SLA – Service Level Agreement Marche à suivre

GRI2012-101
SLA – Service Level Agreement
Marche à suivre
Domaine : Gouvernance des systèmes d’information
Objectifs :
Le document présente une marche à suivre permettant à toute personne, ayant les connaissances
requises, de pouvoir rédiger concrètement un SLA.
Il comprend :
• une introduction
• les concepts généraux d’un SLA
• la présentation de tous les points nécessaires à un SLA avec leur explication et, si possible, un
exemple.
Public cible :
Toute personne susceptible de rédiger un SLA dans le domaine des services informatique comme : responsable informatique, responsable de processus (Service level manager), chef de projet,
etc.
Auteur : Robert Jaques, RJConsulting Sàrl, www.rjconsulting.ch
Avertissement :
Notre responsabilité ne peut être engagée eue égard entre autres aux conséquences qui pourraient subvenir suite à l’utilisation du document produit par cette mission. En aucun cas nous
ne pourrions être tenus responsables d’éventuelles pertes financières induites par un SLA mal
conçu après avoir suivi le modèle préconisé.
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 1/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
1. Introduction
Le but de ce document est de présenter
une marche à suivre pour la rédaction d’un
SLA (Service Level Agreement) en mettant
en avant des actions essentielles à sa réussite et des informations importantes sur
les pièges à éviter.
Il se décompose en 3 parties essentielles :
 Les concepts généraux.
 La rédaction d’un SLA avec tous ses
points clés.
 Les actions à entreprendre pour la réussite et les pièges à éviter.
2. Concepts généraux
2.1 Définition d’un SLA
Le SLA est un contrat qui quantifie le niveau de service minimal pour une prestation qu’un fournisseur s’engage à délivrer
à son client.
Il peut être soit une partie d’un contrat informatique, soit un annexe à un contrat informatique, soit un annexe à des conditions générales.
En français il peut être appelé sous différent noms comme « Accord de niveau de
service »,
« Contrat
de
service »,
« Convention de service », etc…
2.2 Buts d’un SLA
Les principaux buts d’un SLA sont de définir :
 les besoins d’un client pour pouvoir les
exprimer clairement d’une manière
compréhensible par chacune des parties
(fournisseur et client),
 les critères dévaluation ainsi que les
moyens de mesure avec lesquels on
pourra évaluer la qualité de la prestation
fournie.
Les autres buts sont entre autres :
 d’établir une relation de confiance, voir
de partenariat entre les parties,
 d’éliminer les attentes irréalistes ou trop
chères (rapport prix/prestation).
3. Rédaction d’un SLA
La rédaction d’un SLA varie en fonction de
la prestation qui va être fournie, c’est-àdire selon le champ d’application.
En effet un SLA ‘Réseau’ sera différent
d’un SLA ‘Hébergement’ qui lui sera différent d’un SLA ‘Application’. Chacun com-
portera un certain nombre de points spécifiques liés au domaine qu’il va devoir couvrir. Néanmoins tous les types de SLA doivent couvrir un certain nombre d’aspect
afin d’être complets.
La liste ci-dessous va traiter un certain
nombre de points qui sont à prendre en
compte pour qu’un SLA soit le plus complet possible :
1. Le lien et la priorité du SLA par rapport à
d’autres contrats.
2. La liste et la définition du ou des services.
3. L’obligation d’information et de conseil.
4. L’utilisation du ou des services par le
client.
5. Les critères de mesure permettant de
définir le niveau de qualité.
6. Le reporting.
7. Le prix.
8. Le début, la fin, le renouvellement et la
résiliation du SLA.
9. La modification du service, donc du
SLA.
10. La récupération.
11. Les responsabilités et obligations (du
fournisseur et du client).
12. La force majeure.
13. La propriété intellectuelle.
14. La sécurité.
15. La maintenance.
16. Les relations avec des tiers.
17. Les audits.
18. Les plaintes.
19. Le droit applicable.
20. Les litiges.
3.1 Le lien et la priorité du SLA par rapport à
d’autres contrats
Si le SLA n’est pas un contrat à part entière, il va faire partie d’un ensemble de
contrats pour lesquels un certain ordre de
priorité doit être établi. En effet il faut éviter
qu’un contrat soit prépondérant par rapport
à un autre sans que ceci soit voulu.
En plus de l’aspect général du SLA,
l’intervention d’un juriste pour ce point est
très fortement conseillée.
3.2 La liste et la définition du ou des services
Ce point est le plus délicat et parmi le plus
important du SLA, en effet la définition du
service et du niveau requis sont des éléments qui peuvent amener, en cas de problèmes, à la rupture du contrat.
En premier il faut déterminer le service afin
que celui-ci puisse être décrit clairement
dans le SLA. La description du service doit
se faire dans un langage commun et com-
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 2/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
préhensible aux deux parties. Les termes
doivent être clairs, précis et sans ambigüité.
Il est conseillé de décrire aussi ce qui n’est
pas couvert par le service et les dépendances éventuelles du service fourni
(exemple suit).
Ensuite il faut définir pour chaque service
à fournir le ou les performances attendues
qui seront appelées ‘niveaux de service’
(plusieurs exemples suivent). Ceci est la
référence de la qualité minimale du service
pour lequel le fournisseur va s’engager. Le
fournisseur pourra faire mieux, voir nettement mieux, mais les coûts engendrés par
ceci vont le rendre soit moins concurrentiel, soit abaisser son gain.
Le niveau de service doit satisfaire les exigences requises par le client, pour cela le
fournisseur va questionner et conseiller le
client sur la pertinence des performances
demandées qui peuvent induire des coûts
très élevés pour être réalisés ou ne sont
peut-être même pas réalisables ; ceci se
fait durant la période de négociation.
IMPORTANT
Pour tous les sujets abordés ci-dessus, la
rédaction du SLA doit se faire impérativement de façon conjointe entre les deux
parties et avec le personnel adéquat (responsables, techniciens, juristes, etc.).
Exemple de dépendance
Le fournisseur livre une application qui est
hébergée chez le client (serveurs, réseau,
etc.). Le fournisseur de l’application ne
peut garantir un certain niveau de service
pour son application qu’en définissant le
niveau minimal de l’infrastructure de laquelle il dépend.
Exemple de niveau de service
L’application fournie (par exemple site
web) doit pouvoir fonctionner avec le niveau de qualité requis pour 50’000 utilisateurs connectés en même temps.
Exemple 1 de niveau de service (disponibilité)
Service disponible mensuellement à 99%
du lundi au vendredi entre 6h et 18h.
Au final chaque niveau de service doit être
défini d’un commun accord entre les deux
parties et doit être, le plus possible, évalué
par des valeurs techniques mesurables.
Sont à éviter les mesures qui tiennent de
l’émotionnel comme les enquêtes de satisfaction auprès des utilisateurs.
En considérant que le mois contient 21
jours (du lundi au vendredi), cette définition implique que les heures de fonctionnement sont 18-6 = 12 heures par
jour. Ceci fait 21*12 = 252 heures par
mois. 99% de 252 heures = 249.5 heures.
Les éléments à mesurer doivent être utiles
et pertinents. Chaque mesure ayant un
coût, il est préférable de se poser à chaque fois la question de son utilité.
Pour respecter le SLA, le service ne doit
pas être indisponible durant la durée
mensuelle pour plus de 252-249.5 = 2.5
heures.
Le niveau de service toujours présent dans
un SLA est la disponibilité du service. On
entend par disponibilité le temps que
l’utilisateur peut utiliser le service sans interruption en temps normal (ceci exclus la
force majeure que l’on verra dans une section ultérieure).
L’indisponibilité peut se concrétiser par
un arrêt assez long, ou un nombre de
pannes courtes mais récurrentes. Dans
ce cas, une contrainte additionnelle peut
être ajoutée au SLA afin de définir le
nombre maximal de coupures du service, par exemple pas plus que 3 par
mois.
La disponibilité est exprimée la plupart du
temps en % et doit être complétée par la
période d’application, période à la fin de
laquelle on remet le compteur à zéro et on
recommence. Souvent on inclut dans ces
informations les périodes d’indisponibilités
définies qui sont liées à la maintenance.
Si le service à fournir concerne le développement d’une application, dans le SLA
il faut, en plus, fixer le planning qui
contient les jalons avec les étapes
d’implémentation et la ou les livraisons.
Pour chaque livraison son contenu doit
être spécifié avec précision de façon à ce
que la recette puisse se faire sans accros.
Si le service s’arrête entre 18h et 6h,
aucune indisponibilité ne peut être calculée.
Si par exemple le service s’arrête à
17h30
et
reprends
à
6h30,
l’indisponibilité totale pour le SLA ne sera que d’une heure, alors qu’en réalité le
service aura été indisponible pendant 13
heures.
Exemple 2 de niveau de service (disponibilité)
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 3/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
Service disponible annuellement à 99,9%
7j/7, 24h/24 (typiquement site web).
Dans ce cas, 24 heures de fonctionnement sur 30 jours par mois pendant 12
mois, donnent 24*12*30 = 8’640 heures.
99.9% de 8'640 heures = 8631.4 heures.
Ceci veut dire que le service, tout en
respectant le SLA, peut être indisponible
chaque année pendant 8.6 heures.
Il est important de savoir que dans ce
cas le fournisseur va demander des plages de maintenance qui seront indispensables au bon fonctionnement du
service. Ces plages ne pourront pas
comptées comme une indisponibilité du
service
Exemple 3 de niveau de service (disponibilité)
Il est intéressant de savoir que les fournisseurs qui proposent un service annuel à
99.99%, 24h/24, 7j/7, disposent d’un
temps d’indisponibilité annuel de 52 minutes !
Exemple niveau de service (helpdesk)
Un fournisseur qui propose à un client un
service help desk aura des critères de niveau de service autres que la disponibilité.
Ceux-ci seront plutôt :
 le nombre de sonneries maximales
avant de décrocher,
 le nombre maximal d’appel perdu en
rapport au nombre d’appels total (en %),
 le nombre minimal de cas résolus lors
de l’appel, donc au 1er niveau (par
exemple 60%).
Cet exemple de helpdesk est un cas assez
délicat de SLA, en effet il y a une partie
importante de formation et de connaissances à prendre en compte. Typiquement, si
er
le nombre de cas résolus au 1 niveau est
inférieur à la limite, ceci peut découler du
manque de formation du personnel du
fournisseur ou du manque d’information
fournie par le client.
3.3 L’obligation d’information et de conseil
Le fournisseur est un professionnel dans
son domaine d’expertise. Pour cette raison, il a l’obligation d’informer correctement le client et de le conseiller dans la
solution qui va être la plus avantageuse et
appropriée. Cette obligation varie en fonction de la nature du SLA et des connaissances du client.
De son côté le client a aussi une obligation
de se renseigner et doit collaborer de bonne foi à la définition de ses besoins.
3.4 L’utilisation du ou des services par le client
Il est fondamental de connaître comment
le client va utiliser le ou les services fournis
(charge réseau, nombre d’utilisateurs, type
de transactions standard et transactions
les plus lourdes, …).
Ce qui est important dans ce point c’est
que ces informations, qui doivent figurer
dans tout SLA, vont permettre au fournisseur de calculer les besoins en capacité
qui doivent être mis à disposition du client
(CPU, réseau, RAM, stockage disque,
sauvegardes, personnel, …).
Autre point important est le ou les lieux
d’utilisation de la prestation de la part du
client.
Exemple de lieux dispersés
Un fournisseur délivre une prestation avec
du matériel chez le client. Si le client se
trouve dispersé sur différents sites, le
fournisseur devra pouvoir être en mesure
d’assurer la disponibilité définie. En effet
s’il doit intervenir sur site pour le remplacement de matériel défectueux, il va falloir
qu’il prenne en compte les temps de déplacement et les frais liés.
3.5 Les critères de mesure permettant de définir le niveau de qualité
Ce point est fortement lié avec la définition
du niveau de service. En effet c’est lui qui
va permettre :
 de définir les critères de mesure qui vont
être utilisés,
 au fournisseur de prouver qu’il respecte
le niveau de qualité requis et défini dans
le SLA,
 au client de prouver que le fournisseur
ne respecte pas le niveau de qualité requis, ce qui va lui permettre de demander :
o une correction rapide de la situation
pour ensuite demander
o un dédommagement (pénalités)
et enfin
o de résilier le SLA pour faute.
Les critères de mesure doivent être choisis
d’une manière pragmatique, doivent être
pertinents, utilisables et techniques (éviter
toute mesure découlant de l’émotionnel).
Ce sont ces informations qui seront utilisées pour établir les reporting qui vont
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 4/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
permettre de prouver que les termes définis dans le SLA sont respectés ou pas.
3.6 Le reporting
C’est le fournisseur de services qui produit
le reporting. Son but est de montrer au
client que le niveau de qualité, donc les
prestations minimales requises qui ont été
définies dans le SLA sont respectées. En
cas de prestations déficientes, il va en expliquer la ou les causes et va indiquer les
mesures correctives qu’il a mis en place
pour remédier rapidement à la situation.
Dans certains cas il va demander au client
de mettre en place des actions pour remédier à un problème (exemple suit)
La fréquence et le contenu du reporting qui
figure dans le SLA doit être défini en collaboration entre le fournisseur et le client.
Son coût est compris dans le prix du service. Selon la pertinence, il peut être journalier, hebdomadaire, bimensuel ou mensuel. Pour des prestations long terme, un
reporting annuel qui fait un récapitulatif de
l’année est bienvenue.
Le reporting dépend directement des critères de mesures qui ont été définis. Le
fournisseur doit s’assurer qu’en fonction
des critères définis, il peut bien produire le
reporting convenu avec le client.
Exemple d’action du client (helpdesk)
Le fournisseur n’arrive pas à répondre aux
critères établis dans le SLA pour ce qui est
er
de la résolution de cas au 1 niveau et le
nombre d’appels a augmenté de 30%. Ceci est arrivé après la mise en production
d’une nouvelle application.
Dans ce cas le fournisseur va demander
au client de :
 vérifier la qualité de la nouvelle application,
 de former les utilisateurs,
 de fournir une documentation la plus
complète possible afin de pouvoir répondre aux exigeances du 1er niveau
3.7 Le prix
Chaque prestation de service doit être
évaluée en fonction du niveau de qualité
requis par le client. Donc certaines prestations ‘non-standard’ ne peuvent pas avoir
un prix déterminé à l’avance.
Le fournisseur va évaluer les coûts induits
par le niveau de service qu’il va devoir
fournir et ainsi calculer le prix de la presta-
tion (coût fournisseur = prix prestation +
marge).
Diverses formules peuvent être utilisées,
comme le forfait, l’abonnement mensuel
ou annuel, le nombre d’utilisateurs, le
temps de connexion, etc.
Le prix fixé est accepté par les deux parties à la signature du SLA et une clause
peut stipuler qu’il reste valable et inchangé
durant toute la durée du contrat. Le prix
pourra être révisé lors du renouvellement
tacite du contrat ou de la modification du
niveau de service. Pour les contrats à durée indéterminée, une révision annuelle
(ou autre périodicité) peut être invoquée
par le fournisseur.
Un taux d’augmentation maximal du prix
peut être fixé lors du renouvellement tacite
de contrat. Néanmoins si ceci peut eviter
des surprises du côté client, le fournisseur
pourrait avoir tendance à augmenter à
chaque fois du maximum possible le prix
de ses prestations.
Avec l’augmentation de la puissance et la
diminution des prix dans le domaine de
l’électronique, il est possible d’avoir des
fournisseurs qui, à performances égales,
vont pouvoir baisser le prix ; c’est souvent
au client d’en faire la demande. Il y a aussi
des fournisseurs qui vont proposer de garder un prix constant en augmentant les
performances ; c’est au client de voir s’il a
vraiment besoin de plus de performances
au lieu de demander une baisse du prix.
3.8 Le début, la fin, le renouvellement et la
résiliation du SLA
Le SLA à durée déterminée a une date de
début et une date de fin des prestations de
service fournies à un certain prix. Cette durée, souvent renouvelable, doit être discutée et acceptée par les deux parties (fournisseur et client). Le renouvellement tacite
doit être précisé dans le SLA.
S’il n’y a pas de renouvellement tacite, le
SLA prend fin par survenance du terme.
Le SLA à durée indéterminée ne possède
qu’une date de début des prestations de
service. Chaque partie peut y mettre un
terme moyennant un préavis qui devra être
précisé (par exemple par lettre recommandée au moins 6 mois avant la fin de la
prestation).
Un cas particulier est la fin de SLA pour
faute. Ceci est un point assez délicat qui
doit être pris en charge par un juriste qui a
une parfaite connaissance des lois.
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 5/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
Les principales raisons de fin de contrat
pour faute sont :
 Fautes côté client :
o Pas de paiement des prestations.
o Mauvaise définition des besoins.
o Manque de loyauté.
o Mauvaise foi.
 Fautes côté fournisseur :
o Défaut de livraison.
o Non respect des délais.
o Prestations insuffisantes (niveau et
durée à définir).
o Manque d’information et de conseil.
3.9 La modification du service, donc du SLA
Par modification du service on entend un
changement des prestations pendant la
durée de validité du SLA. La modification
du service ne provient généralement que
du côté du client.
Les principales raisons de demande de
modifications du client sont :
 une mauvaise définition du service. Ceci
n’est pas un bon signe car ça implique
que le SLA n’est pas une réussite. Par
contre l’identification du problème permettra de corriger le SLA, de retrouver
la satisfaction du client et de faire mieux
la prochaine fois,
 un changement de périmètre,
 un gros changement des prix du marché, ce qui implique une nouvelle négociation soit des prestations, soit du prix.
3.10 La récupération
Point essentiel qui doit faire partie d’un
SLA et qui est souvent négligé, voir oublié.
Lorsque le client achète une prestation externe, la plupart du temps il perd le savoir
faire, les connaissances liées à cette prestation et des informations importantes
comme par exemple le nombre et le type
d’appel pour un helpdesk.
La récupération a un coût et permet de déterminer à qui appartiennent certaines informations et les actions à mettre en place
soit du côté fournisseur que du côté client
lorsque le SLA prendra fin.
Parmi ces actions on peut citer la récupération des connaissances au sein du personnel (formations à prévoir), la récupération des données, l’archivage, les modalités de sécurité, etc.
Dans le SLA pourra figurer qui prends en
charge quoi, qui, où et quand.
Exemple pour la formation
A la demande du client, dans le SLA, le
fournisseur prévoit un certain nombre de
jours de formations. Pour cette ou ces formations, on définira les sujets et les
contenus, le ou les lieux et les délais pour
les dispenser.
Le client de son côté s’engagera à mettre
à disposition le personnel pendant la période définie.
Le fournisseur exigera que le personnel du
client ait un niveau minimal de connaissances et de capacités pour pouvoir assimiler la matière dans les délais prévus.
3.11 Les responsabilités et obligations (du
fournisseur et du client)
Que ce soit du côté fournisseur que du côté client, il faut établir la liste des personnes qui endossent un rôle et une responsabilité.
Cette liste contiendra le rôle par rapport au
SLA et la fonction dans l’entreprise. Eviter
les noms des personnes car tout changement implique une modification du SLA et
donc une perte de temps en procédures
de signatures.
Le tableau ci-dessous un exemple simple
de liste (non exhaustif) :
Fournisseur
Rôle
Fonction
Rôle
Fonction
Contact client
SLM
Contact fournisseur
Responsable
service métier
Procédure de
réclamation
SLM
Procédure de
plainte
Responsable
service métier
Procédure de
crise
SLM
Procédure de
crise
Direction client +
responsable service métier
Escalade
Direction
fournisseur
+ SLM
Escalade
Direction client +
responsable service métier
Reporting
SLM
Réception
reporting
Direction client +
responsable service métier
Suite à l’établissement de cette liste, il
faudra aussi faire figurer dans le SLA les
réunions qui vont avoir lieu régulièrement
entre les deux parties.
Ces réunions seront entre autres celles qui
vont permettre au fournisseur de présenter
les résultats mesurés qui vont indiquer si
la qualité de service délivrée est conforme
ou pas à ce qui est demandé dans le SLA.
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Client
Page 6/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
D’autres réunions seront par exemple celles de crise.
en premier. Ces ‘problèmes’ doivent être
définis à l’avance et figurer dans la SLA.
Exemples de ‘problèmes’
3.12 La force majeure
Dans le SLA il faut définir la procédure de
notification et les cas de force majeure afin
d’enlever toute ambigüité.
La liste des cas doit être exhaustive. Ceci
est un point intéressant pour le client car il
lui permet de voir quelle est la ‘solidité’ de
son fournisseur.
Parmi les cas de force majeure on peut citer la faillite, l’épidémie ou la pandémie, la
catastrophe naturelle (liste précise),
l’attentat, le conflit armé, etc.
Un cas de force majeure qui n’est pas encore très commun mais qui le deviendra
dans le futur, ce sera le hacking. En effet
pour les services web le cas d’une attaque
massive provocant un ‘déni de service’,
peut être considéré comme un cas de force majeure empêchant le fournisseur de
délivrer le service indépendamment de sa
volonté et de sa bonne foi.
3.13 La propriété intellectuelle
L’axiome est : on ne peut pas céder plus
de droits qu’on en possède.
Les problèmes liés aux licences doit être
très bien étudié par les juristes des deux
parties.
Par exemple si le fournisseur est propriétaire de l’application qu’il met à disposition
du client, il va céder uniquement le droit
d’utilisation (exclusif ou non exclusif selon
le cas). Si par contre le fournisseur n’est
pas propriétaire de l’application qu’il met à
disposition, il doit posséder le droit
d’exploitation et va concéder une souslicence au client.
Du côté client, la reproduction est interdite
sauf lors de cas exceptionnels qui sont à
préciser dans le SLA (par exemple une
copie de sauvegarde). Ceci doit toujours
rester dans le cadre du respect de la loi,
c’est pour cette raison que des juristes
sont indispensables.
L’escrow : lorsque le service est un logiciel
développé par un fournisseur, ce terme est
utilisé pour définir un accord entre les deux
parties afin que le code source de ce logiciel soit déposé chez un tiers (généralement un notaire). Ceci dans le but à ce
que le client puisse avoir une possibilité de
continuer son activité avec un autre fournisseur en cas de ‘problèmes’ avec le
fournisseur auprès duquel il s’est engagé
Faillite du fournisseur, désastre chez le
fournisseur qui résilie le contrat par force
majeure, rachat du fournisseur par un
concurrent qui arrête le développement ou
l’évolution du logiciel acheté par le client,
etc.
3.14 La sécurité
Dans un SLA, tous les aspects de la sécurité doivent être abordés. Généralement en
sécurité
on
parle
souvent
de confidentialité, intégrité et disponibilité.
En plus de ces aspects, il ne faut pas oublier, selon les besoins, la traçabilité,
l’authentification et la sécurité physique.
Confidentialité
Il faut que le client définisse et classe clairement ses données afin qu’elles puissent
être traitées selon leur importance. En effet une donnée confidentielle (protégée par
la Loi sur la protection des données) ne
peut pas transiter sur un réseau ou être
stockée de la même façon qu’une donnée
publique.
Dans une annexe au SLA doivent figurer
les données catégorisées.
Exemple de catégorisation de données
 Publique : accessibles à tous
 Interne : à usage interne de l’entreprise
 Confidentielle : à usage limité à un certain nombre de personnes définies
 Secrète : à usage très limité à 2 ou 3
personnes de la direction.
Intégrité
En fonction du classement des données et
de leur sensibilité, il faut garantir que les
données sont bien celles que l’on croit
être. Pour ceci le client devra aussi faire
un choix entre ce qui doit rester absolument intègre et ce qui n’en a pas nécessairement besoin.
Disponibilité
Ce point est largement traité dans le SLA
au niveau de la qualité du service requis
par le client.
Traçabilité
Ceci est utilisé pour savoir qui a fait quoi et
quand. En cas d’incident ou de problème,
c’est le meilleur moyen d’investigation (audit) pour en identifier la cause. Il faut définir dans le SLA les traces que l’on va met-
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 7/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
tre en place. Si le fournisseur veut mettre
en place des traces additionnelles à ses
frais pour prévenir des problèmes éventuels, il en avertira le client avec la justification de leur utilité.
Authentification
Le meilleur des choix est toujours la politique du moindre privilège. Les utilisateurs,
quelle que soit leur nature, doivent avoir
accès à strictement ce qu’il ont besoin.
Ceci peut être représenté dans le SLA par
une matrice des rôles et accès autorisés.
Exemple de matrice :
qui ne prévoit pas une totale redondance
des systèmes à cause d’un prix trop élevé
que le client n’est pas d’accord de payer,
doit planifier des périodes d’arrêt du service en accord avec le client. Ces plages
planifiées qui figurent dans le SLA seront
des périodes pendant lesquelles le client
ne pourra pas faire valoir un temps
d’indisponibilité du service.
Exemples de plages d’arrêt
C’est généralement le client qui détermine
les moments pendant lesquels le service
continu dont il a besoin soit interrompu
pendant une période qui le pénalise le
moins. C’est au fournisseur de s’adapter,
la négociation étant toujours possible. Les
plages de maintenance sont souvent la
nuit, en semaine ou en week-end comme
par exemple le deuxième et le quatrième
samedi du mois entre 23h et 2h.
Rôle
Type accès
Administrateur
de maintenance
Limité aux opérations de maintenance
Administrateur
système (root)
Illimité
Administrateur
de comptes
Limité aux opérations de création de comptes
Dans le SLA doit figurer toute dépendance
du fournisseur par rapport à des autres
fournisseurs.
Utilisateur
Limité aux actions et informations nécessaires
Super utilisateur
Même que ‘utilisateur’ + des
fonctions additionnelles
C’est le fournisseur qui signe le SLA qui
est responsable du service final, donc il
doit s’assurer que ses sous-traitants ont la
capacité requise.
3.16 Relations avec des tiers
3.17 Les audits
Sécurité physique
La responsabilité de l’accès physique aux
locaux où se trouve l’utilisation et/ou la
gestion du service est un sujet qui doit être
traité dans la SLA pour définir qui en est
responsable.
3.15 La maintenance
Quasiment toute prestation informatique
délivrée a besoin de maintenance (mise à
jour du logiciel, patch de sécurité, changement de hardware défectueux, etc). Ceci implique un arrêt planifié du service.
Même si le fournisseur s’organise pour effectuer ce genre d’opérations en dehors
des plages d’utilisation du service délivré,
ces informations doivent figurer dans le
SLA.
Dans le SLA doit aussi figurer une clause
de maintenance d’urgence, afin que le
fournisseur puisse intervenir d’urgence en
accord avec le client sans être pour autant
pénalisé.
Le fournisseur qui délivre un service disponible 24 heures sur 24 et 7 jours sur 7 et
Selon le service fourni, le client a tout
avantage à pouvoir auditer le fournisseur
afin de pouvoir identifier des risques potentiels qu’il encourt par des manquements
non visibles du fournisseur.
Un exemple typique est un fournisseur qui
héberge et fournit une application web. Au
client il a vendu une disponibilité et une
continuité qu’il ne peut pas assurer en cas
de pic car son infrastructure n’est pas
adaptée.
Dans le SLA doivent figurer les types
d’audits que le client a le droit de faire et
avec leur fréquence. Le client ne sera pas
pénalisé s’il ne procède pas à ces audits.
Dans le SLA doivent aussi figurer les types
d’auditeurs externes auxquels le client
pourrait faire appel afin que l’audit soit
neutre et impartial.
3.18 Les plaintes
Lorsque l’une des deux parties considère
que l’autre ne respecte pas les termes du
SLA, une plainte, toujours sous forme écrite pour avoir une trace, doit être envoyée
avec la description du problème.
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 8/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
Dans le SLA la procédure de plainte doit
être décrite avec la personne du client qui
est en charge de communiquer la plainte
et du côté fournisseur la personne qui est
en charge de recevoir et de traiter la plainte (dans les meilleures pratiques ITIL on
parle de SLM (Service Level Manager)
comme point de contact unique).
Dans la procédure doivent figurer au minimum le temps de prise en charge et le
temps de réponse à la plainte. Un formulaire standard de plainte peut être annexé
au SLA. On peut aussi établir un classement selon la gravité de la plainte, afin que
celle-ci soit traitée avec une certaine priorité.
mieux les besoins réels du client, ce
qui aboutira sur un SLA bien ciblé.
 Détermination des services à fournir et
ceux gardés par le client.
La frontière doit être claire et définie.
Tout ce qui reste mal défini sera une
source de problèmes ultérieurs, voir
de conflits.
 Clarté des termes et des résultats recherchés.
Le vocabulaire utilisé par le client doit
être parfaitement compris par le
fournisseur et inversement. Il faut
être conscient que toute incompréhension sera tôt ou tard une source
de problèmes.
Une procédure d’escalade doit être mise
en place afin de traiter rapidement les
plaintes les plus graves ou celles moins
graves dont la durée de réponse devient
trop longue.
En ce qui concerne les résultats, il
faut que ceux-ci soient aussi clairement définis par le client afin que le
fournisseur puisse identifier tout service qu’il ne pourrait pas fournir selon
la qualité requise.
3.19 Le droit applicable
Le SLA devra se référer aux lois en vigueur. Pour cette raison le SLA doit impérativement être rédigé avec un juriste.
 Description détaillée des services souhaités et exclus.
Souvent on décrit ce que l’on veut et
pas ce que l’on ne veut pas. Afin
d’éviter la phrase du client ‘je croyais
que ceci était inclus’, la liste des services doit contenir les prestations exclues, ce qui va amener un plus au
SLA.
3.20 Les litiges
Comme dans tout contrat, le SLA doit
contenir la clause de résolution des litiges
en désignant le tribunal compétent ou le
choix d’arbitrage.
4. Critères de réussite
Les critères énumérés ci-dessous sont des
éléments
additionnels
permettant
d’assurer au mieux la réussite et la mise
en application du service proposé par le
SLA.
 Le service doit convenir au client. Ce
n’est pas au client de s’adapter au service.
Le métier exercé par client doit trouver un avantage avec le service fourni par le fournisseur. S’il complique
ou change la méthode de travail sans
la volonté du client, le service aboutira à l’échec.
 Etude récente de l’état de l’informatique
du client.
Ce point permet au prestataire de
services de vérifier que la partie
complémentaire du client sur laquelle
il va devoir s’appuyer est bien
conforme aux attentes.
 Passer par des phases de négociation
afin de mieux se connaître entre parties,
et surtout négocier directement avec le
client concerné (utilisateurs, techniciens,
spécialistes, ..).
Il est assez rare qu’un client donne
un mandat important à un fournisseur
peu connu, voir inconnu. Un climat
de confiance doit être établi et du côté fournisseur ces phases de négociations permettent de connaître
 Des niveaux de performance clairs et
réalistes, en adéquation avec les besoins du client.
Le fournisseur doit identifier les besoins réels du client afin de lui proposer le bon service avec le prix
adéquat.
 Indicateurs de performance pertinents et
le plus techniques possible (supprimer le
côté émotionnel).
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Un indicateur doit être une mesure
physique indiscutable et pas une appréciation.
Page 9/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch
SLA – Service Level Agreement
Marche à suivre
 En cas de problèmes, définir les priorités
de résolution, la ou les équipes de secours et les procédures d’escalade.
Identifier les besoins critiques du
client pour pouvoir rétablir en premier
les services concernés. Mettre en
place un processus en cas de crise.
 Un service ne peut pas compenser dans
tous les cas une mauvaise organisation
du client.
Si l’organisation du client n’est pas
bonne, il faudra plutôt proposer un
service qui inclut un changement.
Ceci doit impérativement avoir
l’approbation et une forte implication
de la part de la direction du client
avant toute signature de SLA.
 Le management du client doit
s’impliquer et informer.
Une forte implication du management
est essentielle pour que les utilisateurs acceptent un service (gestion
du changement). La communication
doit être précise et transparente. Au
besoin, il faut mettre en place des
formations pour les utilisateurs.
Souvent, par manque d’information,
les utilisateurs se plaignent du niveau
de qualité du service, qui lui, respecte parfaitement les termes définis
dans le SLA.
 OMPI
L’Office Mondial de la Propriété Intellectuelle met à disposition, sur son site internet, un certain nombre
d’informations sur comment limiter
les conflits et comment construire
une bonne relation entre fournisseurs
et clients.
Lien :
http://www.wipo.int/amc/en/asp/repor
t/index.html
Version 01.00 – 12.04.2012
Groupement Romand de l’Informatique
Rte de Genève 88b
CH – 1004 Lausanne
Page 10/10
Tél. : +41 21 652 30 70
Fax : +41 21 617 87 79
TVA : 317875
E-mail : [email protected]
Internet : www.gri.ch