Système d Information & Référentiels de Bonnes Pratiques Taïeb DEBBAGH, PhD PhD,, CISA Février 2008 1 Sommaire 1. Introduction 2. Bonnes Pratiques et Référentiels 3. ISO9001 et Processus 4. Modèle CIPIC 5. Référentiels pour le DSI 6. COBIT et Val IT 7. Gouvernance SI
Bonnes Pratiques et Référentiels Bonnes Pratiques et Référentiels Le terme «bonnes pratiques» désigne, dans un milieu professionnel donné, un ensemble de comportements qui font consensus et qui sont considérés comme indispensables, qu'on peut trouver sous forme de «Référentiels de bonnes pratiques». Comme les chartes, ils ne sont généralement pas opposables. Ils ne sont pas toujours publics, ni toujours gratuits ou accessibles en ligne pour le consommateur. Ils sont souvent établis dans le cadre d'une démarche qualité par les filières.
ISO 9001 ISO 9001
Processus Le modèle de processus consiste à concevoir l'objectif de l'entreprise comme étant la fourniture de produits et/ou services conformes aux attentes des clients. Ainsi, l'entreprise est modélisée comme un ensemble de processus permettant d'identifier les besoins des clients et de les transformer en un livrable : le produit ou le service. A partir de ces éléments, un processus se définit comme suit : Une activité ou un ensemble d'activités qui utilise des ressources pour convertir des éléments d'entrée en éléments de sortie possédant une valeur ajoutée. L'identification et la formalisation des processus de l'entreprise consiste alors à repérer les différentes «chaînes d'activité» concourant à un objectif commun. Modèle CIPIC
Modèle CIPIC CobiT ITIL PMBoK ISO 27002 CMMI Modèle «CIPIC» I S O COBIT 9 0 0 1 CMMI ISO 27000 ITIL PMBoK
C M M I Développement CMMI : Niveau de Maturité
Fournir une séquence éprouvée d amélioration, débutant par des pratiques de management élémentaires et progressant à travers un cheminement éprouvé de passage d'un niveau à l'autre I T I L Management des services
Couverture de ITIL (itsmf) Gestion Relation Clients SI Gestion de Mise en Production Gestion de Changement Gestion des Configurations Service Support Gestion des Problèmes Gestion des Incidents Gestion du Niveau de Services Gestion Financière des Services Informatiques Service Delivery Gestion de la Capacité Gestion de la Continuité Gestion de la Disponibilité Service Desk Gestion de la Sécurité Le support du service Outils de gestion Incidents Questions Renseignements Entreprise, clients et utilisateurs Incidents Service Communication Service Mises à jour Desk Solutions temporaires Desk Gestion Gestion des des Rapports de Changements Questionnaires clients incidents incidents Nouv. versions Gestion Gestion des des problèmes problèmes Statistiques sur problèmes Statistiques sur problèmes Analyse des tendances Analyse des tendances Gestion Gestion des Rapports de problème des Rapports de problème Examens des problèmes Examens des problèmes changements Aides au diagnostic Planning changements changements Aides au diagnostic Planning changements Suivi des changements Suivi des changements Statistiques sur changements Gestion Gestion des Statistiques sur changements des Examens changements Calendrier nouv. Versions Examens changements Calendrier nouv. Versions Mises Mises en en production Statistiques nouv. Versions production Statistiques nouv. Versions Examens nouv. Versions Examens nouv. Versions Bibliothèque sécurisée Rapports de CMDB Gestion Gestion des Bibliothèque sécurisée des Normes de tests Rapports de CMDB Statistiques sur CMDB Normes de tests Statistiques sur CMDB Politiques/ normes configurations configurations Incidents Rapports de service Rapports de service Statistiques sur incidents Statistiques sur incidents Politiques/ normes CMDB
ISO 20000 ISO 27000 Sécurité des SI
Norme ISO 27002 Les Organisations ont de plus en plus d échanges entre elles et leurs Systèmes sont de plus en plus «ouverts». D où la nécessité de disposer de normes pour aider à sécuriser l information et les processus d échanges. C est cet objectif, justement qui a présidé à la création de la famille 27000 dont la norme ISO 27002 (ISO 17799-1) La norme ISO 27002 a pour objectif d établir un label de confiance pour la sécurité globale de l Information de l Organisation. ISO 27002 : Objectif? ISO 27002 est avant tout, un recueil de «bonnes pratiques» de la sécurité de l information pour les Organisations, ceci quelque soit leur taille ou secteur d activité; Elle propose un ensemble de mesures de sécurité (organisationnelles et techniques) mais n impose pas telle ou telle solution technologique; Elle se compose de 11 domaines et intègre 150 objectifs de sécurité.
ISO 27002 PMBOK Management de Projet
Nos convictions Optimiser globalement tous les projets Priorisation et pilotage multi projet Project Management Office Système d Information Projet Dimension relationnelle & managériale Piloter le portefeuille des projets Faire réussir les équipes Manager une équipe projet Améliorer les relations Maîtriser le management de projet Réussir chaque projet Organisation et processus Méthodes et outils Opérations et Projets Vision Mission ORIENTATION Orientations et plan stratégiques Planifications sectorielles des opérations Planification du Portefeuille de projets DÉCISION Gestion en continu des opérations (activités répétitives) «Produire la valeur» Gestion en continu des projets autorisés (activités non-répétitives ) «Augmenter la capacité à produire la valeur» GESTION LES RESSOURCES HUMAINES DE L ORGANISATION Opérations courantes Projets
L approche intégrée en Management de projet Portefeuille, Programme et Projet
Réflexion Réflexion stratégique stratégique Nouvelles Nouvelles fiches fiches de de projet projet Anciennes Anciennes fiches fiches de de projets projets Alignement Alignement stratégique stratégique Attribution Attribution des des priorités priorités -Fiche de projet approuvée -SDP -Fiche de coordination de projet -Outil de suivi des activités MAGP Projets potentiels n ayant pas été retenus auparavant Portefeuille Portefeuille 2006 2006 Gestion Gestion de de la la capacité capacité Gestion Gestion des des budgets budgets PP PP Comprend: -Projets terminés -Projets en cours -Projets décalés Critères de Critères de sélection sélection Portefeuille Portefeuille 2007 2007 -Fiche de projet approuvée -Charte de projet -SDP -Plan de projet -Outil de suivi des activités MIGP M et G M et G Projets Projets Mettez Tous vos Projets à P L A T Phases Projet Lot Activité Tâche WBS SDP Lanc Planif Projet Lot Activité Tâche Réal Suivi GNG GNG GNG Clôture Disciplines Intégration Contenu Temps Coûts Qualité RH Risques Comm Approv
Groupe de processus / domaine de connaissance Démarrage Planification Exécution Surveillance et maîtrise Clôture 4. intégration du management de projet 2 1 1 2 1 5. Management du contenu du projet 3 2 6. Management des délais du projet 5 1 7. Management des coûts du projet 2 1 8. Management de la qualité du projet 1 1 1 9. Management de ressources humaines du projet 1 2 1 10. Management des communications du projet 1 1 2 11. Management des risques du projet 5 1 12. Management des approvisionnements du projet 2 2 1 1 Total des processus (44) 2 21 7 12 2 Processus de surveillance et de maîtrise Processus de planification -Elaborer la charte de projet -Elaborer l énoncé préliminaire du contenu du projet Processus de clôture Processus de démarrage Processus d exécution
Processus de surveillance et de maîtrise Processus de planification -Elaborer le plan de management du projet. -Définition et Planification du contenu Processus de -SDP, identifier et séquencer les activités clôture -Estimation des ressources, de la durée et élaboration des échéanciers -Estimation des coût et budgétisation du projet -Planification de la qualité et des ressources humaines Processus -Planification de des communications démarrage Processus d exécution Processus de surveillance et de maîtrise -Diriger et piloter l exécution du projet -Mettre en œuvre l assurance qualité -Former l équipe de projet -Diffusion de l information -Solliciter des offre et des propositions des fournisseurs. -Choisir les fournisseur Processus de planification Processus de clôture Processus de démarrage Processus d exécution
Processus de surveillance et de maîtrise Processus de planification Processus de démarrage -Surveillance et maîtrise du travail du projet -Maîtrise intégrée des modifications Processus de clôture -Vérification et du contenu -Maîtrise de l échéancier et des coûts -Maître en œuvre le contrôle qualité -Diriger l équipe de projet -Etablir les rapport d avancement -Manager les partie prenantes -Surveillance et maîtrise des risques Processus de -Administration des contrats d exécution Processus de surveillance et de maîtrise Processus de planification Processus de clôture Processus de démarrage -Clore le projet -Clôture du contrat Processus d exécution
Méthodologie Unifiée selon PMBoK Strat Portef. Prog Analyse FP BdP Multiprojets Ressources Leç. App Veille Amélior. Continue COBIT Audit et Gouvernance SI
Référentiel COBIT COBIT est un cadre de référence international conçu à partir des meilleurs pratiques mondiales en audit et maîtrise des SI. Il aide les dirigeants à comprendre et à gérer les risques relatifs aux nouvelles technologies. Il fait le lien entre les processus de gestion, les questions techniques, les besoins de contrôle et les risques. Il fournit un ensemble de bonnes pratiques au travers d un cadre de référence par domaine et par processus et présente les activités dans une structure logique et gérable. COBIT institue un référentiel complet permettant de mettre sous contrôle l ensemble des opérations liées au SI.
COBIT SE1 surveiller les processus SE2 évaluer l'adéquation du contrôle interne SE3 acquérir une assurance indépendante SE4 Evaluer la gouvernance Surveillance & Evaluation DS1 définir les niveaux de service DS2 gérer les services assurés par des tiers DS3 gérer la performance et la capacité DS4 assurer un service continu DS5 assurer la sécurité des systèmes DS6 identifier et imputer les coûts DS7 sensibiliser et former les utilisateurs DS8 assister et conseiller les clients DS9 gérer la configuration DS10 gérer les problèmes et les incidents DS11 gérer les données DS12 gérer les installations DS13 gérer l exploitation Objectifs de l organisation COBIT Information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité Ressources informatiques Distribution et Support données systèmes d application technologie installations personnel PO1 définir un plan informatique stratégique PO2 définir l architecture des informations PO3 déterminer l orientation technologique PO4 définir l organisation et les relations de travail PO5 gérer l investissement en informatique PO6 com. objectifs et orientations du management PO7 gérer les ressources humaines PO8 gérer la qualité PO9 évaluer les risques PO10 gérer les projets Planification et Organisation Acquisition et Mise en Place AMP1 identifier les solutions AMP2 acquérir et maintenir le logiciel d application AMP3 acquérir et maintenir l architecture technique AMP4 développer et maintenir les procédures informatiques AMP5 installer et valider les systèmes AMP6 gérer les modifications A qui s adresse Cobit? Management qui doit décider des investissements raisonnables à effectuer pour assurer la sécurité et la maîtrise des TI, et ajuster ses investissements en fonction du risque dans l'environnement souvent imprévisible des TI. Informaticien qui éprouve le besoin croissant d'avoir l'assurance, via l'accréditation et l'audit des services informatiques fournis par une structure interne ou par des tiers, qu'il existe réellement une sécurité et un contrôle adaptés. Auditeur et Responsable Qualité qui ont souvent été les premiers à s'investir dans une standardisation valable au niveau international parce qu'ils sont constamment confrontés au besoin de justifier leur opinion sur le contrôle interne auprès du management.
Overview of IT Governance and the COBIT Framework Ce que offre Cobit? Objectifs de contrôle Pratiques de Contrôle Outils D implémentation Framework RACI Input-Output Métriques Modèle de maturité Outils de Management Objectifs métier Objectifs TI Identification des Processus critiques PO10 Gérer les Projets
PO 10 GÉRER LES PROJETS Objectifs de Contrôle 10. 1 Structure de gestion de projets 10. 2 Participation du département utilisateur à l'initialisation du projet 10. 3 Appartenance à l'équipe projet et responsabilités 10. 4 Définition du projet 10. 5 Approbation du projet 10. 6 Approbation des phases du projet 10. 7 Plan directeur du projet 10. 8 Plan d'assurance qualité du système 10. 9 Planification des méthodes d'assurance qualité 10. 10 Gestion formelle des risques du projet 10. 11 Plan de test 10. 12 Plan de formation 10. 13 Plan de révision après mise en œuvre PO10 Gérer les projets
PO10 Gérer les projets PO10 Gérer les projets
PO10 Gérer les projets / Modèle de Maturité Gestion du Processus «Gérer les Projets» répondant au besoin de la DSI de réaliser des projets dans les délais en respectant coût et qualité, est: 0 Inexistant quand Absence de l utilisation des techniques de gestion de projets, et on est inconscient de l impact sur le bon déroulement des projets et par conséquence sur l atteinte des objectifs d affaires. 1 Initialisé / au cas par cas quand Utilisation de techniques de gestion des projets est laissée à la discrétion des responsables de la DSI. Confusion entre le gestionnaire du projet et le propriétaire/sponsor du projet. Des décisions critiques sont prises sans concertation avec l utilisateur final. Quasi absence de l implication de l utilisateur dans la définition des projets de la DSI. Aucune organisation claire et précise de la gestion de projets au sein de la DSI. Pas de définition des Rôles et Responsabilités de chaque intervenant au projet. Les plannings et jalons des projets sont quasi inexistants, et pas assez développés le cas échéant. Aucune gestion budgétaire du projet. PO10 Gérer les projets / Modèle de Maturité 2 Reproductible, mais intuitif quand Le top management est sensibilisé sur la nécessité de la gestion des projets de la DSI. L organisation développe et utilise, au fur et à mesure de l'exécution de ses projets, des techniques et des méthodologies pour la gestion de projet. Définition d objectifs techniques et d affaires pour chaque projet et ce, d une manière informelle. Implication limitée des parties prenantes dans la gestion des projets de la DSI. Développement de normes de bases pour divers aspects de la gestion de projets. L application des normes établies est laissée à la discrétion des chefs de projets.
PO10 Gérer les projets / Modèle de Maturité 3 Défini quand Un processus et méthodologie de gestion de projet établis et diffusés dans l entreprise. Définition d objectifs techniques et d affaires pour chaque projet. Ensemble les responsables de la DSI et les gestionnaires de autres entités sont impliqués, et ont une part de responsabilité, dans la gestion des projets informatiques. Une entité de gestion de projets est créée à la DSI, avec une définition basique des rôles et responsabilités. Les projets informatiques sont supervisés, en utilisant un planning, des jalons, un budget et des indicateurs de performance. Ces outils sont constamment mis a jour. Disponibilité d un programme de formation portant sur la gestion de projets. Cette formation reste une initiative individuelle du personnel. Des procédures d assurances qualité, ainsi que des activités de post-mortem, sont établies mais rarement utilisés par tous les gestionnaires des projets informatiques. Début d un Management de portefeuilles de projets. PO10 Gérer les projets / Modèle de Maturité 4 Géré et mesurable quand Gestion des projets en suivant, et des normes et standards, et des leçons tirées des derniers projets complétés. La gestion des projets est évalué au niveau de toute l organisation et non seulement pour les projets informatiques. Les améliorations a apporté a la gestion de projet sont formalisées et communiquées par l entremise d une équipe dédiée a l évaluation des techniques de gestion de projet. La DSI a mis en place une organisation par projet, avec une définition claire, précise et documentée des rôles, des responsabilités et des critères d évaluation de la performance, pour chaque membre de l équipe. Pour chaque Jalon, il y a un critère d évaluation du résultat. Cette évaluation, des risques et réalisations, a lieu avant, pendant et à la fin du projet. Les projets couvrent de plus en plus les objectifs de l organisation, que ceux de l'informatique seulement. Le top management et les Parties Prenantes adhèrent et accordent leur soutien aux projets. Une formation, sur les techniques de gestion de projets, est offerte, à l équipe chargée de la gestion des projets, ainsi qu au personnel de la DSI.
PO10 Gérer les projets / Modèle de Maturité 5 Optimisé quand Une méthodologie de gestion de projet éprouvée, est mise en place, améliorée en permanence, et intégrée dans la culture de l entreprise. Effort permanent pour identifier et institutionnaliser les bonnes pratiques de gestion de projets utilisés sur le marché. Une stratégie IT est définie et est appliquée pour la gestion des projets de la DSI. La gestion et la planification des projets est sous la responsabilité d une entité dédiée à cette fonction et ce, de la phase étude de faisabilité (inception) à la phase postimplementation. Centralisation de la planification et gestion des projets, garantisant une meilleure utilisation des ressources humaines et informatiques en particulier dans l atteinte des objectifs de la stratégie Centralisation du Management des Programmes et des Projets et s assurer que les ressources sont utilisés pour supporter la Stratégie de l Organisation PO9 Evaluer et Gérer les Risques
PO9 Evaluer et gérer les risques TI PO9 Evaluer et Gérer les risques TI
PO9 Evaluer et Gérer les risques TI PO9 Evaluer et Gérer les risques TI La gestion du processus Evaluer et Gérer les risques TI qui répondant au besoin d affaire des TI d analyser et communiquer les risques reliés aux TI et leur impact potentiel sur les processus et objectifs métiers, est: 0 Inexistant quand La gestion du risque n est faite ni au niveau des processus ni au niveau des décisions d affaires. L entreprise ne prend pas en compte l impact d affaire que peut engendrer les vulnérabilités au niveau de la sécurité, ainsi que les incertitudes liées au développement des projets. La gestion du risque n est pas considérée importante dans l acquisition de nouvelles solutions TI et encore moins dans la livraison de services TI 1 Initialisé / au cas par cas quand Les risques TI sont traités au cas par cas. Evaluation informelle des risques des projets et ce comme spécifié pour chaque projet à part (unique). L'évaluation des risques est parfois intégrer dans le plan du projet mais est rarement assignée à des questionnaires en particulier. Des risques spécifiques aux TI, tel que la sécurité, la disponibilité et l intégrité, sont occasionnellement considérés dans certains projets. Les risques reliés aux TI, affectant les opérations quotidiennes, sont rarement discutés dans les réunions de gestion. Incompatibilité entre les risques identifiés et les mesures prises pour les atténuer. Emergence au niveau de la compréhension des risques reliés aux TI et l importance de les traiter
PO9 Evaluer et Gérer les risques TI 2 Reproductible, mais intuitif quand Une approche basique/immature de gestion des risques existe et son utilisation reste à la discrétion des chefs de projets. La gestion des risques est souvent faite a haut niveau et est appliquée seulement pour les projets majeurs ou en réponse à des problèmes. Début d implémentation de processus pour atténuer les risques identifiés. 3 Défini quand L entreprise dispose d une politique définissant comment et quand procéder à une évaluation des risques. La gestion des risques est réalisée selon un processus documenté. Une formation sur la gestion des risques est disponible pour tous. Se former et appliquer la gestion du risque est laissée à la discrétion de chacun. La méthodologie pour la gestion du risque semble convaincante et identifie les risques métiers les plus importants/clés. Un processus pour atténuer les risques clés est souvent mis en place lorsque les risques sont identifiés. La description des postes prend en considération les responsabilités relatives à la gestion des risques. PO9 Evaluer et Gérer les risques TI 4 Géré et mesurable quand L évaluation et la gestion des risques sont réalisés selon des procédures standardisées. Les exceptions faites au processus de gestion des risques sont rapportées au management informatique. La gestion des risques des TI est sous la responsabilité d un gestionnaire de haut niveau. Le risque est évalué et atténué par projet et régulièrement en considérant toutes les opérations informatiques. Le management est avisé par les changements métiers et informatiques qui risquent d affecter sérieusement les scénarios de risques TI. Le management est en mesure de superviser le niveau du risque et prendre des décisions éclairées sur le niveau de risque acceptable. Un responsable est nommé pour les risques identifiés, et le top management et les gestionnaires de l informatique ont déterminés les niveaux tolérables pour l entreprise. Le management informatique a développé des mesures standards pour évaluer les risques et définir les ratios risques / bénéfices. Pour une gestion des risques opérationnels, les budgets de gestion prévoient la réévaluation régulière des risques. Une base de données des risques est conçue et utilisée dans les processus de gestion des risques. L automatisation de base de donnés et en cours. La management informatique prend en considération des stratégies pour atténuer le risques.
PO9 Evaluer et Gérer les risques 5 Optimisé quand La gestion du risque est développée de sorte qu un processus structuré, déployé au niveau de toute l entreprise, est renforcé et bien géré. De bonnes pratiques sont appliquées dans toutes l entreprise. La collecte, l analyse et la présentation des données relatives a la gestion du risque sont fortement automatisés. On suit les conseils des experts du domaine et la DSI participe a des forums d échange d expérience. La gestion des risques est réellement intégrée dans toutes les opérations métiers et informatiques, est acceptée, et implique sans exception tous les utilisateurs de services informatiques. Le management détecte et réagi lorsque des décisions importantes concernant les opérations et les investissements TI sont prises sans considération au plan de gestion des risques. L'évaluation des stratégies pour atténuer les risques est constamment faite par le management. ME4 Superviser la Gouvernance SI
ME4 Superviser la Gouvernance SI Overview of IT Governance and the COBIT Framework Balanced scorecard: Les objectifs métiers de Cobit Objectifs métier Objectifs TI Efficacité Efficience Confidentialité Intégrité Disponibilit é Conformité Fiabilité
Overview of IT Governance and the COBIT Framework Les objectifs Informatiques de Cobit Objectifs TI Processus Overview of IT Governance and the COBIT Framework Les objectifs Informatiques et les processus Cobit Objectifs TI Processus
Val-IT Sans une Gouvernance efficace des SI.. la situation la situation conduit à.. conduit à.. se traduit par.. se traduit par.. Manque de cadrage stratégique Les projets se vendent sur une base émotionnelle Difficulté à dire NON à des projets Impossibilité de tuer des projets Trop de projets Des lacunes dans la qualité de réalisation des projets Dépassements budgétaires Retards Attentes métiers non satisfaites Faiblesse des revues de projets Sous estimation des risques et des coûts Bénéfices introuvables Focalisation trop importante sur les ROI financiers Pas de critères clairs de sélection par rapport à la stratégie Des projets non alignés avec la stratégie Perte de confiance en IT Source: Fujitsu Val-IT complète CobiT au niveau Performance pour former un référentiel complet de Gouvernance GV = Governance de la Valeur GP = Gestion de Portefeuille GI = Gestion des Investissements Are we doing them the right way? Are we doing the right things? GI GP Are we doing them well? Are we getting the benefits? GV Val IT Performance / contribution à la création de Valeur pour le Business Faisons nous ce qu il faut? Obtenons nous les bénéfices attendus? Le faisons-nous comme il faut? Le faisons nous bien? COBIT Conformité / contrôle des objectifs de Gouvernance du SI Are we doing them the right way? AI Are we doing the right things? PO DS Are we doing them well? Are we getting the benefits? ME
Gouvernance SI Positionnement de la Gouvernance du SI La Gouvernance du SI contribue à la fois : à garantir la Gouvernance de Conformité à optimiser la Gouvernance de Performance au profit de la Gouvernance d Entreprise
Les 9 Processus de la Gouvernance SI PO1 : Définir un Plan Informatique Stratégique PO9 : Evaluer les Risques PO10 : Gérer les Projets AMP6 : Gérer les changements DS5 : Assurer la Sécurité des Systèmes DS11 : Gérer les Données SE1 : Gérer les performances des TI SE3 : S assurer de la conformité réglementaire SE4 : Superviser la Gouvernance SI Indicateurs de la Gouvernance SI SE3 SE4 6 4 PO1 SE1 2 0 PO9 DS11 PO10 DS5 AMP6 PO1 : Définir un Plan Informatique Stratégique PO9 : Evaluer les Risques DS11 : Gérer les Données PO10 : Gérer les Projets SE1 : Gérer les performances des TI AMP6 : Gérer les changements SE3 : S assurer de la conformité réglementai DS5 : Assurer la Sécurité des Systèmes SE4 : Superviser la Gouvernance SI
Overview of IT Governance and the COBIT Framework Exemple pour le processus AMP6 «Gérer les changements» Le positionnement par rapport aux 5 axes de la gouvernance SI : L alignement stratégique L apport de Valeur (Primaire) La Gestion des ressources (Secondaire) La Gestion des risques La Mesure de la performance COBIT : élément intégrateur TI Objectifs Performance Conformité Gouvernance d entreprise Gouvernance informatique COSO COBIT Meilleures pratiques / Standards ISO 9000 Six Sigma ISO 17799 ISO 27001 ISO 20000 ITIL PMBOK Processus & Procédures Qualité Coût Sécurité Services TI Gestion de Projets Consilium
Merci