Les référentiels de qualité et de contrôle du SI B Quinio Université Paris Ouest 2010 - 2011

Référentiels de qualité et de contrôle du SI Pourquoi ces référentiels Les préalables Démarche / modèle / méthode / méthodologie Référentiels de SI Positionnement des référentiels Présentation des référentiels

Pourquoi ces référentiels ? (1) Des raisons venant du marché : Mise sous contrôle des SI Affaire Enron, … Développement de l’Outsourcing Bangalore en Inde pour le Offshore Fusion et politique de groupe Des raisons internes : Le SI doit donner de la valeur Les métiers veulent voir ce qui se passe dans le SI Mais aussi : Effet de mode anglo-saxonne Un vrai business pour les cabinets de conseils

Pourquoi ces référentiels ? (2) Le objectifs recherchés selon les référentiels: Satisfaction des clients du SI Qualité Amélioration continue des performances Mise sous contrôle du SI Amélioration de communication DSI / Métier Standardisation des pratiques Portabilité, changement de fournisseur Avantage concurrentiel pour les fournisseur de services Barrière à l’entrée Dédouanement

Pourquoi ces référentiels ? (3) Le principes communs aux référentiels Séparation du Run et du Build Production de services SI / Projet La qualité du processus de fabrication (services ou logiciel)  Qualité du service ou logiciel Amélioration continue et pas seulement certification ponctuelle Développement du benchmark : prendre ce qu’il y a de mieux ailleurs

Une vision commune : cartographie des processus Source : Le référentiels de la DSI – CIGREF 2009

Référentiels IT Et normes ? Un référentiel est une collection de bonnes pratiques Une norme, plus contraignante, est éditée par une instance de normalisation (EX : Iso 27001 pour la sécurité)

Référentiels Internes ou externes Source : Le référentiels de la DSI – CIGREF 2009

Les référentiels les plus utilisés Source : Le référentiels de la DSI – CIGREF 2009

Référentiels IT Positionnement des référentiels (3)

Référentiels IT Positionnement des référentiels TI (5) Prod-uction ITIL C O B I T 6 sigma I S 9001 TOGAF Métier CIGREF PMBOK PRINCE 2 IPMA Spice CMMI Projet contrôle qualité

Caractérisation des référentiels (1) Modèles et normes : Non spécifiques aux TI: ISO 9001 Six sigma Spécifiques à l’informatique : COBIT ITIL CMMI Corpus de connaissances: PMBoK du PMI concernant la gestion de projet SWEBoK du IEEE concernant le génie logiciel Source : Laboratoire Génie Industriel de Lille

Caractérisation des référentiels (2) Reconnaissance : Pour l’entreprise ou personne physique Globale (binaire) ou positionnement sur une échelle Validation par : Organismes agréés par les auteurs Personnes formées et certifiées

Caractérisation des réferentiels (3) Ce que nous retenons : Ce sont des référentiels Ils définissent ce qu’il faut faire (pas comment) Ils représentent un investissement souvent lourd On les met en place par obligation : Légale Concurrentiel Indispensable de les connaître

COBIT de l’ISACA (1) Le modèle CobiT : Control Objectives for Business & Related Technology) méthode de Maîtrise et d’audit des Systèmes d’Information et d'audit de systèmes d'information, éditée par l’Information System Audit & Control Association (ISACA) en 1996 C'est un modèle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. Cobit est une approche orientée processus : les activités sont intégrées dans les 34 processus établis, Les processus sont regroupés en 4 domaines de processus.

COBIT de l’ISACA (2) Orientation contrôle de gestion : Très lié à la SOX Utilisé par tous les cabinet d’audit Reconnaissance : Pas pour l’entreprise directement (indirectement via la conformité à la loi Sox ou IFRS) Certification pour personne ISACA et ITGI Par examen

CMMI (1) Capability Matury Model Integration Créé en 2002 par le Software Engineering Institut (SEI) Université de Carnegie Mellon évolution du modèle CMM de la fin 90 qui ne traitait que de la fabrication du logiciel Initié par le DOD pour contrôler ses soustraitants modèle de bonnes pratiques qui repose sur une amélioration progressive des processus de développement informatique de l’entreprise. 25 Domaines de Processus (Process Area PA) répartis : En 4 domaines Sur 5 niveau de maturité

CMMI (2) Orientation Reconnaissance : Management de projet (logiciel et système) Qualitative et maturité Reconnaissance : Pour l’entreprise Via évaluateur formé à la méthode SCAMPI et agréé par le SEI Niveau de maturité global ou pour un processus (ou domaine) donné Pour une personne Devenir évaluateur CMMI via les formations SEI

Spice ISO 15504 (1) Spice est une norme créée par l’ISO (International Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504). Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet. SPICE est associée à CMM Reconnaissance pour l’entreprise et pour un processus Auto-évaluation ou via expert

Spice ISO 15504 (2) 5 catégorie de processus SPICE Relations clients –fournisseurs Ingénierie Support Management Organisation

Spice ISO 15504 (3) 5 Niveaux de maturité / processus Processus réalisé: personnes concernés savent ce qu'elles doivent faire, il y a consensus sur la manière et le moment de le faire Processus géré: processus fournit des produits de qualité acceptable dans des délais définis – réalisation planifiée et suivie Processus établi : processus réalisé et géré suivant un processus établi basé sur les bons principes d'ingénierie du logiciel, les ressources sont mises en place en fonction de ce que requiert le processus défini Processus prévisible : processus défini est réalisé afin d'atteindre ses buts de façon cohérente et en procédant dans un cadre de limites définies – mesure de performance détaillée, faculté d'en anticiper le déroulement Processus en optimisation: processus optimisé afin de satisfaire les besoins stratégiques actuels et futurs de manière reproductible -> implique piloter les idées- les technologies innovantes - le changement des processus inefficaces

ISO 9001:2000 (1) ISO 9001 : 2000 : « Systèmes de management de la qualité – Exigences » Traite de toutes les activités de l’entreprise Vision descendante de la cartographie vers processus puis procédures, instructions. Objectifs : comprendre et satisfaire les exigences; considérer les processus en termes de valeur ajoutée; mesurer la performance et l’efficacité des processus; améliorer en permanence les processus sur la base de mesures objectives.

ISO 9001:2000 (2) Reconnaissance : Réalisé par : Demande : Pour l’entreprise et pour une activité de type produit ou service Demandé par les CLIENTS Réalisé par : Organisme accrédité par le Comite FRançais d’ACcréditation (COFRAC) Demande : Un effort important de documentation Un responsable Qualité rattaché à la direction Environ 18 mois en délai !

Six Sigma (1)  Méthodologie élaborée dans les années 80 par Motorola  Objectifs : Elimination de la variation et des défauts dans un processus  Outils : statistiques et DMAIC Définir ce qui est important : Mesurer comment on y arrive aujourd’hui Analyser les problèmes et identifier les causes origines Improve (Améliorer) en résolvant les problèmes Control (Surveiller) pour garantir les performances Associée au Lean Management et à la qualité Appliquée aux services depuis 2002

Six sigma (2) source : Stéphane BRINSTER Ingénieurs 2000 Défauts par million 10 000 3.4 Prod. 1ere qualité 99% 99.99966% Eau potable 15 minutes d’eau non potable chaque jour 1 minute non potable tous les 7 mois Erreurs 5 000 erreurs médicales par semaine 1,7 opérations ratées par semaine Aéroport 1 atterrissage raté par jour 1 atterrissage raté tous les 5 ans Electricité Pas d’électricité 3 heures par mois Une heure de coupure tous les 34 ans

Six Sigma (2) Pour les entreprises : Pas de certification mais un ROI (€) Pour les personnes : Par l’entreprise ou par l’American Society of Quality (ASQ) Green Belt / Black Belt / Master Blak Belt

ITIL (1) ITIL (Information Technology Infrastructure Library), s'intéresse à la production informatique Fourniture de services informatiques ou exploitation interne. Objectifs : assurer la satisfaction des utilisateurs ou clients de services informatiques Référentiel public en commandant les livres de l’OGC (Office of Government Commerce) Détermine 11 processus clefs Fourniture des services Soutien des services

ITIL (2) Pour l’entreprise : Pour les personnes : Un référentiel qui dit le « quoi » L’affichage du nombre de personnes formées ITIL aux différents niveaux Pour les personnes : Via formation par des organismes agréés par l’ITIL

PMBOk et PRINCE PMBOK : Project Management Body of Knowledge Développé par PMI (Project Management Institute) (, élaboré sur la base des meilleures pratiques du management de projet et organisé suivant les domaines : intégration du projet, contenu du projet, délais du projet, communication du projet, risques du projet approvisionnements du projet). Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals). Prince, Prince2 Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction de projet, utilisé par l'administration britannique. Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir. La méthode Prince est dans le domaine public.

eSCM Récent, eSCM se veut LE référentiel de la relation d’infogérance ou d’eSourcing Issu de ITsqc de l’Université de Carnegie Mellon Référentiel de bonnes pratiques axé sur la gouvernance d’une relation Client / Fournisseur : eSCM-SP (service provider) : pour le prestataire eSCM-CL (client) : pour le côté client

Référentiels de métiers CIGREF 2009 (1) Défini les métiers et les compétences nécessaires au fonctionnement de la DSI Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et d’emploi

Référentiels de métiers CIGREF 2009 (1) Défini les métiers et les compétences nécessaires au fonctionnement de la DSI Librement accessible sur le site du CIGREF De plus en plus utilisé Très important pour la recherche de stage et d’emploi

Référentiels de métiers CIGREF 2009 (2) Voir le document et les fiches métiers

Iso 27001 (1) WWW.iso27000.org http://fr.wikipedia.org/wiki/ISO/CEI_27001 La norme ISO 27001 (2005) succède à la norme BS 7799-2. Pour tous les types d’organismes Décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Acteur central : le RSSI

Iso 27001 (2) Une démarche très classique Phase Plan : planifier les actions Phase Do : réaliser ce qu’on a planifié Phase Check : vérifier qu’il n’existe pas d’écart entre le PLAN et le DO Phase Act : corriger les écarts qui ont été constatés

Iso 27001 (3) La planification Définir la politique et le périmètre du SMSI Identifier et évaluer les risques Sans proposition de démarche d’appréciation (cotation) des risques Identifier les actifs Identifier les personnes responsables Identifier les vulnérabilités Identifier les menaces Identifier les impacts Evaluer la vraisemblance Estimer les niveaux de risque

Iso 27001 (4) Traiter le risque et identifier le risque résiduel L’acceptation : ne rien faire car les conséquences de cette attaque sont faibles L’évitement : politique mise en place si l’incident est jugé inacceptable Le transfert : transfère le risque par le biais de d’une assurance ou de l’appel à la sous-traitance. La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.

Iso 27001 (5) Sélection des mesures de sécurité à mettre en place L’annexe A propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux. Ce n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.

Iso 27001 (6) Certification par un organisme pour les entreprises audit initial audit de surveillance audit de renouvellement Formation pour les individus

TOGAF http://www.opengroup.org/togaf/ Voir présentation dans le document : TOGAF-V9-M1-Management-Overview

Projet de mise en place d’un référentiel Source : Le référentiels de la DSI – CIGREF 2009

Conclusion Choisir le BON référentiel en fonction des besoins Adapter le contenu Travailler par itération Changement avant tout organisationnel Accompagnement, communication, …