1 / 42

Les référentiels de qualité et de contrôle du SI

Les référentiels de qualité et de contrôle du SI. B Quinio Université Paris Ouest 2010 - 2011. Référentiels de qualité et de contrôle du SI. Pourquoi ces référentiels Les préalables Démarche / modèle / méthode / méthodologie Référentiels de SI Positionnement des référentiels

felton
Télécharger la présentation

Les référentiels de qualité et de contrôle du SI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Les référentiels de qualité et de contrôle du SI B Quinio Université Paris Ouest 2010 - 2011

  2. Référentiels de qualité et de contrôle du SI • Pourquoi ces référentiels • Les préalables • Démarche / modèle / méthode / méthodologie • Référentiels de SI • Positionnement des référentiels • Présentation des référentiels

  3. Pourquoi ces référentiels ? (1) • Des raisons venant du marché : • Mise sous contrôle des SI • Affaire Enron, … • Développement de l’Outsourcing • Bangalore en Inde pour le Offshore • Fusion et politique de groupe • Des raisons internes : • Le SI doit donner de la valeur • Les métiers veulent voir ce qui se passe dans le SI • Mais aussi : • Effet de mode anglo-saxonne • Un vrai business pour les cabinets de conseils

  4. Pourquoi ces référentiels ? (2) • Le objectifs recherchés selon les référentiels: • Satisfaction des clients du SI • Qualité • Amélioration continue des performances • Mise sous contrôle du SI • Amélioration de communication DSI / Métier • Standardisation des pratiques • Portabilité, changement de fournisseur • Avantage concurrentiel pour les fournisseur de services • Barrière à l’entrée • Dédouanement

  5. Pourquoi ces référentiels ? (3) • Le principes communs aux référentiels • Séparation du Run et du Build • Production de services SI / Projet • La qualité du processus de fabrication (services ou logiciel)  Qualité du service ou logiciel • Amélioration continue et pas seulement certification ponctuelle • Développement du benchmark : prendre ce qu’il y a de mieux ailleurs

  6. Une vision commune : cartographie des processus Source : Le référentiels de la DSI – CIGREF 2009

  7. Référentiels ITEt normes ? • Un référentiel est une collection de bonnes pratiques • Une norme, plus contraignante, est éditée par une instance de normalisation (EX : Iso 27001 pour la sécurité)

  8. Référentiels Internes ou externes Source : Le référentiels de la DSI – CIGREF 2009

  9. Les référentiels les plus utilisés Source : Le référentiels de la DSI – CIGREF 2009

  10. Référentiels ITPositionnement des référentiels (3)

  11. Référentiels ITPositionnement des référentiels TI (5) Prod-uction ITIL C O B I T 6 sigma I S 0 9001 TOGAF Métier CIGREF PMBOK PRINCE 2 IPMA Spice CMMI Projet contrôle qualité

  12. Caractérisation des référentiels (1) • Modèles et normes : • Non spécifiques aux TI: • ISO 9001 • Six sigma • Spécifiques à l’informatique : • COBIT • ITIL • CMMI • Corpus de connaissances: • PMBoK du PMI concernant la gestion de projet • SWEBoK du IEEE concernant le génie logiciel • Source : Laboratoire Génie Industriel de Lille

  13. Caractérisation des référentiels (2) • Reconnaissance : • Pour l’entreprise ou personne physique • Globale (binaire) ou positionnement sur une échelle • Validation par : • Organismes agréés par les auteurs • Personnes formées et certifiées

  14. Caractérisation des réferentiels (3) • Ce que nous retenons : • Ce sont des référentiels • Ils définissent ce qu’il faut faire (pas comment) • Ils représentent un investissement souvent lourd • On les met en place par obligation : • Légale • Concurrentiel • Indispensable de les connaître

  15. COBIT de l’ISACA (1) • Le modèle CobiT : Control Objectives for Business & Related Technology) • méthode de Maîtrise et d’audit des Systèmes d’Information et d'audit de systèmes d'information, • éditée par l’Information System Audit & Control Association (ISACA) en 1996 • C'est un modèle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. • Cobit est une approche orientée processus : • les activités sont intégrées dans les 34 processus établis, • Les processus sont regroupés en 4 domaines de processus.

  16. COBIT de l’ISACA (2) • Orientation contrôle de gestion : • Très lié à la SOX • Utilisé par tous les cabinet d’audit • Reconnaissance : • Pas pour l’entreprise directement (indirectement via la conformité à la loi Sox ou IFRS) • Certification pour personne ISACA et ITGI • Par examen

  17. CMMI (1) • Capability Matury Model Integration • Créé en 2002 par le Software Engineering Institut (SEI) • Université de Carnegie Mellon • évolution du modèle CMM de la fin 90 qui ne traitait que de la fabrication du logiciel • Initié par le DOD pour contrôler ses soustraitants • modèle de bonnes pratiques qui repose sur une amélioration progressive des processus de développement informatique de l’entreprise. • 25 Domaines de Processus (Process Area PA) répartis : • En 4 domaines • Sur 5 niveau de maturité

  18. CMMI (2) • Orientation • Management de projet (logiciel et système) • Qualitative et maturité • Reconnaissance : • Pour l’entreprise • Via évaluateur formé à la méthode SCAMPI et agréé par le SEI • Niveau de maturité global ou pour un processus (ou domaine) donné • Pour une personne • Devenir évaluateur CMMI via les formations SEI

  19. Spice ISO 15504 (1) • Spice est une norme créée par l’ISO (International Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504). • Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet. • SPICE est associée à CMM • Reconnaissance pour l’entreprise et pour un processus • Auto-évaluation ou via expert

  20. Spice ISO 15504 (2) • 5 catégorie de processus SPICE • Relations clients –fournisseurs • Ingénierie • Support • Management • Organisation

  21. Spice ISO 15504 (3)5 Niveaux de maturité / processus • Processus réalisé: personnes concernés savent ce qu'elles doivent faire, il y a consensus sur la manière et le moment de le faire • Processus géré: processus fournit des produits de qualité acceptable dans des délais définis – réalisation planifiée et suivie • Processus établi : processus réalisé et géré suivant un processus établi basé sur les bons principes d'ingénierie du logiciel, les ressources sont mises en place en fonction de ce que requiert le processus défini • Processus prévisible : processus défini est réalisé afin d'atteindre ses buts de façon cohérente et en procédant dans un cadre de limites définies – mesure de performance détaillée, faculté d'en anticiper le déroulement • Processus en optimisation: processus optimisé afin de satisfaire les besoins stratégiques actuels et futurs de manière reproductible -> implique piloter les idées- les technologies innovantes - le changement des processus inefficaces

  22. ISO 9001:2000 (1) • ISO 9001 : 2000 : « Systèmes de management de la qualité – Exigences » • Traite de toutes les activités de l’entreprise • Vision descendante de la cartographie vers processus puis procédures, instructions. • Objectifs : • comprendre et satisfaire les exigences; • considérer les processus en termes de valeur ajoutée; • mesurer la performance et l’efficacité des processus; • améliorer en permanence les processus sur la base de mesures objectives.

  23. ISO 9001:2000 (2) • Reconnaissance : • Pour l’entreprise et pour une activité de type produit ou service • Demandé par les CLIENTS • Réalisé par : • Organisme accrédité par le Comite FRançais d’ACcréditation (COFRAC) • Demande : • Un effort important de documentation • Un responsable Qualité rattaché à la direction • Environ 18 mois en délai !

  24. Six Sigma (1) •  Méthodologie élaborée dans les années 80 par Motorola •  Objectifs : Elimination de la variation et des défauts dans un processus •  Outils : statistiques et DMAIC • Définir ce qui est important : • Mesurer comment on y arrive aujourd’hui • Analyser les problèmes et identifier les causes origines • Improve (Améliorer) en résolvant les problèmes • Control (Surveiller) pour garantir les performances • Associée au Lean Management et à la qualité • Appliquée aux services depuis 2002

  25. Six sigma (2)source : Stéphane BRINSTER Ingénieurs 2000

  26. Six Sigma (2) • Pour les entreprises : • Pas de certification mais un ROI (€) • Pour les personnes : • Par l’entreprise ou par l’American Society of Quality (ASQ) • Green Belt / Black Belt / Master Blak Belt

  27. ITIL (1) • ITIL (Information Technology Infrastructure Library), s'intéresse à la production informatique • Fourniture de services informatiques ou exploitation interne. • Objectifs : assurer la satisfaction des utilisateurs ou clients de services informatiques • Référentiel public en commandant les livres de l’OGC (Office of Government Commerce) • Détermine 11 processus clefs • Fourniture des services • Soutien des services

  28. ITIL (2) • Pour l’entreprise : • Un référentiel qui dit le « quoi » • L’affichage du nombre de personnes formées ITIL aux différents niveaux • Pour les personnes : • Via formation par des organismes agréés par l’ITIL

  29. PMBOk et PRINCE • PMBOK : Project Management Body of Knowledge • Développé par PMI (Project Management Institute) (, élaboré sur la base des meilleures pratiques du management de projet et organisé suivant les domaines : • intégration du projet, • contenu du projet, • délais du projet, • communication du projet, • risques du projet • approvisionnements du projet). • Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals). • Prince, Prince2 • Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction de projet, utilisé par l'administration britannique. • Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir. • La méthode Prince est dans le domaine public.

  30. eSCM • Récent, eSCM se veut LE référentiel de la relation d’infogérance ou d’eSourcing • Issu de ITsqc de l’Université de Carnegie Mellon • Référentiel de bonnes pratiques axé sur la gouvernance d’une relation Client / Fournisseur : • eSCM-SP (service provider) : pour le prestataire • eSCM-CL (client) : pour le côté client

  31. Référentiels de métiers CIGREF 2009 (1) • Défini les métiers et les compétences nécessaires au fonctionnement de la DSI • Librement accessible sur le site du CIGREF • De plus en plus utilisé • Très important pour la recherche de stage et d’emploi

  32. Référentiels de métiers CIGREF 2009 (1) • Défini les métiers et les compétences nécessaires au fonctionnement de la DSI • Librement accessible sur le site du CIGREF • De plus en plus utilisé • Très important pour la recherche de stage et d’emploi

  33. Référentiels de métiers CIGREF 2009 (2) Voir le document et les fiches métiers

  34. Iso 27001 (1) • WWW.iso27000.org • http://fr.wikipedia.org/wiki/ISO/CEI_27001 • La norme ISO 27001 (2005) succède à la norme BS 7799-2. • Pour tous les types d’organismes • Décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). • Acteur central : le RSSI

  35. Iso 27001 (2) • Une démarche très classique • Phase Plan : planifier les actions • Phase Do : réaliser ce qu’on a planifié • Phase Check : vérifier qu’il n’existe pas d’écart entre le PLAN et le DO • Phase Act : corriger les écarts qui ont été constatés

  36. Iso 27001 (3) • La planification • Définir la politique et le périmètre du SMSI • Identifier et évaluer les risques • Sans proposition de démarche d’appréciation (cotation) des risques • Identifier les actifs • Identifier les personnes responsables • Identifier les vulnérabilités • Identifier les menaces • Identifier les impacts • Evaluer la vraisemblance • Estimer les niveaux de risque

  37. Iso 27001 (4) • Traiter le risque et identifier le risque résiduel • L’acceptation : ne rien faire car les conséquences de cette attaque sont faibles • L’évitement : politique mise en place si l’incident est jugé inacceptable • Le transfert : transfère le risque par le biais de d’une assurance ou de l’appel à la sous-traitance. • La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.

  38. Iso 27001 (5) • Sélection des mesures de sécurité à mettre en place • L’annexe A propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux. • Ce n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.

  39. Iso 27001 (6) • Certification par un organisme pour les entreprises • audit initial • audit de surveillance • audit de renouvellement • Formation pour les individus

  40. TOGAF • http://www.opengroup.org/togaf/ • Voir présentation dans le document : • TOGAF-V9-M1-Management-Overview

  41. Projet de mise en place d’un référentiel Source : Le référentiels de la DSI – CIGREF 2009

  42. Conclusion • Choisir le BON référentiel en fonction des besoins • Adapter le contenu • Travailler par itération • Changement avant tout organisationnel • Accompagnement, communication, …

More Related