View
111
Download
2
Category
Preview:
Citation preview
1B Quinio
Les référentiels de qualité et de contrôle du SI
B Quinio
Université Paris Ouest
2010 - 2011
2B Quinio
Référentiels de qualité et de contrôle du SI
Pourquoi ces référentiels Les préalables
» Démarche / modèle / méthode / méthodologie» Référentiels de SI
Positionnement des référentiels Présentation des référentiels
3B Quinio
Pourquoi ces référentiels ? (1)
Des raisons venant du marché :» Mise sous contrôle des SI
– Affaire Enron, …» Développement de l’Outsourcing
– Bangalore en Inde pour le Offshore
» Fusion et politique de groupe Des raisons internes :
» Le SI doit donner de la valeur» Les métiers veulent voir ce qui se passe dans le SI
Mais aussi :» Effet de mode anglo-saxonne» Un vrai business pour les cabinets de conseils
4B Quinio
Pourquoi ces référentiels ? (2)
Le objectifs recherchés selon les référentiels:» Satisfaction des clients du SI
– Qualité
» Amélioration continue des performances» Mise sous contrôle du SI» Amélioration de communication DSI / Métier» Standardisation des pratiques
– Portabilité, changement de fournisseur
» Avantage concurrentiel pour les fournisseur de services– Barrière à l’entrée– Dédouanement
5B Quinio
Pourquoi ces référentiels ? (3)
Le principes communs aux référentiels» Séparation du Run et du Build
– Production de services SI / Projet
» La qualité du processus de fabrication (services ou logiciel) Qualité du service ou logiciel
» Amélioration continue et pas seulement certification ponctuelle
» Développement du benchmark : prendre ce qu’il y a de mieux ailleurs
6B Quinio
Une vision commune : cartographie des
processus
Source : Le référentiels de la DSI – CIGREF 2009
7B Quinio
Référentiels ITEt normes ?
Un référentiel est une collection de bonnes pratiques
Une norme, plus contraignante, est éditée par une instance de normalisation (EX : Iso 27001 pour la sécurité)
8B Quinio
Référentiels Internes ou externes
Source : Le référentiels de la DSI – CIGREF 2009
9B Quinio
Les référentiels les plus utilisés
Source : Le référentiels de la DSI – CIGREF 2009
10B Quinio
Référentiels ITPositionnement des référentiels
(3)
11B Quinio
Référentiels ITPositionnement des référentiels
TI (5)
ITIL
qualité contrôle
Projet
Prod-uction
PMBOKPRINCE 2IPMA
CMMI Spice
C
O
B
I
T
6 sigmaIS0
9001
TOGAF
Métier CIGREF
12B Quinio
Caractérisation des référentiels (1)
Modèles et normes :» Non spécifiques aux TI:
– ISO 9001– Six sigma
» Spécifiques à l’informatique :– COBIT– ITIL– CMMI
Corpus de connaissances:» PMBoK du PMI concernant la gestion de projet» SWEBoK du IEEE concernant le génie logiciel
Source : Laboratoire Génie Industriel de Lille
13B Quinio
Caractérisation des référentiels (2)
Reconnaissance :» Pour l’entreprise ou personne physique» Globale (binaire) ou positionnement sur une
échelle Validation par :
» Organismes agréés par les auteurs» Personnes formées et certifiées
14B Quinio
Caractérisation des réferentiels (3)
Ce que nous retenons :» Ce sont des référentiels» Ils définissent ce qu’il faut faire (pas comment)» Ils représentent un investissement souvent
lourd» On les met en place par obligation :
– Légale– Concurrentiel
» Indispensable de les connaître
15B Quinio
COBIT de l’ISACA (1) Le modèle CobiT : Control Objectives for Business &
Related Technology) » méthode de Maîtrise et d’audit des Systèmes d’Information et d'audit
de systèmes d'information,» éditée par l’Information System Audit & Control Association (ISACA)
en 1996» C'est un modèle qui vise à aider le management à gérer les risques
(sécurité, fiabilité, conformité) et les investissements.
Cobit est une approche orientée processus : » les activités sont intégrées dans les 34 processus établis,» Les processus sont regroupés en 4 domaines de processus.
16B Quinio
COBIT de l’ISACA (2)
Orientation contrôle de gestion :» Très lié à la SOX» Utilisé par tous les cabinet d’audit
Reconnaissance :» Pas pour l’entreprise directement (indirectement
via la conformité à la loi Sox ou IFRS)» Certification pour personne ISACA et ITGI
– Par examen
17B Quinio
CMMI (1) Capability Matury Model Integration
Créé en 2002 par le Software Engineering Institut (SEI)
» Université de Carnegie Mellon
» évolution du modèle CMM de la fin 90 qui ne traitait que de la fabrication du logiciel
Initié par le DOD pour contrôler ses soustraitants
modèle de bonnes pratiques qui repose sur une amélioration progressive des processus de développement informatique de l’entreprise.
25 Domaines de Processus (Process Area PA) répartis :» En 4 domaines» Sur 5 niveau de maturité
18B Quinio
CMMI (2) Orientation
» Management de projet (logiciel et système)
» Qualitative et maturité
Reconnaissance :
» Pour l’entreprise
– Via évaluateur formé à la méthode SCAMPI et agréé par le SEI
– Niveau de maturité global ou pour un processus (ou domaine) donné
» Pour une personne
– Devenir évaluateur CMMI via les formations SEI
19B Quinio
Spice ISO 15504 (1) Spice est une norme créée par l’ISO (International
Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504).
Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet.
SPICE est associée à CMM Reconnaissance pour l’entreprise et pour un
processus» Auto-évaluation ou via expert
20B Quinio
5 catégorie de processus SPICE Relations clients –fournisseurs Ingénierie Support Management Organisation
Spice ISO 15504 (2)
21B Quinio
• Processus réalisé: personnes concernés savent ce qu'elles doivent faire, il y a consensus sur la
manière et le moment de le faire
• Processus géré: processus fournit des produits de qualité acceptable dans des délais définis –
réalisation planifiée et suivie
• Processus établi : processus réalisé et géré suivant un processus établi basé sur les bons principes
d'ingénierie du logiciel, les ressources sont mises en place en fonction de ce que requiert le processus défini
• Processus prévisible : processus défini est réalisé afin d'atteindre ses buts de façon cohérente et en
procédant dans un cadre de limites définies – mesure de performance détaillée, faculté d'en anticiper le déroulement
• Processus en optimisation: processus optimisé afin de satisfaire les besoins stratégiques actuels et futurs de
manière reproductible -> implique piloter les idées- les technologies innovantes - le changement des processus inefficaces
Spice ISO 15504 (3)5 Niveaux de maturité /
processus
22B Quinio
ISO 9001:2000 (1) ISO 9001 : 2000 : « Systèmes de management de
la qualité – Exigences »» Traite de toutes les activités de l’entreprise» Vision descendante de la cartographie vers processus
puis procédures, instructions.
Objectifs :» comprendre et satisfaire les exigences;» considérer les processus en termes de valeur ajoutée;» mesurer la performance et l’efficacité des processus;» améliorer en permanence les processus sur la base de
mesures objectives.
23B Quinio
ISO 9001:2000 (2) Reconnaissance :
» Pour l’entreprise et pour une activité de type produit ou service
» Demandé par les CLIENTS Réalisé par :
» Organisme accrédité par le Comite FRançais d’ACcréditation (COFRAC)
Demande :» Un effort important de documentation» Un responsable Qualité rattaché à la direction» Environ 18 mois en délai !
24B Quinio
Six Sigma (1)
Méthodologie élaborée dans les années 80 par Motorola
Objectifs : Elimination de la variation et des défauts dans un processus
Outils : statistiques et DMAIC Définir ce qui est important : Mesurer comment on y arrive aujourd’hui Analyser les problèmes et identifier les causes origines Improve (Améliorer) en résolvant les problèmes Control (Surveiller) pour garantir les performances Associée au Lean Management et à la qualité Appliquée aux services depuis 2002
25B Quinio
Six sigma (2)source : Stéphane BRINSTER Ingénieurs
2000
3.8 Sigma 6 Sigma
Défauts par million
10 000 3.4
Prod. 1ere qualité
99% 99.99966%
Eau potable15 minutes d’eau non potable chaque jour
1 minute non potable tous les 7 mois
Erreurs5 000 erreurs médicales par
semaine
1,7 opérations ratées par semaine
Aéroport1 atterrissage raté par
jour1 atterrissage raté tous
les 5 ans
ElectricitéPas d’électricité 3 heures par mois
Une heure de coupure tous les 34 ans
26B Quinio
Six Sigma (2)
Pour les entreprises :Pas de certification mais un ROI (€)
Pour les personnes :Par l’entreprise ou par l’American Society of Quality (ASQ)Green Belt / Black Belt / Master Blak Belt
27B Quinio
ITIL (1) ITIL (Information Technology Infrastructure Library),
s'intéresse à la production informatique» Fourniture de services informatiques ou exploitation
interne. Objectifs : assurer la satisfaction des utilisateurs ou
clients de services informatiques Référentiel public en commandant les livres de
l’OGC (Office of Government Commerce) Détermine 11 processus clefs
» Fourniture des services» Soutien des services
28B Quinio
ITIL (2)
Pour l’entreprise :» Un référentiel qui dit le « quoi »» L’affichage du nombre de personnes formées ITIL
aux différents niveaux Pour les personnes :
» Via formation par des organismes agréés par l’ITIL
29B Quinio
PMBOk et PRINCE PMBOK : Project Management Body of Knowledge
» Développé par PMI (Project Management Institute) (, élaboré sur la base des meilleures pratiques du management de projet et organisé suivant les domaines :
– intégration du projet,
– contenu du projet,
– délais du projet,
– communication du projet,
– risques du projet
– approvisionnements du projet).
» Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals).
o Prince, Prince2» Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction
de projet, utilisé par l'administration britannique.
» Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir.
» La méthode Prince est dans le domaine public.
30B Quinio
eSCM Récent, eSCM se veut LE référentiel de la
relation d’infogérance ou d’eSourcing Issu de ITsqc de l’Université de Carnegie
Mellon Référentiel de bonnes pratiques axé sur la
gouvernance d’une relation Client / Fournisseur :» eSCM-SP (service provider) : pour le prestataire» eSCM-CL (client) : pour le côté client
31B Quinio
Référentiels de métiers CIGREF 2009 (1)
Défini les métiers et les compétences nécessaires au fonctionnement de la DSI
Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et
d’emploi
32B Quinio
Référentiels de métiers CIGREF 2009 (1)
Défini les métiers et les compétences nécessaires au fonctionnement de la DSI
Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et
d’emploi
33B Quinio
Référentiels de métiers CIGREF 2009 (2)
Voir le document et les fiches métiers
34B Quinio
Iso 27001 (1)
WWW.iso27000.org http://fr.wikipedia.org/wiki/ISO/CEI_27001 La norme ISO 27001 (2005) succède à la
norme BS 7799-2. Pour tous les types d’organismes Décrit les exigences pour la mise en place
d'un Système de Management de la Sécurité de l'Information (SMSI).
Acteur central : le RSSI
35B Quinio
Iso 27001 (2)
Une démarche très classique1. Phase Plan : planifier les actions
2. Phase Do : réaliser ce qu’on a planifié
3. Phase Check : vérifier qu’il n’existe pas d’écart entre le PLAN et le DO
4. Phase Act : corriger les écarts qui ont été constatés
36B Quinio
Iso 27001 (3) La planification
1. Définir la politique et le périmètre du SMSI
2. Identifier et évaluer les risques– Sans proposition de démarche d’appréciation
(cotation) des risques1) Identifier les actifs
2) Identifier les personnes responsables
3) Identifier les vulnérabilités
4) Identifier les menaces
5) Identifier les impacts
6) Evaluer la vraisemblance
7) Estimer les niveaux de risque
37B Quinio
Iso 27001 (4)
3. Traiter le risque et identifier le risque résiduel
» L’acceptation : ne rien faire car les conséquences de cette attaque sont faibles
» L’évitement : politique mise en place si l’incident est jugé inacceptable
» Le transfert : transfère le risque par le biais de d’une assurance ou de l’appel à la sous-traitance.
» La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.
38B Quinio
Iso 27001 (5)
4. Sélection des mesures de sécurité à mettre en place
» L’annexe A propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux.
» Ce n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.
39B Quinio
Iso 27001 (6) Certification par un organisme pour les
entreprises» audit initial» audit de surveillance» audit de renouvellement
Formation pour les individus
40B Quinio
TOGAF http://www.opengroup.org/togaf/ Voir présentation dans le document :
» TOGAF-V9-M1-Management-Overview
41B Quinio
Projet de mise en place d’un référentiel
Source : Le référentiels de la DSI – CIGREF 2009
42B Quinio
Conclusion
Choisir le BON référentiel en fonction des besoins
Adapter le contenu Travailler par itération Changement avant tout organisationnel
» Accompagnement, communication, …
Recommended