FORMATION QUALITE Qualité en Informatique FINALITE : DECOUVRIR les démarches Qualité pour l ’informatique
Nombre de certificat ISO 9000- 2000 dans le monde : L’industrie informatique se place en 12ème position alors que ? (Source : ISO Survey - Décembre 2003)
Pourquoi la Qualité en Informatique ? : INFORMATIQUE : taux d ’erreur / millier d’instruction 5 à 10 erreurs 5 000 à 10 000 erreurs /millions d ’instruction 5 000 à 10 000 PPM NASA = navette spatiale 0.1 erreurs / milliers d ’instruction 100 PPM Démarche qualité forte (vie d’homme est en jeu) STANDARD DU MONDE INDUSTRIEL = 6 sigma = 3.4 PPM (4 sigma = 6 210 PPM) INDUSTRIE AUTOMOBILE : Au cours des 3 dernières années, + 30 % d ’accroissement des fonctionnalités Électronique et Informatique sans augmentation du prix du véhicule
Pourquoi la Qualité en Informatique ? : prend de plus en plus de place dans notre vie QUELQUES RESULTATS : Arianne 5 qui explose lors de son premier vol Blocage d ’une Entreprise par une panne d ’ordinateur Word 2000 : anti-stress devient anti-arabe (après correcteur orthographique) Hôpital G. Pompidou : Problème informatique (effectif réduit) --> Problème légionellose
Pourquoi la Qualité en Informatique ? : Serveur EBay : vente aux enchères indisponibilité durant 22 heures (jeudi 10 juin 1999) échec de plus de 2,3 millions d'enchères. Secteur = compétitivité dépend plus que jamais du zéro-défaut face au consommateur, EBay a annoncé qu'elle remboursera les frais d'enregistrement des enchères en cours, soit entre 3 et 5 millions de dollars Wall Street : le titre a chuté de plus de 15 %. (S&T Presse, 14 juin 1999) Péage du centre de Londres : 50 contraventions de 120 livres envoyées 2 jours avant la mise en place Cause : erreur informatique dans le programme de test Tunnel du Mont-Blanc : 30 mars 2003 Panne informatique de 7 h mise en cause de la sécurité du tunnel Blocage circulation pour les camions Circulation alternée pour les voitures 24 mars 1999 = 39 morts Métro de Hanovre : 24 février 2000 Panne informatique : gestion du déplacement des rames embouteillage monstre et blocage des rames pour 40 000 visiteurs du CEBIT = salon mondial de XXXXXX du futur
Pourquoi la Qualité en Informatique ? : Hôpital EPINAL : octobre 2006 23 patients soumis à des irradiations excessives (traitement cancer prostate) de mai 2004 à mai 2005 1 mort, 3 autres lien non avéré, 13 malades avec situation aggravée Logiciel de pilotage peu convivial : 2 clics de souris pour faire une mauvaise manipulation Fournisseur = VARIAN, 1 er fournisseur de système de traitement du cancer (CA = 207 millions de $, 22 % bénéfices) Ouverture ligne professionnelle pour un commerce : novembre 2006 France Télécom envoie 3 000 fois le même courrier : contrat d’abonnement + lettre d’accompagnement Défaillance du logiciel courrier Module Achats Indirects SAP : octobre 2005 Formation de 10 personnes au module dans un environnement de test Exercice de commande de 1 000 bottes en caoutchouc pour pied gauche Livraison par Aigle des 1 000 bottes PIED GAUCHE par Aigle (environnement de test relié à l’environnement de production) Centre anti-dopage en France : novembre 2006 Piratage du système informatique Communication de faux certificat d’analyse
Pourquoi la Qualité en Informatique ? : BUG chez l’ECUREUIL & au CREDIT AGRICOLE : novembre 2006 Double débit sur plus de 400 000 transactions Caisse épargne : 300 000 lignes comptables doublées dans la nuit du 28 au 29 novembre Crédit agricole Alpes / Provence : 126 000 transactions d’une valeur moyenne de 30 euros comptabilisées 2 fois AIRBAG NE FONCTIONNE PAS CHEZ VOLVO (filiale de Ford) : nov. 2007 18 000 véhicules rappelés Logiciel de pilotage des airbags latéraux ne se déclenche pas assez rapidement en cas de collision avec un objet de petite taille (poteau par exemple)
Pourquoi la Qualité en Informatique ? : Bug à 400 millions d'euros à la caisse d'assurance maladie (déc. 2009) : Entre 15.000 et 20.000 travailleurs indépendants (commerçants, artisans, professions libérales) : Pas de versement de cotisations sociales à leur régime social, le RSI (Régime Social des Indépendants), depuis au moins deux ans, Bug informatique faramineux provoquant une absence d’appels de cotisations généralisée sur toutes les branches: retraite, maladie, famille, formation professionnelle. Conséquences majeures : prestations correspondantes (points de retraite, annuités) : pas comptabilisées. cotisations restent dues par les travailleurs indépendants impliqués, jusqu’à plusieurs milliers d’euros pour certains. RSI : Prise en charge la réintégration des victimes de ce bug, Pas de pénalisation Délais de paiement.
Pourquoi la Qualité en Informatique ? : ‘A LA VIRGULE PRES’ en ITALIE (nov. 2009) : Système informatique de la poste Italienne (POSTAMAT) : Multiplication par 100 des dépenses : 100 euros 10 000 euros enregistrés sur le compte Compte dans le rouge Anomalie technique dans la mise à jour logiciel de la plate-forme technologique des cartes de paiement 6,2 millions d’Italiens concernés
Pourquoi la Qualité en Informatique ? : SNCF (22 mai 2010) : 22 mai 2010 Tuile pour la SNCF en cette veille de Pentecôte. Une nouvelle panne informatique a rendu hier impossible l'achat de billets pour une partie des trains grandes lignes à réservation. Son président Guillaume Pepy assurait que le problème était résolu, se disant «désolé de cet incident» qui «arrive en informatique parfois». 16 mars 2010 Suite à un bug informatique, le site de la SNCF annonçait Ce matin un grave accident à Mâcon, ayant fait une centaine de victimes. Mais aucun accident n'a eu lieu : il s'agit d'une erreur. SITE « FRANCE.FR » bugs persistants (1,6 millions d’euro) : La vitrine de la France sur le web a bien mal démarré. Le site a été lancé officiellement le 14 juillet pour ne fonctionner que quelques heures. « Cela me fait penser qu’il y a vraiment un juste milieu entre travailler 14 heures par jour et prendre une pause déjeuner de deux heures avec une bouteille de vin. En général, cependant, les développeurs français semblent vouloir faire comme leur équipe de foot. Oh, et bon 14 juillet ! »
Pourquoi la Qualité en Informatique ? : BESOINS / ATTENTES du CLIENT/UTILISATEUR : Système / Application informatique : qui fonctionne quand il en a besoin, pas avant, pas après qui résiste aux pannes, aux mauvaises manipulations qui soit facile à utiliser Etc. « La QUALITE, comme la beauté, est dans l’œil de celui qui regarde Mais qui est ce connard qui regarde la QUALITE de mon projet informatique ? »
Facteurs clef de qualité d’un logiciel ? : DETERMINER DES FACTEURS CLEFS de Qualité : Brain strorming Déterminer les 5 plus importants Mot = ………….ITE
Facteurs de Qualité d ’un logiciel (selon Walters/Mc Call ) : orientés UTILISATEUR / CLIENT Walters/Mc Call : Factors in software quality (50) CONFORMITE (Correctness) : Respect des besoins/attentes formulés par le Client temps de réponse, volume de données à traiter, accès, etc UTILISABILITE (usability) : Effort nécessaire pour l ’apprentissage, l ’utilisation du logiciel. fonction de la documentation, des interfaces utilisateurs, etc logiciel peut être bon techniquement mais trop compliqué à utiliser. Facilité d’utilisation, accessibilité ERGONOMIE : devient une discipline à part entière FIABILITE (Reliability) : Capacité à fonctionner avec le minimum d ’arrêt et d ’erreurs : précision, intégrité, uniformité de conduite, tolérance aux erreurs, comportement conforme même en cas d’événements non prévus, non, voulus primordial --> conduite de processus, pilotage d ’avion, etc panne coûte cher (notion de MTBF= Mean Time Between Failure) INTEGRITE (Integrity) : Résistance contre tout accès non autorisée, aux mauvaises manipulations, etc important si militaire, finances, banques, etc),
Facteurs de Qualité d ’un logiciel : orientés INFORMATICIEN MAINTENABILITE (Maintainability) : Effort nécessaire pour localiser / corriger une erreur (par rapport aux spécifications et non pas par rapport à une mauvaise expression des besoins). Facilité de correction dépend de la documentation, des commentaires programme, etc TESTABILITE (Testability) : Effort nécessaire pour réaliser les tests qui permettent de s ’assurer que le système répond aux spécifications, Vérification de son comportement FLEXIBILITE (Flexibility) : Effort nécessaire pour modifier, faire évoluer le logiciel (extension), Ajout ou suppression de fonctionnalités (défauts liés à une mauvaise expression des besoins). Dépend de la documentation, des commentaires programme, etc PORTABILITE (Portability) : Effort nécessaire pour exécuter le programme sur d ’autres machines, systèmes, Indépendance du matériel, du système d’exploitation, etc.
Facteurs de Qualité d ’un logiciel : orientés INFORMATICIEN REUTILISABILITE (Reusability) : Aptitude de pouvoir réutiliser certains éléments du logiciel dans d ’autres INTEROPERABILITE (Interoperability) : Aptitude pour faire fonctionner le logiciel conjointement avec plusieurs autres logiciels, Couplage avec un autre (échange de données, appel, coopération) EFFICACITE (Efficiency) : Minimisation consommation des ressources, optimisation des ressources machines (mémoire, uc, place disque, transmission), rapidité d’exécution important si ressources limitées = satellite, fusée, téléphone portable, etc
Facteurs de Qualité : ==> OPTIMISATION de ces facteurs : OBJECTIF : ==> OPTIMISATION de ces facteurs : Difficile de répondre à tous en même temps (opposition pour certains) -> fonction des besoins du client, de la politique de l ’entreprise, Intégrité <--> efficacité, Fiabilité <--> efficacité Etc. FACTEURS de QUALITE prioritaires : A DEFINIR au départ du projet en relation avec le Client ==> conditionne la conduite du projet, la conception du logiciel
Prise en compte des facteurs de Qualité : Fiabilité : système redondant, simulation sur une longue période navettes spatiales : quintuplement des systèmes avion + process à risque : triplement --> Analyse de risque = AMDEC Intégrité : cryptage de données, algorithme de contrôle, anti-virus Utilisabilité : menu déroulant, symboles, barres d ’outils, messages clairs/ compréhensibles, collaboration des utilisateurs Maintenabilité : structure modulaire, chaque fonction : par modules de 50 lignes, commentaires pertinents, documentation (se baser sur expérience maintenance) Testabilité : facilité d ’isoler les modules pour tester, utilisation de code, de table d ’erreur
Prise en compte des facteurs de Qualité : Flexibilité : lié à maintenabilité, testabilité, modules de plusieurs centaines de lignes sont difficiles à corriger, faire évoluer Portabilité : utilisation de langage répandu, standard, Réutilisabilité : bibliothèque de programme, utilisation de langage objet, documentation
Gestion de la QUALITE : Famille 1 = CERTIFICATION DE L’ORGANISATION Entreprise ayant des activités INFORMATIQUES ==> 2 grandes familles de référentiels / modèles : Famille 1 = CERTIFICATION DE L’ORGANISATION En particulier son système de management de la QUALITE, avec homologation ou certification par un organisme accrédité (ex : AFAQ) Décision binaire : Entreprise EST ou N’EST PAS certifiée Mettre en place des dispositions préventives et correctives pour éviter les non-qualités Assurer que les produits non conformes sont détectés et corrigés en amont, pendant ou en aval du processus avant de parvenir au CLIENT Référentiels principaux : ISO 9001 version 2000 ISO 27 001 Spécifique donneur d ’ordre = en perte de vitesse AQAP (Otan), TQE (France Telecom), RAQ (DGA), 2167A (DOD = Department of Defense USA)
Gestion de la QUALITE : Famille 2 = Niveau de MATURITE d ’une organisation informatique et son aptitude à s ’améliorer : Aptitude présente et future d’une Entreprise Informatique à réaliser, à fournir du logiciel (qualité du processus, évaluation et amélioration) Évaluation de niveau : Entreprise est de niveau 3 CCM I Référentiels principaux : ISO 15 504 (ex SPICE) : réponse de l ’ISO pour établir un modèle normatif pour l ’évaluation des processus (entreprise produisant du logiciel) CMM I (Capability Maturity Model Integrated) : fondements établis par SEI (Software Engineering Institute) ETC .
Approche qualité en informatique : Gestion de projet Production Informatique Gouvernance Des SI Conception et développement Sécurité des SI Gestion de l’interface Internet ISO 9001 - 2008 ISO 15 504 ISO 17 799 WEBCERT CMM I ISO 27 000 LABEL@SITE ITIL / COBIT / ISO 20 000 WEBTRUST ISO 12 207 ISO 10 000 NF logiciel
Approche qualité en informatique : (en gras à retenir) ISO 9001 : COBIT ITIL ISO 15 504 (SPICE) CMM i ISO 10 000 ISO 12 207 ISO 20 000 ISO 17 799 / ISO 27 000
ISO 9001 version 2000 : Périmètre du certificat DEFINITION : Référentiel le plus connu Généraliste : s’applique à n’importe quelle activité, quel que soit le produit ou le service Porte sur le système de management de tout ou partie de l’entreprise : Périmètre du certificat Reconnaissance mutuelle dans le monde Peut être compléter par des normes plus spécifiques OBJECTIFS : Exigences : Responsabilité de la Direction Client : au cœur de l’Entreprise Amélioration continue Processus : identification, maîtrise, mesure à des fins d’amélioration continue Produit : conformité aux attentes du Client, traçabilité Ressources humaines : gestion, responsabilité, compétence, formation
ISO 9001 : MISE EN ŒUVRE : Très général peut être complété par des guides ou exigences spécifiques Mise en place des processus (cartographie) : Avec indicateurs, dispositifs de maitrise, etc Pas de directive précise pour la mise en œuvre : fonction des objectifs de l’entreprise COMMENTAIRES : Caractère universel de l’ISO 9001 Insuffisant dans certains secteurs Utilisation décline en informatique au profit de démarche plus spécifique, applicables à des activités précises PLUS D’INFO : ISO ‘WWW.ISO.CH AFNOR ‘WWW.AFNOR.FR
COBIT : DEFINITION : Control OBjectives for Information and related Technology Développé par IT governance en 1996 France = Afai Association Française de l’audit et du conseil informatique Pratique, processus, et contrôle à mettre en place : pour une bonne maîtrise, une bonne gestion des systèmes d’information Classement en 4 domaines : Planification et organisation Acquisition et installation Livraison et support Surveillance Approche sur 34 processus clefs (comprenant 220 activités) pour une Entreprise informatique OBJECTIFS : Vérifier la cohérence entre informatique et métier Comprendre et gérer les risques attachés au SI Contrôler les investissements
COBIT :
COBIT : 4 domaines, 34 processus clefs PLANIFICATION et ORGANISATION : Couvre la stratégie et les tactiques Concerne l’identification des moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise. 11 processus clefs Définition du plan stratégique informatique Définition de l'architecture des informations Définition de la direction technologique Organisation du service informatique Gestion des investissements Communication des objectifs de la direction Gestion des ressources humaines Respect des exigences légales Évaluation des risques Gestion des projets Gestion de la qualité Gestion des modifications
COBIT : 4 domaines, 34 processus clefs ACQUISITION et MISE EN PLACE : Concerne la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement et l’installation des solutions informatiques et leur intégration dans les processus commerciaux 6 processus clefs Identification des solutions automatiques Acquisition et maintenance des applications informatiques Acquisition et maintenance de l'infrastructure technologique Développement et maintien des procédures Installation et certification des systèmes Gestion des modifications
COBIT : 34 processus clefs LIVRAISON et SUPPORT : Concerne la livraison des prestations informatiques exigées : exploitation, sécurité, plans d’urgence et formation. 13 processus clefs Définition des niveaux de service Gestion des services aux tiers Gestion des performances et des capacités Garantie de la poursuite des traitements Garantie de la sécurité des systèmes Identification et attribution des coûts Formation des utilisateurs Assistance des utilisateurs Gestion de la configuration Gestion des incidents Gestion des données et des applications Sécurité physique du système Gestion de l'exploitation
COBIT : 34 processus clefs SURVEILLANCE : Permet au management d’évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle. 4 processus clefs Monitoring des processus Appréciation du contrôle interne Certification par un organisme indépendant Audit par un organisme indépendant
COBIT : MISE EN ŒUVRE : Guide du management guide des meilleurs pratiques pour les 34 processus (6 fascicules) : évaluation Éléments nécessaires : mise en place de «Balanced scorecard » Indicateurs Pas de certification officielle à ce jour COMMENTAIRES : Traduction française = modèle utilisable par entreprise en France Version allégée pour PME = Cobit Quickstart Version en ligne = Cobit On line PLUS D’INFO : ISACA ‘WWW.ISACA.ORG Information System Audit & Control Association AFAI ‘WWW.AFAI.FR REFERENCE : Renault, Thales
ITIL : Information Technology Infrastructure Library DEFINITION : Information Technology Infrastructure Library Référentiel des meilleures pratiques pour la fourniture de solutions, services informatiques atteindre objectifs qualité et maîtrise des coûts Origine = Royaume uni en 1989 par OGC (Office of Government Commerce) Promotion en France par ITSMF Approche par processus, qui vise à améliorer la qualité des services des SI en créant la fonction de : Centre de Service ou « Service Desk » (extension du «help desk»). OBJECTIFS : 10 processus clefs de gestion = configuration, incident, etc. Mettre en place l’organisation, le support et conseil pour optimisation des services informatiques Qualité de service « application informatique » mesuré sur 3 plans = Fréquence d’indisponibilité Durée Impact pour client / utilisateur Logique permanente de maîtrise des coûts
ITIL : mise en œuvre 2 séries de base Best Practice for Service Support : Soutien des Services aux Technologies de l’Information (Service Support), Décrivant comment on s'assure que le « CLIENT" a accès aux services informatiques appropriés : Centre de services (Service Desk) Gestion des incidents (Incident Management) Gestion des problèmes (Problem Management) Gestion des changements (Change Management) Gestion des configurations (Configuration Management) Best Practice for Service Delivery : Fourniture des Services des TI (Service Delivery), Décrivant les services devant être fournis pour répondre de manière adéquate aux BESOINS DE L’ENTREPRISE : Gestion des mises en production (Release Management) Gestion financière des services des TI (IT Financial Management) Gestion de la capacité (Capacity Management) Gestion de la disponibilité (Availability Management) Gestion de la continuité des services des TI (IT Continuity Management) Gestion des niveaux de service (Service Level Management)
ITIL : mise en œuvre suite 6 autres livres en complément : Planification pour la mise en œuvre des services (Planning to implement service management) Gestion de la sécurité (Security management) Gestion des infrastructures des TIC (ICT infrastructure management) Perspective de l'entreprise (The business perspective) Gestion des applications (Application management) Gestion des assets logiciels (Software asset management) ITIL V3 : maitrise du cycle de vie des services Stratégie des Services (Service Strategy) Conception des Services (Service Design) Transition des Services (Service Transition) Exploitation des Services (Service Operation) Amélioration Continue des Services (Continual Service Improvement)
ITIL : mise en oeuvre Certification aux bonnes pratiques ITIL se fait pour des individus Entreprise veut démontrer son application des processus ITIL certification ISO/CEI 20000 Formation structurée sur 3 niveaux de certification : Foundation Certificate : Certification de premier niveau accordée après un test sous forme de questions à choix multiples Cours de 2 à 3 jours chez un formateur accrédité. Certificat valide une connaissance générique des fondamentaux d'ITIL. Practitioners Certificates : Certification accordée pour une discipline spécifique après un test sous forme de questions à choix multiples fondé sur un cas concret. Cours de 2 à 3 jours chez un formateur accrédité Foundation Certificate est un pré requis. Managers Certificate : Certification accordée après deux tests de 3 heures Formation de 10 jours par un formateur accrédité. Certification : 2 centres EXIN (Examinination Institute for information Science) Pays Bas ISEB (Information System Examination Board) UK
ITIL : mise en oeuvre COMMENTAIRES : Utilisation dans pays anglo-saxon Développement dans le monde standard de fait Pas de traduction en français PLUS D’INFO : ITSMF ‘WWW.ITSMF.FR OGC ‘WWW.OGC.GOV.UK REFERENCE : Assez populaire en Europe à la fin des années 1990 Implantation sur le marché nord-américain : Accenture (Ex Andersen Consulting), Ernst & Young, Hewlett Packard, Deloitte ou Pricewaterhousecoopers Auchan, Agf, Anpe
ISO 15 504 (SPICE) : DEFINITION : Software Process Improvement and Capability dEtermination Modèle d’évaluation de l’aptitude des processus logiciels à répondre aux objectifs fixés Nom de code du projet (XP ISO 15 504) Iso 15 504 Base d ’un rapport Comité Technique de l ’Iso en 1991 S’inspire de CMM OBJECTIFS : Permet à l’entreprise Identifier ses forces et faiblesses dans la mise en œuvre de ses processus logiciels Faire un choix et prioritiser les objectifs d’amélioration Intégrer : ISO 9001 : exigences du système de management de la Qualité ISO 12 207 : processus du cycle de vie d ’un projet Aptitude des processus sur 5 niveaux (+ niveau 0)
ISO 15 504 (SPICE) : MISE EN ŒUVRE : Norme ISO 15 504 5 parties : Concept et vocabulaire, Réalisation d’une évaluation, Conseil d’utilisation pour amélioration, Détermination de l’aptitude des processus, Modèle type d’évaluation des processus Auto évaluation explicitement encouragé COMMENTAIRES : Modèle d’évaluation semble compliqué au premier abord Faciliter d’appropriation = Nombreux documents sous forme de guide, de formulaire, de grille de lecture Cadre pour organiser et piloter les initiatives d’amélioration de la qualité des processus PLUS D’INFO : ISO ‘WWW.ISO.CH AFNOR ‘WWW.AFNOR.FR
ISO 15 504 (SPICE) = modèle de maturité : ISO SPICE = Software Process Improvement and Capability Determination Utiliser par quelques grandes sociétés d’informatique pour l ’auto-évaluation et l ’amélioration de ces processus et pratiques Domaine d’activités concernées : développement maintenance exploitation acquisition fourniture de logiciel Caractéristiques principales de SPICE : Profil bi-dimensionnel : axe processus, axe niveau de maturité Évaluation du processus sur 2 caractéristiques clefs : Atteinte des buts du processus Aptitude à être conduit (management du processus)
SPICE = modèle de maturité : ISO SPICE : Liste très complète et précise des processus intervenant dans la production « logiciel ». Couvre la totalité du cycle de vie du logiciel : 29 processus clefs regroupés en 5 catégories Axe PROCESSUS : 5 catégories CUS = Relation Client-Fournisseur : Toutes les interactions avec le Client : de l'acquisition du logiciel à son installation et son support ENG = Ingénierie : Construction du produit logiciel : des spécifications aux activité de maintenance SUP = Support : Soutien à l ’exécution des autres processus (documentation, gestion de configuration, assurance qualité, ...) MAN = Gestion/Management : Gestion de la construction du produit logiciel : gestion des projets, des risques, de la qualité, des sous-traitants ORG = Organisation de l’Entreprise : Infrastructure et environnement dans lesquels opèrent les autres processus : stratégie, mise à disposition de ressources humaines et matérielles
SPICE = modèle de maturité 5 niveaux : 0 - INCOMPLET : Pratiques de base pas effectuées, pas de produit ou de résultat du processus facilement identifiable --> buts du processus ne sont pas remplis 1 - EFFECTUE : Pratiques de base effectuées, produits en fournissent la preuve, processus géré au niveau de l ’individu --> buts du processus sont remplis Les succès reposent uniquement sur les efforts individuels de « héros », développant de façon chaotique avec un stress important. 2 - GERE : Activités planifiées et suivies par rapport au plan. Produits sont vérifiés et respectent les standards. Planification s ’effectue au niveau projet -> produits du processus sont maîtrisés La maîtrise nécessaire est en place pour pouvoir reproduire des succès sur des affaires du même type.
SPICE = modèle de maturité : 3 - ETABLI : Activités s ’effectuent suivant un (ou plusieurs) processus standard défini au niveau de l ’organisation, adapté aux besoins de chaque projet avec ressources bien identifiées --> processus sont gérés Le processus de développement du logiciel est documenté, standardisé et ajustable pour l'organisation ciblée : une vision globale est instaurée. 4 - PREVISIBLE : Mesures utilisées pour le contrôle quantitatif et qualitatif des produits --> processus sont managés : atteinte systématique des objectifs Mesures sur le processus logiciel et les produits sont institutionnalisées et servent à prévoir les performances du processus en terme de QCD : qualité, coûts, délais 5 - OPTIMISE : Processus standards de l ’organisation font l ’objet d ’améliorations continues basées sur le feed-back quantitatif et qualitatif en provenance de l ’exécution des processus --> processus sont en amélioration continue L'amélioration continue du processus est la préoccupation principale et permanente
Exemple : niveau 2 – géré Processus projet, pratique planification projet, PRO.2.5 – Développer une estimation du projet : Estimation des besoins nécessaires pour permettre le développement du projet durant l’ensemble de son cycle de vie du projet PRO.2.6 – Réaliser une analyse de risque du projet : Identification et validation d’une analyse de risque du projet avec un plan de recouvrement Note: dépassement de budget, disponibilité des ressources, risques techniques, etc En phase avec PRO.6 : Manage risks. PRO.2.7 – Mettre en place les indicateurs du projet : Identification des outils de mesure, des indicateurs à utiliser pour assurer le suivi de la progression du projet et déterminer si le projet est en phase avec ses objectifs PRO.2.8 – Établir et mettre en œuvre la planification du projet : Planification du projet basé sur son cycle de vie, organigramme des tâches, etc PRO.2.9 – Suivre l’avancement du projet : Comparaison entre les estimations et la réalité PRO.2.10 – Établir la documentation projet : Documentation résultant de l’ensemble des activités du projet durant son cycle de vie
SPICE = modèle de maturité : 5.2 - Amélioration continue 5.1 - Modification du processus 5 - OPTIMISE : 4.2 - Contrôle du processus 4.1 - Mesure du processus 4 - PREVISIBLE : 3.2 - Ressources pour le processus 3.1 - Définition du processus 3 - ETABLI : 2.2 - Gestion des produits 2.1 - Gestion du processus 2 - GERE: 1.1 - Exécution du processus 1 - EFFECTUE : 0 - INCOMPLET 5 4 3 2 1
SPICE = modèle de maturité : Niveau de MATURITE : N = pas effectué, non rempli P = partiellement réalisé L = Largement réalisé F = Totalement réalisé EXEMPLE : Support = niveau 1 Gestion Sous-traitants = niveau 2
SPICE = modèle de maturité : NIVEAU DE MATURITE Planning cours IUP3 Module de formation 5 - OPTIMISE 5.2 - Amélioration continue 5.1 - Modification du processus 4 - PREVISIBLE 4.2 - Contrôle du processus 4.1 - Mesure du processus 3 - ETABLI : 3.2 - Ressources pour le processus 3.1 - Définition du processus 2 - GERE: 2.2 - Gestion des produits 2.1 - Gestion du processus 1 - EFFECTUE 1.1 - Exécution du processus N = pas effectué P = partiellement réalisé L = largement réalisé F = totalement réalisé N P L F
SPICE = utilisation du modèle de maturité : PROCESSUS EXAMEN Identifier les points à améliorer du processus Identifier la capacité et les risques du processus EVALUATION DU PROCESSUS 2 CAPABILITE DU PROCESSUS 1 AMELIORATION DU PROCESSUS
SPICE = utilisation du modèle de maturité : 1 - Amélioration des processus (Process Improvement) : Doit s'appuyer sur les objectifs de l'entreprise Concernent les performances, l'établissement et le contrôle des estimations, la gestion des risques, les outils d'aide au développement, etc. Démarche interne à l'organisation 2 - Détermination de la maturité (Capability Determination) : Évaluer l'aptitude d'une organisation à réaliser un projet ou un type de projets A partir du profil de maturité actuel, l'organisation propose un nouveau profil, résultat d'un plan d'amélioration (passage du niveau X à X+1. Lorsque celui-ci ne correspond pas au profil objectif attendu par le CLIENT, la méthode permet d'évaluer le risque encouru par celui-ci en choisissant cette Entreprise Demande d'un organisme externe (Client par exemple)
SPICE (iso 15 504) / ISO 9001 :
C M M I: CMM I (Intégration) DEFINITION : Capability Maturity Model Développé par SEI (Software Engineering Institute) prévu à l ’origine pour évaluer l ’aptitude des fournisseurs de l ’armée américaine (DoD) Meilleures pratiques en matière de développement, maintenance logiciel CMM I (Intégration) ingénierie globale des systèmes d’information (matériel, assistance client, etc.) OBJECTIFS : Permet à l’ENTREPRISE : Mesurer le niveau de maturité en terme de qualité, de productivité Améliorer le processus logiciel Pratiques réparties en 18 secteurs clés regroupés en 5 niveaux de maturité : initial, reproductible, défini, maîtrisé, optimisé
C M M I: MISE EN ŒUVRE : Modèle CMM I disponible auprès de SEI Évaluateurs : accrédites par SEI après cursus de formation Évaluation conforme = conduite par un lead assessor (évaluateur en chef) avec une formation spéciale COMMENTAIRES : Sw-CMM : modèle utilisable jusqu’en 2005 2006 = CMM I seul modèle applicable PLUS D’INFO : SEI ‘WWW.SEI.CMU.EDU
CMM I = modèle de capabilité : Caractéristiques de CMM : Famille de modèles de processus 5 niveaux de maturité (équivalent à SPICE) : Initial, Repétable, Défini, Géré, Optimisé Organisation dans son ensemble (Spice : au niveau de chaque processus) Modèle mono-dimensionnel A chaque niveau : processus et pratique clef pour passer au niveau suivant Principaux Utilisateurs de CMM en France : Thomson, Alcatel, Cegelec, Aerospatiale, etc.
CMM I = niveaux de maturité : Maîtrise du changement 5 OPTIMISE 4 GERE CONTROLE Mesure et prévision Standardisation Institutionnalisation 3 DEFINI Structuration discipline 2 REPRODUCTIBLE 1 INITIAL
Relation niveau /secteur clé / pratique : 2 - Reproductible Indique la maturité vis à vis du processus contient SECTEUR CLE Planification projet Réalise un objectif contient Estimation selon procédure documentée PRATIQUE Décrit une activité
CMM I = 5 niveaux de maturité (équivalent Spice) : 1 - INITIAL (initial) : Processus conforme dans son ensemble, quelques dérives ou incidents Quelques processus sont définis, succès dépend d ’efforts individuels et de quelques héros 2 - REPEATABLE (Repétable) : Processus de base sont établis pour gérer les coûts, la planification, etc. Organisation en place pour pouvoir répéter le processus sur des applications similaires 3 - DEFINED (Défini) : Processus pour le management et le développement documenté, standardisé, et intégré à l ’organisation. Tous les projets utilisent des méthodologies, des standards pour le développement et la maintenance 4 - MANAGED (géré) : Processus sont mesurés et les données sont gérés. Développement et les produits sont quantitativement compris et contrôlé 5 - OPTIMIZING (optimisé) : Processus en amélioration continue, piloté par les données, mise en place d ’innovation
Exemple secteur clé 2.5 : Assurance Qualité (AQ) du logiciel Engagement d’agir: Le projet suit une politique documentée AQ Capacité d’agir : Les ressources humaines existe pour AQ Les Ressources adéquates sont disponibles Les membres du groupe AQ ont la formation nécessaire Les acteurs du projet sont informés du groupe AQ Activités-clés effectuées : Un plan AQ est préparé pour le projet selon une procédure documentée Les activités du groupe AQ sont effectuées selon le plan AQ Le groupe AQ : participe à la préparation et revue du plan de développement du projet, normes, et procédures audite régulièrement les travaux en cours rapporte périodiquement les résultats de ses activités au comité de direction revoit ses activités avec le groupe AQ du client. Les non-conformités identifiées sont documentées et traitées selon une procédure documentée
CMM I = modèle de capabilité : SPICE / CMM =
Famille ISO 10 000 : Plan qualité, gestion de projet DEFINITION : ISO 10005 - Lignes directrices pour les plans qualité : Fournit des lignes directrices pour : le développement, la revue, l'acceptation, l'application et la révision de PLAN QUALITE. Convient aux organismes disposant ou non d'un système de management conforme à l'ISO 9001 Applicable aux plans qualité élaborés pour processus, produit, projet ou contrat, toute catégorie de produits : matériels, logiciels, produits issus de processus à caractère continu et services tout secteur industriel. S'intéresse principalement à la réalisation du produit Recueil de conseils N’est pas destinée à être utilisée à des fins de certification ou d'enregistrement
Famille ISO 10 000 : Plan qualité, gestion de projet DEFINITION : ISO 10006 - Lignes directrices pour la qualité en management de projet : Donne des conseils sur l'application du management de la qualité aux projets. Applicable à des projets : complexité variable, petit ou grand, courte ou longue durée, dans des environnements différents, quel que soit le type de produit ou de processus de projet. Ne constitue pas un guide pour le «management de projet» en lui-même : Donne des conseils sur la qualité dans le cadre des processus de management de projet ISO 10007 - Lignes directrices pour la gestion de configuration : Assure qu'un produit complexe continue de fonctionner lorsque l'on change des composants individuellement. ISO 10013 - Lignes directrices pour l'élaboration des manuels qualité Elaboration, préparation et maîtrise des manuels qualité. ISO 10015 - Lignes directrices pour la formation : Formation affectant la qualité des produits
Norme ISO 12 207 : DEFINITION : Référentiel du cycle de vie d'un développement logiciel : Publication en 1995 Objectif : poser les bases du processus logiciel pris dans sa généralité avec processus de base, processus support et processus organisationnel Domaine du traitement de l'information, de l'ingénierie du logiciel et des processus du cycle de vie du logiciel. Concentrée d'abords sur le développement logiciel : contient quelques pratiques liées à l'exploitation du logiciel qui doit fournir un service aux utilisateurs. PROCESSUS CONCERNE : Processus de base : Acquisition pour l'organisme lui même, Activités du fournisseur, Développement du logiciel, Exploitation du système informatique et des services associés, Maintenance du logiciel.
ISO 12 207 : Processus support : Processus organisationnel : Documentation du logiciel et de son cycle de vie, Gestion de configuration, Assurance qualité avec les revues, audit et vérification Vérification, Validation, Revue conjointe, Audit pour la vérification de la conformité aux exigences, Résolution de problèmes et de non conformités en cours de développement et à l'exploitation (maintenance). Processus organisationnel : Management de toutes les activités, y compris la gestion de projet, Infrastructure nécessaire à un processus, Pilotage et amélioration du cycle de vie Formation du personnel. COMMENTAIRES : processus de gestion de configuration, d'infrastructure et de résolution de problèmes forte similitude avec ces même processus de l'ITIL
Famille ISO 20 000 : DEFINITION : Première norme ISO dédiée à la GESTION DES SERVICES INFORMATIQUES Inspirée de l´ancienne norme BSI 15 000 de BSI group et basée sur ITIL Comprend 2 parties : ISO 20000–1 : partie certifiable de la norme. Définit les exigences de gestion des services de Traitement de I’Information. ISO 20000–2 : code de bonnes pratiques de gestion des services de IT. Guide, cette partie n’est pas certifiable. Publiée officiellement le 10 novembre 2005 OBJECTIFS : QUI EST CONCERNE ? : Prestataires de services informatiques internes/externes Organismes dépendant de sous-traitants informatiques dans le cadre de leurs activités.
Famille ISO 20 000 : POINTS PRINCIPAUX : Mise en œuvre d'actions et de moyens adéquats -> adaptés aux besoins des clients Amélioration continue : services informatiques, système de management Qualité et optimisation des services informatiques Disponibilité accrue et adéquate des applications Gestion des données confidentielles Rationalisation des coûts Motivation des collaborateurs Procure un avantage concurrentiel
Famille ISO 20 000 : principaux processus métiers FOURNITURE DES SERVICES : Gestion de niveaux de service Rapport de service : compte rendus d'activités, surveillance, utilisation des ressources…, Gestion de la continuité et de la disponibilité des services plan de reprise Budgétisation et la comptabilisation des services Gestion de la capacité Gestion de la sécurité GESTION DES RELATIONS : Gestion des relations commerciales : Personne désignée, gestion des réclamations, … Gestion des fournisseurs.
Famille ISO 20 000 : principaux processus métiers CONTROLES : Gestion des configurations : Intégrité des systèmes, … Gestion des changements : Validation d'un changement, … MISE EN PRODUCTION : RESOLUTION :
Famille ISO 20 000 :
Famille ISO 20 000 :
Famille ISO 20 000 :
Famille ISO 20 000 :
Famille ISO 20 000 : Dépt. production informatique de BNP Paribas ENTREPRISE CERTIFIEE : Dépt. production informatique de BNP Paribas Fourniture de services informatiques dans le secteur bancaire : Première certification conjointe (26 juin 2007) : ISO/CEI 20 000-1 et ISO 9001 en tant que fournisseur interne. Logique d’amélioration continue, Impliqué depuis plusieurs années dans une démarche ITIL®, Mise en œuvre d’un projet collectif au travers de la certification ISO 20 000-1 PLUS D’INFO : ISO ‘WWW.ISO.CH AFNOR ‘WWW.AFNOR.FR
ISO 17 799 : DEFINITION : Déclinaison de BS 7 799 (depuis 2 000) Bonne pratique en matière de sécurité des systèmes d’information Recommandations sur les aspects organisationnels Identification des objectifs pour assurer la sécurité informatique OBJECTIFS : Complète méthodes = Marion, Mehari, Ebios, etc évaluation les risques en matière de système d’information (exemple sauvegarde données) 10 grands thèmes = vision globale des aspects sécuritaires d’un SI Politique de sécurité Organisation de la sécurité Classification des informations Ressources humaines Sécurité physique Gestion des opérations et communications Contrôle d’accès Développement et maintenance des systèmes Continuité d’activité Conformité à la réglementation interne et externe
ISO 17 799 : Changement de comportement obligatoire MISE EN ŒUVRE : Respect de la norme = mise en place de processus sécuritaires, transversaux, continus, pérennes, validés et formalisés Communication : volet important de la mise en œuvre Changement de comportement obligatoire COMMENTAIRES : Iso 17 799 = pas de certification actuellement Non disponible en français PLUS D’INFO : ISO ‘WWW.ISO.CH AFNOR ‘WWW.AFNOR.FR
Famille ISO 27 000 Série de normes dédiées à la sécurité de l'information : DEFINITION : ISO 27 001 : norme internationale de SYSTEME DE GESTION DE LA SECURITE DE L’INFORMATION, Publiée en octobre 2005 Titre : Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences. Information Security Management System (ISMS) en remplacement de BS 7799 ISO 27 002 version 2005 : Description détaillée des mesures de sécurité reprend depuis avril 2007 la norme ISO 17799:2005 ISO 27 004 : gestion, mesure et métrique de la sécurité de l'information. OBJECTIFS : Norme ISO 27001 décrit comment mettre en place un Système de Management de la Sécurité de l'Information (SMSI). SMSI : Destiné à choisir les mesures de sécurité pour assurer la protection des actifs d'une entreprise sur un périmètre défini Mise en œuvre selon un modèle de qualité PDCA (Plan Do Check Act)
Famille ISO 27 000 : MISE EN ŒUVRE ISO 27 002 / 2005 : 11 domaines (Articles) de sécurité de l'information constituant au total 39 catégories (Objectifs de sécurité) au sein desquelles ont été définis 137 Mesures de sécurité (Contrôles) Mesure de sécurité : Assurer que les bonnes pratiques communément admises sont mises en œuvre respectées pour chacune des catégories dans chaque domaine de la sécurité de l'information
Famille ISO 27 000 : IDENTIFICATION de nombreux objectifs de contrôle Répartis dans chacun des 11 domaines suivants avec 39 catégories : 1 - Politique de sécurité (1) 2 - Organisation de la sécurité de l’information (2) 3 - Gestion des biens (actifs) (2) 4 - Sécurité liée aux ressources humaines (3) 5 - Sécurité physique et environnementale (2) 6 - Gestion de l’exploitation et des télécommunications (10) 7 - Contrôle d’accès (7) 8 - Acquisition, développement et maintenance des systèmes d’information (6) 9 - Gestion des incidents liés à la sécurité de l’information (2) 10 - Gestion du plan de continuité de l’activité (1) 11 - Conformité (3)
Famille ISO 27 000 : MISE EN ŒUVRE (suite) : Objectifs de sécurité : structure semblable pour les 39 objectifs Identifie le but à atteindre, Préconise une ou plusieurs mesures de sécurité pouvant être appliquée(s) pour remplir l'objectif de sécurité Mesures de sécurité : structure semblable pour les 137 mesures Spécifie la mesure adaptée à l'objectif de sécurité Préconisations de mise en œuvre Propose les informations détaillées : pour mettre en oeuvre la mesure pour atteindre l'objectif de sécurité. certaines préconisations ne sont pas adaptées à tous les cas et d'autres solutions s'avèrent préférables. Informations complémentaires fournissent : des détails sur ce qui peut être nécessaire de considérer pour satisfaire la mesure de sécurité, Exemple considérations d'ordre juridiques ou des références à d'autres normes.
Famille ISO 27 000 : COMMENTAIRES : Certification ISO 27 701 possible (comme pour les normes ISO 9 001, 14 001) PLUS D’INFO : WWW.ISIQ.CA WWW.club-27001.fr ISO & AFNOR
Famille ISO 27 000 : PROTECTION PERIMETRIQUE DE L’ENTREPRISE : PROTECTION DE LA PRODUCTION : PROTECTION DES POSTES CLIENTS : PROTECTION DES APPLICATIONS & DES DONNEES : PROTECTION DES COMMUNICATIONS :
LABEL@SITE : Labellisation de site internet http://www.labelsite.org Propriétaires : FCD (Fédération des Entreprises du Commerce et de la Distribution) 12, rue Euler - 75008 Paris FEVAD (Fédération des Entreprises de Vente A Distance) 60, rue la Boétie - 75008 Paris
LABEL@SITE : Labellisation de site internet L@BELSITE : Signe de reconnaissance pour les clients français, demain européens et après-demain internationaux Apposition sur les sites habilités : Engagement de se conformer à des règles précises, et contrôlées par des auditeurs indépendants Indépendance : Audit par des ingénieurs externes aux organisations, et eux mêmes certifiés qualité Garantit que le commerce sur l'internet : soumis à des règles exigeantes, établies par des professionnels reconnus, pour favoriser la réussite de ce nouveau média de vente Répond aux besoins de confiance et de sécurisation
LABEL@SITE : 27 règles d’habilitation ARTICULATION = autour de 3 concepts : Réalité et identité du commerçant derrière le site Conformité à la réglementation et à la déontologie de la vente à distance adaptée au média internet Transparence et protection des données à caractère personnel. REGLES : Evolution suivant : Technologie mais aussi celle de la réglementation et de la déontologie Contractuellement, les sites bénéficiant du système L@belsite s'engagent à respecter ces évolutions TEXTE DE REFERENCE pour L@belsite : Réglementation en vigueur de la vente à distance décrite dans le Code de la consommation Déontologie de la vente à distance: Code Professionnel et Charte de Qualité de la FEVAD Directive Européenne (97/7 du 20/05/1997) sur les contrats négociés à distance Directive Européenne (95/46 du 24/10/1995) sur la protection des données à caractère personnel, Directive Européenne (2000/31/CE du 8 juin 2000) sur le commerce électronique.
Certification WEBCERT "Transaction Commerciales Electroniques"
WEBCERT : principales CARACTERISTIQUES certifiées Identification des sites commerçants : prestataire identifié sans ambiguïté responsable à l'égard de ses clients Loyauté des transactions : information transparente sur les produits et prestations Information et la protection du client : confidentialité garantie Sécurité des transactions et paiement sécurisés Qualité du service offert : maîtrise de la qualité du service qui vous est fourni. Prestataire à l'écoute et respectueux de son client
Certification WEBTRUST
WEBTRUST : principes 1. Transparence des pratiques commerciales : L’entreprise : indique ses pratiques en matière de commerce électronique effectue ses opérations conformément à ces pratiques. 2. Intégrité des opérations de commerce électronique : a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que les commandes passées, par le client par la voie du commerce électronique, sont traitées et facturées comme convenu. 3. Protection des informations personnelles des clients : a mis en place des contrôles efficaces de nature à procurer une assurance raisonnable que les renseignements personnels du client, obtenus dans le cadre d’une opération de commerce électronique, sont protégés contre toute utilisation étrangère aux activités de l'entreprise.
Approche qualité en informatique : Gestion de projet Production Informatique Gouvernance Des SI Conception et développement Sécurité des SI Gestion de l’interface Internet ISO 9001 - 2008 ISO 15 504 ISO 17 799 WEBCERT CMM I ISO 27 000 LABEL@SITE ITIL / COBIT / ISO 20 000 WEBTRUST ISO 12 207 ISO 10 000 NF logiciel
pour mémoire