Guide des certifications SI : Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM 2100529412, 9782100529414 [PDF]
134 46 2MB
French Pages 290 Year 2009
Papiere empfehlen
![Guide des certifications SI : Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM
2100529412, 9782100529414 [PDF]](https://vdoc.tips/img/200x200/guide-des-certifications-si-comparatif-analyse-et-tendances-itil-cobit-iso-27001-escm-2100529412-9782100529414.jpg)
- Author / Uploaded
- Jacqueline Sidi
- Martine Otter
- Laurent Hanaud
Datei wird geladen, bitte warten...
Zitiervorschau
MANAGEMENT des SYSTÈMES D’INFORMATION
Guide des
certifications
SI
Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...
Martine Otter, Jacqueline Sidi, Laurent Hanaud Préface de Jean-Pierre Corniou
2e édition
GUIDE DES
CERTIFICATIONS
SI
Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...
ITIL et la gestion des services Méthodes, mise en œuvre et bonnes pratiques Thierry Chamfrault, Claude Durand 336 pages Dunod, 2006
CMMI 1.2 Réussir son parcours avec le modèle IDEAL et la méthode SCAMPI Richard Basque 208 pages Dunod, 2009
Toutes les marques citées dans cet ouvrage sont des marques déposées par leurs propriétaires respectifs : CGEIT™, CISA®,CISM®,CISSP®, CBK®, CMMISM, CobiT®, (ISC)2®, ISACA®, ITGI®, ITIL®, M_o_R®, PMP®, PRINCE marque déposée de I OGC, MSP™, PRINCE2™, Six sigma (Six Sigma est une marque déposée de la société Motorola, Inc), « Black Belt » et « Champion » sont des marques de service de la société « Sigma Consultants, L.L.C. », CMM®, SAS®, SSE-CMM®, SW-CMM®, SCAMPISM, WebTrust®, Systrust® et SusTrust™.
Illustration de couverture : Mountain lake © Dmitry Pichugin - Fotolia.com
© Dunod, Paris, 2006, 2009 ISBN 978-2-10-054182-9
Préface
Le développement de la gouvernance des systèmes d’information est devenu une exigence incontournable dans les entreprises, tant le bon fonctionnement des systèmes d’information et leur évolution raisonnée à travers l’innovation fonctionnelle et technologique revêtent un caractère critique au cœur de la performance. Or la gouvernance impose une discipline collective fondée sur le partage d’outils d’analyse, de décision et d’action. Longtemps, la rigueur de la transparence s’est arrêtée aux portes de l’informatique pour d’obscures raisons de technicité et de langage qui ont soustrait les questions informatiques aux règles de contrôle courantes dans toutes les fonctions de l’entreprise. Cette situation n’est évidemment plus acceptable. Les DSI l’ont compris et ont engagé une véritable rupture. La construction d’une vision stratégique des relations entre la finalité de l’entreprise et les systèmes d’information est devenue une constante des préoccupations des DSI. La gouvernance vise à répondre à une vive demande de clarification des relations entre les acteurs, et de transparence des décisions. Ce souci émane bien sûr des directions générales qui souhaitent être rassurées quant à la bonne exploitation des ressources de l’entreprise dans les technologies de l’information. Les directions utilisatrices et les informaticiens en attendent également les conditions d’un dialogue serein sur l’évaluation des performances et la recherche d’une meilleure efficacité. Enfin, les régulateurs publics ont compris les enjeux de la transparence des systèmes et ne cessent de hausser leur niveau d’exigence. Aussi la gouvernance des systèmes d’information est de mieux en mieux acclimatée en France et les efforts conjoints du Cigref et de l’AFAI réunis au sein de l’Institut de la gouvernance des systèmes d’information contribuent activement à en faire reconnaître les enjeux et les outils. Toutefois, si la gouvernance des systèmes d’information est désormais reconnue pour apporter une réponse crédible au double défi de l’innovation et de la robustesse, il faut être capable d’en déployer les outils de façon efficace et accessible pour tous les acteurs de l’entreprise.
VI
Guide des certifications SI
Les objectifs de la gouvernance sont clairs. Le cadre de référence doit permettre de garantir simultanément : • une meilleure évaluation de la performance des SI, • une gestion des ressources des SI plus efficace, • une gestion des risques plus pertinente, • une amélioration de la valeur des services de l’entreprise par le biais de ses SI, • une meilleure adéquation des SI à la stratégie de l’entreprise.
Compte tenu de la diversité des métiers de l’informatique, de leurs rythmes d’évolution différents, des degrés de maturité entre différents pays, il n’existe pas un cadre unique de référence, mais de multiples outils entre lesquels il peut paraître difficile de faire un choix pertinent, chacun ayant ses propriétés, mais l’ensemble laissant aussi apparaître des lacunes et des redondances. Ce Guide des certifications répond parfaitement à cette attente : comprendre les normes et référentiels, disposer d’informations claires et précises sur les conditions de mise en œuvre. C’est un guide, donc un document pratique et lisible, construit sous forme de fiches construites sur le même plan : présentation, documentation, mise en œuvre, retour d’expérience. C’est un outil de référence qui permet aux DSI, mais aussi aux directions générales et aux acteurs du contrôle, de comprendre aisément les objectifs associés à chaque outil à travers un panorama exhaustif. Appliquer à l’informatique dans l’ensemble de ses composantes des règles de bonne gestion et de transparence donne confiance aux acteurs de l’entreprise sur la pertinence des objectifs et sur l’adaptation des moyens engagés à ces objectifs. La gouvernance permet d’apporter une réponse instrumentée sur la stratégie informatique, les investissements, la qualité de service, la gestion des projets, la maîtrise des risques, la qualité de formation et la motivation des personnels, la politique d’achats et la performance des fournisseurs... Ce guide permet d’instaurer un dialogue fécond au sein des équipes pour proposer une politique de gouvernance qui définisse clairement les objectifs à travers une sélection pertinente d’outils. La gouvernance des systèmes d’information met un terme à une tradition d’opacité de l’informatique et permet d’en faire une ressource connue, maîtrisée et respectée. Le Guide des certifications SI en est désormais un outil incontournable. Jean-Pierre C ORNIOU Ancien président du Cigref Directeur général adjoint de Sia Conseil
Table des matières
Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XIII
Première partie – Étude des dispositifs Chapitre 1 – Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.1 Quelques définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.2 Choisir son dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Chapitre 2 – Méta-modèle d’analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.1 Présentation du modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.1.1
Référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
2.1.2
Contenu du référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.1.3
Modèle d’évaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.2 Acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
2.3 Présentation des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
Chapitre 3 – AFITEP-CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Chapitre 4 – AFITEP-CGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
Chapitre 5 – Certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
VIII
Guide des certifications SI
Chapitre 6 – CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
Chapitre 7 – CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Chapitre 8 – CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
Chapitre 9 – EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
Chapitre 10 – eSCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
Chapitre 11 – HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
Chapitre 12 – ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
Chapitre 13 – ISO 15408 Critères Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
Chapitre 14 – ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
Chapitre 15 – ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
Chapitre 16 – ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
Chapitre 17 – ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
Chapitre 18 – ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
107
Chapitre 19 – ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
115
Chapitre 20 – MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
121
Chapitre 21 – PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
Chapitre 22 – PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
133
Chapitre 23 – PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
139
Chapitre 24 – Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
Chapitre 25 – SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
Chapitre 26 – Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
155
Table des matières
IX
Chapitre 27 – SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
161
Chapitre 28 – Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
169
Chapitre 29 – TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
175
Deuxième partie – Analyses et perspectives Chapitre 30 – Regard sur la certification de personnes . . . . . . . . . . . . . . . . . . . . . . . . .
183
30.1 Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
30.2 Utilisabilité à court terme ou employabilité par alternance ? . . . . . . . . . . . . . . . . .
184
30.3 Problématique de langue ou de culture ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
185
30.4 Pour quel niveau d’expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
186
30.5 Et comment optimiser cette expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
188
Chapitre 31 – Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
191
31.1 Choix du dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
191
31.2 Concurrence ou complémentarité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
192
Chapitre 32 – Regard sur la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
32.1 Sécurité ou sécurités ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
32.2 Produits certifiés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
32.3 Sécurité des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
32.4 Sécurité financière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
32.5 Justification des compétences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
202
32.6 Risque professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
32.7 Processus et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
32.8 Organisation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
Chapitre 33 – Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
205
33.1 Certification du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
205
33.2 Reconnaissance et relation contractuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
207
X
Guide des certifications SI
Chapitre 34 – Regard sur le législatif et le réglementaire . . . . . . . . . . . . . . . . . . . . . . .
209
34.1 Catégories de textes applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209
34.1.1 Règlements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209
34.1.2 Normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210
34.1.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
34.2 Réglementations applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
34.2.1 Bâle II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
34.2.2 Solvabilité II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
34.2.3 CRBF n 97-02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
34.2.4 Référentiel de sécurité du chèque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
34.3 Quelques lois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
34.3.1 Loi informatique et libertés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
34.3.2 Loi pour la confiance dans l’économie numérique . . . . . . . . . . . . . . . . . . . . . . . . .
214
34.3.3 Loi de sécurité financière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
34.3.4 Internet et droit d’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
216
34.3.5 Le législatif américain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
217
Chapitre 35 – Cartographies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
35.1 Positionnement des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
35.2 TickIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
222
35.3 Relations entre les dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
222
35.3.1 Influence de l’ISO 9001 sur les autres référentiels . . . . . . . . . . . . . . . . . . . . . . . . .
222
35.3.2 HAS, ISO 9001 et certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
223
35.3.3 ISO 15504 et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
35.3.5 EFQM et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
35.3.6 ITIL et EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
35.3.7 Référentiels en management de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM . . . . . . . . . . . . . . . . . . . . . . .
225
35.3.9 Critères communs et ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
225
35.4 Portée des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
225
◦
Table des matières
XI
Chapitre 36 – Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
36.1 Bénéfices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
36.1.1 Bénéfices externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
228
36.1.2 Bénéfices internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
228
36.2 Charges de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
229
36.2.1 Charge de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
229
36.2.2 Charge d’évaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
36.3 Mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
36.4 Processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
232
36.4.1 Vision « Système de management de l’ISO 9000 » . . . . . . . . . . . . . . . . . . . . . . . .
232
36.4.2 Vision de la HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
232
36.4.3 Vision Ingénierie du logiciel de l’ISO 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
232
36.4.4 Vision du SEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
36.4.5 Vision du PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
36.4.6 Vision PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
36.4.7 Vision ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
36.4.8 Vision Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
36.4.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
36.5 Accréditation des organismes de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
36.6 Formation des auditeurs et évaluateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
236
Chapitre 37 – Gouvernance et responsabilité sociale de l’entreprise . . . . . . . . . . . . .
239
37.1 Gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
239
37.2 Émergence de la responsabilité sociale de l’entreprise . . . . . . . . . . . . . . . . . . . . . . .
240
37.3 Responsabilité sociale et système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . .
241
37.4 Référentiels pour la responsabilité sociale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
37.4.1 Multiplicité des référentiels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
37.4.2 Bientôt l’ISO 26000 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
251
Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
263
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
Avant-propos
« Comment faire reconnaître la qualité de son travail pour conserver ses clients et gagner de nouvelles parts de marché ? », s’interrogent les entreprises et leurs collaborateurs. Cette simple question appelle de nombreuses réponses, mais soulève de nouvelles questions : Comment choisir le dispositif de certification adapté à son besoin ? Comment obtenir et conserver cette reconnaissance ? Et quel investissement pour quel résultat ? Ces questions posées dans la première édition du guide restent d’actualité, le panorama des certifications s’étant depuis enrichi de nouveaux dispositifs et de nouvelles réglementations. La certification est une procédure destinée à faire reconnaître par un organisme la conformité à des exigences dans le but de donner confiance à des tiers. Dans les années 1970, les compilateurs de langages de programmation étaient certifiés par rapport aux normes les définissant. La certification de personnes est apparue dans les années 1980 avec celle des chefs de projet. La fin des années 1980 et le début des années 1990 voient émerger de nombreux dispositifs de reconnaissance dont les plus connus sont l’ISO 9001, le prix qualité EFQM et le CMM. Qu’il s’agisse de certifier un système de management, des personnes, un produit fini, un processus de production ou des services, le choix d’un système de reconnaissance n’est pas simple. Pour y répondre, nous avons étudié 27 dispositifs de reconnaissance utilisés en France, afin d’en tirer des analyses et des tendances. Le paysage foisonnant de la certification appliquée au domaine des systèmes d’information en France s’est enrichi et complexifié depuis la parution de la première édition de ce guide, parue en 2006. Notre ambition, dans cette deuxième édition, est d’en présenter un panorama actualisé et complété, mais restant volontairement synthétique. Motivés par le développement durable, la bonne gouvernance ou l’excellence, tous les responsables soucieux de l’efficience et de la reconnaissance de leur entreprise trouveront ici des points de repère pour s’orienter sereinement dans le labyrinthe des référentiels. Cette étude s’adresse principalement aux responsables de systèmes d’information, de systèmes de management de la qualité ou de systèmes de management de la sécurité. Les directeurs des ressources humaines et les responsables de
XIV
Guide des certifications SI
formation scolaire, universitaire ou professionnelle seront intéressés par les aspects de certification de personnes. Enfin, les consultants y trouveront un large panorama de dispositifs sur lesquels ils pourront appuyer leurs recommandations. Nous nous sommes concentrés sur des dispositifs applicables à l’ensemble des secteurs d’activité ou à quelques secteurs spécifiques couvrant les domaines des entreprises, des services, des produits et des personnes. Comme l’exhaustivité est impossible, compte tenu de l’explosion du nombre de dispositifs, nous avons retenu ceux d’entre eux qui avaient déjà une certaine notoriété ainsi que ceux qui, à notre avis, allaient obtenir une renommée significative dans les toutes prochaines années. Enfin, nous avons analysé plus finement les dispositifs qui : • peuvent avoir un impact dans le domaine des systèmes d’information, sans
toutefois obligatoirement s’y limiter ; • donnent en France lieu à une reconnaissance du niveau atteint ; • peuvent être utilisés dans le cadre d’un plan de progrès. Les dispositifs sont décrits à l’aide de fiches standardisées. Ces fiches sont classées selon l’ordre alphabétique du nom du dispositif. Ces dispositifs, décrits dans la première partie, sont : • la certification en direction de projet de l’AFITEP (chapitre 3) ; • la certification en gestion de projet de l’AFITEP (chapitre 4) ; • la certification de services (chapitre 5) ; • la certification de personnes CISSP, applicable aux experts en sécurité (cha• • • •
• • • • • •
pitre 6) ; l’évaluation CMMI qui concerne tous les processus d’ingénierie du logiciel et des systèmes (chapitre 7) ; la démarche CobiT qui concerne la gouvernance des systèmes d’information, avec les certifications de personnes CISA et CISM (chapitre 8) ; la reconnaissance de l’excellence avec en particulier le prix européen de la qualité EFQM (chapitre 9) ; la certification eSCM, composée du volet eSCM-SP qui s’adresse aux fournisseurs de services et du volet eSCM-CL qui formule les exigences côté client (chapitre 10) ; la certification HAS spécifique aux établissements de santé français (chapitre 11) ; la certification ISO 9001 pour les systèmes de management de la qualité (chapitre 12) ; l’évaluation de la sécurité des technologies de l’information selon l’ISO 15408, plus généralement désignée sous l’appellation Critères communs (chapitre 13) ; l’évaluation de processus à partir de la norme ISO 15504 (chapitre 14) ; la certification ISO 20000 en matière de gestion de services (chapitre 15) ; la certification de progiciels sur la base de la norme ISO 25051, anciennement ISO 12119 (chapitre 16) ;
Avant-propos
XV
• la certification ISO 27001 relative au système de management de la sécurité • • • • • • • • • • • •
(chapitre 17) ; la certification ITIL pour les managers de services informatiques (chapitre 18) ; l’évaluation ITSEC sur la sécurité des systèmes informatiques (chapitre 19) ; la certification MSP pour les directeurs de programme (chapitre 20) ; la certification PCIE sur les compétences bureautiques (chapitre 21) ; les certifications issues du PMBOK pour les directeurs de programme, chefs de projet et leurs assistants (chapitre 22) ; la certification PRINCE2 pour les chefs de projet (chapitre 23) ; la conformité aux exigences de la loi Sarbanes-Oxley relative au reporting financier des entreprises (chapitre 24) ; l’évaluation SAS 70 pour le contrôle interne des services (chapitre 25) ; la certification des acteurs Six Sigma pour la maîtrise des processus (chapitre 26) ; l’évaluation SSE-CMM du processus d’ingénierie de la sécurité (chapitre 27) ; la certification de Testeur de logiciels, ISTQB, pour les professionnels de l’ingénierie du logiciel (chapitre 28) ; la certification TL 9000, complément à l’ISO 9001 spécifique au secteur des télécommunications (chapitre 29).
Les fiches relatives à l’évaluation SW-CMM qui est remplacée par CMMI, à Trillium qui est obsolète et à TickIT qui est peu utilisée ont été supprimées. Nous avons, en revanche, introduit la certification MSP, complété le dispositif eSCM et introduit Tickit Plus dans les cartographies du chapitre 35. Chaque fiche descriptive suit un plan en quatre points : présentation, documentation, mise en œuvre, retour d’expérience. Le lecteur trouvera ici les moyens de s’approprier les systèmes de reconnaissance existants, puis de bâtir le sien, spécifique au contexte particulier de son marché ou de son entreprise, en intégrant ses objectifs stratégiques et en respectant son système de valeur. La seconde partie analyse les informations recueillies. Elle fournit ainsi des regards spécifiques sur la certification de personnes, le management de projet, la sécurité, le service ainsi que le législatif. Nous poursuivons par des cartographies et des analyses détaillées. Nous concluons en étudiant les impacts de la gouvernance et de la responsabilité sociale de l’entreprise sur les dispositifs de certification. Les acronymes et les organismes cités, les références bibliographiques, ainsi qu’une liste de sites Internet et un index concluent ce Guide des certifications SI. À l’exception des normes, tous les documents cités en italique dans le texte sont repris dans les références bibliographiques.
XVI
Guide des certifications SI
Remerciements Ce guide n’aurait pas existé sans la contribution des experts des différents dispositifs. C’est pourquoi les auteurs tiennent à remercier tous ceux qui ont consacré une partie de leur temps pour assurer la qualité et l’exactitude du contenu, qu’il s’agisse de contributeurs, de personnes qui nous ont fait partager leur expérience ou de re-lecteurs : François B AUDRAZ de FBA Conseil ; Christophe B EUCHARD de Kereval ; Hendrik C EULEMANS d’Infogovernance ; Thierry C HAMFRAULT d’itSMF France ; Anne C OAT de SEKOIA ; Didier C OGNET de Capgemini Sud ; Philippe C ROIX de Peregrine Systems ; Alain D ONJON de Capgemini Consulting ; Georgette D UBAIN de Thales ; Alain F EREY d’IBM Global Services ; Frédéric F RADET de Johnson Controls Automotive Electronics ; Patrick G EAI du Groupe La Poste ; Allan G EEKIE de Capgemini UK ; Éric G LACE de Telindus ; John H IGHAM de Pmguru ; Bernard H OMÈS du Comité français des tests de logiciels ; Pierre J OURDAN de Catalog-e-til ; Mathilde L AMBERT de QRP Management Methods International ; Robert L EMAY de Numeral Advance ; Martine M INY de l’AFITEP ; Dominique M OISAND d’ASK Conseil et d’AFAI ; Antoine N ARDÈZE d’Alcyonix France ; Sophie R OBERT de BNP Paribas Personal Finance ; Francis R ONEZ d’Axios Systems ; Jean-Christophe R OUZOUL de Sopra Group ; Bruno R UBY de Bouygues Telecom ; Kamel S EHRI de SELESTA ; Jean-Martin S IMON de Qualium ; Olivier T EITGEN d’AFNOR ; Gilles T ROUESSIN d’Oppida ; Marc VANDENBERGHE de Belgacom. Des membres d’ADELI ont activement participé à la relecture de ce guide : Dominique B ERGEROT, Alain C OULON et Jacky VATHONNE qu’ils en soient remerciés.
PREMIÈRE PARTIE
Étude des dispositifs « Comment faire reconnaître la qualité de nos produits et services », s’interrogent les entreprises. « Comment faire reconnaître la qualité de notre travail », renchérissent leurs collaborateurs. Dans l’éventail des dispositifs de reconnaissance, anciens, récents, émergents, comment choisir celui qui sera le plus approprié à son contexte ? Tout d’abord, il convenait de définir ce qu’est un dispositif de reconnaissance. Ensuite, face au nombre de dispositifs existants et à leur complexité, nous avons dû renoncer à l’exhaustivité et sélectionner les dispositifs à décrire répondant aux besoins du marché français. Dernier volet de notre méthodologie, la description de chaque dispositif sélectionné a fait l’objet d’un plan-type, nous permettant de nous livrer ensuite à des analyses comparatives.
1 Dispositifs de reconnaissance
Comment choisir un dispositif de certification ? En fait, il s’agit non pas de choisir le dispositif unique miracle, mais plutôt de sélectionner un ensemble de dispositifs complémentaires répondant chacun à un besoin spécifique. Ainsi, la réponse à cette question viendra naturellement de l’analyse détaillée des différents dispositifs. Mais avant d’aller plus loin, il nous a semblé nécessaire de définir la terminologie utilisée.
1.1 QUELQUES DÉFINITIONS Dispositif Nous avons utilisé le terme dispositif dans l’avant-propos, mais de quoi s’agit-il exactement ? Pour illustrer cette notion, prenons l’exemple d’un skipper. Pour participer à une course en mer, il doit réunir plusieurs éléments : • le code de navigation en mer et le descriptif du déroulement de la course : nous
appelons cela le référentiel ; • son bateau ainsi que tous les éléments nécessaires à la course et à sa survie en mer : ce sont les outils ; • le règlement de la course qui définit les règles d’attribution des trophées : c’est le modèle d’évaluation.
4
Chapitre 1. Dispositifs de reconnaissance
L’ensemble de ces trois éléments constitue le dispositif. Le descriptif du déroulement de la course peut être inclus dans son règlement, alors que le code de navigation en mer ne l’est pas. On peut ainsi avoir des ensembles disjoints. Dans le contexte de cet ouvrage, le terme dispositif désigne globalement l’ensemble des éléments associés au couple : référentiel – modèle d’évaluation (figure 1.1). Nous parlerons par exemple du dispositif de certification ISO 9001 qui comprend la norme ISO 9001 comme référentiel, l’audit comme type d’évaluation et les normes complémentaires ISO 9000 et ISO 90003 comme outils. Selon les dispositifs, le modèle d’évaluation peut faire partie du référentiel en totalité, partiellement, ou encore lui être complètement externe.
Figure 1.1 — Dispositif de reconnaissance
Le référentiel est un document d’exigences ou de recommandations que l’entreprise a retenu, puis éventuellement adapté pour répondre à ses besoins stratégiques ; il peut s’agir d’un document d’origine externe (par exemple ISO 9001) ou interne (référentiel de certification de services rédigé par l’entreprise pour ses besoins). Les exigences contenues dans le référentiel servent de base aux opérations d’évaluation conduisant à une reconnaissance. Le modèle sert à l’évaluation et, pour éviter toute ambiguïté, nous utiliserons l’expression modèle d’évaluation. Modèle d’évaluation et référentiel sont intimement liés puisque l’évaluation se fait par rapport à un référentiel donné.
Audit – évaluation À notre connaissance, aucune définition claire de l’évaluation ne permet de faire une distinction formelle entre ces deux termes. Le résultat d’un audit, comme celui d’un examen, est binaire (conformité ou non-conformité, diplôme attribué ou non). Celui d’une évaluation peut se présenter sous la forme d’une mesure sur une échelle définie, par exemple dans le cas de l’utilisation d’un modèle d’aptitude à représentation continue comme dans le CMMI ou l’ISO 15504.
1.2 Choisir son dispositif
5
Il existe trois sortes d’audits : • l’audit tierce partie réalisé par un organisme indépendant de celui qui est évalué,
par exemple l’audit de certification dans le cadre d’une démarche ISO 9001 ou ISO 14001 ; • l’audit seconde partie réalisé par un client ou à sa demande, pour évaluer son fournisseur ; • l’audit première partie, ou auto-évaluation, réalisé par l’entreprise ; il s’agit alors d’une auto-déclaration – ce cas n’est pas traité dans l’ouvrage bien que la mise en œuvre de tout dispositif devrait commencer par une auto-évaluation comme cela est recommandé dans le fascicule FD X50-186 – Lignes directrices pour la mise en place d’un processus d’auto-évaluation1.
Reconnaissance La reconnaissance peut prendre différentes formes telles qu’un certificat de conformité à un référentiel, un diplôme, un prix, un diagnostic, un label, une autorisation d’exercer. Cette reconnaissance peut être obtenue de différentes façons : • de manière binaire et exclusive, tout ou rien, avoir ou non une attestation ; • par un positionnement sur une échelle de valeurs, par exemple un nombre de
points obtenus sur un questionnaire d’évaluation de type prix qualité, un profil de compétence comme les niveaux d’aptitude.
Attestation Le terme attestation est générique. Il désigne indifféremment un certificat, une marque, un diagnostic d’aptitude ou de maturité, un prix ou simplement un rapport.
1.2 CHOISIR SON DISPOSITIF Dans un souci d’efficacité, les entreprises cherchent à affiner leur choix de dispositifs avant de les intégrer dans leurs différents systèmes de management. Pour comprendre ce mouvement, nous avons étudié les dispositifs de reconnaissance, accessibles aux entreprises et aux individus, en nous préoccupant de leur complémentarité et de leurs interactions. Selon que nous nous intéressons au produit, au service, au processus, à une entreprise ou à une personne, il faut choisir le dispositif qui répond le mieux à nos besoins actuels sans pénaliser nos besoins futurs. En la matière, le dispositif idéal serait l’attestation qui nous ouvrirait toutes les portes, répondrait à tous nos besoins
1. À l’exception des normes, tous les documents cités en italique dans le texte sont repris dans les références bibliographiques.
6
Chapitre 1. Dispositifs de reconnaissance
en matière de qualité, de sécurité, d’environnement. Quelles solutions pouvons-nous envisager ? En fait, il y a l’embarras du choix. C’est en se posant les bonnes questions qu’une solution va s’esquisser d’autant plus facilement qu’il n’y a pas vraiment d’incompatibilité entre les différents dispositifs, mais seulement la nécessité d’un ajustement et d’une homogénéisation. Il faut donc définir son besoin réel, s’agit-il : • d’entreprendre une démarche d’amélioration purement interne ? • de rassurer ses clients et ses actionnaires ? Dans ce cas, l’objectivité d’un
organisme tiers est-elle nécessaire ? • de convaincre un client spécifique dans sa démarche de sélection de fournisseurs ? • de se mettre en conformité avec une réglementation ? • d’évaluer l’entreprise, le personnel, les produits ou les services ?
2 Méta-modèle d’analyse
2.1 PRÉSENTATION DU MODÈLE La comparaison des dispositifs de reconnaissance nécessite une clarification des concepts. La définition d’un méta-modèle permet d’ordonner les différentes notions. En effet, au-delà d’un simple exercice de style, la modélisation, en imposant des contraintes formelles, soulève des questions que l’on ne peut éluder. Lorsqu’on souhaite modéliser les dispositifs de reconnaissance, une première question se pose : de quoi parlons-nous ? Nous avons tenté de modéliser le système complet avec ses multiples acteurs et leurs inter-relations complexes. Dans la figure 2.1, nous présentons le méta-modèle issu de cette réflexion. Comme tout modèle, le résultat est fonction des objectifs choisis et peut justement servir de base à des discussions fructueuses entre experts et à la production de variantes. Nous commenterons ce schéma en prenant comme exemple le dispositif de reconnaissance le plus répandu, celui de la certification des systèmes de management de la qualité : l’ISO 9001.
8
Chapitre 2. Méta-modèle d’analyse
Figure 2.1 — Méta-modèle
2.1.1 Référentiel Au cœur du dispositif de reconnaissance, nous trouvons un texte ou un ensemble de textes fondateurs que nous désignerons par le terme de référentiel. Il peut s’agir de textes normatifs ou législatifs aussi bien que de textes d’origine privée issus du monde industriel. Cet ensemble de documents peut être caractérisé par un nom, une version, une date de création. Dans le cas du dispositif ISO 9001, il s’agit de la norme ISO 9001, version 2000, publiée en décembre 2000. Faisant fi des différences d’interprétation dues soit à la traduction, soit à l’adaptation à un secteur d’activité ou à un pays particulier, nous reconnaissons à l’ISO 9001 une existence universelle. Le référentiel peut être lié à d’autres documents qui lui servent de guide d’application pour un domaine plus ou moins restreint. Le texte fondateur lui-même est généralement assez concis et peut nécessiter des interprétations. Ainsi, la lecture de la norme ISO 9001 n’est possible que précédée ou accompagnée de celle de l’ISO 9000 qui apporte les principes et les définitions utiles à sa compréhension. Dans la recherche de l’amélioration des performances, nous nous inspirons des bonnes pratiques recommandées dans l’ISO 9004 ou de celles d’un standard sectoriel mieux adapté à notre métier, tel que l’ISO 90003. Lorsque le référentiel est lui-même un texte législatif, il faudra le lire à la lumière de la jurisprudence issue de son application. Parmi les autres caractéristiques du référentiel, nous avons noté sa langue et les domaines d’activités auquel il se rapporte : le référentiel peut être rédigé en une ou plusieurs langues et s’appliquer à un ou plusieurs domaines d’activités. Ainsi l’ISO 9001
2.1 Présentation du modèle
9
est un référentiel générique qui peut être mis en œuvre dans tous les domaines. D’autres référentiels concernent des domaines particuliers dont les limites sont plus ou moins bien définies.
2.1.2 Contenu du référentiel Ce qui fonde le référentiel en tant que tel, c’est son contenu. Pour simplifier, nous avons considéré qu’un référentiel se composait d’un ensemble de règles qui peuvent être soit des exigences, soit des recommandations. On distingue ces deux catégories en fonction du verbe utilisé dans le document : « l’organisme doit » de l’ISO 9001 s’oppose au « il convient que » de l’ISO 9004. L’ISO 9001 spécifie des exigences et l’ISO 9004 les complète par des recommandations. Seul le respect des exigences est vérifié lors de l’audit qui conditionne la certification. Les exigences et les recommandations s’appliquent à un élément qui peut être une personne, un produit ou une activité menée au sein d’une entité qui peut être une entreprise ou seulement une de ses parties. Chacun de ces éléments, tels que la personne, le produit ou l’activité, peut éventuellement se décomposer en souséléments auxquels s’appliquent des règles particulières. La personne ne se décomposant pas physiquement, les règles portent sur les différents rôles qu’elle peut jouer dans l’entreprise. Même lorsqu’il s’agit d’une orientation concernant la personne, le produit ou l’activité, un référentiel peut combiner ces différents types d’exigences. Pour reprendre notre exemple, les exigences de l’ISO 9001 s’appliquent au système de management de la qualité de l’entreprise dans sa globalité. Prises individuellement, les exigences peuvent ne concerner que certains processus ou activités, tels la conception ou les achats. D’autres exigences s’appliquent directement le produit : les éléments de sortie doivent vérifier certaines conditions, le produit doit être préservé. D’autres enfin sont relatives aux personnes qui doivent avoir les compétences nécessaires à la réalisation des tâches qui leur sont affectées.
2.1.3 Modèle d’évaluation Pour devenir dispositif de reconnaissance, le référentiel doit être accompagné d’un modèle d’évaluation qui indique la façon dont le référentiel est pris en compte dans un processus d’évaluation et qui en précise les règles. Un référentiel donné peut être utilisé avec différents modèles d’évaluation, tel le SSE-CMM qui peut, suivant le contexte, être employé avec le modèle d’évaluation défini dans l’ISO 15504 ou avec le SCAMPI. Même un modèle d’évaluation peut être associé à différents référentiels, comme le SCAMPI utilisé avec le SW-CMM, le CMMI ou le SSE-CMM. Le modèle d’évaluation peut se présenter sous différentes formes : audit, diagnostic, évaluation ou examen suivant le type d’organisation retenue.
10
Chapitre 2. Méta-modèle d’analyse
2.2 ACTEURS Le nombre de types d’acteurs impliqués dans le système de reconnaissance de la qualité est important. Tout d’abord, au cœur du système, nous trouvons deux acteurs. Selon le dispositif, il s’agit de personnes morales ou physiques. Le premier acteur choisit et applique un référentiel. Ce référentiel comporte un modèle d’évaluation qui donne confiance au second acteur, le client. Il y a deux choix à effectuer : le choix des exigences qui vont être appliquées (le référentiel) et le choix du modèle d’évaluation. L’entreprise doit ensuite faire le choix d’un troisième acteur : l’organisme de certification. Par exemple pour l’ISO 9001, il en existe plusieurs qui sont théoriquement équivalents bien que concurrents. Dans le cas des certifications de personnes, l’individu choisit à la fois le référentiel d’exigences et le modèle d’évaluation, dans un cadre strict imposé par son employeur ou dans une démarche personnelle de gestion de son parcours professionnel pour améliorer son niveau d’employabilité. Parmi les acteurs du système de reconnaissance, nous trouvons également le propriétaire du référentiel, son distributeur par exemple AFNOR en France pour les normes ISO, le formateur qui transmet la connaissance, le contrôleur, l’organisme qui attribue l’attestation, l’organisme accréditeur, sans oublier les consultants et les entreprises de conseil. Le propriétaire du référentiel, généralement son créateur, est parfois un organisme de normalisation tel que l’ISO, mais il peut aussi s’agir d’une entreprise dans le cas d’un référentiel de services, d’un institut universitaire comme le SEI ou d’une association professionnelle comme l’IPMA. Le contrôleur qui vérifie l’application des exigences peut être un auditeur, un évaluateur ou un examinateur. La personne morale ou physique, généralement un organisme de certification attribue l’attestation au vu du rapport d’évaluation ; il peut être ou non accrédité. L’organisme accréditeur est garant de la valeur de l’attestation accordée en donnant son label à l’organisme de certification. Souvent national, cet organisme permet, par le jeu d’accords de reconnaissance mutuelle, de faire bénéficier les organismes accrédités d’une portée internationale.
2.3 PRÉSENTATION DES DISPOSITIFS Les particularités des dispositifs étudiés apparaîtront à la lumière de ce méta-modèle. Ainsi nous remarquerons l’existence de dispositifs sans référentiel en matière de management de projet, ainsi que des liens multiples entre dispositifs : par exemple entre ITIL et ISO 20000, ou encore entre CobiT, SAS 70 et Sarbanes-Oxley. Dans la suite de cet ouvrage, la présentation de chaque dispositif est introduite par un schéma simplifié (figure 2.2) qui synthétise les principaux éléments. À gauche du référentiel, cœur du dispositif, nous trouverons des éléments directement descriptifs.
2.3 Présentation des dispositifs
11
D’abord le secteur économique de l’entreprise ou de l’individu qui utilise le référentiel lorsqu’il ne s’applique que de manière sectorielle. Si le référentiel est d’application générique, ce champ indiquera Tous secteurs. Le propriétaire du référentiel peut être un organisme de normalisation tel que AFNOR, ISO, IEEE ou BSI. Il peut s’agir aussi d’une association, d’un organisme privé ou gouvernemental, comme l’AFITEP, le SEI, l’OGC. La diffusion du référentiel est effectuée soit directement par son propriétaire, soit par des intermédiaires spécialisés ou des librairies techniques. La portée du référentiel indique la nature des règles qu’il contient et dont les mentions peuvent être les suivantes : le produit, l’activité ou les personnes. Certains référentiels ne s’intéressent qu’au produit, d’autres uniquement à l’activité et les plus exigeants possèdent les trois types de règles. En fonction du type de reconnaissance, le référentiel peut servir à une autoévaluation, à une évaluation tierce partie qui conduira à une certification ou à une évaluation seconde partie entre un client et un fournisseur indépendamment de l’existence d’un contrat. Au-dessus du nom du référentiel, figure l’indication de son domaine d’application. Il peut s’agir, suivant le cas, de management de projet, de qualité, de sécurité des systèmes d’information, de processus de systèmes d’information, de processus logiciel, d’ingénierie du logiciel, d’ingénierie système, de production informatique, de développement et sécurité de système informatisé, de poste de travail informatique, de sécurité des informations financières, ou encore de services sous-traités. Même, et surtout si certains de ces termes semblent synonymes à première vue, cette énumération est révélatrice des points de vue complémentaires adoptés par les différents dispositifs.
Figure 2.2 — Schéma standard de présentation d’un dispositif
Sur la figure 2.2, à droite du référentiel, se trouvent les éléments descriptifs du processus d’évaluation.
12
Chapitre 2. Méta-modèle d’analyse
Tout d’abord l’objet de la reconnaissance. Ce peut être une personne physique reconnue pour ses capacités, connaissances et expérience dans un certain domaine. Ce peut être une personne morale reconnue suivant le cas pour : • la mise en œuvre d’un système de management de la qualité, d’un système de
management de la sécurité, d’un service, d’un ou plusieurs processus ; • la conformité ou le niveau de sécurité d’un produit ou d’un système ; • ses dispositifs de contrôle interne. Le type de reconnaissance peut être une certification, un diagnostic d’aptitude ou de maturité, un prix ou un simple rapport qui a une durée de validité définie ou non. Le type d’évaluation peut correspondre à un examen passé en français ou en anglais, associé ou non à une évaluation d’expérience, à un audit seconde ou tierce partie ou encore à une auto-évaluation. Une évaluation peut déboucher sur un ou différents niveaux d’attestation dont la sélection se fait, soit en amont de l’évaluation lors du dépôt de dossier, soit en aval en fonction du résultat obtenu. Le dispositif peut avoir une portée qui est souvent internationale, mais peut être limitée à la France ou à l’Europe. Enfin, la méthode d’évaluation et son propriétaire sont indiqués lorsque ces informations sont définies. Sans reprendre la totalité des informations présentes sur le méta-modèle, le schéma simplifié de la figure 2.2 offre ainsi une vue suffisamment complète du dispositif.
3 AFITEP-CDP
Le dispositif AFITEP-CDP permet à une personne physique d’obtenir une certification en matière de management de projet.
Figure 3.1 — Dispositif CDP de l’AFITEP
Présentation La Certification en direction de projet (CDP) a pour objet de faire reconnaître une compétence de type managérial fondée sur une expérience d’animation d’équipe et d’arbitrage dans le but de mener à son terme un projet : c’est-à-dire une opération à
14
Chapitre 3. AFITEP-CDP
caractère spécifique et unique dont les objectifs, la durée et le coût sont préalablement définis. Cette certification est réalisée par l’Association francophone de management de projet (AFITEP), représentant officiel de l’IPMA (International Project Management Association) en France. En 1985, l’IPMA a développé un programme de certification international à quatre niveaux. Ses membres sont des associations nationales qui appliquent le dispositif de l’IPMA dans leur pays respectif avec leur langue. Les règles de l’IPMA sont énoncées dans l’IPMA Competence Baseline (Guide IPMA de compétences). Leur application s’effectue dans chaque pays par la formalisation d’un guide national de compétences. En France, il s’agit du Référentiel de compétences en management de projet de l’AFITEP. Ce référentiel décrit les connaissances, l’expérience et le comportement attendus des chefs de projet. Il reprend l’ensemble des éléments décrits dans l’IPMA Competence Baseline pour évaluer les compétences en management de projet. La version 2006, troisième version du référentiel, a été remaniée dans sa structure et comporte 46 éléments, répartis en trois domaines : • les compétences techniques (20 éléments) • les compétences contextuelles (11 éléments) • les compétences comportementales (15 éléments)
Le management de projet consiste à planifier, organiser, suivre et maîtriser tous les aspects d’un projet. Le cycle de développement du projet peut différer selon la branche d’activité et le type de projet. Des métriques sont définies dans l’élément de connaissances Mesure des performances du Référentiel de compétences en management de projet. Le calcul et l’évaluation de l’avancement du projet reposent sur l’analyse de la valeur acquise.
Documentation Le Référentiel de compétences en management de projet est librement téléchargeable sur le site de l’AFITEP ainsi que d’autres documents comme un formulaire d’auto-évaluation et de positionnement, des notes explicatives, etc. La version 2006 de l’IPMA Competence Baseline est rédigée en anglais. L’AFITEP l’a traduite en français et enrichie en particulier des références normatives françaises (cf. corpus normatif AFNOR en management de projet) dans la version disponible en 2009 de son référentiel. Ces deux référentiels sont librement téléchargeables respectivement sur le site de l’IPMA ou sur celui de l’AFITEP.
Mise en œuvre L’IPMA fédère 45 associations nationales à travers le monde, ce qui représente plus de 25 000 membres. À la fin de l’année 2007, environ 73 000 personnes avaient obtenu un certificat. On note une forte croissance du nombre de certifiés depuis 2002. La prévision pour 2008 est d’environ 88 000 certifiés dans le monde.
15
AFITEP-CDP
L’IPMA a établi des accords de coopération avec l’ICEC (International Cost Engineering Council), l’AIPM (Australian Institute of Project Management) et le PMI (Project Management Institute). L’AFITEP dispose d’une vingtaine de centres d’examens en France et à l’étranger (Maroc, Émirats Arabes Unis, Algérie). Il y a quatre sessions programmées par an pour le premier niveau (niveau D) de l’IPMA ; les dates des sessions de certification de niveaux C, B et A sont définies en fonction des besoins. L’IPMA « accorde une très haute priorité aux aptitudes personnelles nécessaires à la fonction de chef de projet dans l’évaluation des individus pour leur accorder la certification » C’est pourquoi, le dispositif propose un système d’évaluation du comportement des personnes. Ce programme, décrit dans la figure 3.2, a été conçu pour évaluer non seulement le savoir, le savoir-faire et l’expérience du candidat, mais également son savoir-être.
Figure 3.2 — Certification IPMA Source : référentiel de compétences en management de projet de l’AFITEP.
Ce référentiel est unique : il sert indifféremment à la certification des quatre niveaux de l’IPMA ; c’est pourquoi, en plus des critères d’évaluation, on y trouve les valeurs cibles attendues pour chaque critère et à chaque niveau. Les critères portent sur les éléments suivants : • capacités générales ; • principes du management de projet ; • compétences organisationnelles et sociales ; • méthodes et procédures ; • management général ; • comportement personnel et l’impression générale donnée par le candidat.
16
Chapitre 3. AFITEP-CDP
Ce sont des experts en management de projet qui évaluent les candidats. Ces évaluateurs ont eux-mêmes un niveau de certification au moins égal à celui auquel postule le candidat et, parmi eux, il y a toujours un expert du secteur d’activité du candidat. L’entretien individuel tient une grande importance dans la décision d’attribution ou non du certificat. La certification AFITEP-CDP est accordée pour une période de cinq ans susceptible d’être prorogée sur dossier. La commission de certification de l’AFITEP accepte le PMP (Project Management Professional) du PMI comme équivalence du niveau D de l’IPMA.
Retour d’expérience Martine M INY, présidente de l’AFITEP, déclare : « De plus en plus d’entreprises choisissent la Certification en Direction de Projet, d’une part parce qu’elle est personnalisée au contexte local, d’autre part, parce qu’elle est reconnue au niveau international dans plus de 45 pays (dont la Chine, l’Inde et la Russie), enfin parce qu’elle permet d’évaluer les compétences du candidat au regard de la complexité des projets menés. Les entreprises apprécient le fait que le référentiel soit structurant pour les compétences, mais n’impose aucune exigence en matière de modes opératoires ou d’organisation. La certification de compétences individuelles en direction de projet devient donc un élément clé de la reconnaissance du professionnalisme des chefs de projet. C’est aussi un vecteur d’amélioration du niveau de maturité du management de projet dans les organismes, la capacité à mener à bien les projets étant aujourd’hui indispensable à la pérennité des entreprises. Le candidat a, par ailleurs, la possibilité d’adhérer à l’AFITEP et de participer ainsi à une communauté de chefs de projet qui publie une revue, organise des réunions et des conférences et lui apporte ainsi une actualisation régulière de ses connaissances ». Grâce à son processus d’accréditation, ce dispositif s’adapte très bien aux environnements culturels nationaux tout en maintenant une cohérence globale au niveau international. Il permet la reconnaissance d’un certificat national dans 45 pays. Un des atouts de ce dispositif pour l’employeur est constitué par le modèle d’évaluation ; il ne se limite pas aux connaissances en management de projet, mais évalue aussi les compétences et la dimension comportementale. Pour le candidat, la certification par niveau lui permet de se situer en fonction de la responsabilité qu’il exerce. En revanche, le référentiel ne peut être utilisé par le candidat comme un recueil de bonnes pratiques : il s’agit plutôt d’une grille d’analyse de compétences. Toutefois, il peut servir d’outil pour les responsables de ressources humaines, afin d’évaluer un candidat lors d’un recrutement ou servir aux chefs de projets pour détecter des potentiels en interne.
4 AFITEP-CGP
Le dispositif AFITEP-CGP permet à une personne physique d’obtenir une certification en matière de management de projet.
Figure 4.1 — Dispositif CGP de l’AFITEP
Présentation L’objectif de la Certification en gestion de projet (CGP) est d’apporter l’assurance que les titulaires sont des professionnels qualifiés en maîtrise de projet et en particulier
18
Chapitre 4. AFITEP-CGP
dans les domaines de l’estimation, de la coûtenance (ingénierie des coûts) et de la planification. Coordonnée par l’ICEC (International Cost Engineering Council), cette certification existe dans 43 pays. Elle présente une particularité : l’ICEC ne disposant pas de son programme de certification, elle encourage le développement de programmes de certification et de coopération entre les organisations membres. Ses membres sont des associations qui doivent répondre à des critères d’acceptation pour être accréditées ; ces critères sont documentés dans un guide définissant les exigences du processus d’accréditation. Il n’existe donc pas de référentiel unique. Chaque association développe son référentiel en conformité avec les standards et normes en vigueur dans son pays et le déclare à l’ICEC qui ne fait que le reconnaître. L’ICEC a également conclu des protocoles d’accord avec différents organismes dont l’IPMA (International Project Management Association). En France, l’ICEC est représentée par l’Association francophone de management de projet (AFITEP) sur la base du référentiel FD X50-107 – Management de projet – Certification du personnel en maîtrise de projet. Ce document définit les compétences requises par les candidats et détaille dans son annexe les thèmes couverts par cette certification : • connaissances générales ; • connaissances en planification opérationnelle ; • connaissances en évaluation et en estimation ; • connaissances en maîtrise des coûts (ou coûtenance).
Documentation Disponible auprès d’AFNOR, le référentiel FD X50-107 s’appuie sur l’ensemble des documents AFNOR de la série X50 et en particulier les FD X50-115 (management de projet-présentation générale), 118 (recommandations pour le management d’un projet), 137 (management des délais) et 138 (management des coûts). De plus, en France, l’AFITEP publie des ouvrages de référence sur le management de projet sous la forme de documents de synthèse ou de revue.
Mise en œuvre Toute personne titulaire de la CGP obtient ipso facto le certificat international de l’ICEC reconnu dans 46 pays. et détenu par 30 000 membres. Il existe une vingtaine de centres d’examens en France et à l’étranger (Maroc, Émirats Arabes Unis, Algérie). Le calendrier des sessions d’examens est défini annuellement et est disponible sur le site web de l’AFITEP. Les dates des soutenances de mémoire sont définies en fonction des besoins. Pour se présenter à la certification CGP, le prérequis est l’obtention du certificat Assistant de Projet Certifié (IPMA niveau D) qui atteste de connaissances générales sur les projets.
AFITEP-CGP
19
Délivrées sans limitation de durée, viennent ensuite trois qualifications de spécialité : • la qualification en planification ; • la qualification en coûtenance ; • la qualification en estimation.
Ensuite, le candidat présente un mémoire sur un sujet de son choix relatif à son expérience en gestion de projet qu’il soutient devant un jury de professionnels. Si le mémoire est accepté et si le candidat est éligible (il faut justifier de trois à sept ans d’expérience en fonction du niveau de formation après le bac), la CGP est accordée pour une période de cinq ans susceptible d’être prorogée sur dossier.
Retour d’expérience Martine M INY, présidente de l’AFITEP, apporte sa vision : « L’obtention de la CGP donne au candidat la reconnaissance d’une spécialisation dans trois domaines et celle d’un métier. Cette certification prend tout son sens avec l’importance croissante de la fonction de Project Management Office (un bureau des projets qui assure le support, le suivi et un contrôle général d’un ensemble de projets). Elle devient le garant de la qualité des projets et de l’application des bonnes pratiques et méthodes de chaque entreprise ». Tout comme pour l’IPMA, la force de l’ICEC réside dans le fait que le modèle d’évaluation ne se réfère pas uniquement aux connaissances en matière de gestion de projet, mais aussi à l’évaluation de l’expérience. En revanche, le fait qu’il n’y ait pas de corpus de connaissances peut paraître déroutant. Cependant, cette latitude donne une certaine souplesse au dispositif et lui permet de tenir compte des spécificités de chaque secteur d’activité.
5 Certification de services
Le dispositif de certification de services permet à une entreprise d’obtenir une certification en matière de qualité de services.
Figure 5.1 — Dispositif de certification de services
Présentation La certification de services est régie par la Loi n◦ 94-442 du 3 juin 1994 et le Décret n◦ 97-298 du 27 mars 1997 qui stipulent des exigences en termes de structuration de la démarche.
22
Chapitre 5. Certification de services
Ce type de certification vise à contrôler un niveau de service fourni au client final par rapport à un ensemble d’exigences (caractéristiques et modalités de contrôle) décrites dans un référentiel de certification de services. Il s’agit d’un document technique établissant les caractéristiques d’un produit ou d’un service ; ce document définit également les modalités de contrôle de la conformité du produit ou du service. La certification de services fait reconnaître le niveau de qualité qu’une entreprise définit et s’engage à respecter vis-à-vis de ses clients. Cette démarche est applicable quel que soit le secteur économique. Elle s’applique à toute activité de service qu’elle soit destinée aux entreprises ou aux consommateurs. Le référentiel peut être normatif ou privé. Un référentiel privé est défini soit localement par une entreprise pour ses besoins, soit collectivement, par exemple par un groupement ou par une association professionnelle. Chaque nouveau référentiel de certification de services fait l’objet d’une mention au Journal officiel de la République française et est contrôlé par un organisme habilité (accrédité ou ayant déposé un dossier auprès de l’autorité administrative). On peut citer des certifications de services très différentes qui concernent le domaine des systèmes d’information, par exemple : • référentiel privé : la téléphonie mobile développée par Orange France en 2002 ; • référentiels collectifs : transactions commerciales électroniques développées par
Webcert en 1999 ou Sauvegarde à distance de données numériques élaboré par le Club de la sécurité des systèmes d’information du Languedoc-Roussillon en 2001. Le référentiel peut aussi être normatif lorsqu’une norme spécifie les exigences permettant de définir, de cibler et de mesurer la qualité de service. C’est par exemple le cas dans le domaine du transport public de voyageurs. Le référentiel de certification est rédigé en se plaçant du point de vue du client sous forme d’engagements de service documentés (figure 5.2). Il doit entre autres : • clarifier le résultat attendu, c’est-à-dire le contenu du service fourni ; • définir un niveau de qualité de service en termes de performances à atteindre ; • définir les engagements de l’entreprise vis-à-vis de ses clients.
Les textes de loi qui régissent la certification de services n’imposent rien en matière de dispositifs ou de moyens à mettre en œuvre par l’entreprise candidate. De ce fait, celle-ci reste libre de la nature et du niveau de performance des engagements qu’elle prend vis-à-vis de ses clients. Il existe toutefois une restriction : représenté par les associations de consommateurs, le client doit valider ces engagements de service sans quoi la démarche de certification est arrêtée. La mise en œuvre de cette démarche permet de rendre visible la performance des services rendus par une entreprise à ses clients. Elle marque le passage d’une culture tournée vers l’interne à une culture orientée vers la satisfaction des clients. Les métriques sont spécifiques à chaque référentiel. Elles y sont définies.
23
Certification de services
Figure 5.2 — Démarche de certification de services
Documentation Les textes de loi sont accessibles sur le site de Legifrance. Les référentiels de certification de services normatifs sont disponibles auprès d’AFNOR ; les référentiels privés (personnel ou collectif) sont déposés au Journal officiel de la République française.
Mise en œuvre Cette démarche s’applique dans le cadre du droit français. Des efforts de communication et de promotion sont fournis par les organismes certificateurs ainsi que par certaines associations de consommateurs ; ces dernières voient dans ce mode de reconnaissance un signe de performance de l’entreprise certifiée et donc de garantie pour le client. La certification de services est un outil qui se répand car, dans une démarche d’amélioration reconnue par un certificat, elle permet aux entreprises ou à des secteurs d’activité de s’engager de manière ciblée sur le service à rendre. Elle s’étend en France : la reconnaissance en 2004 par la Haute autorité de santé (HAS) de l’intérêt de ce type de certification en est une preuve. La certification de services de certaines lignes d’autobus et de métro de la RATP constitue un exemple de mise en œuvre de cette démarche dont l’effet est visible par tous les Parisiens. En février 2003, pour la première fois hors de France, une certification de services a été délivrée à une société belge, la Société des transports intercommunaux de Bruxelles. Le référentiel utilisé est la norme européenne NF 13816 relative au transport public de voyageurs.
24
Chapitre 5. Certification de services
Dans le domaine du e-commerce, il s’agit par exemple d’informer l’utilisateur final de la valeur réelle des outils capables de garantir réellement la sécurité, la confiance et la qualité du service. Pour cela plusieurs certifications de ce type coexistent en France : Webcert d’AFAQ, Elite Site Label de la société Sysqua contient 148 critères de certification et Qualicert de la société SGS qui se développe aussi à l’étranger. La mise en œuvre de cette démarche implique soit de rédiger un référentiel spécifique à son domaine, soit d’en utiliser un déjà existant. Il faut aussi former les opérationnels afin de leur faire connaître et de leur apprendre à atteindre en permanence le niveau de performance attendu des engagements de service auxquels ils contribuent. Essentiellement française, cette certification est réalisée par un organisme de certification délivrant l’attestation sous la forme d’une marque (logo) qui lui est propre. Pour réaliser une évaluation, différentes méthodes de contrôle peuvent être mises en œuvre comme : • l’enquête de satisfaction client ; • la méthode dite du client mystère qui est une enquête réalisée sur le terrain par
un auditeur ne se faisant pas reconnaître et agissant comme un client ; • la collecte automatique de mesures ; • l’audit de terrain effectué par une tierce partie. Lorsque des standards de contrôle existent, les méthodes de contrôle du référentiel de certification peuvent s’y référer ; par exemple les standards du W3C/WAI (Web Accessibility Initiative) pour l’accessibilité des sites web. Pour obtenir un service certifié, le processus comprend soit l’élaboration d’un référentiel suivi de sa publication, soit le choix de ce référentiel, puis son déploiement opérationnel et enfin l’audit de certification (figure 5.3). L’élaboration d’un référentiel privé peut prendre de huit à douze mois et mobiliser une trentaine de personnes. Il faut compter ensuite environ neuf mois pour le déploiement opérationnel jusqu’à la certification. Et enfin, trois semaines pour l’audit de certification avec une équipe de dix auditeurs.
25
Certification de services
Figure 5.3 — Déroulement du processus
Retour d’expérience Un consultant d’une société de conseil commente : « La certification de services peut venir en complément d’une certification d’entreprise de type ISO 9000. Cette double approche est déjà mise en œuvre dans des entreprises comme la RATP. Dans les petites structures, la certification ISO 9001 est parfois abandonnée au profit de la certification de services. Parmi les motivations qui différencient ce dispositif d’une certification ISO 9001, il y a la possibilité de définir son référentiel, d’utiliser un référentiel focalisé sur une plus-value à fournir au client et sur la capacité d’une entreprise à obtenir des résultats constants visibles par le client. Par rapport aux exigences de l’ISO 9001, une autre différence réside dans l’identification pour chaque engagement de service, d’un responsable qui rapporte directement au comité de direction sur le respect, sur l’évolution de l’engagement qu’il pilote et sur les moyens et actions qu’il met en œuvre. Bien utilisée, la certification peut être un atout majeur au service des entreprises et des clients. Elle permet tant aux entreprises qu’aux clients d’atteindre leurs objectifs et de valoriser les services offerts par la confiance qu’elle donne au client. Pour l’entreprise, il s’agit d’une démarche orientée vers la quête d’un résultat précisément défini, mesurable et qui apporte un plus au client. L’utilisation de ce dispositif permet d’améliorer l’image de l’entreprise et de promouvoir de nouveaux services. La démarche est innovante : elle est source de différenciation et d’amélioration permanente, surtout lorsque l’entreprise participe à la création du référentiel. Comme tout projet d’entreprise, elle permet la mobilisation du personnel autour d’objectifs concrets et une qualité de service homogène. De plus, avec ce type de certification, l’entreprise peut communiquer sur les critères explicites du service objet de la certification.
26
Chapitre 5. Certification de services
Pour le client, utiliser un service certifié garantit que ce service dispose effectivement des caractéristiques définies dans le référentiel et qu’elles sont contrôlées de manière récurrente. La certification de services atteste du respect des promesses faites aux clients du service. Toutefois, il est important, avant de se lancer dans une telle démarche, de prendre en compte le fait que cette démarche est encore peu connue. Il s’agit d’une initiative française, sans équivalent véritable à l’étranger. Ceci implique qu’il n’est pas toujours possible de faire reconnaître son certificat à l’étranger. Notons toutefois que dans le domaine du service appliqué à l’Internet, qui par nature a une vocation mondiale, il existe des équivalences européennes pour les certifications françaises par le biais de l’European cooperation for Accreditation (EA). Ce type de montage nécessite toutefois de la part de l’organisme certificateur une expertise particulière, car des instances européennes doivent être consultées, par exemple les associations de consommateurs ». On s’aperçoit que l’approche et l’interprétation de la démarche varient selon les organismes certificateurs. Le choix de l’organisme est donc important. Lorsque la certification recherchée n’existe pas, il ne faut pas sous-estimer la difficulté de rédaction du référentiel privé. Celui-ci doit être à la fois lisible et compréhensible par l’entreprise, le client et l’auditeur externe.
6 CISSP
Le dispositif CISSP permet à une personne physique d’obtenir une certification en matière de sécurité de systèmes d’information.
Figure 6.1 — Dispositif CISSP
Présentation La Certification pour professionnel de la sécurité des systèmes d’information (CISSP, Certified Information Systems Security Professional) est une certification internationale d’origine américaine dont la finalité est la validation des connaissances généralistes
28
Chapitre 6. CISSP
en matière de sécurité de l’information. Elle permet d’une part aux dirigeants et décideurs de s’assurer des compétences de leur personnel sécurité et de sélectionner les consultants extérieurs, et d’autre part aux auditeurs et responsables de la sécurité de valider leur expertise et d’augmenter leur employabilité. Créée en 1995 et développée par l’(ISC)2 (International Information Systems Security Certification Consortium), dont Auditware est le membre français, cette certification vise plusieurs objectifs : • maintenir et faire évoluer le tronc commun de connaissances en sécurité (CBK,
Common Body of Knowledge for Information Security) ; • faire certifier les professionnels selon le CBK ; • organiser la formation et la certification des professionnels de la sécurité ; • assurer le suivi du niveau de qualification des personnes certifiées.
L’examen du CISSP porte sur les 10 chapitres suivants : • systèmes et méthodologies de contrôle d’accès ; • sécurité des télécommunications et des réseaux ; • pratiques de gestion de la sécurité ; • sécurité des développements d’applications et de systèmes ; • cryptographie ; • architecture et modèles de sécurité ; • sécurité des opérations ; • continuité des opérations et plan de reprise en cas de désastre ; • loi, investigations et éthique ; • sécurité physique.
En outre, il existe trois spécialisations CISSP, qui peuvent s’obtenir après avoir été certifié CISSP : • CISSP-ISSAP (Information Systems Security Architecture Professional), pour les
spécialistes en architecture ; • CISSP-ISSEP (Information Systems Security Engineering Professional), pour les
spécialistes en ingénierie ; • CISSP-ISSMP (Information Systems Security Management Professional), pour les spécialistes en management.
Documentation Le CBK est disponible à l’achat. Ce document de plus de 1 000 pages, rédigé en anglais, porte le nom d’Official (ISC)2 Guide to the CISSP Exam. Il est disponible dans les librairies techniques. Le CBK évolue presque tous les ans. Il n’est pas traduit en français car la connaissance de l’anglais écrit est considérée comme incontournable dans le domaine de la sécurité informatique. Toutefois les cours
29
CISSP
sont dispensés en français en France par Auditware et CA (Computer Associates) ; l’examen peut également se dérouler en français.
Mise en œuvre La certification CISSP permet d’évaluer les connaissances du candidat, tant sur les activités d’audit de systèmes d’information et d’analyse des risques que sur les aspects techniques de la sécurité des systèmes d’information. Elle s’adresse en particulier aux experts en sécurité et aux responsables de la sécurité des systèmes d’information. Cette certification existe depuis 1995. Son développement s’est accru de façon sensible depuis 2001, en s’étendant dans 104 pays. Le nombre de personnes certifiées est passé de 8 000 à près de 65 000 fin 2008, soit plus de 60 % en 3 ans, dont près de 700 personnes certifiées en France, soit une augmentation de 350 % en 3 ans. En novembre 2005, Microsoft Corp. a annoncé que les certifications (ISC)2 seraient incluses dans le programme de certification de ses ingénieurs. Un autre signe de la notoriété internationale du CISSP est la présence en librairie d’un CISSP for Dummies, version originale de la collection Pour les nuls. En mars 2007, la certification CISSP a été formellement approuvée par le Département de la Défense des États-Unis d’Amérique (US Department of Defense), à la fois dans leurs catégories « Information Assurance Technical (IAT) » et « Information Assurance Management (IAM) », aux niveaux les plus élevés. Pour obtenir la certification, il faut réussir l’examen et justifier d’au moins cinq ans de pratique de la sécurité des systèmes d’information. Il porte sur 250 questions à choix multiple (QCM) et dure 6 heures. Afin de faire évoluer l’examen, les réponses à 25 des questions ne sont pas prises en compte dans la notation, elles servent à tester les évolutions de l’examen. Pour réussir l’examen, il faut obtenir 700 points sur un maximum de 1 000. Pour garder la certification, il faut s’engager à consacrer au moins 120 heures de formation continue (CPE, Continuing Professional Education) sur trois ans pour maintenir sa compétence. Depuis février 2005, l’examen du CISSP peut être passé en langue française, mais nécessite toutefois de bien comprendre les concepts américains. Les questions en anglais restent disponibles lors de l’examen. Auditware et CA sont les deux seuls centres de formation agréés en France par l’(ISC)2 . Les instructeurs sont certifiés CISSP, accrédités par l’(ISC)2 et sont bilingues français et anglais. En juin 2004, le programme CISSP a obtenu l’accréditation ISO 17024.
Retour d’expérience Un responsable de la sécurité des systèmes d’information témoigne : « Je travaille dans la filiale française d’une compagnie américaine, la certification y est fortement recommandée si l’on veut occuper un poste de responsable de la sécurité dans le département informatique. Je ne serais pas surpris que cela devienne bientôt obligatoire. J’avoue n’avoir pas réussi l’examen à la première tentative, mais
30
Chapitre 6. CISSP
la langue constituait un réel obstacle du fait que les questions en français n’étaient pas disponibles à l’époque. Mon management a vraiment insisté pour que je persévère pour réussir cette certification, et j’ai compris que c’était mon intérêt. Cette certification ne prétend pas que ses détenteurs sont de véritables experts très pointus, par contre elle garantit un ensemble de connaissances indispensables pour un généraliste confronté à des problématiques de la sécurité des systèmes d’information. Bien qu’étant responsable de la sécurité dans le département informatique de mon entreprise depuis 1998, la formation nécessaire à la préparation de l’examen m’a permis de compléter mes connaissances. Je suis certifié CISSP depuis 2001. La certification m’a apporté une reconnaissance au sein de ma compagnie. De plus, cela me permet d’avoir un crédit de temps et de budget pour maintenir ma certification, c’est-à-dire l’obtention de 120 heures de CPE tous les trois ans. Assister aux événements qui permettent de maintenir la certification me permet de rencontrer des personnes qui occupent des fonctions analogues dans d’autres entreprises : c’est une opportunité de partages d’expériences ». Un point fort de ce dispositif provient des bonnes pratiques destinées aux professionnels de terrain, couvrant aussi bien les domaines techniques que l’analyse de risques et l’audit des systèmes, dans une optique de gouvernance des systèmes d’information. Pour paraphraser la formule des commissaires aux comptes, la certification CISSP apporte aux tiers (dirigeants, décideurs, organisations institutionnelles, administration) « l’assurance raisonnable » que le titulaire de la certification a fait la preuve de sa compétence dans le domaine. Un autre point fort de cette certification est la fréquence de ses examens. En France, trois sessions se sont tenues au premier semestre 2008, alors qu’il n’y a que deux sessions par an pour l’obtention du CISA (Certified Information System Auditor) ou du CISM (Certified Information Security Manager). En revanche, bien que l’examen puisse se dérouler en français, la principale faiblesse de ce dispositif est la difficulté de compréhension de certains concepts, due à la différence entre les cultures américaine et française.
7 CMMI
Le CMMI (Capability Maturity Model Integration) se décompose en trois recueils de bonnes pratiques pour l’amélioration continue de processus et permet également à une entreprise d’obtenir un diagnostic d’aptitude ou de maturité de ses processus. Il s’agit du CMMI-DEV pour les processus de développement et de maintenance de produits, le CMMI-SVC, pour les processus de service et le CMMI-ACQ pour les processus d’acquisition.
Figure 7.1 — Modèle CMMI
32
Chapitre 7. CMMI
Présentation Le CMMI concerne tous les processus liés aux affaires et aux projets, de l’acquisition au service rendu en passant par le développement et la préparation de la production en série. Toutefois, il ne concerne pas les fonctions administratives non directement liées aux processus opérationnels comme la direction financière. En revanche, le CMMI s’intéresse aux processus de support du management (fournis par la direction des ressources humaines, la direction commerciale, ou encore la direction des systèmes d’information), afin de s’assurer que les processus métiers disposent bien des moyens et ressources nécessaires. Le CMMI s’intéresse à la qualité des processus de management et d’ingénierie d’une entreprise, et donc globalement à sa maturité. Le CMMI a été organisé sous forme de constellations, un ensemble de composants CMMI regroupant un modèle, sa formation et sa méthode d’évaluation. Il existe trois constellations : • la constellation développement (CMMI-DEV, développement de produits
et intégration système) définit un référentiel de bonnes pratiques pour une démarche d’amélioration de gestion et de réalisation des projets et d’ingénierie système ; • la constellation services (CMMI-SVC, services informatiques, infogérance ou tierce maintenance, mais aussi de tous services professionnels, voire personnels, non liés à l’informatique) définit un référentiel de bonnes pratiques compatibles avec ITIL et l’ISO 20000 pour la fourniture d’un service ; • la constellation acquisition (CMMI-ACQ, externalisation, outsourcing, offshore) définit un référentiel de bonnes pratiques de gestion de la relation avec le fournisseur, depuis sa sélection jusqu’au suivi de l’exécution de sa mission en passant par la rédaction des contrats et la mise en place d’indicateurs permettant de détecter les éventuelles dérives. La particularité des constellations est de proposer un noyau commun. Ainsi, 16 domaines de processus sont communs à toutes les constellations. On retrouve ainsi dans le modèle étagé : Pour le niveau 2 Discipliné : • gestion des exigences, • planification de projet, • surveillance et contrôle de projet, • mesure et analyse, • assurance qualité processus et produit, • gestion de configuration.
Pour le niveau 3 Ajusté : • focalisation sur le processus organisationnel, • définition du processus organisationnel,
33
CMMI
• formation organisationnelle, • gestion de projet intégrée, • gestion des risques, • analyse et prise de décision,
Pour le niveau 4 Géré quantitativement : • performance du processus organisationnel, • gestion de projet quantitative.
Pour le niveau 5 En optimisation : • innovation et déploiement organisationnels, • analyse causale et résolution de problèmes.
Le CMMI-DEV a été publié le 25 août 2006. C’est la constellation la plus ancienne, celle sur laquelle il y a le plus de retours d’expérience. Le CMMI-DEV (Capability Maturity Model Integration) apporte une solution complète et intégrée pour les activités de développement et de maintenance appliquées aux produits. Il concerne les pratiques qui couvrent le cycle de vie du produit, de sa conception à sa livraison et à sa maintenance. La création du CMMI-DEV a été coordonnée par le SEI (Software Engineering Institute) de l’université Carnegie Mellon aux États-Unis avec un groupe d’environ 30 industriels et des représentants de clients. Plusieurs modèles préexistants sont à la source de la conception du CMMI-DEV : • en matière de logiciel, le SW-CMM – Capability Maturity Model for Software ; • en matière de système, le SE-CMM – Systems Engineering Capability Model qui a
été produit par un groupement d’industriels sous la référence EIA/IS 731 ; • en matière d’intégration, l’IPD-CMM – Integrated Product Development CMM
qui n’a pas été finalisé, mais dont la version 0.98 est cependant disponible sur le site du SEI ; • en matière d’acquisition, le SA-CMM – Software Acquisition Capability Maturity Model. Ces modèles d’origine ne sont plus aujourd’hui maintenus et sont remplacés par le CMMI-DEV. De plus, la compatibilité avec l’ISO 15504 est assurée par la prise en compte des exigences de cette norme en matière de modèle d’évaluation de processus. Deux représentations sont proposées, figure 7.2, une par niveau de maturité (étagée) et une autre dite continue par profil d’aptitude qui assure la compatibilité avec l’ISO 15504. Le référentiel n’impose aucun indicateur particulier, mais il exige que l’entreprise définisse des indicateurs de management et de performance avec les métriques associées.
34
Chapitre 7. CMMI
Figure 7.2 — Deux représentations du CMMI1
Documentation Tous les documents relatifs à ce dispositif sont rédigés en anglais et accessibles gratuitement sur le site du SEI : • le CMMI for Acquisition (CMMI-ACQ) ; • le CMMI for Acquisition (CMMI-ACQ) Primer qui définit les bases des bonnes • • • •
pratiques d’acquisition ; le CMMI for Development (CMMI-DEV) ; le CMMI for Service (CMMI-SVC) ; l’ARC – Appraisal Requirements for CMMI qui définit les exigences applicables à une méthode d’évaluation ; le SCAMPI – Standard CMMI Appraisal Method for Process Improvement qui décrit la méthode d’évaluation du SEI conforme à l’ARC et donne des indications sur la charge de travail nécessaire pour réaliser les évaluations.
Depuis juin 2008, la version traduction en français du CMMI-DEV v1.2, est disponible (CMMI 1.2 - Guide des bonnes pratiques pour l’amélioration des processus, 2e édition, Pearson Éducation France, ISBN 978-2-7440-7304-5). Il s’agit de la traduction officielle, approuvée par le SEI. Il existe également une traduction du CMMI-DEV en japonais et une en chinois traditionnel. Par ailleurs, des livres en français sont publiés en particulier chez Dunod, dont CMMI 1.2 L’aide-mémoire – Les domaines de processus du CMMI-DEV par Richard Basque publié en octobre 2008.
35
CMMI
La documentation du CMMI est jugée suffisante pour le mettre en œuvre. Néanmoins, une formation permet plus facilement d’en comprendre l’esprit et donc de naviguer dans la documentation très bien faite et complète. La documentation de la méthode d’évaluation (ARC et SCAMPI) est entièrement et gratuitement disponible sur le site du SEI.
Mise en œuvre À mi-2008, des évaluations CMMI en provenance de 63 pays ont été réalisées dont les résultats ont été transmis au SEI1 . L’Asie vient en tête du nombre de résultats transmis au SEI pour enregistrement avec 1593, puis l’Amérique du Nord avec 1187, ensuite l’Europe avec 457, l’Amérique du Sud avec 243, puis l’Afrique avec 42 et enfin l’Océanie avec 31. En France, on compte 125 évaluations se répartissant en 4 de niveau 1, 75 de niveau 2, 38 de niveau 3, 1 de niveau 4 et 2 de niveau 5. L’Inde avec 158 organisations de niveau 5 est suivie par les États-Unis qui en ont 118. À mi-2008, 3 553 évaluations CMMI avaient été réalisées sur une période de 76 mois dans les cinq continents dont 70 % dans des sociétés non américaines. La répartition par niveau de maturité, montre que la majorité des évaluations (V1.2) se situent au niveau 4 (44 %) et 3 (32 %). Les organismes concernés sont en majorité les sociétés commerciales avec 73 % d’évaluations, alors que les sous-traitants des marchés publics américains en réalisent 22 % et les marchés publics américains 5 %. Ce déploiement très rapide du CMMI sur l’ensemble des pays industrialisés est supérieur à celui du CMM. Outre les pays traditionnellement matures, on voit aujourd’hui une véritable explosion de l’utilisation du CMMI en Chine, Inde, Espagne, Argentine, Brésil et Malaisie. En France, le CMMI-DEV est utilisé dans des secteurs d’activités variés tels que l’aérospatial, les télécommunications, les banques, les assurances, les services, l’automobile, mais aussi dans le secteur public (DGI, DGA, MAP...). L’application du référentiel nécessite un accompagnement : formation au dispositif, définition de nouvelles pratiques, accompagnement du changement, suivi de l’avancement, vérification périodique de processus, etc. Ces actions sont le plus souvent coordonnées par une équipe de support interne. La charge de mise en œuvre du CMMI dépend du niveau de maturité de l’entreprise au tout début de sa démarche d’amélioration. Néanmoins, le SEI fournit des statistiques issues de l’ensemble des évaluations qui ont été enregistrées. Ces données facilitent le chiffrage et la planification de la démarche. La durée de la phase de mise en œuvre du CMMI-DEV est en moyenne de 18 à 24 mois pour l’obtention du niveau 2, ainsi que pour le passage du niveau 2 au niveau 3. L’évaluation CMMI est effectuée par des équipes formées à la méthode d’évaluation SCAMPI du SEI, et conduite par un évaluateur en chef (Lead Appraiser) formé et autorisé par le SEI. 1. Source : rapport septembre 2008 www.sei.cmu.edu/appraisal-program/profile/profile.html.
36
Chapitre 7. CMMI
Depuis le 1er janvier 2006, SCAMPI est la seule méthode d’évaluation reconnue par le SEI pour tous ses modèles de maturité. La limite de validité d’un niveau est aujourd’hui de 3 ans, on peut penser qu’à l’avenir il faille un audit de suivi tous les ans (comme dans ISO 9001). Si on publie le résultat d’une évaluation SCAMPI hors de l’entreprise, le Lead Appraiser doit maintenant être externe au périmètre évalué, il n’est plus possible de s’auto évaluer et proclamer les résultats. Le SEI a conclu un accord avec certaines sociétés de service pour accompagner le déploiement du CMMI par la diffusion de formations et la réalisation d’évaluations : ce sont les Partenaires du SEI (SEI Partners). La liste de ces sociétés partenaires figure sur le site du SEI. La mise en œuvre du CMMI est formellement contrôlée par le SEI par l’intermédiaire des Partenaires du SEI et des agréments d’un évaluateur en chef, le Lead Appraiser. L’évaluateur en chef doit être enregistré auprès d’un partenaire du SEI, partenaire qui doit avoir la licence de distribution des produits CMMI. Les évaluateurs en chef doivent également être autorisés par le SEI au terme d’un cursus de formation et d’expérience fixé par le SEI. C’est un agrément difficile à obtenir (une quinzaine de personnes en France sont aujourd’hui référencées en tant que SCAMPI Lead Appraiser), qui coûte environ 80 000 $ et qui peut demander de 2 à 3 ans, délai nécessaire pour suivre les diverses formations, obtenir l’expérience de mise en œuvre requise et faire valider l’agrément lors d’un SCAMPI sous observation du SEI. Tableau 7.1 — Formation des évaluateurs CMMI Pour devenir évaluateur, il faut :
Pour devenir Lead Appraiser, il faut : – pouvoir justifier d’une certaine expérience (en – être formé au CMMI (Introduction to particulier, avoir participé à des SCAMPI en tant que CMMI) ; membre d’équipe) ; – être formé à la méthode d’évaluation – appartenir à une société Partenaires du SEI ou travailler SCAMPI par un Lead Appraiser. pour l’une d’elles ; – être formé au CMMI (formations « Introduction to CMMI » et « Intermediate CMMI ») et à la méthode d’évaluation SCAMPI par le SEI ; – être observé lors de la 1re évaluation ; – être accepté par le SEI, suite à cette observation. Pour être autorisé relativement à une constellation (DEV, ACQ ou SVC), il est de plus requis d’avoir suivi la formation correspondante et d’avoir une expérience significative dans ce domaine
Le programme de formation au CMMI et à son modèle d’évaluation est très précisément décrit sur le site du SEI, il est résumé dans le tableau 7.1. Il n’y a pas de délivrance de certificat par un organisme accrédité. Seules sont reconnues conformes les évaluations conduites par un Lead Appraiser qui fournit un diagnostic indiquant le niveau de maturité atteint. Ensuite, si et seulement si l’entreprise évaluée le demande, ce résultat est publié sur le site du SEI dans la List of Published SCAMPI Appraisal Results. Les résultats ont tous la même valeur qu’ils soient publiés ou non. À partir de la version 1.2, leur validité est limitée à trois ans.
37
CMMI
Retour d’expérience Antoine N ARDÈZE, directeur d’Alcyonix France, instructeur et évaluateur CMMI et CMMI en France depuis plus de 12 ans a répondu à nos questions : ADELI : « Est-ce que le CMMI-DEV remplace d’autres standards ou modèles ? » Antoine N ARDÈZE : « Non. Le CMMI-DEV est devenu le “ modèle de fait ” pour le développement et la maintenance d’un produit ; il s’articule bien, en particulier, avec ITIL, CobiT, ISO 15504, ISO 9001, mais aussi avec les standards comme le “ DO-178 ”. Les entreprises disposent aujourd’hui d’un ensemble de modèles dans lesquels elles peuvent aller puiser les bonnes pratiques qui leur sont utiles. À chacun d’identifier les modèles qui correspondent à ses besoins. Le CMMI-DEV permet en outre d’intégrer ces modèles dans une approche cohérente. Cependant, le CMMI-DEV ne résout pas tous les problèmes. Il n’apporte pas ou peu de réponses relativement à la technologie, au commerce, aux finances, aux ressources humaines... mais il permet d’en intégrer une grande partie dans un processus cohérent. » ADELI : « Quel sera le retour sur investissement ? » Antoine N ARDÈZE : « Si l’investissement est identifiable a priori le bénéfice l’est beaucoup moins, généralement par manque de maturité : avant d’utiliser des mesures, il faut d’abord savoir mesurer (quoi, quand, comment, pourquoi...) ! Cependant, des bénéfices (tangibles ou intangibles) sont observés par les organisations qui ont mis en place une démarche d’amélioration continue et qui l’ont maintenue dans la durée. Quelques publications sur les ROI obtenus sont disponibles (voir en particulier http://www.sei.cmu.edu/publications/documents/06.reports/06tr004.html qui indique un ROI de 4:1). De fait, les utilisateurs du CMMI-DEV obtiennent des retours positifs sur la productivité, les délais, les coûts et les taux de défaut dès que les processus concernés sont relativement stabilisés et matures. ADELI : « Peut-on se passer du CMMI-DEV ? » Antoine N ARDÈZE : « Avez-vous déjà essayé de conduire une voiture sans volant, sans accélérateur et sans frein ? En fait, il n’y a pas d’alternative : la maîtrise de l’amélioration de processus est indispensable car les processus évoluent naturellement et régulièrement ; on ne peut pas imaginer survivre très longtemps si l’on ne se dote pas de moyens pour piloter cette amélioration en l’alignant sur les besoins et objectifs business ». Georgette D UBAIN, responsable du programme d’amélioration CMMI de Thales déclare : « Il est certain que la mise en place d’une démarche CMMI ne peut pas et ne doit pas être engagée à la légère. Elle doit correspondre à une décision managériale du plus haut niveau, avec une forte volonté de la Direction, un pilotage serré des actions et un suivi des résultats, faute de quoi la résistance au changement bloquera l’amélioration escomptée. L’investissement nécessaire dépend très fortement du nombre de personnes concernées par la démarche, du nombre de disciplines couvertes, du nombre de sites géographiques, de l’hétérogénéité des affaires et des pratiques, et surtout de la maturité initiale. Cet investissement sera très rapidement compensé par une meilleure maîtrise des processus entraînant un gain de productivité.
38
Chapitre 7. CMMI
Les bénéfices attendus sont principalement la maîtrise et la réduction des coûts et des délais, l’amélioration de la productivité, la maîtrise de la qualité, la maîtrise des grands programmes, mais également l’affichage d’un niveau de maturité vis-à-vis des tiers (clients, actionnaires), offrant un meilleur positionnement par rapport à la concurrence. Le CMMI a été jugé pertinent pour conduire la démarche d’amélioration dans toutes les unités du groupe Thales ». Sophie R OBERT, directrice des études de BNP Paribas Personal Finance, société du groupe BNP Paribas, déclare : « BNP Paribas Personal Finance a choisi de s’appuyer sur le CMMI-DEV dès 1998 (CMM à l’époque) pour maintenir un processus qualité fort, initié dès le début des années 1990 lors de la refonte totale du système d’information Immobilier. Parallèlement, dès 2001, ITIL a été retenu pour optimiser les processus de production informatique. Nos objectifs étaient avant tout Business (qualité, délais, coûts, réactivité). La mise en œuvre s’est traduite par la consolidation de nos acquis, renforcée d’actions d’améliorations opportunistes et concourantes à la mise en place d’un processus logiciel fort. Il est important d’être vigilant sur le fait que le modèle CMMI-DEV n’est pas à appliquer “ à la lettre ” mais “ dans l’esprit ”. Le projet d’amélioration continue est conduit par environ deux équivalents temps pleins, qui s’appuient sur les retours d’expérience (internes ou externes), les mesures et les suggestions des opérationnels pour proposer des adaptations des processus et des organisations, qui sont décidées par l’équipe dirigeante. Nous avons retenu un rythme d’évaluation officielle tous les 36 mois, qui correspond à la fois à notre volonté de continuité et à la nécessité de fédérer l’organisation autour de l’amélioration continue. Couplés à une focalisation sur l’Architecture du SI, à une organisation optimisée et bien sûr aux hommes qui les conduisent, nos processus logiciels ont permis d’améliorer significativement notre efficacité opérationnelle, puisque nous mesurons en 2008 une efficacité 2 à 3 fois plus grande qu’en 2003 selon les secteurs. L’impact de la mise en œuvre de CMMI-DEV a été excellent, dans le sens où il s’est révélé comme un véritable guide, pour l’atteinte de meilleurs résultats et la reconnaissance d’un niveau de professionnalisme incontesté ». D’une manière générale, les bénéfices attendus de la mise en œuvre du CMMI concernent l’amélioration de la maturité des pratiques sur les affaires et les projets, une atteinte plus sûre des objectifs stratégiques et une meilleure maîtrise des coûts et délais. La grande force de ce dispositif est la présentation de concepts multidisciplinaires dépassant le domaine étroit du développement de logiciel et applicable dans des contextes non informatiques. Un dispositif cohérent est maintenant utilisable. La terminologie est donc unique pour tous les domaines, ce qui permet de réduire les coûts de formation et d’évaluation.
CMMI
39
Ce dispositif a été développé par des industriels pour des industriels, il est donc adapté à leurs besoins. Ce développement s’est fait en prenant en compte les dix années d’expérience du SW-CMM (software CMM) : en particulier, il est plus facilement applicable aux petites et moyennes entreprises que le SW-CMM. La compatibilité du CMMI avec la norme ISO 15504 fournit une passerelle à ceux qui veulent utiliser ces deux modèles. Une contrainte freine la réalisation d’une évaluation officielle : l’obligation de transmettre le résultat de l’évaluation au SEI en intégrant la présentation finale, avec les paramètres de l’évaluation, les constats synthétisés des forces et faiblesses par processus et la cotation. Ce frein relève du souci de confidentialité des entreprises françaises qui ne souhaitent pas forcément donner, à un organisme américain, une grande visibilité sur leurs forces et faiblesses. Il faut également noter que le vocabulaire doit être adapté au contexte et à la culture de chaque entreprise.
8 CobiT
Le référentiel CobiT sert de cadre pour la certification d’une personne physique en matière d’audit, de sécurité ou de gouvernance des systèmes d’information.
Figure 8.1 — Dispositif CobiT
Présentation Comprendre et gérer les opportunités et les risques liés aux systèmes d’information, tel est l’objectif de la gouvernance des technologies de l’information. Elle conditionne au plus haut niveau l’efficacité de la gouvernance de l’entreprise.
42
Chapitre 8. CobiT
L’ISACA (Information Systems Audit and Control Association) a développé le CobiT (Objectifs de contrôle pour l’information et les technologies associées) à partir de 1994, en tant que modèle de référence pour l’audit des systèmes d’information. L’ISACA, association internationale d’auditeurs représentée en France depuis 1982 par l’Association française de l’audit et du conseil informatiques (AFAI), a été créée en 1967. Elle compte aujourd’hui plus de 85 000 membres individuels répartis dans plus de 160 pays qui occupent des postes liés au traitement de l’information, tels que directeurs des systèmes d’information, auditeurs internes et externes, consultants, formateurs ou encore professionnels de la sécurité. Au début des années 2000, l’ISACA a pris en compte la préoccupation de la Corporate governance portée par le COSO (Committee of Sponsoring Organizations of the Treadway Commission). Le COSO a pour but d’améliorer la qualité des informations financières fournies par les entreprises du secteur privé à travers l’éthique, le contrôle interne et la gouvernance d’entreprise. Cette orientation stratégique s’est traduite en 1998 par la création de l’ITGI (Information Technology Governance Institute), qui a pour vocation la conduite de projets de recherche dans le domaine de la gouvernance des systèmes d’information. Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts mondiaux. Elles sont très orientées vers le contrôle, au sens maîtrise pour la réalisation des objectifs, et moins vers l’exécution. Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer le bon fonctionnement des systèmes. CobiT est en permanence tenu à jour et harmonisé avec d’autres cadres de référence faisant autorité. CobiT répond à plusieurs préoccupations complémentaires concernant les systèmes d’information : • offrir un référentiel unique au contrôle interne, aux auditeurs internes ainsi qu’à
l’inspection en relation avec la DSI et les tiers externes ; • offrir un cadre d’investigation pour les auditeurs externes, les actionnaires, les commissaires aux comptes ; • couvrir la préoccupation de la gouvernance des systèmes d’information et du management des risques ; • intégrer les référentiels de la DSI (ISO 27001, CMMI, ITIL) dans un souci de gouvernance des systèmes d’information. CobiT aide les dirigeants à évaluer les risques et à contrôler les investissements dans un environnement informatique souvent imprévisible. Il permet ainsi de vérifier que la gouvernance des systèmes d’information est cohérente avec celle de l’entreprise : on parle alors d’alignement stratégique. Il fournit aux directions opérationnelles, utilisatrices de l’informatique, des garanties sur la sécurité et les contrôles des services informatiques internes ou sous-traités. Les auditeurs peuvent l’utiliser pour justifier leur opinion et conseiller les dirigeants sur les contrôles internes à mettre en œuvre.
43
CobiT
Enfin, auditeurs et informaticiens peuvent utiliser CobiT pour évaluer le niveau de gouvernance des systèmes d’information de l’entreprise. CobiT repose sur une approche processus assez fine qui subdivise le système d’information en 34 processus répartis en quatre domaines fonctionnels : • planification et organisation ; • acquisition et mise en place ; • distribution et support ; • surveillance et évaluation.
La quatrième édition de CobiT est venue remplacer en 2005 la troisième édition qui datait de 2000. Elle a été traduite en français en 2006 par l’AFAI. Les principales évolutions de la version 4 sont : • une volonté de mettre au premier plan la gouvernance des systèmes d’informa-
tion devant l’orientation traditionnellement tournée vers l’audit ; • une démarche résolument orientée vers l’action, plus que vers le contrôle ; • une volonté de rapprochement des autres référentiels complémentaires que sont CMMI, ITIL et ISO 27001 en matière de système d’information et du référentiel COSO en matière de gouvernance d’entreprise. Cette version 4 comprend six fascicules : • Synthèse ; • Cadre de référence (les 34 processus) ; • Noyau, lui-même décomposé en deux sous-parties :
– les objectifs de contrôle (associés aux 34 processus, ils sont passés de 318 dans la V3 à 220 dans la V4, les objectifs génériques ayant été remontés dans le cadre de référence), – le Guide de management, • Annexes ; • Guide de mise en œuvre de la gouvernance des TI qui reprend les outils de mise
en œuvre de la V3 ; • Guide d’audit des Systèmes d’information.
Le Guide de Management de CobiT V4 propose : • une description de chacun des 34 processus, précisant les entrées/sorties et les
liens avec les autres processus ; • une matrice de responsabilité détaillée pour les activités de chacun des proces-
sus ; • des objectifs et des métriques revus dans une perspective orientée métier
comprenant des indicateurs de management pour vérifier que les objectifs sont atteints, ainsi que des indicateurs de performance pour s’assurer que la qualité des dispositifs en place y contribuent ;
44
Chapitre 8. CobiT
• un dispositif d’évaluation des processus par rapport aux pratiques clés de gestion ; • un modèle de maturité de chaque processus permettant d’en apprécier le niveau
sur une échelle de 0 (inexistant) à 5 (optimisé), sur la base de six critères de maturité : – – – – – –
conscience et communication, règles, standards et procédures, outils et automatisation, compétences et expertises, responsabilité et charge, fixation et mesure des objectifs.
Indicateurs et métriques sont au cœur de CobiT. Ils ont été revus dans la V4, pour être plus orientés métiers et de faire mieux apparaître la relation entre les objectifs d’un processus et les résultats obtenus. L’utilisation d’indicateurs identiques par des sociétés différentes utilisant CobiT devrait permettre à chacun de se situer dans l’échelle des bonnes pratiques. Le modèle de maturité fournit de plus une mesure synthétique, mais pas forcément comparable à celle d’autres entreprises si elle est réalisée sous forme d’auto-évaluation. Enfin, dans le même ordre d’idée, la structuration des processus et l’affinement des indicateurs devrait conduire à des comparaisons interentreprises plus systématiques.
De nouvelles extensions à CobiT : Val IT, Risk-IT Publié en 2006, Val IT vient compléter CobiT en traitant de la création de valeur pour l’entreprise via les investissements technologiques, fournissant ainsi un cadre de référence plus complet de la gouvernance des systèmes d’information. Le référentiel Val IT porte sur la gestion des investissements, des portefeuilles de programmes et de projets, ainsi que sur la gouvernance de la valeur. En effet, les projets de transformation de l’entreprise et de ses processus comportent de plus en plus souvent une composante informatique significative. Les directions générales exigent de plus en plus de transparence sur les apports des projets et souhaitent pouvoir étayer leurs décisions et arbitrer ou réviser les choix effectués. Dès lors que les demandes existent, en matière de projets, il convient de se poser quelques bonnes questions : • les investissements informatiques consentis sont-ils réellement générateurs de
valeur pour l’entreprise ; • et ce, à un coût acceptable ; • et à un niveau de risque maîtrisé ?
La réponse à ces questions est dans la mise en œuvre de processus et de bonnes pratiques qui vont les épauler. Val IT comprend trois parties : • un cadre de référence pour obtenir une réelle valeur des investissements
informatiques ;
45
CobiT
• la description du rôle clé du « business case » ; • un retour d’expérience réel.
Val IT distingue trois axes de gouvernance des projets systèmes d’information : • la gouvernance de la valeur (GV) : ou comment s’organiser pour piloter,
maîtriser les projets, décider de leur poursuite et savoir, en toute connaissance de cause d’où vient la valeur pour l’entreprise et comment la valoriser ; • la gestion de portefeuille (GP), ou comment organiser les projets élémentaires pour obtenir une vision exploitable des projets lancés ou en cours, et se donner les moyens de piloter le portefeuille de projets ; • la gestion des investissements (GI), qui relève d’une analyse des projets élémentaires et de construction de programmes qui les englobent, et s’appuie sur une logique de démonstration de la valeur créée, au travers de l’outil fondamental qu’est le « business case ». Risk IT, le volet maîtrise des risques du dispositif CobiT, est en cours de mise au point et devrait paraître fin 2009 dans sa version définitive. Il apportera une vision étendue du risque informatique, dépassant celle du risque sécurité, abordé par d’autres référentiels.
Documentation L’AFAI a traduit et publié CobiT V4 en français en 2006, ainsi que Val IT en 2007. La première version en ligne de CobiT a été développée en 2003 pour la version V3. Personnalisable par l’utilisateur, elle permet des comparaisons internes ou avec d’autres entreprises. Son utilisation repose sur un principe de licence annuelle. CobiT Quickstart, version allégée de CobiT destinée aux petites et moyennes entreprises ou aux entreprises pour lesquelles l’informatique est moins stratégique a été mise à jour à la fin de l’année 2005. Elle répond aux critiques de lourdeur qui ont pu être adressées à CobiT V3 dans sa version complète. Il s’agit d’un sous-ensemble de CobiT qui n’inclut que les objectifs les plus critiques. Dans son livre blanc IT Control Objectives for Sarbanes-Oxley, l’ITGI a décliné les exigences sur le système d’information de la loi Sarbanes-Oxley. On y rappelle en introduction que, depuis 2003 pour se conformer à COSO, les entreprises doivent adopter un référentiel de contrôle qui s’étend aux systèmes d’information. Dans cette publication, on trouve une grille de correspondance entre CobiT et les cinq axes de contrôle de COSO, ainsi qu’une grille détaillée des objectifs de contrôle de CobiT applicables à Sarbanes-Oxley. Enfin, l’ISACA et l’ITGI mettent à jour en permanence une documentation très riche autour de CobiT qui reflète le succès de ce référentiel et le souci d’en faire une sorte d’intégrateur de la gouvernance des systèmes d’information. Citons en particulier les grilles de correspondance (mapping) entre CobiT et les autres référentiels (CMMI, ISO 27001, ITIL, PMBOK, Prince2), l’utilisation de CobiT dans le contexte de la loi Sarbanes-Oxley ou des audits de progiciels de gestion intégré.
46
Chapitre 8. CobiT
Une grande partie de ces documentations est consultable en ligne sur le site de l’ISACA ou disponible auprès de l’AFAI.
Mise en œuvre La notoriété de CobiT et celle de Val IT sont en croissance constante auprès du secteur public, des entreprises financières, industrielles ou de services. En France, les formations et les ventes d’ouvrages sur CobiT ont sérieusement progressé ces dernières années. La croissance lente qui prévalait avant 2004 était essentiellement le fait des auditeurs. Depuis lors, deux phénomènes peuvent expliquer le succès de CobiT : la déclinaison locale de loi Sarbanes-Oxley avec les nouvelles normes comptables internationales IFRS (International Financial Reporting Standards) et la Loi de sécurité financière (LSF) d’une part et d’autre part l’émergence du concept de gouvernance des systèmes d’information. La généralisation de CobiT comme référentiel pour l’application de la loi SarbanesOxley est en partie source de sa notoriété grandissante. Les grands cabinets d’audit internationaux l’ont systématiquement adopté ainsi que les services d’audit et de contrôle interne. Ramener CobiT à une dimension de contrôle serait toutefois ignorer le chemin parcouru entre le point de départ (l’audit) et la couverture actuelle qui inclut la gouvernance des systèmes d’information. Ainsi, l’AFAI a suivi l’exemple de l’ISACA en créant en 2004 l’Institut de la gouvernance des systèmes d’information (IGSI), association à parité avec le Club informatique des grandes entreprises françaises (CIGREF). Cette association organise un symposium annuel au mois de mai sur la gouvernance des systèmes d’information. Il n’existe pas de dispositif de reconnaissance officiel lié à la mise en œuvre de CobiT. Dans la mesure où ce référentiel sert de guide à l’évaluation de la conformité à des lois comme Sarbanes-Oxley, IFRS ou LSF, voire à des principes de gouvernance comme COSO, la question de la conformité à CobiT ne se pose pas en tant que telle. L’ISACA a institué une évaluation des personnes par rapport à une base de connaissance dont le cœur est constitué de CobiT et de Val IT. Les certifications internationales CISA (Certified Information System Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise Information Technology) sont délivrées par l’ISACA. Ces certifications individuelles, attachées à la personne physique qui les obtient, sont en cohérence à la fois avec les principes de l’audit ou de la gouvernance et en phase avec CobiT. Il ne s’agit pas pour autant de certifications CobiT stricto sensu, contrairement à ce qui existe pour le CMMI ou pour ITIL par exemple. L’adhésion au code d’éthique de l’ISACA et à sa politique de formation continue est un pré requis à l’obtention des certificats.
47
CobiT
La certification CISA La certification CISA sanctionne la réussite à un examen organisé par l’ISACA et la validation de cinq années d’expérience dans le domaine de compétences de l’audit informatique. L’examen couvre tous les domaines de l’audit des systèmes d’information, des aspects techniques aux aspects organisationnels : • le processus d’audit des systèmes d’information ; • la planification, l’organisation et la gestion des systèmes d’information ; • l’infrastructure technique et la gestion opérationnelle ; • la protection des actifs informatiques ; • les plans de secours et de continuité d’activité ; • la gestion des risques ; • la gestion des incidents.
L’examen est organisé tous les ans en juin et en décembre, sous forme d’un QCM de 200 questions à traiter en 4 heures, disponible en 11 langues dont le français. Le candidat doit s’engager à respecter les standards d’audit de systèmes d’information de l’ISACA. La réussite à l’examen est conditionnée par un taux minimum de 75 % de bonnes réponses. Il existe 160 centres de test dans le monde dont plusieurs en Europe : Paris, Bruxelles, Anvers, Luxembourg et Zurich. L’AFAI propose en France des formations préparatoires à cet examen. Une fois obtenu, le certificat doit être confirmé tous les ans en justifiant de 20 heures de formation continue et de 120 heures tous les trois ans. La certification CISA est devenue un préalable pour le recrutement, voire la promotion, d’auditeurs informatiques dans certaines grandes entreprises et cabinets d’audit internationaux. En 2007, on comptait plus de 55 000 professionnels titulaires du CISA dans le monde depuis sa création en 1978. Environ 150 candidats par an en France se présentent à l’examen avec un taux de réussite de 50 %.
La certification CISM La certification CISM, lancée en 2003, s’adresse principalement aux responsables de la sécurité des systèmes d’information et aux consultants en sécurité, mais aussi aux gestionnaires de risques et directeurs informatiques, désireux de démontrer leurs expériences et compétences en la matière. L’examen couvre les thèmes : • de la gouvernance de la sécurité ; • de la gestion des risques ; • des schémas directeurs de la sécurité de l’information ; • de la gestion de la sécurité ; • de la gestion des incidents.
48
Chapitre 8. CobiT
L’examen est organisé tous les ans en juin et en décembre, suivant des principes identiques à celui du CISA, et peut être passé en anglais, japonais, coréen ou espagnol. En 2007, on comptait plus de 7 000 professionnels certifiés dans plus de 80 pays. Une fois obtenu, le certificat doit être confirmé tous les ans en justifiant de 20 heures de formation continue et de 120 heures tous les trois ans. L’AFAI propose également pour préparer la certification CISM une formation sur la sécurité en général et la sécurité des réseaux dont Internet.
La certification CGEIT La certification CGEIT, dont le premier examen s’est déroulé en décembre 2008, permet désormais de reconnaître les connaissances en matière de principes de gouvernance du système d’information et la capacité des professionnels à appliquer les bonnes pratiques correspondantes. Ces principes de gouvernance sont principalement fondés sur les travaux de l’ITGI et comprennent les six domaines suivants : • le cadre de référence de la gouvernance du système d’information ; • l’alignement stratégique ; • la fourniture de valeur ; • la gestion des risques ; • la gestion des ressources ; • la mesure de la performance du système d’information.
Retour d’expérience Dominique M OISAND, président-directeur général de la société ASK Conseil et vice-président de l’AFAI apporte son témoignage : « Quel est le rôle d’un référentiel ? Garantir la mise en œuvre de bonnes pratiques validées sur une base significative est sans doute la réponse la plus courante : la certification va dans ce sens. Avec CobiT, ce qui est au premier plan, c’est la communication entre des acteurs très hétérogènes : actionnaires, commissaires aux comptes, auditeurs, opérationnels métiers, directeurs, contrôleurs de gestion et informaticiens. Chacun d’eux va se retrouver autour de quelques processus parmi les 34 décrits dans CobiT. Certains trouveront cette maille descriptive trop large et auront besoin de l’affiner en entrant dans des référentiels complémentaires spécialisés (CMMI, ISO 27001, ITIL, etc.) ou dans un niveau de détail plus poussé (conformité avec la loi Sarbanes-Oxley ou IFRS). Avec la représentation des tableaux de bord équilibrés (BSC, Balanced ScoreCards), CobiT offre une vision commune de la gouvernance des systèmes d’information qui dépasse le strict aspect financier pour devenir un outil de pilotage stratégique. En résumé, CobiT est un référentiel fédérateur parce qu’il se situe à un bon niveau de maille pour être suffisamment pertinent pour tous, tout en intégrant les principes fondateurs de l’ISO 9000 (vision par processus, amélioration continue), du benchmarking ou des référentiels techniques (modèles de maturité). Il peut servir de
CobiT
49
base à la mise sur pied d’un pilotage unique et à la création d’un vocabulaire commun à tous, pour la gouvernance des systèmes d’information ». Hendrik C EULEMANS, dirigeant de la société InfoGovernance, consultant et formateur dans plus de trente pays sur quatre continents, affirme sa confiance dans CobiT : « La progression de l’adaptation dans le monde de CobiT et de Val IT pour améliorer la gouvernance des SI, sera d’avantage stimulée par la crise économique que nous connaissons actuellement. Dans ce nouveau monde futur, les responsables d’organisations devront d’avantage pouvoir donner l’assurance raisonnable qu’ils connaissent leurs risques et les maîtrisent suffisamment. Pour ce faire, ils auront davantage besoins de professionnels confirmés pour les aider à développer et tester un cadre de contrôle, adapté aux nouvelles exigences et fondé sur les bonnes pratiques crédibles à l’international. Ces certifications crédibilisent et motivent les professionnels. Aujourd’hui, ces certifications sont un critère de recrutement et de promotion dans le monde entier. De plus, les certifiés adhèrent à une communauté d’intérêt mutuel, véritable lieu d’échanges et de dialogues. L’obtention des certificats apporte une preuve tangible d’une véritable progression de carrière : en effet, la réussite à l’examen, fondée sur l’expérience du terrain, indique une expérience solide couplée à une véritable expertise en management, ou en audit, de la maîtrise de l’information et des systèmes d’information ». Avantage ou inconvénient ? Le caractère polyvalent de CobiT est indéniable, à la fois utilisable pour l’évaluation des risques, classé dans les référentiels de sécurité, d’audit et dans les outils dédiés à la mise en œuvre de la loi Sarbanes-Oxley. En contrepartie de cette polyvalence, CobiT a la réputation d’une certaine lourdeur, ce qui a justifié le lancement d’une version allégée CobiT Quickstart pour les petites et moyennes entreprises. En matière d’audit, la reproductibilité des rapports est le premier avantage de CobiT. En utilisant CobiT, deux auditeurs certifiés CISA devraient produire des rapports semblables. La diffusion internationale du référentiel est appréciée par les groupes multinationaux. L’ISACA fait l’objet depuis septembre 2005 d’une accréditation conforme à la norme ISO 17024 pour les certifications de personnes CISA et CISM. La certification CGEIT devra probablement se conformer à cette norme. Un point fort de CobiT, dans sa version V4, est la volonté de compatibilité avec d’autres référentiels incontournables, tels qu’ITIL, CMMI ou encore les normes ISO 27001 et ISO 27002, qui s’appuient tous sur une approche processus.
9 EFQM
Le dispositif EFQM permet à une entreprise de faire reconnaître l’excellence de son système de management.
Figure 9.1 — Dispositif EFQM
Présentation L’EFQM (European Foundation for Quality Management) a été créée en 1988 par les présidents de 14 entreprises européennes (Bosch, BT, Bull, Ciba-Geigy, Dassault, Electrolux, Fiat, KLM, Nestlé, Olivetti, Philips, Renault, Sulzer, Volkswagen) avec
52
Chapitre 9. EFQM
le soutien de la Commission européenne. Basée à Bruxelles, cette fondation s’est fixé la mission de promouvoir en Europe un système de management fondé sur les concepts de la qualité totale. Cette fondation compte aujourd’hui plus de 700 membres répartis dans l’ensemble des pays européens. Depuis janvier 2004, AFAQ-Afnor est l’organisme représentatif français de l’EFQM. Les premiers prix ont été attribués en 1992, sur la base du modèle EFQM version 1991. La version la plus récente date de 2003. Elle est traduite en français. Il existe d’autres dispositifs de prix qualité : • le Prix Deming, géré par le W. Edwards Deming Institute, créé en 1951 au Japon ; • le Malcolm Baldrige National Quality Award, géré par le National Institute for
Sciences and Technology (NIST), créé en 1987 aux États-Unis ; • le Prix français de la qualité, lancé en 1992 par le Ministère de l’industrie et géré à l’origine par le Mouvement français pour la qualité (MFQ) et aujourd’hui par la Fédération des associations régionales du MFQ (FAR-MFQ). Le dispositif EFQM a pour objectif l’amélioration continue de l’entreprise vers l’excellence et sa reconnaissance au travers de plusieurs dispositifs : prix européen de la qualité, reconnaissance européenne de la maîtrise de l’excellence, reconnaissance européenne de l’engagement vers l’excellence. Le modèle EFQM se compose de neuf critères, les cinq premiers sont des facteurs d’excellence et les quatre suivants des mesures de performance. Ils sont ensuite découpés en sous-critères : • le leadership : comment, par leur exemplarité, le comportement et les actions
• • • •
• • •
•
des instances dirigeantes visent à promouvoir une culture d’excellence dans l’entreprise (cinq sous-critères) ; la politique et la stratégie : comment l’entreprise les définit, les met en œuvre et les revoit (quatre sous-critères) ; la gestion du personnel : comment l’entreprise motive, gère les compétences et l’écoute de ses collaborateurs (cinq sous-critères) ; les ressources : comment l’entreprise gère ses ressources et ses partenariats (cinq sous-critères) ; les processus : comment l’entreprise s’assure que ses processus servent bien sa politique et sa stratégie et qu’ils sont bien définis en tenant compte des retours de ses clients (cinq sous-critères) ; la satisfaction des clients : comment l’entreprise y contribue et la mesure (deux sous-critères) ; la satisfaction du personnel : comment l’entreprise y contribue et la mesure (deux sous-critères) ; l’intégration à la vie de la collectivité, quelquefois dénommée responsabilité sociale : comment l’entreprise y contribue et mesure la satisfaction de la collectivité (deux sous-critères) ; les résultats opérationnels : comment l’entreprise contribue à l’atteinte de ses objectifs commerciaux et mesure ses performances (deux sous-critères).
53
EFQM
Documentation Un ensemble d’ouvrages existe et est disponible à la librairie EFQM d’AFAQ Afnor. La documentation est disponible auprès de l’EFQM en différentes langues. Un EFQM Starter Kit est vendu par l’EFQM pour faciliter le démarrage de la démarche.
Mise en œuvre Mettre en œuvre l’EFQM est une démarche managériale d’amélioration permanente qui est de plus en plus utilisée pour réaliser les auto-évaluations de système de management afin d’en identifier les points forts et de dégager des axes d’amélioration. Ce dispositif est multisectoriel et s’applique à la totalité de l’entreprise, à tous ses processus, tous ses acteurs et toutes ses interfaces tant internes qu’externes. Il s’applique à l’évaluation du niveau d’excellence d’une entreprise. Le modèle EFQM est utilisé par plus de 30 000 entreprises en Europe en tant qu’outil d’auto-évaluation. En dehors des adhérents EFQM, il est cependant difficile de savoir qui pratique l’auto-évaluation et donc de connaître la diffusion effective de ce dispositif en Europe. L’Union européenne a choisi le modèle EFQM d’excellence comme la référence pour le secteur public. En mai 2000, elle a adopté un outil dérivé du modèle EFQM d’excellence qui sert à améliorer le fonctionnement des administrations. Cet outil existe en 16 langues. En France, il se nomme Cadre d’auto-évaluation des fonctions publiques. Il s’agit d’un outil d’auto-évaluation qui a deux vocations : • être un outil pédagogique propre à promouvoir la culture du management de la
qualité ; • être une référence d’évaluation commune pour pouvoir faire des comparaisons entre les administrations des pays européens. En 2004, un prix européen EFQM – Collectivités locales et territoriales a été mis en place, avec le support de Cisco Systems, HP et CGE & Y. Ce dispositif est destiné à récompenser les villes, communautés urbaines, communautés d’agglomérations, structures départementales et régionales (Conseils généraux et régionaux) pour la mise en place d’une organisation performante et la maîtrise des nouvelles technologies de l’information. Le dispositif repose sur l’évaluation d’indicateurs correspondant aux neuf critères du modèle EFQM et à 32 sous-critères permettant de calculer une note globale. Des formations sont recommandées. Deux types de formation existent : formation à l’évaluation et formation à l’auto-évaluation. Il existe des formations délivrant un certificat de connaissance du référentiel et de capacité à la réalisation d’évaluations. L’EFQM fournit un registre de consultants et fournisseurs de formation et délivre des licences permettant de donner des formations qualifiantes à l’évaluation EFQM.
54
Chapitre 9. EFQM
Auto-évaluation Dans le cadre d’une auto-évaluation, la mise en œuvre du modèle EFQM peut rester strictement interne à l’entreprise. Elle est alors réalisée à partir des critères et souscritères définis dans le modèle d’évaluation auxquels des points sont attribués.
Reconnaissances de l’excellence Le prix européen de la qualité Le prix européen de la qualité implique la présentation à une échéance donnée d’un dossier de 75 pages maximum qui sera noté en fonction de quatre axes : • résultats ; • approche ; • déploiement ; • évaluation et revue.
Si la note est supérieure à une valeur définie par le jury (plus de 500 points sur 1 000), des visites de sites par des évaluateurs sont alors organisées pour vérifier de manière indépendante le contenu du rapport et évaluer la mise en œuvre. Les évaluateurs rédigent un rapport soumis au jury qui effectue le choix final. Le dossier peut être présenté dans l’une des cinq catégories suivantes : • Grandes entreprises ou entités indépendantes (business units), constituant à elles
•
• •
•
seules un centre de profit, ayant un niveau d’activité suffisamment important (plus de 250 employés et plus de 50 % du chiffre d’affaires hors du groupe) ; Entités opérationnelles, constituant un centre de coût, avec un niveau d’activité important (plus de 250 employés, mais moins de 50 % du chiffre d’affaires hors du groupe) ; Secteur public ; Petites et moyennes entreprises, filiales d’une grande entreprise, fonctionnant comme un centre de profit indépendant (plus de 50 % du chiffre d’affaires réalisé en dehors du groupe, moins de 250 employés) ; Les petites et moyennes entreprises indépendantes (chiffre d’affaires de moins de 40 millions d’euros et résultat de moins de 27 millions d’euros).
Dans chacune des cinq catégories précédentes, le prix annuel est décerné par le jury selon trois niveaux de classement : • Award Winners, avec un gagnant par catégorie ; • Special Price Winners, décerné pour une orientation particulière de l’entreprise,
par exemple pour la gestion du personnel ou l’orientation résultats opérationnels ; • Finalistes, pour les entreprises qui prouvent un degré suffisamment élevé d’excellence dans le management de leur qualité et la mise en œuvre d’un processus d’amélioration continue.
55
EFQM
Depuis sa création en 1992, 23 pays sont au moins classés parmi les finalistes. C’est le Royaume uni qui rafle le plus de Awards (16), la Turquie vient ensuite avec 7, puis l’Allemagne avec 3 et la France avec 2 en 1995 et 1999 ; en ce qui concerne les Special Price Winners, la France vient après le Royaume Uni (25), la Turquie et l’Espagne (15), l’Allemagne (14), la Grèce (6), l’Italie et le Danemark (5) puis la France, la Hongrie et la Suisse (3). La France a fait partie dix fois des finalistes.
Certificat de reconnaissance pour l’excellence Ce certificat s’adresse aux entreprises pratiquant l’auto-évaluation à l’aide du modèle complet de l’EFQM. La soumission peut se dérouler de différentes façons : ce peut être un dossier de 51 pages maximum, suivi d’une visite de sites ou une évaluation complète sur site par une équipe d’évaluateurs. Cela permet d’identifier de manière indépendante les forces et axes d’amélioration de l’entreprise et de fournir une notation de chaque sous-critère. Cette reconnaissance est attribuée à partir de l’obtention d’un total de 400 points sur 1 000.
Certificat d’engagement pour l’excellence Il s’adresse aux entreprises qui commencent à s’engager sur la route de l’excellence. L’obtention de ce certificat se fait en deux étapes : • effectuer une auto-évaluation et en déduire une liste d’axes d’amélioration ; • fournir à un validateur la preuve que les actions ciblant les axes d’amélioration
ont été déployées. Pour cela des documents sont produits, des entretiens sont tenus et une visite sur site de deux jours a lieu.
Retour d’expérience Un communiqué de presse d’AFAQ de janvier 2006 indique : « L’EFQM et une équipe internationale d’universitaires de Leicester (GrandeBretagne) viennent de publier une étude sur la performance financière des sociétés européennes répondant aux principes fondamentaux du modèle d’excellence EFQM. Cette analyse de la performance financière de 220 sociétés sur une période de 11 années met en évidence la valeur économique des démarches d’excellence EFQM. L’étude se base sur la comparaison de 120 sociétés lauréates d’un prix Qualité et Excellence EFQM par rapport à un panel de 100 entreprises semblables par leurs tailles et secteurs d’activités, sur des critères spécifiques de performance financière. Les résultats montrent que les entreprises ayant obtenu une reconnaissance EFQM affichent une croissance plus importante que celles du panel test. En effet, ce type de démarche de recherche de l’Excellence a des impacts très positifs sur la valeur de leurs actions, leurs ventes, leurs indicateurs “ investissements/actifs ” et “ investissements/ventes ”, leurs actifs et la réduction de leurs dépenses. Notamment, les résultats de cette étude illustrent que la mise en place des huit principes fondamentaux du modèle EFQM génère une augmentation des ventes de 77 % en moyenne et une valeur de l’action en hausse de 36 % par rapport aux autres entreprises.
56
Chapitre 9. EFQM
Les résultats de cette étude apportent la preuve aux entreprises qui envisagent de mettre en place une démarche EFQM, que les bénéfices structurels et économiques attendus sont réels avec un niveau tel qu’ils leur permettront de se distinguer sur leur marché face à la concurrence et vis-à-vis de leurs partenaires »1 . Parmi les bénéfices attendus de l’application du modèle EFQM, on peut citer la connaissance des processus de l’entreprise, l’amélioration de la performance des activités, la comparaison aux bonnes pratiques des entreprises et la reconnaissance du niveau atteint en interne ou en externe. L’adhésion à l’EFQM permet à l’entreprise de partager avec d’autres entreprises des retours d’expérience. Les bonnes pratiques des gagnants du prix européen de la qualité sont diffusées à l’ensemble des entreprises membres de l’EFQM via une base de données. L’entreprise membre d’EFQM a le sentiment d’appartenir à un groupe élitiste d’entreprises engagées dans l’excellence. La mise en œuvre du modèle EFQM permet de constituer un véritable outil managérial. Il englobe et dépasse les exigences de la norme ISO 9001 pour laquelle il fournit des voies d’amélioration pour les prochaines révisions. Il prend en compte non seulement le client, mais aussi les différentes parties prenantes (actionnaires, personnel, environnement) ; il fait progresser l’entreprise vers l’excellence dans le cadre d’une démarche d’auto-évaluation qui identifie clairement les points forts et les axes d’amélioration potentiels. En revanche, même si le référentiel a été traduit en français : la langue de base reste l’anglais au sein de l’EFQM, en particulier le rapport de soumission doit être rédigé en anglais. Certains concepts, par exemple le leadership, fort élégamment traduit au Journal Officiel par conductorat, peuvent parfois poser un problème de compréhension dans les entreprises de culture française. Le système de pondération des neuf critères du modèle, excluant toute personnalisation, peut être parfois considéré comme une faiblesse du système car jugé trop rigide par certains. Il s’agit toutefois d’une condition essentielle pour un véritable exercice de comparaison interentreprises.
1. Source : www.afaq.org
10 eSCM
L’eSCM est un double dispositif permettant : • à un prestataire, de faire certifier la manière dont il rend un service externe. • au client, de faire certifier son aptitude à assurer que ce service externe, acheté
par ses soins, est bien en phase avec ses objectifs stratégiques métiers et sera capable de faire face au développement de ses activités.
Figure 10.1 — Dispositif eSCM
58
Chapitre 10. eSCM
Présentation Pour illustrer l’importance croissante prise par l’activité de service dans les dispositifs de certification, nous présentons l’eSCM (eSourcing Capability Model). Ce modèle repose sur le concept d’eSourcing. L’eSourcing (pour IT-enabled sourcing) correspond à tout service pour lequel les technologies de l’information représentent une composante clef dans la livraison de ce dernier. Concrètement y est identifié tout service contenu dans le périmètre englobant à la fois les processus métiers et les technologies de l’information. De fait, sont compris dans « l’eSourcing », aussi bien les services d’infogérance que certains processus métiers tels que les ressources humaines, les achats, le back-office ou la Finance. Le référentiel est conçu pour permettre : • aux prestataires de pouvoir s’évaluer et se différencier entre eux sur le marché ; • aux clients d’évaluer le service rendu à partir des niveaux d’aptitude définis par
le système de certification. L’eSCM a été développé par l’ITSqc (Information Technology Services Qualification Center), un institut du Carnegie Mellon University. Ce dispositif se décline en deux parties : • l’une est à l’intention des prestataires de services (Service Providers), c’est
l’eSCM-SP ; • l’autre concerne les clients de ces services, c’est l’eSCM-CL.
L’eSCM-SP (for Service Providers) La finalité de l’eSCM-SP est de donner à des prestataires de services externes (eSourcing) les moyens d’évaluer la qualité du service qu’ils rendent et leur aptitude à l’améliorer. Ce référentiel est conçu pour permettre d’une part aux prestataires de s’évaluer et de se comparer, et d’autre part aux clients d’évaluer le service rendu selon des niveaux d’aptitude prédéfinis. L’ITSqc Research Consortium a coordonné le développement de l’eSCM-SP avec une équipe dont les membres sont issus de Carnegie Mellon University, IBM Global Services, EDS, Accenture, Satyam Computer Services ltd. et plus récemment de Computer Associates, Deloitte, DBA Engineering, Hewlett-Packard (HP) et Wachovia Financial. La première version date de 2001. La version 2.01 a été publiée en décembre 2006 et complétée en avril 2008 par une description détaillée des 84 pratiques. L’eSCM-SP a été conçu dans une optique de compatibilité avec des référentiels majeurs dont BS 15000 (devenue depuis ISO 20000), CobiT, CMMI, ISO 9001. L’eSCM-SP est un modèle structuré en trois dimensions : le cycle de vie du sourcing, les domaines d’aptitude regroupant des pratiques sur lesquelles reposent le service et le niveau d’aptitude associé à chaque pratique (figure 10.2).
59
eSCM
5 niveaux d’aptitude
Une pratique ne peut être associée qu’à :
- 1 phase de cycle de vie - 1 domaine d’aptitude - 1 niveau d’aptitude Elle se positionne dans l’espace par rapport à ces trois dimensions.
Réversibilité Pratiques permanentes
Fourniture Démarrage
Cycle de vie
10 domaines d’aptitude Figure 10.2 — Les trois dimensions de l’eSCM-SP
Le cycle de vie comprend trois phases : le démarrage, la fourniture et la réversibilité, auxquelles s’ajoutent les pratiques permanentes de l’organisation ou ongoing. Le démarrage contient des pratiques spécifiques qui permettent au fournisseur de se mettre d’accord sur les conditions requises avec son client, de concevoir puis d’assurer la prise en charge du service. La fourniture regroupe les pratiques chargées de fournir un service conforme aux engagements pris. La phase de réversibilité clôt le contrat lorsque celui-ci n’est pas reconduit : c’est le transfert des ressources et des responsabilités soit vers le client soit vers un autre fournisseur. Les pratiques permanentes sont celles qui s’appliquent tout au long du contrat. Le référentiel comporte 84 pratiques réparties sur 10 domaines d’aptitude. Les pratiques liées au démarrage, à la fourniture et à la réversibilité sont traitées dans quatre domaines d’aptitude : • la contractualisation ; • la conception et le déploiement du service ; • la fourniture du service ; • le transfert du service.
Les pratiques permanentes sont réparties dans les six autres domaines : • la gestion de la connaissance ; • la gestion des ressources humaines ; • la gestion de la performance ; • la gestion des relations ; • la gestion de la technologie ; • la gestion des risques.
Chaque pratique est matérialisée dans le référentiel sous forme d’une fiche comprenant un descriptif et un ensemble d’activités regroupant les tâches à exécuter
60
Chapitre 10. eSCM
par l’entreprise. Le descriptif documente la finalité et les bénéfices attendus par le fournisseur et les clients. Chaque pratique est associée à une étape du cycle de vie : elle représente un ensemble d’activités permettant à l’entreprise d’être certifiée à un niveau donné. L’eSCM-SP a établi cinq niveaux d’aptitude qui matérialisent une trajectoire d’amélioration de service. Cela va de la fourniture du service sans bonne pratique particulière (niveau 1) au maintien de l’excellence (niveau 5). L’originalité de ce dispositif repose sur les points suivants : • les pratiques se répartissent uniquement dans les niveaux 2 à 4 et aucune dans
le niveau 5 : – niveau 2 : 48 pratiques ; – niveau 3 : 26 pratiques ; – niveau 4 : 10 pratiques. • il est acceptable pour obtenir la certification de mettre en œuvre une pratique
sans celles de niveaux inférieurs mais cela uniquement pour répondre à un objectif ponctuel à court terme ; toutefois, l’atteinte d’un niveau nécessite normalement la mise en œuvre des pratiques de niveaux inférieurs ; • l’atteinte du niveau 5 nécessite la mise en œuvre et la reconnaissance effective de toutes les pratiques par deux évaluations consécutives.
L’eSCM-CL (for Client organizations) L’eSCM-CL a été conçu comme un guide permettant aux organisations clientes de mesurer et d’améliorer leur aptitude à évaluer le service rendu. L’idée clef des concepteurs a été de faire en sorte que cette mesure d’aptitude ne porte pas uniquement sur la prestation en elle-même mais plutôt sur le système organisationnel qui supporte la dite prestation, et ce tout au long du cycle de vie du service (eSourcing). L’eSCM-CL a été développé par l’ITSqc Research Consortium, parmi lesquels on retrouve les membres qui ont participé à l’élaboration du volet fournisseur (eSCM-SP) auxquels se sont joints d’autres membres de type organisation client tel que Phoenix Health Systems, Wachovia Financial, Boeing, BP, L’Oréal, General Motors, etc. L’eSCM-CL est structuré sur le même principe que l’eSCM-SP.
61
5 niveaux d’aptitude
eSCM
Réversibilité Pratiques permanentes
Fourniture Démarrage
Cycle de vie
Analyse 17 domaines d’aptitude Figure 10.3 — Les trois dimensions de l’eSCM-CL
Dans le volet client, le cycle de vie couvre 5 phases, soit une de plus que l’eSCM-SP, celle de l’analyse. L’analyse est une phase spécifique au client. En effet il appartient à ce dernier de définir sa stratégie et dans le cadre de celle-ci, d’identifier les activités pouvant être traitées à l’extérieur. La finalité des pratiques contenues dans cette phase, est de s’assurer que l’organisation cliente dispose bien des informations nécessaires à une prise de décision fondée sur une bonne compréhension de son fonctionnement opérationnel, pour identifier les services, fonctions et processus qui peuvent être fournis en externe, puis de définir l’approche planifiée qui en résulte. Le volet CL comporte 95 pratiques réparties sur 17 domaines d’aptitude. Dans les quatre premières phases du cycle de vie, les pratiques portent sur la réception de service. Nous pouvons alors parler de « service reçu » en opposition au « service émis » qui lui appartient au fournisseur. L’encadrement du service reçu repose sur des activités propres au client. Ces dernières constituent le « Sourcing ». Les pratiques sont traitées dans huit domaines d’aptitude : • l’étude d’opportunité du sourcing ; • l’approche de sourcing ; • la planification du sourcing ; • l’évaluation des prestataires ; • la contractualisation ; • le transfert du service ; • la gestion des services sourcés ; • la réversibilité.
Les pratiques permanentes sont réparties dans les neuf autres domaines : • la gestion de la stratégie de sourcing ; • la gestion de la gouvernance ; • la gestion des relations ; • la gestion de la valeur ; • la gestion des connaissances ;
62
Chapitre 10. eSCM
• la gestion des ressources humaines ; • la gestion des changements organisationnels ; • la gestion des risques ; • la gestion de la technologie.
Le volet client reprend du volet fournisseur : • le descriptif des pratiques matérialisé sur le même modèle de fiche ; • l’évaluation de l’amélioration de service qui s’établit sur le même principe que
celui de l’eSCM-SP soit cinq niveaux. Toutefois, une différence réside dans la répartition des pratiques par niveaux. cette dernière s’établissant comme suit : – niveau 2 : 58 pratiques, – niveau 3 : 29 pratiques, – niveau 4 : 8 pratiques.
Figure 10.4 — Les activités du « Sourcing »
De par son contenu et sa démarche, l’eSCM-CL repositionne profondément le rôle du client. Celui-ci évolue avec son environnement, son marché, ses actionnaires, ce qui l’amène à adapter ses objectifs stratégiques. Par ricochet, les accords avec les fournisseurs se modifient. Par conséquent la prestation ne peut jamais être dans un état figé. Elle évolue régulièrement pour répondre aux décisions stratégiques.
63
eSCM
Ce mouvement nécessite la mise en place d’une activité propre aux organisations clientes. C’est le « Sourcing », et l’eSCM n’en définit que les bonnes pratiques.
Documentation La documentation de ce dispositif est librement téléchargeable en anglais sur le site de l’ITSqc. Elle comporte : Le référentiel de l’eSCM-SP – The sourcing Capability Model for service Providers : • The eSCM-SP V2 : Model Overview ; • The eSCM-SP V2 : Practice detail.
Le référentiel de l’eSCM-CL – The sourcing Capability Model for client organizations : • The eSCM-CL V1.1 : Model Overview ; • The eSCM-CL V1.1 : Practice detail.
D’autres documents existent : pour décrire le système de mesure et pour fournir des comparaisons avec chaque référentiel avec lequel le dispositif se veut compatible. Notons aussi, qu’en France, l’Association Française pour la Promotion des Bonnes Pratiques de Sourcing (Ae-SCM) a édité deux guides de poche en français.
Mise en œuvre L’ITSqc a défini dans le référentiel les conditions et l’organisation de la certification. Quatre méthodes sont proposées qui vont de la mini auto-évaluation à l’évaluation complète réalisée par un évaluateur agréé par l’ITSqc. C’est l’ITSqc Certification Board qui émet ou non le certificat d’aptitude pour une durée de deux ans. On trouve sur le site de l’ITSqc les coordonnées des sociétés certifiées, des évaluateurs agréés et des sociétés fournissant du conseil. Les premières entreprises certifiées eSCM-SP l’ont été tout d’abord en Corée du Sud et en Inde. Puis le phénomène s’est étendu à l’Argentine, le Brésil, les États-Unis et la Tchéquie. Elles incluent IBM, Accenture, Satyam, Infosys et sont toutes au niveau 3 ou 4 voire 5. Le site de l’ITSqc en donne la liste. Par contre il n’existe pas encore d’organismes clients certifiés eSCM-CL. Et en France ? L’Association française pour la Promotion des Bonnes Pratiques de Sourcing (Ae-SCM) a été créée en 2007. Elle est reconnue officiellement par l’ITSqc. Elle a organisé les premières formations eSCM à Paris et a publié plusieurs documents dont les deux guides de poche précités.
Retour d’expérience En France, nous ne disposons pas encore aujourd’hui de retour d’expérience formel sur ce dispositif. Néanmoins la branche Courrier de La Poste s’est engagée dans cette démarche obligeant son fournisseur principal à se conformer à ce modèle. Nous attendons les premiers résultats avec impatience.
64
Chapitre 10. eSCM
L’intérêt de l’eSCM réside dans sa démarche structurante pour cerner les attentes qu’un client doit formuler vis-à-vis de ses fournisseurs et inversement. Il n’entre pas en conflit avec d’autres référentiels tels que CMMI ou ITIL puisqu’il s’appuie sur leurs acquis. L’originalité de l’eSCM est qu’il s’agit d’un dispositif à deux volets centré sur la relation entre un client et ses fournisseurs. Chaque volet donne lieu à une certification. La nouveauté est qu’à travers l’eSCM-CL le client va chercher à donner confiance au prestataire. Ce n’est plus seulement le prestataire qui cherche à donner confiance à son client. La relation client – fournisseur devient symétrique. Ce référentiel est complexe. Comment s’y retrouver entre les niveaux de certification portant sur différents services ? Faut-il faire coïncider l’eSCM-SP avec l’eSCM-CL ? Si oui, comment le faire ? La démarche est-elle adaptée aux petites et moyennes entreprises ? Compte tenu du sérieux du Carnegie Mellon, de son expérience dans le CMMI, du support des grands opérateurs de l’infogérance, de l’exhaustivité du référentiel et des premières applications à l’étranger, nous pouvons nous attendre au succès de ce dispositif dans l’hexagone.
11 HAS
Le dispositif de la Haute autorité de santé permet à un établissement de santé français d’obtenir une certification pour son système de management de la qualité et de la sécurité des systèmes de santé.
Figure 11.1 — Dispositif HAS
Présentation La Haute autorité de santé (HAS) est un organisme public indépendant à caractère scientifique, créé dans le cadre de la Loi du 13 août 2004 relative à l’assurance-maladie.
66
Chapitre 11. HAS
Elle est chargée, entre autres, de mettre en œuvre la certification (anciennement appelée accréditation) des établissements de santé et reprend les missions de l’Agence nationale d’accréditation et d’évaluation en santé (ANAES). La Loi du 13 août 2004 remplace le terme accréditation précédemment utilisé par l’ANAES par celui de certification, en définissant cette dernière comme une procédure d’évaluation externe à un établissement de santé, effectuée par des professionnels indépendants de l’établissement de santé et de ses organismes de tutelle, et concernant l’ensemble de son fonctionnement et de ses pratiques. Elle a été introduite au sein du système de santé français par l’Ordonnance n◦ 96-346 du 24 avril 1996 portant sur la réforme hospitalière et précisée par le Décret n◦ 97-311 du 7 avril 1997. La certification s’applique à tous les établissements de santé publics ou privés. Elle concerne également les groupements de coopération sanitaire entre établissements de santé, les syndicats interhospitaliers détenteurs d’une autorisation d’activité ainsi que les réseaux de santé et les installations de clinique esthétique. La certification est une procédure d’évaluation externe, indépendante de l’établissement de santé et de ses organismes de tutelle, effectuée par des professionnels, concernant l’ensemble de son fonctionnement et de ses pratiques. Elle apprécie non seulement le système de management de la qualité, mais également des aspects spécifiés de l’organisation des soins et les démarches d’évaluation des pratiques professionnelles. La certification s’applique à l’établissement de santé au sens juridique du terme ainsi qu’aux activités de l’établissement de santé qui participent directement ou indirectement à la prise en charge du patient. Elle concerne donc l’ensemble des structures et des secteurs d’activité. Les années 1999 à 2002 sont considérées comme une période d’expérimentation et d’innovation avec la première version du Manuel d’accréditation de l’ANAES en 1999 (V1). Entre 2002 et 2004, une période d’industrialisation de la procédure s’est conclue par la publication de la seconde version du Manuel d’accréditation aboutissant à une deuxième procédure d’accréditation en septembre 2004 (V2). Aujourd’hui, c’est l’édition 2007 du Manuel de certification des établissements de santé et guide de cotation qui s’applique. La prochaine procédure (V3) est prévue pour 2010. Avec cette deuxième procédure, la certification mesure le niveau de qualité et de sécurité des soins et apprécie la dynamique d’amélioration continue de la qualité et du service médical rendu. Elle porte une attention particulière aux résultats obtenus, aux modalités d’organisation et au niveau d’engagement du management. Le référentiel actuel, le Manuel de certification des établissements de santé et guide de cotation est organisé en deux chapitres, 44 références et 138 critères complétés par des cartouches explicatifs. L’évaluation de l’établissement de santé se fait sur la base de critères pour lesquels des éléments d’appréciation sont mentionnés sur la même page permettant de coter la conformité par rapport au critère (cotation d’A à D).
67
HAS
Figurent ainsi : • des précisions sur le libellé du critère ; • une série non exhaustive d’éléments d’appréciation de la conformité au critère
à rechercher par les experts visiteurs ; • une liste indicative de documents à consulter ; • des propositions de personnes-ressources à rencontrer. Sur 44 références, quatre concernent le système d’information. Elles sont réparties en six critères comme indiqué dans le tableau 11.1. Tableau 11.1 — Les références relatives au SI Chapitre 1 : Politique et qualité du management Référence 4 : La politique du système d’information et du dossier du patient. La politique du système d’information est définie en cohérence avec les orientations stratégiques de l’établissement.
Critère 4.a
Chapitre 2 : Ressources transversales Référence 7 : La politique d’optimisation des ressources et des moyens. Critère 7.a
L’établissement met en œuvre un dispositif permettant la maîtrise des coûts. Référence 18 : Le système d’information.
Critère 18.a
Le système d’information est organisé pour faciliter la prise en charge des patients.
Critère 18.b
Une identification fiable et unique du patient est assurée.
Critère 18.c
La sécurité du système d’information est assurée. Chapitre 4 : Évaluations et dynamiques d’amélioration Référence 44 : L’évaluation des politiques et du management.
Critère 44.c
Une évaluation du système d’information est mise en œuvre.
Le Manuel d’accréditation formule des exigences sur la mise en place d’indicateurs sans donner de précisions sur ces indicateurs. Ces indicateurs portent sur tous les domaines traités. Ils doivent permettre de piloter les différentes actions de la politique d’amélioration continue de la qualité et de la sécurité. À noter que la HAS s’est engagée dans le développement d’indicateurs de qualité. Depuis 2008, les établissements doivent transmettre annuellement à la HAS un ensemble de données qui lui permettent de calculer les indicateurs et de suivre leur évolution. Des indicateurs ont été expérimentés en 2007 et appliqués fin 2008 aux établissements de médecine, chirurgie et obstétrique. Ce recueil sera progressivement élargi à d’autres indicateurs de pratiques cliniques. À partir de 2010, d’autres indicateurs de type clinique ou organisationnel seront mis en œuvre, de manière à permettre une évaluation quantitative des grands champs
68
Chapitre 11. HAS
d’activité des établissements, complétant ou se substituant aux données jusqu’ici analysées par les experts visiteurs dans le cadre des versions 1 et 2 de la certification.
Documentation La documentation relative au système de certification donne des informations sur l’organisation à mettre en place et la procédure à respecter ainsi que des recommandations sur les formations souhaitables. Une documentation complète est téléchargeable gratuitement sur le site de la HAS. On y trouve entre autres les documents suivants : • Guide « Préparer et conduire votre démarche de certification version 2007 » -
mise à jour septembre 2008, 5 juillet 2008 ; • Recommandations de bonne pratique : Attribution du label HAS, 28 mai 2008 ; • Manuel de certification des établissements de santé et guide de cotation, 4 juin
2007.
Mise en œuvre Le dispositif concerne près de 3 000 établissements de santé en France. Au cours de la période 2000-20061, 100 % des établissements de santé (2 890) ont reçu une visite de certification selon la première procédure. Entre 2006 et 2008, 50 % des établissements de santé (1 413) ont reçu une visite de certification selon la seconde procédure. Les décisions de certifications se répartissent en 51 % de certification, 44 % de certification avec suivi et 5 % de certification conditionnelle. Spécifique aux établissements de santé, ce dispositif n’est pas utilisé dans d’autres secteurs. La certification est rendue obligatoire par l’Ordonnance de 1996, mais n’en demeure pas moins une initiative volontaire. C’est à l’établissement qu’il revient de s’inscrire dans cette démarche fondée sur des principes de responsabilité, de dialogue et d’échanges. La mise en œuvre de cette démarche rend indispensable la création d’une cellule qualité dans les établissements de santé. Elle nécessite une charge de travail variable selon la taille de l’établissement : de une à trois personnes à temps plein et 200 à 1 000 jours hommes étalés sur une durée moyenne de deux ans. Le processus d’évaluation est défini en détail dans la Décision du 14 mai 2008 du Collège de la HAS adoptant la procédure de certification des établissements de santé parue au Journal Officiel le 1er août 2008. La HAS publie sur son site tous les rapports de certifications, les additifs aux rapports de certification ainsi que les commentaires éventuels des établissements. La cotation des critères comporte quatre niveaux selon une double échelle (tableau 11.2) similaire à celle de l’EFQM.
1. Source : http://www.has-sante.fr/portail/upload/docs/application/pdf/chiffres_cles_fev_08.pdf
69
HAS
Tableau 11.2 — Les échelles de cotation de la HAS Échelle analytique
Échelle spatio-temporelle
Tous les éléments d’appréciation
Partout et/ou tout le temps
La plupart des éléments d’appréciation
Dans la plupart des secteurs et/ou la plupart du temps
Quelques éléments d’appréciation
Dans quelques secteurs et/ou quelquefois
Trop peu d’éléments significatifs d’appréciation
Nulle part et/ou jamais
Quatre décisions sont envisageables : certification, certification avec suivi, certification conditionnelle ou non-certification. Dans le cas d’une certification, la durée est fixée à quatre ans avant une nouvelle visite de certification. Des axes d’amélioration peuvent toutefois être recommandés à l’établissement. Une certification avec suivi est valable au maximum quatre ans, avec exigence d’un suivi à échéance déterminée par un rapport écrit ou une visite ciblée sur des points identifiés dans le rapport. La certification conditionnelle est valable pour une durée inférieure à quatre ans, avec prolongation de la certification conditionnée par la satisfaction du suivi réalisé à échéance déterminée sur des points identifiés dans le rapport. Une certification conditionnelle suivie d’une visite ciblée infructueuse, témoignant ainsi d’une carence grave du management de l’établissement, peut conduire à prononcer une non-certification. Le rapport des experts visiteurs est établi à partir des résultats de l’auto-évaluation réalisée par l’établissement, des documents consultés et étudiés dans l’établissement et des constats effectués par les experts visiteurs sur le(s) site(s) visité(s). Pour réaliser les évaluations, la HAS recrute et forme ses experts visiteurs selon un programme spécifique ; ils sont tous des professionnels de santé, médecins, soignants ou gestionnaires. La méthode d’évaluation est définie dans le Guide d’aide à la cotation, incluse dans le référentiel et librement disponible ; ce n’était pas le cas avec la première procédure, la méthode d’évaluation était alors réservée aux experts visiteurs. Des experts, spécialistes de ce dispositif existent en France. Certains diplômes universitaires comme la Qualité en santé traitent de ce sujet.
Retour d’expérience Un consultant dans le domaine de la santé, collaborateur d’un grand cabinet de conseil, témoigne : « Sans le caractère obligatoire de cette démarche, les établissements de santé, confrontés à des problèmes de plus en plus nombreux, comme la surcharge de travail, la
70
Chapitre 11. HAS
mise en œuvre de la tarification, l’application des 35 heures, la pénurie de personnel soignant et médical, n’auraient sans doute pas pu investir en temps et charge de travail dans une démarche qualité. En matière de système d’information, les bénéfices de la mise en œuvre du dispositif portent sur : – l’appréciation objective et indépendante de la situation d’un établissement de santé ; – une organisation des établissements de santé mieux adaptée ; – la mise en œuvre d’une dynamique d’amélioration continue de la qualité ; – l’information des patients ; – le renforcement de leur confiance. Globalement, la démarche a été perçue comme transversale, structurante et pédagogique. À l’issue de quatre années de mise en œuvre, il apparaît que les établissements souhaitent une meilleure approche de leur spécificité, les usagers plus de lisibilité et les pouvoirs publics un meilleur éclairage. Ces souhaits ont été intégrés dans la construction de la certification version 2 ». Ce système de certification, établi par des professionnels de santé à partir d’expériences françaises et étrangères, est en principe très bien adapté à sa finalité. Le Rapport d’activité 2004 du collège d’accréditation de la HAS relève que la certification a fourni un levier aux acteurs des politiques qualité dans les établissements de santé pour structurer et pour formaliser ces démarches. La seconde procédure reconnaissant la complémentarité de systèmes de reconnaissances externes de la qualité permettra aux établissements de santé de progresser, ne serait-ce qu’en mettant en œuvre la certification ISO 9001 dans les services informatiques en complément des exigences du référentiel de certification de la HAS. De plus, la certification de services fait également partie des dispositifs de reconnaissances externes de la qualité reconnus par la HAS. Les limites du dispositif proviennent essentiellement de son aspect franco-français.
12 ISO 9001
Le dispositif ISO 9001 permet à une entreprise d’obtenir une certification pour son système de management de la qualité.
Figure 12.1 — Dispositif ISO 9001
Présentation On ne présente plus l’ISO 9001, le référentiel de certification le plus connu. Il faut cependant rappeler que l’objectif de ce référentiel a beaucoup évolué avec ses quatre versions successives de 1987, 1994, 2000, puis 2008. À l’origine, la version 1987
72
Chapitre 12. ISO 9001
répondait essentiellement aux besoins de clients industriels soucieux de contrôler la qualité des produits de leurs fournisseurs. Couvrant le cycle de vie complet d’un produit ou service, la norme ISO 9001 était alors accompagnée de deux petites sœurs, l’ISO 9002 qui ne s’intéressait qu’au développement et à la production et l’ISO 9003 qui ne traitait que des contrôles finaux après fabrication. Dès 1991, la famille ISO 9000 comprenait également une norme spécialisée pour le domaine du développement de logiciel : l’ISO 9000-3, révisée sous le nom ISO 90003. La série ISO 9000 fut victime de son succès. Les certifications reposant sur les normes 9002 et surtout 9003 perdaient de leur valeur. La course au certificat pouvant se transformer en véritable bachotage faisait oublier l’objectif premier de la mise en place d’un système qualité, c’est-à-dire l’amélioration permanente et la satisfaction du client. On a même pu constater que le certificat n’empêchait pas les entreprises de fabriquer des produits non conformes aux besoins du client ! D’un autre côté, la concurrence des grands prix de la qualité, tel celui de l’EFQM reposant sur les principes de la qualité totale et de l’auto-évaluation commençait à faire une ombre sérieuse aux ISO 9000 taxées d’une certaine médiocrité. Une simplification et une évolution vers l’excellence s’imposaient. Amorcé dès 1994 ce changement de point de vue s’est concrétisé dans l’ISO 9001 version 2000 et s’est amplifié depuis. Chaque norme ISO est revue en principe tous les cinq ans pour s’assurer qu’elle reste conforme à l’état de l’art. La révision ISO 9000:2000 fut l’occasion d’une refonte complète, retour à la fois à l’esprit initial du management de la qualité et simplification des systèmes trop procéduriers. Le long processus de révision, mené par le Comité technique 176 de l’ISO (TC 176 : Management et assurance de la qualité), a abouti à la publication de trois normes complémentaires : • ISO 9000 pour la partie principes (inspirés de ceux de la qualité totale) et
vocabulaire ; • ISO 9001 pour le référentiel d’exigences servant de support à la certification ; • ISO 9004 pour les recommandations de mise en œuvre et l’auto-évaluation. Le maître mot de ce nouveau référentiel était et demeure l’approche processus qui met l’accent sur l’efficacité des activités et le principe d’amélioration permanente au service de l’atteinte d’objectifs mesurables. Qu’en est-il début 2009 ? La famille ISO 9000 s’est enrichie d’un ensemble de normes associées permettant de répondre aux exigences de l’ISO 9001 sur les différents points particuliers qui y sont développés. L’ISO a publié en 2005 une nouvelle édition de la norme ISO 9000 qui définit le vocabulaire et décrit les principes des systèmes de management de la qualité. Cette nouvelle édition vient préciser et enrichir les définitions afin de les aligner sur des documents plus récents de la famille ISO 9000. Parmi les mots explicités, nous citerons : expert technique, exigence, compétence, contrat, auditeur, équipe d’audit, plan d’audit et champ de l’audit.
73
ISO 9001
La version 2008 de l’ISO 9001, publiée officiellement le 15 novembre 2008 n’introduit pas de nouvelles exigences mais, suite aux retours d’expérience de ces huit dernières années d’application, elle apporte des clarifications aux exigences de la version 2000. Elle met les points sur les i sur un certain nombre de sujets, en soulignant par exemple l’importance de prendre en considération le produit ou service et pas seulement le système de management de la qualité de l’organisme. Un éclairage supplémentaire est apporté sur la maîtrise des processus externalisés, dont la nécessité s’est accrue face aux pratiques d’offshore. La notion de risque y est également introduite de façon encore timide. Une nouvelle édition de la norme ISO 9004 devrait être publiée courant 2009, avec pour vocation d’aider les équipes de direction à améliorer les performances de l’entreprise et de ses processus. Une révision cohérente des normes ISO 9001 et ISO 14001 est prévue pour 2012. Le certificat ISO 9001 porte sur le système de management de la qualité de tout ou partie d’une entreprise. Les exigences formulées portent essentiellement sur l’identification et la maîtrise des processus dans une perspective d’amélioration continue. Elles représentent un noyau restreint commun à tous les secteurs d’activité et à tous les domaines d’action. Elles laissent à l’entreprise une grande latitude d’interprétation, en particulier dans le choix et la définition des processus. La présentation d’une cartographie des processus est recommandée, mais elle n’est pas une obligation. On notera que, depuis la version 2000, la norme n’exige plus que six procédures documentées obligatoires relatives aux chapitres maîtrise des documents, maîtrise des enregistrements, audit interne, maîtrise du produit non conforme, action corrective et action préventive. On n’en conclura pas que ces six procédures suffisent à décrire le système qualité de l’entreprise, car au-delà de l’incontournable manuel qualité et des enregistrements assurant la traçabilité de mise en œuvre, il faudra prévoir l’ensemble des « documents nécessaires à l’organisme pour assurer la planification, le fonctionnement et la maîtrise efficaces de ses processus ». Des exigences portant sur le produit sont également présentes dans la norme : le produit doit être vérifié et validé ; il est en particulier soumis à des exigences de conformité et de traçabilité. Des exigences particulières portent également sur les personnes. Elles concernent l’attribution des responsabilités, les compétences et la formation. En matière de mesures, les exigences portent naturellement à la fois sur les processus et les résultats de l’exécution de ces processus. La démarche d’amélioration nécessite la mise en place : • d’indicateurs de management des processus ; • de mesures des caractéristiques du produit afin de vérifier que les exigences
relatives au produit sont satisfaites ; • et de mesures de la satisfaction du client.
74
Chapitre 12. ISO 9001
Aucune directive précise n’est donnée sur le choix de ces indicateurs qui dépendent des objectifs de l’entreprise.
Documentation La norme ISO 9001:2008 est disponible en France auprès d’Afnor. Sa compréhension nécessite la lecture préliminaire de la norme ISO 9000:2005 (principes et vocabulaire). La lecture des normes de soutien qui accompagnent la série ISO 9000 est également recommandée : • ISO 10001 : Code de conduite des organismes ; • ISO 10002 : Traitement des réclamations ; • ISO 10003 : Résolution externe des conflits ; • ISO 10004 : Surveillance et mesure de la satisfaction client ; • ISO 10005 : Plans qualité ; • ISO 10006 : Management de la qualité dans les projets ; • ISO 10007 : Gestion de la configuration ; • ISO 10012 : Exigences pour les processus et les équipements de mesure ; • ISO 10013 : Documentation des SMQ ; • ISO 10014 : Management des effets économiques de la qualité ; • ISO 10015 : Formation ; • ISO 10017 : Techniques statistiques relatives à l’ISO 9001 : 2000 ; • ISO 10018 : Implication du personnel et compétences ; • ISO 10019 : Sélection de consultants en systèmes de management de la qualité
et pour l’utilisation de leurs services ; • ISO 19011 : Audit des systèmes de management.
Les exigences relatives à chacun des processus génériques de l’ISO 9001 font de plus l’objet de fascicules documentaires (FD), publiés par l’Afnor. Citons : • FD X 50-127 : Conception et développement ; • FD X 50-128 : Achats ; • FD X 50-171 : Indicateurs et tableaux de bord ; • FD X 50-172 : Enquête de satisfaction client ; • FD X 50-174 : Évaluation de l’efficacité d’un SMQ ; • FD X 50-176 : Management des processus ; • FD X 50-179 : Identification des exigences client ; • FD X 50-183 : Management des ressources humaines ; • FD X 50-185 : Management de l’information ; • FD X 50-186 : Processus d’auto-évaluation ; • FD X 50-189 : Intégration des systèmes ; • FD X 50-190 : Capitalisation d’expérience ;
75
ISO 9001
• FD X 50-193 : Relations mutuelles bénéfiques ; • FD X 50-195 : Management des organismes.
Mise en œuvre L’ISO 9001 est applicable à toute activité, quel que soit le type de produit ou service ; mais dans certains domaines sectoriels, elle se révèle insuffisante du fait de sa trop grande généralité. L’ISO 9001 est mondialement reconnue : une étude réalisée par l’ISO à la fin de l’année 2007 dénombrait 951 486 certificats attribués dans 175 pays, ce qui correspond à une augmentation de 91 % par rapport à 2003. Ces chiffres sont globalement en augmentation permanente, sauf en Amérique du Nord, en Australie et en NouvelleZélande où l’on constate une baisse sensible. Tableau 12.1 — Certificats ISO 9001 à la fin de l’année 2007 Région
Nombre de certificats
Pourcentage
Europe
431 479
45,35 %
Asie
345 428
36,30 %
Amérique du Nord
47 600
5,00 %
Afrique et Extrême-Orient
78 910
8,29 %
8 715
0,92 %
39 354
4,14 %
Australie et Nouvelle-Zélande Amérique du Sud et Amérique Centrale
La répartition géographique des certificats à la fin de l’année 2007 (tableau 12.1) traduit encore un phénomène majoritairement européen accompagné d’un développement en croissance dans les pays asiatiques. Les dix premiers pays détenteurs de certificats étaient à cette date : la Chine, l’Italie, le Japon, l’Espagne, l’Inde, l’Allemagne, les États-Unis, le Royaume-Uni, la France, les Pays-Bas. La France est en perte de vitesse avec 22 000 certificats à fin 2007, contre 45 000 en Allemagne. Le nombre de certificats aux États-Unis serait également en régression, revenant à fin 2007 à son niveau de 2004. Il semble que le marché de la certification ait atteint sa maturité dans plusieurs régions du monde industrialisé et aussi que les entreprises nord-américaines et européennes se soient mises dans une situation d’attente avant l’arrivée de la version 2008. Parmi les contraintes qu’implique la mise en place de l’ISO 9001 dans une entreprise, on cite toujours la maîtrise documentaire, même si cette exigence a été allégée dans la version 2000. Le délai de mise en œuvre incompressible reste estimé à 18 mois et elle doit s’appuyer sur une volonté forte de la direction. En termes d’organisation, la désignation d’un responsable qualité rattaché à la direction et disposant d’un pouvoir et d’une autorité suffisante, est indispensable, ainsi que la mise en place d’une fonction d’audit interne. La version 2008 précise que le représentant de la Direction doit faire partie de l’encadrement de l’organisme.
76
Chapitre 12. ISO 9001
Un accompagnement de la démarche par des formations est fort utile. De nombreux cabinets de conseil proposent des prestations d’aide à la mise en conformité ISO 9001. Le certificat ISO 9001 peut être décerné en France par différents organismes concurrents qui font normalement l’objet d’une accréditation par le Comité Français d’accréditation (COFRAC). Le certificat doit être renouvelé tous les trois ans et fait l’objet d’un audit de suivi annuel par l’organisme de certification. Des démarches groupées Qualité – Sécurité – Environnement (QSE) reposant sur les normes ISO 9001, ISO 14001 et OHSAS 18001 sont proposées par différents cabinets de conseil et organismes certificateurs. Elles permettent d’optimiser les efforts induits par la mise en place de systèmes de management visant au départ des objectifs différents, en les situant dans une perspective globale d’amélioration.
Retour d’expérience L’Afnor précise : « La norme ISO 9001 dans sa version 2008 offre une meilleure compatibilité avec l’ISO 14001, s’intègre plus facilement avec d’autres normes de systèmes de management, renforce la conformité aux exigences du produit et permet une meilleure prise en compte des processus externalisés. » Le directeur qualité d’une société de services en informatique commente : « La version 2000 était déjà plus opérationnelle, moins paperassière que la précédente et plus en phase avec les objectifs d’efficacité de l’entreprise. D’ailleurs, son approche processus nous a facilité la mise en œuvre de la démarche CMMI dans nos usines de production de logiciels. La version 2008 devrait nous apporter une meilleure complémentarité avec les référentiels de management de la sécurité et e l’environnement. Un des principaux avantages de la mise en œuvre de l’ISO 9001 est qu’elle nous permet de répondre à la demande de nombreux acheteurs publics ou privés qui exigent cette certification ». L’atout essentiel est le caractère quasi universel de la certification ISO 9001, grâce à la reconnaissance mutuelle entre organismes d’accréditation de différents pays. En revanche, l’ISO 9001 est très générale et doit être souvent complétée par des guides ou des exigences spécifiques au domaine d’application. Dans le domaine du traitement de l’information, le développement de certifications plus spécialisées autour de référentiels tels qu’ISO 20000 bénéficie de la culture d’amélioration permanente et de l’approche processus diffusées par l’ISO 9000.
13 ISO 15408 Critères Communs
Le dispositif ISO 15408 ou Critères Communs (CC) permet à une entreprise d’obtenir une certification en matière d’ingénierie de la sécurité des produits ou systèmes informatisés qu’elle développe.
Figure 13.1 — ISO 15408 – Critères Communs
78
Chapitre 13. ISO 15408 Critères Communs
Présentation Prenant le relais des ITSEC (Information Technology Security Evaluation Criteria) dans le processus d’évaluation du niveau de sécurité des logiciels et systèmes d’information, les Critères Communs pour l’évaluation de la Sécurité des Technologies de l’information, généralement appelés Critères Communs, sont issus de la convergence progressive des normes américaines (Orange Book de la NSA), européennes et canadiennes. Ils ont été normalisés par l’ISO sous la référence ISO 15408, Critères d’évaluation pour la sécurité TI, qui se présente en trois parties : • ISO 15408-1 – Introduction et modèle général, de septembre 2005 ; • ISO 15408-2 – Composants fonctionnels de sécurité, d’août 2008 ; • ISO 15408-3 – Composants d’assurance de sécurité, d’août 2008.
Les Critères Communs définissent les procédures et les mesures techniques normalisées à prendre en compte dans le cycle de vie d’un produit logiciel ou d’un système d’information ; ils fournissent ainsi un référentiel mondial de comparaison pour les produits de sécurité de l’information. Sept niveaux d’évaluation sont définis sur l’échelle d’assurance appelée EAL (Evaluation Assurance Level) pour la certification des mécanismes de sécurité de l’information : • EAL1 – testé fonctionnellement ; • EAL2 – testé structurellement ; • EAL3 – testé et vérifié méthodiquement ; • EAL4 – conçu, testé et vérifié méthodiquement ; • EAL5 – conçu et testé de façon semi-formelle ; • EAL6 – conçu, vérifié et testé de façon semi-formelle ; • EAL7 – conçu, vérifié et testé de façon formelle.
Le plus exigeant, le niveau 7 répond plus spécialement à des problématiques de stratégie nationale de sécurité. Le signe « + » accolé au niveau, par exemple EAL4+, signifie que des tests de vulnérabilité ont également été menés sur l’application afin d’en garantir la sécurité. Trois niveaux de robustesse minimum des mécanismes de sécurité leur sont associés appelés SOF (Strength Of Function, la résistance d’une fonction) : SOF-élémentaire, SOF-moyen et SOF-élevé. Les Critères Communs vont plus loin que les ITSEC en définissant des familles de composants fonctionnels auxquelles sont attachées des exigences spécifiques : • FAU – Famille audit de sécurité ; • FCO – Famille communication ; • FCS – Famille support cryptographique ; • FDP – Famille protection des données de l’utilisateur ; • FIA – Famille identification et authentification ; • FMT – Famille administration de la sécurité ;
ISO 15408 Critères Communs
79
• FPR – Famille protection de la vie privée ; • FPT – Famille protection des fonctions de sécurité ; • FRU – Famille utilisation des ressources ; • FTA – Famille accès à la cible d’évaluation (TOE, Target Of Evaluation) ; • FTP – Famille chemins et canaux de confiance.
L’introduction du profil de protection (PP) constitue l’apport essentiel des Critères Communs par rapport aux critères ITSEC. Ce profil de protection définit un ensemble d’objectifs et d’exigences de sécurité, indépendant de l’implémentation pour une catégorie de produits, et couvrant des besoins de sécurité communs à plusieurs utilisateurs. Un profil de protection est ainsi réutilisable pour définir rapidement des exigences répondant à des objectifs identifiés. Ce concept permet le développement de standards fonctionnels et facilite la rédaction du cahier des charges d’un produit. Des profils de protection, certains certifiés par la Direction centrale de la sécurité des systèmes d’information (DCSSI), sont disponibles par exemple pour des cartes à puce, des pare-feu, des échanges de données informatisés, des infrastructures à clés publiques... Parmi les exigences formulées, il est précisé que le développeur doit utiliser un modèle de cycle de vie mesurable, c’est-à-dire un cycle de vie dont les activités élémentaires peuvent faire l’objet de mesures. Ceci implique que la documentation relative au cycle de vie fournisse les résultats des mesures de développement conformes à ce modèle normalisé. La nature exacte de ces mesures n’est pas précisée. Elles permettent de s’assurer que les différentes activités de vérification et de test ont bien été effectuées.
Documentation L’ensemble de la documentation des Critères Communs, y compris le référentiel normatif (Critères Communs pour l’évaluation de la Sécurité des Technologies de l’information), est librement et gratuitement accessible en téléchargement sur le site de la DCSSI. La version 3.1 n’existe pour l’instant qu’en version anglaise. La norme ISO 15408 Technologies de l’information – Techniques de sécurité – Critères d’évaluation pour la sécurité TI est disponible auprès d’Afnor. En plus du référentiel, il existe une méthodologie d’évaluation, fournie par la norme ISO 18045 Méthodologie pour l’évaluation de sécurité TI. Cette dernière, révisée en 2008, est identique à la méthode d’évaluation CEM – Common Methodology for Information Technology Security Evaluation (v3.1) librement disponible en téléchargement sur le site de la DCSSI. Des documents de support ont été développés pour préciser les profils relatifs à des produits particuliers, comme les cartes à puce ou les chrono tachygraphes qui enregistrent la vitesse des poids lourds sur support numérique.
80
Chapitre 13. ISO 15408 Critères Communs
Mise en œuvre L’évaluation du niveau de sécurité selon les Critères Communs s’applique plus spécialement aux logiciels soumis à des exigences fortes en matière de sécurité. On citera les microcircuits, les cartes à puce, les produits réseaux, les produits des domaines fortement liés à la monétique et au commerce électronique. En application des accords de reconnaissance mutuelle de certificats, des organismes étrangers homologues de la DCSSI émettent également des certificats. La liste de ces certificats est disponible sur les sites respectifs de chaque organisme. Comme dans le cas des ITSEC, l’évaluation se fait en cours de développement et en production. Le schéma de certification français est le même que celui des ITSEC. Dans son rôle d’organisme de certification, la DCSSI agrée et contrôle les centres d’évaluation et délivre les certificats à l’issue des évaluations. Les évaluations sont réalisées par des experts appartenant à des centres d’évaluation, accrédités par le Comité français d’accréditation (COFRAC). Cette condition est nécessaire mais non suffisante : la DCSSI examine également la compétence technique du centre et sa capacité à traiter les aspects sensibles de l’évaluation. Les coûts d’évaluation sont liés à différents facteurs dont le niveau d’évaluation visé, le périmètre fonctionnel à évaluer et la taille du logiciel. Les délais sont également variables : ils s’étendent généralement sur plusieurs mois. L’évolution du produit doit être prise en compte sous ses multiples aspects (révisions mineures, nouvelle version fonctionnelle, correctifs de sécurité). La maintenance du certificat suppose une analyse d’impacts pour chaque nouvelle version afin de statuer sur un prolongement de la validité du certificat ou une réévaluation partielle.
Retour d’expérience Un responsable sécurité et qualité témoigne : « Par rapport aux ITSEC, la démarche des Critères Communs est plus méthodique car elle intègre une analyse des risques ; elle est plus souple car elle permet la fixation d’exigences de sécurité propres à chaque produit ». Un autre responsable précise : « Les difficultés d’évaluation sont liées à l’imbrication des processus de développement et d’évaluation impliquant une polyvalence des acteurs : en particulier, la nécessité de former des développeurs aux Critères Communs, le bilan documentaire du processus de développement et l’analyse de l’environnement de développement ». Les avantages d’une telle certification sont multiples, on citera : • l’obtention d’un certificat délivré par un organisme d’État, tel que la DCSSI
pour la France ou le NIST (National Institute of Standards and Technology) pour les États-Unis ;
ISO 15408 Critères Communs
81
• la reconnaissance de ce certificat au niveau international, jusqu’au niveau EAL4
•
• • •
compris, par le Common Criteria Recognition Agreement (CCRA), accord de reconnaissance mutuel conclu depuis 1999 entre plus de 25 pays ; la reconnaissance de ce certificat jusqu’au niveau EAL7 par un accord de reconnaissance mutuel entre plusieurs pays européens (France, Allemagne, Royaume-Uni, Pays-Bas) ; la publication sur Internet par la DCSSI de la liste des produits et systèmes évalués ; la possibilité de répondre à des appels d’offres exigeant un niveau d’évaluation minimum ; le référencement du produit par la DCSSI auprès des ministères et autres administrations en fonction du niveau atteint.
De façon plus indirecte, d’autres avantages sont également cités : • l’amélioration du processus de développement logiciel (gestion de configuration,
documentation, sécurité du développement) ; • la validation des méthodes de développement d’un produit (traçabilité des
fonctions de sécurité, analyse des règles de programmation, qualité de la cryptographie) ; • la validation des méthodes de qualification d’un produit (couverture et profondeur du plan de tests) ; • le développement de la veille sur les vulnérabilités et techniques d’attaque. En revanche, ce dispositif s’applique difficilement à des produits déjà existants. On ne peut en principe évaluer un produit que si les exigences de sécurité ont été formulées dès la phase de spécifications fonctionnelles sur la base des objectifs de sécurité et des fonctions à protéger. Cette contrainte limite donc l’application des Critères Communs aux produits pour lesquels l’exigence d’évaluation est formulée dans le cahier des charges. Les évaluations selon les Critères Communs peuvent atteindre un coût très élevé et sont de ce fait réservées aux grands éditeurs ou aux organismes gouvernementaux : la certification au niveau 4 de Windows 2000 a coûté près de quatre millions de dollars ; le processus de certification EAL4+ obtenu en décembre 2005 par Microsoft pour Windows XP SP2 et Windows Server 2003 a duré près de deux ans et demi. Pour Windows Server 2008 et Windows Vista, ils ont obtenu en octobre 2008 leur certification au niveau EAL-1. En parallèle, la certification Critères Communs de ces deux versions au niveau EAL-4 est en cours. Comme pour les ITSEC, cette certification atteste que le niveau de sécurité choisi est bien atteint, mais elle ne saurait assurer que la cible de sécurité choisie est bien adaptée au niveau de risque. Il s’agit donc plus d’un dispositif d’assurance qualité adapté à la sécurité que d’une véritable assurance de la sécurité.
14 ISO 15504
Le dispositif ISO 15504 permet à une entreprise d’obtenir un diagnostic d’aptitude de ses processus.
Figure 14.1 — Dispositif ISO 15504
Présentation Le référentiel ISO 15504 normalise plusieurs thèmes liés à l’évaluation de processus d’ingénierie du logiciel et des systèmes en définissant des exigences pour la (méthode de) réalisation d’une évaluation et le modèle de processus à utiliser. Le point central d’une évaluation est la description des processus et des pratiques servant de référence.
84
Chapitre 14. ISO 15504
La norme ISO 15504 sur l’évaluation de processus est l’aboutissement de l’évolution du rapport technique TR ISO 15504:1998 sur l’évaluation de processus logiciels développé dans le cadre d’un projet international sous le nom de code SPICE (Software Process Improvement Capability Determination). Ce nom d’usage lui est resté. Il s’agit d’un modèle d’évaluation de l’aptitude des processus ; il fournit une échelle de cotation pour mesurer le degré de maîtrise d’un processus décrit en termes de finalités et de résultats. • Niveau 0 : processus incomplet, c’est le niveau initial, il ne nécessite aucun • • •
• •
prérequis. Niveau 1 : processus réalisé, sa mise en œuvre satisfait ses finalités et donne les résultats escomptés. Niveau 2 : processus géré, le processus est réalisé, mais également planifié, suivi et ajusté ; ses produits du travail sont définis, maîtrisés et maintenus. Niveau 3 : processus établi, le processus de plus mis en œuvre de façon définie sur la base d’un processus standard de l’organisation afin que ses résultats attendus soient atteints. Niveau 4 : processus prévisible, le processus établi s’exécute dans des limites quantitatives définies pour l’atteinte de ses résultats. Niveau 5 : processus en optimisation, le processus prévisible est amélioré de manière continue pour satisfaire des objectifs stratégiques actuels et prévisibles.
Ce modèle caractérise de façon détaillée et quantitative la maîtrise d’un processus par le biais de cotations permettant de composer un profil d’aptitude. Le rapport technique de 1998 était spécifique aux processus d’ingénierie du logiciel. Publiée entre 2003 et 2006, la norme est applicable à tout processus décrit dans un modèle de référence de processus qui respecte les exigences de la partie 2 (ISO 15504-2). La version de 1998 a été développée en prenant comme sources des référentiels publics ou privés de maîtrise des processus : Trillium, SW-CMM, Bootstrap, SQPA, HealthCheck, SAM, STD et l’ISO 9001. La réalisation d’évaluation d’aptitude par rapport à un modèle apporte à l’entreprise une connaissance approfondie de ses forces et de ses faiblesses dans la mise en œuvre de ses processus. Cette connaissance facilite le choix des objectifs d’amélioration et de leurs priorités. Le référentiel fournit un cadre général pour l’évaluation d’aptitude de processus dans des situations très différentes. Il peut servir de support à une démarche de certification ISO 9001, à la fois par l’aide qu’il apporte à la mise en place de processus d’ingénierie et par l’évaluation de leur maîtrise dans le contexte d’une démarche d’amélioration. On peut l’utiliser également pour présélectionner ses fournisseurs. Ce cadre peut servir de base à différents référentiels internes, assurant ainsi une représentation standardisée des résultats. Ceci permet, jusqu’à un certain degré, de comparer des résultats d’évaluations fondées sur des modèles dits compatibles parmi lesquels nous citerons le modèle CMMI-Dev, dont la représentation continue, est très
85
ISO 15504
similaire avec une dimension processus et une dimension d’aptitude composée de niveaux. Avec la norme ISO 15504, l’évaluation se fait processus par processus : il ne s’agit pas d’une évaluation globale de la maturité d’une unité organisationnelle, mais d’une cotation des attributs de processus spécifiques à chaque niveau d’aptitude et générique pour tout processus. Ces attributs sont des caractéristiques indépendantes du processus, servant à mesurer le niveau d’aptitude du processus : par exemple au niveau 1 « L’attribut de réalisation de processus est une mesure du degré d’atteinte de la finalité du processus ». Ils sont définis en détail dans le modèle d’évaluation.
Documentation Le cœur du dispositif a été décrit dans les parties suivantes : • Partie 1 – Concepts et vocabulaire (ISO 15504-1). • Partie 2 – Exécution d’une évaluation (ISO 15504-2). • Partie 3 – Réalisation d’une évaluation (ISO 15504-3). • Partie 4 – Conseils sur l’utilisation pour l’amélioration de processus et la
détermination de capacité de processus (ISO 15504-4). • Partie 5 – Un exemple de modèle d’évaluation de processus (ISO 15504-5). Ces parties ont été complétées en 2008 par les suivantes : • Partie 6 – Un exemple de modèle d’évaluation de processus du cycle de vie
système (ISO 15504-6), publié en septembre 2008. • Partie 7 – Evaluation de la maturité organisationnelle (ISO TR 15504-7), publié
en novembre 2008. • Partie 8 – Un exemple de modèle d’évaluation pour la gestion des services IT
(ISO 15504-8) en développement (fin 2008) et qui reprend les processus du référentiel ITIL déclinés dans la série ISO 20000. • Partie 9 – (Définition de) Objectif de profils de processus. (ISO 15504-9) en développement (fin 2008). On trouve dans la partie 2, outre la définition normalisée des niveaux d’aptitude de processus et de leurs attributs, une spécification des exigences relatives : • au processus d’évaluation à respecter lors de la mise en œuvre d’une méthode
d’évaluation ; • aux responsabilités spécifiques du commanditaire de l’évaluation et des évaluateurs ; • aux modèles de processus. La partie 3 qui explique comment répondre aux exigences formulées dans la partie 2, contient entre autres des recommandations explicites concernant les évaluateurs. La série de normes est disponible auprès des organismes de normalisation tel Afnor en France. Elle est révisée tous les cinq ans dans le cadre normal des révisions de normes par l’ISO.
86
Chapitre 14. ISO 15504
Il existe des traductions dans différentes langues dont le français, le japonais, le portugais (brésilien) et l’espagnol.
Mise en œuvre La série de normes ISO 15504 est utilisée dans le monde entier : par exemple, en France, en Allemagne, au Royaume-Uni, en Italie, en Espagne, aux Pays-Bas, en Finlande, en Suisse, en Amérique du Nord et du Sud, en Afrique du Sud, au Japon, en Corée, en Australie. De nombreux experts ont été formés dans tous ces pays. Une application à la norme ISO 12207 définissant les processus du cycle de vie des logiciels figure dans la partie 5 qui constitue un modèle type d’évaluation des processus du cycle de vie du logiciel. D’autres parties sont réalisées soit par des sociétés (évaluation des processus ITIL), soit par des groupements professionnels. Par exemple, SPiCE for SPACE (S4S) a été développée spécialement pour les systèmes à sécurité critique et dont le commanditaire est l’Agence spatiale européenne. L’initiative Automotive SPICE est également à mentionner compte tenu de l’importance qu’elle prend au niveau de grands industriels internationaux du secteur automobile, en particulier chez les industriels établis en Allemagne. Malgré une certaine promotion faite depuis son origine (Projet SPICE en 1996), sur le terrain, l’ISO 15504 ne bénéficie pas d’un support et d’une promotion comparable à d’autres grands modèles comme le CMMI qui est promu par le SEI (Software Engineering Institute). En particulier, en France, le CMMI est souvent retenu comme référence. Pour utiliser la norme ISO 15504, il est nécessaire de faire appel à : • un modèle de référence de processus (référentiel), par exemple la partie 2 ; • un modèle d’évaluation de processus, dont un modèle type est fourni dans
la partie 5 de la norme, peut être utilisé comme base pour la conduite d’une évaluation d’aptitude de processus logiciel ; • un processus d’évaluation documenté (méthode) conforme aux exigences de la partie 2 de la norme. C’est pourquoi, des modèles d’évaluation ont été développés, par des sociétés pour leur usage personnel, par des groupements d’industriels dans un secteur donné, ou encore par des sociétés de conseil. Ils sont généralement déclinés en termes de guides, documents types, formulaires, grilles de lecture, etc. Le déroulement des évaluations ne suit pas un schéma unique. Il existe différentes méthodes qui dépendent de l’organisme évaluateur, mais qui toutes doivent répondre aux exigences de la norme pour être conforme. L’iSQI (International Software Quality Institute) a mis en place l’iNTACS (International Accreditation Certification Scheme) pour accréditer les évaluateurs ainsi que les formateurs et les formations à l’ISO 15504 en forte synergie avec l’initiative AutomotiveSPICE.
ISO 15504
87
Aujourd’hui, les évaluations ne donnent lieu ni à une attestation ni à un certificat officiel par organisme accrédité ; l’évaluation repose comme pour le schéma d’évaluation du modèle CMMI, sur la compétence reconnue et enregistrée du responsable d’évaluation. L’auto-évaluation est encouragée explicitement par la norme.
Retour d’expérience Jean-Martin S IMON est responsable du pôle Évaluation et Expertise de la société QUALIUM ; il est l’éditeur de la Partie 5 de la norme (le modèle d’évaluation). En tant qu’évaluateur principal certifié ISO 15504, et SCAMPI Authorized Lead appraiser pour le modèle CMMI-Dev & CMM-ACQ, il apporte son témoignage sur l’utilisation du référentiel 15504 : « La mise en œuvre de SPICE peut contribuer à la définition d’un référentiel de processus internes d’ingénierie d’une organisation en facilitant l’identification des fondamentaux, puis des pratiques plus avancées, en liaison directe avec les niveaux d’aptitudes proposées par la norme. Le "catalogue des processus" proposés avec leurs pratiques de base est à considérer en conjonction avec d’autres normes comme la dernière version de l’ISO 12207 de 2008. D’un point de vue évaluation, SPICE fournit de nombreux points d’investigation, qui s’avèrent généralement moins génériques que ceux définis dans le modèle CMMIDEV. On retrouve cet aspect dans la déclinaison sectorielle de la norme avec le modèle AutomotiveSPICE. On pourra donc opposer un côté trop prescriptif (ex. : sur les exigences de traçabilité) mais qui a contrario permet de mieux guider les utilisateurs en explicitant ce qu’il convient de faire, en étant moins générique ». Frédérick F RADET, Process Improvement Project Leader chez Johnson Controls Automotive Electronics SAS apporte le témoignage suivant : « Johnson Controls cadre ses démarches d’amélioration des processus au sein de la division Electronique Europe en utilisant Automotive SPICE depuis sa publication. Ce choix s’est imposé pour assurer une meilleure communication avec les constructeurs automobiles. En effet, plusieurs d’entre eux utilisent également Automotive SPICE pour évaluer leurs fournisseurs, le fait d’utiliser le même standard facilite grandement la satisfaction des attentes de ces clients. De plus, le fait qu’Automotive SPICE soit un standard international adapté à l’automobile a fourni une légitimité dans l’uniformisation des pratiques des différents projets. Désormais, quel que soit le type de produit développé ou les sites de la division Electronique Europe concernés, le Management de Johnson Controls peut avoir une visibilité homogène sur les forces et faiblesses des différents projets. En outre, les problèmes liés à la mise en œuvre des pratiques directement attendues par le modèle ne sont plus remis en cause, ce qui permet de trouver des solutions plus constructives aux problèmes des projets et avoir une boucle d’amélioration continue plus efficace. Automotive SPICE est d’ailleurs un standard en évolution, de fait il est pressenti comme un standard s’adaptant aux contraintes du monde automobile, elles-mêmes en constante évolution ».
15 ISO 20000
Le dispositif ISO 20000 permet à une entreprise d’obtenir une certification de son système de management de la qualité de service, plus spécialement en matière de production informatique.
Figure 15.1 — Dispositif ISO 20000
Présentation De façon synthétique, nous pouvons présenter ISO 20000 comme la norme internationale issue d’ITIL.
90
Chapitre 15. ISO 20000
La première étape de normalisation a été la reprise d’ITIL par l’organisme de normalisation britannique, BSI, sous la forme de la norme BS 15000. La seconde étape s’est terminée en 2005, elle a abouti à la reprise de la BS 15000 dans la norme ISO 20000 qui se présente en deux parties : • Partie 1 – Spécifications (ISO 20000-1), norme d’exigences. • Partie 2 – Code de bonnes pratiques (ISO 20000-2), norme de recommanda-
tions. La refonte de la norme a été initiée en 2007. Outre la refonte des parties 1 et 2, dans un sens plus généraliste, afin d’élargir le périmètre au monde non-IT, La version future se composera de trois parties supplémentaires, qui n’auront pas le statut officiel de norme, mais celui de rapport technique, ne pouvant donc donner lieu à certification : • PDTR 20000-3, Information technology - Service Management - Part 3 : Guidance
for the scoping and applicability of ISO/IEC 20000-1 ; • ISO 20000-4, Information technology - Service management - Part 4 : Process Reference Model, qui détaille chaque processus de la norme ISO 20000-1 de manière opérationnelle (entrées-sorties et processus internes de chaque processus) ; • ISO 20000-5, Exemplar Implementation Plan for ISO/IEC 20000-1, qui présente un chemin progressif de mise en conformité avec ISO 20000-1, en différenciant les exigences primordiales des exigences secondaires. Une progression étagée par niveau à l’instar de CMMI est à l’étude. À fin 2008, un projet de rédaction était soumis à relecture, pour chacune de ces trois parties supplémentaires. Grâce à ce dispositif, la certification d’un système de management de services va désormais être possible au niveau international. Tout comme l’ITIL, la norme ISO 20000 ne s’applique pas au produit. La partie 1 de la norme ISO 20000 (ISO 20000-1) s’appuie sur l’approche processus et la boucle d’amélioration continue ou PDCA (Plan-Do-Check-Act). Les processus dont nous ne garantissons pas l’appellation française (encore provisoire), sont classés en cinq grands types de processus : • les processus de fourniture de services :
– – – – – –
gestion des niveaux de service, reporting, gestion de la continuité de service et gestion de la disponibilité, budgétisation et comptabilisation des services informatiques, gestion de la capacité, gestion de la sécurité de l’information.
• les processus de gestion des relations :
– gestion de la relation commerciale, – gestion des fournisseurs.
91
ISO 20000
• les processus de résolution :
– gestion des incidents ou comment s’attaquer aux conséquences des dysfonctionnements, – gestion des problèmes ou comment s’attaquer à leurs causes. • les processus de contrôle :
– gestion de configuration, – gestion des changements. • le processus de mise en production qui n’est pas lui-même décomposé en sous-
processus. La nécessité d’être extrêmement réactif induit souvent un manque de traçabilité dans les métiers de l’informatique où les termes documentation, validation, revue, accords entre les parties reviennent souvent en termes d’exigences. Pour remédier à cet état de fait, il est nécessaire d’industrialiser des pratiques qui restent souvent artisanales, en définissant clairement les rôles et responsabilités de chacun des acteurs, clients ou fournisseurs de services. Les mesures constituent le troisième volet du PDCA, celui de la vérification ou Check. Un des processus obligatoires est celui de l’établissement de rapports réguliers (reporting) sur l’état du fonctionnement des services. L’application du référentiel nécessite la mise en place de mesures examinées lors de revues de processus et d’audits. Les indicateurs précis à mettre en place ne sont toutefois pas imposés, mais laissés à l’appréciation de chaque entreprise qui pourra les sélectionner dans les recommandations de la norme ou dans un autre référentiel proche tel que CobiT.
Documentation ISO 20000 partie 1 (2005) a été traduite en français. Afnor ne prévoit pas actuellement de traduire les autres parties, en raison du plus faible intérêt qu’elles suscitent. Seule la partie 1 peut faire l’objet d’une certification, ce qui est une autre raison du manque de soutien pour une reprise des autres parties en version française. La bibliothèque ITIL constitue elle-même un sur ensemble des exigences et des recommandations contenues dans les normes de la série ISO 20000. Le chapitre français de l’itSMF (IT Service Management Forum), l’itSMF France, fournit progressivement les versions françaises de la documentation ITIL.
Mise en œuvre L’utilisation de la norme ISO 20000-1 pour la certification de services a pris le relais de celle qui était effectuée dans un cadre strictement britannique sur la base de la BS 15000. L’ISO 20000 annule et remplace la BS 15000. Début 2009 le site www.isoiec20000certification.com recensait 333 certificats dans le monde, dont seulement trois en France obtenus par BT France - Hosting Business Unit, Thales Security Solutions & Services Division et IBM Ltd France. Le Royaume-Uni
92
Chapitre 15. ISO 20000
arrive sans surprise en tête avec 50 certificats, devant le Japon fort de 48 certificats et l’Inde qui en compte 39. La certification ISO 20000 est délivrée par plus de 30 organismes de certification accrédités par l’itSMF, parmi lesquels on retrouve les grands organismes certificateurs des systèmes de management de la qualité et de la sécurité. Elle a pris la suite de celle que cette association avait lancée dès 2003 pour fournir un contrôle indépendant de conformité à la norme BS 15000. Une certification ISO 20000 se déroule de façon classique suivant le processus d’audit tierce partie par un organisme de certification accrédité : pré-audit ou audit à blanc facultatif, audit de certification, remise du certificat et audits de suivi. La durée du certificat est au maximum de trois ans et nécessite un audit de suivi annuel.
Retour d’expérience Nous avons interrogé Francis R ONEZ, vice-président et directeur pour la France et les pays francophones d’Axios Systems ltd. sur le processus interne qui a permis à Axios Systems d’être la première société au monde à être certifiée BS 15000. Son témoignage met en avant l’intérêt que présentent la gestion de services et la certification ISO 20000 pour une entreprise à vocation mondiale, tout en étant de taille humaine. « Éditeur de logiciels vendus dans le monde entier, la société Axios Systems est une entreprise de 200 personnes. Dès sa fondation en 1988, Axios Systems a adopté l’ITIL et l’approche méthodologique des meilleures pratiques, pour lesquelles elle a conçu sa solution, assyst, qui permet d’appliquer au quotidien les recommandations de l’ITIL. Dès son introduction, la BS 15000 a été reconnue comme la seule norme en mesure de démontrer la conformité d’une entreprise à l’ITIL. Il nous a semblé logique qu’Axios Systems se fixe comme objectif de faire partie des premières organisations au monde à obtenir la certification à la norme. À travers cette certification, nous désirions démontrer notre engagement dans l’ITIL et dans les meilleures pratiques et montrer que nous pratiquions ce que nous prêchions. La première étape cruciale de notre projet de certification BS 15000 consista à nous assurer du soutien et de l’implication de la direction. Étant donné notre soutien historique à l’ITIL, participant à la diffusion de l’ITIL et en prenant une part active dans l’itSMF, le concept a séduit nos directeurs et nos managers qui ont encouragé toute l’organisation à manifester le même degré d’engagement dans le processus de certification. L’étape suivante consista à désigner un responsable de projet et à répartir les rôles et les responsabilités. Nos premières discussions ont eu lieu début 2003. Cependant à ce moment-là, aucun organisme d’audit n’avait été accrédité, il a fallu attendre l’été 2003. Le projet de certification fut lancé officiellement au sein d’Axios Systems en août 2003. Nous avions la chance de compter parmi Axios Systems des auditeurs et des consultants ITIL qualifiés “ Service Manager ” qui ont été capables d’effectuer un pré-audit interne afin d’évaluer notre degré de préparation à l’audit officiel. Les résultats de ce pré-audit nous ont servi à éliminer toutes les lacunes identifiées et,
ISO 20000
93
lorsque nous avons été satisfaits des ajustements, nous avons sollicité un auditeur officiel de KPMG, l’un des organismes d’audit enregistrés auprès de l’itSMF. La charge initiale de travail, principalement interne, a été assumée par les ressources mentionnées ci-dessus, qui ont investi 10 à 20 % de leur temps au début du processus avant de s’impliquer davantage à l’approche de l’audit. L’engagement de la direction s’est révélé essentiel pour mettre à disposition et gérer efficacement les ressources nécessaires. Lorsque nous avons programmé l’audit, nous avons découvert que la durée de celui-ci pouvait beaucoup varier en fonction de la taille de l’organisation. Notre audit a été réalisé en quatre jours. La certification a été délivrée en février 2004. L’impact de cette certification a été positif, que ce soit vis-à-vis de nos clients, de nos collaborateurs ou de notre organisation. Le personnel d’Axios Systems est extrêmement fier de cette certification et de son implication dans le processus d’accréditation. Chaque personne a contribué et continue de contribuer au programme d’amélioration continue qui a été mis en place dans le cadre du processus de revue de l’accréditation. Au niveau de l’organisation, la certification a conforté notre confiance dans la qualité de notre personnel et dans la formation que nous leur dispensons régulièrement. Nous nous assurons ainsi que nous sommes en mesure de fournir un support interne de qualité, ce qui se répercute sur la qualité du produit que nous offrons sur le marché. Elle a en outre permis de mettre en lumière certains points qui devaient être revus afin de maintenir nos propres standards à haut niveau. La gestion de services informatiques (ITSM, Information Technology Service Management) est notre domaine d’activité. Au cœur de nos solutions, l’ITSM contribue à la réussite de l’ensemble de notre organisation. C’est par la mise en place de la gestion de services informatiques et le respect des meilleures pratiques que nous parvenons à fournir des services informatiques cohérents de grande qualité, en interne et chez nos clients. Nous gérons nos services informatiques en utilisant une approche holistique qui repose sur la gestion des capacités. Grâce à cette approche, notre infrastructure SI nous donne les moyens de satisfaire nos besoins métier d’aujourd’hui et de demain ainsi que ceux de nos clients, sur des budgets maîtrisés. L’ITSM est une décision stratégique. Sa réussite dépend donc de l’engagement de la direction. Chez Axios Systems, non seulement le management soutient l’ITSM, mais il en est le plus fervent défenseur. Cela s’explique par le rôle essentiel tenu par la gestion de services en tant que fondement de notre offre métier. La gestion de services informatiques a contribué à façonner chez Axios Systems une culture orientée vers le service. Tous les collaborateurs d’Axios Systems en contact avec les clients possèdent une qualification ITIL, beaucoup au niveau Service Manager. Tous nos employés comprennent l’importance fondamentale de l’ITSM et ont conscience de leur apport dans la réussite de l’entreprise. Nos clients sont certains que nous leur fournirons un service de qualité reposant sur des processus clairement définis et publiés. De plus, comme nous mesurons et nous communiquons clairement nos niveaux de service, nos clients ont confiance dans Axios Systems et dans nos offres de services ».
94
Chapitre 15. ISO 20000
Au début de l’année 2006, il y avait plus de sociétés de conseil et de consultants proposant leur accompagnement que de sociétés certifiées. L’ITIL et l’ISO 20000 sont des opportunités pour les sociétés de service et pour les éditeurs d’outils qui annoncent tous des produits conformes à l’ITIL. Même si les éditeurs s’inspirent des bonnes pratiques d’ITIL pour concevoir leurs outils, il n’existe aucune certification de produit pour labelliser un outil d’aide à la gestion de services, qu’il s’agisse de gestion d’incident, de gestion de configuration ou tout autre processus difficile à mettre en œuvre manuellement. Le bénéfice d’une certification d’un système de gestion des services est double, comme celui de toute certification de système : une meilleure maîtrise des processus et une confiance accrue du marché. Le bénéfice essentiel porte sur la revalorisation de l’image du parent pauvre qu’est la production informatique qui souffre depuis ses origines d’un manque flagrant de considération par rapport aux métiers nobles du développement. La motivation du personnel de production devrait ainsi être la première valeur ajoutée d’une démarche ISO 20000 : les certifications de personnes selon ITIL prennent ainsi tout leur sens en s’inscrivant dans une démarche d’entreprise soutenue par la direction. La boucle d’amélioration repose sur la mise en œuvre de pratiques concrètes moins conceptuelles que celles de l’ISO 9000. L’ISO 20000 apporte à l’entreprise un outil transversal de communication grâce à un vocabulaire précis sur des sujets comme la gestion des incidents ou la gestion des problèmes. L’ISO 20000 resitue ainsi l’informatique au service des objectifs métiers de l’entreprise. Les principes de l’ISO 20000 peuvent également être appliqués de façon avantageuse à des services autres que les services informatiques. Parmi les points faibles potentiels, il faudra s’assurer que tous les certificats délivrés aux quatre coins du monde ont bien la même valeur, quel que soit l’organisme certificateur, ce qui suppose de rester vigilant en matière d’accréditation. Il ne faut pas sous-estimer la résistance au changement à l’intérieur des DSI, ni l’effort humain et financier de la mise en œuvre de certains processus : procéder à l’inventaire des matériels et logiciels de l’entreprise et mettre en place une procédure de mise à jour fiable peut prendre plusieurs mois.
16 ISO 25051
Le dispositif ISO 25051 permet à une entreprise d’obtenir une certification en matière de qualité du produit logiciel.
Figure 16.1 — Dispositif ISO 25051
Présentation La norme ISO 25051 fait partie de la série de normes ISO 25000 concernant l’exigence de qualité et évaluation du logiciel (SquaRE).
96
Chapitre 16. ISO 25051
Le référentiel associé à ce dispositif est la norme ISO 25051 (anciennement ISO 12119) de 2006 qui définit les exigences de qualité pour les progiciels et les instructions d’essais. Elle spécifie des exigences applicables aux progiciels commercialisés et donne des instructions sur la manière de vérifier la conformité à ces exigences. Elle sert de base à l’évaluation ou à la certification de ces progiciels. Il s’agit par exemple des traitements de texte, des tableurs, des gestionnaires de bases de données, des outils de dessin, des logiciels techniques ou scientifiques ou d’utilitaires systèmes. L’ISO 25051 comporte trois chapitres principaux : • les exigences sur le produit : sa description, sa documentation utilisateur et les
exigences en matière de qualité ; • les exigences sur la documentation des tests : le plan de test, la description et
les résultats des tests ; • les instructions relatives aux évaluations de conformité à cette norme : éva-
luations préalables, activités d’évaluation, évaluation tierce partie, rapport d’évaluation, évaluation de suivi. Cette norme fait référence aux caractéristiques qualité définies dans une norme dans la norme ISO 25010, en cours de développement, qui reprendrait entre autres le contenu de l’actuelle norme ISO 9126-1. En matière de mesure, aucune exigence spécifique n’est formulée dans le référentiel. On peut toutefois supposer que les mesures utilisées doivent être cohérentes avec les caractéristiques qualité de l’ISO 25010.
Documentation L’ISO 25051 publiée en 2006 annule et remplace la norme ISO 12119 Progiciel – Exigences qualité et essai qui datait de 1994. Elle est disponible en anglais et en français.
Mise en œuvre En France, ce dispositif conditionne le droit d’usage de la marque NF Logiciel. Au 20 mars 20091 , 34 sociétés avaient certifié au total 60 logiciels. Fin 2005, on comptait 52 produits certifiés. Ce dispositif peut servir à l’évaluation ou à la certification de logiciels sur étagère tels qu’ils sont proposés à la vente en boutique. Il s’agit de vérifier la conformité aux exigences de la norme à partir des documents qui décrivent le produit et les tests, sans tenir compte du processus de développement (activités ou produits intermédiaires, par exemple les spécifications). Les exigences de la marque NF Logiciel et la méthode d’évaluation reposent sur trois familles d’exigences : les exigences qualité provenant de l’ISO 9001, celles qui sont relatives au produit provenant de l’ISO 25051 et les exigences complémentaires spécifiques à un domaine. 1. http://www.infocert.org/produits_certifies.php# G0
97
ISO 25051
Il n’existe aucune formation spécifique attachée à la mise en œuvre de cette norme. En France, l’expertise se trouve essentiellement chez Infocert l’organisme de certification mandaté pour la marque NF Logiciel. La certification doit être renouvelée annuellement pour chaque produit.
Retour d’expérience Les responsables de différentes sociétés font part de leur expérience de la certification NF Logiciel. La société EBP déclare : « Nous faisons partie des premiers éditeurs à avoir obtenu le double label NF Logiciel et Support utilisateur certifiés. Cela nous a demandé des aménagements spécifiques mais bénéfiques, et l’ensemble a été moins contraignant que nous aurions pu le penser puisque nous avions déjà des procédures bien arrêtées, notamment en matière de traçabilité des appels et de structuration de nos développements ». La société Extensity France (ex Geac) : « Nous avons choisi de faire certifier nos solutions NF Logiciel en nous intégrant très en amont, aux côtés d’Infocert, dans la réflexion liée à la définition du système de certification et de sa mise en œuvre. Un travail collaboratif et constructif permet aujourd’hui, par le biais de cette certification, d’offrir tous les gages d’assurance et de fiabilité aux utilisateurs finaux ». Pour ITHEC International : « L’objectif de notre développement international doit s’appuyer sur des outils et des produits “ sans faille ”. Le dire est une chose, mais s’appuyer sur une certification en est une autre. Elle rend notre discours crédible. En interne, c’est un projet d’entreprise basé sur le travail des services techniques et valorisé par le service commercial. Le gain, une plus grande fiabilité, s’appuie sur des procédures simples, lisibles et utilisables par tous. C’est également la maîtrise du cycle de test qui est un élément prépondérant de la qualité et du service client pour nous, éditeurs de logiciel ». Une nouvelle marque NF Logiciel est relativement facile à élaborer. Elle permet de répondre au besoin du marché : faire évaluer par une autorité indépendante et compétente la capacité des éditeurs de logiciel à prendre en compte une réglementation particulière. Cela nécessite la création d’un groupe de travail regroupant des éditeurs, des utilisateurs et des experts du domaine. On obtient ainsi une marque « NF Logiciel, xxx ». Par exemple, la marque « NF Logiciel, Normes comptables internationales » qui atteste la conformité du produit aux exigences requises pour traiter les normes comptables internationales IAS/IFRS. Cette marque permet aux éditeurs de démontrer leur capacité à intégrer dans leurs produits les nouvelles exigences comptables. D’autres domaines donnent lieu (ou vont donner lieu) à une marque spécifique : SI ressources humaines, Reporting financier, Services et prestations associés au produit, Gestion budgétaire.
98
Chapitre 16. ISO 25051
Toutefois, si ce type de certification établit la conformité du « produit soumis à l’évaluation » il ne préjuge pas de sa conformité future lors de ses évolutions entre deux certifications. Pour estimer la conformité future, le dispositif le plus approprié est celui de la certification ISO 9001, à condition d’inclure l’entité responsable du produit dans son champ d’application.
17 ISO 27001
Le dispositif ISO 27001 permet à une entreprise d’obtenir une certification pour son système de management de la sécurité des systèmes d’information.
Figure 17.1 — Dispositif ISO 27001
Présentation L’ISO 27001, publiée en octobre 2005, complète le dispositif normatif en matière de Système de management de la sécurité de l’information (SMSI). Pour résumer la situation, nous pouvons dire que l’ISO 27001 et l’ISO 27002 constituent un couple
100
Chapitre 17. ISO 27001
complémentaire en matière de sécurité, tout comme l’ISO 9001 et l’ISO 9004 en matière de qualité. L’ISO 27001 présente les exigences pouvant faire l’objet d’une certification, et l’ISO 27002 les recommandations pour la mise en œuvre effective de ces exigences. Cependant, le détail des bonnes pratiques a précédé celui des exigences soumises à la certification. Mais reprenons l’historique du développement de cette famille de normes : • en 1995, BSI publie la norme BS 7799 qui formalise pour le marché britannique •
• • •
• • •
• •
un recueil de bonnes pratiques en matière de sécurité de l’information ; en 1998, BSI publie une seconde partie de la BS 7799 (BS 7799-2) permettant de mettre en place une certification de l’application des dispositions contenues dans la BS 7799 qui a été numérotée à cette occasion BS 7799-1 ; en 1999, BSI publie une seconde édition de la BS 7799-1 afin de pouvoir la soumettre à l’ISO ; en 2000, la norme britannique BS 7799-1 devient la norme ISO 17799, Code de pratiques pour la gestion de sécurité d’information ; en 2002, BSI publie une version améliorée de la BS 7799-2 afin de l’harmoniser avec les systèmes de management de la qualité et de l’environnement (ISO 9001 et ISO 14001) ; en octobre 2005, l’ISO 17799 est mise à jour conformément à la politique de révision quinquennale de l’ISO ; en 2005, la norme BS 7799-2 devient la norme ISO 27001 ; en février 2007, la norme ISO 27006, s’appuyant sur la norme ISO 17021, vient compléter le dispositif en fournissant les exigences pour les organismes d’audit et de certification des SMSI ; le premier juillet 2007, l’ISO 17799 devient l’ISO 27002, sans changer de contenu ; enfin, en juin 2008, l’ISO 27005 remplace la BS 7799-2, en décrivant la gestion du risque pour la sécurité de l’information.
D’autres normes complémentaires devraient être publiées dans les années prochaines : • l’ISO 27000, qui présentera une vue globale de la famille de normes et du
vocabulaire ; • l’ISO 27003, un guide d’implémentation pour le système de gestion de sécurité de l’information présentant des bonnes pratiques en termes d’implémentation, issues de l’annexe B de la BS7799-2 ; • l’ISO 27004, une norme définissant des métriques pour l’évaluation de l’efficacité de la mise en œuvre des systèmes de management de la sécurité de l’information (ISMS, Information Security Management Systems) ; • l’ISO 27007, un guide pour l’audit d’un SMSI, dont la publication est prévue en 2010, mais dont le titre exact n’a pas encore été choisi.
101
ISO 27001
L’ISO 27001 spécifie les processus qui permettent à une entreprise de construire, de gérer et d’entretenir un système de gestion de sécurité de l’information. Elle intègre l’approche processus et le cycle PDCA (Plan-Do-Check-Act) d’amélioration continue déjà contenu dans les normes ISO 9001 et ISO 14001 : • Plan : organiser la mise en place du système de gestion de sécurité de l’informa-
tion ; • Do : mettre en place et faire fonctionner le système ; • Check : contrôler l’efficacité du système par des audits internes et des évaluations de risque ; • Act : améliorer le système par des actions correctives et préventives appropriées, l’entretenir par des actions de communication et de formation. En matière de sécurité, la boucle d’amélioration est synonyme de boucle de réduction des risques. En pratique, il convient de mettre en place des procédures pour : • détecter rapidement les erreurs de traitement ; • identifier immédiatement toute non-conformité aux règles de sécurité et organi-
ser la remontée immédiate des incidents ; • vérifier que toutes les tâches relatives à la sécurité sont réellement exécutées que ce soit par des hommes ou des automates ; • identifier les actions à réaliser pour corriger les non-conformités aux règles de sécurité. En matière de contrôle, il convient de réaliser des revues régulières de l’efficacité du système à partir des résultats d’audits, des rapports d’incidents, ainsi que des suggestions et commentaires reçus des parties concernées. D’autre part, il faut examiner et adapter en permanence les niveaux de risques résiduels acceptables en fonction des évolutions de l’organisation, de la technologie, des lois et réglementations ou encore de l’opinion publique. Des exigences de mesures sont explicitement contenues dans la norme, sous forme d’évaluations de risques, d’audits, de collecte de données sur les incidents et de nonconformités. Il manque toutefois à la norme les métriques qui permettraient, avec un référentiel unique, de comparer plus facilement des entités certifiées.
L’ISO 27002 Les objectifs de sécurité indiquent le but à atteindre et les mesures de sécurité présentent les activités permettant d’y parvenir, expliquant les actions à mettre en œuvre pour implémenter ces mesures. L’ISO 27002 est un outil d’aide à la mise en œuvre de l’ISO 27001. Il regroupe une clause introductive sur l’appréciation du risque et son traitement, 39 objectifs de sécurité, décomposés en 133 mesures de sécurité organisationnelles et techniques, relatives à 11 domaines.
102
Chapitre 17. ISO 27001
• La politique de sécurité : elle exprime l’orientation et l’engagement de la •
• • •
•
• •
• •
•
direction en matière de sécurité de l’information. L’organisation de la sécurité : elle permet de définir les responsabilités de management de la sécurité de l’information au sein de l’entité, y compris lorsque des tiers accèdent à l’information ou sont responsables du traitement de l’information. La classification des informations ou gestion des actifs : elle vise le maintien du patrimoine informationnel de l’entreprise. La sécurité des ressources humaines : elle vise la réduction des risques d’origine humaine (vol, fraude ou utilisation abusive des infrastructures). La sécurité physique et environnementale : elle permet de prévenir les accès non autorisés aux locaux, aux informations et à leurs supports, ainsi que toute forme d’atteinte ou de dégradation de ces locaux. La gestion des opérations et des communications : elle permet d’assurer le fonctionnement correct et sûr des infrastructures de traitement de l’information, et de minimiser les risques opérationnels. Les contrôles d’accès : ils permettent de maîtriser les accès logiques au patrimoine informationnel. Le développement et la maintenance des systèmes : leur fonction est d’inclure la sécurité dans le développement et la maintenance des systèmes d’information, dès les phases de spécification et de conception. La gestion des incidents de sécurité : elle fournit les éléments de traçabilité et d’analyse indispensables aux actions correctives et préventives. La continuité d’activité : elle s’obtient par la mise en place des parades aux interruptions des activités de l’entité afin de permettre aux processus vitaux de l’entité de continuer à fonctionner malgré des défaillances ou des sinistres majeurs impactant le système d’information. La conformité à la réglementation interne et externe : son objectif est d’éviter les infractions de nature légale, réglementaire ou contractuelle et d’assurer la bonne application de la politique de sécurité.
Documentation Les normes de la série ISO 27000 sont disponibles auprès d’Afnor en France. L’ISO 27002 ainsi que l’ISO 27001 sont disponibles en anglais uniquement. Des informations complémentaires peuvent être obtenues auprès de l’ISMS (Information Security Management Systems) International User Group. En France, la Direction centrale de la sécurité des systèmes d’information (DCSSI) a mis en ligne un guide de bonnes pratiques expliquant comment exploiter, dans le cadre d’une démarche ISO 27001, les résultats de la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité).
ISO 27001
103
Mise en œuvre Au Royaume-Uni, la BS 7799-2 fait l’objet d’un dispositif complet de certification. En France, jusqu’à la parution de la norme ISO 27001, il n’existait pas de dispositif de certification en matière de système de gestion de la sécurité de l’information. À fin décembre 2008, près de 5 000 certificats ont été délivrés dans l’ensemble du monde dont 9 en France. Les chiffres sont parlants : 50 certificats au début 2001, 1 000 à la fin 2004, 2 000 à la fin 2005 et près de 5 000 à la fin 20081 ; la tendance est la même que celle qui a accompagné la certification ISO 9001. Les cinq premiers détenteurs de certificats2 sont le Japon (2 863), l’Inde (433), le Royaume-Uni (368), Taïwan (202) et l’Allemagne (108). La France arrive au 32e rang mondial. En nous appuyant sur le succès de la norme BS 7799-2 dans les pays anglo-saxons, nous pouvons toutefois faire le pari que la norme ISO 27001 connaîtra une reconnaissance au moins équivalente à celle de l’ISO 9001, aujourd’hui évidente pour tous et largement entrée dans notre quotidien. On peut déjà noter l’intérêt du monde bancaire soumis à la réglementation Bâle II qui impose de se prémunir face aux risques dits opérationnels, notamment en ce qui concerne le « risque de pertes directes ou indirectes d’une inadéquation ou d’une défaillance attribuable à des procédures, personnes, systèmes internes ou à des événements extérieurs ». La conformité à ce référentiel commence à être reconnue comme un élément de présomption de respect de certains textes comme la loi Sarbanes-Oxley, Bâle II ou comme la Loi de Sécurité Financière, lesquels expriment des exigences fortes en matière de sécurisation des données financières. BSI ainsi que d’autres certificateurs internationaux comme LRQA (Lloyd’s Register Quality Assurance) délivraient déjà des certificats sur la base de la norme BS 7799-2 pour une durée de trois ans renouvelable. Ces certificateurs proposent aujourd’hui le passage à une certification sur la base de l’ISO 27001. L’organisme certificateur chargé de délivrer les certificats respectera les mêmes principes que ceux qui sont appliqués à l’ISO 9001 : en France, il devra être accrédité par le Comité français d’accréditation (COFRAC) selon un processus strict et normalisé. La démarche d’audit ISO 19011 s’applique en particulier aux audits de conformité ISO 27001. Pour réduire les coûts supplémentaires d’une nouvelle certification, des audits combinés sur plusieurs normes de systèmes de management (ISO 9001, ISO 14001 et ISO 27001) pourront être effectués par des certificateurs accrédités par le COFRAC.
1. Source : www.xisec.com 2. Source : http://iso27001certificates.com
104
Chapitre 17. ISO 27001
Retour d’expérience Le directeur qualité d’un groupe international témoigne : « L’essentiel du travail porte sur l’analyse de risque qui nécessite la mise en place d’une méthode adaptée, ne faisant pas encore l’objet d’une recommandation normative. L’identification exigée par la norme des actifs informationnels et celle des risques qui menacent ces actifs, constituent le premier bénéfice de la mise en place de cette norme. La certification a fortement réduit “ l’auditomanie ” de nos clients. De plus, comme nous faisons partie d’un groupe international, la norme nous permet d’avoir un langage commun. Enfin, comme pour les autres démarches de certification de système de management, l’élément clé de la réussite du projet est l’engagement de la direction ». Gilles T ROUESSIN, certifié Lead Auditor 27001 par BSI, est consultant en audit et management de la sécurité des systèmes d’information au sein de la société OPPIDA. Il confirme cette nouvelle tendance : « De plus en plus d’entreprises issues de secteurs d’activité variés se soucient sérieusement du management de la sécurité de leurs informations de façon, disons, plus professionnelle, c’est-à-dire de manière organisée, planifiée et maîtrisée, et non plus de façon improvisée par des interventions ponctuelles en urgence, sans trop de coordination entre elles, ni d’anticipation sur la qualité ou la constance de celles-ci. L’utilisation de méthodes et d’outils tels que ceux développés par la DCSSI facilitent la mise en place cohérente et maîtrisée d’un système de management de la sécurité de l’information à l’aide la norme ISO 27002 d’une part, et d’autre part la mise en œuvre de la démarche d’audit et de certification correspondante avec l’ISO 27001. Il s’agit de mettre en application la méthode “ EBIOS ” ou encore de favoriser la mise en place et l’exploitation d’un Tableau de bord de la sécurité des systèmes d’information (TDBSSI) ». La force du dispositif réside dans le modèle de management calqué sur le modèle générique du PDCA qui permet aux entreprises de l’intégrer dans un système de management unique, couvrant les aspects qualité, sécurité et environnement. En contrepartie, le dispositif semble aujourd’hui mieux adapté aux grands groupes multinationaux soumis à des contraintes réglementaires et légales multiples qu’aux petites et moyennes entreprises. L’ISO 27001, bien que diffusée par Afnor, n’est pour l’instant pas traduite en français, ce qui en rend l’utilisation difficile. Conscients de ces difficultés, l’état français mène une véritable campagne promotionnelle en faveur de la politique sécurité, par le biais de la DCSSI et de la publication du Référentiel général de sécurité (RGS), applicable aux administrations centrales et territoriales ainsi qu’à l’ensemble des organismes contribuant à l’administration électronique. Bien que les guides d’application sur l’évaluation des risques (ISO 27005) et les méthodes de mesure (ISO 27002) soient aujourd’hui disponibles, un accompagnement fort par des sociétés de conseil reste indispensable. D’après l’étude Gartner Recommendations for Security Administration, en 2009 plus de la moitié des Systèmes de management de la sécurité de l’information (SMSI) devrait être fondée sur l’ISO 27001 et utiliser l’ISO 27002 comme ensemble de
ISO 27001
105
contrôle. On peut toutefois s’interroger sur le très faible nombre d’entreprises françaises certifiées ISO 27001 : 9 en France sur près de 5 000 au niveau mondial. Gageons que l’obligation faite aux entreprises sous-traitantes de l’administration française de s’aligner sur le RGS devrait avoir rapidement un effet de levier sur le nombre de certificats.
18 ITIL
Le dispositif ITIL permet à une personne physique d’obtenir une certification en matière de production informatique.
Figure 18.1 — Dispositif ITIL
Présentation L’ITIL (Information Technology Infrastructure Library) est le résultat de plusieurs années de réflexion et d’expérience sur des problèmes posés par les technologies de l’information. L’ITIL est un référentiel de bonnes pratiques pour la fourniture de
108
Chapitre 18. ITIL
services informatiques ; ce référentiel aide les entreprises à atteindre leurs objectifs de qualité et de maîtrise des coûts. ITIL est un référentiel ouvert et public qui appartient à l’OGC (Office of Government Commerce). Il a été développé sous l’impulsion du gouvernement britannique par des groupes de travail composés de responsables opérationnels, d’experts indépendants, de consultants et de formateurs. En mettant en place une organisation de support et de conseil, la direction informatique peut améliorer le service rendu au client par une meilleure communication, par des engagements sur des résultats mesurables, négociés et mesurés, et par le respect des contraintes budgétaires. Aujourd’hui il existe deux versions d’ITIL, la version V2 et la version V3. La V2 aurait dû être définitivement remplacée par la V3 fin 2008. Début 2009, force est de constater, que sous la pression de certains utilisateurs ; les deux versions continuaient à coexister début 2009.
ITIL V2 : une approche par processus ITIL V2 est donc toujours d’actualité. Il repose sur huit modules intitulés : • ITIL – The Business Perspective qui présente les avantages pour l’entreprise d’une
gestion des services afin de mieux comprendre l’ITIL. • ITIL – Service Delivery qui couvre les processus nécessaires à la conception et à • • • • • •
la fourniture des services. ITIL – Service Support qui couvre la fonction Service-Desk et les processus nécessaires à la maintenance et au support des services. ITIL – Security Management qui couvre l’ensemble des aspects de mise en œuvre et de gestion de la sécurité des systèmes d’information. ITIL – ICT Infrastructure Management qui couvre les processus de conception et de gestion des infrastructures informatiques. ITIL – Application Management qui couvre les interactions de la gestion des applications avec la gestion de services. ITIL – Software Asset Management qui couvre la gestion des objets logiciels sur l’ensemble de leur cycle de vie. ITIL – Planning to implement Service Management qui couvre le plan de mise en œuvre de la gestion des services et les conseils à suivre.
Pour la V2, les modules s’emboîtent comme les éléments d’un puzzle avec cependant des zones de recouvrement. Chaque module décrit un domaine constitué de plusieurs processus. Chaque processus établit des règles de bonnes pratiques en matière de service délivré et s’assure du bon fonctionnement grâce à la certification des individus. La certification ne porte que sur les deux modules Soutien des services et Fourniture de services. Dans son principe, l’ITIL décrit le service à rendre et non pas la façon de s’y prendre.
109
ITIL
ITIL V3 : une approche fondée sur le cycle de vie du service rendu ITIL V3 repose sur la notion de cycle de vie du service, chaque étape faisant l’objet d’une publication : • ITIL – SS-Service Strategy fournit des conseils sur les modèles d’organisation
définissant les relations entre entreprise et fournisseur de service. • ITIL – SD-Service Design fournit des conseils sur la conception et la maintenance
des services. • ITIL – ST-Service Transition fournit des conseils sur la gestion des changements
la maîtrise des risques et les mises en production. Elle cherche à améliorer l’aptitude aux changements. • ITIL – SO-Service Operation fournit des conseils d’efficacité et d’efficience dans l’exploitation et le support des services. • ITIL – CSI-Continual Service Improvement traite du suivi de l’amélioration du service sur toutes les étapes du cycle de vie. Il fournit des conseils pour maintenir et créer de la valeur au client. La V3 intègre les processus issus de la V2. Mais dans son principe, ITIL V3 ne voit plus le système comme uniquement comme un emboîtement de modules et de processus. Cette version du référentiel insiste davantage sur le fait que les composants du système sont en contact les uns avec les autres à la façon d’un mikado. Dès que l’un d’entre eux est modifié, il y a implicitement répercussion de la modification sur les autres composants. Cette vue est plus complexe dans la mesure où les processus sont décrits à travers les étapes du cycle de vie du service rendu. Cela explique peut-être la difficulté de certains utilisateurs à adopter la V3.
Documentation Concernant la V2, la certification de personnes repose uniquement sur deux recueils couvrant les domaines suivants : • ITIL – Soutien des services (ITIL – Service Support) ; • ITIL – Fourniture de services (ITIL – Service Delivery).
Ils sont rédigés en anglais et en français. La version anglaise est disponible sous forme de CD-ROM. Il existe aussi un Guide de poche sur la Gestion des services des TI. La certification V3 couvre l’ensemble des cinq publications précitées. La documentation en anglais peut être acquise sur un site dédié à ITIL géré par l’OGC, celle en français à partir de celui l’itSMF France. Le site en anglais intitulé « Official ITIL Website » propose en plus des cinq publications centrales, des titres dérivés intitulés « Key Element Guide ». Ces derniers fournissent des modèles, des études de cas et des aides : Il existe aussi une introduction à ITILV3 sous forme de guide de poche.
110
Chapitre 18. ITIL
Mise en œuvre L’ITIL connaît un succès croissant. S’il a été initialement utilisé dans la plupart des pays anglo-saxons, force est de constater qu’il se développe aujourd’hui au niveau mondial. En France, il devient incontournable. Le succès actuel de l’itSMF France en est la preuve. Son déploiement le positionne comme un standard de fait dans plus de 50 pays. La documentation existe en 10 langues. D’abord positionné comme standard de fait, l’ITIL est devenue une norme internationale l’ISO 20000.
ITIL V2 : une formation structurée sur trois niveaux La formation à l’ITIL V2 peut se dérouler en français ou en anglais. Les examens sont structurés en trois niveaux : • Fondamentaux-ITIL (ITIL Professionals for ITIL Foundation) qui existe en
anglais et en français ; • Praticien-ITIL (ITIL Practitioner) ; • Managérial-ITIL (ITIL Service Manager) en anglais et français. Les Fondamentaux -ITIL concernent tout collaborateur intervenant sur la gestion de l’infrastructure. Aucune condition préalable n’est exigée. Le Praticien-ITIL est spécifique à la mise en œuvre ; il est destiné aux gestionnaires de processus. La condition préalable est l’obtention du certificat Fondamental-ITIL. Les modules sont : • ITIL Practitioner Plan & Improve qui se déroule en anglais ; • ITIL Practitioner Release & Control en anglais et français ; • ITIL Practitioner Support & Restore en anglais et français ; • ITIL Practitioner Agree & Define uniquement en anglais.
Le niveau Managérial-ITIL est spécifique au domaine d’activité. Il s’adresse à tout manager ou consultant chargé de mettre en œuvre la prestation de service et l’assistance conformément aux critères d’ITIL. En plus du certificat Fondamental-ITIL, deux ans d’expérience en tant que manager ou consultant sont exigés. De plus, l’EXIN (EXamination institute for INformation science) intègre une évaluation de fin de cours.
ITIL V3 : la structure sur trois niveaux demeure mais avec des évolutions majeures La version 3 d’ITIL s’accompagne d’un programme de formations et de certifications. Le premier niveau change que très peu sur l’objectif de la formation. Il s’appelle toujours les fondamentaux ITIL (ITIL Foundation) et vise à acquérir des compétences de base. Il complète la version V 2 avec 13 nouveaux processus et 3 nouvelles fonctions. En ce sens il enrichit le niveau : • d’une approche permettant d’identifier et de gérer la continuité / discontinuité
de la production informatique (avec le processus de gestion des événements) ;
111
ITIL
• d’un volet de trois composantes de la gestion des évènements (informations,
alertes, anomalies) consacré à la gestion des anomalies, qui se subdivise luimême en trois catégories (incidents, changements, problèmes). Cette arborescence donne au service desk des principes d’organisation à côté des structures déjà existantes dans la V2 ; • d’un processus dédié à la conception du catalogue des services subdivisé en un catalogue technique (catalogue des composantes de service), et un catalogue client (catalogue des services). Seulement ce dernier fait l’objet d’une publication ; • d’une gestion des éléments de configuration élargie à la notion de système de gestion des configurations (CMS Configuration management System), et de prise en compte des actifs (SACM Service Asset and Configuration Management). Le niveau intermédiaire praticien est remplacé par trois cursus de certification au choix : • le cycle de vie (ITIL Life Cycle Stream) ; • l’aptitude (ITIL Capability Stream) ; • le module MALC (Managing Across the Life Cycle).
Les deux cursus « Streams » sont effectués au choix du candidat. Enfin, le troisième niveau ne s’appelle plus managérial mais diplômé (Diploma). Il s’obtient par le cumul d’un ensemble de points (crédits) obtenus lors des formations précédentes. À noter, pour les personnes déjà certifiées V2 niveau fondamentaux ou managérial, qu’il existe des formations entre V2 et V3 appelées passerelles (bridge). L’ITIL Qualification Scheme décrit les rôles et responsabilités des différents intervenants dans le dispositif ITIL. L’ICMB (ITIL Certification Management Board), comprend l’OGC, l’itSMF ainsi que des organismes certificateurs (Examination Institute) qui assurent aussi l’accréditation des centres de formation. Dans cette dernière catégorie, on ne trouve aujourd’hui que l’EXIN et l’ISEB (Information Systems Examinations Board). Le certificat est émis par l’examinateur local agréé par l’EXIN et l’ISEB, au nom de l’organisme certificateur. La liste des organismes accrédités pour réaliser les formations à l’ITIL est accessible sur le site de l’EXIN.
Retour d’expérience Kamel S EHRI, directeur du développement de la société SELESTA remarque : « On sait que si on n’adhère pas à l’ITIL, on aura de plus en plus de mal à fonctionner. Notre société a une politique de certification ITIL car c’est une demande de nos clients. Aujourd’hui, tous nos clients ont entendu parler d’ITIL, ce n’était pas vrai il y a deux ans. Pour eux, la certification est un gage de qualité, cela les sécurise, minimise le risque. Cela nous permet de plus de valoriser notre personnel en le motivant ».
112
Chapitre 18. ITIL
Philippe C ROIX, Marketing Technical Manager de la société Peregrine Systems, ajoute : « ITIL apporte un langage commun, ce qui facilite la compréhension. Ceci est tellement important pour nous que notre politique est de faire certifier ITIL toute la partie de notre personnel qui est en contact avec nos clients : nos experts, nos commerciaux, les équipes d’avant-ventes, le marketing, le management, etc. Nous avions à fin 2005, 196 personnes certifiées Fondamental-ITIL, 24 Praticien-ITIL et trois Managérial-ITIL ; ces chiffres sont en constante augmentation ». François B AUDRAZ consultant ITIL (FBA Conseil Suisse), certifié ITIL V3 Expert en novembre 2008, déclare : « Consultant MOF (Microsoft Operation Framework) depuis juin 2003, j’ai souhaité passer le premier niveau de certification ITIL afin d’obtenir une reconnaissance officielle de ma conviction que les méthodologies de travail en environnement informatique étaient à la fois les fondations et les murs porteurs de la production. Ces bonnes pratiques concourent à transformer les systèmes d’information de centres de coût en centres de profit. Ayant le diplôme Service Manager V2, j’ai suivi une formation au Bridge Service Manager V3 en quatre jours et demi de théorie et une demi-journée de révision (QCM à blanc) avec passage de l’examen final. La formation de cinq jours a pour but de présenter de manière approfondie l’ensemble des ouvrages de ITIL V3. Compte tenu de la densité de concepts abordés (cinq livres de près de 300 pages chacun), il est nécessaire d’une part d’avoir étudié les différents ouvrages préalablement et d’autre part de s’astreindre à un travail personnel chaque soir lors des journées de formation. Le passage de la certification s’est fait l’après-midi du cinquième jour, cet examen correspond à un QCM de 20 questions couvrant tout le cycle de vie du service mais portant avant tout sur les nouveautés de la V3. La certification est difficile à obtenir car il faut 80 % de bonnes réponses (soit 16 sur 20). Les questions sont fondées sur des scénarios en général complexes et multichoix. La certification s’est faite en langue anglaise. Je suis convaincu que l’expérience et la connaissance de la version ITIL V2 sont un avantage pour la compréhension de la V3. Le QCM est particulièrement difficile, et aucune question n’est évidente ». Un consultant en production informatique d’une importante société de conseil en informatique conclut : « La société dans laquelle je travaille a lancé en 2005 un programme de certification ITIL. Pour ma part, j’avais déjà passé le premier niveau en 2002. J’ai donc assisté à une formation Praticien-ITIL Service Desk/Incident Management. L’enseignement théorique a duré trois jours. Par rapport au premier niveau, le cursus était plus axé sur les travaux pratiques. Seule la première journée était consacrée à la théorie. Le passage de la certification, qui n’est pas obligatoire, s’est fait la semaine suivante à partir d’une étude de cas et d’un QCM en anglais. L’utilisation du dictionnaire y était autorisée.
ITIL
113
L’examen m’a semblé plus difficile que celui du premier niveau, ceci s’explique en partie par l’étude de cas qu’il faut lire au préalable. Mais il faut aussi y ajouter la formulation de certaines questions pour lesquelles j’avais du mal à faire le lien entre ce qui m’était demandé et l’étude de cas. Pour obtenir la certification, il fallait répondre correctement à au moins 60 % des questions posées. Nous étions sept candidats. Cinq ont réussi leur examen. Les résultats se sont répartis dans une fourchette allant de 56 % à 65 % de réponses bonnes. Malgré tout, même si on échoue à la certification, je conseille tout de même de la passer. Pour ma part, je considère que cela m’a obligé à mieux m’impliquer pour prendre possession du sujet ». Grâce à son orientation client, son approche processus et son indépendance technologique, ITIL apporte une démarche structurée et cohérente dans la mise en œuvre des technologies de l’information. Il peut être appliqué en complément d’une démarche ISO 9004. Il peut aussi servir de support à une démarche vers l’excellence comme celle de l’EFQM ou aux États-Unis du Malcolm Baldrige National Quality Award. Par l’accent mis sur l’utilisation d’une terminologie clairement définie et d’un langage commun à tous les modules, l’appropriation de l’ensemble du référentiel est facilitée non seulement pour les personnes se soumettant à la certification, mais surtout lors de son utilisation dans le cadre des relations entre un client et ses fournisseurs. La synergie qui existe avec le référentiel PRINCE2, due en particulier à la similitude d’approche dans l’organisation de la gestion du changement et de la gestion de projet, permet de capitaliser sur des méthodes de management. Toutefois, l’appropriation de ce dispositif en France est pénalisée par le fait que la traduction française du référentiel est incomplète bien qu’il existe un lexique des termes approuvé par les communautés françaises (Canada, France, Belgique, Luxembourg). À notre avis, une de ses principales faiblesses réside dans le fait que l’évaluation des personnes est uniquement axée sur la connaissance du référentiel, sans tenir compte de l’expérience. Quant au référentiel, l’accent porté sur le quoi au détriment du comment peut rendre le référentiel difficilement applicable sans aide complémentaire.
19 ITSEC
Le dispositif ITSEC permet à une entreprise d’obtenir une certification en matière d’ingénierie de la sécurité des produits ou systèmes informatisés qu’elle développe. Il est progressivement remplacé par le dispositif des Critères Communs, s’appuyant sur le groupe de normes ISO 15408.
Figure 19.1 — Dispositif ITSEC
116
Chapitre 19. ITSEC
Présentation Les ITSEC (Information Technology Security Evaluation Criteria) sont les critères d’évaluation de la sécurité des systèmes d’information. Ils ont été décrits en 1991, dans le cadre de la Communauté européenne (France, Royaume-Uni, Allemagne, Pays-Bas), afin de servir de base à l’évaluation du niveau de sécurité d’un produit ou système du domaine des technologies de l’information. Ils s’inspiraient d’une première initiative américaine, les TCSEC (Trusted Computer Systems Evaluation Criteria) mieux connus sous le nom d’Orange book du nom de la couleur orange de couverture de l’ouvrage. Initiée par le Département de la défense des États-Unis en 1985, cette norme américaine définit des règles de sécurité qui permettent de déterminer le degré de protection d’un système d’exploitation avec sept niveaux croissants de sécurité. La sécurité de l’information est définie dans ces normes de façon classique par ses trois caractéristiques : confidentialité, intégrité et disponibilité. Selon la terminologie que nous avons adoptée dans cet ouvrage, les ITSEC contiennent le référentiel et le modèle d’évaluation. Les exigences formulées par le référentiel portent à la fois sur le produit, son processus de développement et de production, et les personnes qui mettent en œuvre ces processus. Le produit (ou système à évaluer) est dénommé cible d’évaluation (TOE, Target Of Evaluation). La TOE comprend un ensemble de fonctions de sécurité dédiées complètement ou seulement partiellement à la sécurité. L’évaluation porte sur deux aspects complémentaires, celui de la conformité des fonctions de sécurité qui sont mises en œuvre et celui de leur efficacité. Pour mesurer la conformité aux besoins exprimés, sept niveaux de sécurité sont prévus qui vont du niveau E0, niveau auquel on ne peut accorder aucune confiance, au niveau E6 qui correspond au degré de confiance le plus élevé. Pour mesurer l’efficacité, c’est-à-dire le niveau de résistance aux attaques, trois degrés de confiance sont définis : élémentaire, moyen, élevé. Une des caractéristiques de ce modèle d’évaluation est son intégration dans le processus de développement et d’exploitation du produit ou du système comme présenté dans la figure 19.2. La cible de sécurité fait partie des spécifications du produit : les objectifs de sécurité assignés au produit conditionnent les fonctions de sécurité et le niveau d’évaluation nécessaire. Le ou les documents qui spécifient ces caractéristiques, ainsi que le niveau d’évaluation à certifier, constituent la cible de sécurité pour la TOE. Les critères de conformité couvrent à la fois le processus de développement, l’environnement de développement et le processus de production. Le niveau de confiance le plus élevé (E6) n’est atteint que si les conditions suivantes sont réunies : • des spécifications formelles des fonctions de sécurité et une description formelle
de l’architecture sont réalisées en phase de spécification des besoins ; • une gestion de configuration stricte est bien mise en place dans les environne-
ments de développement et de production.
117
ITSEC
Figure 19.2 — Processus d’évaluation ITSEC
On notera que de ce fait les ITSEC incluent un cycle de développement en quatre phases : spécification des besoins, conception générale, conception détaillée, réalisation. De même, ils imposent un ensemble de pratiques incontournables à aborder : gestion de configuration, programmation, documentation de production, etc. Les aspects humains sont abordés sous le libellé sécurité des développeurs qui recouvre des mesures physiques, organisationnelles, techniques et relatives au personnel. Cela comprend la sécurité physique des locaux de développement ainsi que les procédures de recrutement et d’habilitation du personnel. Le but de ces mesures est de protéger le développement d’une attaque délibérée et de maintenir la confidentialité des informations. En ce sens, les ITSEC constituent un référentiel de bonnes pratiques concourant à l’atteinte de la cible de sécurité fixée par l’entreprise. L’évaluation repose sur un système de cotation qui mesure la confiance accordée à une cible d’évaluation (TOE). La mesure est faite en référence à une cible de sécurité. Un niveau d’évaluation est établi après l’évaluation de la conformité de réalisation et la prise en considération de son efficacité dans le contexte de production réelle ou simulée. Elle aboutit à une cotation confirmée de la robustesse minimale des mécanismes de sécurité. Le contrôle des exigences fonctionnelles de sécurité peut nécessiter l’exécution de mesures à caractère technique, comme des mesures de bande passante pour vérifier la disponibilité. La mise en place d’indicateurs particuliers n’est pas exigée de façon générique.
118
Chapitre 19. ITSEC
Documentation L’ensemble de la documentation des ITSEC est librement et gratuitement téléchargeable sur le site de la Direction centrale de la sécurité des systèmes d’information (DCSSI). En plus du référentiel ITSEC – Critères d’évaluation de la sécurité des systèmes informatiques et du guide d’évaluation ITSEM – Information Technology Security Evaluation Manual, il existe un document de 1998, ITSEC Joint Interpretation Library, en anglais uniquement, fournissant une interprétation commune des critères, à ne pas confondre avec les Critères Communs, par les quatre pays à l’origine de leur création : France, Allemagne, Pays-Bas et Royaume-Uni. Ces documents sont en diffusion libre sur le site de la DCSSI.
Mise en œuvre Les produits ou systèmes concernés sont variés : cartes à microprocesseur, pare-feu, lecteurs de cartes, produits de téléphonie numérique, systèmes d’exploitation, base de données, contrôle d’accès ou toute autre application spécifique. Les ITSEC sont progressivement remplacés par les Critères Communs qui s’appuient sur la norme ISO 15408 : il n’y aura donc pas de nouvelle version. En France, les laboratoires d’évaluation, communément appelés Centre d’évaluation de la sécurité des technologies de l’information (CESTI), sont accrédités par le Comité français d’accréditation (COFRAC). Les certificats sont émis par la DCSSI sur la base des évaluations réalisées par les CESTI. Les évaluateurs ont à leur disposition depuis 1993 un manuel d’évaluation (ITSEM – Information Technology Security Evaluation Manual) qui définit et précise les quatre principes d’une évaluation : répétabilité, reproductibilité, impartialité et objectivité. Le processus d’évaluation y est détaillé ainsi que les techniques et outils utilisés. Ce guide peut également être utile aux fournisseurs et utilisateurs. Le certificat et reconnu dans les pays suivants : Allemagne, Royaume-Uni, Espagne, Italie, Suisse, Pays-Bas, Finlande, Norvège, Suède et Portugal.
Retour d’expérience Un responsable de développement d’une entreprise produisant des logiciels de sécurité déclare : « L’échange régulier d’informations entre les équipes de développement et d’évaluation favorise la détection des vulnérabilités dès les phases amont du processus de développement ». Les points forts des ITSEC sont liés aux avantages associés à une certification et à la nécessité de mettre en place un processus structuré de développement du logiciel. Ils préfiguraient ceux des Critères Communs avec une reconnaissance internationale moins large, limitée au niveau européen. En revanche, ce dispositif ne différencie pas les exigences de sécurité suivant le type de produit à évaluer et de ce fait il disparaîtra au profit des Critères Communs qui sont plus complets.
ITSEC
119
Comme les Critères Communs, les ITSEC ne sont pas applicables à des produits existants, mais ils doivent être mis en œuvre dès la phase de spécification des besoins. Ceci a pour effet de limiter l’application de ce dispositif aux produits pour lesquels l’exigence d’évaluation est formulée dans le cahier des charges. Parmi les faiblesses de ce dispositif, il faut bien noter que ce type de certification ne donne pas l’assurance que le niveau de sécurité choisi est bien adapté au niveau de risque ; il garantit uniquement que le niveau choisi est atteint. Il s’agit donc plutôt d’un dispositif d’assurance qualité adapté à la sécurité que d’une véritable assurance sécurité.
20 MSP
Le dispositif MSP permet à une personne physique d’obtenir une certification en matière de management de programme.
Figure 20.1 — Dispositif MSP
Présentation MSP (Managing Successful Programmes, Réussir le management de programmes) est un référentiel fondé sur des modèles de processus et un ensemble de principes liés à une direction de programme.
122
Chapitre 20. MSP
La méthode de management de programmes MSP se focalise sur l’organisation, la gestion et le contrôle de programmes. MSP définit la gestion de programme comme l’action de coordonner l’organisation, la direction et l’exécution d’un portefeuille de projets et des activités transformationnelles (c’est-à-dire le programme) pour atteindre les gains attendus et réaliser certains objectifs d’importance stratégique pour l’entreprise. L’Office of Government Commerce (Bureau de commerce gouvernemental en Grande-Bretagne), également propriétaire des méthodologies PRINCE2 et ITIL, a développé un guide de meilleures pratiques (Best Practices) sur le MSP, publié par TSO (The Stationery Office). La première édition du guide MSP, en 1999, a employé le matériel développé par Calyx Consulting Limited avec l’aide et le support fournis par Programme Consulting Limited. Suite aux succès de la première édition et de la deuxième édition en 2003, MSP est utilisé et adopté par de nombreuses organisations, aussi bien dans le secteur public que dans le privé. Les diverses expériences de ceux qui ont adopté la gestion de programme ont contribué à un enrichissement inestimable de la dernière édition du guide, parue en 2007. Aujourd’hui, MSP rassemble les meilleures pratiques établies et prouvées dans la gestion de programme et fournit un langage commun à tous les participants au programme et aux activités des membres des projets qui lui sont liés. Le guide comprend un ensemble de principes et de processus qui indiquent comment gérer un programme. Il fournit ainsi un cadre commun de compréhension pour tous les programmes. Sa flexibilité lui permet de répondre aux besoins spécifiques d’un programme ou d’une entreprise particulière. Plus précisément, il décrit et explique les principes clés sous jacents, les neuf thèmes de gouvernance et les six processus du flux transformationnel. Le référentiel MSP est composé de trois concepts clés : • Les flux transformationnel (Transformational Flow) – Ces flux définissent
la méthode d’une organisation pour gérer le programme. Ils permettent à l’organisation de mettre correctement en place la direction à suivre, l’équipe, les structures organisationnelles et les contrôles, offrant ainsi les meilleures chances de réussite ; • Les thèmes de gouvernance (Governance Themes) – Ces thèmes fournissent l’itinéraire à travers le cycle de vie du programme, depuis sa conception jusqu’à la livraison des nouvelles possibilités, des nouveaux résultats et bénéfices ; • Les principes (Principles) – Ils sont issus des retours d’expérience positifs et négatifs sur la gestion de programme. Ce sont les facteurs communs qui soutiennent le succès de tout changement transformationnel. Les flux transformationnels définissent le cycle de vie du Programme. La transformation est achevée à travers une série d’étapes répétitives et interdépendantes où chaque processus peut exiger plus d’une répétition avant que la prochaine ne commence.
123
MSP
Les flux transformationnels (Transformational Flow) sont composés de six processus : • identifier un programme (Identifying a Programme) ; • définir un programme (Defining a Programme) ; • gérer les tranches (Managing the Tranches) ; • fournir l’aptitude (Delivering the Capability) ; • concrétiser les résultats (Realising the Benefits) ; • clore un programme (Closing a Programme).
L’événement déclencheur de l’étape initiale « Identifier un programme » est un mandat de programme qui précise les objectifs stratégiques de haut niveau du programme. À partir du mandat de programme, les objectifs sont développés au sein d’un exposé du programme (Project Brief). Le groupe de parrainage (sponsor) et le propriétaire responsable principal doivent valider formellement l’exposé du programme avant de pouvoir passer à l’étape suivante. MSP définit les rôles et responsabilités de tous ceux qui doivent diriger le programme. La conduite efficace d’un programme est réalisée grâce à d’efficaces prises de décision et une structure managériale flexible. Les rôles clefs sont : • le groupe de parrainage (Sponsoring Group), dont le rôle peut être tenu par
• • • •
un comité de direction existant au sein de l’entreprise. Il est responsable des investissements, du bon alignement entre les objectifs du programme et de l’entreprise ; le propriétaire responsable principal (Senior Responsible Owner) qui a toute autorité sur le programme et est nommé par le groupe de parrainage ; le chef de programme (Programme Manager) ; les responsables du changement (Business Change Managers) ; le bureau de programme (Programme Office).
Les projets et les activités sont regroupés dans des tranches. Chaque tranche constitue une étape de changement des capacités, à l’issue de laquelle les résultats de rentabilité peuvent être évalués. Les activités des processus « Fournir l’aptitude » et « Concrétiser les Résultats » sont répétées pour chaque tranche. La fin de chaque tranche fournit un point de contrôle important à partir duquel le programme peut être évalué en termes de progrès réalisés en comparant les résultats attendus et les résultats effectivement obtenus. Durant tout le programme, les points de contrôle fournissent un état des lieux du programme et permettent de répondre à des questions cruciales telles que « Sommes-nous toujours sur le bon chemin ? », « L’analyse de rentabilité (justification économique du Programme) est-elle encore valide et appropriée ? ».
Documentation La documentation est en anglais, elle inclut le guide Managing Successful Programmes 2007 Edition et quelques autres ouvrages dont For Successful Programme Management : Think MSP et MSP Implementation Pack. Le Guide MSP existe également en version
124
Chapitre 20. MSP
de poche et sous forme de CD-ROM. Le glossaire est disponible en hollandais et en mandarin. MSP appartient au domaine public. La documentation est payante et disponible auprès de l’OGC qui en assure la diffusion. De plus, des informations sur la méthodologie et la certification sont disponibles sur le site officiel de l’APMG (Association for Project Management Group).
Mise en œuvre MSP est maintenant largement reconnue en Grande-Bretagne et se propage sur le plan international notamment en Australie et en Europe du Nord. En 2007, il y avait plus de 50 organismes de formation accrédités MSP par l’APMG répartis essentiellement au Royaume-Uni, mais aussi six en Australie, cinq aux PaysBas, un en France, en Pologne et en Afrique du Sud. La formation et l’évaluation sont structurées selon trois niveaux d’évaluation : le certificat Foundation, le certificat Practitioner et le certificat Practitioner Advanced. Les examens sont disponibles en anglais et néerlandais. Le certificat de niveau Foundation concerne tout collaborateur intervenant sur des programmes. Il certifie que le candidat a une connaissance de base de MSP. Aucune condition préalable n’est exigée. Il se compose d’un QCM de 50 questions, qui doit être rempli en 40 minutes. Pour réussir cet examen, Il faut répondre correctement à un minimum de 30 questions sur 50. Le certificat de niveau Practitioner teste la compréhension de tous les concepts de base de MSP. La condition préalable est l’obtention d’un score minimum de 60 % à l’examen Foundation. Le niveau Practitioner est obtenu via un QCM à livre ouvert. Il consiste en neuf questions et dure 150 minutes. Pour réussir cet examen, Il faut un minimum de 50 %, soit 90 sur 180 points. La durée de validité du certificat est de trois ans au-delà desquels le candidat doit repasser un examen de réenregistrement. La condition préalable est l’obtention de l’examen Practitioner. Le niveau Practitioner Advanced est une étude de cas complète à livre ouvert, qui comprend trois questions et dure 150 minutes. Pour réussir cet examen, Il faut un minimum de 38 sur 75 points. La durée de validité du certificat est de cinq ans, au-delà desquels le candidat doit repasser un examen de réenregistrement. Plusieurs organismes interviennent dans ce dispositif : • l’APMG qui gère les programmes de certification et assure l’accréditation des
organismes de formation, les ATO (Accredited Training Organizations) ; • l’OGC qui assure la maintenance du dispositif et tient un rôle important en
développant et en favorisant la participation du secteur privé à travers le secteur public ; • les organismes de formation accrédités (Accredited Training Organisation) qui assurent la formation et la certification des personnes. La liste est disponible sur le site de l’APMG.
125
MSP
À la fin de l’année 2007, on comptait plus de 4 000 certifiés Foundation, plus de 3 000 Practitioner et plus de 2 500 Practitioner Advanced dans le monde.
Retour d’expérience Aujourd’hui, en France, il existe peu de retour d’expériences dans la mesure où les premières certifications ont été effectuées courant 2008. Mais gageons que ce dispositif aura le même succès que dans les autres pays. Signe encourageant ? L’École supérieure de commerce de Lille (ESC Lille) a créé un master sur le management de programme incluant la certification MSP.
21 PCIE
Le dispositif PCIE permet à une personne physique d’obtenir une certification en matière d’utilisation d’un poste de travail informatique.
Figure 21.1 — Dispositif PCIE
Présentation Le Passeport de compétences informatique européen (PCIE) a été créé en 1997 par le Conseil européen des associations de professionnels des technologies de l’information (CEPIS) à partir du constat de grandes disparités de compétences en bureautique parmi les salariés d’entreprise.
128
Chapitre 21. PCIE
Il certifie toute personne souhaitant valider ses aptitudes à créer, organiser et communiquer des documents et des informations, démontrant ainsi ses compétences de base dans l’utilisation quotidienne d’un poste de travail. Au plan international, le PCIE est administré par la fondation ECDL (ECDL-F, European Computer Driving Licence Foundation). Son rôle est de définir les processus d’habilitation des licences et d’assurer l’administration générale du PCIE dans le monde. Son conseil d’administration est composé de membres du CEPIS et d’opérateurs nationaux. Chaque membre est chargé de promouvoir le PCIE dans son pays d’origine. De nombreux groupes de travail, associant les personnels des opérateurs PCIE et un ensemble d’experts indépendants travaillent de façon continue sur tous les aspects liés au dispositif : référentiel, tests et questions, systèmes automatisés de test, normes pour l’habilitation des centres, producteurs de contenus de formation, standards et qualité, nouveaux programmes, partenariat, liaison avec la Commission européenne, etc. Euro-Aptitudes est l’opérateur français du PCIE. Ce dernier assure toutes les tâches de mise en œuvre. Le PCIE est composé de sept modules correspondant aux domaines suivants : • Module 1 qui fait un tour d’horizon des connaissances générales du candidat
dans divers domaines des Technologies de l’Information ; • Modules 2 à 6 qui couvrent les applicatifs bureautiques les plus utilisés : interface graphique et gestion des documents, traitement de textes, tableur, utilisation de bases d’informations, présentation assistée par ordinateur ; • Module 7 qui porte sur l’utilisation intelligente du courrier électronique et de la navigation web. Les tests du PCIE sont aujourd’hui disponibles dans les versions : Microsoft (97, XP, 2000, 2003, 2007), Open Office, Mozilla et Lotus Notes.
Documentation Le référentiel du PCIE appelé ECDL/ICDL Syllabus contient les éléments de connaissances nécessaires pour réussir les sept modules. La version 5 est disponible depuis le 1er octobre 2008 en anglais auprès de la fondation ECDL, en français auprès d’Euro-Aptitudes pour les centres de formation, écoles et entreprises habilitées. Depuis le 1er juillet 2008, les cours en ligne PCIE-Skillsoft (e-learning), disponibles en deux langues (français et anglais), sont homologués par rapport au syllabus officiel du PCIE dont ils traitent en intégralité les modules 2 à 6.
Mise en œuvre Le succès a été immédiat. Pour preuve : • à la fin de l’année 1996, la fondation ECDL a été créée à Dublin avec le soutien
de la Commission européenne et du gouvernement irlandais ; • à la fin de l’année 1996, les premiers tests de certification ont été organisés en
Suède et dans cinq autres pays dont la France ;
129
PCIE
• au 31 décembre 2003, la fondation ECDL disposait de 15 000 centres agréés à
travers le monde ce qui lui a permis de faire passer les tests PCIE à 3 582 000 candidats ; • en dehors de l’Union européenne, le passeport a pris le nom d’ICDL (International Computer Driving Licence). Le 12 février 20091 , 9 millions de personnes ont été enregistrées dans le programme de formation ECDL. Au 20 mars 20092, l’ECDL/ICDL est présent dans 133 pays. En France, le PCIE bénéficie du soutien du Ministère de l’industrie, de la délégation interministérielle aux personnes handicapées (DIPH), du MEDEF, du CIGREF, de l’ANPE, d’un certain nombre de Conseils régionaux, et enfin de celui des organismes collecteurs des fonds de formation. Au 20 mars 20093 , il existe 343 des centres de formation ouverts au public en France métropolitaine et 25 dans les DOM-TOM. Ils se répartissent en : organismes de formation privés, chambres de commerce et d’industrie, écoles de commerce, maisons familiales et rurales, associations nationales pour la formation professionnelle des adultes et établissements pénitentiaires. On en trouve également dans les collèges et lycées, en préparation d’un brevet de technicien supérieur. Les entreprises, quelle que soit leur taille, utilisent également le PCIE avec profit : Renault, Cofiroute, Banque de France, KPMG, la mairie de Cannes, TPM, le groupe Les Mousquetaires en sont quelques exemples, avec des retours d’expérience extrêmement positifs. Tous les centres dispensant la certification PCIE sont soumis à une procédure d’habilitation, selon les standards de la fondation ECDL, par laquelle ils doivent justifier de leur qualité, de leur environnement pédagogique ou informatique et du niveau des ressources humaines affectées. Cette habilitation est remise en cause chaque année. Tout candidat réussissant les tests d’un des modules voit son résultat enregistré dans une carte d’aptitude PCIE. Cette carte est valable trois ans. L’intérêt majeur du dispositif PCIE réside dans le fait qu’on peut repasser les tests en cas d’échec, afin d’en faire un objectif de réussite sur la durée. La première session de tests constitue une photographie des compétences à un instant donné. Elle peut être suivie d’une formation ou bien d’une période d’amélioration personnelle ; les tests auxquels le candidat a échoué peuvent être repassés sans frais supplémentaire, dans le but d’obtenir la certification. On a donc un processus souple, sans contrainte et sans échec, très différent de la notion de diplôme. Il existe deux PCIE : le PCIE Start qui porte sur quatre modules au choix et le PCIE complet pour lequel il faut réussir la totalité des sept modules. Le PCIE Start est idéal pour les collaborateurs d’entreprises, alors que le PCIE complet est plutôt destiné à des
1. http://www.ecdl.org/publisher/index.jsp?1nID=93&nID=96&aID=1285 2. http://www.ecdl.org/countries/index.jsp 3. http://www.pcie.tm.fr/gen_listecentres_public.php
130
Chapitre 21. PCIE
étudiants. Certaines grandes écoles de commerce (Nice, Dijon, ICN de Nancy entre autres) rendent obligatoire l’obtention du PCIE pour le passage en année supérieure. Les questions et les tests sont élaborés par le groupe spécialisé de la Fondation ECDL qui compte plus de 300 experts tant en psychométrie qu’en technologies de l’information. Les modèles définis doivent être appliqués par les producteurs de tests ou par les opérateurs qui les implémentent (c’est le cas en France), sur la base du référentiel ECDL. Les tests sont identiques et peuvent être passés dans plusieurs pays différents, moyennant une traduction et une adaptation minimale autorisée par pays : par exemple, le rôle de la Commission nationale de l’informatique et des libertés (CNIL) en France n’est pas le même que celui d’organismes similaires dans d’autres pays. À noter que le PCIE peut être passé par une personne handicapée : l’examinateur « adaptant » le passage du test aux conditions d’un examen qui suit les règles et recommandations correspondant au handicap du candidat.
Retour d’expérience Des candidats et des entreprises apportent leur témoignage sur le site du PCIE. Jean-René S ICLET – CCI du Jura déclare : « En fait au départ j’étais assez sceptique. Je me suis dit : tiens encore un truc dont je ne voyais pas l’utilité. Notre formateur nous a expliqué le bienfait de cette certification, que ce serait un point positif sur notre CV, donc j’ai joué le jeu et j’ai passé quatre épreuves du PCIE Start à savoir, connaissances de base, gestion de documents, Word XP et Excel XP. Je me suis pris au jeu et oh surprise, je pensais connaître tous ces logiciels alors que la réalité était toute autre. J’ai beaucoup appris et les tests de préparation sur Internet (PREPA-PCIE) m’ont permis de voir ma progression. L’évaluation en pourcentage sur chaque module est motivante et donne envie de toujours se hisser plus haut. Du coup j’ai passé également, et avec succès, les modules PowerPoint et Internet. Maintenant je ne " bidouille " plus ! Je maîtrise et utilise la bonne façon de faire. Je suis donc plus rapide et plus efficace, et ce, sur l’ensemble des programmes bureautiques. Le PCIE est vraiment une belle invention. Quel superbe outil ! » Claudine B ENOITON, responsable du service formation de l’Oréal dit : « À l’Oréal le Centre de ressources est un Centre habilité PCIE (non ouvert au public) destiné à tous les collaborateurs des entités de la région parisienne. Nous avons connu le PCIE par l’intermédiaire de plusieurs sociétés et par un benchmark avec la Société Renault. Le système d’autoformation bureautique que nous utilisons permet aux collaborateurs de se former et ensuite de passer le PCIE. La motivation des collaborateurs est liée à des objectifs de compétence. Il apporte une valeur ajoutée sur le CV et c’est une reconnaissance de compétences par un certificat international. L’appréhension de l’examen est vite dissipée par un test logique, intuitif et d’un niveau « utilisateur », « non expert » ce qui rend les collaborateurs responsables de leur développement personnel. Le PCIE assure le retour sur investissement de la formation bureautique et augmente la productivité et la satisfaction des utilisateurs ».
PCIE
131
Bruno D EMAREST, directeur des ressources humaines du Palais des festivals de Cannes témoigne : « Pour l’employeur, un tel outil permet réellement de cibler les besoins en bureautique et ainsi d’optimiser le budget de formation ». Selon une étude de Cap Gemini Ernst & Young Norvège menée en septembre 2001 sur Le coût de l’ignorance dans la société de l’information, l’ECDL couvrirait presque 80 % des domaines d’aptitudes dans lesquels les personnes perdent le plus de temps. Cette étude réalisée auprès de 800 personnes travaillant tous les jours sur PC a montré que celles-ci perdaient près de 3 heures par semaine, en moyenne, pour résoudre leurs problèmes ou aider les autres à les résoudre ! Chaque utilisateur s’est en effet formé de manière différente, en apprenant souvent sur le tas. La perte financière de l’entreprise était évaluée à 56 500 euros par an et par salarié. Une étude faite en Italie sur le coût de l’ignorance dans la société de l’information conclu que le retour sur investissement minimal par personne est de 4 740 euros sur 3 ans, soit près de 1 600 euros par an et par personne. Pour une très petite entreprise de 6 personnes ayant 3 personnes utilisant intensivement l’ordinateur pour les tâches quotidiennes, cela donne 4 800 euros par an de gagné ; pour une PME ayant 100 postes de travail informatiques, cela représente un gain de 160 000 euros par an ; et pour une entreprise de 2000 utilisateurs, on arrive à 3,2 millions d’euros. De nombreuses études, dont une compilation est disponible sur le site du PCIE, ont montré que le dispositif PCIE faisait gagner 20 % de productivité. Une multitude de producteurs de formation en ligne ont demandé leur label de conformité avec le référentiel PCIE. Cette synergie est à l’origine d’opérations spectaculaires comme les 500 000 collaborateurs du ministère anglais de la Santé inscrits au PCIE via une formation en ligne (350 000 candidats à la fin de l’année 2005). Sur le plan international, le PCIE est soutenu massivement par des dizaines de gouvernements ou de ministères : il est ainsi le test officiel de l’éducation nationale en Italie, en Autriche, en Pologne, en Lituanie et dans bien d’autres pays. Ce n’est pas le cas en France où le Ministère chargé de l’éducation a créé le Brevet informatique et interne, appelé B2I novembre 2000 et le Ministère chargé de l’enseignement supérieur le Certificat informatique et internet, appelé C2I, en mai 2002. Le B2I est une attestation délivrée aux élèves des écoles élémentaires, des collèges et des lycées pour sanctionner leur capacité à utiliser les outils informatiques et Internet. Le niveau collège a été intégré en 2008 de manière obligatoire pour l’obtention du Brevet des collèges. Le niveau lycée doit devenir obligatoire pour l’obtention du baccalauréat dès la session de 2010. Le C2I est un certificat attestant de compétences dans la maîtrise des outils informatiques et réseaux. Il est institué dans le but de développer, de renforcer et de valider la maîtrise des technologies de l’information et de la communication par les étudiants en formation dans les établissements d’enseignement supérieur.
132
Chapitre 21. PCIE
Il existe deux niveaux : • un premier niveau d’exigences applicable à tous les étudiants et les stagiaires de
formation continue. Il doit être acquis au plus tard au niveau de la licence mais de préférence dès le début des études supérieures. • un second niveau faisant l’objet d’exigences plus élevées en fonction des orientations professionnelles des formations dispensées (à travers les enseignements de préprofessionnalisation et les filières). Ce second niveau doit être acquis au niveau du master 2 et comprend les spécialisations suivantes : enseignant, métiers du droit, métiers de la santé, métiers de l’ingénieur et le dernier pour les métiers de l’environnement et de l’aménagement durables est en cours d’élaboration. En conclusion, le PCIE est généraliste et s’adresse en France essentiellement au monde de l’entreprise. L’effort important fait au niveau de l’enseignement primaire, secondaire et supérieur pour améliorer l’éducation de base rendrait à terme le PCIE inutile en France.
22 PMBOK
Le dispositif PMBOK permet à une personne physique d’obtenir une certification en matière de management de projet.
Figure 22.1 — Dispositif PMBOK
Présentation Le PMI (Project Management Institute) est un institut américain à but non lucratif créé en 1969 pour faire progresser l’état de l’art en matière de management de projet. Le PMBOK (Project Management Body of Knowledge) a été approuvé aux États-Unis
134
Chapitre 22. PMBOK
par l’organisme américain de normalisation, l’ANSI (American National Standards Institute). Le PMI s’est engagé à l’améliorer et à le développer. Le PMI propose des séminaires, des programmes de formation et une certification professionnelle intitulée PMP (Project Management Professional). Le programme de certification permet d’attester les connaissances en management de projets. L’entité du PMI responsable du programme de certification PMP a été certifiée ISO 9001. Le PMBOK définit le management de projet comme la mise en œuvre de connaissances, de compétences, d’outils et de techniques dans une large gamme d’activités nécessaires au déroulement de tout projet. L’originalité du PMBOK est de décrire la mission du chef de projet selon une approche orientée processus et domaines de connaissances. Les domaines de connaissances sont au nombre de neuf et incluent l’ensemble des processus sur lesquels repose le management de projet. Il s’agit de l’intégration du projet, de son contenu, des délais, des coûts, de la qualité, des ressources humaines, de la communication, des risques et de l’approvisionnement. Les groupes de processus définissent une structure de base pour la compréhension du management de projet : ce sont le démarrage, la planification, la réalisation, la maîtrise et la clôture. Le référentiel aborde aussi bien des aspects techniques (Gantt, méthodes d’estimation, métriques...) que des connaissances générales comme la communication, le management ou la qualité. À ce titre il déborde du cadre strict de la structure de projet et s’intéresse au « bon comportement » attendu du chef de projet... Des métriques sont définies dans le cadre du Rapport d’avancement traité dans le domaine de connaissances Communication du projet. Les mesures reposent sur trois types d’analyses : • l’analyse des écarts qui exprime le rapport entre le prévu et le réalisé ; • l’analyse de tendances qui permet d’anticiper sur une éventuelle détérioration
future ; • l’analyse de la valeur acquise qui repose sur des indicateurs précis définis dans le référentiel.
Documentation L’édition 2004 du PMBOK a été traduite en français et publiée par l’Afnor sous le titre Management de projet – Un référentiel de connaissances ; ce document est disponible auprès d’Afnor et du PMI-France. Le PMBOK guide 4e édition a été publié fin décembre 2008. Des logiciels d’enseignement assisté à distance permettent de se familiariser avec les notions du PMBOK et de se préparer à l’examen.
135
PMBOK
Mise en œuvre Le PMBOK est très utilisé aux États-Unis, aussi bien dans l’administration que dans le secteur privé ; il est largement diffusé dans le reste du monde. Il a servi de base à la rédaction de la norme ISO 10006 sur le management de projet. Le PMI s’est engagé dans une politique de partenariat international avec trois types de partenaires : les entreprises, les associations et les organismes de formation. Une telle politique a notamment permis d’établir, non pas des équivalences, mais la reconnaissance de points PDU (Professional Development Unit, l’unité de valeur de développement professionnel) obtenus auprès d’autres organismes comme l’IPMA (International Project Management Association) pour la Certification en gestion de projet ou l’APMG (Association for Project Management Group) pour la certification PRINCE2. De plus, l’ouverture de chapitres dans 68 pays permet d’étendre sa notoriété, par exemple en France avec le PMI France. Le dispositif PMP a été mis en place pour évaluer les connaissances des professionnels en management de projet. Les critères de sélection sont relativement stricts. Selon la catégorie définie par rapport au niveau d’études, tout candidat doit satisfaire aux exigences de formation initiale et d’expérience suivantes : • avoir une expérience minimale de 4 500 ou 7 500 heures en management de
projet pour les cinq groupes de processus ; • avoir de trois à cinq ans d’expériences durant les six ou huit dernières années précédant sa candidature ; • avoir au moins de 36 à 60 mois (sans chevauchement) d’expérience en management de projet ; • justifier de 35 heures de formation en management de projet. Deux dispositifs complémentaires sont en usage depuis 2005 et 2007, le CAPM (Certified Associate in Project Management) et le PGMP (Program Management Professional). Le CAPM sanctionne les connaissances des assistants en management de projet, ce niveau se situant à un niveau inférieur à celui du PMP. Les critères de sélection reposent sur : • une expérience minimale de 1 500 heures en management de projet ; • la justification de 23 heures de formation en management de projet.
Le PGMP se situe sur un autre plan. Il sanctionne une compétence et la démonstration d’une expérience relatives à la gestion des programmes et portefeuilles de projets. Les règles d’éligibilité sont fonction du niveau d’étude. Tout candidat doit avoir une expérience minimale de : • 4 ans en management de projet ; • 4 ou 7 ans (selon le niveau d’études) en management de programme.
136
Chapitre 22. PMBOK
La réussite du PGMP repose sur une séquence de trois évaluations successives : • le « Panel Review », évaluation initiale faite par une commission de program
managers confirmés ; • l’examen proprement dit ; QCM de 170 questions à traiter en quatre heures ; • le contrôle MRA (Multi Rater Assessment) qui repose sur une démarche d’éva-
luation de 360 degrés. Lorsqu’ils sont certifiés, les professionnels PMP ou PGMP doivent obtenir au moins 60 points de PDU tous les trois ans pour maintenir leur certification. Ces points PDU peuvent être obtenus soit par des formations supplémentaires données par le PMI ou par des organismes agréés, soit également par justification d’une expérience professionnelle incluant des publications. Le détail du mode d’obtention et les modalités de candidature sont présentés sur le site du PMI. Le PMI gère les programmes de certification, assure l’accréditation des organismes de formation, améliore le dispositif et assure sa promotion par différentes conférences et publications. Aujourd’hui, le PMI fait état de plus de 200 000 membres répartis dans 125 pays. L’examen se passe en anglais sur un support électronique. On peut ainsi avoir accès à une traduction en français en un clic de souris ; toutefois la qualité de la traduction laisse à désirer, c’est souvent du mot à mot. Il s’agit d’un QCM qui a essentiellement pour objet de vérifier des connaissances sur des aspects conceptuels et théoriques et moins sur des aspects pratiques. Toutefois, le QCM inclut environ 25 questions parmi les 200 qui mettent le candidat en situation : un projet y est décrit et il est demandé au candidat quelle est l’action suivante à exécuter. Depuis 2008 deux dispositifs supplémentaires ont été livrés aux États-Unis, le PMI-RMP (PMI Risk Management Professional) sur la gestion des risques et le PMI-SP (PMI Scheduling Professional) sur les techniques de planification, mais ne sont pas à ce jour référencés par le PMI France.
Retour d’expérience Un chef de projet d’une importante société de service en informatique témoigne : « Le PMBOK sous-tend une organisation, un vocabulaire et des concepts qui lui sont propres. Il faut commencer par se les approprier pour pouvoir bénéficier de ses pratiques et se préparer à l’examen. Mon entreprise n’utilise pas le PMBOK. J’ai donc besoin de m’adapter, c’est-à-dire de traduire mon référentiel quotidien dans celui du PMBOK pour le comprendre et me préparer à l’examen. Honnêtement, je dois vous dire que j’ai préparé l’examen du PMP car cela fait partie de la politique de ma société de certifier ses chefs de projet alors que notre méthodologie est différente. J’ai donc fait du bachotage et j’ai obtenu le certificat. Un des bénéfices que j’ai retiré de cet examen, c’est l’appartenance à une communauté, le réseau des chefs de projet PMP ».
PMBOK
137
Plus positif, Thierry C HAMFRAULT d’itSMF France explique : « Le PMI a une double finalité. La première qui est bien évidemment la plus probante, concerne la gestion de projet. Cette méthode apporte une structuration et des outils qui de prime abord sont simples d’accès. Cependant, avec la même logique structurée, il est possible d’aller très loin dans le détail. La seconde est l’appartenance à une communauté d’acteurs universellement reconnue, ce qui en fait sa valeur intrinsèque donc un bon moyen de communiquer sur le fond. Cette valorisation peut d’ailleurs être complétée par une certification si l’acteur le souhaite. Cette méthode globalement m’a permis de consolider et mieux structurer mes acquis, tout en gardant la performance de l’opérateur que l’entreprise est en droit d’attendre ». Un chef de projet d’une grande société de service en cours de certification PMP nous fait part de son opinion sur les efforts du PMI pour prendre en compte les aspects comportementaux dans le QCM : « Les cas concrets semblent quand même un peu simplistes : ce n’est pas en quelques dizaines de lignes que l’on peut décrire un cas concret suffisamment complexe ». Le responsable de formation d’une société de service expose : « Là où le PMI apporte le plus au métier de chef de projet, c’est dans la vision d’un comportement à succès du chef de projet ; « Être leader de son équipe, anticiper les conflits, communiquer de manière ciblée, optimiser le travail de l’équipe » sont des compétences et connaissances indispensables pour mener à bien son projet. Il est notoire que le chef de projet passe généralement 80 % de son temps sur des actions de communication. C’est certainement là que se trouvent les plus grands leviers d’amélioration pour la réussite des projets. Selon le PMI, le chef de projet est à la fois un manager et un leader. Par cette ouverture, le PMI nous permet d’avoir une vision élargie du métier de chef de projet ». Le cycle de vie du produit détermine le cycle de développement du projet du PMP : le PMBOK fournit une série d’exemples notamment celui d’un projet pharmaceutique. Les points forts du PMBOK résident dans la dimension internationale de ce dispositif et la complétude des domaines de connaissances. En revanche, on a souvent reproché au système d’évaluer davantage le savoir que le savoir-faire. Aujourd’hui, on peut constater que le PMI cherche à remédier à cette faiblesse, mais à notre avis, de façon encore très superficielle.
23 PRINCE2
Le dispositif PRINCE2 permet à une personne physique d’obtenir une certification en matière de management de projet.
Figure 23.1 — Dispositif PRINCE2
Présentation PRINCE (PRojects IN Controlled Environments, Projets en environnements contrôlés) est un référentiel fondé sur des modèles de processus liés à une direction de projet.
140
Chapitre 23. PRINCE2
Il est issu de PROMPT, référentiel de management de projet créé en 1975 par Simpact Systems ltd. PROMPT a été adopté en 1979 comme standard par l’OGC (Office of Government Commerce) pour être utilisé dans tous les projets informatiques du gouvernement britannique. En 1989 à son lancement, PRINCE remplaça effectivement PROMPT dans les projets gouvernementaux britanniques. Depuis, le référentiel a évolué : il est devenu PRINCE2 en 1996. Des révisions ont ensuite eu lieu en 1998, en 2000 et en 2005. Depuis la première révision, le nom PRINCE2 a été conservé et les mises à jour sont identifiées par l’année de la révision. Le référentiel n’a pas actuellement de révision planifiée. Le manuel PRINCE2 Managing Successful Projects with PRINCE2 est un guide indépendant des bonnes pratiques en management de projet. Il est d’ailleurs recommandé par l’ITIL, bien que le PMP (Project Management Professional) puisse lui être préféré par certains utilisateurs. PRINCE2 est une approche du management de projet, à base de processus, fournissant une méthode facilement personnalisable et adaptable à tous types de projets. La structure PRINCE2 repose sur les notions de rôles, composants, processus et techniques. Le référentiel PRINCE2 est composé des huit processus suivants : • la direction de projet (DP) ; • l’élaboration du projet (EP) ; • l’initialisation du projet (IP) ; • le contrôle des séquences (CS) ; • la gestion des limites de séquences (LS) ; • la gestion des livraisons des produits (LP) ; • la clôture du projet (CP) ; • la planification (PL).
Chaque processus est défini par ses entrées et sorties, par des objectifs pour les produits à créer et aussi par des tâches à accomplir. Le processus direction de projet définit deux niveaux de management de projet avec des rôles clairement définis : le comité de pilotage du projet (où siège le client) et un chef de projet. Le comité de pilotage est une équipe de direction animée par un cadre dirigeant de haut niveau, par exemple un directeur opérationnel. Ce cadre dirigeant, l’exécutif, est le véritable responsable : il a toute autorité sur le projet. Après avoir examiné les résultats, le comité de pilotage est seul habilité à décider de la poursuite et de la clôture du projet. Le chef de projet est mandaté pour livrer les produits en respectant les objectifs et les contraintes fixés par le comité de pilotage. PRINCE2 se concentre sur la justification économique du projet. Celui-ci ne peut être lancé que si les conclusions de l’étude de coûts sont acceptables. Cette justification
141
PRINCE2
est matérialisée par le cas d’affaire (business case). En fait, il se présente comme un compte d’exploitation prévisionnel justifiant le projet d’un point de vue économique. Pour une bonne mise en œuvre de la gestion de projet de PRINCE2 il convient de comprendre et maîtriser les huit composants de la méthode. Ceux-ci décrivent les bonnes pratiques et la philosophie générale de la méthode. Le suivi du projet se fait en fonction d’une tolérance sur un certain nombre de mesures. Les principales mesures concernent typiquement le suivi des coûts et des délais, mais aussi la qualité, les risques, le périmètre et l’ensemble des bénéfices.
Une évolution majeure : PRINCE2 Refresh PRINCE2 Refresh est issu d’un projet commandité par l’OGC pour faire évoluer PRINCE2. Du fait que le référentiel n’avait pas évolué depuis dix ans, et que de nouveaux modes de pensée faisaient jour en la matière, l’OGC, a lancé une consultation publique internationale auprès de 160 organisations et individus tous secteurs confondus. L’étude s’est déroulée de novembre 2006 à juin 2007. Chacun a pu y faire remonter les points forts et points faibles du référentiel. Il en est ressorti les orientations suivantes : • le référentiel devrait adopter sept principes de gestion pour faire face aux causes
communes d’échec ; • l’architecture du modèle évoluerait quelque peu en passant de huit à sept
processus ; • les huit composants seraient remplacés par sept thèmes clés ; • le manuel devrait être allégé (200 pages au plus) ; • PRINCE2 s’alignerait avec les nouvelles mises à jour de M_o_R et MSP ; • le référentiel devrait aussi mieux s’adapter à l’environnement en prenant en
compte le contexte organisationnel, du fait de la création d’un guide de maturité (PRINCE2 Maturity Model – P2MM), et le contexte projet avec le portfolio (Portfolio Programme and Project management Maturity Model – P3M3). La version finale devrait être prête pour la fin du premier semestre 2009.
Documentation La documentation inclut le manuel PRINCE2 Managing Successful Projects with PRINCE2 et bien d’autres ouvrages. On la trouve en français. Elle existe sur papier et en format électronique. Il existe également des possibilités d’enseignement assisté par ordinateur : le Computer Based Training mais uniquement en anglais. Un Guide de poche PRINCE2 est disponible dans plusieurs langues (français inclus). Le manuel PRINCE2 a été traduit en 15 langues dont le français. PRINCE2 est dans le domaine public. La documentation est payante et disponible auprès de l’OGC qui en assure la diffusion. De plus, sur le site de l’APMG (Association for Project Management Group), il est possible de télécharger gratuitement des études de cas, un ensemble de modèles de
142
Chapitre 23. PRINCE2
documents ainsi qu’un glossaire de termes avec leur traduction en différentes langues dont le français.
Mise en œuvre PRINCE2 est un standard largement utilisé au Royaume-Uni aussi bien par l’Administration que par le secteur privé. Il est également utilisé dans d’autres pays, par exemple par les services administratifs d’Europe du Nord. Des certificats PRINCE2 ont été délivrés à des candidats provenant de 50 pays. En janvier 2006 il y avait plus de 80 organismes de formation PRINCE2 accrédités par l’APMG répartis essentiellement au Royaume-Uni et aux Pays-Bas, mais aussi 10 en Australie, 2 aux États-Unis, en Afrique du Sud, au Danemark, en Belgique, en France à l’École Supérieure de Commerce de Lille et à ISTYA. L’APMG est accréditée par l’UKAS (United Kingdom Accreditation Service). Ce dispositif établit les bonnes pratiques en management de projet et garantit leur application par la certification des chefs et directeurs de projet. La formation et l’évaluation sont structurées selon deux niveaux d’évaluation : le certificat Fondamental et le certificat Praticien. Le certificat de niveau Fondamental concerne tout collaborateur intervenant sur des projets. Il certifie que le candidat a une connaissance de base de PRINCE2. Aucune condition préalable n’est exigée. Pour réussir cet examen, il faut 50 % de bonnes réponses, soit un minimum de 38 sur les 75 questions du QCM. L’examen se passe à livre fermé. Le certificat de niveau Praticien certifie que le candidat comprend le dispositif PRINCE2 et qu’il est capable de l’appliquer à son projet. La durée de validité du certificat est de cinq ans, au-delà desquels le candidat doit repasser un examen de renouvellement. La condition préalable est l’obtention du certificat Fondamental. C’est un examen écrit à choix multiples comportant neuf questions d’une valeur de 40 points chacune. Les candidats peuvent utiliser le manuel. Il faut 180 points sur 360 pour le réussir, soit 50 % de bonnes réponses. Plusieurs organismes interviennent dans ce dispositif : • l’APMG qui gère les programmes de certification et assure l’accréditation des
organismes de formation, les Accredited Training Organisations (ATO) ; • l’OGC qui assure la maintenance du dispositif ; • le PRINCE User Group (PUG) qui en fait la promotion. Un ATO seul ne peut organiser une formation certifiante. Le référentiel PRINCE2 s’est largement développé grâce à sa structure organisationnelle et à son approche fondée sur les processus et leurs composants d’une part, et d’autre part sur une justification économique. Les examens pour l’obtention des certificats Fondamental et Praticien peuvent se dérouler entièrement en français.
143
PRINCE2
À la fin de l’année 2005, il y avait plus de 120 000 praticiens certifiés dans le monde. On compte 150 000 manuels vendus par an, 750 examens par semaine. En 1989, 80 % des candidats certifiés provenaient du secteur public. Aujourd’hui, la tendance s’est totalement inversée, ce secteur ne représente plus que 20 %. PRINCE2 est devenu un standard d’application obligatoire pour les administrations des Pays-Bas et du Danemark. On note également une tendance à son utilisation dans les projets européens. En France, on s’aperçoit qu’il y a aujourd’hui une demande croissante de conférences, de formation et d’examens. À la fin de l’année 2005, il y avait près de 200 personnes ayant obtenu le certificat de praticiens, soit dix fois plus qu’en 2003.
Retour d’expérience Un chef de projet d’une grande entreprise qui a mis en œuvre PRINCE2 témoigne : « Cette certification me permet de donner confiance à mon responsable, à la fois en mes capacités et dans la méthode que je lui propose pour mener à bien mon projet. De plus, la communication avec mon équipe est facilitée par l’utilisation d’une méthodologie et d’une terminologie claires et non ambiguës auxquels les membres de l’équipe sont habitués ». Un directeur des systèmes d’information précise : « Pour notre entreprise, la certification des chefs de projet permet de rassurer nos maîtrises d’ouvrage ; de plus, nous prouvons notre compétence face à la concurrence lorsque nous fournissons des services à des clients externes ». Une des forces de ce dispositif réside dans la définition claire de l’organisation du projet avec les rôles et responsabilités. De plus, la souplesse du dispositif lui permet de s’adapter à des contextes variés. L’accent porté sur la justification économique du projet fait aussi partie de ses atouts. En revanche, on remarque que l’implantation est encore trop centrée sur l’Europe du Nord. Contrairement à d’autres dispositifs comme ceux de l’Association francophone de management de projet (AFITEP), le système d’évaluation s’intéresse plus aux connaissances qu’aux compétences. Notons que les différences culturelles ne sont pas bien prises en compte. Citons par exemple, les concepts de maîtrise d’ouvrage et de maîtrise d’œuvre. Ces deux termes sont définis dans le fascicule FD X50-108 – Terminologie dans les contrats d’ingénierie industrielle. Ils sont souvent traduits en anglais respectivement par Prime Contractor et Acquirer, mais ce ne sont que des équivalents puisque la réalité juridique est totalement différente. On note également que la responsabilité importante attribuée au directeur de projet français est sans équivalent dans le dispositif PRINCE2 qui place le chef de projet sous contrôle d’un cadre dirigeant ayant pouvoir de décision, l’exécutif. Mais peut-être ne s’agit-il que d’une différence de vocabulaire ?
24 Sarbanes-Oxley
Le dispositif Sarbanes-Oxley permet à une entreprise d’obtenir une attestation sur ses dispositifs de contrôle interne pour assurer la sécurité des informations financières.
Figure 24.1 — Dispositif Sarbanes-Oxley
Présentation Soyons clairs, se conformer à la loi Sarbanes-Oxley n’est pas un choix : il s’agit d’une loi dont le respect est obligatoire pour les entreprises cotées aux États-Unis, quels que soient leur nationalité et le lieu de leur siège social.
146
Chapitre 24. Sarbanes-Oxley
Officiellement intitulée la Public Company Accounting Reform and Investor Protection Act of 2002, le monde des affaires la désigne communément par le nom de loi Sarbanes-Oxley. Cette loi a été votée en 2002 aux États-Unis, à l’instigation du sénateur démocrate Paul Sarbanes du Maryland et d’un membre du Congrès républicain Michael G. Oxley de l’Ohio, en réponse à divers scandales financiers, dont le plus célèbre concerne l’affaire Enron. Le respect de cette loi conditionne tout simplement l’introduction en Bourse et la certification des comptes des sociétés cotées à la Bourse de New York auprès de la SEC (Securities and Exchanges Commission), organisme de régulation des marchés financiers américains. L’objectif de cette loi est le retour à la confiance des marchés financiers dans la fiabilité des comptes des entreprises. De façon plus pragmatique, il s’agit de pouvoir empêcher un président-directeur général ou un directeur financier d’affirmer qu’il n’« était pas au courant » en cas de problème. D’un point de vue financier, les clauses essentielles de la loi Sarbanes-Oxley sont les suivantes : • certification des rapports financiers par les dirigeants de l’entreprise et les • • • • • •
directeurs financiers dont la responsabilité civile et pénale se voit ainsi affirmée ; interdiction de faire des prêts personnels aux cadres supérieurs et aux directeurs ; signalement plus rapide de transactions qui seraient réalisées par des initiés ; publication des profits et rémunérations des présidents directeurs généraux et directeurs financiers ; indépendance des auditeurs ; obligation pour les entreprises d’avoir une fonction de contrôle interne certifiée par des auditeurs externes indépendants ; interdiction aux sociétés d’audit d’offrir des services à valeur ajoutée à leurs clients.
La section 404 de la loi Sarbanes-Oxley impose aux sociétés de mettre en place des procédures de contrôle interne adéquates sur le reporting financier dont l’efficacité sera testée annuellement par le dirigeant de la société ainsi que par ses auditeurs externes. Initialement applicable à partir du 15 juin 2005 pour les sociétés non américaines, son application a été reportée au 15 juillet 2006. Pour rendre effective l’application de la loi, une organisation spécifique, le PCAOB (Public Company Accounting Oversight Board) a été créé, dont le rôle est la supervision de la profession d’auditeur. Ainsi tout auditeur désirant effectuer un audit d’une société cotée aux États-Unis doit être enregistré auprès du PCAOB. Mais en quoi les systèmes d’information sont-ils concernés par cette loi ? La réponse est une reconnaissance évidente du rôle joué par les systèmes d’information dans notre monde moderne : les informations financières sont en majeure partie produites par des systèmes automatisés, qu’il s’agisse de progiciels de gestion intégrée hautement paramétrés ou d’applicatifs spécifiques traitant la facturation, la comptabilité et l’ensemble des flux financiers de l’entreprise. De nombreux aspects du contrôle interne dépendent du système d’information.
Sarbanes-Oxley
147
Mise en place d’un dispositif de contrôle interne La mise en conformité de ces dispositions conduit à une revue en profondeur du système de contrôle interne lié au reporting financier, et en particulier des systèmes informatiques, ainsi qu’un effort d’exhaustivité sur la documentation des contrôles effectués. Il importe de démontrer que la loi est respectée, que le business est maîtrisé et que seules des données fiables sont fournies. Une première étape pour l’entreprise consiste à choisir un référentiel de contrôle. Sarbanes-Oxley ne fournit pas de directive en matière de système de contrôle interne ; la SEC recommande toutefois sans l’exiger, l’utilisation du référentiel de contrôle interne publié par le COSO (Committee of Sponsoring Organizations), un groupe privé américain dont le but est d’améliorer la qualité du reporting financier à travers l’éthique, des contrôles internes efficaces et la gouvernance d’entreprise. La deuxième étape consiste à recenser les processus et les contrôles liés à chaque poste des états financiers en s’assurant de leur documentation dans un manuel de procédures. Ensuite, il convient d’évaluer l’efficacité de ces contrôles en les testant sur le terrain. Les types de tests sont spécifiques à chaque entreprise. Cette troisième étape permet d’identifier les faiblesses du système de contrôle et de décider de mesures correctrices, comme la suppression de contrôles redondants, l’amélioration de certains contrôles ou l’ajout de contrôles manquants. La SEC ne fournit pas de directive sur l’évaluation du contrôle interne par la direction, mais précise qu’une simple description des contrôles ne suffit pas. L’efficacité doit être testée et démontrée. Cela implique une évaluation des risques préalable à l’application des standards et procédures. Une attention toute particulière doit être portée à la séparation des fonctions entre les opérations d’autorisation, de contrôle, de stockage, de comptabilisation et de paiement. Ce qui est évalué, c’est le risque financier porté par les processus métiers afin de garantir la fiabilité des rapports financiers. L’estimation de la charge de travail à allouer à ces travaux préparatifs dépend de l’état initial de la documentation des contrôles internes et de leur efficacité, des ressources humaines disponibles et de la complexité de l’entreprise.
Évaluation des systèmes informatiques L’évaluation des systèmes informatiques liés au reporting financier fait partie intégrante du processus d’évaluation des contrôles par la direction. En effet, les systèmes informatiques fournissent des données alimentant le processus de décision de la direction ainsi que le reporting financier. Les systèmes d’information se doivent d’être fiables et intègres afin de fournir des données reflétant de manière correcte l’activité de l’entreprise. La direction de l’entreprise doit donc évaluer le risque lié à l’utilisation de l’informatique et des contrôles réalisés par l’informatique : • du point de vue organisationnel, en documentant l’environnement de contrôle
(structure de l’organisation informatique, niveau de compétence du personnel, procédures, etc.) et en documentant le processus de management des risques liés
148
Chapitre 24. Sarbanes-Oxley
à l’informatique (procédures de continuité de service, plans de secours, niveau de communication entre le département informatique et les autres départements, sécurité physique des données, etc.) ; • du point de vue interne du SI, au niveau des transactions et des applicatifs informatiques, en documentant les flux de transactions financières automatiques, les sources potentielles d’erreurs informatiques qui pourraient impacter les états financiers ainsi que les contrôles réalisés par l’informatique. La loi Sarbanes-Oxley spécifie des exigences d’évaluation pour les contrôles, sans préciser le référentiel à utiliser pour ces contrôles. Pour définir le type d’indicateurs à mettre en place, on devra donc se reporter à des référentiels de contrôle tels que CobiT et celui du COSO.
Documentation Le texte de la loi Sarbanes-Oxley en anglais est librement disponible auprès de la Librairie du Congrès des États-Unis. Les sociétés de conseil ont donné de nombreuses interprétations du texte. Une simple recherche sur Internet fournit de nombreuses pistes.
Mise en œuvre Nous l’avons vu, la loi Sarbanes-Oxley s’applique à certaines sociétés en fonction de la structure de leur capital. Par effet de cascade, elle s’applique de plus indirectement à leurs fournisseurs. Les entreprises utilisant les services d’un prestataire externe doivent ajouter, pour chacun des services externalisés, un rapport complémentaire détaillant les contrôles réalisés, leur adéquation et leur efficacité. De façon symétrique, les prestataires de services informatiques traitant des opérations financières pour le compte de clients soumis à la loi Sarbanes-Oxley ont tout intérêt à préparer les preuves de la mise en place de contrôles adaptés. La loi Sarbanes-Oxley prévoit la mise en place d’un comité d’audit, à défaut les compétences du comité d’audit sont assumées par le conseil d’administration. Afin d’améliorer l’efficacité du contrôle interne, les modalités pratiques du déroulement des audits ont été précisées par le PCAOB dans l’Auditing Standard 5 (AS 5), « An Audit of Internal Control over Financial Reporting That Is Integrated with an Audit of Financial Statements » (AS 5), approuvé par la SEC le 25 juillet 2007. Le choix d’un référentiel de contrôle interne est nécessaire, par exemple CobiT en complément du COSO pour les aspects spécifiques à l’informatique. En pratique, il faudra qu’une société française veille également à la compatibilité avec la Loi de sécurité financière (LSF). Ces choix et la mise en œuvre qui en découle nécessitent un haut niveau d’expertise ce qui implique la plupart du temps de faire appel à des consultants issus de cabinets de conseil spécialisés. Un des écueils pourrait être la création de structures d’audit redondantes entre le contrôle interne et les audits qualité. Le coût de mise en place du contrôle interne a amené le gouvernement américain à étaler dans le temps la mise en place de la loi. La SEC a prolongé d’un an le délai
Sarbanes-Oxley
149
imparti aux émetteurs étrangers pour s’y conformer. Les entreprises cotées ont eu jusqu’au 15 juillet 2006 pour adapter leur reporting financier aux exigences de la section 404. Il ressort d’une étude Ernst & Young, Emerging Trends in Internal Controls, Forth Survey and Industry Insights, publiée en septembre 2005, que 70 % des sociétés américaines, parmi les 100 plus importantes tous secteurs d’activité confondus, ont passé plus de 10 000 heures pour la mise en conformité avec la section 404 et que 40 % des sociétés reprises au Fortune 100 ont budgété plus de 100 000 heures. Selon une étude réalisée par Zhang les coûts de conformité directs atteindraient 260 milliards de dollars. Une autre étude, réalisée par Carney en 2005 sur de plus petites entreprises, indique que l’observation de la loi Sarbanes-Oxley a accru de 149 % les coûts de conformité totaux de ces entreprises.
Retour d’expérience Un auditeur explique : « La loi Sarbanes-Oxley est sujette depuis son adoption à beaucoup de critiques, la plus importante étant le coût jugé prohibitif de la mise en œuvre de la section 404. Une autre critique, plus indirecte, est l’effet dissuasif sur les introductions en Bourse : depuis 2002, après l’adoption de la loi Sarbanes-Oxley, le nombre de sociétés étrangères introduites en bourse a diminué de moitié. L’impact a été particulièrement notable sur les sociétés européennes qui préfèrent désormais d’autres places boursières moins exigeantes : l’association française de gouvernement d’entreprise signalait par exemple une seule société européenne cotée à la Bourse de New York au premier semestre 2004. Les difficultés de mise en œuvre débouchent toutefois sur de véritables améliorations du niveau de contrôle : certaines problématiques informatiques fondamentales sont soulevées comme la gestion de l’autorisation et des accès des utilisateurs aux systèmes informatiques et aux applicatifs, la séparation réelle des tâches au sein du département informatique ainsi que le niveau de documentation des contrôles informatiques et des sources d’erreurs liées à l’utilisation de l’informatique. La date du 15 juillet 2006 sera-t-elle définitive ? Doit-on s’attendre à d’autres reports de date ? Nous ne savons pas actuellement répondre à ces questions. Aucune révision de la loi ne semble pour l’instant prévue, malgré les difficultés rencontrées ». Parmi les faiblesses relevées, outre le coût de sa mise en œuvre, on citera également les problèmes réels d’application dans le contexte d’autres législations nationales : par exemple le whistle blowing anglo-saxon (ou dénonciation éthique) peut se trouver en contradiction en France avec les directives de la Loi informatique et libertés. Selon la bonne gouvernance d’entreprise « l’entreprise est faite pour les seuls actionnaires », les autres parties prenantes comme clients et employés n’étant plus que des moyens pour maximiser leur profit. Un risque d’excès de gouvernance peut ainsi apparaître lorsque le contrôle financier n’est pas équilibré par d’autres préoccupations prenant en compte les intérêts du client et des autres acteurs de la société : ceci pourrait expliquer l’émergence de la Responsabilité sociale de l’entreprise (RSE).
150
Chapitre 24. Sarbanes-Oxley
Le rapport de René R ICOL sur la crise financière, publié en septembre 2008, dans le contexte de la Présidence française de l’Union européenne indique dans ses conclusions que : « Les problèmes rencontrés par les établissements bancaires lors de la crise des subprimes montrent une sous-valorisation des fonctions qui concourent au contrôle interne par rapport à celles des opérateurs de marché (front office). » L’application de la loi Sarbanes-Oxley n’a pas réussi à préserver la confiance dans les marchés financiers. On peut s’interroger sur la cause de cet échec : cette loi serait-elle inadaptée ou seulement mal appliquée ?
25 SAS 70
Le dispositif SAS 70 fournit à une entreprise un diagnostic sous forme de rapport sur le contrôle interne de ses services sous-traités.
Figure 25.1 — Dispositif SAS 70
Présentation Le « Statement on Auditing Standards No. 70 (SAS 70) » est un dispositif d’audit s’adressant aux fournisseurs de services. Lorsque ces derniers doivent présenter à leurs clients des rapports confirmant l’existence de contrôles sur leurs processus de service, ils
152
Chapitre 25. SAS 70
font appel à ce type d’audit. SAS 70 a été développé en 1992 par l’AICPA (American Institute of Certified Public Accountants), l’institut américain des experts-comptables. Ce type d’audit dépasse largement le strict cadre financier en étendant son domaine d’investigation au contrôle de l’ensemble des règles de gouvernance d’une entreprise, en incluant l’informatique et les processus associés. Ce dispositif a pris un essor nouveau à partir de 2002 avec l’application de la loi Sarbanes-Oxley. Il répond en effet aux besoins d’entreprises qui ne seraient pas elles-mêmes soumises à la loi mais qui devraient apporter des éléments de preuves à leurs clients en matière de mise en place de contrôles sur des services sous-traités. Bien que SAS 70 couvre tout le domaine des services sans restriction, les entreprises de service informatique, traitant des données personnelles ou financières pour le compte de sociétés américaines ou cotées en Bourse aux États-Unis, sont particulièrement concernées. Les rapports SAS 70 sont ainsi exigés par les entreprises utilisatrices de prestations de service et leurs auditeurs. Pour une entreprise de service, la production d’un rapport d’audit SAS 70 est un moyen efficace pour donner des informations à ses clients sur les contrôles qu’elle a mis en place. Deux types de rapport sont prévus par SAS 70 : • un rapport de Type I qui décrit les contrôles mis en place par une entreprise de
service, à une certaine date ; • un rapport de Type II qui inclut non seulement la description des contrôles mis en place, mais encore des tests détaillés de ces contrôles sur une période minimum de six mois. Les processus couverts par les contrôles portent sur les activités de contrôle, les processus d’évaluation de risques, la communication et le pilotage. Les contrôles concernent entre autres le développement et la maintenance des applicatifs, la sécurité logique, les contrôles d’accès, les traitements de données et la continuité de service. Il appartient à chaque entreprise de définir ses objectifs de contrôle et de décrire ses contrôles. De ce fait, SAS 70 ne propose pas de liste de contrôles standard. Les objectifs de contrôles sont supposés spécifiques à chaque entreprise de service et à ses clients. Toutefois, les entreprises font de plus en plus appel à des référentiels de contrôle spécialisés tels que CobiT pour l’informatique. On citera également les principes et critères SysTrust pour la sécurité des systèmes d’information et de façon plus spécifique WebTrust en matière de sécurité des sites web ; tous deux sont disponibles auprès de l’AICPA. Comme pour les contrôles, le choix des mesures est de la responsabilité de l’entreprise. En pratique, les indicateurs clés choisis sont sélectionnés dans les référentiels de contrôle usuels tels que CobiT.
Documentation Le site commercial de l’AICPA propose un ensemble de documents, dont les principaux sont : • SAS No. 70 Auditing Guidance ;
153
SAS 70
• Service Organizations, Applying SAS No. 70, As Amended, un guide d’audit
complémentaire de l’AICPA qui fournit des recommandations en matière d’investigation et de rapports. Ces documents peuvent être commandés et achetés en ligne auprès de l’AICPA.
Mise en œuvre L’utilisation de certificats SAS 70 doit sa notoriété actuelle à son utilisation dans le cadre de la mise en œuvre de la loi Sarbanes-Oxley. Le nombre de rapports délivrés par les commissaires aux comptes n’est pas connu, mais serait en constante augmentation parmi les fournisseurs d’entreprises américaines. Il faut en effet noter que l’utilisation de ce référentiel ne se fait en France et en Europe que sous la pression des clients. La production d’un rapport SAS 70 (tableau 25.1) n’est pas un examen de passage, comme peut l’être une certification ISO 9001. Dans un rapport de Type I, l’auditeur donne son opinion sur la description des contrôles qui lui sont présentés, sur leur pertinence et sur l’adéquation de ces contrôles aux objectifs spécifiés. Dans un rapport de Type II, l’auditeur donne en plus son opinion sur l’efficacité des contrôles qu’il a pu tester pendant la période d’observation et le degré de confiance que l’on peut leur accorder quant à l’atteinte des objectifs fixés. Tableau 25.1 — Rapports SAS 70 de Types I et II Contenu du rapport
Type I
Type II
Rapport d’un auditeur du service indépendant (opinion)
Obligatoire
Obligatoire
Description des contrôles de l’entreprise de service
Obligatoire
Obligatoire
Description des tests effectués par l’auditeur sur l’efficacité des contrôles et résultats de ces tests
Optionnel
Obligatoire
Autres informations fournies par l’entreprise de service (par exemple glossaire)
Optionnel
Obligatoire
L’opinion de l’auditeur peut prendre deux valeurs : inconditionnelle ou conditionnelle. Une opinion conditionnelle traduit la déficience d’un ou plusieurs contrôles ; dans ce cas l’entreprise cliente qui utilise le rapport pourra exiger la mise en place de procédures complémentaires ou la correction des déficiences constatées avant la fin de l’année fiscale. Une opinion inconditionnelle exprime le fait qu’une confiance raisonnable peut être accordée aux contrôles mis en place par l’entreprise de service. Le rapport SAS 70 n’a de valeur pour l’expert-comptable que s’il est suffisamment récent : un rapport de plus de six mois à la date de clôture des comptes est réputé sans intérêt. Cela implique que les rapports soient réalisés suivant un rythme annuel cohérent avec celui de l’exercice fiscal du client. Un compromis est à trouver lorsque les dates de clôture d’exercice des différentes entreprises clientes ne sont pas les mêmes.
154
Chapitre 25. SAS 70
Un rapport SAS 70 peut être réalisé par n’importe quel cabinet d’expert-comptable disposant des compétences nécessaires. Il est donc important de vérifier les compétences des auditeurs proposés par le cabinet, en s’assurant qu’ils disposent d’une expérience suffisante en matière d’audit, voire de certifications comme le CISA (Certified Information Security Auditor) délivré par l’ISACA (Information Systems Audit and Control Association).
Retour d’expérience Un consultant d’un grand cabinet d’expertise comptable déclare : « Sa mise en œuvre est lourde et ne s’adresse qu’à des entreprises dont le niveau de maturité est déjà élevé en matière de maîtrise des risques et de sécurité informatique ». Vu par les Big Four (PricewaterhouseCoopers, Deloitte, Ernst & Young, KPMG) et autres réviseurs, SAS 70 fait fonction de dispositif de certification facilitant le travail du commissaire aux comptes, en garantissant que la dynamique de contrôle est efficace et qu’elle est permanente au sein de la société. SAS 70 est un outil destiné aux experts comptables pour certifier les comptes. L’objectif est de s’assurer que des contrôles efficaces sont mis en place afin de limiter les risques financiers, risques de fraude et autres risques opérationnels pouvant avoir un impact sur la fiabilité des résultats comptables. Il ne s’agit donc pas d’un outil de management articulé autour d’une logique d’amélioration. La force de ce dispositif réside dans sa complémentarité avec d’autres dispositifs d’amélioration et dans le pont qu’il établit entre les référentiels techniques et les référentiels financiers. En matière de sécurité, SAS-70 apparaît ainsi très proche de l’ISO 27001, ce qui peut réduire l’investissement d’une double certification. L’obtention d’un rapport SAS 70, s’il s’appuie par ailleurs sur des pratiques suffisamment matures en matière de qualité et sécurité, doit aboutir à une réduction notable du nombre d’audits effectués par des clients. Trois critiques principales lui sont toutefois adressées : • Le fait qu’il ne s’agisse pas d’un référentiel prédéfini a pour conséquence que
la conformité est mesurée par rapport à des objectifs définis par l’entreprise, or ceux-ci peuvent se révéler insuffisants ; par exemple lorsqu’une entreprise n’a pas de politique sécurité l’objectif de contrôle de la sécurité ne sera pas examiné. • La réalisation d’audits est effectuée par des experts comptables dont les compétences en matière d’informatique et de sécurité ne sont pas toujours adaptées. • Et enfin, le coût de l’obtention d’un rapport peut paraître prohibitif, entre 100 000 et 300 000 dollars et quelquefois beaucoup plus pour respecter l’obligation préalable de documenter les contrôles avec l’aide de consultants spécialisés.
26 Six Sigma
Le dispositif Six Sigma permet à une personne physique d’obtenir une certification pour ses compétences en matière d’amélioration de processus.
Figure 26.1 — Certification des acteurs Six Sigma
Présentation L’importance croissante des références au Six Sigma nous a incités à présenter le dispositif dans le cadre de la qualification de personnes. Il s’agit d’une méthode qui vise
156
Chapitre 26. Six Sigma
essentiellement à l’optimisation de la performance (aptitude) des processus existants et à la conception de nouveaux processus permettant de répondre aux besoins des clients de manière fiable et prévisible. La méthodologie Six Sigma a été conçue par Motorola dans les années 1980 puis reprise et améliorée par General Electric dans les années 1990. Il s’agit d’un dispositif fondé sur le concept de variation. La lettre grecque σ (sigma) est l’écart type qui indique l’amplitude de la variation. Qu’un processus fournisse un produit industriel ou un service, la mesure de la variation est l’indicateur de l’aptitude d’un processus stratégique à satisfaire les spécifications critiques du client. Le Six Sigma se fonde sur l’analyse statistique de l’aptitude d’un processus et sur l’identification par l’analyse statistique des sources principales de variation. Préconisée initialement par Motorola, la démarche consiste à réduire de façon drastique la variabilité des processus de production de telle sorte que la proportion de pièces ne répondant pas aux spécifications critiques du client décroisse très fortement. Lorsque la différence entre la moyenne et la valeur limite indiquée par le client est de six écarts types (six sigma), le nombre de pièces défectueuses produites est à peu près 3,4 pièces par million de pièces produites, soit proche du zéro défaut. Au cœur de la démarche Six Sigma, le cycle DMAIC (Define, Measure, Analyse, Improve, Control, et en français DMAAC pour Définir, Mesurer, Analyser, Améliorer et Contrôler) intègre la démarche d’amélioration de performance dans une méthode de gestion de projet ; le PDCA (Plan-Do-Check-Act) de la roue de Deming se reconnaît aisément. Le cycle DMAIC comporte les étapes suivantes : • Définir le périmètre du processus à améliorer, c’est-à-dire clarifier les exigences
• • •
•
du client, formaliser les objectifs d’amélioration et les ressources nécessaires à l’exécution du projet. Mesurer la performance (aptitude) actuelle du processus étudié par rapport aux exigences critiques des clients. Analyser les données récupérées afin de déterminer les sources principales de variation en mettant en œuvre des outils statistiques d’analyse. Améliorer, c’est-à-dire recenser, évaluer, choisir et mettre en œuvre les actions à mener en priorité pour réduire le niveau de variation et optimiser l’aptitude du processus. Contrôler, c’est-à-dire mesurer et évaluer les résultats ainsi que les gains obtenus après la concrétisation des mesures d’amélioration de performance préconisées, et définir les actions nécessaires à la pérennisation de l’amélioration.
Le succès grandissant de la méthodologie Six Sigma a entraîné la création de nombreuses communautés de pratiques qui se sont développées aussi bien sur des secteurs (industrie, services, finance...) que par type d’activités (marketing, R & D, contrôle qualité...). Devant le risque de se retrouver avec des pratiques contradictoires sous la même démarche, l’ISO a initié en octobre 2008 la rédaction de la norme ISO 13053 Six Sigma méthodologie.
157
Six Sigma
Cette norme se composera de trois parties qui sont prévues pour fin 2011 : • ISO 13053-1 décrivant la démarche, DMAIC , telle que décrite ci-dessus sera
une introduction aux parties suivantes, • ISO 13053-2 traitant des outils et techniques pour DMAIC, reprend les 35 fiches du fascicule de documentation Afnor « Six Sigma, une démarche d’amélioration utilisant les outils statistiques ». Elle a été publiée en juin 2008. • ISO 13053-3, ensemble de rapports techniques contenant un mode opératoire précis de mise en œuvre avec des exemples tirés de l’industrie, des services ou de la finance.
Documentation Jusqu’à récemment, la démarche Six Sigma ne s’appuyait pas sur un référentiel ; sa documentation se trouvait essentiellement dans les manuels de statistiques, les formations et les ouvrages publiés sur ce thème. Suite à la décision de l’ISO de créer une norme sur la démarche Six Sigma, des publications sur ce référentiel et son mode d’emploi devraient être disponibles à partir de fin 2011.
Mise en œuvre Historiquement, cette démarche concernait les processus de production de série. Aujourd’hui, elle s’applique à de nombreux types de processus et de prestations aussi bien à des services financiers qu’à d’autres types de services : tous les processus de l’entreprise qu’ils soient de conception, de production ou administratifs peuvent être améliorés en utilisant la démarche et les outils Six Sigma. Comme en témoigne l’ouvrage Measuring the Software Process, la maîtrise statistique a été appliquée au processus de management de projet logiciel. La Haute autorité de santé (HAS) la préconise aussi dans l’ouvrage Maîtrise statistique des processus en santé – Comprendre et expérimenter. Ce dispositif est utilisé par des centaines d’entreprises, principalement aux ÉtatsUnis, au Mexique, au Canada, au Royaume-Uni, en Allemagne, dans les pays d’Europe de l’Est, en Inde et en Chine. Il commence seulement à être utilisé en France. Parmi les utilisateurs, on peut citer des groupes internationaux tels que Motorola, GE, Honeywell, Westinghouse, Dupont, Bombardier, ABB, Schlumberger, Sony, Nokia, Toshiba, American Express, Merrill Lynch et AXA. La démarche Six Sigma convient aux entreprises dont l’objectif couvre les domaines classiques de la diminution des coûts de non-qualité, l’augmentation de la fiabilité des produits et des services, l’amélioration de la satisfaction du client, l’augmentation de la productivité et de la valeur ajoutée. De façon plus originale, elle vise l’optimisation de la performance (aptitude) des processus, la validation des processus par la stabilisation statistique et permet ainsi un retour sur investissement important et rapide.
158
Chapitre 26. Six Sigma
Le succès de cette approche dépend essentiellement de trois éléments : • la compétence des personnes chargées de la mettre en œuvre ; • un engagement de la direction au plus haut niveau ; • une implication du personnel à tous les échelons de l’entreprise.
La qualification des personnes est illustrée à l’aide d’une appellation qui rappelle les arts martiaux : Champion, Master Black Belt, Black Belt et Green Belt. Mikel Harry, l’un des créateurs des Six Sigma avait introduit le système des ceintures (en anglais, belt) pour représenter les niveaux d’expérience. Étant lui-même passionné par les arts martiaux, il avait remarqué plusieurs points communs entre les personnes pratiquant les arts martiaux et celles qui pratiquent la technique du Six Sigma : expérience de terrain, maîtrise des outils, dévouement et humilité. Pour réussir un projet, la participation d’un Black Belt est insuffisante, un travail d’équipe au niveau de l’entreprise et du projet est indispensable. Pour cela au niveau de l’entreprise, le directeur du déploiement et les champions garantissent que les projets apportent une valeur ajoutée et que le programme se dirige bien dans la direction prévue. Au niveau du projet, ce sont des experts désignés sous le nom de Six Sigma Belt qui managent les projets et mettent en œuvre les améliorations souhaitables, comme indiqué dans le tableau 25.1. Tableau 26.1 — Rôle et formation des acteurs Six Sigma Green Belt
Black Belt
Master Black Belt
Spécialiste de l’amélioration, il intervient à temps partiel tout en conservant ses fonctions précédentes.
Spécialiste de l’amélioration, il intervient à plein-temps.
Spécialiste de l’amélioration, il intervient à plein-temps.
Il reçoit une formation de deux semaines sur une période de deux mois.
Il reçoit une formation de quatre semaines sur une période de quatre mois.
C’est un expert en statistiques qui est souvent un ancien Black Belt de l’entreprise.
Il participe à la collecte et à l’analyse des données sur des projets Black Belt.
Il dirige une équipe et manage un projet Black Belt.
Il valide les projets au niveau de la méthodologie et de l’utilisation des outils Six Sigma.
Il peut diriger une équipe et Il coache les équipes projets manager un projet Green Belt. Green Belt.
Il forme les Green Belt et Black Belt et coache des équipes projets Black Belt.
La certification de personnes n’est pas réglementée. Elle se fait souvent en interne à l’entreprise. L’American Society for Quality (ASQ) forme les individus et les certifie au niveau Green Belt ou Black Belt. La certification ASQ de Black Belt nécessite un renouvellement tous les trois ans.
Six Sigma
159
Retour d’expérience Un collaborateur d’une entreprise ayant adopté le Six Sigma témoigne : « Toute l’entreprise a été entraînée dans la démarche et cela a modifié, de ce fait, les référentiels qualité internes. L’ensemble des employés est incité à mettre en œuvre un ou deux projets Six Sigma. Dans ce dessein, une formation de base est dispensée sur la démarche DMAIC, complétée par une panoplie d’outils de résolution de problèmes à adopter en fonction des problématiques rencontrées. Puis, au fur et à mesure de l’acquisition de compétences et d’expérience en méthodologie Six Sigma, des grades sont atteints : tout employé ayant bénéficié de la formation de base et ayant réalisé un projet Six Sigma devient Green Belt, puis Black Belt à l’occasion des projets suivants. Cette progressivité est un important facteur de réussite d’un projet : tout projet Six Sigma est systématiquement supervisé par un Black Belt et piloté par un sponsor/décideur. Le démarrage et la fin d’un projet sont traités comme des événements. La qualité et la réussite de projets Six Sigma représentent ainsi un important moyen de promotion dans l’entreprise. Un autre facteur clé de réussite consiste à la mise en valeur, à l’intérieur de l’entreprise, de l’ensemble des projets menés et l’attribution de primes aux équipes en fonction des gains financiers découlant de ces projets ». La démarche Six Sigma est généralement utilisée dans des entreprises de taille importante. Toutefois, appliquée à tous les processus d’une petite entité (par exemple, une vingtaine de salariés), elle permet, en quelques mois, d’accélérer de manière notable la maîtrise d’un nouveau procédé. La principale innovation de cette démarche est de permettre la quantification de la qualité qui devient ainsi visible du management de haut niveau. Six sigma permet ainsi de réduire les coûts de non-qualité de l’entreprise : que ce soit des coûts dus aux dommages (environnement, non-satisfaction client, retours, garanties, réclamations...) ou des coûts d’investissement (technologiques, processus, inspection...). Grâce à un retour sur investissement rapide, elle permet de réconcilier l’exigence financière et l’amélioration de la satisfaction client. Toutefois la mise en œuvre initiale de ce dispositif est coûteuse (expertise, formation) et nécessite l’acceptation d’un changement culturel, parfois important, pour l’entreprise. L’absence d’un référentiel documenté et d’un processus de reconnaissance entraîne une certaine variabilité dans les pratiques des utilisateurs et l’interprétation du Six Sigma qu’en font les cabinets de conseil. Ce qui est un comble pour une démarche dont l’objectif premier est de réduire la variabilité des processus. La norme ISO doit permettre d’identifier un socle commun, universel et reconnu par tous, pour la méthodologie Six Sigma à partir duquel les bonnes pratiques par secteur ou par activité pourront continuer de se développer.
27 SSE-CMM
L’objectif du SSE-CMM consiste à fournir un cadre standard pour établir et promouvoir l’ingénierie de la sécurité comme une discipline mature et mesurable. Dans ce sens, le dispositif SSE-CMM permet à une entreprise d’établir un diagnostic d’aptitude de ses processus à assurer la sécurité.
Figure 27.1 — Dispositif SSE-CMM
162
Chapitre 27. SSE-CMM
Présentation Dans la famille des CMM, le référentiel SSE-CMM (Systems Security Engineering Capability Maturity Model) propose un modèle d’évaluation de la sécurité des systèmes d’information permettant de pratiquer l’auto-évaluation d’une organisation. Développé à partir de 1995 sur les bases génériques du CMM par un groupe de projet composé d’industriels et d’universitaires, ce référentiel a été diffusé et maintenu par l’ISSEA (International Systems Security Engineering Association). En novembre 2002, le Modèle de maturité de capacité (SSE-CMM) a été normalisé par l’ISO sous la référence ISO 21827 puis mis à jour en 2008. Sa structure est similaire à la représentation continue du CMMI avec une échelle de niveaux de 1 à 5 et présente une compatibilité affichée avec l’ISO 15504 : • Niveau 1 : Réalisé informellement ; • Niveau 2 : Planifié et suivi ; • Niveau 3 : Bien défini ; • Niveau 4 : Contrôlé quantitativement ; • Niveau 5 : Amélioré en continu.
Comme dans le CMMI le résultat se traduit par une dimension d’aptitude par processus comme représenté dans la figure 27.2.
Figure 27.2 — Exemple de profil d’aptitude
163
SSE-CMM
Ces processus prennent en compte : • les différentes phases du cycle de vie des produits ou des systèmes ; • les différentes fonctions d’une entreprise ; • les interfaces internes ; • les interfaces externes.
Le SSE-CMM fournit tout à la fois un ensemble de règles et de recommandations d’utilisation (le référentiel) et le modèle d’évaluation. Plus précisément, le dispositif SSE-CMM est constitué de bonnes pratiques (appelées pratiques de base) associées à un domaine de processus et de pratiques génériques. Les 129 bonnes pratiques sont ainsi regroupées dans 22 domaines de processus (Process Area, PA). En parallèle, comme dans l’ISO 15504, les pratiques génériques s’appliquent à l’ensemble des processus et selon leur degré de mise en œuvre. Elles permettent l’évaluation de l’aptitude de chaque processus selon les cinq niveaux. Dans cette version 3, le modèle propose deux catégories de processus : • des processus d’ingénierie de la sécurité (figure 27.3) ; • des processus organisationnels et de gestion de projet.
Les processus organisationnels et de gestion de projet du SSE-CMM sont similaires à ceux du CMMI et de l’ISO 15504 et assurent la compatibilité avec ces modèles. Les processus d’organisation proviennent du SE-CMM – System Engineering Capability Maturity Model ; les processus projet permettent de planifier, piloter et maîtriser les charges techniques, de gérer les risques projet et les configurations, et d’assurer la qualité. La catégorie de processus spécifiques à l’ingénierie de la sécurité permet de prendre en compte le niveau de sécurité correspondant au besoin, aussi bien au niveau du projet qu’au niveau de l’organisation. Cette catégorie de processus peut être subdivisée selon trois axes. Le premier concerne les processus qui sont centrés sur l’évaluation et le management du risque, l’identification des menaces et des vulnérabilités puis l’analyse de leur impact sur l’organisation ; ils permettent d’identifier les risques dont l’importance justifie leur prise en compte par l’organisation. On trouve ensuite les processus de spécification des besoins de sécurité et des mesures de sécurité correspondantes, les processus de mise en œuvre de ces dispositions de sécurité dans un objectif de réduction et de contrôle des risques identifiés et retenus précédemment. Ces processus sont mis en œuvre conjointement avec les processus de construction de produits et de systèmes. Enfin, le troisième axe regroupe les processus d’assurance sécurité qui vérifient la mise en œuvre des dispositions et mesurent leur efficacité par rapport à l’atteinte du niveau de sécurité souhaité. Deux types de métriques sont identifiés dans le SSE-CMM : les métriques relatives au processus et celles concernant la sécurité.
164
Chapitre 27. SSE-CMM
Figure 27.3 — Processus du SSE-CMM.
Les métriques de processus permettent de collecter des preuves qualitatives ou quantitatives de l’atteinte d’un niveau spécifique de maturité d’un processus ou de servir d’indicateur binaire de la présence ou de l’absence d’un processus mature. Les métriques de sécurité sont des attributs mesurables des résultats des processus SSE-CMM d’ingénierie de la sécurité ; elles peuvent servir de preuve de l’efficacité des processus. Ce type de métrique peut être objectif ou subjectif, quantitatif ou qualitatif. Alors que le premier type de métrique donne des informations sur le processus luimême, le second fournit des informations sur le résultat des processus et en particulier permet d’apprécier l’efficacité des processus quant à l’obtention du niveau de sécurité attendu.
SSE-CMM
165
Les métriques de sécurité devraient permettre d’apporter des réponses aux questions posées sur le coût et l’efficacité du dispositif de sécurité mis en place. Elles devraient orienter les choix d’amélioration et permettre d’évaluer dans quelle mesure les dispositions de sécurité permettent de réduire les risques. Cependant, même si le terme métrique est employé de manière diffuse dans la description de plusieurs processus (parfois au sens de critères), la nécessité de définir des métriques quantitatives n’apparaît qu’à partir du niveau 4 Contrôlé Quantitativement, avec l’établissement d’objectifs mesurables et la gestion quantitative des performances.
Documentation La norme ISO 21827 Ingénierie de sécurité système – Modèle de maturité de capacité (SSE-CMM) n’est disponible qu’en anglais auprès de l’Afnor, toutefois la version 3.0 du 15 juin 2003 qui a été adoptée par l’ISO est téléchargeable gratuitement sur le site du SSE-CMM. Le SSAM – SSE-CMM Appraisal Method décrit en détail comment mener une évaluation : on y trouve par exemple, les questionnaires pour chaque domaine de processus. Il est téléchargeable sur le site du SSE-CMM.
Mise en œuvre Initialement, les utilisateurs étaient surtout des industriels américains œuvrant dans des domaines pointus comme la fabrication de microprocesseurs ou de systèmes technologiques avancés ou encore pour la sécurité nationale. D’après une estimation de l’ISSEA1 , 40 entreprises l’ont adopté et 120 l’utilisent informellement, 70 % seulement sont des fournisseurs de services ou de systèmes de sécurité. D’après le Gartner2 l’appropriation du SSE-CMM, lente les premières années, devrait ensuite très fortement s’accélérer. Chaque processus peut être évalué indépendamment, même s’il existe une forte corrélation entre les mises en œuvre des processus d’une même catégorie. Ce référentiel n’a pas pour objet la certification, mais il permet de compléter des auto-évaluations en fournissant un cadre d’évaluation des pratiques en matière de sécurité. L’auto-évaluation peut être soutenue par un œil extérieur expérimenté (évaluateur SSAM (SSE-CMM Appraisal Method) ou ISO 15504). Des industriels indiens ayant accumulé les certifications ISO 9001, 20000, 27001, et CMMI se sont engagés dans des démarches de certification SSE-CMM depuis 2004.
1. Source : Security as Engineering Discipline: the SSE-CMM’s Objectives, Principes and Rate of Adoption. 2. Source : Integrating Security Into the Application Life, avril 2007.
166
Chapitre 27. SSE-CMM
Parmi ces industriels, on trouve par exemple : • Sobha Renaissance Information Technology (SRIT), première entreprise mondiale-
ment certifiée SSE-CMM Level 5, SEI-CMM et People-CMM Level 5, ISO/IEC 27001:2005 and ISO 9001:2000. • Mahindra-BT (MBT), intégrateur de systèmes informatiques pour l’industrie des télécommunications, 3e entreprise évaluée SSE-CMM niveau 3, CMMI niveau 5, People-CMM niveau 5, mais aussi ISO 9001:2000, ISO 9001, 20000, et 27001. En 2008, des évaluations conjointes CMMI/SSE-CMM ont eu lieu (Booz Allen Hamilton Global), en incorporant des exigences des processus d’ingénierie sécurité au sein des exigences des processus CMMI (cf. http://www.sei.cmu.edu/cmmi/adoption/pdf/Lear08.pdf). Elles ont démontré que : • il est possible de mixer les deux approches d’évaluation ; • des besoins de formations aux processus sécurité persistaient dans les industries
du développement logiciel pour permettre une meilleure efficacité et moins d’interprétations ; • obtenir une vision objective de la maturité de l’entreprise sur ses pratiques sécurité a permis aux équipes de se sentir plus impliquées dans leur mise en œuvre. Notons aussi la parution du « Trusted CMM » , qui porte davantage sur les aspects de sûreté de fonctionnement, et qui permet avec le CMMI et le SSE-CMM, de compléter la vision globale des qualités d’un logiciel En France, plusieurs auditeurs ISO 15504 possèdent la double compétence et de ce fait, ils sont susceptibles d’évaluer les processus d’ingénierie de sécurité et les processus d’organisation.
Retour d’expérience Anne C OAT, conseil en sécurité des SI et amélioration de processus pour SEKOIA, cabinet de conseil et de formation en sécurité de l’information, évaluateur ISO 15504 et auditeur ISO 27001 (IRCA) déclare : « Le SSE-CMM part du besoin d’intégration des principes de sécurité dans tous les processus des projets. Sa mise en œuvre renforce la synergie entre équipes, diminue la charge, évite la duplication de travail, et permet ainsi d’obtenir un produit de qualité, plus sécurisé et à moindre coût. Le SSE-CMM a la même capacité à devenir incontournable dans le domaine de la sécurité que le CMMI dans celui du développement de logiciel ou de système. Le ministère de la défense des États-Unis a d’ailleurs sponsorisé une réflexion pour définir les meilleures pratiques en matière de sécurité et de sûreté de fonctionnement, pour les intégrer au sein des modèles CMMI et FAA-iCMM (Federal Aviation Administration Integrated Capability Maturity Model). En effet, la notion de niveau de maturité suppose qu’une organisation peut progresser à son rythme de son état initial vers un état prenant en compte ses besoins de sécurité
SSE-CMM
167
spécifiques, et pas sur une échelle arbitraire. D’autant que les auto-évaluations ISO 15504 se basent sur l’atteinte des objectifs des processus et sur les moyens de leur mise en œuvre. Ceci implique, par exemple, que, contrairement à d’autres normes, la notion de métriques peut être mise en place de manière progressive au fur et à mesure de la démarche et que les progrès peuvent être reconnus par le passage successif des différents niveaux de maturité. Cette reconnaissance intermédiaire est nécessaire au sein des équipes pour justifier les efforts accomplis et les encourager à continuer. On peut donc penser que ce modèle est complémentaire de la certification ISO 27001. Face au faible enthousiasme rencontré en France pour les certifications ISO 27001, le SSE-CMM propose aux entreprises une alternative. Il fournit gratuitement un guide pratique leur permettant d’appréhender les bonnes pratiques de sécurité dans le développement des logiciels, et une méthode d’évaluation (SSAM) qui leur permet ensuite de s’auto-évaluer et progresser. Cette évaluation leur permet enfin de s’engager en connaissance de cause dans une démarche de certification de leur système de management de la sécurité de l’information (ISMS : Information Security Management System) sur la base de l’ISO 27001, sur un périmètre défini. Par la suite, elles peuvent aussi continuer à appliquer les bonnes pratiques proposées par les niveaux supérieurs du SSE-CMM, qui permettent d’atteindre une vision globale des recommandations de base de l’ISO 27001 et l’ISO 17799 (future ISO 27002). Dans un certain sens, le SSE-CMM permet de guider le déploiement des principes établis dans l’ISO 13335 (Management des risques), qui a inspiré la refondation de l’ISO 27001. L’adoption du SSE-CMM par l’ISO comme norme d’évaluation ISO 21827 a favorisé sa diffusion internationale. L’ISO 21827 est d’ailleurs suivie par le même groupe de travail de l’ISO que les Critères communs qui sert à l’évaluation de systèmes. Mettre en place l’ISO 21827 contribue aussi à satisfaire des exigences des classes d’assurance des Critères Commun ». L’intérêt principal de ce dispositif est d’engager l’organisation dans une démarche d’intégration des mesures de sécurité dans ses processus, en fonction de ses besoins en matière de sécurité, et de manière compatible avec d’autres démarches d’amélioration continue et d’autres systèmes de management.
28 Testeur logiciels ISTQB
Le dispositif Testeur logiciels ISTQB permet à une personne physique d’obtenir une certification en matière de tests de logiciels??.
Figure 28.1 — Dispositif CFTL – ISTQB
Présentation Dans le monde, des millions de professionnels sont impliqués dans l’industrie du logiciel. Les systèmes à base de logiciels sont omniprésents. Très souvent, la vie
170
Chapitre 28. Testeur logiciels ISTQB
de personnes dépend du bon fonctionnement de ces logiciels (par exemple dans les secteurs tels que l’aéronautique, le nucléaire, le médical, l’automobile). C’est pourquoi il est nécessaire que les personnes qui vérifient et testent les logiciels soient correctement formées. L’ISTQB (International Software Tester Qualification Board) est une initiative pilotée par des comités nationaux de testeurs logiciels, indépendants des éditeurs de logiciels de tests. L’ISTQB propose une certification de testeur logiciels basée sur trois niveaux (fondation, avancé et expert) et se déclinant en trois axes majeurs (gestionnaire de tests, analyste de tests, analyste technique de tests). Au niveau expert, des déclinaisons plus fines sont attendues. Le Comité français des tests logiciels (CFTL) a été fondé en 2004. Il est composé de spécialistes et d’experts en tests de logiciels qui sont d’origine universitaire et industrielle. Il a pour but de développer en France le processus de certification mondialement reconnu de testeurs logiciels. Le CFTL représente la France et les pays francophones à l’ISTQB qui est constitué de plus de quarante comités nationaux dans les pays suivants : Afrique du Sud, Allemagne, Amérique du Sud hispanique, Arabie Saoudite, Australie et Nouvelle-Zélande, Autriche, Bangladesh, Belgique et Pays-Bas, Brésil, Canada, Chine, Corée, Danemark, Espagne, Estonie, États du Golfe arabo-persique, États-Unis d’Amérique, Fédération de Russie, Finlande, France, Hongrie, Inde, Irlande, Israël, Italie, Japon, Lettonie, Luxembourg, Malaisie, Nigeria, Norvège, Pologne, République Tchèque et Slovaquie, Royaume-Uni, So’East Europe (Comité régional pour l’Europe du sud), Suède, Suisse, Turquie, Ukraine et Vietnam. L’ISTQB a mis au point un programme international de qualification appelé ISTQB Certified Tester (testeur logiciels certifié ISTQB). Il y a trois niveaux de certification : le niveau Fondation, le niveau Avancé et le niveau Expert. Le programme des cours a été bâti à partir des recommandations du chapitre du SWEBOK sur les tests.
Documentation Deux programmes appelés syllabus existent aujourd’hui en français : • Testeur certifié, syllabus niveau fondation ; • Testeur certifié, syllabus niveau avancé.
Le syllabus niveau fondation de l’ISTQB comporte six chapitres principaux : • fondamentaux des tests ; • tester pendant le cycle de vie logiciel ; • techniques statiques ; • techniques de conception de tests ; • gestion des tests ; • outils de support aux tests.
Le syllabus niveau avancé de l’ISTQB comporte dix chapitres principaux : • éléments de base du test logiciel ;
Testeur logiciels ISTQB
171
• processus de test ; • gestion des tests ; • techniques de test ; • tester les caractéristiques du logiciel ; • revues ; • gestion des incidents ; • normes et processus d’amélioration des tests ; • outils de test et automatisation ; • compétences – composition de l’équipe.
Mise en œuvre Les Pays-Bas et le Royaume-Uni ont initialisé ce programme en 1998. Plus de 40 pays sur cinq continents ont adhéré à ce schéma de certification et d’autres pays continuent à se joindre à ce programme. Au 31 décembre 2008, c’est au Royaume-Uni que se trouvent le plus de personnes certifiées (44 059), suivent l’Inde (19 974), l’Allemagne (12 933), la Belgique (6 378), les États-Unis (5 539), le Japon (4 373), la Nouvelle-Zélande et la Suisse avec plus de 3 000, puis viennent la Suède, Israël, l’Autriche, la Corée avec plus de 1 000. La France se trouve en 17e position avec 480 certifiés sur un total mondial de 111 469. Bien que récent en France, ce dispositif intéresse différentes sociétés de service et des grands comptes. Le nombre de testeurs logiciels certifiés augmente rapidement en France. Il a plus que doublé chaque année depuis 2006. Le niveau avancé de l’ISTQB (Certified Tester) s’appuie sur le niveau fondation et couvre les trois modules : • Gestionnaire de tests (Test Manager) ; • Analyste de tests ; • Analyste technique de tests.
Le Syllabus niveau avancé de l’ISTQB comporte les dix chapitres suivants : • les aspects de bases du test logiciel ; • les processus de tests ; • le management des tests ; • les techniques de tests ; • le test des caractéristiques des logiciels ; • les revues ; • la gestion des incidents ; • les standards & processus d’amélioration des tests ; • les outils de test et l’automatisation ; • les compétences individuelles et la composition d’équipes.
172
Chapitre 28. Testeur logiciels ISTQB
Ceci permet soit d’acquérir une certification dans une spécialité particulière, soit de passer les trois examens pour recevoir le certificat de testeur logiciels ISTQB, niveau Avancé complet. Les certificats ont une durée de validité non limitée et couvrent surtout des aspects théoriques et méthodologiques, lesquels peuvent être appliqués quel que soit le contexte. Cependant les syllabus sur lesquels s’appliquent les certificats sont réévalués et mis à jour tous les trois ans environ afin de prendre en compte les nouveaux développements tant théoriques ou méthodologiques que pratiques, par exemple les aspects relatifs aux outils d’automatisation. Le CFTL a développé un programme de cours niveau fondation et un programme de cours niveau avancé, ainsi qu’un glossaire des termes utilisés. Des programmes de cours de niveau Expert sont en développement en collaboration avec les comités nationaux membres de l’ISTQB. Les examens de certification donnés par le CFTL se déroulent en français ou en anglais, au choix. Le programme de formation et les examens de testeur logiciels ISTQB sont utilisés par les comités nationaux des tests dans le monde entier. Ceux-ci garantissent que les formations dispensées s’appuient sur les standards internationaux de formation et assurent la reconnaissance du certificat dans les autres pays. Les formations sont conçues et dispensées par des sociétés commerciales indépendantes de l’organisme de certification CFTL. De façon à s’assurer de la qualité des formations données par les sociétés commerciales, celles-ci doivent être soumises au CFTL pour vérification. À l’issue du processus de vérification, une accréditation de la formation est accordée et ils sont affichés sur le site du CFTL. Les examens sont généralement effectués dans les locaux d’un organisme de formation accrédité pour un cours ou un ensemble de cours. Chaque examen se déroule à l’aide de QCM avec une seule réponse correcte par question. L’examen de niveau Avancé (trois modules) dure 4 heures 30.
Retour d’expérience Bernard H OMÈS, président du CFTL, déclare : « Les personnes qui obtiennent le certificat démontrent des connaissances leur permettant d’aider les chefs de projets et dirigeants à prendre des décisions importantes équilibrant qualité, caractéristiques, planning et budget ; elles sont capables de détecter les défauts que d’autres ne voient pas. Espérons que la reconnaissance de cette certification sur les tests logiciels permettra d’améliorer le niveau actuellement faible des tests de logiciels en France, partiellement dû à la méconnaissance des risques et des enjeux ». Monsieur Jean-Christophe R OUZOUL, responsable de l’offre Global Testing de Sopra group, dit : « Dans le cadre de nos réflexions "testing", nous avons fait le choix de l’ISTQB de façon à fédérer et partager au sein de l’entreprise une sémantique et des pratiques
Testeur logiciels ISTQB
173
communes... Le développement rapide de la demande "testing" nous a par ailleurs conduit à identifier une filière RH spécialisée pour laquelle un plan de formation dédié a été élaboré ; plan de formation sanctionné par une certification CFTL... Il est clair qu’au-delà de la mise en avant commerciale de nos testeurs certifiés, cette approche de certification par CFTL nous a permis de repositionner, au niveau et avec la valeur qui conviennent, le métier de "testeur" au sein de l’entreprise... » Monsieur Christophe B EUCHARD DE K EREVAL, directeur commercial, témoigne : « La certification CFTL nous a concrètement permis d’utiliser au niveau technique un vocabulaire commun, compris de tous et facilitant la compréhension du métier des testeurs. Cette certification nous a aussi permis au niveau marketing et avant vente de crédibiliser notre approche professionnelle de l’ingénierie de tests. »
29 TL 9000
Le dispositif TL 9000 permet à une entreprise d’obtenir une certification pour son système de management de la qualité en matière d’ingénierie des systèmes.
Figure 29.1 — Dispositif TL9000
Présentation TL 9000 est un système de management de la qualité spécifiquement conçu pour l’industrie des télécommunications. Fondé sur la série ISO 9000, il a été développé par le QuEST Forum (Quality Excellence for Suppliers of Telecommunications Forum)
176
Chapitre 29. TL 9000
en réaction aux dysfonctionnements affectant les produits et les services de cette industrie. Les représentants des principaux partenaires ont décidé qu’il était vital de définir des critères de qualité spécifiques et de fixer des objectifs clairs pour promouvoir une culture de progrès continu dans le métier des télécommunications. TL 9000 définit des exigences de système qualité que les entreprises des télécommunications doivent respecter dans l’ensemble de leurs processus industriels (conception, développement, production, fourniture, installation et maintenance de produits et services). Il inclut des métriques de rendement qui permettent de mesurer la qualité et la fiabilité des produits et des services. TL 9000 s’appuie sur l’ISO 9001:2000 dont la certification est soit préalable, soit conjointe à celle de TL 9000. Le contenu du TL 9000 se répartit en deux manuels (handbooks). Le manuel des exigences définit les exigences pour la gestion de la qualité du matériel, du logiciel et des services. Le manuel de mesurage traite de l’utilisation de métriques utilisées comme base de mesure de la qualité et de la performance des différentes classes de produits et services. Ces métriques offrent un ensemble équilibré de mesures et de moyens pour communiquer, surveiller et améliorer les résultats réels. D’autre part, elles permettent une comparaison internationale des performances et simplifient les relations entre les contractants. La première version date de 1998, la version actuelle des deux manuels (version 4.0) est de juin 2006. TL 9000 est produit, maintenu et diffusé par le QuEST Forum. À l’origine en 1998, le QuEST Forum était un groupement d’opérateurs et de fournisseurs de l’industrie des télécommunications. Aujourd’hui, il accueille parmi ses membres : • les opérateurs de télécommunication ; • les fournisseurs des services de télécommunication ; • les fournisseurs d’équipements matériels et logiciels, d’installation, de concep-
tion de systèmes et de tous les produits intégrés dans un système de télécommunication ; • des organismes de liaison en matière de certification et de formation. L’élaboration du TL 9000 a été faite en se fondant sur un document de Telcordia/Bellcore le Quality System Generic Requirements for Hardware, Software, and Infrastructure et sur des normes : • l’ISO 9001:2000 pour les exigences d’assurance qualité ; • l’ISO 12207 pour la description des processus du cycle de vie des logiciels ; • l’ISO 90003 pour l’application de l’ISO 9001 au logiciel.
Le manuel des exigences du TL 9000 s’adressait à l’origine aux fournisseurs de télécommunications. Il vise désormais également les fournisseurs de services (les opérateurs réseau...). Il établit et détaille des exigences de système qualité et fournit
177
TL 9000
un ensemble cohérent de paramètres spécifiques à l’industrie mondiale des télécommunications. Il leur fournit les éléments nécessaires pour satisfaire des exigences qualité qui portent sur : • les relations entre les parties, c’est le maintien et l’amélioration des responsabi• • • • •
lités entre le client, l’entreprise et le fournisseur ; la gestion des problèmes, c’est le traitement efficient des problèmes des clients ; la réalisation, c’est l’utilisation de la planification et du mesurage ; le développement du produit et la documentation des problèmes ayant un impact sur la qualité du produit ; la documentation, c’est la gestion des éléments de conception du produit dans l’objectif de produire une qualité reproductible ; la gestion des ressources, c’est la promotion du développement des ressources internes avec des formations sur des thèmes comme les concepts qualité et la manipulation des produits.
L’objectif du manuel de mesurage du TL 9000 est de faciliter la mise en œuvre des exigences de compte rendu au client (reporting), tout en fournissant des mesures normalisées permettant la comparaison des performances qualité de toutes les entreprises du secteur. C’est un guide très complet qui traite de la mise en pratique, de l’utilisation, des responsabilités et des exigences relatives aux mesures. Les métriques y sont décrites précisément par catégories de produits : matériel, logiciel et services. Il définit l’ensemble minimal de mesures de performance qui permet de juger de l’amélioration et d’évaluer les résultats d’implémentation du système de gestion de la qualité ; dans certains cas, les délais de réalisation utilisés pour l’indicateur sont définis par l’entreprise contractuellement avec son fournisseur. Les principales mesures sont : • celles qui sont communes au matériel, au logiciel et au service ; par exemple,
nombre de rapports de problèmes, livraison dans les délais ; • celles qui sont spécifiques au système d’outage (il s’agit d’une perte de fonctionnalité primaire de tout ou partie d’un système de télécommunication) ; • celles qui sont relatives soit au matériel (par exemple, taux de retours), soit au logiciel (par exemple, la qualité des corrections ou des solutions logicielles software fix quality), soit à la qualité de service.
Documentation Les deux volumes de la documentation du référentiel TL 9000, TL 9000 – Quality Management System Requirements Handbook et TL 9000 – Quality Management System Measurements Handbook sont disponibles auprès du QuEST Forum en formats papier et électronique. Il existe des traductions en français, en espagnol, en portugais, en chinois, en japonais et en coréen. Les deux volumes en français sont disponibles auprès d’Afnor mais uniquement en format papier. Le QuEST Forum est garant de la mise à jour du TL 9000. Des évolutions sont prévues pour améliorer le dispositif et aussi pour assurer la compatibilité des manuels d’exigences et de mesurage avec les révisions de l’ISO 9001.
178
Chapitre 29. TL 9000
Le QuEST Forum a également la responsabilité de collecter périodiquement les indicateurs des entreprises certifiées. La base de données qui en résulte constitue un véritable observatoire utilisable comme un outil d’aide à la décision dans la définition des priorités d’amélioration pour les clients et leurs fournisseurs. Cet outil n’est accessible qu’aux sociétés membres du QuEST Forum et non pas à toutes les sociétés certifiées. Depuis 2009, trois fois par an, la « QuEST Forum Best Practices Conference » est l’occasion pour ses participants d’échanger leurs pratiques et de présenter des études de cas. Elles sont organisées dans chacune des régions : États-Unis, Asie Pacifique et EMEA (Europe, Moyen Orient et Afrique). Le QuEST Forum fournit un guide spécifique à l’attention des auditeurs TL 9000. Le site du QuEST Forum est très régulièrement mis à jour et librement consultable : www.questforum.org.
Mise en œuvre En consultant les chiffres publiés sur le site du QuEST Forum, au 20 mars 20091 , on observe que : • Les certificats sont émis essentiellement dans la région Asie Pacifique avec 923,
• •
•
•
en Amérique avec 612 et seulement 17 en Europe, Moyen Orient et Afrique. Toutefois la répartition dans les 52 pays montre que les États-Unis sont en tête avec 533 certificats sur 1652, puis viennent la Chine avec 332, la Corée du Sud avec 286, l’Inde 126, Taïwan avec 83, puis le Mexique, le Royaume Uni, le Canada avec plus de 20, le Japon, Hong-Kong, l’Allemagne et la France avec plus de 10. Toutefois, il prend en compte le fait qu’une partie importante des localisations européennes concerne surtout des certificats émis essentiellement aux États-Unis. Les certificats sont délivrés pour 99 % à des sociétés de moins de 5 000 personnes et surtout à celles de moins de 250 personnes. Depuis 2006, le nombre de certificats diminue. Ceci est dû d’une part à des fusions d’organismes et d’autre part à des regroupements, pour raison d’efficacité, de plusieurs unités ou sites sur un même certificat. En France la liste des sociétés certifiées ne contient que des filiales de groupes Américains (ou fortement implantés en Amérique) et Asiatiques. Il s’agit d’Alcatel-Lucent avec sept sites, Fujitsu, Motorola, Nortel avec trois sites, Flextronics International USA, Ulticom Inc, Interphase Corporation, Sanmina-SCI et Avanex. La délocalisation réduit le nombre de sites certifiés en France. La répartition des 149 membres du QuEST Forum est de 24opérateurs dont Bouygues Telecom et France Télécom, 84 fournisseurs dont Alcatel-Lucent et 41 organisations de liaisons.
1. http://www.tl9000.org/registration/registered_companies.html
TL 9000
179
On s’aperçoit donc que l’impulsion pour la mise en œuvre du TL 9000 vient des sociétés situées aux États-Unis et s’étend surtout aux fournisseurs et sous-traitants (et quelques opérateurs) américains et asiatiques. Le TL 9000 est moins utilisé en Europe et en Amérique du Sud. De même que l’ISO 9001 sur lequel il est fondé, ce dispositif concerne tous les processus de l’entreprise. La mise en œuvre d’un certain nombre d’exigences requiert une formation sur des sujets comme la connaissance des concepts d’amélioration de la qualité et les compétences nécessaires à la qualification des opérateurs. QuEST Forum a accrédité des fournisseurs de formation qui ont accès aux supports de formation officiels du QuEST Forum, ce qui leur permet de former des évaluateurs TL 9000 internes et externes. Le QuEST Forum est garant du choix des organismes certificateurs. Une liste des organismes accrédités pour délivrer un certificat de conformité au TL 9000 est disponible sur le site du QuEST Forum. Les certificats mentionnent le nom TL 9000, l’identification de l’entreprise auditée et le champ de la certification (les catégories de produit, les types d’activités et les spécificités des matériels, des logiciels ou des services). Comme pour l’ISO 9001, les entreprises doivent mettre en place un dispositif d’audit interne pour vérifier l’application du TL 9000 et respecter les exigences de mesurage. Les auditeurs internes doivent être formés. La durée d’un audit est précisée dans la documentation disponible sur le site du QuEST Forum : elle varie en fonction de la taille de l’entité auditée, normalement entre un et deux jours, mais entre un et trois jours pour un audit initial. Le manuel des exigences précise le nombre de jours nécessaires à l’auditeur pour réaliser une évaluation tierce partie. L’auditeur TL 9000 peut réaliser l’audit ISO 9001 en même temps que l’audit TL 9000 moyennant un allongement minime de la durée de l’audit. Après l’obtention du certificat, l’entreprise doit collecter des mesures sur une base mensuelle et les introduire dans la base de données « Measurement Repository System ». Un audit de surveillance est réalisé tous les ans et un audit de renouvellement tous les trois ans. Les auditeurs externes doivent être accrédités. Différents organismes, selon le pays, accréditent les auditeurs. Au 20 mars 20091 , des organismes accréditeurs se trouvaient essentiellement aux États-Unis mais aussi en Corée du Sud (8), en Chine (4), au Canada (2), en Allemagne (1), en Autriche (1), au Japon (1) et aux Pays-Bas (1). La liste des auditeurs est mise à jour sur le site du QuEST Forum.
1. http://www.tl9000.org/registrars/overview.html
180
Chapitre 29. TL 9000
Retour d’expérience Bruno R UBY de la société Bouygues Telecom déclare : « En permanence à la recherche de la meilleure performance pour satisfaire ses clients, Bouygues Telecom veut généraliser la mise en œuvre de la norme de management qualité TL9000 dans sa relation avec ses principaux fournisseurs. En particulier, Bouygues Telecom est persuadé que l’utilisation des indicateurs qualité normalisés du TL9000 est un moyen efficace pour définir en commun et maîtriser l’atteinte d’objectifs qualité significatifs dans le contexte d’un contrat avec un fournisseur ». Marc VANDENBERGHE de la société Belgacom explique : « La mise en œuvre du dispositif ne nécessite en principe que les deux manuels du TL 9000. Toutefois, la connaissance de l’ISO 9001 est incontournable pour la mise en œuvre puisque le manuel des exigences est fondé sur l’ISO 9001. Chaque organisation ayant obtenu un certificat TL 9000 est obligée de soumettre périodiquement les résultats de ses mesures et indicateurs dans le Measurement Repository System. Ceci rend aux membres du QuEST Forum de vraies opportunités de ‘Benchmarking’ parmi toutes les organisations enregistrées, leur permettant de définir des objectifs pour les différents critères de performance ». Le principal avantage de la certification TL 9000 est de donner à l’entreprise le moyen de traiter de manière consolidée différentes exigences contractuelles et de limiter ainsi les ressources nécessaires pour réaliser les comptes rendus à fournir aux clients. Jusqu’à présent, les opérateurs et fournisseurs français n’ont pas été très preneurs de ce dispositif. Bien que la situation semble évoluer vers une plus grande prise en compte du TL 9000, on note toujours l’absence d’un organisme français d’accréditation.
DEUXIÈME PARTIE
Analyses et perspectives Dans cette seconde partie nous dégageons des lignes de force en matière de dispositifs de reconnaissance pour les prochaines années. Comme le disait Pierre Dac : « Il est toujours présomptueux de faire des prévisions, surtout en ce qui concerne l’avenir ». Cela est vrai dans un monde en constante évolution. Nous avons observé plusieurs changements majeurs : • le déploiement incontournable des dispositifs de certification de personnes ; • l’importance croissante de la certification en management de projet ; • la prise en compte de la sécurité de l’information véhiculée au travers du SI ; • l’émergence de nouveaux dispositifs portant sur les systèmes de management du
service ; • la prise en compte du concept de gouvernance incluant le poids de plus en plus fort pris par les exigences légales et réglementaires ; • le souci croissant de la responsabilité sociale de l’entreprise dans une perspective de développement durable. Comment ces grandes tendances vont-elles cohabiter ? Sont-elles compatibles ou concurrentes ? Quelques questions resteront sans réponse. À chacun de se forger son opinion.
30 Regard sur la certification de personnes
Les dispositifs de certification de personnes, pour la plupart en provenance du monde anglo-saxon, se sont multipliés ces dernières années. Ils viennent compléter les cursus universitaires et accompagnent désormais l’individu tout au long de sa carrière.
30.1 GÉNÉRALITÉS Une norme européenne prend actuellement de plus en plus d’importance. Il s’agit de la norme ISO 17024, relative à l’accréditation des organismes de certification procédant à la certification de personnes. L’organisme de certification doit être indépendant des intérêts des parties concernées, assurer leur représentation, définir des exigences de compétences uniformes pour tous et mettre à jour ces exigences en fonction des évolutions de la technologie et de la réglementation. Il doit rester responsable de l’attribution de la certification, de son renouvellement, de sa suspension ou de son retrait. Il doit s’assurer à tout moment que ceux qui prennent la décision de certification n’ont pas participé à l’examen, ni à la formation du candidat et garantir une totale confidentialité. L’évaluation doit employer des méthodes équitables, valables et fiables, s’assurer que tous les critères de connaissances sont évalués de manière objective et systématique, avec des preuves suffisantes. Quant aux examinateurs, ils doivent fournir les méthodes et documents d’examen, être compétents par rapport au domaine à examiner, savoir bien communiquer à l’écrit et à l’oral, et être libres de tout intérêt ou conflit potentiel.
184
Chapitre 30. Regard sur la certification de personnes
La plupart des dispositifs de certification de personnes étudiés dans cet ouvrage certifient conformément à la norme ISO 17024 : AFITEP-CDP, AFITEP-CGP, CISSP de l’(ISC)2 , CISA, CISM, testeur de logiciel par le CFTL, PMP (obtenu par le PMI en 2007). La formation Prince2 est accréditée par l’APMG, qui elle-même est accréditée par l’UKAS (United Kingdom Accreditation Service). Bien que la certification ITIL ne fasse pas référence à la norme ISO 17024, le processus décrit dans l’ITIL Qualification Scheme1 semble donner les garanties nécessaires, l’APMG, accréditeur officiel de ce dispositif reconnaissant les organismes conformes à l’ISO 17024. On s’aperçoit qu’en France cette norme est devenue une exigence dans la plupart des dispositifs de certification de personnes. Faire appel à un organisme qui respecte la séparation entre formation et examen est important, mais un autre critère doit servir de guide dans le choix d’un organisme de formation : celui des compétences du formateur. La consultation des statistiques de réussite aux examens peut indiquer un écart important d’un formateur à l’autre. Il est préférable d’en tenir compte lorsqu’on veut se préparer de manière efficiente. Enfin, il ne faut pas négliger la valorisation du salarié par la certification. Ceci peut devenir une arme à double tranchant pour l’entreprise en faisant reconnaître de manière externe la qualité d’une personne sur le marché du travail, mais cela donne aussi un avantage concurrentiel à l’entreprise qui réalise des projets pour des clients.
30.2 UTILISABILITÉ À COURT TERME OU EMPLOYABILITÉ PAR ALTERNANCE ? En France, nous assistons quasiment impuissants à ce mouvement de certification de personnes venant du monde anglo-saxon. La compétence professionnelle devient ainsi l’objet d’une reconnaissance formelle par une certification spécifique de chaque domaine. Nous sommes maintenant habitués aux certifications SAP pour les consultants qui installent ce progiciel, ou Microsoft pour les développeurs qui utilisent les outils de cet éditeur. Aujourd’hui, se faire certifier ITIL est l’une des façons de démontrer sa compétence en matière de gestion d’un centre informatique. Vu le taux d’échec des projets, certaines entreprises commencent à exiger de leurs chefs de projet ou de leurs sous-traitants une certification en management de projet. Parmi celles-ci, les plus répandues sont actuellement celles de l’AFITEP, du PMI et PRINCE2. Demain, pour réaliser des tâches d’ingénierie du logiciel, il faudra probablement être certifié conformément au corpus de connaissances en ingénierie du logiciel, SWEBOK (ISO 19759). Dès à présent la certification de testeurs de logiciels existe.
1. À l’exception des normes, tous les documents cités en italique dans le texte sont repris dans les références bibliographiques.
30.3 Problématique de langue ou de culture ?
185
Dans le domaine de l’ingénierie, la pression du marché est telle qu’avant même que l’INCOSE (International Council on Systems Engineering) ait finalisé le corpus de connaissances en ingénierie système appelé SEBOK – System Engineering Body of Knowledge, il a établi dès l’année 2004 la certification des ingénieurs ou architectes de systèmes (Certification Systems Engineering Program, CSEP). Les premiers certificats ont été distribués : fin mai 2006, on en comptait plus de 70. Le certificat s’obtient en passant un examen qui dure 2 heures et comporte 120 questions basées sur le INCOSE SE Handbook. Pour être éligible, il faut justifier de plus cinq ans d’expérience en ingénierie système. Le certificat est valable trois ans et doit ensuite être renouvelé en justifiant de points PDU (voir chapitre PMBOK). Des organismes américains d’éducation se sont déjà intéressés à ce programme. Par exemple en matière de méthode, l’Object Management Group (OMG) a mis en place un programme de certification de personnes sur la base du standard UML 2.0 dont il est le propriétaire. La certification de la qualité des produits, de la maîtrise des processus et des systèmes de management nous est devenue familière. Pourquoi donc craindre celle des personnes ? Il est probable que les diplômes ne seront bientôt plus suffisants pour exercer un métier. À partir de ce constat, deux séries de questions se posent : • La formation initiale ne risque-t-elle pas d’être dévalorisée face à la formation
professionnelle souvent tournée vers le court terme et la maîtrise de tel ou tel outil, plutôt que vers la compréhension des mécanismes de conception ? Tant vantée par nos politiques, l’employabilité ne risque-t-elle pas de souffrir de ce phénomène au profit unique de l’utilisabilité immédiate de la ressource humaine ? • Ne doit-on pas considérer ce phénomène comme une spécialisation de la formation initiale trop générale pour les besoins en entreprise ? Ne s’oriente-t-on pas vers une forme d’alternance entre enseignement supérieur et entreprise ? Nous constatons que certains certificats peuvent être longs à obtenir. Par exemple, la CGP de l’AFITEP a un cursus de certification qui nécessite au minimum trois années d’expériences pour un ingénieur diplômé et huit années pour un non diplômé. Le monde de l’enseignement supérieur devrait intégrer dans sa stratégie de développement un partenariat avec une ou plusieurs associations professionnelles pour préparer les étudiants à l’obtention des certificats. Un exemple est donné par l’École supérieure de commerce de Lille. Dans le cadre du mastère spécialisé Management de projets et programmes, cette école propose à ses élèves le passage aux certifications PRINCE2 et PMP. Pour se faire, elle a conclu des accords de partenariat avec les organismes de tutelle. Il en est de même entre l’AFAI d’une part et ParisIX et l’IAE d’autre part. Libre choix est alors donné aux étudiants pour décider de leur orientation.
30.3 PROBLÉMATIQUE DE LANGUE OU DE CULTURE ? Dans la mesure où bon nombre de ces certifications sont d’origine anglo-saxonne, certains examens qui les sanctionnent doivent être passés en anglais. Plancher sur
186
Chapitre 30. Regard sur la certification de personnes
une étude de cas pendant trois heures nécessite un minimum d’aisance dans cette langue. Les candidats qui ne maîtriseraient pas correctement la langue de Shakespeare subiraient-ils un handicap ? Sans doute. Mais, dans une épreuve d’examen il ne suffit pas de traduire. Cela conduit le plus souvent à rédiger de l’anglais dans un style français, ce qui peut paraître lourd et primaire. Il faut plutôt formuler des réponses comme les Anglo-Saxons ont l’habitude de le faire dans un style direct et précis avec les termes exacts auxquels l’examinateur s’attend. Précisons que cette référence à la notion de terme exact est officiellement mentionnée dans les épreuves de niveau Managérial-ITIL. Il est également indispensable de savoir penser son sujet à la façon britannique. Cela relève donc plus d’un mode de comportement issu d’un système éducatif que d’un simple problème de linguistique. Ceci dit, de plus en plus d’examens sont traduits en français. La difficulté peut résider dans la qualité de la traduction de certains termes techniques. Quelle que soit l’approche retenue par l’organisme accréditeur, il est clair que toute certification n’a lieu d’être que si elle dispose d’une certaine reconnaissance au niveau international. L’utilisation de la langue anglaise est incontournable. Il est sûrement plus agréable de préparer un examen dans sa langue maternelle, cela donne plus de chances de réussite en permettant de se concentrer davantage sur le fond que sur la forme, grâce à la compréhension de la langue. Il est vrai qu’il faut aussi tenir compte de l’aspect culturel. Mais l’utilisation de l’anglais doit devenir une seconde nature. Et là, force est de constater qu’en France, nous avons un très grand retard en la matière. Selon une étude parrainée par l’éducation nationale et menée en 2002 auprès de 12 000 élèves dans sept pays européens : au Danemark, en Finlande, au Pays-Bas, en Norvège, en France, en Espagne et en Suède, les jeunes Français âgés de 15 à 16 ans sont en Europe ceux qui maîtrisent le moins bien la langue anglaise. Une question reste alors posée. Doit-on s’inquiéter de cette situation compte tenu qu’une majorité de certificats aujourd’hui se préparent en anglais ? Si oui, dans quelle mesure peut-on redresser le cap ? Il est difficile d’y apporter une réponse immédiate. En effet, concernant l’enseignement des langues étrangères, le malaise semble être profond et le remède complexe.
30.4 POUR QUEL NIVEAU D’EXPERTISE ? L’obtention d’une certification apporte-t-elle la garantie d’une meilleure d’expertise. ? Voici une question légitime posée par bon nombre de responsables de services, compte tenu du coût non négligeable des formations. Pour y répondre, il faut considérer deux aspects : • la démarche retenue par les organismes de certification ; • les modalités d’évolution du cycle de vie du référentiel.
Concernant le premier point, les organismes de certification ont le choix entre deux orientations.
30.4 Pour quel niveau d’expertise ?
187
Certains d’entre eux s’attachent à évaluer et à tester uniquement la connaissance. La plupart du temps, ils considèrent que cette connaissance est la même quel que soit le pays. Il suffit alors de constituer un questionnaire ou une étude de cas. Ils peuvent les faire traduire, ou les faire appliquer en anglais. Même si c’est moins vrai aujourd’hui, cela a été souvent l’option choisie par les dispositifs d’origine anglosaxonne tels que PMP, PRINCE2 ou ITIL. Pour un candidat libre, un tel examen exigera un entraînement particulier pour maîtriser les tournures de style attendues par l’examinateur. Pour les organismes d’enseignement supérieur qui intègrent ce type de certification, le responsable du cursus devra concevoir son programme à travers une dynamique d’équipe centrée autour du certificat en tant qu’objectif commun. Il fera en sorte que le professeur d’anglais soit impliqué dans le processus dès l’élaboration du programme. Ce dernier aura un rôle d’accompagnateur dans le cursus en utilisant l’anglais comme langue de travail et de communication sur le sujet concerné. Une double compétence sera la bienvenue pour tenir ce rôle. D’autres organismes de certification pensent que tester la connaissance n’est pas suffisant. Il faut aussi savoir évaluer la mise en application des acquis. Il ne s’agit plus d’évaluer seulement le savoir, mais aussi le savoir-faire, voire le savoir être de l’individu. Dans ce dessein, l’épreuve de certification doit pouvoir s’adapter aux différentes cultures dans la langue du pays. C’est par exemple l’optique de l’IPMA. Dans ce cas, le principe est simple. Il y a tout d’abord négociations entre l’organisme international (IPMA) et l’organisme national (AFITEP pour la France) chargé de faire appliquer la certification dans son pays. Ces négociations portent sur un cursus adapté à la culture du pays selon des règles préétablies par l’organisme international pour conserver la cohérence d’ensemble. Dès l’accord conclu, le processus de certification peut être mis en œuvre. L’expérience est alors prise en compte sous forme d’atelier de mise en situation ou de soutenance de mémoire à partir d’un projet réel. Pour évaluer un candidat, le jury portera toute son attention sur la mise en pratique de sa démarche dans un contexte vécu. Cela implique qu’il devra également intégrer dans son appréciation toutes les contraintes externes, dont la culture d’entreprise. Notons que la préparation aux certificats s’effectue alors dans la langue du candidat. Second aspect à considérer pour apprécier la valeur d’une certification, celui de l’évolution des référentiels. La plupart des organismes de certification font en effet évoluer leur référentiel. Ces évolutions se matérialisent par un changement de version. Très souvent, elles sont l’aboutissement d’un projet, soutenu par une campagne de communication. Le propriétaire du référentiel ne doit pas sous-estimer l’importance de cette campagne, s’il veut voir les utilisateurs concernés s’approprier le nouveau modèle. Un bon exemple est celui du passage de la version 2 à la version 3 d’ITIL. Le retrait de la version 2 d’ITIL était programmé pour décembre 2008. Or cela n’a pu se faire, du fait de la pression des techniciens et ingénieurs appliquant la méthode. Dans sa version 2, le référentiel avait été conçu sur une approche processus. Dans sa nouvelle version, il est défini sur la base du cycle de vie du service rendu. Ce que montre le schéma suivant.
188
Chapitre 30. Regard sur la certification de personnes
Figure 30.1 — Positionnement V2 V3 du système ITIL
Les concepteurs de la V3 ont estimé que le pilotage et le contrôle du système devaient davantage porter sur le service rendu que sur le processus lui-même, supposant que l’interconnexion entre les services et les processus serait comprise assez naturellement. Ce n’est pas si simple. Force est de constater que bon nombre d’acteurs ne s’approprient pas le nouveau système aussi aisément qu’on aurait pu le penser. En conséquence, des cours V2 continuent à être planifiés tout au long de l’année 2009. Malgré tout, la version 3 devrait pouvoir s’imposer ; l’orientation cycle de vie des services positionnant ITIL au plus près des exigences métiers du client et des contraintes législatives et réglementaires du marché. Reste aux formateurs à convaincre les intéressés du bien fondé de la nouvelle évolution. La plupart des candidats ont l’expérience de la version précédente et deviennent de ce fait plus critiques vis-à-vis du système. L’appropriation et le succès du référentiel reposent ainsi pleinement sur la qualité des formations données.
30.5 ET COMMENT OPTIMISER CETTE EXPERTISE ? Reste alors une question. Comment une organisation peut-elle pleinement profiter des connaissances acquises par tout nouveau certifié ? Cela pose la question du partage des connaissances ou plus exactement de la gestion de ce partage. En fait, il ne suffit pas de faire certifier des individus pour avoir un retour
30.5 Et comment optimiser cette expertise ?
189
plus ou moins immédiat sur la mise en application de tel ou tel sujet. Il faut aussi tenir compte du comportement de chacun, de la culture d’entreprise, autant de paramètres pouvant être des facilitateurs ou des freins au changement. Aussi, il importe de mettre en place des mesures d’accompagnement tel que le « coaching » par exemple, pour que la connaissance du sujet puisse être partagée et appliquée de façon collégiale et cohérente dans les faits. Là encore, cela ne découle pas de soi. Il faut donc s’attendre à ce que, dans un futur proche, ce ne soit plus vraiment la certification des personnes qui sera au centre des préoccupations mais bien le transfert de la connaissance. L’organisme utilisateur devra pouvoir prouver qu’il applique réellement les bonnes pratiques du modèle choisi. La capitalisation du savoir et sa gestion (intégration, transmission, partage et appropriation) devraient être l’enjeu de ces prochaines années au sein de toute organisation, la nécessaire mise à niveau des connaissances étant aussi un levier pour l’amélioration continue.
31 Regard sur le management de projet
Ce chapitre compare les différents dispositifs de certification de personnes dans le domaine du management de projet. L’examen de leurs complémentarités facilite le choix du dispositif le plus approprié à son contexte.
31.1 CHOIX DU DISPOSITIF Une étude du Giga Group, souvent citée et jamais démentie depuis, annonçait en 2002 que plus de 70 % des projets d’entreprise n’atteindraient pas leurs objectifs ! Mener un projet n’est pas facile. C’est pourquoi entre le milieu des années 1960 et le début des années 1980, plusieurs organismes se sont créés pour définir des référentiels. Aujourd’hui en France, trois d’entre eux se partagent le marché : • l’APMG accréditée par l’OGC pour gérer PRINCE2 et qui annonce 250 000
certifiés niveau praticien, avec 120 organismes de formation accrédités dans le monde ; • le PMI organisme américain qui délivre la certification PMP, dont les membres sont répartis dans 125 pays et qui revendique plus de 250 000 certifiés ; • l’AFITEP, association francophone, accréditée par l’IPMA pour le dispositif de certification en direction de projet sur la base de l’IPMA Competence Baseline et par l’ICEC pour le dispositif de certification en gestion de projet. Ces accréditations donnent une valeur internationale à la certification qui est reconnue dans 38 pays.
192
Chapitre 31. Regard sur le management de projet
Pour promouvoir son référentiel, chacun a mis en application son dispositif. Comment ces dispositifs se positionnent-ils les uns par rapport aux autres ? Sont-ils concurrents ou au contraire complémentaires ? Faut-il s’orienter vers un dispositif précis ou plutôt se positionner sur deux dispositifs en choisissant le meilleur de chacun d’eux ? Le tableau 31.1 compare les dispositifs de management de projet selon trois axes et apporte ainsi une ébauche de réponses à ces questions. L’axe Principes de base décrit l’orientation globale du dispositif. L’axe Organisation du projet explique comment sont traités le processus global du dispositif (gestion des phases), l’encadrement et le pilotage, le démarrage et la clôture du projet. Enfin, l’axe Évaluation résume le dispositif de certification.
31.2 CONCURRENCE OU COMPLÉMENTARITÉ ? Les dispositifs de management de projet sont-ils en concurrence ou sont-ils complémentaires ? Un référentiel peut traiter le management de projet comme une entité de gestion, la problématique est alors vue sous l’angle restreint de l’organisation ou de la planification, ou adopter une approche plus encyclopédique à partir de connaissances élargies à d’autres domaines. Un modèle d’évaluation peut se contenter d’estimer les connaissances en management de projet du candidat ou chercher en plus à évaluer ses compétences à partir de ses expériences en management de projet. Une telle situation rend les dispositifs très complémentaires les uns par rapport aux autres. En reprenant les données du tableau 31.1, il est alors intéressant de positionner chaque dispositif par rapport aux axes Démarche et Évaluation de la figure 31.1. En analysant les retours d’expérience, nous observons que les personnes provenant du monde des études et de la conception ont tendance à privilégier le dispositif du PMI alors que ceux de la production s’orientent vers PRINCE2. Comment les entreprises se positionnent-elles par rapport à cette configuration ? Jusqu’à une période récente, le dispositif reconnu était celui du pays d’origine. Ainsi les chefs de projet américains se faisaient certifier PMP par le PMI, les Britanniques selon PRINCE2 et les Français ne connaissaient que l’AFITEP. Mais depuis quelques années, les dispositifs s’exportent. PMP a été le premier à faire une percée conséquente en France, peut-être parce qu’il a été le premier à être traduit en français. PRINCE2 commence à être utilisé par le biais des entreprises britanniques qui ont des unités en France et il est aujourd’hui également traduit en français. De plus, les chefs de projet n’hésitent plus à s’appuyer sur plusieurs dispositifs. Trois tendances semblent émerger : l’approche méthodologique, l’évaluation des connaissances et l’évaluation de la maturité. L’approche méthodologique consiste à associer les spécifications du PMBOK avec celles de PRINCE2 pour concevoir, suivre et évaluer l’état d’avancement d’un projet.
Le projet est une action en environnement contrôlé et donc tout naturellement, il y aura un début contrôlé (élaborer le projet et l’initialiser), une exécution contrôlée (dans lequel on s’attache à traiter le projet en termes de séquence) et une fin de séquence contrôlée. Il distingue les étapes techniques des étapes de management. Les étapes sont obligatoires mais leur nombre varie selon les spécifications du projet
Le cycle de développement du projet est vu comme un enchaînement de phases : une phase est une tranche déterminée du projet qui est rationnellement isolée des autres. Le concept est plus global que celui du PMBOK dans la mesure où une phase ne fait qu’inclure un ensemble cohérent d’activités et de livrables de façon à atteindre des objectifs communs. Une phase est délimitée par des jalons de prise de décision. L’Afitep s’appuie sur un principe d’organisation le phasage de projet spécifique à des branches industrielles ou de type de projet.
Processus
PMI met en avant la technique de décomposition, un projet se décomposant en phases, la phase pouvant elle-même se décomposer en étapes. Le développement du projet de chaque phase, voire de chaque étape met en œuvre les cinq groupes de processus : – démarrage ; – planification ; – exécution ; – maîtrise des coûts ; – clôture.
CDP Approche fondée sur 42 items et sur des éléments d’appréciation du comportement. Le référentiel décrit les connaissances et l’expérience attendues à chaque niveau de certification et complète ainsi le dispositif. La différenciation par niveau distingue les projets complexes (niveaux A et B), des autres plus standard (niveau C) ; le niveau D évalue uniquement des connaissances.
ORGANISATION DU PROJET
Le management de projet est décomposé en cinq groupes de processus : de l’initialisation de l’action projet jusqu’à sa terminaison formelle en passant par l’exécution et le contrôle de l’action dans une logique qualité PDCA. Le management est aussi décrit comme un ensemble de connaissances (neuf domaines de connaissance) et de compétences, reposant sur une saine gestion de projet.
Prince2 est une méthode pour gérer un projet dans une démarche client fournisseur. Ce cycle est découpé en six processus : – élaborer le projet ; – initialiser le projet ; – contrôler une séquence ; – gérer la livraison des produits ; – gérer les limites de séquences ; – clore le projet. L’ensemble est encadré par les processus transverses de management de projet : planification et pilotage.
PRINCIPES DE BASE
PMP
PRINCE2
Tableau 31.1 — Comparatif des dispositifs de certification en management de projet
Identique au CDP.
Pas de référentiel commun aux dispositifs accrédités. En France, sa mise en œuvre est fondée sur le FD X50-107. Il se focalise sur la planification, les investissements et la coûtenance.
CGP
31.2 Concurrence ou complémentarité ? 193
Lors de la phase d’initialisation, le projet est confirmé (ou infirmé) en fonction des conclusions du cas d’affaire (Business Case) qui documente les justifications du projet (économiques ou autre). Le projet sera ensuite géré selon ce cas d’affaires
Le chef de projet est la personne responsable de la gestion du projet. Les règles permettant au chef de projet d’établir les rôles et responsabilités ainsi que les affectations sont définies dans le cadre de la planification organisationnelle de la gestion des ressources humaines. Le chef de projet assure une fonction de fournisseur de service. Le référentiel ne dit pas ce qu’il faut établir mais comment l’établir.
Le processus de pilotage du projet institue deux niveaux d’encadrement : – le comité de pilotage projet constitué par l’équipe de direction du projet ; il est animé par un décideur (Exécutif) qui a toute autorité sur le projet ; – le chef de projet qui est mandaté pour exécuter leurs décisions. Il remplit une fonction d’assistance au client. Différents rôles de management de projet sont clairement définis dans le référentiel.
Le lancement est traité dans la première phase du projet par le processus d’initialisation. C’est une activité de mobilisation durant laquelle les objectifs, le périmètre du projet, les procédures de travail et la planification initiale doivent être définis. La charte de projet est initialisée durant cette phase. Le projet démarre par une expression de besoin formelle.
Démarrage
Le démarrage est avant tout le processus qui décide de l’existence du projet, donnant ainsi l’autorisation de poursuivre les phases. Le résultat du démarrage inclut une charte projet. Un chef de projet est nommé, les contraintes sont définies et les hypothèses identifiées avec leurs facteurs de risques.
CDP
Le chef de projet est une partie prenante, c’est-à-dire un acteur qui a un intérêt dans la réussite du projet, ceci au même titre que le client, l’utilisateur du produit ou la banque. Ce dispositif accorde plus de poids aux aptitudes qu’aux connaissances nécessaires. L’important est ce que le chef de projet doit être capable de faire ; la définition de son rôle passant au second plan. Il s’agit d’apprécier les connaissances et qualités que doit posséder le chef de projet. En conséquence, le dispositif comprend un système d’évaluation du comportement personnel en plus des 42 éléments de connaissances. Le dispositif insiste sur le fait qu’il faut définir des instances de décision pour la bonne marche du projet.
Rôles et encadrement
ORGANISATION DU PROJET
PMP
PRINCE2
Tableau 31.1 — Comparatif des dispositifs de certification en Management de Projet (suite)
Sans objet.
Sans objet.
CGP
194 Chapitre 31. Regard sur le management de projet
Système simple à deux niveaux destiné à tester les connaissances : 1. le niveau fondamental est entériné par une épreuve sous la forme de QCM à livre fermé qui dure une heure ; 2. le niveau praticien est sanctionné par un examen de 3 heures à livre ouvert qui comporte trois questions relatives à un scénario de projet.
Système d’évaluation à deux niveaux destiné à tester les connaissances : – la certification CPAM (assistant chef de projet) valide les connaissances et savoir faire sur les techniques et outils de management de chef de projet ; – la certification PMP confirme les compétences, connaissances et savoir faire en management de projet et valorise l’expérience professionnelle.
CDP La clôture du projet a pour finalité de valider les produits livrables au client et de formaliser le retour d’expérience.
Système à quatre niveaux destiné à évaluer les connaissances, l’expérience et le comportement du candidat. Le niveau D (assistant de projet) s’obtient en répondant à des questions ouvertes complétant les 24 questions fermées. Le niveau C (responsable de projet) prévoit en plus un atelier ou un mémoire, ainsi qu’un entretien oral. Les niveaux A (directeur de projet) et B (chef de projet) reposent sur la soutenance d’un mémoire fondé sur un retour concret d’expérience, un entretien et une vérification des connaissances. La candidature aux examens des niveaux A, B ou C nécessite la présentation d’un dossier.
ÉVALUATION
La clôture du projet est prévue dès l’initialisation (critères d’achèvement). C’est, une activité de vérification et de contrôle des éléments en vue d’une acceptation formelle du produit final à livrer. Elle inclut la clôture administrative du projet. C’est aussi l’occasion de formaliser le retour d’expérience.
La clôture du projet est la phase finale permettant de mettre fin de manière contrôlée au projet. Le comité de pilotage du projet donne l’autorisation de clôture.
CLÔTURE
PMI
PRINCE2
Tableau 31.1 — Comparatif des dispositifs de certification en management de projet (suite)
Système à trois niveaux destiné à évaluer les connaissances et l’expérience. Le certificat de base est commun avec celui de l’AFITEP CDP : c’est le certificat d’assistant de projet. Ensuite tout candidat doit être qualifié aux trois unités de valeur de planification, estimation et coûtenance. Chaque unité est sanctionnée par un examen reposant sur un QCM et une étude de cas. Lorsque le candidat a obtenu ses trois certificats, il devient éligible pour préparer son mémoire de certification.
Sans objet.
CGP
31.2 Concurrence ou complémentarité ? 195
196
Chapitre 31. Regard sur le management de projet
Figure 31.1 — Positionnement des quatre dispositifs en Management de Projet
On considère que le PMBOK apporte un corpus de connaissances nécessaire au chef de projet. PRINCE2, par sa structure organisationnelle, décrit surtout ce que doit savoir et faire un chef de projet pour organiser ou contrôler un projet en optimisant les relations avec le client. Les deux approches se complètent plus qu’elles ne s’opposent. L’évaluation des connaissances permet au candidat de faire reconnaître son expérience au sein de son entreprise ou de donner l’assurance de ses compétences à ses clients. En France, de nombreux chefs de projet démarrent leur cursus par le PMP et le poursuivent avec l’AFITEP-CDP. Ici, la complémentarité s’exprime non pas en fonction d’une combinaison de deux dispositifs, mais comme une extension de l’un vers l’autre. L’évaluation des maturités permet d’associer les concepts du PMBOK ou PRINCE2 avec le modèle d’évaluation du PMI. Loin de se faire concurrence, les dispositifs existants ont plutôt tendance à se compléter. Ceci est rendu possible par des équivalences que les organismes de certification établissent entre eux. Mais ils répondent chacun à une problématique spécifique. Ainsi PRINCE2 met plus l’accent sur la justification économique du projet, alors que le PMI le fait sur le planning. Quant au CDP, il s’attache plus particulièrement au respect des objectifs. Il en ressort un certain nombre d’éléments clefs supportés par chaque référentiel, ainsi que le présente la figure 31.2.
31.2 Concurrence ou complémentarité ?
197
Figure 31.2 — Les points clefs des trois principaux dispositifs en Management de Projet
32 Regard sur la sécurité
Arrivé plus tardivement que la qualité dans le paysage de la reconnaissance professionnelle, le thème de la sécurité mérite une attention particulière. Dans les paragraphes suivants, nous avons analysé plus finement les dispositifs relatifs à la sécurité ainsi que les différents aspects qui s’y attachent.
32.1 SÉCURITÉ OU SÉCURITÉS ? La sécurité est au cœur des préoccupations des entreprises, de leurs clients, actionnaires et fournisseurs. Les référentiels et dispositifs relatifs à la sécurité se sont développés ces dernières années avec l’apparition de nouvelles normes et de nouveaux certificats. Il est désormais question de système de management intégré QSE, permettant d’aborder le management de l’entreprise de façon globale, dans une démarche d’amélioration unifiée. Mais ne nous y trompons pas, le terme sécurité est polysémique : les différents dispositifs présentés n’ont pas forcément les mêmes objectifs. Dans le domaine des systèmes d’information le S (pour sécurité) de QSE est typiquement un faux ami car il fait référence à la norme OHSAS 18001 qui porte sur l’hygiène et la sécurité au travail. L’expression système de management de la sécurité utilisé dans ce contexte peut prêter à confusion avec un système de management de la sécurité de l’information (ISMS). Il convient donc d’analyser les dispositifs relatifs à la sécurité suivant deux axes : le type de risque à maîtriser avec la nature des objets protégés et l’objet de la reconnaissance. Le tableau 32.1 présente les risques couverts par les différents dispositifs.
200
Chapitre 32. Regard sur la sécurité
Tableau 32.1 — Risques couverts par les dispositifs sécurité Le risque Perte de continuité de l’activité
Les objets protégés
L’entreprise
Perte de disponibilité, intégrité, Les biens et services confidentialité informatiques des informations
Dispositif
Objet de la reconnaissance
BS 25999 (non présenté dans les fiches)
Système de management de la continuité de service
DRI (non présenté dans les fiches)
Personne physique pour ses compétences en matière de continuité d’activité
CISSP
Personne physique pour ses compétences en matière de sécurité informatique
CobiT : CISA et CISM
Inefficacité de dispositifs de sécurité informatique
Le système d’information
ISO 27001
Système de management de la sécurité informatique
Critères communs
Produits de sécurité : pare-feu (firewall), antivirus...
ITSEC
SSE-CMM
Niveau de maturité du système de management de la sécurité informatique
Risque de fraude Risque financier
Les finances de l’entreprise L’intérêt des actionnaires
Loi de sécurité financière / loi Sarbanes-Oxley
Personne morale pour ses résultats financiers
Divulgation de données personnelles
Les données personnelles
GoodPriv @cy (non présenté dans les fiches)
Personne morale pour la protection des données personnelles
Risque professionnel
Les personnes physiques dans leur activité de travail
OHSAS 18001 (non présenté dans les fiches)
Système de management de la sécurité
32.2 PRODUITS CERTIFIÉS En matière de produits, le schéma français d’évaluation et de certification s’appuie sur les ITSEC et les Critères communs. Le décret n◦ 2002-535 du 18 avril 2002, relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information, en définit le contexte réglementaire et l’organisation.
32.3 Sécurité des systèmes d’information
201
32.3 SÉCURITÉ DES SYSTÈMES D’INFORMATION La mise en place de mesures pour garantir la sécurité des systèmes d’information est devenue une obligation incontournable. Nous trouvons dans ce domaine des documents, spécifiques ou non à la sécurité, qui s’appliquent aux produits, aux processus ou à l’entreprise. Prenons, par exemple, la norme ISO 9001 : le mot sécurité n’y figure pas. Or, la sécurité informatique est l’un des processus de l’entreprise qui doit être identifié, au même titre que les autres, car il est nécessaire à la mise en œuvre d’un système de management de la qualité. Comment concevoir un système de management de la qualité qui laisserait le champ libre à la fraude, qui ne traiterait pas de la sécurité ? D’ailleurs, la norme exige que le produit soit préservé et cela suppose sa protection. Il existe désormais des normes ISO spécialisées dans le domaine de la sécurité : l’ISO 27001 pour les exigences et l’ISO 17799 en matière de recommandations. Ces normes couvrent différents aspects du traitement et de la protection de l’information dont : • la sécurité du personnel ; • la sécurité physique et environnementale ; • les problèmes d’accès et d’authentification ; • la continuité de service.
On parle désormais de système de management de la sécurité ou de système de gestion de la sécurité de l’information. Dans une optique de démarche d’amélioration progressive, le SSE-CMM (ISO 21827) donne des indications sur les moyens d’améliorer les pratiques en matière d’ingénierie de sécurité des systèmes de la conception d’un produit ou d’un système jusqu’à son retrait de service.
32.4 SÉCURITÉ FINANCIÈRE Les textes législatifs, comme la Loi de sécurité financière en France et la loi SarbanesOxley aux États-Unis, font de la protection de l’information une obligation légale dont la responsabilité est du ressort de la direction de l’entreprise, et plus seulement des techniciens qui œuvrent autour des ordinateurs. L’informatique traite des flux financiers de l’entreprise sous tous leurs aspects et conditionne l’exactitude des résultats comptables. Le risque de fraude devient un risque majeur dans des entreprises qui réalisent une part croissante de leurs transactions financières sur Internet. La continuité de l’entreprise est conditionnée par celle des services informatiques : la mise en œuvre de Plans de continuité d’activités (PCA) englobe en l’étendant celle des plans de secours informatiques préparés par les informaticiens.
202
Chapitre 32. Regard sur la sécurité
De nouvelles certifications sont ainsi apparues en matière de continuité d’activité : • le DRI (Institute for Continuity Management) propose cinq niveaux de certifica-
tion de personne dans ce domaine : ABCP (Associate Business Continuity Professional), CBCV (Certified Business Continuity Vendor), CFCP (Certified Functional Continuity Professional), CBCP (Certified Business Continuity Professional) et MBCP (Master Business Continuity ProfessionaL) ; • le BSI a développé en 2006 et 2007 la norme BS 25999, future norme ISO sur le management de la continuité de service, dont les deux parties décrivent d’une part les bonnes pratiques et d’autre part les exigences. Des certifications sont proposées aux entreprises sur la base de la BS 25999-2, ainsi que des formations certifiantes aux auditeurs et consultants. En France, le référentiel de bonnes pratiques BP Z74-700 : Plan de continuité d’activité (PCA) a été publié sur ce sujet par Afnor en février 2007, mais n’a pas vocation à servir de base à une certification.
32.5 JUSTIFICATION DES COMPÉTENCES Il ne faut pas oublier de certifier les individus afin de reconnaître leurs compétences en matière de sécurité. Former et entretenir les compétences des personnes, c’est utile et nécessaire ; exiger une certification, c’est aller encore plus loin dans la réduction des risques en prenant une assurance contre l’incompétence technique, méthodologique et managériale. Des certifications de personnes en matière de sécurité de l’information sont ainsi délivrées sur la base de CobiT. Nous avons présenté les certifications de personnes CISA et CISM dans le cadre du dispositif CobiT, ainsi que la certification CISSP dans une fiche spécifique, mais il en existe bien d’autres, dont : • GIAC (Global Information Assurance Certification) ; • CCSP (Cisco Certified Security Professional), certification de qualification tech-
nique en matière de sécurité dont le programme est établi par Cisco. Il inclut la sécurité réseau, la détection d’intrusion, la mise en œuvre de pare-feu et des antivirus. Le International Council of E-Commerce Consultants (EC-Council) ne propose pas moins de 19 certifications différentes, s’adressant de façon très ciblée aux professionnels de la sécurité : vous pouvez par exemple être certifié « Hacker éthique » ou « Développeur d’application sécurisée ». Le déploiement aux États-Unis des certifications de personnes répond à un réel besoin d’entreprises qui ne peuvent elles-mêmes contrôler le recrutement de spécialistes. Cela correspond sans doute également à une lacune des formations universitaires en la matière.
32.6 Risque professionnel
203
32.6 RISQUE PROFESSIONNEL À quels risques sont exposés les informaticiens ? Y aurait-il des maladies professionnelles spécifiques de l’informatique ? Une mauvaise ergonomie du poste de travail informatique est la source de troubles musculaires et articulaires, de fatigue oculaire et de maux de tête. Le pourriel (spam) aurait suscité des cas de dérapage sérieux chez ses victimes. La paranoïa serait une maladie professionnelle des informaticiens. En tout état de cause, il paraît indéniable que les métiers de l’informatique engendrent un niveau de stress élevé chez les professionnels. Cependant, aucun dispositif de reconnaissance spécifique ne labellise, à ce jour, les conditions de travail de l’informaticien.
32.7 PROCESSUS ET BONNES PRATIQUES Ce panorama des dispositifs en matière de sécurité ne serait pas complet sans citer les référentiels de bonnes pratiques qui intègrent cette préoccupation dans un cadre plus général. ITIL aborde la sécurité en traitant du risque lié à l’obligation de continuité de service dans le processus de gestion de la disponibilité. L’identification et la gestion des risques font partie des bonnes pratiques génériques de tous les dispositifs relatifs aux projets. Les risques d’atteinte à la sécurité des informations sont généralement pris en compte de façon prioritaire, compte tenu de l’importance de leur impact.
32.8 ORGANISATION DE LA SÉCURITÉ La sécurité doit être traitée à la fois sur le plan technique et sur le plan organisationnel, l’un ne pouvant être efficace sans le support de l’autre. La sécurité des systèmes d’information dans l’entreprise peut être confiée à la DSI ou à une Direction de la sécurité des systèmes d’information (DSSI), ne dépendant pas forcément de la première. La mise en place d’un système de management de la sécurité informatique relève donc de l’une ou l’autre. DSI ou DSSI recruteront des experts en sécurité disposant de certificats spécialisés justifiant de leur niveau de compétences. Ils incluront dans leur processus d’achat l’examen des certificats de produits sécuritaires. En s’appuyant sur un référentiel tel qu’ITIL, ils pourront mettre en place les bonnes pratiques nécessaires à la protection des données et à la continuité de service et en vérifieront l’effet en surveillant les incidents touchant à la sécurité. Le contrôle de la sécurité informatique peut relever de la DSI, de la DSSI ou encore d’une direction de l’audit interne, directement rattachée à la direction générale et indépendante des deux premières. Quelle que soit l’entité, celle-ci se préoccupera de l’ensemble des risques financiers et opérationnels en les intégrant dans un cadre plus large de gouvernance d’entreprise. Les auditeurs informatiques seront généralement recrutés avec une double compétence validée par une ou plusieurs certifications. CobiT
204
Chapitre 32. Regard sur la sécurité
fournira les bases du référentiel d’audit informatique qui pourra être adapté en fonction des spécificités de l’entreprise. Enfin, le thème spécifique de la protection des données personnelles pourra faire l’objet d’une surveillance particulière avec la désignation par l’entreprise d’un correspondant à la protection des données personnelles ou d’un correspondant informatique et libertés (CIL) chargé du contrôle de l’application de la Loi informatique et libertés.
33 Regard sur le service
Initialement cantonnés au monde industriel, les dispositifs de certification étaient jugés peu adaptés au monde du service et quasiment pas du tout à celui des services informatiques. Nous assistons aujourd’hui à un nouveau phénomène : l’émergence de référentiels dédiés à la fourniture de services. Sur le thème de la certification des systèmes d’information nous avons été amenés à présenter des dispositifs de certification : de produit, de systèmes de management de la qualité ou de la sécurité, des compétences de personnes physiques. Mais quels référentiels touchent vraiment à la certification du système d’information dans toutes ses dimensions ? Quel dispositif permet d’accorder sa confiance à un prestataire de services informatiques ?
33.1 CERTIFICATION DU SERVICE La définition de méthodes précède naturellement la mise en place de dispositifs vérifiant leur application. En matière de système d’information, les méthodologies ne se sont longtemps intéressées qu’aux phases de construction, en décrivant la démarche projet et les cycles de développement. Ces méthodologies visent à maîtriser la construction d’un produit logiciel. Or, le système d’information n’est pas un produit, c’est un processus au sens de l’ISO 9000 chargé de fournir des services à des clients internes ou externes, en réponse à des besoins plus ou moins bien formulés sous forme d’exigences. Les produits logiciels ne sont que des ressources qui doivent être associées à des infrastructures (matériel, système et réseau) pour rendre le service attendu aux clients utilisateurs. La mise en œuvre de ces services fait également appel à des ressources humaines adaptées et à des systèmes de pilotage.
206
Chapitre 33. Regard sur le service
Les méthodologies de production et les dispositifs de certification de services commencent tout juste à apparaître aujourd’hui. Nous avons présenté la certification de services au chapitre 5. C’est une certification fondée sur des référentiels de certification de services qui définissent le service offert par le biais d’indicateurs qualité couvrant les principales dimensions des attentes des clients. Mais ce dispositif ne concerne que les offres de services prédéfinies, dont le contenu peut être spécifié a priori. Nous savons bien que ces cas ne sont pas les plus fréquents : la particularité des services du domaine informatique est de se construire et se produire à la demande de la façon la plus adaptative et flexible possible. Un premier véritable dispositif de certification de services est en cours de mise en place à partir d’ITIL autour du référentiel ISO 20000. ITIL apporte le socle méthodologique sous forme d’un ensemble de bonnes pratiques pragmatiques, à partir desquelles un dispositif de certification peut être mis en place. C’est ce même mécanisme, replaçant la maîtrise des processus métier au cœur de la confiance, qui a conduit à la création des dispositifs eSCM dédiés au service. La capacité d’un fournisseur et d’un client à maîtriser les différents aspects d’une relation de service y est directement abordée. Plus récemment, la publication de la constellation service du CMMI, le CMMSVC, qui n’est en aucune façon limité à du service dans le domaine des technologies de l’information, pourrait faire concurrence à la certification de services telle qu’elle est décrite au chapitre 5. Une grande différence existe toutefois au niveau de la communication grand public : à la certification est associé un certificat alors que l’évaluation ne délivre qu’une attestation. Nous observons ainsi que la certification des systèmes d’information s’organise, de façon très logique, suivant une typologie des processus, où nous retrouvons les trois catégories classiques du métier, du support et du pilotage : • les dispositifs de reconnaissance des processus de service, tels que l’ISO 20000,
le CMMI-SVC et l’eSCM, donnent confiance dans les processus métiers ; • les dispositifs concernant les produits et les personnes donnent confiance dans les processus de support du système d’information ; • enfin, les dispositifs orientés contrôle ou mesure, comme CobiT, SAS 70 ou Six Sigma, apportent la vision gouvernance constituant ainsi le niveau de pilotage des processus de service. Tout comme les trois niveaux de processus, ces trois niveaux de reconnaissance s’intègrent à l’intérieur des dispositifs globaux de systèmes de management de l’entreprise, tels que l’EFQM et l’ISO 9001. Dans le domaine des systèmes d’information, la notion de service dépasse ainsi celle de la stricte production informatique pour l’englober dans un référentiel plus large qui devient celui du système de management du service. La différence est de taille car elle implique la reconnaissance du caractère spécifique de la fourniture de services par rapport à celle de fourniture de produit. Cette différence était jusqu’alors absente dans la plupart des référentiels : ainsi l’ISO 9001 ne faisait pas
33.2 Reconnaissance et relation contractuelle
207
de distinction entre produit et service alors que les processus de contrôle, vérification, validation sont par nature différents. Le service est, rappelons-le, consommé au fur et à mesure qu’il est produit, ce qui par exemple transforme le concept statique de traitement des non-conformités en processus dynamique de gestion des incidents. Si nous passons ainsi en revue l’ensemble des dispositifs présentés, on s’aperçoit qu’ils peuvent tous être considérés, d’une façon ou d’une autre, comme des dispositifs fournisseurs d’un seul dispositif de reconnaissance maître, celui de la fourniture des services : • la certification des compétences humaines donne confiance dans les processus
mis en œuvre par les hommes ; • la certification des produits donne de même confiance dans les processus qui les
utilisent ; • la certification des processus de pilotage et des systèmes de management donne une confiance renforcée dans les processus managés. La logique des dispositifs est similaire à la logique d’imbrication des processus dans le système d’information de l’entreprise. Tous ces dispositifs apportent leur pierre à l’édifice de la confiance, mais il ne faut pas oublier que le pilotage, les hommes et les produits utilisés ne sont que des outils au service des processus métier, ceux qui produisent la valeur ajoutée du service. La confiance ne se décrète pas mais se mesure à l’aune de la satisfaction du client.
33.2 RECONNAISSANCE ET RELATION CONTRACTUELLE L’évolution des technologies de l’information et, plus particulièrement, celle des réseaux ont permis une croissance exponentielle du volume d’informations échangées entre les particuliers et les différentes entreprises du monde entier. Sachant profiter de la mondialisation des échanges commerciaux, certaines entreprises ont pu accroître le volume de leurs activités. Mais cette croissance les a conduites à repenser leur organisation en se recentrant sur leurs métiers ou sur leurs activités les plus rentables. Cela les a amenées à confier certaines activités de support à des fournisseurs externes pour réduire les coûts, transformer les coûts fixes en coûts variables et être plus réactives sur leur marché. Il s’en est suivi alors une évolution majeure. Tout fournisseur d’un produit ou d’un service s’intégrant dans le cycle de vie du produit ou du service de son client voit la réussite de son activité dépendre de celle de ce dernier. Et inversement, la solidité d’une entreprise s’appuie en partie sur la solidité de ses fournisseurs. Qu’implique une telle situation ? La simple relation dans laquelle un fournisseur se mettait d’accord avec son client pour lui fournir un produit ne suffit plus. Dès qu’il y a un engagement de responsabilité, un référentiel de base reconnaissant la qualité des résultats produits par le fournisseur pour son client, apparaît nécessaire. Dans ce contexte, les dispositifs de reconnaissance tels qu’ils sont présentés dans les chapitres précédents ont tout à fait leur place.
208
Chapitre 33. Regard sur le service
Dans le cas de l’infogérance par exemple, pour bénéficier de la confiance que peut apporter un dispositif de reconnaissance, le client a tout intérêt aujourd’hui à faire référence à l’ITIL. Il ne faut pas oublier que la confiance est un préalable en matière de gestion de la relation client : elle implique l’engagement des hommes dans des activités clés comme la conduite du changement. Un dispositif de reconnaissance comme ITIL définit un cadre de référence dans l’élaboration des activités faisant l’objet du contrat. La certification est émise par une tierce partie indépendante reconnue pour son expertise, dans notre exemple l’OGC. Indirectement, cette tierce partie peut être considérée comme un arbitre. Mais un tel dispositif a aussi ses limites. Il ne répond pas forcément avec exactitude à toutes les spécifications d’un contrat. Aussi faut-il bien définir le champ d’application en distinguant ce qui est couvert par le dispositif de ce qui ne l’est pas. Il faut aussi savoir identifier des spécificités liées à l’activité industrielle du client ; c’est le cas de l’industrie pharmaceutique qui doit répondre à des exigences de la FDA (Food and Drug Administration). Et enfin, il ne faut pas oublier d’intégrer les variantes culturelles. Quoi qu’il en soit, dans cette relation entre un client et son fournisseur où le second assure une prestation de service vis-à-vis du premier, le dispositif de reconnaissance ne fait que fournir un guide. L’organisme certificateur ne peut qu’attester un certain niveau de maîtrise dans la connaissance du sujet. Mais aucune norme ou aucun règlement ne saurait garantir pleinement le savoir-faire et le savoir-être des individus impliqués dans la mise en œuvre de contrats de service. Il appartient ainsi à chacune des parties de valoriser au mieux la mise en œuvre du dispositif et d’instituer ainsi le véritable climat de confiance nécessaire à toute exécution de contrat.
34 Regard sur le législatif et le réglementaire
L’obligation ou non de se conformer à un document dépend de la catégorie du document : s’agit-il d’un règlement, d’une norme ou d’un standard ? Nous explicitons dans ce chapitre les différences entre ces types de documents pour développer ensuite plus précisément la catégorie des textes législatifs et réglementaires et commenter leur rôle croissant en tant qu’exigences imposées aux entreprises.
34.1 CATÉGORIES DE TEXTES APPLICABLES Le tableau 34.1 classe les différents référentiels en règlements, normes et standards.
34.1.1 Règlements Un règlement est une exigence légale à laquelle toute entreprise est tenue. Par exemple, un site de fabrication pharmaceutique qui ne respecterait pas les exigences de conformité aux bonnes pratiques de l’Agence du médicament serait contraint d’interrompre sa production. Certains règlements comme ceux qui régissent la certification des produits issus de l’agriculture biologique, sans être d’application obligatoire, conditionnent la délivrance d’attestations justifiant l’apposition de marques dont l’utilisation frauduleuse ferait l’objet de poursuites.
210
Chapitre 34. Regard sur le législatif et le réglementaire
Tableau 34.1 — Règlements, normes et standards Type de référentiel Lois ou règlements
Normes
Référentiels Lois et décrets relatifs à la certification de services, Loi Sarbanes-Oxley. Code des marchés publics. ISO 9001 ISO 15408 ISO 15504 ISO 20000
ISO 21827 (SSE-CMM) ISO 25051 ISO 27001
Certains référentiels de certification de services comme NF 13816.
Standards
CMMI CobiT EFQM eSCM HAS
ITSEC SAS 70 TickIT TL 9000
Certains référentiels de certification de services. Les référentiels de certification de personnes : AFITEP-CDP, AFITEP-CGP, CISSP, ITIL, PCIE, PMP, PRINCE2, Six Sigma.
34.1.2 Normes Les normes constituent la seconde catégorie de référentiels. Subsidiairement, elles deviennent des exigences lorsqu’elles sont citées dans un marché public. Elles sont produites par des organismes de normalisation, par exemple : • internationaux, comme l’Organisme international de normalisation (ISO) et le
Comité électronique international (CEI) ; • régionaux, comme le Comité européen de normalisation (CEN) en Europe ; • nationaux, comme Afnor en France et les bureaux de normalisation, comme le Bureau de normalisation de l’aéronautique et de l’espace (BNAE). Il faut toutefois bien différencier les normes des autres documents (rapports, guides, spécifications techniques, accords, etc.) publiés par ces organismes. Par exemple, un fascicule de documentation d’Afnor, sans être une norme, est un document normatif. De même, l’ISO publie sous le titre de rapport technique (TR) des documents de type informatif et sous celui de spécifications techniques (TS) des documents initialement destinés à devenir des normes, mais qui n’ont pas obtenu les niveaux d’approbation requis ; ainsi que des documents décrivant les orientations de la normalisation dans des domaines particuliers. Certaines normes sont mises à disposition à titre d’essai, sous l’appellation de normes expérimentales.
34.2 Réglementations applicables
211
34.1.3 Standards Les standards sont des documents rédigés par des entreprises ou des groupements d’entreprises afin de répondre rapidement à un problème souvent sectoriel. Les standards sont généralement considérés comme des normes de fait. Dans ce domaine, la pression du marché est déterminante pour décider ou non de l’utilisation d’un dispositif.
34.2 RÉGLEMENTATIONS APPLICABLES Nous n’aborderons pas de nouveau dans ce chapitre les dispositifs comme la certification de services ou la certification des établissements de santé dont le fonctionnement est régi par des textes réglementaires, mais nous examinerons l’impact des lois et des règlements sur les activités de l’entreprise et leurs systèmes de management. Dans le cadre de son activité, un jour ou l’autre, toute entreprise est amenée à se préoccuper de l’application de la loi et de différentes réglementations, françaises, européennes, voire internationales ou applicables dans les pays avec lesquels l’entreprise est en relation commerciale. La connaissance des lois, arrêtés et règlements applicables nécessite une veille constante. Cette connaissance étant incontournable par exemple dans les secteurs de la santé, du transport ou encore dans le monde bancaire et financier, les grands groupes ont généralement mis en place des structures dédiées à cette veille. Ils interviennent également en amont de l’élaboration des lois et règlements au travers d’organismes professionnels, afin que leurs intérêts soient suffisamment pris en compte dans cette élaboration. Ces lois et règlements constituent un référentiel d’exigences dont le respect est impératif. L’importance croissante du rôle de l’informatique dans toutes les activités personnelles ou professionnelles a multiplié le nombre de textes législatifs à prendre en compte dans la conception, le développement ou la mise en œuvre d’un système d’information. Nous en présentons quelques aspects, de façon non exhaustive. Le Code des marchés publics et le Code général des impôts ont dû évoluer, entraînés par le mouvement de la mise en place de l’e-administration, pour tenir compte de la dématérialisation des documents échangés et permettre la dématérialisation fiscale des factures. Des dispositions d’archivage des pièces justificatives et relatives à la signature électronique ont dû y être introduites. La réglementation bancaire en matière de système d’information s’est également notablement renforcée ces dernières années ; elle découle de la prise en compte des risques, y compris ceux qui sont relatifs à la sécurité.
34.2.1 Bâle II Le management du risque était à l’origine le métier de l’assureur. L’entreprise transférait à ce dernier ses risques en se couvrant par une police d’assurance.
212
Chapitre 34. Regard sur le législatif et le réglementaire
Les banques se sont intéressées naturellement à un type de risque particulier, le risque financier et plus spécialement au risque de crédit : le client titulaire d’un prêt pourra-t-il honorer ses échéances ? La maîtrise de ce risque est au cœur du métier de la banque. Le risque bancaire a donc été progressivement soumis à des référentiels de plus en plus contraignants. En 1988, un premier accord interbancaire conclu à Bâle (désigné généralement sous le nom de Bâle I) entre 13 pays signataires de l’OCDE (Allemagne, Belgique, Canada, Espagne, États-Unis, France, Italie, Japon, Luxembourg, Pays-Bas, RoyaumeUni, Suède, Suisse) a fourni des directives sur le montant total de fonds propres requis par établissement, afin de réduire le risque de défaillance bancaire et le coût potentiel d’une telle défaillance pour les déposants. Perfectionnant ce mécanisme, un nouveau dispositif baptisé Bâle II l’a remplacé. Il n’est devenu complètement applicable qu’en 2006 du fait de la constitution préalable de bases statistiques sur les risques opérationnels. Bâle II vise à améliorer la sécurité et la solidité du système financier en accordant plus de place aux procédures internes de contrôle et de gestion et en élargissant la surveillance aux risques dits opérationnels. Ce référentiel, constitué d’un ensemble de recommandations, s’applique strictement aux banques dans les pays où il a fait l’objet d’une transposition dans le droit national, et de façon indirecte à la quasi-totalité des pays du monde, du fait du caractère international et globalisé du système monétaire et financier. Il n’existe aujourd’hui aucun dispositif global de reconnaissance de son application. Nous pouvons seulement penser que, pour être efficace, ce mécanisme devra être accompagné d’un dispositif de contrôle et de certification par un organisme reconnu par la profession bancaire. Quel rapport cela peut-il bien avoir avec les systèmes d’information ? Les banques manipulent des masses considérables d’informations et sont grandes consommatrices de services. La relation entre un client et ses fournisseurs entraîne forcément une répercussion en cascade des exigences des banques vers leurs sous-traitants. Une banque qui externalise tout ou partie de ses services informatiques, se place dans une situation à risque potentiel élevé. Ainsi elle peut être contrainte par les organismes de contrôle d’augmenter ses fonds propres. L’exigence de maîtrise du risque opérationnel formulée dans les accords de Bâle II s’applique donc à la plupart des fournisseurs de logiciel et aux sociétés de service, sous-traitants du monde bancaire ; ceux-ci souhaiteront dès lors disposer de l’attestation adéquate pour démontrer leur capacité en la matière. Les sociétés disposant déjà d’un système de management de la qualité ne devraient pas avoir trop de problème pour apporter la preuve de cette capacité : la maîtrise des risques étant un processus déjà bien identifié dans des référentiels de la famille ISO 9000. Notons simplement que l’application de cette réglementation n’a pas suffisamment limité les prises de risque ayant conduit à la crise financière de 2008.
34.3 Quelques lois
213
34.2.2 Solvabilité II Les compagnies d’assurance, tout comme les banques, se sont dotées d’une réglementation européenne destinée à garantir le niveau de leurs fonds propres. Cette réglementation, connue sous le nom de Solvabilité II (Solvency II) entre en vigueur en 2009, en se transposant dans les différents droits nationaux et devrait entraîner un changement de présentation des comptes des compagnies d’assurance, à partir de 2010. Comme pour Bâle II, il convient de mettre en place un véritable processus de contrôle interne, destiné à identifier les risques opérationnels.
34.2.3 CRBF n◦ 97-02 Le Comité de la réglementation bancaire et financière (CRBF) a émis un ensemble de règlements visant à renforcer les contrôless exercés par les établissements bancaires sur leurs prestataires. Le règlement n◦ 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement a ainsi été modifié successivement en janvier 2004 puis en mars 2005. Il impose la mise en œuvre de plans de continuité d’activité et développe un ensemble de « conditions applicables en matière d’externalisation » visant à garantir la continuité du service. Les banques sont ainsi amenées à développer leur plan de continuité d’activités et à exiger de leurs prestataires la mise en œuvre de dispositifs de secours et un niveau d’engagement formel sur le niveau de qualité de service. Les prestataires doivent donner accès à toute information sur les services rendus et accorder un droit d’audit et de contrôle très large, y compris en donnant accès sur place aux contrôleurs habilités.
34.2.4 Référentiel de sécurité du chèque « Conformément aux dispositions de l’article L.141-4 du Code monétaire et financier, la Banque de France s’assure de la sécurité des moyens de paiement scripturaux ». Ceci est la première phrase du Référentiel de sécurité du chèque élaboré par la Banque de France et applicable aux établissements financiers depuis 2005. Sécurité informatique et maîtrise de l’externalisation sont au cœur du dispositif imposé aux établissements financiers et, par voie de conséquence, à leurs sous-traitants. Toute banque est ainsi tenue de justifier de la maîtrise de son système d’information vis-à-vis de la Banque de France.
34.3 QUELQUES LOIS En matière législative, les lois ayant une relation avec l’informatique et les systèmes d’information se multiplient en tentant de répondre à différents besoins : • la protection des données personnelles ; • la sécurité des transactions financières ; • la préservation des droits d’auteur.
214
Chapitre 34. Regard sur le législatif et le réglementaire
34.3.1 Loi informatique et libertés Révisée en août 2004, la Loi informatique et libertés du 6 janvier 1998 a pour objectif la protection des données à caractère personnel. Elle s’impose à toute personne physique ou morale constituant et manipulant des fichiers enregistrant des informations sur des personnes physiques vivantes. Elle interdit toute collecte de données à l’insu des personnes fichées et leur donne un droit d’accès et de rectification aux données qui les concernent. On notera d’ailleurs que les données sur des personnes décédées ne relèvent pas de cette loi. Cette loi crée un cadre de déclaration obligatoire pour les fichiers de données personnelles en restreignant leur usage selon les principes suivants : • collecte loyale et licite des données ; • collecte de données adaptée à la finalité des traitements ; • droit d’accès et obligation de rectification ; • limitation de la durée de conservation.
Nous ne détaillerons pas ici plus amplement cette loi, mais noterons qu’elle s’impose à tout concepteur de systèmes d’information comme une exigence en amont de toute spécification.
34.3.2 Loi pour la confiance dans l’économie numérique La Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 a pour objet de « donner une nouvelle impulsion au commerce électronique et à la sécurité des transactions en ligne... Il s’agit de renforcer la confiance des acteurs, tout particulièrement des consommateurs, et assurer les bases d’une croissance économique fondée sur l’émergence de nouveaux services ». L’internaute devrait être rassuré par la mise en place de dispositifs répressifs concernant la cybercriminalité et la réglementation de la publicité en ligne. Côté entreprise, la loi implique la mise en conformité des dispositifs de gestion de la relation client et autres applicatifs de fidélisation. S’il n’agit pas directement sur le niveau de confiance du consommateur, l’existence d’un cadre législatif plus précis peut cependant rassurer ce dernier sur les recours envisageables en cas d’escroquerie manifeste. On notera toutefois que la loi ne s’attaque ni à la cause majeure de l’insuffisance de confiance qu’est la piètre fiabilité de certains logiciels, ni directement au phénomène des virus. La limite de cette loi est son caractère national, face à un phénomène qui dépasse largement les frontières. Mais il s’agit bien de donner la priorité au développement de l’économie française, donc d’inciter l’internaute français à consommer sur des sites contrôlés ou recommandés par l’administration française.
215
34.3 Quelques lois
34.3.3 Loi de sécurité financière Toujours en France, la Loi de sécurité financière du 1er août 2003 renforce les pouvoirs de contrôle financier. Elle oblige les entreprises à informer leurs actionnaires des procédures de contrôle interne mises en place, en produisant un rapport sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière. Pour ce faire, elle s’est donné trois missions : • moderniser les autorités de contrôle et de régulation ; • renforcer la sécurité des épargnants ; • renforcer la sécurité et la transparence des entreprises.
Cette loi cherche à restaurer la confiance par une remise à plat des institutions et par le renforcement de la transparence en exigeant des contrôles internes à tous les niveaux dans l’entreprise aussi bien sur les aspects financiers qu’opérationnels. En cela, elle a un caractère plus exhaustif que la loi Sarbanes-Oxley, son pendant américain... Tableau 34.2 — Comparatif LSF et Sarbanes-Oxley Loi de sécurité financière
Loi Sarbanes-Oxley
Sociétés concernées
Toutes les sociétés anonymes en Uniquement les sociétés cotées France. aux États-Unis (Sec Registrants) Toutes les personnes faisant appel public à l’épargne
Périmètre
Chaque société
Groupe
Domaine
Toutes les procédures de contrôle interne. Le contrôle porte sur les aspects financiers et opérationnels. Il faut être conforme à la loi.
Uniquement les procédures qui concernent les informations comptables et financières.
Référentiel
Pas de référentiel
COSO
Audit
Article 120 : les commissaires aux Section 404 : Les auditeurs comptes présentent leurs attestent l’évaluation et établissent observations sur la partie du un rapport. rapport du président couvrant le contrôle interne relatif à l’élaboration et au traitement de l’information comptable et financière.
Pour répondre à cette problématique de confiance, la loi Sarbanes-Oxley fait porter l’effort sur la gouvernance d’entreprise en fiabilisant le reporting financier, en luttant contre les fraudes, en renforçant les contrôles externes et les sanctions. Mais elle limite son champ d’actions aux informations comptables et financières. En revanche, elle s’est donné un référentiel en matière de contrôle interne le COSO (Committee Of Sponsoring Organizations). L’équivalent n’existe pas dans le contexte français.
216
Chapitre 34. Regard sur le législatif et le réglementaire
Dans le cadre de la refonte des institutions, la LSF a permis de créer l’Autorité des marchés financiers (AMF) et le haut conseil du commissariat aux comptes (H3C). L’AMF fournit des indications sur l’interprétation de la loi mais principalement dans le domaine financier et plus particulièrement dans celui du conseil d’investissement financier (CIF). Sur ce point, elle précise les obligations du CIF. Le H3C, organisé en commissions par secteur d’activité, émet des avis techniques au titre des bonnes pratiques professionnelles. Une commission sénatoriale1 a estimé que ce système était perfectible et devait être amélioré (renforcement des moyens, reconnaissance des avis techniques). Notons toutefois, que cette appréciation est limitée au fonctionnement des institutions réglementaires. Or les entreprises vivent de leur marché. Pour être plus performantes, elles se recentrent de plus en plus sur leur métier de base. Les activités qui n’en font pas partie, sont achetées dans le cadre d’un contrat de sous-traitance (sourcing). Avec l’extension de ces mouvements d’externalisation, le volume des achats d’une entreprise a de plus en plus de poids dans les comptes de résultat. Si l’on ajoute à cela l’intégration des pratiques informatiques telles que SaaS (Software as a Service), on comprend bien que toute entreprise doit s’interroger non seulement sur les contrôles de sa propre organisation mais aussi sur les contrôles internes de ses sous traitants. L’association entre un client et ses sous traitants prend la forme d’une entreprise étendue. Aussi, dans un futur proche, les exigences réglementaires pourraient bien servir de levier aux services achats. En attendant, elles alimentent le moulin du référentiel de sourcing, l’eSCM-CL. Il faut sans doute y voir une raison de l’engouement actuel des entreprises pour l’eSCM-CL en France.
34.3.4 Internet et droit d’auteur Plusieurs projets de loi tentent d’accommoder nouvelles technologies et préservation des droits d’auteur : la loi DADVSI (projet de loi relatif au Droit d’auteur et aux droits voisins dans la société de l’information) prévoyait un ensemble de dispositifs anticopie, d’identification de l’utilisateur et de traçage de l’utilisation, et fut finalement abandonnée. Avec Internet le cadre législatif déborde des frontières, la loi DADVSI était une tentative de transposition dans la loi française d’une directive européenne elle-même issue de l’application d’un traité international imposé par l’administration Clinton. Début 2009, une Loi Création et Internet est en projet avec pour objectifs la lutte contre le téléchargement illégal et le soutien du développement des services légaux de musique en ligne. Elle devrait aboutir courant 2009 à la création d’une Hadopi (Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet). Il est prévu que l’Hadopi délivre des labels garantissant la conformité des services de diffusion. Nous voyons ainsi se développer une forme de certification actant du respect de la Loi par les entreprises.
1. Loi de sécurité financière ; un an après, rapport n◦ 431 du 27 juillet 2004, rapporteur Philippe Marini.
34.3 Quelques lois
217
34.3.5 Le législatif américain À côté de la fameuse loi Sarbanes-Oxley, le congrès américain a voté bien d’autres lois dans le but de renforcer la sécurité des systèmes d’information. En voici les principales : Le Gramm-Leach-Bliley Act (GLBA) de 1999 demande à tous les établissements financiers des États-Unis de protéger les informations personnelles de leurs clients et les oblige à prendre les dispositions nécessaires pour garantir la sécurité et la confidentialité des données détenues sur les clients et à les protéger contre toute menace pouvant les affecter. Dans le cadre des soins de santé, le Health Insurance Portability and Accountability Act (HIPAA), voté dès 1996, est chargé de protéger les informations détenues sur les patients : • dans les transactions électroniques véhiculant des données médicales ; • dans les données concernant la vie privée ; • par des règles de confidentialité, d’intégrité et de disponibilité des données
médicales. Pour combattre le terrorisme, le congrès américain a fait voter en octobre 2001 l’US Patriot Act obligeant les institutions financières opérant aux États-Unis à protéger les informations et les données financières contre tout accès illicite ou malveillant. Pour y répondre, les dispositions suivantes doivent être appliquées : • les contrôles d’accès ; • la surveillance des utilisateurs ; • le renforcement de la politique de sécurité ; • le contrôle des configurations ; • la détection de logiciels malveillants ; • la sécurité des communications.
Le Federal Information Security Management Act (FISMA), voté en 2002, édicte les mesures à mettre en place pour sécuriser les biens et les informations des institutions fédérales aux États-Unis : il assigne au National Institute of Standards and Technology (NIST) la responsabilité de développer les normes de sécurité que doivent appliquer les agences gouvernementales américaines pour protéger leurs systèmes d’informations. Ces standards sont publiés dans le Federal Information Processing Standards Publication 200 (FIPS PUB 200). Ils sont regroupés par domaine comme suit : • le contrôle d’accès ; • la sensibilisation et formation ; • l’audit et responsabilité ; • l’évaluation des contrôles ; • la gestion des configurations ; • le plan de continuité ; • l’identification et authentification ;
218
Chapitre 34. Regard sur le législatif et le réglementaire
• la gestion des incidents ; • la maintenance ; • la protection des médias ; • la protection physique et environnementale ; • la planification.
Ces dispositifs ont un caractère légal et donc obligatoire, certains d’entre eux étant assez exhaustifs. Ils s’appliquent à toute entreprise, quelle que soit sa nationalité, ayant des relations d’affaires avec des organismes américains issus des secteurs d’activité précités. Or certains d’entre eux, tels que le FISMA, peuvent avoir tendance de par leur structure à être « vendus » comme une norme. Le législateur deviendrait-il le dépositaire d’une norme ? N’amalgamons pas les rôles. L’intérêt des normes internationales, produites par des organismes comme l’ISO ou l’IEC, c’est justement qu’elles sont internationales, alors que les lois ne le sont pas, tout au moins pour l’instant. Les lois devraient donc se limiter à rendre obligatoire l’application de certaines normes et non s’y substituer. Le législateur devrait rester le législateur.
35 Cartographies
Nous observons que les entreprises ont tendance à sélectionner un seul dispositif en ne tenant pas compte des avantages que pourraient leur apporter des dispositifs complémentaires. Ce chapitre brosse un paysage qui positionne les principaux dispositifs les uns par rapport aux autres. L’étude approfondie des différents référentiels montre qu’ils ont tendance à se référencer les uns les autres. C’est ce que nous avons voulu mettre en évidence en présentant les relations qu’ils ont entre eux. Enfin, nous établirons une classification des dispositifs en indiquant le périmètre de chacun d’eux.
35.1 POSITIONNEMENT DES DISPOSITIFS Afin d’illustrer notre démarche, nous avons représenté (figure 35.1) le positionnement actuel des dispositifs de reconnaissance présents sur le marché français, sous la forme d’un paysage vallonné où s’écoule une rivière. La position de la rivière au milieu de ce paysage est importante car elle marque la frontière entre deux domaines : celui des technologies de l’information et celui des dispositifs de reconnaissance globalement génériques. • Sur la rive droite (à gauche), de l’amont vers l’aval (du haut vers le bas), on
trouve les technologies de l’information réparties en trois zones : le domaine de la production informatique, celui du logiciel et enfin, celui de la sécurité informatique. • Sur la rive gauche (à droite), on trouve le domaine de la qualité sur la berge et celui du management de projet sur les hauteurs ; la qualité se trouve près de la rivière, c’est-à-dire proche des technologies de l’information.
220
Chapitre 35. Cartographies
Les drapeaux indiquent le pays d’origine du dispositif : France, Royaume-Uni, États-Unis, Europe ou International (drapeau des Nations Unies). Afin d’identifier rapidement les dispositifs qui occupent le territoire, nous les avons représentés par des régiments ou des soldats isolés : • le fantassin pour la certification des personnes ; • la cavalerie pour la certification des systèmes et des entreprises ; • l’artillerie pour la reconnaissance des produits ; • un hussard à cheval pour l’attribution d’un prix.
Pourquoi représenter les dispositifs sous cette forme ? Tout simplement pour exprimer le fait qu’ils se positionnent et évoluent à la manière de troupes sur un champ de manœuvres. Ce paysage évolue en permanence. Au début des années 1980, les réflexions dans le domaine des technologies de l’information portaient essentiellement sur les méthodes et plus particulièrement celles du développement : Corig dès 1967, Warnier en 1970 puis, plus tard Merise. Ensuite, dans la seconde moitié des années 1980, on a assisté à l’émergence de méthodes d’audit de sécurité telles que Marion pour le secteur de l’assurance et Melisa pour l’Armée de l’air. Les premières certifications en management de projet sont nées dans les années 1980, notamment avec la certification de chef de projet (AFITEP-CDP). En 1987, apparaît le premier dispositif de certification d’entreprise par rapport à un référentiel générique indépendant du secteur d’activité, c’est l’ISO 9001. Entre 1990 et 1997, l’évolution se poursuit principalement sur les axes du logiciel et de la sécurité avec une ouverture sur le service. On commence alors à s’intéresser à la reconnaissance de la qualité. On voit apparaître les premières évaluations SW-CMM (qui a été remplacé par le CMMI) pour le logiciel et les certifications ITSEC pour la sécurité. Le mécanisme de la certification prend ensuite de l’ampleur avec une lacune dans le domaine de la production informatique, comblée depuis avec l’apparition d’ITIL en France accompagné de PRINCE2 pour le management de projet, dans les années 2001-2002. À partir de 2005, sur la base d’ITIL, les activités d’infrastructure informatique disposent d’un référentiel supplémentaire certifiant les systèmes, l’ISO 20000. Peu avant, les activités d’externalisation ont eu leur propre référentiel ; l’eSCM. C’est aussi à cette date que le législateur a introduit en France la loi de sécurité financière. Enfin, dernier arrivé, le MSP intègre la gestion des programmes et des portefeuilles de projets en accompagnement de PRINCE2. On voit sur ce paysage que la certification de systèmes (la cavalerie) concerne essentiellement les aspects méthodologiques de développement et intègre la démarche d’évaluation de processus. En revanche, la certification de personnes (le fantassin) porte davantage sur l’opérationnel avec ITIL, sur la sécurité avec le CISSP et sur le management de projet avec le PMI qui certifie les individus selon le PMP depuis environ vingt ans. Rien d’étonnant ! Le développement de logiciel fait traditionnellement appel à du personnel qualifié. Par ailleurs l’évolution technologique a conduit à une plus grande complexité de la production informatique et de la sécurité. Les hommes ont dû s’adapter d’où l’importance croissante attribuée à la certification des personnes.
221
Figure 35.1 — Le paysage
35.1 Positionnement des dispositifs
222
Chapitre 35. Cartographies
35.2 TICKIT Nous n’avons pas repris dans cette édition la fiche relative à TickIT qui régresse en France. Il y a moins de 10 certificats, essentiellement attribués au groupe Thales. Un guide pour les auditeurs avait été élaboré en 1991 par BSI afin d’harmoniser les résultats d’évaluation aboutissant à la certification ISO 9001. Ce guide sert, depuis, de référence, au Royaume-Uni, à la certification TickIT ; « tick » voulant dire cocher en anglais. Ce référentiel a constamment évolué et la toute dernière version, TickIT Plus, date de juin 2009. On y trouvera des additifs par rapport à la certification ISO 9001, en particulier : • des niveaux de maturité : bronze, argent, or et platine ; • des extensions facultatives du champ d’application : par exemple ISO/IEC
20000 et ISO/IEC 27001 ; • le mécanisme de révision des conditions de formation et de qualification des
auditeurs TickIT.
35.3 RELATIONS ENTRE LES DISPOSITIFS On mesure la notoriété d’un chercheur au nombre de citations de ses articles dans les bibliographies d’autres auteurs. C’est le principe adopté par Google pour établir la notoriété d’un site Internet. De même, on pourrait mesurer l’importance d’un référentiel au nombre de relations qu’il a avec d’autres référentiels. Les référentiels font référence les uns aux autres, les nouveaux se créent à partir de référentiels déjà éprouvés. La figure 35.2 met en évidence les relations qui existent entre les dispositifs de la figure 35.1.
35.3.1 Influence de l’ISO 9001 sur les autres référentiels L’ISO 9001 est la norme de référence incontournable, surtout depuis la sortie de la version 2000. Il n’est plus possible de produire un quelconque référentiel sans mentionner cette norme ou son dispositif de certification. Les propriétaires de référentiels estiment nécessaire de souligner les relations entre leur modèle et l’ISO 9001 : cela a été par exemple, une des priorités pour le lancement de l’eSCM. La norme ISO 25051 sur la certification de progiciel prend comme support l’ISO 9001 pour les exigences sur les tests. La certification ISO 9001 est nécessaire à l’obtention de la certification TL 9000. Les dispositifs de certification de systèmes de management, comme l’ISO 20000 en matière de service ou l’ISO 27001 pour la sécurité, font explicitement référence à l’ISO 9001 comme modèle d’amélioration continue et de démarche processus.
223
35.3 Relations entre les dispositifs
Figure 35.2 — Des relations entre dispositifs
35.3.2 HAS, ISO 9001 et certification de services Parmi les nouveautés du Manuel d’accréditation des établissements de santé, deuxième procédure d’accréditation de la HAS, on trouve une politique visant à reconnaître les différents systèmes de reconnaissance externe « afin de bénéficier de synergies entre les démarches, d’établir les complémentarités et d’éviter les redondances entre les procédures ». Il y est précisé « Selon les cas, peuvent par exemple être mises en œuvre une certification ISO 9001 d’un secteur ou de l’établissement, une certification de service sur un domaine... ». Ceci est une évolution importante par rapport à la version précédente où il était déclaré que « Dans les établissements de santé, les procédures de certification concernent essentiellement certains secteurs d’activité tels la restauration, le blanchissage, la stérilisation... ». Il est d’ailleurs précisé, dans la version de mars 2005 du guide Préparer et Conduire votre Démarche d’Accréditation : « les principaux types de certification rencontrés dans les établissements de santé sont : • la certification des systèmes de management et en premier lieu, la certification
des systèmes de management de la qualité. Cette dernière certification se fonde sur la norme ISO 9001 ; • la certification de service : il s’agit d’une certification visant à s’assurer qu’un service répond à des exigences spécifiées. Des référentiels ad hoc sont construits pour chaque certification de service. L’élaboration de ces référentiels obéit à un cadre réglementaire précis ».
224
Chapitre 35. Cartographies
35.3.3 ISO 15504 et ISO 9001 L’ISO 15504 peut être utilisée dans le contexte de la « Surveillance et mesure des processus » (paragraphe 8.2.3 de l’ISO 9001) pour mesurer la qualité des processus du système de management de la qualité. De plus, le cadre décrit dans l’ISO 15504 donne la possibilité d’ajuster le champ de l’évaluation afin de ne traiter que certains processus spécifiques d’une entité organisationnelle (une entité pouvant être une entreprise ou une partie d’une entreprise). Un niveau d’aptitude 3 sur l’échelle de l’ISO 15504 assure la certification ISO 9001 vis-à-vis des exigences relatives au développement du produit.
35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 L’introduction du manuel ITIL – Service Delivery met en évidence l’importance de l’adoption des bonnes pratiques de fourniture de services pour aider à améliorer la qualité des procédures et donc à obtenir la certification ISO 9001. De plus, l’ITIL insiste sur l’importance de la culture du changement et sur l’attitude appropriée pour maintenir les procédures et processus. La norme ISO 20000, directement issue d’ITIL, s’applique à la certification du management des services. Elle s’appuie sur les principes de base de l’ISO 9001 en faisant directement référence au PDCA de la roue de Deming. Enfin, l’ISACA a présenté un alignement des processus CobiT V4 avec ceux d’ITIL V3 et de l’ISO 27002. Le document peut être téléchargé sur le site de l’organisme.
35.3.5 EFQM et ISO 9001 La mise en œuvre d’un système de management de la qualité fait partie des critères d’évaluation EFQM. À ce titre, une certification ISO 9001 correspond à l’obtention d’un certain nombre de points dans le dispositif EFQM. L’EFQM participe activement à la normalisation des systèmes de management des organisations, en tant qu’organisation internationale en liaison avec le Comité technique TC176 de l’ISO. Les principes de l’EFQM ont guidé la rédaction de la version 2000 de l’ISO 9001. Cette tendance devrait aboutir à une prise en compte encore plus marquée des concepts de la qualité totale.
35.3.6 ITIL et EFQM ITIL aborde l’EFQM comme « un modèle pour ceux qui désirent atteindre un certain niveau d’excellence dans le cadre d’un programme d’amélioration continue ». Le référentiel EFQM vient donc en support des pratiques ITIL pour mettre en place une gestion de la qualité totale.
35.3.7 Référentiels en management de projet Certaines entreprises n’hésitent pas à associer le PMBOK et PRINCE2 pour encadrer les projets et en particulier les projets informatiques.
35.4 Portée des dispositifs
225
Une différence substantielle existe d’ailleurs entre PRINCE2 et tous les autres dispositifs de management de projet cités : PRINCE2 est davantage tourné vers le service rendu au client. L’OGC le recommande naturellement pour la mise en œuvre d’ITIL, car pour ce référentiel, l’objectif est avant tout de pouvoir répondre aux exigences des processus métier du client. Dans les deux cas, il faut y voir un engagement, une implication, dont la finalité est de livrer, à partir des technologies de l’information, un ensemble de services apportant une valeur ajoutée au métier du client. Autre différence, la gestion des programmes et des portefeuilles de projets est incluse dans le PMBOK, alors que PRINCE2 ne la traite pas en tant que telle et fait référence à MSP, dédiée au sujet. En France, une relation existe entre les différents dispositifs de management de projet, ceux de l’AFITEP, du PMI ou PRINCE2. Elle concerne les passerelles entre les différents dispositifs. Par exemple, ce sont des points PDU gagnés auprès de l’AFITEP pour renouveler son certificat PMP, ou encore un certificat PMP qui est accepté en équivalence du niveau D de l’AFITEP-CDP pour l’obtention du certificat de base de l’AFITEP-CGP. À noter que pour la version 4 de CobiT, l’ISACA a présenté des grilles de correspondance avec PRINCE2 et le PMBOK.
35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM À l’origine il y avait le SW-CMM spécifique au processus logiciel. Ce fut l’une des sources pour l’élaboration de l’ISO 15504. Le SW-CMM s’est ensuite généralisé à tous les processus d’ingénierie du logiciel et des systèmes sous le sigle CMMI. Une des spécifications de conception du CMMI a été d’être conforme aux exigences de l’ISO 15504. À l’aide de la vision continue du CMMI, il est possible d’établir des équivalences entre des évaluations ISO 15504 et CMMI. CobiT, SSE-CMM, eSCM proposent des modèles de maturité ou d’aptitude inspirés de ceux qui sont développés par le SEI. Leurs points communs sont l’approche processus et la présence d’un modèle d’évaluation de la maîtrise des processus à plusieurs niveaux.
35.3.9 Critères communs et ITSEC Les Critères communs sont issus des ITSEC dont ils constituent le prolongement. Ils peuvent toutefois être utilisés de façon indépendante.
35.4 PORTÉE DES DISPOSITIFS Un dispositif peut concerner tous les domaines d’activité ou seulement certains secteurs bien délimités ; il peut s’appliquer à toute l’entreprise ou seulement à certaines de ses fonctions. L’évaluation peut porter sur l’entreprise, sur certains processus, sur des personnes physiques, sur des produits ou sur des services particuliers. Le tableau 35.1 met en évidence la diversité des types de reconnaissance, existants ou potentiels.
226
Chapitre 35. Cartographies
Tableau 35.1 — Périmètre des dispositifs Secteur d’activité
Activités concernées
Toutes
Gouvernance
Sécurité des systèmes d’information
Entité évaluée Entreprise ou entité
EFQM ISO 9001 Sarbanes-Oxley SAS 70
Processus
ISO 15504
Personne
Six Sigma
Service
Certification de services
Personne
CobiT-CGEIT
Entreprise ou entité
ISO 27001
Processus
SSE-CMM
Personne
CobiT-CISM CISSP
Produit
ISO 15408 Critères communs ITSEC
Personne
AFITEP-CDP AFITEP-CGP MSP PMBOK PRINCE2
Entreprise ou entité
ISO 20000 eSCM
Processus
CMMI
Produit
ISO 25051
Personne
ITIL PCIE Testeur logiciel CobiT-CISA
Tous secteurs
Management de projet
Informatique
Santé Télécommunications
Toutes
Dispositif
Entreprise ou entité
HAS TL 9000
36 Analyses
Dans tous les cas, que ce soit une démarche volontaire ou une obligation, la mise en œuvre d’un dispositif de reconnaissance apporte des bénéfices internes et externes, en contrepartie de coûts eux aussi internes et externes essentiellement dus à la charge de travail nécessaire à la mise en œuvre et aux évaluations. De plus, il ne faut pas négliger les perturbations dues aux changements d’organisation induits par le dispositif et la mise en place d’indicateurs de mesures. Enfin, pour ceux qui mettent en œuvre plusieurs dispositifs, il faut intégrer la prise en compte de processus différents ou de processus définis différemment. En fin de chapitre, nous répondrons aux questions suivantes : Quelle est la pérennité de ces dispositifs ? Qu’est-ce que l’accréditation des organismes de certification ? Comment devient-on évaluateur ?
36.1 BÉNÉFICES Mettre en œuvre un ou plusieurs dispositifs est une décision stratégique de la direction de l’entreprise. Le coût associé est important, que ce soit lors de la première mise en œuvre ou pour le maintien du statut, qu’il s’agisse de libérer des ressources sous forme de jours hommes en interne ou pour financer des prestations externes de conseil, de certification ou d’évaluation. Cette décision se prendra donc dans l’espoir d’un bénéfice attendu, interne ou externe.
228
Chapitre 36. Analyses
36.1.1 Bénéfices externes Les pressions externes proviennent de diverses sources : les clients, les actionnaires, le marché. Souvent quel que soit le dispositif, le seul but visé est l’obtention d’une reconnaissance formelle de la qualité des produits, des services ou des processus. Le résultat attendu est alors l’obtention d’un certificat ou d’une attestation fournie par un organisme indépendant. Ce bénéfice est loin d’être négligeable, la survie de l’entreprise peut être en jeu lorsque les clients mettent l’obtention dudit document comme préalable à la signature de tout contrat. Cette demande peut également provenir non plus des clients, mais des actionnaires comme c’est le cas pour les sociétés cotées en Bourse. Elle répond de plus en plus au respect obligatoire d’une exigence légale ou réglementaire. Le respect d’une loi n’est jamais optionnel, nous l’avons vu avec Sarbanes-Oxley. Les réglementations financières s’imposent en priorité à l’entreprise avant même toute démarche d’amélioration volontaire, qu’elles concernent le respect des données personnelles ou qu’elles visent le développement durable. Le marché exerce sa pression pour l’application de tel ou tel dispositif. Par exemple, la certification ISO 9001 est aujourd’hui devenue quasi incontournable. Ne pas être certifié ISO 9001 devient synonyme de qualité non maîtrisée.
36.1.2 Bénéfices internes Quel que soit le dispositif, la mise en œuvre d’un ou plusieurs dispositifs apporte des bénéfices internes par l’amélioration du fonctionnement de l’entreprise et par la satisfaction du personnel.
Bénéfices pour l’entreprise L’amélioration du savoir-faire passe par une amélioration des pratiques. La mise en œuvre de dispositifs éprouvés qui ont capitalisé l’expérience du domaine est une richesse à ne pas négliger. Lorsque les coûts de mise en œuvre sont amortis, les résultats financiers de l’entreprise ne peuvent que s’améliorer grâce à l’utilisation de bonnes pratiques et grâce à la vision externe de l’auditeur ou de l’évaluateur. Il est important de communiquer avec l’ensemble des collaborateurs sur l’atteinte des objectifs dont dépend la certification. La motivation du personnel est un facteur clé du succès. L’accréditation des organismes de certification donne à l’attestation une valeur parfois universelle comme dans le cas de l’ISO 9001. Ainsi grâce à la notoriété de l’organisme d’accréditation, le nombre d’audits, d’évaluations ou d’examens multiples devrait diminuer.
36.2 Charges de travail
229
L’augmentation de la qualité (50 % avec la mise en œuvre du CMMI) et celle de la productivité observée en parallèle (62 % avec la mise en œuvre du CMMI) sont des avantages non négligeables.
Bénéfices pour le personnel Une démarche de mise en œuvre d’un dispositif lorsqu’elle est réussie conduit à l’amélioration des conditions de travail des équipes et à meilleure motivation. Ces améliorations sont obtenues par la définition de rôles, de responsabilités et d’objectifs associés non ambigus. Par une meilleure connaissance des processus et par leur maîtrise, l’amélioration de la productivité doit permettre de réduire le stress ainsi que les dépassements d’horaires. La compréhension des enjeux et la participation des opérationnels à l’amélioration augmentent la motivation et le plaisir pris au travail. Les dispositifs visant la certification de personnes apportent une meilleure qualification aux postulants. Plus généralement, toute mise en œuvre d’un dispositif fait progresser la qualification du personnel concerné.
36.2 CHARGES DE TRAVAIL La charge de travail à effectuer se répartit en deux grandes phases : la mise en œuvre et l’évaluation.
36.2.1 Charge de mise en œuvre La mise en œuvre d’un référentiel comprend de nombreuses activités qui dureront la première fois plus d’un an. Il faut tout d’abord une décision de la direction, au plus haut niveau, pour allouer les ressources. Il faut ensuite que l’entreprise s’approprie le référentiel et le traduise de manière opérationnelle dans son contexte, pour définir les pratiques et l’organisation adéquate. Il faut en parallèle assurer la conduite du changement et généralement tester la démarche sur un domaine pilote avant de pouvoir la généraliser. La charge de travail associée à cette première mise en œuvre dépend généralement de plusieurs critères : le niveau de l’entreprise au moment où elle décide de recourir à un dispositif de reconnaissance, la motivation pour cette mise en œuvre et la taille de l’entité concernée, sachant que ce peut être tout ou partie d’une entreprise. Souvent, le niveau initial de l’entreprise est évalué par un état des lieux mettant en évidence forces et faiblesses. Le régime de croisière consiste à assurer la pérennité de la mise en œuvre du dispositif et son efficience ; il nécessite également des ressources en personnel pour effectuer des vérifications périodiques, prendre en compte les remarques ou commentaires des auditeurs et évaluateurs, identifier les axes d’amélioration...
230
Chapitre 36. Analyses
Chaque dispositif s’appuie sur une organisation qui lui est propre. Certains dispositifs précisent des rôles. L’ISO 9001:2000 précise au paragraphe 5.5.2 celui du représentant de la direction. Le Six Sigma précise ceux du directeur, du champion, du Black Belt et du Green Belt. Le CMMI se contente de définir un groupe de personnes comme le Process group qui regroupe des spécialistes dont le rôle est de faciliter la définition, la maintenance et l’amélioration des processus utilisés par l’entreprise. Le rôle de manager y est décrit, c’est la personne qui dirige d’un point de vue technique et administratif ; ses fonctions incluent la planification, l’organisation, la direction, le contrôle du travail dans sa sphère de responsabilité. Parmi les managers cités, on trouve le chef de projet qui est responsable entre autres de la satisfaction du client ainsi que le senior manager, dirigeant de haut niveau, qui a le pouvoir d’allouer des ressources pour les activités d’amélioration et d’efficacité de processus. Le temps à consacrer par chaque acteur à l’intérieur du dispositif est rarement explicité. Il est donc difficile de disposer de chiffres objectifs et complets qui permettraient une comparaison.
36.2.2 Charge d’évaluation La charge d’évaluation comprend la charge interne de celui qui se fait certifier ou évaluer et celle de l’auditeur ou évaluateur.
Charge de travail interne Dans le cas de la certification de personnes, la charge interne correspond à l’effort que doit fournir la personne pour réussir son examen. Cette charge dépend du type de préparation : rédaction d’un mémoire, formation par lecture, par enseignement assisté à distance ou par le suivi physique d’un cours. Il est entendu que l’acquisition de l’expérience est un préalable et n’est pas comptée dans le temps de formation. Il en est de même lorsque l’objet de l’évaluation est une entreprise, la charge de travail dépend alors de son niveau de maturité. Les autres critères sont : • la taille de l’entité évaluée, le nombre de personnes, le nombre de projets, le
type d’activités, etc. ; • le choix du modèle d’évaluation qui dépend de l’objectif visé : amélioration ou
reconnaissance externe ; • la formation nécessaire préalable à l’évaluation afin de disposer d’un langage
commun dans l’entreprise. Alors que pour la plupart des dispositifs, l’évaluation n’a pas d’influence directe sur l’objet évalué, dans le cas des ITSEC et des Critères communs, cette évaluation a un impact immédiat sur le produit en conditionnant son processus de construction et de production.
36.3 Mesures
231
Charge de travail externe La charge de travail externe est généralement précisée dans le dossier de demande d’évaluation. Certains dispositifs comme le TL 9000 indiquent dans la documentation la durée de l’audit sur site en fonction de la taille de l’entité. Dans le cas du SCAMPI pour l’évaluation CMMI, le déroulement des opérations d’évaluation est précisé : la planification, la préparation et la réalisation durent trois mois. En revanche, il n’y a pas d’indications sur la charge de travail.
36.3 MESURES Pour paraphraser Lord Kelvin, on ne sait faire progresser que ce que l’on sait mesurer. La mise en place d’un processus de mesure est donc indispensable pour conduire une démarche d’amélioration. Ainsi : • mesurer les performances actuelles permet de décider des priorités d’améliora-
tion ; • mesurer les performances obtenues permet d’évaluer l’efficacité des nouvelles pratiques ; • mesurer les résultats obtenus permet de convaincre de la pertinence et de l’adéquation de la démarche mise en place. Aucun indicateur n’est généralement imposé par les différents dispositifs : ceuxci se limitent à formuler l’exigence de mise en place d’indicateurs, sans plus. Des exemples pédagogiques sont parfois fournis dans la documentation du dispositif, par exemple dans le guide de la HAS, Préparer et conduire votre démarche d’accréditation. On note toutefois que le référentiel CobiT se distingue en présentant une panoplie complète de tableaux de bord stratégiques (BSC, aussi appelés tableaux de bord équilibrés ou encore tableaux de bord prospectifs). L’évolution du SW-CMM vers le CMMI renforce les exigences de mesures : celles-ci se manifestent par la mise en œuvre d’un domaine de processus (Process area) spécifique aux mesures et à l’analyse de ces mesures dès le premier niveau d’amélioration. Certains organismes recueillent les résultats de mesures à des fins statistiques ou de diffusion de bonnes pratiques. Par exemple, les données résultant des évaluations officielles CMMI sont transmises au SEI qui les analyse et publie des résultats globaux. Le QuEST Forum collecte périodiquement les indicateurs des entreprises certifiées sur la base des données du TL 9000 ; cette base constitue un véritable observatoire, outil d’aide à la décision pour définir les axes d’amélioration prioritaires pour les clients et ses fournisseurs. La HAS recueille les indicateurs créés par les établissements de santé pour les diffuser ultérieurement.
232
Chapitre 36. Analyses
36.4 PROCESSUS Aujourd’hui, le mot processus est l’un des termes les plus utilisés dans les entreprises. On le retrouve dans la quasi-totalité des référentiels. Cet emploi généralisé laisse penser qu’on évoque le même concept dans tous les référentiels, mais est-ce vraiment le cas ?
36.4.1 Vision « Système de management de l’ISO 9000 » L’ISO 9001 utilise la définition fournie par la norme ISO 9000 : « Ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie ». L’approche processus est le maître mot de la version 2000 qui exige l’identification des processus sans toutefois en fournir de nomenclature. Chaque entreprise doit construire sa cartographie des processus en cohérence avec sa stratégie. Les processus clés sont ceux du métier de l’entreprise. Une idée reçue voudrait que les processus aillent du fournisseur vers le client ou dans le meilleur des cas du client vers le fournisseur. En fait, les processus vont bien du client au client comme on peut l’observer dans le schéma explicatif de l’ISO 9000 (Modèle d’un système de management de la qualité basé sur des processus) : ils transforment l’expression du besoin en satisfaction tout autant qu’ils transforment les éléments physiques d’entrée du processus en éléments de sortie.
36.4.2 Vision de la HAS La version expérimentale de novembre 2003 du Manuel d’accréditation des établissements de santé de l’ANAES introduit la notion de processus de la manière suivante : « Ce terme est apparu dans le vocabulaire français au milieu du XVIe siècle (1541). Il vient du latin processus, progrès, action de s’avancer. Ensemble complexe de tâches à réaliser dans un objectif donné. À ne pas confondre avec la procédure qui décrit la manière de réaliser le processus ». En septembre 2004, la définition du terme processus a été modifiée pour s’aligner sur celle de l’ISO 9001:2000. La notion de processus apparaît systématiquement dans le manuel. On y trouve deux grandes catégories de processus : les processus métiers et les processus de support. Cette dernière catégorie fait l’objet du chapitre 2 Ressources transversales du Manuel d’accréditation des établissements de santé.
36.4.3 Vision Ingénierie du logiciel de l’ISO 12207 L’ISO 12207 sur lequel s’appuie l’ISO 15504 définit le processus comme un ensemble d’activités liées qui transforment des éléments entrants en éléments sortants et en fournit une nomenclature assimilable à une liste d’activités. Toutefois, l’amendement de 2002 de l’ISO 12207 décrit les processus en termes de finalités à atteindre et de résultats à produire. L’ISO 12207 est ainsi utilisable comme modèle de référence de processus pour une évaluation à l’aide de la norme ISO 15504.
233
36.4 Processus
36.4.4 Vision du SEI Pour sa part, le SEI ne décrit pas de processus. Historiquement, le SW-CMM ne traitait que d’un seul processus : le processus logiciel. Pour mettre en œuvre ce processus, un ensemble de secteurs clés était défini en fonction du niveau de maturité. Le processus est décrit comme un levier permettant l’amélioration durable d’une entreprise, via des progrès successifs jalonnant le cheminement d’un processus improvisé et immature vers un processus mature et discipliné. Le SEI reprenait alors la définition de l’IEEE-STD-610 : « Un processus est une suite d’étapes réalisées dans un but donné ». Le processus logiciel est ainsi un enchaînement d’activités, de méthodes, de pratiques et de transformations permettant le développement et la maintenance de logiciels et des produits associés (plans de projet, documents de conception, programmes, jeux de tests et manuels utilisateur). Dans le CMMI, le SEI précise que les descriptions fournies ne sont ni des processus, ni des descriptions de processus et que chaque entreprise doit adapter à son contexte les domaines de processus du CMMI pour élaborer ses processus. Ces domaines de processus ne font que décrire des comportements qui devraient être mis en place dans toute entreprise.
36.4.5 Vision du PMI Le PMBOK définit un processus comme étant « une série d’actions qui produit un résultat ». Il distingue deux catégories de processus : • Les processus de management de projet décrivent les activités communes à tout
type de projet. Ils sont regroupés en neuf domaines de connaissances. • Les processus de production traitent des spécifications et de la création du
produit final. Ils sont définis par le cycle de développement du projet et varient selon le domaine d’application.
36.4.6 Vision PRINCE2 PRINCE2 décrit une méthode de management de projet à base de processus. Pour PRINCE2 un processus est « ce qui doit être réalisé pour parvenir à un résultat particulier, en termes d’informations à réunir, de décisions à prendre et de résultats à produire ».
36.4.7 Vision ITIL Dans ITIL, la qualité de service se fonde sur une approche processus. Un processus se définit comme une « série organisée d’actions, d’activités, de changements exécutés par des acteurs avec l’intention de satisfaire et d’atteindre un objectif ».
234
Chapitre 36. Analyses
Il est perçu comme un modèle : • composé d’activités exécutées par des acteurs connaissant leurs rôles et respon-
sabilités ; • disposant de spécifications d’entrée et de sortie ; • contrôlé par un système de mesure effectif connu des acteurs impliqués ; • avec un engagement de résultats ; • supervisé par un propriétaire de processus.
36.4.8 Vision Sécurité Dans le domaine de la sécurité, la grande innovation des ITSEC et des Critères communs (ISO 15408) a été d’exiger la formalisation et la mise en œuvre de bonnes pratiques dans les processus de développement, d’évaluation et de production. Les dispositifs plus anciens ne s’intéressaient qu’au produit résultat qu’il suffisait de contrôler.
36.4.9 Conclusion On s’aperçoit que les utilisations du terme processus varient d’un référentiel à l’autre. Son emploi traduit cependant toujours le besoin de formaliser et de modéliser le fonctionnement d’une entreprise ou d’un système pour mieux le comprendre et pour mieux le maîtriser. Le processus représente l’aspect dynamique de l’entreprise, son pouvoir de transformation des ressources avec valeur ajoutée. La reconnaissance de la performance de l’entreprise est toujours plus ou moins la reconnaissance de l’efficacité de ses processus.
36.5 ACCRÉDITATION DES ORGANISMES DE CERTIFICATION On constate que le terme accréditation employé dans différents contextes présente différentes acceptions. Pourquoi ? Au sens premier, l’accréditation est un mécanisme par lequel un acteur, personne ou organisme, donne sa garantie en faveur d’un tiers. L’accréditation donne la légitimité pour « agir en qualité de ». Ainsi, tout comme un ambassadeur est accrédité pour représenter son pays, un organisme de certification est accrédité pour délivrer un certificat au nom d’un organisme officiel, lequel lui délègue ce pouvoir en garantissant en même temps la valeur du certificat émis. Les organismes d’accréditation nationaux, tout comme les États accréditent leurs ambassadeurs, se font confiance mutuellement en reconnaissant l’équivalence des certificats délivrés par les organismes avec lesquels ils ont conclu des accords de reconnaissance mutuelle.
235
36.5 Accréditation des organismes de certification
En France, le Comité français d’accréditation (COFRAC) a été mis en place par les pouvoirs publics pour cautionner les organismes qu’il accrédite dans la preuve de leur compétence et impartialité. Il a signé des accords de reconnaissance mutuelle avec des organismes européens et internationaux grâce auxquels les certificats obtenus par des organismes qu’il a accrédités sont acceptés partout. Néanmoins, il n’est pas indispensable d’obtenir une accréditation délivrée par un organisme tel que le COFRAC pour réaliser des activités de certification reconnues. La valeur du certificat ne dépend que de la notoriété de l’organisme certificateur. C’est en particulier le cas de ce que nous appellerons des dispositifs propriétaires qui réalisent des évaluations, mais aussi parfois des certifications. Nous citerons par exemple la certification des établissements de santé : la HAS délivre elle-même le certificat à l’établissement de santé en lui accordant ainsi son crédit, synonyme de confiance dans l’exécution de ses activités. L’IAF (International Accreditation Forum) regroupe au sein d’un organisme international les comités d’accréditation des différents pays ou différentes régions du monde, tels le COFRAC pour la France. Il facilite la mise en place d’accords de reconnaissance mutuelle entre ces organismes et veille à la qualité des processus d’accréditation mis en œuvre par ses membres. Le tableau 36.1 présente les organismes d’accréditations qui ne sont pas réglementés. On voit sur ce tableau que le contrôle de l’attestation est effectué par l’organisme propriétaire du dispositif. Ce contrôle s’effectue soit par la maîtrise des évaluateurs, soit par la maîtrise du processus complet, de bout en bout, jusqu’à la délivrance de l’attestation. Tableau 36.1 — La certification non réglementée Dispositif
Organisme d’accréditation
CMMI
SEI
EFQM
EFQM
HAS
HAS
ISO 15504
iSQI/iNTACS
TL 9000
QuEST Forum
La certification de personnes entre systématiquement dans le cadre d’un dispositif propriétaire. Le tableau 36.2 met en évidence la présence de l’organisme d’accréditation dans de nombreux pays, ce qui permet à des certifications décernées en France de bénéficier d’une reconnaissance dans ces pays.
236
Chapitre 36. Analyses
Tableau 36.2 — La certification des personnes
Dispositif
Présence de Organisme Organisme l’organisme certificateur d’accréditation d’accréditation dans pour la France
Centres d’examen en France
AFITEP-CDP
IPMA
45 pays
AFITEP
Oui
AFITEP-CGP
ICEC
41 pays
AFITEP
Oui
CISSP
(ISC)2
104 pays
(ISC)2
Oui
CobiT CGEIT
ISACA
160 pays
AFAI
Oui
CobiT-CISA
ISACA
160 pays
AFAI
Oui
CobiT-CISM
ISACA
160 pays
AFAI
Oui
Oui
ITIL
APMG
33 pays (ceux des membres de l’itSMF)
APMGInternational BCS-ISEB DANSK IT DF Certifiering AB EXIN LCS TÜV SÜD Akademie
MSP
APMG
Plus de 50 pays
APMG au nom de l’OGC
Oui
PCIE
ECDL
140 pays
Euro-Aptitudes
Oui
PMBOK
PMI
68 pays
PMI France
Oui
PRINCE2
APMG
Plus de 50 pays
APMG au nom de l’OGC
Oui
Testeur logiciel
CFTL-ISTBQ
40 pays
CFTL
Oui
36.6 FORMATION DES AUDITEURS ET ÉVALUATEURS Qu’en est-il de la formation de ceux qui attribuent le certificat ? Il existe un ensemble de formations sanctionnées par un certificat spécifique à chaque dispositif. Ces formations permettent de suivre un schéma de certification des auditeurs ou évaluateurs. Elles sont généralement agréées par l’organisme de certification. Leur
36.6 Formation des auditeurs et évaluateurs
237
objet est d’assurer la reproductibilité des résultats de certification ou d’évaluation, quel que soit l’évaluateur. Malgré tout, des différences peuvent exister entre des certifications réalisées par différents organismes certificateurs. En fait, cela varie d’un dispositif à l’autre. Généralement c’est le propriétaire du dispositif qui fixe les règles, à défaut c’est l’organisme de certification. Dans le cas de la HAS, les experts visiteurs sont nommés par la HAS. Dans le cas de l’ISO 9001, il y a par exemple l’Institut de certification des auditeurs (ICA) dépendant d’AFAQ-Afnor, l’IRCA qui attribue la qualification LRQA. Dans le domaine de la certification de personnes, l’examinateur détient un certificat en cours de validité. Ces exigences sont parfois plus strictes comme dans le cas de PRINCE2 où l’on demande à l’examinateur potentiel d’obtenir 105 points à l’examen de niveau Praticien, alors qu’on n’en demande que 85 au formateur et 75 au candidat. Dans les domaines où il n’existe pas d’organisme de reconnaissance, des solutions peuvent être trouvées. Par exemple pour l’évaluation de processus selon l’ISO 15504, c’est l’iNTACS qui prend l’initiative et agrée les auditeurs et les formations.
37 Gouvernance et responsabilité sociale de l’entreprise
Gouvernance d’entreprise, gouvernance informatique, responsabilité sociale de l’entreprise et développement durable font désormais partie du vocabulaire des dirigeants. Sans développer ces concepts qui font l’objet de nombreuses publications, nous essaierons de montrer comment ils s’inscrivent naturellement dans l’évolution des dispositifs de reconnaissance.
37.1 GOUVERNANCE Le concept de gouvernance est apparu récemment dans certaines entreprises françaises en réponse aux inquiétudes de leurs actionnaires alertés par plusieurs scandales boursiers. La démarche de gouvernance est d’abord une démarche de surveillance et de maîtrise des risques. Elle s’appuie sur des référentiels de nature réglementaire généralement issus des organismes de surveillance boursiers. Nous citerons en Angleterre le Combined Code on Corporate Governance (Code combiné sur la gouvernance d’entreprise) et le Rapport Turnbull – Internal control : Guidance for Directors on the Combined Code (Lignes directrices à l’usage des directeurs pour la mise en œuvre du Code combiné) ; ils s’appliquent tous deux aux sociétés cotées à la Bourse de Londres. Ces rapports précisent les responsabilités des membres du conseil d’administration dans la mise en place et l’entretien d’un système de contrôle interne et de gestion des
240
Chapitre 37. Gouvernance et responsabilité sociale de l’entreprise
risques. En France, la Loi de sécurité financière renforce les pouvoirs de contrôle en créant une Autorité des marchés financiers, mais elle s’arrête aux portes de l’entreprise sans définir les principes de gouvernance. Historiquement, la démarche qualité s’intéressait prioritairement à la satisfaction du client. La gouvernance d’entreprise s’intéresse à la protection des intérêts de l’actionnaire et principalement à des sujets comme le salaire des dirigeants ou les irrégularités comptables. Le principe de base de la gouvernance est la transparence associée à l’exigence de rendre des comptes. La non-satisfaction du client fait partie des risques à surveiller car elle entraînerait la perte des clients et donc celle des bénéfices. L’EFQM et les référentiels qui prennent leur source dans les concepts de la qualité totale répondent à la fois aux exigences des clients et à celles de l’actionnaire. Le « manager de l’excellence » réussit à satisfaire tous les acteurs, y compris d’ailleurs les employés, les fournisseurs et l’ensemble de la société civile qu’il respecte au nom de principes éthiques clairement affichés. Une bonne gouvernance est soucieuse du respect de l’environnement et du développement durable, qui intègre des préoccupations écologiques, sociales et économiques.
37.2 ÉMERGENCE DE LA RESPONSABILITÉ SOCIALE DE L’ENTREPRISE Les référentiels qualité présentés dans cet ouvrage prennent en compte les besoins et exigences de différentes parties prenantes qu’il convient de satisfaire. C’était en premier lieu des acteurs individuels en relation directe avec l’entreprise : clients, fournisseurs, actionnaires, employés. Les modèles de qualité totale, dont l’EFQM, ont fait apparaître dans la liste de ces acteurs une partie prenante globale sous le terme de société. La Responsabilité sociale de l’entreprise (RSE) pose les principes de la satisfaction des besoins et attentes de la collectivité. La RSE suppose ainsi un élargissement du champ des acteurs à prendre en compte, mais également un nouveau rapport au temps : la plupart des référentiels intègrent les notions de temps et de durée de façon implicite au travers de boucles d’amélioration continue, d’actions correctives et préventives visant en particulier à limiter l’impact de risques identifiés. L’échelle de temps classique est déjà inscrite dans celle de l’entreprise et de son cycle d’affaires. Le développement durable introduit une échelle de temps différente qui répond aux exigences de préservation de la planète pour les générations futures. D’abord diffusés dans la sphère politique, ces principes du développement durable ont aujourd’hui pénétré la sphère économique ; ils sont de plus en plus souvent intégrés à la stratégie d’entreprise en tant qu’élément différenciateur. Pour gérer son risque de réputation et sous la pression de son environnement (consommateurs, médias, organismes non gouvernementaux, certains syndicats et fonds d’investissement éthiques) l’entreprise est amenée à tenir compte de l’impact de ses activités sur le social, l’humain et le biotope.
37.3 Responsabilité sociale et système d’information
241
Les arguments et critères relevaient, il y a quelques décennies, d’une politique écologiste jugée trop souvent utopiste et marginale : ils sont aujourd’hui repris par les gouvernements et appliqués aux entreprises cotées par les organismes de surveillance boursiers. Au-delà du positionnement à long terme, cette approche vise, par une meilleure maîtrise des risques, à donner confiance à l’opinion publique et aux investisseurs. L’intérêt économique de l’entreprise peut ainsi rejoindre dans un cercle vertueux celui du citoyen. Des informations sociales et environnementales sont désormais exigées en France par le décret n◦ 2002-211 du 20 février 2002, en application de l’article 116 de la Loi sur les Nouvelles réglementations économiques (Loi NRE) qui introduit une obligation de rapports sur l’impact social, environnemental et territorial de l’activité des entreprises. Les sociétés cotées sur un marché réglementé ont désormais l’obligation de rendre compte, dans leur rapport annuel, non plus seulement de leur gestion financière mais aussi de leur gestion sociale et environnementale au travers de leurs activités. Une Stratégie nationale de développement durable (SNDD) a été définie par le gouvernement Français avec un impact sur les marchés publics. Approuvé par la Commission technique des marchés le 9 décembre 2004, le Guide de l’achat public éco-responsable définit par exemple des critères d’achats de produits et services. Vu de l’entreprise, le développement durable n’est que l’un des volets de la RSE qui associe différentes préoccupations : éthique, environnementale, sociale, citoyenne, écologique, financière.
37.3 RESPONSABILITÉ SOCIALE ET SYSTÈME D’INFORMATION Les relations entre responsabilité sociale, développement durable et systèmes d’information sont peu évidentes à première vue. L’industrie du logiciel ne pollue pas directement. D’après un rapport de février 2003, Study on External Environmental Effects Related to the Life Cycle of Products and Services, réalisé pour la Commission européenne, les équipements informatiques ne contribueraient que marginalement à l’effet de serre et à l’acidification de l’air ; le recyclage des vieux ordinateurs pose quelques problèmes dans les pays les plus développés (qui s’en débarrassent dans les pays pauvres !), mais ne met pas réellement la planète en péril. Un rapport sur les TIC et le développement durable, publié le 11 mars 2009 à la demande du gouvernement français souligne que « les TIC ont un apport positif pour la réduction des émissions de gaz à effet de serre, en permettant d’économiser 1 à 4 fois leurs propres émissions sur le reste de l’économie ». La dématérialisation des procédures administratives, le télétravail ou le e-commerce sont autant de nouveaux usages permis par les TIC qui permettent de réduire la consommation globale d’énergie. Les liens sont plutôt à trouver en sens inverse : les systèmes d’information contribuent à la boucle d’amélioration globale en fournissant les informations utiles à la maîtrise des risques et aux prises de décision. La Commission européenne a ainsi décidé en 2008 de développer un système de partage d’information sur l’environnement
242
Chapitre 37. Gouvernance et responsabilité sociale de l’entreprise
(http://ec.europa.eu/environment). Pour une mise en œuvre efficace, les référentiels quels qu’ils soient ont besoin d’un système d’information fiable. Comment prendre des décisions concernant l’utilisation des ressources énergétiques au niveau planétaire en l’absence de systèmes puissants de traitement et d’analyse de données ? À l’échelle de l’entreprise, la pérennité du processus de management de l’information conditionne la pérennité des activités. Nous citerons le fascicule FD X50-185 Outils de management – Management de l’information qui indique qu’un dysfonctionnement de ce processus pourrait avoir de « graves conséquences sur son activité ». L’entreprise se doit : • d’évaluer ses besoins en information ; • d’identifier les sources d’information, internes et externes dont elle a besoin ; • de mettre en place l’accès à ces sources d’information ; • de convertir les informations en connaissances utiles pour l’entreprise ; • d’utiliser ces données, informations et connaissances pour établir ses stratégies
et atteindre ses objectifs. En matière de système d’information, la responsabilité sociale de l’entreprise passe par une attitude responsable concernant la gestion de l’information : • protection des informations qui lui sont confiées et plus spécialement des
données à caractère personnel ; • utilisation responsable des informations favorisant par exemple une diffusion
non intrusive, limitant les messages indésirables ; • information du personnel sur sa stratégie et les besoins de formation ou de
reconversion qui en découlent ; • partage de connaissances à l’intérieur de l’entreprise ou de communautés professionnelles élargies ; • diffusion à la collectivité de toutes les informations utiles à la maîtrise des risques, par exemple les non-conformités des produits ou les risques environnementaux induits par leur activité. La liste précédente n’est probablement pas exhaustive, mais vise à suggérer que des moyens d’actions très directs en matière de RSE sont à mettre entre les mains des entreprises.
37.4 RÉFÉRENTIELS POUR LA RESPONSABILITÉ SOCIALE 37.4.1 Multiplicité des référentiels Les agences de notation ont construit leurs référentiels en s’appuyant à la fois sur les référentiels qualité existants et sur un ensemble de textes législatifs et réglementaires internationaux.
37.4 Référentiels pour la responsabilité sociale
243
Nous citerons, sans prétendre être exhaustif : • l’ISO 14001, norme de référence en matière de système environnemental ; • la Loi sur les Nouvelles réglementations économiques ; • les Principes directeurs de l’OCDE à l’intention des entreprises multinationales ; • les lignes directrices de l’OCDE sur la gouvernance d’entreprise, appelées
Principes de gouvernement d’entreprise de l’OCDE ; • l’ensemble documentaire de la GRI (Global reporting initiative) ; • le standard privé SA 8000 ; • le guide SD 21000 (FD X30-021). Les Principes directeurs de l’OCDE à destination des multinationales ont été révisés en juin 2000. Adressées par les gouvernements aux entreprises multinationales, ces recommandations visent à aider les entreprises, les organisations syndicales et la société civile à promouvoir une attitude responsable. Les gouvernements qui y ont souscrit s’engagent à en promouvoir l’application et à faire en sorte que les principes influent sur le comportement des entreprises exerçant des activités sur leur territoire ou à partir de celui-ci. L’application effective de ces principes se heurte toutefois à beaucoup de difficultés pratiques : les Principes directeurs de l’OCDE à l’attention des entreprises multinationales ne sont pas considérés comme un instrument adéquat pour enrayer les comportements pervers des entreprises. C’est la conclusion d’OECD Watch, un réseau international d’ONG œuvrant pour la responsabilité des entreprises, dans le rapport diffusé en septembre 2005 intitulé Cinq ans après : revue critique sur les Principes directeurs de l’OCDE et les points de contact nationaux. Suite à la crise financière de 2008, le secrétaire général de l’OCDE propose en 2009 une stratégie de renforcement de l’éthique des affaires. Les Lignes directrices de l’OCDE sur la gouvernance d’entreprise de 1999 ont été renforcées en 2004 en réaction aux divers scandales surgis dans le monde des affaires. Elles se focalisent sur les problèmes pouvant naître de la séparation entre la propriété et le contrôle dans les entreprises. Elles ne se limitent pas à la relation entre actionnaires et équipe de direction, mais elles traitent également des droits des actionnaires minoritaires et des employés. La GRI est une initiative internationale à laquelle participent des entreprises, des ONG, des cabinets de consultants, des universités. Créée en 1997, basée à Amsterdam, la GRI édicte des lignes directrices pour aider les entreprises à produire, si elles le souhaitent, des rapports sur les dimensions économiques, sociales et environnementales de leurs activités, produits et services. En matière de responsabilité sociale, le standard privé SA 8000 repose sur plusieurs conventions de l’Organisation internationale du travail. Il a été lancé en octobre 1997 par le SAI (Social Accountability International), un organisme non gouvernemental basé aux États-Unis qui développe des standards et un programme de certification relatifs à la responsabilité sociale. Certains critères concernent l’emploi des enfants, la main-d’œuvre forcée, la santé et la sécurité ainsi que la rémunération.
244
Chapitre 37. Gouvernance et responsabilité sociale de l’entreprise
En France, le guide SD 21000 (FD X30-021) publié par Afnor se veut un guide de bonnes pratiques à l’usage des entreprises.
37.4.2 Bientôt l’ISO 26000 ? Face à cette multiplicité de standards et d’approches et à la demande exprimée en juin 2002 par des associations de consommateurs, l’ISO a enclenché un processus normatif international qui devrait déboucher sur la publication de la norme internationale ISO 26000 sur la RSE. La composition des groupes d’étude prévoit une représentation équilibrée des parties prenantes au sein d’un groupe de travail de l’ISO sur la responsabilité sociale, c’est-à-dire avec des représentants de l’industrie, des gouvernements, du monde du travail, des associations de consommateurs, des organisations non gouvernementales, des secteurs des services, des services de soutien, de la recherche, etc. En outre, la responsabilité de direction des groupes d’étude se doit d’être partagée entre les pays développés et les pays en développement. Initialement annoncée en octobre 2008, la publication a toutefois pris du retard et n’est plus annoncée avant fin 2010. Les groupes de travail réunissent 84 pays dont les préoccupations ont du mal à converger, les pays pauvres craignant que cette norme ne serve de barrière commerciale aux pays riches. Cette norme se présentera comme un recueil de recommandations et de bonnes pratiques issues des différentes conventions adoptées à ce jour par les Nations Unies et l’Organisation internationale du travail en matière de responsabilité sociale. L’ISO a réaffirmé qu’elle ne pourra pas servir à une certification, afin de rassurer les pays pauvres sur l’utilisation protectionniste qui pourrait en être faite. Le débat est loin d’être clos. Gageons que les entreprises souhaiteront faire reconnaître leur engagement de façon plus officielle vis-à-vis des consommateurs et obtiendront la mise en place d’un référentiel de certification permettant de vérifier l’application des bonnes pratiques de la norme ISO 26000. Après s’être appliqué à la qualité, la sécurité ou la gestion de services, le couplage norme d’exigences – norme de recommandations serait ainsi étendu à la RSE. Les cabinets d’audit tels que PricewaterhouseCoopers, Deloitte et Touche, Ernst & Young, KPMG pourraient être prêts à assurer ce rôle de certificateur. Dans leur rôle de commissaires aux comptes, ils vérifient classiquement des données financières. Dans le cadre de la norme ISAE 3000 (précédemment ISAE 100) de l’IAASB (International Auditing and Assurance Standard Board), ils sont désormais amenés à vérifier également des données non financières portant sur les démarches engagées par l’entreprise en matière de responsabilité sociale. On peut également penser que de nouveaux référentiels toujours plus exigeants apparaîtront et entraîneront les entreprises dans ce mouvement porteur de confiance en l’avenir.
Acronymes et organismes
(ISC)2
International Information Systems Security Certification Consortium
ADELI
Association pour la maîtrise des systèmes d’information
Ae-SCM
Association française pour la promotion des bonnes pratiques de sourcing
AFAI
Association française de l’audit et du conseil informatiques
AFITEP
Association francophone de management de projet
AFNOR
L’organisme de normalisationfrançais
AICPA
American Institute of Certified Public Accountants
AIPM
Australian Institute of Project Management
AMF
Autorité des marchés financiers
ANAES
Agence nationale d’accréditation et d’évaluation en santé
ANSI
American National Standards Institute
APMG
Association For Project Management Group
ARC
Appraisal Requirements for CMMI
ATO
Accredited Training Organisation
B2I
Brevet informatique et internet
BS
British Standard
BSC
Balanced ScoreCards
BSI
L’organisme de normalisation britannique
C2I
Certificat informatique et internet
CAPM
Certified Associate in Project Management
246
Guide des certifications SI
(suite) CBK
Common Body of Knowledge for Information Security
CCRA
Common Criteria Recognition Agreement
CDP
Certification en direction de projet de l’AFITEP (AFITEP-CDP)
CEI
Comité électronique international
CEN
Comité européen de normalisation
CEPIS
Council of European Professional Informatics Societies
CESTI
Centre d’évaluation de la sécurité des technologies de l’information
CFTL
Comité français des tests logiciels
CGEIT
Certified in the Governance of Enterprise IT
CGP
Certification en gestion de projet de l’AFITEP (AFITEP-CGP)
CIGREF
Club informatique des grandes entreprises françaises
CIL
Correspondant informatique et libertés
CISA
Certified Information System Auditor
CISM
Certified Information Security Manager
CISSP
Certified Information Systems Security Professional
CMM
Capability Maturity Model
CMMI
Capability Maturity Model Integration
CMMI-ACQ
CMMI for acquisition
CMMI-DEV
CMMI for development
CMMI-SVC
CMMI for services
CMS
Configuration Management System
CobiT
Control objectives for information and related Technology
COFRAC
Comité français d’accréditation
COSO
Committee Of Sponsoring Organizations
CPE
Continuing Professional Education
CRBF
Comité de la réglementation bancaire et financière
CSEP
Certification Systems Engineering Program
CSI
Continual Service Improvement
DCSSI
Direction centrale de la sécurité des systèmes d’information
DGA
Délégation générale pour l’armement
DGI
Direction générale des impôts
DMAAC
Définir, mesurer, analyser, améliorer et contrôler
247
Acronymes et organismes
(suite) DMAIC
Define, Measure, Analyse, Improve, Control
DSI
Direction (ou directeur) des systèmes d’information
DSSI
Direction de la sécurité des systèmes d’information
EAL
Evaluation Assurance Level
EBIOS
Expression des besoins et identification des objectifs de sécurité
ECDL
European Computer Driving Licence
ECDL-F
Fondation ECDL
EFQM
European Foundation for Quality Management
EN
European Norm
eSCM
eSourcing Capability Model
eSCM-SP
eSourcing Capability Model for Service Providers
eSCP-CL
eSourcing Capability Model for Client Organizations
EXIN
Examination Institute for Information science
FAA-iCMM
Federal Aviation Administration Integrated Capability Maturity Model
FD
Fascicule de documentation
GRI
Global Reporting Initiative
HAS
Haute autorité de santé
IAASB
International Auditing and Assurance Standard Board
IAS
International Accounting Standards
ICDL
International Computer Driving Licence
ICEC
International Cost Engineering Council
ICMB
ITIL Certification Management Board
IFRS
International Financial Reporting Standards
IGSI
Institut de la gouvernance des systèmes d’information
INTACS
International Accreditation Certification Scheme
INCOSE
International Council on Systems Engineering
IPMA
International Project Management Association
IRCA
International Register of Certificated Auditors
ISACA
Information Systems Audit and Control Association
ISEB
Information Systems Examinations Board
ISMS
Information Security Management Systems
ISO
Organisation internationale de normalisation
248
Guide des certifications SI
(suite) iSQI
International Software Quality Institute
ISSEA
International Systems Security Engineering Association
ISTQB
International Software Testing Qualifications Board
IT
Information Technology
ITGI
Information Technology Governance Institute
ITIL
Information Technology Infrastructure Library
ITSEC
Information Technology Security Evaluation Criteria
ITSEM
Information Technology Security Evaluation Manual
ITSM
Information Technology Service Management
itSMF
IT Service Management Forum
ITsqc
IT Services Qualification Center
LRQA
Lloyd’s Register Quality Assurance
LSF
Loi de sécurité financière
MALC
Managing Across the Life Cycle
MAP
Ministère de l’agriculture et de la pêche
MOF
Microsoft Operation Framework
M_o_R
Management of Risk
MSP
Managing Successful Programmes
NF
Norme française
OCDE
Organisation de coopération et de développement économiques
OGC
Office of Government Commerce
OHSAS
Occupational Health and Safety Assessment System
P2MM
PRINCE2 Maturity Model
P3M3
Portfolio Programme and Project Management Maturity Modell
PCAOB
Public Company Accounting Oversight Board
PCIE
Passeport de compétences informatique européen
PDCA
Plan-Do-Check-Act
PDU
Professional Development Unit
PGMP
Program Management Professional
PMBOK
Project Management Book of Knowledge
PMI
Project Management Institute
PMI-RMP
PMI Risk Management Professional
249
Acronymes et organismes
(suite) PMI-SP
PMI Scheduling Professional
PMP
Project Management Professional
PRINCE
Projects IN Controlled Environments
PUG
PRINCE User Group
QCM
Questions à choix multiples
QuEST Forum
Quality Excellence for Suppliers of Telecommunications Forum
QSE
Qualité – sécurité – environnement
R&D
Recherche et développement
ROI
Return On Investment (retour sur investissement)
SAI
Social Accountability International
SACM
Service Asset and Configuration Management
SAS 70
Statement on Auditing Standards n◦ 70
SCAMPI
Standard CMMI Appraisal Method for Process Improvement
SEC
Securities and Exchanges Commission
SEI
Software Engineering Institute de l’Université Carnegie Mellon aux États-Unis
SI
Système d’information
SOF
Strength Of Function
SPICE
Software Process Improvement Capability dEtermination
SPIN
Software Process Improvement Network
SSAM
SSE-CMM Appraisal Method
SSE-CMM
Systems Security Engineering Capability Maturity Model
SW-CMM
Capability Maturity Model for Software
SWEDAC
Swedish Board for Accreditation and Conformity Assessment
TI
Technologies de l’information
TOE
Target Of Evaluation
UKAS
United Kingdom Accreditation Service
WAI
Web Accessibility Initiative
Références bibliographiques
Lorsqu’après la référence, un site Internet est indiqué, cela signifie que le document est téléchargeable gratuitement. ARC, V1.2, août 2006 : http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tr011.pdf An Introductory Overview of ITIL V3 Pocketbook - itSMF http://www.best-managementpractice.com/gempdf/itSMF_An_Introductory_Overview_of_ITIL_V3.pdf Bâle II, Convergence internationale de la mesure et des normes de fonds propres – Dispositif révisé Bâle II, Banque des règlements internationaux (Bank for International Settlements, BIS), version française de juin 2004 http://www.bis.org/publ/bcbs107fre.pdf et anglaise plus récente de novembre 2005 http://www.bis.org/publ/bcbs118.htm Building an ITIL Based Service Management Department - Malcom Fry Cadre d’auto-évaluation des fonctions publiques http://www.chartemarianne.gouv.fr/IMG/pdf/CAF_2003.pdf CBA-IPI – CMM-Based Appraisal for Internal Process Improvement, Version 1.2 Method, CMU/SEI-2001-TR-033 http://www.sei.cmu.edu/publications/documents/01.reports/01tr033.html CEM – Common Methodology for Information Technology Security Evaluation V 3.1 sept. 2007 http://www.ssi.gouv.fr/site_documents/CC/CEMV3.1r2.pdf Cinq ans après : revue critique sur les principes directeurs de l’OCDE et les points de contact nationaux http://www.oecdwatch.org/FR/docs/OECD_Watch_5_years_on.pdf CISSP For Dummies, Lawrence C. Miller, Peter H. Gregory, Wiley 2002.
252
Guide des certifications SI
CMMI for Acquisition, version 1.2, novembre 2007, CMU/SEI-2007-TR-017 http://www.sei.cmu.edu/publications/documents/07.reports/07tr017.html CMMI for Acquisition (CMMI-ACQ) Primer, version 1.2, mai 2008, CMU/SEI-2008TR-010 http://www.sei.cmu.edu/publications/documents/08.reports/08tr010.html CMMI for Development, version 1.2, août 2006, CMU/SEI-2006-TR-008 http://www.sei.cmu.edu/publications/documents/06.reports/06tr008.html CMMI for Services, version 1.2, février 2009, http://www.sei.cmu.edu/publications/documents/09.reports/09tr001.html CMMI 2e édition - Guide des bonnes pratiques pour l’amélioration des processus - Pearson Education France - ISBN 978-2-7440-7304-5. CMMI 1.2 L’aide-mémoire : Les domaines de processus du CMMI-DEV, Richard Basque, octobre 2008. CMMI, toutes les constellations : http://www.sei.cmu.edu/cmmi/models/ CobiT, AFAI. CobiT QuickStart, AFAI Code monétaire et financier, textes législatifs http://www.legifrance.gouv.fr/ Combined Code on Corporate Governance http://www.fsa.gov.uk/pubs/ukla/lr_comcode2003.pdf Critères communs pour l’évaluation de la sécurité des technologies de l’information http://www.ssi.gouv.fr/fr/confiance/methodologie.html Décret n◦ 97-298 du 27 mars 1997 relatif au code de la consommation (partie réglementaire) http://www.legifrance.gouv.fr/ Décret n◦ 97-311 du 7 avril 1997 relatif à l’organisation et au fonctionnement de l’Agence nationale d’accréditation et d’évaluation en santé (ANAES) instituée à l’article L. 791-1 du code de la santé publique et modifiant ce code (deuxième partie : décrets en Conseil d’État) http://www.legifrance.gouv.fr/ Décret n◦ 2002-221 du 20 février 2002 pris pour l’application de l’article L. 225-102-1 du code de commerce et modifiant le décret n◦ 67-236 du 23 mars 1967 sur les sociétés commerciales http://www.legifrance.gouv.fr/ Décret n◦ 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information http://www.legifrance.gouv.fr/ Delivering IT Services using ITIL, PRINCE2 and DSDM Atern – OGC.
Références bibliographiques
253
DO-178B, Software Considerations in Airborne Systems and Equipment Certification, RTCA. EBIOS, Méthode d’expression des besoins et d’identification des objectifs de sécurité http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html Economic Consequences of the Sarbanes-Oxley Act of 2002, Ivy Xiying Zhang, février 2005 http://w4.stern.nyu.edu/accounting/docs/speaker_papers/spring2005/Zhang_Ivy_ Economic_Consequences_of_S_O.pdf EFQM http://www.AFNOR.org/efqm/information/librairie_efqm.html EFQM http://www.efqm.com/Portals/0/EFQM_Catalogue_Price_List.pdf EIA/IS 731-1, Systems Engineering Capability Model, Interim Standard, Electronic Industries Alliance, 1er août 2002. Emerging Trends in Internal Controls, Forth Survey and Industry Insights, Ernst & Young, septembre 2005 http://www.sarbanes-oxley.be/aabs_emerging_trends_survey4.pdf eSCM-CL – The eSourcing Capability Model for Client Organizations, Model Overview février 2006 http://itsqc.cs.cmu.edu eSCM-CL – The sourcing Capability Model for clients organizations The eSCM-CL V1.1: Model Overview, ITsqc et Carnegie Mellon University, Juillet 2006 http://itsqc.cs.cmu.edu. The eSCM-CL V1.1 : Practice Details, ITsqc et Carnegie Mellon University, juillet 2006 http://itsqc.cs.cmu.edu eSCM-CL – Le modèle d’aptitude à l’eSourcing pour les clients - Le guide, Ae-SCM, juin 2008 http://www.ae-scm.com eSCM-SP – The sourcing Capability Model for service Providers The eSCM-SP V2: Model Overview, ITsqc et Carnegie Mellon University, avril 2004 http://itsqc.cs.cmu.edu. The eSCM-SP V2 : Practice Details, ITsqc et Carnegie Mellon University, avril 2004 http://itsqc.cs.cmu.edu eSCM-SP – Le modèle d’aptitude à l’eSourcing pour les prestataires - Le guide, AeSCM, octobre 2008 http://www.ae-scm.com FD X50-105 Le management de projet – Concepts, août 1991.
254
Guide des certifications SI
FD X50-107 Management de projet – Certification du personnel en maîtrise de projet, décembre 1991. FD X50-108 Management de projet – Terminologie dans les contrats d’ingénierie industrielle – Formes de liens contractuels, de rémunération – Évaluation des résultats et sanction – Vocabulaire, décembre 1991. FD X 50-127 Outils de management – Maîtrise du processus de conception et développement, avril 2002. FD X 50-128 Outils de management – Lignes directrices pour le processus achat et approvisionnement, mai 2003. FD X 50-171 Système de management de la qualité – Indicateurs et tableaux de bord, juin 2000. FD X 50-172 Management de la qualité – Enquête de satisfaction des client, mars 1999. FD X 50-174 Management de la qualité – Mesure de l’efficacité d’un système qualité, septembre 1998. FD X 50-176 Outils de management de la qualité – Management des processus, octobre 2005. FD X 50-179 Management de la qualité – Guide pour l’identification des exigences du client, décembre 2000. FD X 50-183 Outils de management – Ressources humaines dans un système de management de la qualité – Management des compétences, juillet 2002. FD X50-185 Outils de management – Management de l’information, mars 2004. FD X50-186 Système de management – Lignes directrices pour la mise en place d’un processus d’auto-évaluation, juillet 2005. FD X 50-190 Management de la qualité – Capitalisation d’expérience, septembre 2000. FD X 50-193 Outils de management – Relations mutuellement bénéfiques : facteur de croissance durable – Lignes directrices pour une approche des relations mutuellement bénéfiques entre organismes, avril 2006. FD X 50-195 Systèmes de management – Lignes directrices pour le management d’un organisme, novembre 2005. Guide d’aide à la cotation – Deuxième procédure de certification des établissements de santé (V2), novembre 2005, http://www.hassante.fr/portail/upload/docs/application/pdf/aide_cotation_v2.pdf Guide de l’achat public éco-responsable http://www.ecologie.gouv.fr/IMG/pdf/guide_achats_publics_eco_responsables.pdf Guide de poche PRINCE2, OGC. Guide de poche sur la Gestion des services des TI, itSMF.
Références bibliographiques
255
IEEE-STD-610, IEEE Computer Dictionary – Compilation of IEEE Standard Computer Glossaries, 610-1990. INCOSE SE Handbook, INCOSE. IPD-CMM – Integrated Product Development CMM http://www.sei.cmu.edu/cmm/ipd-cmm.html IPMA Competence baseline http://www.afitep.fr/Catalogue/docs/icb.pdf ISAE 3000 International Standard on Assurance Engagements – Assurance Engagements Other Than Audits or Reviews of Historical Financial Information, IAASB de l’IFAC. ISO 9000 Systèmes de management de la qualité – Principes essentiels et vocabulaire, NF EN ISO 9000, octobre 2005. ISO 9001 Systèmes de management de la qualité – Exigences, NF EN ISO 9001, décembre 2000. ISO 9004 Systèmes de management de la qualité – Lignes directrices pour l’amélioration des performances, NF EN ISO 9004, décembre 2000. ISO 9126-1 Génie du logiciel – Qualité des produits – Partie 1 : modèle de qualité, ISO/CEI 9126-1, juin 2001. ISO 10001 Management de la qualité – Satisfaction du client – Lignes directrices relatives aux codes de conduite des organismes, novembre 2007. ISO 10002 Management de la qualité – Satisfaction des clients – Lignes directrices pour le traitement des réclamations dans les organismes, juillet 2004. ISO 10003 Management de la qualité – Satisfaction du client – Lignes directrices relatives à la résolution externe de conflits aux organismes, novembre 2007). ISO 10004 Lignes directrices sur la surveillance et la mesure de la satisfaction client (en projet). ISO 10005 Systèmes de management de la qualité – Lignes directrices pour les plans qualité, juin 2005. ISO 10006 Systèmes de management de la qualité – Lignes directrices pour le management de la qualité dans les projets, FD ISO 10006, décembre 2003. ISO 10007 Systèmes de management de la qualité – Lignes directrices pour la gestion de la configuration, juin 2003. ISO 10012 Systèmes de management de la mesure – Exigences pour les processus et les équipements de mesure, avril 2003. ISO 10013 Lignes directrices pour la documentation des systèmes de management de la qualité, juillet 2001. ISO 10014 Management de la qualité – Lignes directrices pour réaliser les avantages financiers et économiques, juin 2006.
256
Guide des certifications SI
ISO 10015 Management de la qualité – Lignes directrices pour la formation, décembre 1999. ISO 10017 Lignes directrices pour les techniques statistiques relatives à l’ISO 9001:2000, mai 2003. ISO 10018 Management de la qualite – Lignes directrices pour la participation et les compétences de personnes (en projet). ISO 10019 Lignes directrices pour la sélection de consultants en systèmes de management de la qualité et pour l’utilisation de leurs services, janvier 2005. ISO 10020 Satisfaction du client – Mesure et surveillance de la satisfaction client, ISO TR 10020 (en développement). ISO 12207 Traitement de l’information – Ingénierie du logiciel – Processus du cycle de vie du logiciel, NF ISO/CEI 12207, novembre 1995 et aussi l’amendement n◦ 1 de mai 2002 et l’amendement n◦ 2 de novembre 2004. ISO TR 12888-1 : Illustrations choisies d’études de répétabilité et de reproductibilité par calibre, 2007 ISO 13053 Six Sigma méthodologie, en cours de rédaction, prévue pour fin 2011. ISO 13335 Technologies de l’information – Techniques de sécurité – Gestion de la sécurité des technologies de l’information et des communications ; ISO/CEI 13335. ISO 14001 Systèmes de management environnemental – Exigences et lignes directrices pour son utilisation, NF EN ISO 14001, décembre 2004. ISO 15408 Technologies de l’information – Techniques de sécurité – Critères d’évaluation pour la sécurité TI, ISO/CEI 15408 : ISO 15408-1 Partie 1 : Introduction et modèle général, ISO/CEI 15408-1, septembre 2005. ISO 15408-2 Partie 2 : Exigences fonctionnelles de sécurité, ISO/CEI 15408-2, août 2008. ISO 15408-3 Partie 3 : Exigences d’assurance de sécurité, ISO/CEI 15408-3, août 2008. ISO 15504 Technologies de l’information – Évaluation des procédés, NF ISO/CEI 15504 : ISO 15504-1 Partie 1 : Concepts et vocabulaire, NF ISO/CEI 15504-1, novembre 2004. ISO 15504-2 Partie 2 : Exécution d’une évaluation, NF ISO/CEI 15504-2, octobre 2003 et rectificatif technique n◦ 1 en février 2004. ISO 15504-3 Partie 3 : Réalisation d’une évaluation, NF ISO/CEI 15504-3, janvier 2004. ISO 15504-4 Partie 4 : Conseils sur l’utilisation pour l’amélioration de processus et la détermination de capacité de processus, NF ISO/CEI 15504-4, juillet 2004.
Références bibliographiques
257
ISO 15504-5 Partie 5 : Un exemple de modèle d’évaluation de processus, NF ISO/CEI 15504-5, mars 2006. ISO 15504-6 Partie 6 : Un exemple de modèle d’évaluation de processus du cycle de vie système, NF ISO/CEI 15504-6, septembre 2008. ISO 15504-7 Partie 7 : Évaluation de la maturité organisationnelle, NF ISO/CEI TR 15504-7), novembre 2008. ISO 15504-8 Partie 8 : Un exemple de modèle d’évaluation pour la gestion des service IT, NF ISO/CEI 15504-8 et qui reprend les processus du référentiel ITIL déclinées dans la série ISO 20000, en cours de développement. ISO 15504-9 Partie 9 : (Définition de) Objectif de profils de processus, NF ISO/CEI 15504-9, en cours de développement. ISO 17024 Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes, NF EN ISO/CEI 17024, août 2003. ISO 18045 Information technology – Security techniques – Methodology for IT security evaluation, ISO/CEI 18045, août 2008. ISO 19011 Lignes directrices pour l’audit des systèmes de management de la qualité et/ou de management environnemental, NF EN ISO 19011, décembre 2002. ISO 19759 Ingénierie du logiciel – Guide au corpus des connaissances en génie logiciel (SWEBOK), ISO/CEI TR 19759, septembre 2005. ISO 20000 Technologies de l’information – Gestion de services, ISO/CEI 20000 ISO 20000-1 Partie 1 : Spécifications, ISO/CEI 20000-1, décembre 2005 ISO 20000-2 Partie 2 : Code de bonne pratique, ISO/CEI 20000-2, décembre 2005. ISO 21827 Technologies de l’information – Ingénierie de sécurité système – Modèle de maturité de capacité (SSE-CMM), ISO/CEI 21827, octobre 2008. ISO 25000 Ingénierie du logiciel – Exigences de qualité du produit logiciel et évaluation (SQuaRE) – Guide de SQuaRE, NF ISO/CEI 25000, juillet 2005 NF ISO/CEI 25010 Ingénierie du logiciel – Exigences de qualité et évaluation du logiciel (SQuaRE) – Modèle de qualité, en cours de développement. ISO 25051 Exigences de qualité pour le logiciel et évaluation (SQuaRE) – Exigences de qualité pour les progiciels et instructions d’essais, ISO/CEI 25051, mars 2006 ISO/IEC 25051:2006/Cor 1:2007, juillet 2007. ISO 26000 Responsabilité sociale de l’entreprise (en développement). IS0 27000 Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations --Vue d’ensemble et vocabulaire (en projet). ISO 27001 Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences, ISO/CEI 27001, octobre 2005.
258
Guide des certifications SI
ISO 27002 Technologies de l’information --Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information, juin 2005. ISO 27003 Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Guidage d’implémentation de système de gestion de sécurité de l’information (en projet). ISO 27004 Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Mesurage (en projet). ISO 27005 Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Gestion du risque en sécurité de l’information, juin 2008. ISO 27006 Technologies de l’information – Techniques de sécurité – Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information, février 2007. ISO 27007 Guide pour l’audit d’un SMSI, (en projet, titre non définitif). ISO/TR 29901 Selected illustrations of full factorial experiments with four factors, 2007. ISO 90003 Ingénierie du logiciel et du système – Lignes directrices pour l’application de l’ISO 9001:2000 aux logiciels informatiques, ISO/CEI 90003, février 2004. IT Control Objectives for Sarbanes-Oxley http://www.itgi.org/ ITIL – Application Management – OGC. ITIL – CSI-Continual Service Improvement – OGC ITIL – Fourniture de services (Meilleures pratiques pour), itSMF France, publication prévue en 2006. ITIL – ICT Infrastructure Management – OGC. ITIL – Planning to Implement Service Management – OGC. ITIL – SD-Service Design – OGC. ITIL – Security Management – OGC. ITIL – Service Delivery – OGC. ITIL – Service Management Practices V3 Qualifications Scheme http://www.itil-officialsite.com/Qualifications/ITILV3QualificationScheme.asp ITIL – Service Support – OGC. ITIL – SO-Service Operation – OGC. ITIL – Software Asset Management – OGC. ITIL – Soutien des services (Meilleures pratiques pour), itSMF France. ITIL – SS-Service Strategy – OGC
Références bibliographiques
259
ITIL – ST-Service Transition – OGC. ITIL – The Business Perspective – OGC. ITIL V3 Foundation Handbook – Pocketbook from the Official Publisher of ITIL – itSMF. ITIL V3 Small-Scale Implementation Book – OGC. ITSEC Joint Interpretation Library http://www.ssi.gouv.fr/fr/confiance/methodologie.html ITSEC – Critères d’évaluation de la sécurité des systèmes informatiques – version 1.2 juin 1991 http://www.ssi.gouv.fr/fr/confiance/methodologie.html ITSEM – Information Technology Security Evaluation Manual http://www.ssi.gouv.fr/fr/confiance/methodologie.html Key Element Guide Continual Service Improvement – OGC. Key Element Guide Service Design – OGC. Key Element Guide Service Operation – OGC. Key Element Guide Service Strategy – OGC. Key Element Guide Service Transition – OGC. Le coût de l’ignorance dans la société de l’information http://www.pcie.tm.fr/entr_faits_ernst_c.htm Loi de sécurité financière (LSF) n◦ 2003-706 du 1er août 2003 http://www.legifrance.gouv.fr/ Loi de sécurité financière ; un an après : rapport n◦ 431 du 27 juillet 2004, rapporteur Philippe Marini. Loi du 13 août 2004 relative à l’assurance maladie http://www.legifrance.gouv.fr/ Loi informatique et libertés du 6 janvier 1998, révisée en août 2004 http://www.legifrance.gouv.fr/ Loi n◦ 94-442 du 3 juin 1994, modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits http://www.legifrance.gouv.fr/ Loi pour la confiance dans l’économie numérique (LCEN) n◦ 2004-575 du 21 juin 2004 http://www.legifrance.gouv.fr/ Loi Sarbanes-Oxley, voir Public Company Accounting Reform and Investor Protection Act of 2002.
260
Guide des certifications SI
Loi sur les Nouvelles réglementations économiques (NRE) n◦ 2001-420 du 15 mai 2001 http://www.legifrance.gouv.fr/ Malcolm Baldrige National Quality Award http://www.quality.nist.gov/NIST_Materials.htm Management de Projet – Un référentiel de connaissances (traduction de la version de 1996 du PMI), AFNOR 1998. Managing Successful Projects with PRINCE2, OGC 2002 http://www.ogc.gov.uk/prince2/publications/pubspages.html Manuel de certification des établissements de santé et guide de cotation, édition 2007, http://www.hassante.fr/portail/upload/docs/application/pdf/20070601_manuelv2007.pdf Measuring the Software Process, William A. Florac, Anita D. Carleton, Addison-Wesley, 1999 NF 13816, Transport – Logistique et services – Transport public de voyageurs – Définition de la qualité de service, objectifs et mesures, NF EN 13816, septembre 2002. ODOScope – Trouver son chemin au pays des certifications, Jacqueline Sidi, Martine Otter, Laurent Hanaud, ADELI, 2004 (épuisé). Official (ISC)2 Guide to the CISSP Exam, (ISC)2 . OHSAS 18001, BSI. Ordonnance n◦ 96-346 du 24 avril 1996 portant sur la réforme hospitalière http://www.legifrance.gouv.fr/ Organizational Project Management Maturity Model (OPM3) - PMI Passing Your ITIL Foundation Exam – The ITIL Foundation Study Aid – OGC. Passing Your ITIL Intermediate Capability Stream Exam – OGC. Passing Your ITIL Intermediate Lifecycle Stream Exam – OGC. P-CMM – People Capability Maturity Model, version 2.0, CMU/SEI-2001-MM-001 http://www.sei.cmu.edu/pub/documents/01.reports/pdf/01mm001.pdf PMBOK – A guide to the Project Management Body of Knowledge, PMI, 4th Edition Practice Standard for Earned Value Management – PMI. Practice Standard for Project Configuration Management – PMI. Practice Standard for Work Breakdown Structures – PMI. Practice Standard for Scheduling – PMI.
Références bibliographiques
261
Préparer et conduire votre démarche de certification version 2007 – mise à jour septembre 2008, http://www.hassante.fr/portail/upload/docs/application/pdf/20070723_guide_pc_v2007.pdf Préparer et conduire votre démarche d’accréditation – deuxième procédure, HAS, mars 2005 http://anaes.fr/ Principes de gouvernement d’entreprise de l’OCDE http://www.oecd.org/dataoecd/32/19/31652074.PDF Principes directeurs de l’OCDE à l’intention des entreprises multinationales, juin 2000 http://www.oecd.org/ Project Manager Competency Development Framework – PMI. Public Company Accounting Reform and Investor Protection Act of 2002 http://www.sec.gov/about/laws/soa2002.pdf Quality System Generic Requirements for Hardware, Software, and Infrastructure, Telcordia/Bellcore. Rapport d’activité 2004 du collège de l’accréditation de la HAS http://anaes.fr/ Rapport sur la crise financière – Mission confiée par le Président de la République dans le contexte de la Présidence française de l’Union européenne 2008 – René Ricol http://lesrapports.ladocumentationfrancaise.fr/BRP/084000587/0000.pdf Rapport Turnbull – Internal control : Guidance for Directors on the Combined Code http://www.frc.org.uk/corporate/internalcontrol.cfm Recommandations de bonne pratique : attribution du label HAS : http://www.hassante.fr/portail/upload/docs/application/pdf/reco_attribution_label_has.pdf Recommendations for Security Administration, Gartner G00137698, février 2006. Référentiel de compétences en management de projet, AFITEP http://www.afitep.fr/certification/cdp/Default.htm Référentiel de sécurité du chèque, Banque de France – Eurosystème, 20 juillet 2005. Règlement n◦ 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement modifié en janvier 2004 puis mars 2005 (CRBF 97-02), Comité de la réglementation bancaire et financière http://www.banque-france.fr/fr/supervi/regle_bafi/textvig/reglcrbf_1.htm SA 8000, Social Accountability 8000, octobre 2005 (version française de 2001), SAI. SA-CMM – Software Acquisition Capability Maturity Model, Version 1.03, CMU/SEI2002-TR-010 http://www.sei.cmu.edu/arm/SA-CMM.html
262
Guide des certifications SI
SAS No. 70 Auditing Guidance, AICPA. SCAMPI, A V1.2, août 2006 : http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06hb002.pdf SD 21000 (FD X30-021) Développement durable – Responsabilité sociétale des entreprises – Guide pour la prise en compte des enjeux du développement durable dans la stratégie et le management de l’entreprise, mai 2003. SE-CMM – System Engineering Capability Maturity Model, version 1.1, CMU/SEI-95MM-003 http://www.sei.cmu.edu/pub/documents/95.reports/pdf/mm003.95.pdf Security as Engineering Discipline : the SSE-CMM’s Objectives, Principes and Rate of Adoption, Gartner G00138066, février 2006. Service Organizations, Applying SAS No. 70, As Amended, AICPA. SSAM – SSE-CMM Appraisal Method http://www.sse-cmm.org/docs/SSAM.pdf SSE-CMM – Systems Security Engineering Capability Maturity Model, Model Description Document, Version 3.0, 15 juin 2003 http://www.sse-cmm.org/model/model.asp Study on External Environmental Effects Related to the Life Cycle of Products and Services //europa.eu.int/comm/environment/ipp/pdf/ext_effects_finalreport.pdf SWEBOK – Guide to the Software Engineering Body of Knowledge http://www.swebok.org/ TDBSSI, Guide d’élaboration de tableaux de bord de sécurité des systèmes d’information http://www.ssi.gouv.fr/fr/confiance/tdbssi.html Testeur certifié, Syllabus niveau Fondation http://www.cftl.net/cms/files/Dokumente/frSyllabusFoundation_v2005.pdf Testeur certifié, Syllabus niveau Avancé http://www.gasq.org/boards/cftl/cms/files/Dokumente/Advanced Syllabus v 2007 FR_31DEC08_Released.PDF The Introduction to ITIL Service Lifecycle – OGC. The Standard for Program Management – PMI. The Standard for Portfolio Management – PMI. TL 9000 – Quality Management System Measurements Handbook, QuEST Forum. TL 9000 – Quality Management System Requirements Handbook, QuEST Forum. UML – Unified Modeling Language http://www-306.ibm.com/software/rational/uml/
Sites internet
(ISC)2
http://www.isc2.org
ADELI
http://www.adeli.org
Ae-SCM
http://www.ae-scm.com
AFAI
http://www.afai.asso.fr
AFAQ
http://www.afaq.org
AFITEP
http://www.afitep.fr
AFNOR
http://www.afnor.fr
AICPA
https://www.cpa2biz.com
APMG
http://www.apmgroup.co.uk
Auditware
http://www.auditware.fr
B2I
http://www.educnet.education.fr/formation/certifications/b2i
BNAE
http://www.bnae.asso.fr
BSI
http://www.bsi-global.com
C2I
http://www2.c2i.education.fr/
CCRA
http://www.commoncriteriaportal.org/theccra.html
CEN
http://www.cen.eu/cenorm/homepage.htm
CEPIS
http://www.cepis.org
CESTI
http://www.ssi.gouv.fr/fr/confiance/cesti.html
CFTL
http://www.cftl.net
CISA
http://www.isaca.org/cisa/
CISM
http://www.isaca.org/cism/
264
Guide des certifications SI
(suite) CISSP
http://www.cissps.com
CNIL
http://www.cnil.fr
COFRAC
http://www.cofrac.fr
COSO
http://www.coso.org
DCSSI
http://www.ssi.gouv.fr/fr/dcssi/
EA
http://www.european-accreditation.org
ECDL-F
http://www.ecdl.org
EFQM
http://www.efqm.org
Euro-Aptitudes
http://www.pcie.tm.fr
EXIN
http://www.exin.fr
FAR-MFQ
http://www.mfq.asso.fr
GRI
http://www.globalreporting.org
HAS
http://www.has-sante.fr
ICEC
http://www.icoste.org
ICMB
http://www.itil.co.uk/icmb.htm
IEEE
http://www.computer.org
IAASB
http://www.ifac.org/IAASB/
INTACS
http://www.intacs.info
INCOSE
http://www.incose.org
INFOCERT
http://www.infocert.org
IPMA
http://www.ipma.ch
IRCA
http://www.irca.org
ISACA
http://www.isaca.org
ISMS
http://www.xisec.com
ISTYA
http://www.istya.fr
ISO
http://www.iso.org
ISO 20000
http://www.isoiec20000certification.com
ISQI
http://www.isqi.org/en/
ISSEA
http://www.issea.org
ISTQB
http://www.istqb.org/ et http://www.isqi.org/isqi/eng/cert/istqb/
ITGI
http://www.itgi.org/ et http://www.itgi-france.com
265
Sites internet
(suite) ITIL
http://www.itil.co.uk et http://www.itil-officialsite.com http://www.best-management-practice.com
itSMF
http://www.itsmf.com et http://www.itsmf.fr
ITsqc
http://itsqc.cmu.edu
Journal Officiel de la République Française
http://www.journal-officiel.gouv.fr
Legifrance
http://www.legifrance.gouv.fr
Librairie du Congrès des États-Unis
http://www.loc.gov
MFQ
http://www.mfq.asso.fr
MSP
http://www.msp-officialsite.com
NIST
http://www.nist.gov
OCDE
http://www.ocde.org
OGC
http://www.ogc.gov.uk
OECD Watch
http://www.oecdwatch.org
OMG
http://www.omg.org
PMI
http://www.pmi.org et http://www.pmi-fr.org
PMGURU
http://fr.pmguru.com
PRINCE
http://www.prince2.org.uk et http://www.prince-officialsite.com
PRINCE User Group
http://www.usergroup.org.uk Appelé aussi “Best Practice User Group”
QuEST Forum
http://www.questforum.org
SAI
http://www.sa-intl.org
SEC
http://www.sec.gov
SEI
http://www.sei.cmu.edu
SpearOne
http://www.spearone.com
SSE-CMM
http://www.sse-cmm.org
SWEDAC
http://www.swedac.se/sdd/System.nsf/(GUIview)/ index_eng.html
TickIT
http://www.tickit.org
TickIT Plus
http://www.tickitplus.org
W3C/WAI
http://www.w3.org/WAI/
Index
Symboles
ANPE 129 ANSI 134 (ISC)2 28, 184 APMG 124, 135, 141, 184, 191, 236 ARC 34 A ASQ 158 accréditation 18, 29, 49, 66, 76, 80, 87, audit 4, 9, 12, 36, 42, 43, 46, 49, 72, 74, 92, 94, 103, 111, 118, 124, 136, 78, 92, 93, 104, 146, 148, 170, 179, 215 142, 172, 180, 183, 191, 223, 227, 228, 231, 234, 235 cabinets d’audit 46, 47 Comité français d’accréditation de renouvellement 179 Voir COFRAC de surveillance 179 International Accreditation Forum de systèmes d’information 29, 30, 41, Voir IAF 47 organismes d’accréditation 234 démarche d’audit 103, 104 ADELI XVI guide d’audit 43, 153 AFAI 42, 185, 236 méthodes d’audit 220 AFAQ 24, 52, 237 organisme d’audit 92, 100 AFITEP 143, 184, 185, 187, 191, 192, pré-audit 92 236 rapport d’audit 152 AFITEP-CDP 13, 184, 196, 210, 220, Autorité des marchés financiers 216, 240 225, 226, 236 AFITEP-CGP 17, 184, 225, 226, 236 AFNOR 10, 14, 18, 23, 52, 53, 74, 76, B 79, 85, 91, 102, 104, 134, 157, B2I 131 165, 177, 202, 210, 237, 244 Bâle II 213 AICPA 152 Bâle II 103, 211, 212 AIPM 15 Black Belt 158 AMF Voir Autorité des marchés Brevet informatique et internet Voir B2I financiers ANAES 66, 232 BSC 231
268
Guide des certifications SI
BSI 90, 100 bureautique 127, 130, 131
CMMI 31, 42, 76, 84, 162, 210, 225, 226, 229–231, 233, 235 ACQ 31 DEV 31 C SVC 31 CNIL 130 C2I 131 CobiT 37, 41, 58, 91, 148, 152, 200, 202, CAPM 135 203, 206, 210, 224, 225, 231 CBK 28 CobiT-CGEIT 226, 236 CEPIS 127 CobiT-CISA 226, 236 Certificat informatique et internet CobiT-CISM 226, 236 Voir C2I COFRAC 76, 80, 103, 118, 235 certification Comité français d’accréditation d’entreprise 25, 58, 220 Voir COFRAC d’établissement de santé 65 commerce électronique 80, 214 de personnes 13, 17, 27, 41, 47, 107, contrôle 109, 121, 127, 133, 139, 155, financier 149, 213, 215 158, 169, 183, 191, 210, 220, interne 12, 42, 46, 145, 151, 213, 229, 230, 235, 237 215 de services 21, 70, 107, 206, 210, Correspondant informatique et libertés 211, 223, 226 (CIL) 204 de système informatisé 77, 115 COSO 42, 43, 147, 148 du produit 95 CPE 29 CESTI 118 CRBF 213 CFTL 170, 184, 236 Critères communs 77, 118, 167, 200, 225, CGEIT 48 226, 230, 234 CGP 210 CIGREF 46, 129 D CISA 30, 47, 154, 184, 200, 202 DCSSI 79, 80, 102, 118 CISM 30, 47, 200, 202 développement durable 239 CISSP 27, 184, 200, 202, 210, 220, 226, diagnostic 236 d’aptitude de processus 31, 83, 161 CMM de maturité 31 FAA-iCMM 166 du logiciel 184, 224, 232 IPD-CMM 33 sur le contrôle interne 151 People-CMM 166 DIPH 129 SA-CMM 33 DMAIC 157 SE-CMM 33 DO-178 37 SEI-CMM 166 SSE-CMM 161 E SW-CMM 33 Trusted CMM 166 EA 26
269
Index
EBIOS 102, 104, 253 ECDL 128, 236 EFQM 51, 68, 72, 113, 206, 210, 224, 226, 235, 240 Elite Site Label 24 eSCM 57, 58, 206, 210, 222, 226 eSCM-CL 63 eSCM-SP 60 établissement de santé 65 Euro-Aptitudes 128, 236 European co-operation for Accreditation 26 excellence 51 EXIN 110
F FAA-iCMM 166
G gouvernance 41, 43, 61, 77, 122, 152, 206, 226, 239 d’entreprise 43, 147, 152, 203, 215, 239, 243 de la valeur 45 des projets 45 des systèmes d’information 30, 41 principes de gouvernance 46, 48, 240 GRI 243
H H3C 216 HAS 23, 65, 157, 210, 223, 226, 231, 232, 235, 237 Haut conseil du commissariat aux comptes Voir H3C Haute autorité de santé Voir HAS
I IAF 235 ICDL 128
ICEC 15, 18, 191, 236 ICMB 111 IFRS 46, 48, 97 IGSI 46 INCOSE 185 ingénierie de la sécurité 77, 115, 161 des coûts 18 des systèmes 175 du logiciel 184 Institut de la gouvernance des systèmes d’information 46 iNTACS 86, 235, 237 International Accreditation Forum Voir IAF IPMA 14, 18, 135, 187, 191, 236 IRCA 237 ISACA 42, 154, 236 ISC 28, 236 ISEB 111 ISMS 100, 199 ISO 12207 86, 176, 232 ISO 13335 167 ISO 15408 77, 118, 210, 226, 234 ISO 15504 33, 39, 83, 162, 210, 224–226, 232, 235, 237 ISO 17799 167 ISO 19759 184 ISO 20000 58, 76, 89, 110, 206, 210, 222, 224, 226 ISO 21827 162, 201, 210 ISO 25051 95, 210, 222, 226 ISO 27001 42, 49, 99, 167, 200, 201, 210, 222, 226 ISO 27002 99, 167, 201 ISO 9000 25, 48, 72, 94, 175, 205, 212, 232 ISO 90003 72, 176 ISO 9001 25, 37, 56, 58, 70, 71, 84, 96, 100, 103, 134, 153, 176, 201, 206, 210, 220, 222–224, 226, 228, 230, 232, 237 iSQI 86, 235
270
Guide des certifications SI
ISSEA 162 ISTQB 170 ITGI 42 ITIL 37, 42, 64, 86, 89, 107, 140, 184, 186, 203, 206, 208, 210, 220, 224, 226, 233, 236 ITSEC 78, 115, 200, 210, 220, 225, 226, 230, 234 itSMF 91, 236 ITSqc 58
L Loi de sécurité financière 46, 103, 148, 200, 201, 215, 240 informatique et libertés 149, 204, 214 NRE 241 Sarbanes-Oxley Voir Sarbanes-Oxley LRQA 103, 237 LSF Voir Loi de sécurité financière
M M_o_R 141 management de projet 13, 17, 121, 133, 139, 191 MEDEF 129 MSP 121, 141, 220, 225, 226, 236
N NF 13816 23, 210
P P2MM 141 P3M3 141 PCIE 127, 210, 226, 236 PDCA 90, 91, 101, 156, 224 PDU 135, 185, 225 PGMP 135 PMBOK 133, 185, 192, 224, 226, 233 PMI 15, 133, 184, 191, 192, 220, 225, 233, 236 PMP 16, 140, 184, 185, 187, 191, 192, 210, 225, 236 PRINCE2 113, 135, 139, 184, 185, 187, 191, 192, 210, 220, 224, 226, 233, 236, 237 processus 161 d’acquisition 31 d’audit 47 de développement 31, 80, 96, 116, 234 de production informatique 38 de service 31, 151, 206 de systèmes d’information 43 production informatique 11, 38, 89, 94, 107, 206, 219, 220 progiciels 96 PROMPT 140
Q QSE 76, 199 qualité de la production informatique 89 de services 21, 22, 89, 177, 213 du produit 93, 95, 177 système de management de la qualité 9, 12, 65, 71, 89, 175, 201, 232 QuEST Forum 175, 176, 231, 235
O OCDE 243 OGC 108, 140, 141, 191, 208, 225, 236 organismes d’accréditation 234
R risques 199, 203, 241 analyse des risques 29, 80
271
Index
boucle de réduction des risques 101 contrôle des risques 163 évaluation des risques 49, 101, 104, 147 gestion des risques 33, 47, 59, 62, 136, 203 liés aux systèmes d’information 41 maîtrise des risques 45, 109, 154, 239, 241, 242 management des risques 42, 147, 167 niveaux de risques 101 projets 163 réduction des risques 102, 202 risques environnementaux 242 risques financiers 154, 200, 203, 212 risques opérationnels 102, 154, 212 RSE 149, 240, 242, 244
S SA 8000 243 SAI 243 Sarbanes-Oxley 45, 103, 145, 152, 200, 201, 210, 215, 226, 228 SAS 70 151, 206, 210, 226 SCAMPI 34, 231 SEC 146, 148 sécurité 161, 199 des informations financières 11, 145 des systèmes d’information 22, 27, 41, 47, 79, 99, 104, 152, 162, 201, 203, 226 des systèmes de santé 65 des systèmes informatisés 77, 115 Direction centrale de la sécurité des systèmes d’information Voir DCSSI du chèque 213 financière 201, 212, 215 SEI 33, 86, 225, 231, 233, 235
service 205 certification de 21 externe 57 sous-traité 151 Six Sigma 155, 206, 210, 226, 230 Solvabilité II 213 SPICE 84 SSAM 165 SSE-CMM 161, 200, 201, 210, 225, 226 SW-CMM 33, 84, 220, 225, 231, 233 SWEBOK 184 système de management 51, 104, 232 de management de la qualité 9, 12, 65, 71, 89, 175, 201, 212, 224, 232 de management de la sécurité 12, 99, 167, 199–201, 203 de management de services 90 SysTrust 152
T TDBSSI 104 télécommunications 175 testeur 236 logiciel 169 TickIT 210 TL 9000 175, 210, 222, 226, 231, 235 TOE 79, 116 Trillium 84 Trusted CMM 166
U UKAS 142
W W3C/WAI 24 Webcert 22, 24 WebTrust 152
InfoPro
type d’ouvrage l’essentiel
se former
retours d’expérience
Martine Otter, Jacqueline Sidi, Laurent Hanaud
Management des systèmes d’information
Préface de Jean-Pierre Corniou
applications métiers études, développement, intégration
Guide des certifications SI
exploitation et administration réseaux & télécoms
2e édition
Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...
MARTINE OTTER
Ce guide des certifications appliquées aux systèmes d’information fournit une vision synthétique de 27 dispositifs utilisés en France. Les référentiels analysés couvrent l’ensemble des domaines soumis à certification : entreprises, services, produits, processus et personnes. Par sa forme pédagogique sous forme de fiches synthétiques, cet ouvrage facilite la compréhension des différents dispositifs et constitue un guide pratique. En complément des fiches, il présente cartographies, analyses, tendances et de nombreux retours d’expérience. Les directions chargées des choix en matière de certification, motivées par la bonne gouvernance du SI, l’excellence de l’entreprise ou la responsabilité sociale, trouveront dans cet ouvrage les éléments essentiels pour comprendre les dispositifs existants ou construire leur propre système. Ce guide s’adresse principalement aux DSI et aux responsables des systèmes de management de la qualité ou de la sécurité. Les DRH du secteur informatique seront intéressés par les aspects de certification des personnes. Enfin, les consultants disposeront d’une abondante matière pour appuyer leurs recommandations. est une association qui permet à l’ensemble des professionnels des systèmes d’information de partager leur expérience, d’accroître leurs connaissances et de débattre librement. www.adeli.org
ISBN 978-2-10-054182-9
www.dunod.com
est directeur Audit interne et sécurité chez Extelia. Elle y contribue au déploiement des bonnes pratiques en matière de qualité, sécurité et analyse des risques. Depuis 1999, elle est présidente d’Adeli, association pour la maîtrise des systèmes d’information.
JACQUELINE SIDI est entrée dans le groupe Capgemini en 1991 où elle conduit des missions de conseils et anime de séminaires de formation. Elle a été pendant 6 ans présidente de la commission de normalisation AFNOR «Ingénierie et qualité du logiciel et des systèmes».
LAURENT HANAUD est consultant chez IBM Global Services, spécialisé dans le secteur de l’infogérance. Il intervient plus particulièrement, dans le cadre des projets d’externalisation, sur la mise en conformité des processus avec les standards du marché et leur implémentation. Il enseigne à l’institut du Management de l’Information de l’université technologique de Compiègne. Il est vice-président d’Adeli.