisé après un événement planifié ou non.
Indique dans quelle mesure un service peut reprendre un état normal de fonctionnement après une interruption imprévue.
Indique la capacité à identifier la cause du comportement particulier d'un service, avec un degré spécifique de certitude et dans des délais définis.
La fonctionnalité est une mesure de l'adéquation, de l'exhaustivité et de la précision du service. Cette mesure sert à déterminer l'adéquation de ce service par rapport à ses objectifs.
Mesure la capacité du service à remplir les objectifs prévus.
Décrit la capacité d'un service à fournir des informations précises.
Mesure la capacité d'un service à faire l'objet de tests probants.
Décrit la capacité de plusieurs services à fonctionner ensemble de manière efficace et leur capacité à prendre en charge d'autres systèmes ou des systèmes existants dans l'organisation.
Décrit toute modification apportée à un service (une nouvelle fonctionnalité ou un nouveau composant, par exemple), étant entendu que ces modifications affectent uniquement le comportement interne du service, mais pas les interfaces externes.
Décrit la capacité d'un service à marquer une différence perceptible dans la réalisation de résultats ou d'objectifs précis.
Décrit la capacité d'un service à appuyer une stratégie commerciale, un objectif ou un résultat spécifique.
Décrit la capacité d'un service à exécuter des tâches spécifiques sans efforts inutiles.
Représente le délai d'exécution d'une fonction spécifique fournie par le service.
Mesure l'utilisation des sources énergétiques et matérielles du service par rapport aux objectifs écologiques (réduction de l'impact sur l'environnement et protection des ressources).
Indique la simplicité d'utilisation d'un service pour atteindre un objectif spécifique.
Indique dans quelle mesure un service peut être mis en marche par le biais d'une configuration automatisée de ses composants, avec un risque minimum.
Indique la capacité d'un service à prendre en charge un ensemble de fonctionnalités simples dans le cadre de tâches spécifiques effectuées quotidiennement.
Indique la simplicité d'utilisation de la fonctionnalité fournie par le service.
Indique la capacité d'un service à présenter un comportement attendu dans des circonstances données.
Indique la capacité à établir et à conclure des accords juridiques avec les fournisseurs en temps opportun.
Désigne l'ensemble des fonctions qui caractérisent le service. Ces caractéristiques varient selon les capacités du service ou de la catégorie de service spécifique.
La notoriété et la visibilité mesurent l'impact d'un service sur la visibilité des opérations informatiques au sein des organisations.
La portabilité décrit la relative simplicité de transfert des données, applications, processus et procédures de l'organisation d'un service vers un autre.
Représente la capacité d'une organisation à passer facilement d'un fournisseur de services à un autre, en limitant l'impact de ce transfert sur les activités de l'entreprise.
L'utilisation de services abstraits, qu'ils proviennent d'un fournisseur interne ou externe, peut affecter la capacité de l'organisation à répondre rapidement aux événements métiers.
Une caractéristique très intéressante pour bon nombre de services est de pouvoir développer leur capacité à la demande, par le biais d'une demande manuelle ou d'un processus automatique. Il leur est aussi très utile de pouvoir réduire l'utilisation des ressources et les dépenses de fonctionnement.
Le risque fournisseur désigne un ensemble de risques liés au fournisseur de services et à ses méthodes de gestion commerciale.
Décrit la cohérence et la continuité probable des services du fournisseur ; couvre la capacité, les données financières, la structure organisationnelle et les processus de ce fournisseur. Les processus d'attribution de scores permettent de traiter d'autres problèmes de stabilité, telles que l'assurance qualité et les performances. Les organisations dont les performances financières sont insuffisantes sont davantage exposées aux perturbations de services, en raison de leur incapacité à sous-traiter ou à s'acquitter de leurs paiements après des fournisseurs. Ces organisations rencontrent également des difficultés pour recruter du personnel ou le garder. En outre, elles ne parviennent pas à augmenter leur échelle opérationnelle afin de répondre aux nouveaux besoins de leurs clients. Les organisations de plus petite taille, présentes sur les marchés émergents, font souvent l'objet de fusions et d'acquisitions : ces opérations peuvent accroître leur stabilité, mais également se traduire par des coûts associés aux risques stratégiques et une période d'instabilité des services pendant l'intégration.
Décrit le risque que le fournisseur de services ne dispose pas des certifications normalisées appropriées en matière de sécurité et d'opérations informatiques. Les normes ISO 27000, PCI DSS et SAS 70 sont les certifications les plus courantes. Les fournisseurs de services disposant de ces certifications sont en principe moins exposés aux risques, car la certification prévoit divers contrôles documentés ainsi que des audits réalisés par des organisations tierces.
Décrit le risque que le fournisseur de services, qu'il soit interne ou externe, ne respecte pas la totalité des engagements de niveau de service requis dans le cadre de l'accord sur les niveaux de service et/ou ne permette pas d'accéder facilement aux métriques actuelles pour utilisation comme indicateurs de performance des niveaux de service requis. Toutes les exigences importantes liées à un service doivent figurer dans un accord sur les niveaux de service, accompagnées d'une description des métriques utilisées pour démontrer que le niveau de service est satisfaisant. L'accès à ces métriques (par programme ou via des portails Web) doit permettre au client de vérifier que les exigences de niveaux de service sont toujours respectées.
Un fournisseur de services peut externaliser certaines tâches spécialisées de sa chaîne de production auprès de sociétés tierces. Dans ce cas, le niveau de sécurité et de fiabilité du fournisseur peut dépendre du niveau de sécurité et de fiabilité de chaque maillon de cette chaîne et du niveau de dépendance du fournisseur vis-à-vis de ces tiers. Toute interruption, altération ou absence de coordination des responsabilités entre les parties impliquées dans la chaîne peut entraîner plusieurs types de problèmes : indisponibilité des services, perte de confidentialité des données, problèmes d'intégrité et de disponibilité, pertes économiques, atteinte à la réputation résultant d'une impossibilité à satisfaire la demande des clients, violation des accords sur les niveaux de service, enchaînement de défaillances des services, etc.
Décrit la façon dont le fournisseur de services gère ses activités, notamment en ce qui concerne les pratiques commerciales et les valeurs éthiques non liées aux exigences réglementaires. L'éthique inclut le traitement équitable des fournisseurs, clients et employés.
Inclut l'intégralité des exigences réglementaires et légales, ainsi que la capacité de l'organisation à démontrer son adhésion à ces dispositions.
Décrit le risque que le fournisseur de services [1] ne puisse pas fournir de documents décrivant les contrôles informatiques et les tests effectués au niveau du service ; [2] ne puisse pas fournir de données facilement accessibles et vérifiables répertoriant les résultats actuels et l'historique des tests de contrôle ; [3] ne soit pas en mesure de planifier régulièrement pour le client des audits internes et externes de ces contrôles.
Décrit le risque de vol ou d'utilisation frauduleuse/inappropriée des services ou des données lié à une définition incorrecte des rôles des employés, des contractants et des utilisateurs externes. Les fournisseurs de services doivent établir de manière appropriée leurs descriptions de postes, leurs processus de recrutement et de licenciement, ainsi que leurs conditions de travail, afin qu'ils s'adaptent aux fonctions de sécurité critiques. Tout le personnel de sécurité devra notamment faire l'objet de contrôles ciblés au moment de l'embauche, puis de vérifications régulières par la suite. En outre, les employés de la sécurité chargés des opérations continues (24 h/24 et 7 j/7) devront suivre une formation et obtenir une certification comme professionnels de sécurité informatique.
Décrit le risque lié à des accès physiques non autorisés, à des dommages, à des intrusions dans les locaux du fournisseur de services et à un parasitage des informations. Les dispositifs de traitement des informations stratégiques ou sensibles doivent être hébergés dans des zones sécurisées et protégées au sein de périmètres de sécurité délimités, avec des barrières de sécurité et des contrôles d'accès. Ils doivent être protégés physiquement contre tout accès non autorisé, dommage et parasitage. Le niveau de protection fourni doit être proportionnel aux risques identifiés.
Décrit le risque d'opérations inappropriées ou non sécurisées sur les équipements informatiques du service. Les responsabilités des gestionnaires de ressources informatiques du fournisseur de services et du client doivent être clairement définies en termes de fonction et de coordination (le cas échéant). Le fournisseur de services doit fournir au client les fonctionnalités, procédures et interfaces de gestion requises, afin que le client puisse gérer efficacement ses responsabilités au sein du service ; cette gestion implique des opérations de journalisation, ainsi que la surveillance et la sécurisation des journaux. Les architectures cloud requièrent des rôles impliquant des risques extrêmement élevés : des contrôles de séparation des fonctions doivent donc être implémentés dès que nécessaire, afin de réduire les risques liés à une utilisation inappropriée ou malveillante, que ce soit par négligence ou de manière délibérée, du système par des personnes internes à l'organisation.
Décrit le risque lié à un contrôle insuffisant des accès au service et aux données de ce service, conformément à la politique de sécurité du client et aux exigences réglementaires. Le fournisseur de services et le client doivent convenir d'une politique de contrôle d'accès, documenter cette politique et la réviser régulièrement, tout en effectuant les contrôles requis. Les droits et règles applicables aux groupes d'utilisateurs du fournisseur de services et du client doivent être clairement stipulés dans une politique de contrôle d'accès. Les contrôles d'accès sont aussi bien logiques que physiques et sont indissociables. Ils portent sur la gestion des accès des utilisateurs, mais également sur les accès au réseau, au système d'exploitation, aux applications, aux données, ainsi qu'à l'accès mobile.
Représentent les mesures de protection des données du client mises en place : adhésion des fournisseurs de services aux politiques établies, emplacement géographique ou politique des données, propriété, confidentialité, perte et intégrité de ces dernières, etc.
Le fournisseur de services doit avoir mis en place un ensemble complet de politiques en matière de sécurité et de protection des données, ainsi que des contrôles permettant d'assurer le respect de la politique établie. La politique doit être mise à disposition des clients pour révision. Le fournisseur doit également pouvoir démontrer que ces politiques ont été suivies de manière cohérente.
Le fournisseur de services doit disposer d'une politique explicite de conservation et de destruction des données. Cette politique doit s'adapter aux exigences du client en matière de durée de conservation (conformément aux lois Sarbanes Oxley Act ou Gramm-Leach-Bliley Act). Elle doit également pouvoir prolonger la durée de conservation des données en réponse à des obligations de conservation et prévoir la destruction totale et sécurisée des données au moment requis.
Le fournisseur de services doit pouvoir démontrer son adhésion aux politiques établies, notamment en matière de disponibilité des journaux, rapports, résultats d'audits internes ou externes, ou toute autre mesure permettant de prouver que le fournisseur de services applique les politiques publiées et qu'il conserve les enregistrements appropriés.
Décrit le risque lié au fait que les données des clients peuvent être conservées dans plusieurs juridictions et que certaines d'entre elles sont potentiellement dangereuses. Certains centres de données sont situés dans des pays à risque élevé ne disposant pas, par exemple, de législation ou de cadre d'application légale stable, des états autocratiques ou ne respectant pas les accords internationaux, etc. En raison de règlements nationaux, les données doivent parfois être conservées au sein de zones géopolitiques délimitées.
Il se peut que les conditions d'utilisation ou de propriété, telles que définies en accord avec le fournisseur de services pour le stockage, la création ou le traitement des données dans le service, soient soumises à des restrictions. Cela peut affecter les objectifs des utilisateurs, ainsi que le transport ou la réutilisation de ces données.
Décrit le risque lié au fait que le fournisseur de services [1] n'est pas en mesure de détecter les pertes ou les fuites d'informations personnelles en raison de problèmes de sécurité au niveau du service et/ou de processus défaillants au cours du cycle de vie complet des données au sein du service et [2] n'alertera ni n'informera le client (et donc les victimes potentielles) de ces pertes dans les délais requis, conformément aux exigences réglementaires et aux actions correctrices requises par le client.
Décrit la validité et la stabilité des données stockées, créées ou traitées par le service, ainsi que l'adéquation et la fiabilité de ces données.
Les coûts d'acquisition décrivent les dépenses encourues par l'abonné au service au moment de la prestation initiale.
Les coûts fixes correspondent aux dépenses (prix, par exemple) encourues par l'abonné au service pour maintenir son droit d'abonnement au service de façon permanente.
Indicateur direct de mesure pour le coût du service.
| Copyright © 2012 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |