1B Quinio

Les référentiels de qualité et de contrôle du SI

B Quinio

Université Paris Ouest

2010 - 2011

2B Quinio

Référentiels de qualité et de contrôle du SI

Pourquoi ces référentiels Les préalables

» Démarche / modèle / méthode / méthodologie» Référentiels de SI

Positionnement des référentiels Présentation des référentiels

3B Quinio

Pourquoi ces référentiels ? (1)

Des raisons venant du marché :» Mise sous contrôle des SI

– Affaire Enron, …» Développement de l’Outsourcing

– Bangalore en Inde pour le Offshore

» Fusion et politique de groupe Des raisons internes :

» Le SI doit donner de la valeur» Les métiers veulent voir ce qui se passe dans le SI

Mais aussi :» Effet de mode anglo-saxonne» Un vrai business pour les cabinets de conseils

4B Quinio

Pourquoi ces référentiels ? (2)

Le objectifs recherchés selon les référentiels:» Satisfaction des clients du SI

– Qualité

» Amélioration continue des performances» Mise sous contrôle du SI» Amélioration de communication DSI / Métier» Standardisation des pratiques

– Portabilité, changement de fournisseur

» Avantage concurrentiel pour les fournisseur de services– Barrière à l’entrée– Dédouanement

5B Quinio

Pourquoi ces référentiels ? (3)

Le principes communs aux référentiels» Séparation du Run et du Build

– Production de services SI / Projet

» La qualité du processus de fabrication (services ou logiciel) Qualité du service ou logiciel

» Amélioration continue et pas seulement certification ponctuelle

» Développement du benchmark : prendre ce qu’il y a de mieux ailleurs

6B Quinio

Une vision commune : cartographie des

processus

Source : Le référentiels de la DSI – CIGREF 2009

7B Quinio

Référentiels ITEt normes ?

Un référentiel est une collection de bonnes pratiques

Une norme, plus contraignante, est éditée par une instance de normalisation (EX : Iso 27001 pour la sécurité)

8B Quinio

Référentiels Internes ou externes

Source : Le référentiels de la DSI – CIGREF 2009

9B Quinio

Les référentiels les plus utilisés

Source : Le référentiels de la DSI – CIGREF 2009

10B Quinio

Référentiels ITPositionnement des référentiels

(3)

11B Quinio

Référentiels ITPositionnement des référentiels

TI (5)

ITIL

qualité contrôle

Projet

Prod-uction

PMBOKPRINCE 2IPMA

CMMI Spice

C

O

B

I

T

6 sigmaIS0

9001

TOGAF

Métier CIGREF

12B Quinio

Caractérisation des référentiels (1)

Modèles et normes :» Non spécifiques aux TI:

– ISO 9001– Six sigma

» Spécifiques à l’informatique :– COBIT– ITIL– CMMI

Corpus de connaissances:» PMBoK du PMI concernant la gestion de projet» SWEBoK du IEEE concernant le génie logiciel

Source : Laboratoire Génie Industriel de Lille

13B Quinio

Caractérisation des référentiels (2)

Reconnaissance :» Pour l’entreprise ou personne physique» Globale (binaire) ou positionnement sur une

échelle Validation par :

» Organismes agréés par les auteurs» Personnes formées et certifiées

14B Quinio

Caractérisation des réferentiels (3)

Ce que nous retenons :» Ce sont des référentiels» Ils définissent ce qu’il faut faire (pas comment)» Ils représentent un investissement souvent

lourd» On les met en place par obligation :

– Légale– Concurrentiel

» Indispensable de les connaître

15B Quinio

COBIT de l’ISACA (1) Le modèle CobiT : Control Objectives for Business &

Related Technology) » méthode de Maîtrise et d’audit des Systèmes d’Information et d'audit

de systèmes d'information,» éditée par l’Information System Audit & Control Association (ISACA)

en 1996» C'est un modèle qui vise à aider le management à gérer les risques

(sécurité, fiabilité, conformité) et les investissements.

Cobit est une approche orientée processus : » les activités sont intégrées dans les 34 processus établis,» Les processus sont regroupés en 4 domaines de processus.

16B Quinio

COBIT de l’ISACA (2)

Orientation contrôle de gestion :» Très lié à la SOX» Utilisé par tous les cabinet d’audit

Reconnaissance :» Pas pour l’entreprise directement (indirectement

via la conformité à la loi Sox ou IFRS)» Certification pour personne ISACA et ITGI

– Par examen

17B Quinio

CMMI (1) Capability Matury Model Integration

Créé en 2002 par le Software Engineering Institut (SEI)

» Université de Carnegie Mellon

» évolution du modèle CMM de la fin 90 qui ne traitait que de la fabrication du logiciel

Initié par le DOD pour contrôler ses soustraitants

modèle de bonnes pratiques qui repose sur une amélioration progressive des processus de développement informatique de l’entreprise.

25 Domaines de Processus (Process Area PA) répartis :» En 4 domaines» Sur 5 niveau de maturité

18B Quinio

CMMI (2) Orientation

» Management de projet (logiciel et système)

» Qualitative et maturité

Reconnaissance :

» Pour l’entreprise

– Via évaluateur formé à la méthode SCAMPI et agréé par le SEI

– Niveau de maturité global ou pour un processus (ou domaine) donné

» Pour une personne

– Devenir évaluateur CMMI via les formations SEI

19B Quinio

Spice ISO 15504 (1) Spice est une norme créée par l’ISO (International

Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504).

Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet.

SPICE est associée à CMM Reconnaissance pour l’entreprise et pour un

processus» Auto-évaluation ou via expert

20B Quinio

5 catégorie de processus SPICE Relations clients –fournisseurs Ingénierie Support Management Organisation

Spice ISO 15504 (2)

21B Quinio

• Processus réalisé: personnes concernés savent ce qu'elles doivent faire, il y a consensus sur la

manière et le moment de le faire

• Processus géré: processus fournit des produits de qualité acceptable dans des délais définis –

réalisation planifiée et suivie

• Processus établi : processus réalisé et géré suivant un processus établi basé sur les bons principes

d'ingénierie du logiciel, les ressources sont mises en place en fonction de ce que requiert le processus défini

• Processus prévisible : processus défini est réalisé afin d'atteindre ses buts de façon cohérente et en

procédant dans un cadre de limites définies – mesure de performance détaillée, faculté d'en anticiper le déroulement

• Processus en optimisation: processus optimisé afin de satisfaire les besoins stratégiques actuels et futurs de

manière reproductible -> implique piloter les idées- les technologies innovantes - le changement des processus inefficaces

Spice ISO 15504 (3)5 Niveaux de maturité /

processus

22B Quinio

ISO 9001:2000 (1) ISO 9001 : 2000 : « Systèmes de management de

la qualité – Exigences »» Traite de toutes les activités de l’entreprise» Vision descendante de la cartographie vers processus

puis procédures, instructions.

Objectifs :» comprendre et satisfaire les exigences;» considérer les processus en termes de valeur ajoutée;» mesurer la performance et l’efficacité des processus;» améliorer en permanence les processus sur la base de

mesures objectives.

23B Quinio

ISO 9001:2000 (2) Reconnaissance :

» Pour l’entreprise et pour une activité de type produit ou service

» Demandé par les CLIENTS Réalisé par :

» Organisme accrédité par le Comite FRançais d’ACcréditation (COFRAC)

Demande :» Un effort important de documentation» Un responsable Qualité rattaché à la direction» Environ 18 mois en délai !

24B Quinio

Six Sigma (1)

Méthodologie élaborée dans les années 80 par Motorola

Objectifs : Elimination de la variation et des défauts dans un processus

Outils : statistiques et DMAIC Définir ce qui est important : Mesurer comment on y arrive aujourd’hui Analyser les problèmes et identifier les causes origines Improve (Améliorer) en résolvant les problèmes Control (Surveiller) pour garantir les performances Associée au Lean Management et à la qualité Appliquée aux services depuis 2002

25B Quinio

Six sigma (2)source : Stéphane BRINSTER Ingénieurs

2000

3.8 Sigma 6 Sigma

Défauts par million

10 000 3.4

Prod. 1ere qualité

99% 99.99966%

Eau potable15 minutes d’eau non potable chaque jour

1 minute non potable tous les 7 mois

Erreurs5 000 erreurs médicales par

semaine

1,7 opérations ratées par semaine

Aéroport1 atterrissage raté par

jour1 atterrissage raté tous

les 5 ans

ElectricitéPas d’électricité 3 heures par mois

Une heure de coupure tous les 34 ans

26B Quinio

Six Sigma (2)

Pour les entreprises :Pas de certification mais un ROI (€)

Pour les personnes :Par l’entreprise ou par l’American Society of Quality (ASQ)Green Belt / Black Belt / Master Blak Belt

27B Quinio

ITIL (1) ITIL (Information Technology Infrastructure Library),

s'intéresse à la production informatique» Fourniture de services informatiques ou exploitation

interne. Objectifs : assurer la satisfaction des utilisateurs ou

clients de services informatiques Référentiel public en commandant les livres de

l’OGC (Office of Government Commerce) Détermine 11 processus clefs

» Fourniture des services» Soutien des services

28B Quinio

ITIL (2)

Pour l’entreprise :» Un référentiel qui dit le « quoi »» L’affichage du nombre de personnes formées ITIL

aux différents niveaux Pour les personnes :

» Via formation par des organismes agréés par l’ITIL

29B Quinio

PMBOk et PRINCE PMBOK : Project Management Body of Knowledge

» Développé par PMI (Project Management Institute) (, élaboré sur la base des meilleures pratiques du management de projet et organisé suivant les domaines :

– intégration du projet,

– contenu du projet,

– délais du projet,

– communication du projet,

– risques du projet

– approvisionnements du projet).

» Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals).

o Prince, Prince2» Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction

de projet, utilisé par l'administration britannique.

» Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir.

» La méthode Prince est dans le domaine public.

30B Quinio

eSCM Récent, eSCM se veut LE référentiel de la

relation d’infogérance ou d’eSourcing Issu de ITsqc de l’Université de Carnegie

Mellon Référentiel de bonnes pratiques axé sur la

gouvernance d’une relation Client / Fournisseur :» eSCM-SP (service provider) : pour le prestataire» eSCM-CL (client) : pour le côté client

31B Quinio

Référentiels de métiers CIGREF 2009 (1)

Défini les métiers et les compétences nécessaires au fonctionnement de la DSI

Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et

d’emploi

32B Quinio

Référentiels de métiers CIGREF 2009 (1)

Défini les métiers et les compétences nécessaires au fonctionnement de la DSI

Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et

d’emploi

33B Quinio

Référentiels de métiers CIGREF 2009 (2)

Voir le document et les fiches métiers

34B Quinio

Iso 27001 (1)

WWW.iso27000.org http://fr.wikipedia.org/wiki/ISO/CEI_27001 La norme ISO 27001 (2005) succède à la

norme BS 7799-2. Pour tous les types d’organismes Décrit les exigences pour la mise en place

d'un Système de Management de la Sécurité de l'Information (SMSI).

Acteur central : le RSSI

35B Quinio

Iso 27001 (2)

Une démarche très classique1. Phase Plan : planifier les actions

2. Phase Do : réaliser ce qu’on a planifié

3. Phase Check : vérifier qu’il n’existe pas d’écart entre le PLAN et le DO

4. Phase Act : corriger les écarts qui ont été constatés

36B Quinio

Iso 27001 (3) La planification

1. Définir la politique et le périmètre du SMSI

2. Identifier et évaluer les risques– Sans proposition de démarche d’appréciation

(cotation) des risques1) Identifier les actifs

2) Identifier les personnes responsables

3) Identifier les vulnérabilités

4) Identifier les menaces

5) Identifier les impacts

6) Evaluer la vraisemblance

7) Estimer les niveaux de risque

37B Quinio

Iso 27001 (4)

3. Traiter le risque et identifier le risque résiduel

» L’acceptation : ne rien faire car les conséquences de cette attaque sont faibles

» L’évitement : politique mise en place si l’incident est jugé inacceptable

» Le transfert : transfère le risque par le biais de d’une assurance ou de l’appel à la sous-traitance.

» La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.

38B Quinio

Iso 27001 (5)

4. Sélection des mesures de sécurité à mettre en place

» L’annexe A propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux.

» Ce n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.

39B Quinio

Iso 27001 (6) Certification par un organisme pour les

entreprises» audit initial» audit de surveillance» audit de renouvellement

Formation pour les individus

40B Quinio

TOGAF http://www.opengroup.org/togaf/ Voir présentation dans le document :

» TOGAF-V9-M1-Management-Overview

41B Quinio

Projet de mise en place d’un référentiel

Source : Le référentiels de la DSI – CIGREF 2009

42B Quinio

Conclusion

Choisir le BON référentiel en fonction des besoins

Adapter le contenu Travailler par itération Changement avant tout organisationnel

» Accompagnement, communication, …