MANAGEMENT des SYSTMES DINFORMATION

Guide des

certifications

si

Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...

Martine Otter, Jacqueline Sidi, Laurent Hanaud

Prface de Jean-Pierre Corniou

2e dition

GUIDE DES

CERTIFICATIONS

SI

Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...

ITIL et la gestion des services Mthodes, mise en uvre et bonnes pratiques Thierry Chamfrault, Claude Durand 336 pages Dunod, 2006

CMMI 1.2 Russir son parcours avec le modle IDEAL et la mthode SCAMPI Richard Basque 208 pages Dunod, 2009

Toutes les marques cites dans cet ouvrage sont des marques dposes par leurs propritaires respectifs : CGEIT, CISA,CISM,CISSP, CBK, CMMISM, CobiT, (ISC)2, ISACA, ITGI, ITIL, M_o_R, PMP, PRINCE marque dpose de I OGC, MSP, PRINCE2, Six sigma (Six Sigma est une marque dpose de la socit Motorola, Inc), Black Belt et Champion sont des marques de service de la socit Sigma Consultants, L.L.C. , CMM, SAS, SSE-CMM, SW-CMM, SCAMPISM, WebTrust, Systrust et SusTrust.

Illustration de couverture : Mountain lake Dmitry Pichugin - Fotolia.com

Dunod, Paris, 2006, 2009 ISBN 978-2-10-054182-9

Prface

Le dveloppement de la gouvernance des systmes dinformation est devenu une exigence incontournable dans les entreprises, tant le bon fonctionnement des systmes dinformation et leur volution raisonne travers linnovation fonctionnelle et technologique revtent un caractre critique au cur de la performance. Or la gouvernance impose une discipline collective fonde sur le partage doutils danalyse, de dcision et daction. Longtemps, la rigueur de la transparence sest arrte aux portes de linformatique pour dobscures raisons de technicit et de langage qui ont soustrait les questions informatiques aux rgles de contrle courantes dans toutes les fonctions de lentreprise. Cette situation nest videmment plus acceptable. Les DSI lont compris et ont engag une vritable rupture. La construction dune vision stratgique des relations entre la nalit de lentreprise et les systmes dinformation est devenue une constante des proccupations des DSI. La gouvernance vise rpondre une vive demande de clarication des relations entre les acteurs, et de transparence des dcisions. Ce souci mane bien sr des directions gnrales qui souhaitent tre rassures quant la bonne exploitation des ressources de lentreprise dans les technologies de linformation. Les directions utilisatrices et les informaticiens en attendent galement les conditions dun dialogue serein sur lvaluation des performances et la recherche dune meilleure efcacit. Enn, les rgulateurs publics ont compris les enjeux de la transparence des systmes et ne cessent de hausser leur niveau dexigence. Aussi la gouvernance des systmes dinformation est de mieux en mieux acclimate en France et les efforts conjoints du Cigref et de lAFAI runis au sein de lInstitut de la gouvernance des systmes dinformation contribuent activement en faire reconnatre les enjeux et les outils. Toutefois, si la gouvernance des systmes dinformation est dsormais reconnue pour apporter une rponse crdible au double d de linnovation et de la robustesse, il faut tre capable den dployer les outils de faon efcace et accessible pour tous les acteurs de lentreprise.

VI

Guide des certifications SI

Les objectifs de la gouvernance sont clairs. Le cadre de rfrence doit permettre de garantir simultanment :
une meilleure valuation de la performance des SI, une gestion des ressources des SI plus efcace, une gestion des risques plus pertinente, une amlioration de la valeur des services de lentreprise par le biais de ses SI, une meilleure adquation des SI la stratgie de lentreprise.

Compte tenu de la diversit des mtiers de linformatique, de leurs rythmes dvolution diffrents, des degrs de maturit entre diffrents pays, il nexiste pas un cadre unique de rfrence, mais de multiples outils entre lesquels il peut paratre difcile de faire un choix pertinent, chacun ayant ses proprits, mais lensemble laissant aussi apparatre des lacunes et des redondances. Ce Guide des certications rpond parfaitement cette attente : comprendre les normes et rfrentiels, disposer dinformations claires et prcises sur les conditions de mise en uvre. Cest un guide, donc un document pratique et lisible, construit sous forme de ches construites sur le mme plan : prsentation, documentation, mise en uvre, retour dexprience. Cest un outil de rfrence qui permet aux DSI, mais aussi aux directions gnrales et aux acteurs du contrle, de comprendre aisment les objectifs associs chaque outil travers un panorama exhaustif. Appliquer linformatique dans lensemble de ses composantes des rgles de bonne gestion et de transparence donne conance aux acteurs de lentreprise sur la pertinence des objectifs et sur ladaptation des moyens engags ces objectifs. La gouvernance permet dapporter une rponse instrumente sur la stratgie informatique, les investissements, la qualit de service, la gestion des projets, la matrise des risques, la qualit de formation et la motivation des personnels, la politique dachats et la performance des fournisseurs... Ce guide permet dinstaurer un dialogue fcond au sein des quipes pour proposer une politique de gouvernance qui dnisse clairement les objectifs travers une slection pertinente doutils. La gouvernance des systmes dinformation met un terme une tradition dopacit de linformatique et permet den faire une ressource connue, matrise et respecte. Le Guide des certications SI en est dsormais un outil incontournable. Jean-Pierre C ORNIOU Ancien prsident du Cigref Directeur gnral adjoint de Sia Conseil

Table des matires

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

V XIII

Premire partie tude des dispositifs

Chapitre 1 Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Quelques dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Choisir son dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 2 Mta-modle danalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Prsentation du modle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.1.2 2.1.3 Rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contenu du rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modle dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 5 7 7 8 9 9 10 10 13 17 21

2.2 Acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Prsentation des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 3 AFITEP-CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 4 AFITEP-CGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 5 Certication de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VIII

Guide des certifications SI

Chapitre 6 CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 7 CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 8 CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 9 EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 10 eSCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 11 HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 12 ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 13 ISO 15408 Critres Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 14 ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 15 ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 16 ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 17 ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 18 ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 19 ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 20 MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 21 PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 22 PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 23 PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 24 Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 25 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 26 Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27 31 41 51 57 65 71 77 83 89 95 99 107 115 121 127 133 139 145 151 155

Table des matires

IX

Chapitre 27 SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 28 Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 29 TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

161 169 175

Deuxime partie Analyses et perspectives

Chapitre 30 Regard sur la certication de personnes . . . . . . . . . . . . . . . . . . . . . . . . . 30.1 Gnralits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.2 Utilisabilit court terme ou employabilit par alternance ? . . . . . . . . . . . . . . . . . 30.3 Problmatique de langue ou de culture ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.4 Pour quel niveau dexpertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.5 Et comment optimiser cette expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 31 Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1 Choix du dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 Concurrence ou complmentarit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 32 Regard sur la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1 Scurit ou scurits ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Produits certis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.3 Scurit des systmes dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.4 Scurit nancire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.5 Justication des comptences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.6 Risque professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.7 Processus et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.8 Organisation de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 33 Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.1 Certication du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.2 Reconnaissance et relation contractuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 183 184 185 186 188 191 191 192 199 199 200 201 201 202 203 203 203 205 205 207

Guide des certifications SI

Chapitre 34 Regard sur le lgislatif et le rglementaire . . . . . . . . . . . . . . . . . . . . . . . 34.1 Catgories de textes applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.1 Rglements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.2 Normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2 Rglementations applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.1 Ble II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.2 Solvabilit II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.3 CRBF n 97-02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

209 209 209 210 211 211 211 213 213 213 213 214 214 215 216 217 219 219 222 222 222 223 224 224 224 224 224 225 225 225

34.2.4 Rfrentiel de scurit du chque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3 Quelques lois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.1 Loi informatique et liberts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.2 Loi pour la conance dans lconomie numrique . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.3 Loi de scurit nancire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.4 Internet et droit dauteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.5 Le lgislatif amricain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 35 Cartographies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.1 Positionnement des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.2 TickIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3 Relations entre les dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.1 Inuence de lISO 9001 sur les autres rfrentiels . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.2 HAS, ISO 9001 et certication de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.3 ISO 15504 et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.5 EFQM et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.6 ITIL et EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.7 Rfrentiels en management de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM . . . . . . . . . . . . . . . . . . . . . . . 35.3.9 Critres communs et ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.4 Porte des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table des matires

XI

Chapitre 36 Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1 Bnces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1.1 Bnces externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1.2 Bnces internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2 Charges de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2.1 Charge de mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2.2 Charge dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.3 Mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4 Processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.1 Vision Systme de management de lISO 9000 . . . . . . . . . . . . . . . . . . . . . . . . 36.4.2 Vision de la HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.3 Vision Ingnierie du logiciel de lISO 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.4 Vision du SEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.5 Vision du PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.6 Vision PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.7 Vision ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.8 Vision Scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.5 Accrditation des organismes de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.6 Formation des auditeurs et valuateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 37 Gouvernance et responsabilit sociale de lentreprise . . . . . . . . . . . . . 37.1 Gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.2 mergence de la responsabilit sociale de lentreprise . . . . . . . . . . . . . . . . . . . . . . . 37.3 Responsabilit sociale et systme dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4 Rfrentiels pour la responsabilit sociale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4.1 Multiplicit des rfrentiels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4.2 Bientt lISO 26000 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rfrences bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

227 227 228 228 229 229 230 231 232 232 232 232 233 233 233 233 234 234 234 236 239 239 240 241 242 242 244 245 251 263 267

Avant-propos

Comment faire reconnatre la qualit de son travail pour conserver ses clients et gagner de nouvelles parts de march ? , sinterrogent les entreprises et leurs collaborateurs. Cette simple question appelle de nombreuses rponses, mais soulve de nouvelles questions : Comment choisir le dispositif de certication adapt son besoin ? Comment obtenir et conserver cette reconnaissance ? Et quel investissement pour quel rsultat ? Ces questions poses dans la premire dition du guide restent dactualit, le panorama des certications stant depuis enrichi de nouveaux dispositifs et de nouvelles rglementations. La certication est une procdure destine faire reconnatre par un organisme la conformit des exigences dans le but de donner conance des tiers. Dans les annes 1970, les compilateurs de langages de programmation taient certis par rapport aux normes les dnissant. La certication de personnes est apparue dans les annes 1980 avec celle des chefs de projet. La n des annes 1980 et le dbut des annes 1990 voient merger de nombreux dispositifs de reconnaissance dont les plus connus sont lISO 9001, le prix qualit EFQM et le CMM. Quil sagisse de certier un systme de management, des personnes, un produit ni, un processus de production ou des services, le choix dun systme de reconnaissance nest pas simple. Pour y rpondre, nous avons tudi 27 dispositifs de reconnaissance utiliss en France, an den tirer des analyses et des tendances. Le paysage foisonnant de la certication applique au domaine des systmes dinformation en France sest enrichi et complexi depuis la parution de la premire dition de ce guide, parue en 2006. Notre ambition, dans cette deuxime dition, est den prsenter un panorama actualis et complt, mais restant volontairement synthtique. Motivs par le dveloppement durable, la bonne gouvernance ou lexcellence, tous les responsables soucieux de lefcience et de la reconnaissance de leur entreprise trouveront ici des points de repre pour sorienter sereinement dans le labyrinthe des rfrentiels. Cette tude sadresse principalement aux responsables de systmes dinformation, de systmes de management de la qualit ou de systmes de management de la scurit. Les directeurs des ressources humaines et les responsables de

XIV

Guide des certifications SI

formation scolaire, universitaire ou professionnelle seront intresss par les aspects de certication de personnes. Enn, les consultants y trouveront un large panorama de dispositifs sur lesquels ils pourront appuyer leurs recommandations. Nous nous sommes concentrs sur des dispositifs applicables lensemble des secteurs dactivit ou quelques secteurs spciques couvrant les domaines des entreprises, des services, des produits et des personnes. Comme lexhaustivit est impossible, compte tenu de lexplosion du nombre de dispositifs, nous avons retenu ceux dentre eux qui avaient dj une certaine notorit ainsi que ceux qui, notre avis, allaient obtenir une renomme signicative dans les toutes prochaines annes. Enn, nous avons analys plus nement les dispositifs qui :
peuvent avoir un impact dans le domaine des systmes dinformation, sans

toutefois obligatoirement sy limiter ; donnent en France lieu une reconnaissance du niveau atteint ; peuvent tre utiliss dans le cadre dun plan de progrs. Les dispositifs sont dcrits laide de ches standardises. Ces ches sont classes selon lordre alphabtique du nom du dispositif. Ces dispositifs, dcrits dans la premire partie, sont :
la certication en direction de projet de lAFITEP (chapitre 3) ; la certication en gestion de projet de lAFITEP (chapitre 4) ; la certication de services (chapitre 5) ; la certication de personnes CISSP, applicable aux experts en scurit (cha

pitre 6) ; lvaluation CMMI qui concerne tous les processus dingnierie du logiciel et des systmes (chapitre 7) ; la dmarche CobiT qui concerne la gouvernance des systmes dinformation, avec les certications de personnes CISA et CISM (chapitre 8) ; la reconnaissance de lexcellence avec en particulier le prix europen de la qualit EFQM (chapitre 9) ; la certication eSCM, compose du volet eSCM-SP qui sadresse aux fournisseurs de services et du volet eSCM-CL qui formule les exigences ct client (chapitre 10) ; la certication HAS spcique aux tablissements de sant franais (chapitre 11) ; la certication ISO 9001 pour les systmes de management de la qualit (chapitre 12) ; lvaluation de la scurit des technologies de linformation selon lISO 15408, plus gnralement dsigne sous lappellation Critres communs (chapitre 13) ; lvaluation de processus partir de la norme ISO 15504 (chapitre 14) ; la certication ISO 20000 en matire de gestion de services (chapitre 15) ; la certication de progiciels sur la base de la norme ISO 25051, anciennement ISO 12119 (chapitre 16) ;

Avant-propos

XV

la certication ISO 27001 relative au systme de management de la scurit

(chapitre 17) ; la certication ITIL pour les managers de services informatiques (chapitre 18) ; lvaluation ITSEC sur la scurit des systmes informatiques (chapitre 19) ; la certication MSP pour les directeurs de programme (chapitre 20) ; la certication PCIE sur les comptences bureautiques (chapitre 21) ; les certications issues du PMBOK pour les directeurs de programme, chefs de projet et leurs assistants (chapitre 22) ; la certication PRINCE2 pour les chefs de projet (chapitre 23) ; la conformit aux exigences de la loi Sarbanes-Oxley relative au reporting nancier des entreprises (chapitre 24) ; lvaluation SAS 70 pour le contrle interne des services (chapitre 25) ; la certication des acteurs Six Sigma pour la matrise des processus (chapitre 26) ; lvaluation SSE-CMM du processus dingnierie de la scurit (chapitre 27) ; la certication de Testeur de logiciels, ISTQB, pour les professionnels de lingnierie du logiciel (chapitre 28) ; la certication TL 9000, complment lISO 9001 spcique au secteur des tlcommunications (chapitre 29).

Les ches relatives lvaluation SW-CMM qui est remplace par CMMI, Trillium qui est obsolte et TickIT qui est peu utilise ont t supprimes. Nous avons, en revanche, introduit la certication MSP, complt le dispositif eSCM et introduit Tickit Plus dans les cartographies du chapitre 35. Chaque che descriptive suit un plan en quatre points : prsentation, documentation, mise en uvre, retour dexprience. Le lecteur trouvera ici les moyens de sapproprier les systmes de reconnaissance existants, puis de btir le sien, spcique au contexte particulier de son march ou de son entreprise, en intgrant ses objectifs stratgiques et en respectant son systme de valeur. La seconde partie analyse les informations recueillies. Elle fournit ainsi des regards spciques sur la certication de personnes, le management de projet, la scurit, le service ainsi que le lgislatif. Nous poursuivons par des cartographies et des analyses dtailles. Nous concluons en tudiant les impacts de la gouvernance et de la responsabilit sociale de lentreprise sur les dispositifs de certication. Les acronymes et les organismes cits, les rfrences bibliographiques, ainsi quune liste de sites Internet et un index concluent ce Guide des certications SI. lexception des normes, tous les documents cits en italique dans le texte sont repris dans les rfrences bibliographiques.

XVI

Guide des certifications SI

Remerciements
Ce guide naurait pas exist sans la contribution des experts des diffrents dispositifs. Cest pourquoi les auteurs tiennent remercier tous ceux qui ont consacr une partie de leur temps pour assurer la qualit et lexactitude du contenu, quil sagisse de contributeurs, de personnes qui nous ont fait partager leur exprience ou de re-lecteurs : Franois B AUDRAZ de FBA Conseil ; Christophe B EUCHARD de Kereval ; Hendrik C EULEMANS dInfogovernance ; Thierry C HAMFRAULT ditSMF France ; Anne C OAT de SEKOIA ; Didier C OGNET de Capgemini Sud ; Philippe C ROIX de Peregrine Systems ; Alain D ONJON de Capgemini Consulting ; Georgette D UBAIN de Thales ; Alain F EREY dIBM Global Services ; Frdric F RADET de Johnson Controls Automotive Electronics ; Patrick G EAI du Groupe La Poste ; Allan G EEKIE de Capgemini UK ; ric G LACE de Telindus ; John H IGHAM de Pmguru ; Bernard H OMS du Comit franais des tests de logiciels ; Pierre J OURDAN de Catalog-e-til ; Mathilde L AMBERT de QRP Management Methods International ; Robert L EMAY de Numeral Advance ; Martine M INY de lAFITEP ; Dominique M OISAND dASK Conseil et dAFAI ; Antoine N ARDZE dAlcyonix France ; Sophie R OBERT de BNP Paribas Personal Finance ; Francis R ONEZ dAxios Systems ; Jean-Christophe R OUZOUL de Sopra Group ; Bruno R UBY de Bouygues Telecom ; Kamel S EHRI de SELESTA ; Jean-Martin S IMON de Qualium ; Olivier T EITGEN dAFNOR ; Gilles T ROUESSIN dOppida ; Marc VANDENBERGHE de Belgacom. Des membres dADELI ont activement particip la relecture de ce guide : Dominique B ERGEROT, Alain C OULON et Jacky VATHONNE quils en soient remercis.

PREMIRE PARTIE

tude des dispositifs

Comment faire reconnatre la qualit de nos produits et services , sinterrogent les entreprises. Comment faire reconnatre la qualit de notre travail , renchrissent leurs collaborateurs. Dans lventail des dispositifs de reconnaissance, anciens, rcents, mergents, comment choisir celui qui sera le plus appropri son contexte ? Tout dabord, il convenait de dnir ce quest un dispositif de reconnaissance. Ensuite, face au nombre de dispositifs existants et leur complexit, nous avons d renoncer lexhaustivit et slectionner les dispositifs dcrire rpondant aux besoins du march franais. Dernier volet de notre mthodologie, la description de chaque dispositif slectionn a fait lobjet dun plan-type, nous permettant de nous livrer ensuite des analyses comparatives.

1
Dispositifs de reconnaissance

Comment choisir un dispositif de certication ? En fait, il sagit non pas de choisir le dispositif unique miracle, mais plutt de slectionner un ensemble de dispositifs complmentaires rpondant chacun un besoin spcique. Ainsi, la rponse cette question viendra naturellement de lanalyse dtaille des diffrents dispositifs. Mais avant daller plus loin, il nous a sembl ncessaire de dnir la terminologie utilise.

1.1 QUELQUES DFINITIONS

Dispositif
Nous avons utilis le terme dispositif dans lavant-propos, mais de quoi sagit-il exactement ? Pour illustrer cette notion, prenons lexemple dun skipper. Pour participer une course en mer, il doit runir plusieurs lments :
le code de navigation en mer et le descriptif du droulement de la course : nous

appelons cela le rfrentiel ; son bateau ainsi que tous les lments ncessaires la course et sa survie en mer : ce sont les outils ; le rglement de la course qui dnit les rgles dattribution des trophes : cest le modle dvaluation.

Chapitre 1. Dispositifs de reconnaissance

Lensemble de ces trois lments constitue le dispositif. Le descriptif du droulement de la course peut tre inclus dans son rglement, alors que le code de navigation en mer ne lest pas. On peut ainsi avoir des ensembles disjoints. Dans le contexte de cet ouvrage, le terme dispositif dsigne globalement lensemble des lments associs au couple : rfrentiel modle dvaluation (gure 1.1). Nous parlerons par exemple du dispositif de certication ISO 9001 qui comprend la norme ISO 9001 comme rfrentiel, laudit comme type dvaluation et les normes complmentaires ISO 9000 et ISO 90003 comme outils. Selon les dispositifs, le modle dvaluation peut faire partie du rfrentiel en totalit, partiellement, ou encore lui tre compltement externe.

Figure 1.1 Dispositif de reconnaissance

Le rfrentiel est un document dexigences ou de recommandations que lentreprise a retenu, puis ventuellement adapt pour rpondre ses besoins stratgiques ; il peut sagir dun document dorigine externe (par exemple ISO 9001) ou interne (rfrentiel de certication de services rdig par lentreprise pour ses besoins). Les exigences contenues dans le rfrentiel servent de base aux oprations dvaluation conduisant une reconnaissance. Le modle sert lvaluation et, pour viter toute ambigut, nous utiliserons lexpression modle dvaluation. Modle dvaluation et rfrentiel sont intimement lis puisque lvaluation se fait par rapport un rfrentiel donn.

Audit valuation
notre connaissance, aucune dnition claire de lvaluation ne permet de faire une distinction formelle entre ces deux termes. Le rsultat dun audit, comme celui dun examen, est binaire (conformit ou non-conformit, diplme attribu ou non). Celui dune valuation peut se prsenter sous la forme dune mesure sur une chelle dnie, par exemple dans le cas de lutilisation dun modle daptitude reprsentation continue comme dans le CMMI ou lISO 15504.

1.2 Choisir son dispositif

Il existe trois sortes daudits :

laudit tierce partie ralis par un organisme indpendant de celui qui est valu,

par exemple laudit de certication dans le cadre dune dmarche ISO 9001 ou ISO 14001 ; laudit seconde partie ralis par un client ou sa demande, pour valuer son fournisseur ; laudit premire partie, ou auto-valuation, ralis par lentreprise ; il sagit alors dune auto-dclaration ce cas nest pas trait dans louvrage bien que la mise en uvre de tout dispositif devrait commencer par une auto-valuation comme cela est recommand dans le fascicule FD X50-186 Lignes directrices pour la mise en place dun processus dauto-valuation1.

Reconnaissance
La reconnaissance peut prendre diffrentes formes telles quun certicat de conformit un rfrentiel, un diplme, un prix, un diagnostic, un label, une autorisation dexercer. Cette reconnaissance peut tre obtenue de diffrentes faons :
de manire binaire et exclusive, tout ou rien, avoir ou non une attestation ; par un positionnement sur une chelle de valeurs, par exemple un nombre de

points obtenus sur un questionnaire dvaluation de type prix qualit, un prol de comptence comme les niveaux daptitude.

Attestation
Le terme attestation est gnrique. Il dsigne indiffremment un certicat, une marque, un diagnostic daptitude ou de maturit, un prix ou simplement un rapport.

1.2 CHOISIR SON DISPOSITIF

Dans un souci defcacit, les entreprises cherchent afner leur choix de dispositifs avant de les intgrer dans leurs diffrents systmes de management. Pour comprendre ce mouvement, nous avons tudi les dispositifs de reconnaissance, accessibles aux entreprises et aux individus, en nous proccupant de leur complmentarit et de leurs interactions. Selon que nous nous intressons au produit, au service, au processus, une entreprise ou une personne, il faut choisir le dispositif qui rpond le mieux nos besoins actuels sans pnaliser nos besoins futurs. En la matire, le dispositif idal serait lattestation qui nous ouvrirait toutes les portes, rpondrait tous nos besoins

1. lexception des normes, tous les documents cits en italique dans le texte sont repris dans les rfrences bibliographiques.

Chapitre 1. Dispositifs de reconnaissance

en matire de qualit, de scurit, denvironnement. Quelles solutions pouvons-nous envisager ? En fait, il y a lembarras du choix. Cest en se posant les bonnes questions quune solution va sesquisser dautant plus facilement quil ny a pas vraiment dincompatibilit entre les diffrents dispositifs, mais seulement la ncessit dun ajustement et dune homognisation. Il faut donc dnir son besoin rel, sagit-il :
dentreprendre une dmarche damlioration purement interne ? de rassurer ses clients et ses actionnaires ? Dans ce cas, lobjectivit dun

organisme tiers est-elle ncessaire ? de convaincre un client spcique dans sa dmarche de slection de fournisseurs ? de se mettre en conformit avec une rglementation ? dvaluer lentreprise, le personnel, les produits ou les services ?

2
Mta-modle danalyse

2.1 PRSENTATION DU MODLE

La comparaison des dispositifs de reconnaissance ncessite une clarication des concepts. La dnition dun mta-modle permet dordonner les diffrentes notions. En effet, au-del dun simple exercice de style, la modlisation, en imposant des contraintes formelles, soulve des questions que lon ne peut luder. Lorsquon souhaite modliser les dispositifs de reconnaissance, une premire question se pose : de quoi parlons-nous ? Nous avons tent de modliser le systme complet avec ses multiples acteurs et leurs inter-relations complexes. Dans la gure 2.1, nous prsentons le mta-modle issu de cette rexion. Comme tout modle, le rsultat est fonction des objectifs choisis et peut justement servir de base des discussions fructueuses entre experts et la production de variantes. Nous commenterons ce schma en prenant comme exemple le dispositif de reconnaissance le plus rpandu, celui de la certication des systmes de management de la qualit : lISO 9001.

Chapitre 2. Mta-modle danalyse

Figure 2.1 Mta-modle

2.1.1 Rfrentiel
Au cur du dispositif de reconnaissance, nous trouvons un texte ou un ensemble de textes fondateurs que nous dsignerons par le terme de rfrentiel. Il peut sagir de textes normatifs ou lgislatifs aussi bien que de textes dorigine prive issus du monde industriel. Cet ensemble de documents peut tre caractris par un nom, une version, une date de cration. Dans le cas du dispositif ISO 9001, il sagit de la norme ISO 9001, version 2000, publie en dcembre 2000. Faisant des diffrences dinterprtation dues soit la traduction, soit ladaptation un secteur dactivit ou un pays particulier, nous reconnaissons lISO 9001 une existence universelle. Le rfrentiel peut tre li dautres documents qui lui servent de guide dapplication pour un domaine plus ou moins restreint. Le texte fondateur lui-mme est gnralement assez concis et peut ncessiter des interprtations. Ainsi, la lecture de la norme ISO 9001 nest possible que prcde ou accompagne de celle de lISO 9000 qui apporte les principes et les dnitions utiles sa comprhension. Dans la recherche de lamlioration des performances, nous nous inspirons des bonnes pratiques recommandes dans lISO 9004 ou de celles dun standard sectoriel mieux adapt notre mtier, tel que lISO 90003. Lorsque le rfrentiel est lui-mme un texte lgislatif, il faudra le lire la lumire de la jurisprudence issue de son application. Parmi les autres caractristiques du rfrentiel, nous avons not sa langue et les domaines dactivits auquel il se rapporte : le rfrentiel peut tre rdig en une ou plusieurs langues et sappliquer un ou plusieurs domaines dactivits. Ainsi lISO 9001

2.1 Prsentation du modle

est un rfrentiel gnrique qui peut tre mis en uvre dans tous les domaines. Dautres rfrentiels concernent des domaines particuliers dont les limites sont plus ou moins bien dnies.

2.1.2 Contenu du rfrentiel

Ce qui fonde le rfrentiel en tant que tel, cest son contenu. Pour simplier, nous avons considr quun rfrentiel se composait dun ensemble de rgles qui peuvent tre soit des exigences, soit des recommandations. On distingue ces deux catgories en fonction du verbe utilis dans le document : lorganisme doit de lISO 9001 soppose au il convient que de lISO 9004. LISO 9001 spcie des exigences et lISO 9004 les complte par des recommandations. Seul le respect des exigences est vri lors de laudit qui conditionne la certication. Les exigences et les recommandations sappliquent un lment qui peut tre une personne, un produit ou une activit mene au sein dune entit qui peut tre une entreprise ou seulement une de ses parties. Chacun de ces lments, tels que la personne, le produit ou lactivit, peut ventuellement se dcomposer en souslments auxquels sappliquent des rgles particulires. La personne ne se dcomposant pas physiquement, les rgles portent sur les diffrents rles quelle peut jouer dans lentreprise. Mme lorsquil sagit dune orientation concernant la personne, le produit ou lactivit, un rfrentiel peut combiner ces diffrents types dexigences. Pour reprendre notre exemple, les exigences de lISO 9001 sappliquent au systme de management de la qualit de lentreprise dans sa globalit. Prises individuellement, les exigences peuvent ne concerner que certains processus ou activits, tels la conception ou les achats. Dautres exigences sappliquent directement le produit : les lments de sortie doivent vrier certaines conditions, le produit doit tre prserv. Dautres enn sont relatives aux personnes qui doivent avoir les comptences ncessaires la ralisation des tches qui leur sont affectes.

2.1.3 Modle dvaluation

Pour devenir dispositif de reconnaissance, le rfrentiel doit tre accompagn dun modle dvaluation qui indique la faon dont le rfrentiel est pris en compte dans un processus dvaluation et qui en prcise les rgles. Un rfrentiel donn peut tre utilis avec diffrents modles dvaluation, tel le SSE-CMM qui peut, suivant le contexte, tre employ avec le modle dvaluation dni dans lISO 15504 ou avec le SCAMPI. Mme un modle dvaluation peut tre associ diffrents rfrentiels, comme le SCAMPI utilis avec le SW-CMM, le CMMI ou le SSE-CMM. Le modle dvaluation peut se prsenter sous diffrentes formes : audit, diagnostic, valuation ou examen suivant le type dorganisation retenue.

10

Chapitre 2. Mta-modle danalyse

2.2 ACTEURS
Le nombre de types dacteurs impliqus dans le systme de reconnaissance de la qualit est important. Tout dabord, au cur du systme, nous trouvons deux acteurs. Selon le dispositif, il sagit de personnes morales ou physiques. Le premier acteur choisit et applique un rfrentiel. Ce rfrentiel comporte un modle dvaluation qui donne conance au second acteur, le client. Il y a deux choix effectuer : le choix des exigences qui vont tre appliques (le rfrentiel) et le choix du modle dvaluation. Lentreprise doit ensuite faire le choix dun troisime acteur : lorganisme de certication. Par exemple pour lISO 9001, il en existe plusieurs qui sont thoriquement quivalents bien que concurrents. Dans le cas des certications de personnes, lindividu choisit la fois le rfrentiel dexigences et le modle dvaluation, dans un cadre strict impos par son employeur ou dans une dmarche personnelle de gestion de son parcours professionnel pour amliorer son niveau demployabilit. Parmi les acteurs du systme de reconnaissance, nous trouvons galement le propritaire du rfrentiel, son distributeur par exemple AFNOR en France pour les normes ISO, le formateur qui transmet la connaissance, le contrleur, lorganisme qui attribue lattestation, lorganisme accrditeur, sans oublier les consultants et les entreprises de conseil. Le propritaire du rfrentiel, gnralement son crateur, est parfois un organisme de normalisation tel que lISO, mais il peut aussi sagir dune entreprise dans le cas dun rfrentiel de services, dun institut universitaire comme le SEI ou dune association professionnelle comme lIPMA. Le contrleur qui vrie lapplication des exigences peut tre un auditeur, un valuateur ou un examinateur. La personne morale ou physique, gnralement un organisme de certication attribue lattestation au vu du rapport dvaluation ; il peut tre ou non accrdit. Lorganisme accrditeur est garant de la valeur de lattestation accorde en donnant son label lorganisme de certication. Souvent national, cet organisme permet, par le jeu daccords de reconnaissance mutuelle, de faire bncier les organismes accrdits dune porte internationale.

2.3 PRSENTATION DES DISPOSITIFS

Les particularits des dispositifs tudis apparatront la lumire de ce mta-modle. Ainsi nous remarquerons lexistence de dispositifs sans rfrentiel en matire de management de projet, ainsi que des liens multiples entre dispositifs : par exemple entre ITIL et ISO 20000, ou encore entre CobiT, SAS 70 et Sarbanes-Oxley. Dans la suite de cet ouvrage, la prsentation de chaque dispositif est introduite par un schma simpli (gure 2.2) qui synthtise les principaux lments. gauche du rfrentiel, cur du dispositif, nous trouverons des lments directement descriptifs.

2.3 Prsentation des dispositifs

11

Dabord le secteur conomique de lentreprise ou de lindividu qui utilise le rfrentiel lorsquil ne sapplique que de manire sectorielle. Si le rfrentiel est dapplication gnrique, ce champ indiquera Tous secteurs. Le propritaire du rfrentiel peut tre un organisme de normalisation tel que AFNOR, ISO, IEEE ou BSI. Il peut sagir aussi dune association, dun organisme priv ou gouvernemental, comme lAFITEP, le SEI, lOGC. La diffusion du rfrentiel est effectue soit directement par son propritaire, soit par des intermdiaires spcialiss ou des librairies techniques. La porte du rfrentiel indique la nature des rgles quil contient et dont les mentions peuvent tre les suivantes : le produit, lactivit ou les personnes. Certains rfrentiels ne sintressent quau produit, dautres uniquement lactivit et les plus exigeants possdent les trois types de rgles. En fonction du type de reconnaissance, le rfrentiel peut servir une autovaluation, une valuation tierce partie qui conduira une certication ou une valuation seconde partie entre un client et un fournisseur indpendamment de lexistence dun contrat. Au-dessus du nom du rfrentiel, gure lindication de son domaine dapplication. Il peut sagir, suivant le cas, de management de projet, de qualit, de scurit des systmes dinformation, de processus de systmes dinformation, de processus logiciel, dingnierie du logiciel, dingnierie systme, de production informatique, de dveloppement et scurit de systme informatis, de poste de travail informatique, de scurit des informations nancires, ou encore de services sous-traits. Mme, et surtout si certains de ces termes semblent synonymes premire vue, cette numration est rvlatrice des points de vue complmentaires adopts par les diffrents dispositifs.

Figure 2.2 Schma standard de prsentation dun dispositif

Sur la gure 2.2, droite du rfrentiel, se trouvent les lments descriptifs du processus dvaluation.

12

Chapitre 2. Mta-modle danalyse

Tout dabord lobjet de la reconnaissance. Ce peut tre une personne physique reconnue pour ses capacits, connaissances et exprience dans un certain domaine. Ce peut tre une personne morale reconnue suivant le cas pour :
la mise en uvre dun systme de management de la qualit, dun systme de

management de la scurit, dun service, dun ou plusieurs processus ; la conformit ou le niveau de scurit dun produit ou dun systme ; ses dispositifs de contrle interne. Le type de reconnaissance peut tre une certication, un diagnostic daptitude ou de maturit, un prix ou un simple rapport qui a une dure de validit dnie ou non. Le type dvaluation peut correspondre un examen pass en franais ou en anglais, associ ou non une valuation dexprience, un audit seconde ou tierce partie ou encore une auto-valuation. Une valuation peut dboucher sur un ou diffrents niveaux dattestation dont la slection se fait, soit en amont de lvaluation lors du dpt de dossier, soit en aval en fonction du rsultat obtenu. Le dispositif peut avoir une porte qui est souvent internationale, mais peut tre limite la France ou lEurope. Enn, la mthode dvaluation et son propritaire sont indiqus lorsque ces informations sont dnies. Sans reprendre la totalit des informations prsentes sur le mta-modle, le schma simpli de la gure 2.2 offre ainsi une vue sufsamment complte du dispositif.

3
AFITEP-CDP

Le dispositif AFITEP-CDP permet une personne physique dobtenir une certication en matire de management de projet.

Figure 3.1 Dispositif CDP de lAFITEP

Prsentation
La Certication en direction de projet (CDP) a pour objet de faire reconnatre une comptence de type managrial fonde sur une exprience danimation dquipe et darbitrage dans le but de mener son terme un projet : cest--dire une opration

14

Chapitre 3. AFITEP-CDP

caractre spcique et unique dont les objectifs, la dure et le cot sont pralablement dnis. Cette certication est ralise par lAssociation francophone de management de projet (AFITEP), reprsentant ofciel de lIPMA (International Project Management Association) en France. En 1985, lIPMA a dvelopp un programme de certication international quatre niveaux. Ses membres sont des associations nationales qui appliquent le dispositif de lIPMA dans leur pays respectif avec leur langue. Les rgles de lIPMA sont nonces dans lIPMA Competence Baseline (Guide IPMA de comptences). Leur application seffectue dans chaque pays par la formalisation dun guide national de comptences. En France, il sagit du Rfrentiel de comptences en management de projet de lAFITEP. Ce rfrentiel dcrit les connaissances, lexprience et le comportement attendus des chefs de projet. Il reprend lensemble des lments dcrits dans lIPMA Competence Baseline pour valuer les comptences en management de projet. La version 2006, troisime version du rfrentiel, a t remanie dans sa structure et comporte 46 lments, rpartis en trois domaines :
les comptences techniques (20 lments) les comptences contextuelles (11 lments) les comptences comportementales (15 lments)

Le management de projet consiste planier, organiser, suivre et matriser tous les aspects dun projet. Le cycle de dveloppement du projet peut diffrer selon la branche dactivit et le type de projet. Des mtriques sont dnies dans llment de connaissances Mesure des performances du Rfrentiel de comptences en management de projet. Le calcul et lvaluation de lavancement du projet reposent sur lanalyse de la valeur acquise.

Documentation
Le Rfrentiel de comptences en management de projet est librement tlchargeable sur le site de lAFITEP ainsi que dautres documents comme un formulaire dauto-valuation et de positionnement, des notes explicatives, etc. La version 2006 de lIPMA Competence Baseline est rdige en anglais. LAFITEP la traduite en franais et enrichie en particulier des rfrences normatives franaises (cf. corpus normatif AFNOR en management de projet) dans la version disponible en 2009 de son rfrentiel. Ces deux rfrentiels sont librement tlchargeables respectivement sur le site de lIPMA ou sur celui de lAFITEP.

Mise en uvre
LIPMA fdre 45 associations nationales travers le monde, ce qui reprsente plus de 25 000 membres. la n de lanne 2007, environ 73 000 personnes avaient obtenu un certicat. On note une forte croissance du nombre de certis depuis 2002. La prvision pour 2008 est denviron 88 000 certis dans le monde.

AFITEP-CDP

15

LIPMA a tabli des accords de coopration avec lICEC (International Cost Engineering Council), lAIPM (Australian Institute of Project Management) et le PMI (Project Management Institute). LAFITEP dispose dune vingtaine de centres dexamens en France et ltranger (Maroc, mirats Arabes Unis, Algrie). Il y a quatre sessions programmes par an pour le premier niveau (niveau D) de lIPMA ; les dates des sessions de certication de niveaux C, B et A sont dnies en fonction des besoins. LIPMA accorde une trs haute priorit aux aptitudes personnelles ncessaires la fonction de chef de projet dans lvaluation des individus pour leur accorder la certication Cest pourquoi, le dispositif propose un systme dvaluation du comportement des personnes. Ce programme, dcrit dans la gure 3.2, a t conu pour valuer non seulement le savoir, le savoir-faire et lexprience du candidat, mais galement son savoir-tre.

Figure 3.2 Certification IPMA Source : rfrentiel de comptences en management de projet de lAFITEP.

Ce rfrentiel est unique : il sert indiffremment la certication des quatre niveaux de lIPMA ; cest pourquoi, en plus des critres dvaluation, on y trouve les valeurs cibles attendues pour chaque critre et chaque niveau. Les critres portent sur les lments suivants :
capacits gnrales ; principes du management de projet ; comptences organisationnelles et sociales ; mthodes et procdures ; management gnral ; comportement personnel et limpression gnrale donne par le candidat.

16

Chapitre 3. AFITEP-CDP

Ce sont des experts en management de projet qui valuent les candidats. Ces valuateurs ont eux-mmes un niveau de certication au moins gal celui auquel postule le candidat et, parmi eux, il y a toujours un expert du secteur dactivit du candidat. Lentretien individuel tient une grande importance dans la dcision dattribution ou non du certicat. La certication AFITEP-CDP est accorde pour une priode de cinq ans susceptible dtre proroge sur dossier. La commission de certication de lAFITEP accepte le PMP (Project Management Professional) du PMI comme quivalence du niveau D de lIPMA.

Retour dexprience
Martine M INY, prsidente de lAFITEP, dclare : De plus en plus dentreprises choisissent la Certication en Direction de Projet, dune part parce quelle est personnalise au contexte local, dautre part, parce quelle est reconnue au niveau international dans plus de 45 pays (dont la Chine, lInde et la Russie), enn parce quelle permet dvaluer les comptences du candidat au regard de la complexit des projets mens. Les entreprises apprcient le fait que le rfrentiel soit structurant pour les comptences, mais nimpose aucune exigence en matire de modes opratoires ou dorganisation. La certication de comptences individuelles en direction de projet devient donc un lment cl de la reconnaissance du professionnalisme des chefs de projet. Cest aussi un vecteur damlioration du niveau de maturit du management de projet dans les organismes, la capacit mener bien les projets tant aujourdhui indispensable la prennit des entreprises. Le candidat a, par ailleurs, la possibilit dadhrer lAFITEP et de participer ainsi une communaut de chefs de projet qui publie une revue, organise des runions et des confrences et lui apporte ainsi une actualisation rgulire de ses connaissances . Grce son processus daccrditation, ce dispositif sadapte trs bien aux environnements culturels nationaux tout en maintenant une cohrence globale au niveau international. Il permet la reconnaissance dun certicat national dans 45 pays. Un des atouts de ce dispositif pour lemployeur est constitu par le modle dvaluation ; il ne se limite pas aux connaissances en management de projet, mais value aussi les comptences et la dimension comportementale. Pour le candidat, la certication par niveau lui permet de se situer en fonction de la responsabilit quil exerce. En revanche, le rfrentiel ne peut tre utilis par le candidat comme un recueil de bonnes pratiques : il sagit plutt dune grille danalyse de comptences. Toutefois, il peut servir doutil pour les responsables de ressources humaines, an dvaluer un candidat lors dun recrutement ou servir aux chefs de projets pour dtecter des potentiels en interne.

4
AFITEP-CGP

Le dispositif AFITEP-CGP permet une personne physique dobtenir une certication en matire de management de projet.

Figure 4.1 Dispositif CGP de lAFITEP

Prsentation
Lobjectif de la Certication en gestion de projet (CGP) est dapporter lassurance que les titulaires sont des professionnels qualis en matrise de projet et en particulier

18

Chapitre 4. AFITEP-CGP

dans les domaines de lestimation, de la cotenance (ingnierie des cots) et de la planication. Coordonne par lICEC (International Cost Engineering Council), cette certication existe dans 43 pays. Elle prsente une particularit : lICEC ne disposant pas de son programme de certication, elle encourage le dveloppement de programmes de certication et de coopration entre les organisations membres. Ses membres sont des associations qui doivent rpondre des critres dacceptation pour tre accrdites ; ces critres sont documents dans un guide dnissant les exigences du processus daccrditation. Il nexiste donc pas de rfrentiel unique. Chaque association dveloppe son rfrentiel en conformit avec les standards et normes en vigueur dans son pays et le dclare lICEC qui ne fait que le reconnatre. LICEC a galement conclu des protocoles daccord avec diffrents organismes dont lIPMA (International Project Management Association). En France, lICEC est reprsente par lAssociation francophone de management de projet (AFITEP) sur la base du rfrentiel FD X50-107 Management de projet Certication du personnel en matrise de projet. Ce document dnit les comptences requises par les candidats et dtaille dans son annexe les thmes couverts par cette certication :
connaissances gnrales ; connaissances en planication oprationnelle ; connaissances en valuation et en estimation ; connaissances en matrise des cots (ou cotenance).

Documentation
Disponible auprs dAFNOR, le rfrentiel FD X50-107 sappuie sur lensemble des documents AFNOR de la srie X50 et en particulier les FD X50-115 (management de projet-prsentation gnrale), 118 (recommandations pour le management dun projet), 137 (management des dlais) et 138 (management des cots). De plus, en France, lAFITEP publie des ouvrages de rfrence sur le management de projet sous la forme de documents de synthse ou de revue.

Mise en uvre
Toute personne titulaire de la CGP obtient ipso facto le certicat international de lICEC reconnu dans 46 pays. et dtenu par 30 000 membres. Il existe une vingtaine de centres dexamens en France et ltranger (Maroc, mirats Arabes Unis, Algrie). Le calendrier des sessions dexamens est dni annuellement et est disponible sur le site web de lAFITEP. Les dates des soutenances de mmoire sont dnies en fonction des besoins. Pour se prsenter la certication CGP, le prrequis est lobtention du certicat Assistant de Projet Certi (IPMA niveau D) qui atteste de connaissances gnrales sur les projets.

AFITEP-CGP

19

Dlivres sans limitation de dure, viennent ensuite trois qualications de spcialit :

la qualication en planication ; la qualication en cotenance ; la qualication en estimation.

Ensuite, le candidat prsente un mmoire sur un sujet de son choix relatif son exprience en gestion de projet quil soutient devant un jury de professionnels. Si le mmoire est accept et si le candidat est ligible (il faut justier de trois sept ans dexprience en fonction du niveau de formation aprs le bac), la CGP est accorde pour une priode de cinq ans susceptible dtre proroge sur dossier.

Retour dexprience
Martine M INY, prsidente de lAFITEP, apporte sa vision : Lobtention de la CGP donne au candidat la reconnaissance dune spcialisation dans trois domaines et celle dun mtier. Cette certication prend tout son sens avec limportance croissante de la fonction de Project Management Ofce (un bureau des projets qui assure le support, le suivi et un contrle gnral dun ensemble de projets). Elle devient le garant de la qualit des projets et de lapplication des bonnes pratiques et mthodes de chaque entreprise . Tout comme pour lIPMA, la force de lICEC rside dans le fait que le modle dvaluation ne se rfre pas uniquement aux connaissances en matire de gestion de projet, mais aussi lvaluation de lexprience. En revanche, le fait quil ny ait pas de corpus de connaissances peut paratre droutant. Cependant, cette latitude donne une certaine souplesse au dispositif et lui permet de tenir compte des spcicits de chaque secteur dactivit.

5
Certification de services

Le dispositif de certication de services permet une entreprise dobtenir une certication en matire de qualit de services.

Figure 5.1 Dispositif de certification de services

Prsentation
La certication de services est rgie par la Loi n 94-442 du 3 juin 1994 et le Dcret n 97-298 du 27 mars 1997 qui stipulent des exigences en termes de structuration de la dmarche.

22

Chapitre 5. Certification de services

Ce type de certication vise contrler un niveau de service fourni au client nal par rapport un ensemble dexigences (caractristiques et modalits de contrle) dcrites dans un rfrentiel de certication de services. Il sagit dun document technique tablissant les caractristiques dun produit ou dun service ; ce document dnit galement les modalits de contrle de la conformit du produit ou du service. La certication de services fait reconnatre le niveau de qualit quune entreprise dnit et sengage respecter vis--vis de ses clients. Cette dmarche est applicable quel que soit le secteur conomique. Elle sapplique toute activit de service quelle soit destine aux entreprises ou aux consommateurs. Le rfrentiel peut tre normatif ou priv. Un rfrentiel priv est dni soit localement par une entreprise pour ses besoins, soit collectivement, par exemple par un groupement ou par une association professionnelle. Chaque nouveau rfrentiel de certication de services fait lobjet dune mention au Journal ofciel de la Rpublique franaise et est contrl par un organisme habilit (accrdit ou ayant dpos un dossier auprs de lautorit administrative). On peut citer des certications de services trs diffrentes qui concernent le domaine des systmes dinformation, par exemple :
rfrentiel priv : la tlphonie mobile dveloppe par Orange France en 2002 ; rfrentiels collectifs : transactions commerciales lectroniques dveloppes par

Webcert en 1999 ou Sauvegarde distance de donnes numriques labor par le Club de la scurit des systmes dinformation du Languedoc-Roussillon en 2001. Le rfrentiel peut aussi tre normatif lorsquune norme spcie les exigences permettant de dnir, de cibler et de mesurer la qualit de service. Cest par exemple le cas dans le domaine du transport public de voyageurs. Le rfrentiel de certication est rdig en se plaant du point de vue du client sous forme dengagements de service documents (gure 5.2). Il doit entre autres :
clarier le rsultat attendu, cest--dire le contenu du service fourni ; dnir un niveau de qualit de service en termes de performances atteindre ; dnir les engagements de lentreprise vis--vis de ses clients.

Les textes de loi qui rgissent la certication de services nimposent rien en matire de dispositifs ou de moyens mettre en uvre par lentreprise candidate. De ce fait, celle-ci reste libre de la nature et du niveau de performance des engagements quelle prend vis--vis de ses clients. Il existe toutefois une restriction : reprsent par les associations de consommateurs, le client doit valider ces engagements de service sans quoi la dmarche de certication est arrte. La mise en uvre de cette dmarche permet de rendre visible la performance des services rendus par une entreprise ses clients. Elle marque le passage dune culture tourne vers linterne une culture oriente vers la satisfaction des clients. Les mtriques sont spciques chaque rfrentiel. Elles y sont dnies.

Certification de services

23

Figure 5.2 Dmarche de certification de services

Documentation
Les textes de loi sont accessibles sur le site de Legifrance. Les rfrentiels de certication de services normatifs sont disponibles auprs dAFNOR ; les rfrentiels privs (personnel ou collectif) sont dposs au Journal ofciel de la Rpublique franaise.

Mise en uvre
Cette dmarche sapplique dans le cadre du droit franais. Des efforts de communication et de promotion sont fournis par les organismes certicateurs ainsi que par certaines associations de consommateurs ; ces dernires voient dans ce mode de reconnaissance un signe de performance de lentreprise certie et donc de garantie pour le client. La certication de services est un outil qui se rpand car, dans une dmarche damlioration reconnue par un certicat, elle permet aux entreprises ou des secteurs dactivit de sengager de manire cible sur le service rendre. Elle stend en France : la reconnaissance en 2004 par la Haute autorit de sant (HAS) de lintrt de ce type de certication en est une preuve. La certication de services de certaines lignes dautobus et de mtro de la RATP constitue un exemple de mise en uvre de cette dmarche dont leffet est visible par tous les Parisiens. En fvrier 2003, pour la premire fois hors de France, une certication de services a t dlivre une socit belge, la Socit des transports intercommunaux de Bruxelles. Le rfrentiel utilis est la norme europenne NF 13816 relative au transport public de voyageurs.

24

Chapitre 5. Certification de services

Dans le domaine du e-commerce, il sagit par exemple dinformer lutilisateur nal de la valeur relle des outils capables de garantir rellement la scurit, la conance et la qualit du service. Pour cela plusieurs certications de ce type coexistent en France : Webcert dAFAQ, Elite Site Label de la socit Sysqua contient 148 critres de certication et Qualicert de la socit SGS qui se dveloppe aussi ltranger. La mise en uvre de cette dmarche implique soit de rdiger un rfrentiel spcique son domaine, soit den utiliser un dj existant. Il faut aussi former les oprationnels an de leur faire connatre et de leur apprendre atteindre en permanence le niveau de performance attendu des engagements de service auxquels ils contribuent. Essentiellement franaise, cette certication est ralise par un organisme de certication dlivrant lattestation sous la forme dune marque (logo) qui lui est propre. Pour raliser une valuation, diffrentes mthodes de contrle peuvent tre mises en uvre comme :
lenqute de satisfaction client ; la mthode dite du client mystre qui est une enqute ralise sur le terrain par

un auditeur ne se faisant pas reconnatre et agissant comme un client ; la collecte automatique de mesures ; laudit de terrain effectu par une tierce partie. Lorsque des standards de contrle existent, les mthodes de contrle du rfrentiel de certication peuvent sy rfrer ; par exemple les standards du W3C/WAI (Web Accessibility Initiative) pour laccessibilit des sites web. Pour obtenir un service certi, le processus comprend soit llaboration dun rfrentiel suivi de sa publication, soit le choix de ce rfrentiel, puis son dploiement oprationnel et enn laudit de certication (gure 5.3). Llaboration dun rfrentiel priv peut prendre de huit douze mois et mobiliser une trentaine de personnes. Il faut compter ensuite environ neuf mois pour le dploiement oprationnel jusqu la certication. Et enn, trois semaines pour laudit de certication avec une quipe de dix auditeurs.

Certification de services

25

Figure 5.3 Droulement du processus

Retour dexprience
Un consultant dune socit de conseil commente : La certication de services peut venir en complment dune certication dentreprise de type ISO 9000. Cette double approche est dj mise en uvre dans des entreprises comme la RATP. Dans les petites structures, la certication ISO 9001 est parfois abandonne au prot de la certication de services. Parmi les motivations qui diffrencient ce dispositif dune certication ISO 9001, il y a la possibilit de dnir son rfrentiel, dutiliser un rfrentiel focalis sur une plus-value fournir au client et sur la capacit dune entreprise obtenir des rsultats constants visibles par le client. Par rapport aux exigences de lISO 9001, une autre diffrence rside dans lidentication pour chaque engagement de service, dun responsable qui rapporte directement au comit de direction sur le respect, sur lvolution de lengagement quil pilote et sur les moyens et actions quil met en uvre. Bien utilise, la certication peut tre un atout majeur au service des entreprises et des clients. Elle permet tant aux entreprises quaux clients datteindre leurs objectifs et de valoriser les services offerts par la conance quelle donne au client. Pour lentreprise, il sagit dune dmarche oriente vers la qute dun rsultat prcisment dni, mesurable et qui apporte un plus au client. Lutilisation de ce dispositif permet damliorer limage de lentreprise et de promouvoir de nouveaux services. La dmarche est innovante : elle est source de diffrenciation et damlioration permanente, surtout lorsque lentreprise participe la cration du rfrentiel. Comme tout projet dentreprise, elle permet la mobilisation du personnel autour dobjectifs concrets et une qualit de service homogne. De plus, avec ce type de certication, lentreprise peut communiquer sur les critres explicites du service objet de la certication.

26

Chapitre 5. Certification de services

Pour le client, utiliser un service certi garantit que ce service dispose effectivement des caractristiques dnies dans le rfrentiel et quelles sont contrles de manire rcurrente. La certication de services atteste du respect des promesses faites aux clients du service. Toutefois, il est important, avant de se lancer dans une telle dmarche, de prendre en compte le fait que cette dmarche est encore peu connue. Il sagit dune initiative franaise, sans quivalent vritable ltranger. Ceci implique quil nest pas toujours possible de faire reconnatre son certicat ltranger. Notons toutefois que dans le domaine du service appliqu lInternet, qui par nature a une vocation mondiale, il existe des quivalences europennes pour les certications franaises par le biais de lEuropean cooperation for Accreditation (EA). Ce type de montage ncessite toutefois de la part de lorganisme certicateur une expertise particulire, car des instances europennes doivent tre consultes, par exemple les associations de consommateurs . On saperoit que lapproche et linterprtation de la dmarche varient selon les organismes certicateurs. Le choix de lorganisme est donc important. Lorsque la certication recherche nexiste pas, il ne faut pas sous-estimer la difcult de rdaction du rfrentiel priv. Celui-ci doit tre la fois lisible et comprhensible par lentreprise, le client et lauditeur externe.

6
CISSP

Le dispositif CISSP permet une personne physique dobtenir une certication en matire de scurit de systmes dinformation.

Figure 6.1 Dispositif CISSP

Prsentation
La Certication pour professionnel de la scurit des systmes dinformation (CISSP, Certied Information Systems Security Professional) est une certication internationale dorigine amricaine dont la nalit est la validation des connaissances gnralistes

28

Chapitre 6. CISSP

en matire de scurit de linformation. Elle permet dune part aux dirigeants et dcideurs de sassurer des comptences de leur personnel scurit et de slectionner les consultants extrieurs, et dautre part aux auditeurs et responsables de la scurit de valider leur expertise et daugmenter leur employabilit. Cre en 1995 et dveloppe par l(ISC)2 (International Information Systems Security Certication Consortium), dont Auditware est le membre franais, cette certication vise plusieurs objectifs :
maintenir et faire voluer le tronc commun de connaissances en scurit (CBK,

Common Body of Knowledge for Information Security) ;

faire certier les professionnels selon le CBK ; organiser la formation et la certication des professionnels de la scurit ; assurer le suivi du niveau de qualication des personnes certies.

Lexamen du CISSP porte sur les 10 chapitres suivants :

systmes et mthodologies de contrle daccs ; scurit des tlcommunications et des rseaux ; pratiques de gestion de la scurit ; scurit des dveloppements dapplications et de systmes ; cryptographie ; architecture et modles de scurit ; scurit des oprations ; continuit des oprations et plan de reprise en cas de dsastre ; loi, investigations et thique ; scurit physique.

En outre, il existe trois spcialisations CISSP, qui peuvent sobtenir aprs avoir t certi CISSP :
CISSP-ISSAP (Information Systems Security Architecture Professional), pour les

spcialistes en architecture ;
CISSP-ISSEP (Information Systems Security Engineering Professional), pour les

spcialistes en ingnierie ; CISSP-ISSMP (Information Systems Security Management Professional), pour les spcialistes en management.

Documentation
Le CBK est disponible lachat. Ce document de plus de 1 000 pages, rdig en anglais, porte le nom dOfcial (ISC)2 Guide to the CISSP Exam. Il est disponible dans les librairies techniques. Le CBK volue presque tous les ans. Il nest pas traduit en franais car la connaissance de langlais crit est considre comme incontournable dans le domaine de la scurit informatique. Toutefois les cours

CISSP

29

sont dispenss en franais en France par Auditware et CA (Computer Associates) ; lexamen peut galement se drouler en franais.

Mise en uvre
La certication CISSP permet dvaluer les connaissances du candidat, tant sur les activits daudit de systmes dinformation et danalyse des risques que sur les aspects techniques de la scurit des systmes dinformation. Elle sadresse en particulier aux experts en scurit et aux responsables de la scurit des systmes dinformation. Cette certication existe depuis 1995. Son dveloppement sest accru de faon sensible depuis 2001, en stendant dans 104 pays. Le nombre de personnes certies est pass de 8 000 prs de 65 000 n 2008, soit plus de 60 % en 3 ans, dont prs de 700 personnes certies en France, soit une augmentation de 350 % en 3 ans. En novembre 2005, Microsoft Corp. a annonc que les certications (ISC)2 seraient incluses dans le programme de certication de ses ingnieurs. Un autre signe de la notorit internationale du CISSP est la prsence en librairie dun CISSP for Dummies, version originale de la collection Pour les nuls. En mars 2007, la certication CISSP a t formellement approuve par le Dpartement de la Dfense des tats-Unis dAmrique (US Department of Defense), la fois dans leurs catgories Information Assurance Technical (IAT) et Information Assurance Management (IAM) , aux niveaux les plus levs. Pour obtenir la certication, il faut russir lexamen et justier dau moins cinq ans de pratique de la scurit des systmes dinformation. Il porte sur 250 questions choix multiple (QCM) et dure 6 heures. An de faire voluer lexamen, les rponses 25 des questions ne sont pas prises en compte dans la notation, elles servent tester les volutions de lexamen. Pour russir lexamen, il faut obtenir 700 points sur un maximum de 1 000. Pour garder la certication, il faut sengager consacrer au moins 120 heures de formation continue (CPE, Continuing Professional Education) sur trois ans pour maintenir sa comptence. Depuis fvrier 2005, lexamen du CISSP peut tre pass en langue franaise, mais ncessite toutefois de bien comprendre les concepts amricains. Les questions en anglais restent disponibles lors de lexamen. Auditware et CA sont les deux seuls centres de formation agrs en France par l(ISC)2 . Les instructeurs sont certis CISSP, accrdits par l(ISC)2 et sont bilingues franais et anglais. En juin 2004, le programme CISSP a obtenu laccrditation ISO 17024.

Retour dexprience
Un responsable de la scurit des systmes dinformation tmoigne : Je travaille dans la liale franaise dune compagnie amricaine, la certication y est fortement recommande si lon veut occuper un poste de responsable de la scurit dans le dpartement informatique. Je ne serais pas surpris que cela devienne bientt obligatoire. Javoue navoir pas russi lexamen la premire tentative, mais

30

Chapitre 6. CISSP

la langue constituait un rel obstacle du fait que les questions en franais ntaient pas disponibles lpoque. Mon management a vraiment insist pour que je persvre pour russir cette certication, et jai compris que ctait mon intrt. Cette certication ne prtend pas que ses dtenteurs sont de vritables experts trs pointus, par contre elle garantit un ensemble de connaissances indispensables pour un gnraliste confront des problmatiques de la scurit des systmes dinformation. Bien qutant responsable de la scurit dans le dpartement informatique de mon entreprise depuis 1998, la formation ncessaire la prparation de lexamen ma permis de complter mes connaissances. Je suis certi CISSP depuis 2001. La certication ma apport une reconnaissance au sein de ma compagnie. De plus, cela me permet davoir un crdit de temps et de budget pour maintenir ma certication, cest--dire lobtention de 120 heures de CPE tous les trois ans. Assister aux vnements qui permettent de maintenir la certication me permet de rencontrer des personnes qui occupent des fonctions analogues dans dautres entreprises : cest une opportunit de partages dexpriences . Un point fort de ce dispositif provient des bonnes pratiques destines aux professionnels de terrain, couvrant aussi bien les domaines techniques que lanalyse de risques et laudit des systmes, dans une optique de gouvernance des systmes dinformation. Pour paraphraser la formule des commissaires aux comptes, la certication CISSP apporte aux tiers (dirigeants, dcideurs, organisations institutionnelles, administration) lassurance raisonnable que le titulaire de la certication a fait la preuve de sa comptence dans le domaine. Un autre point fort de cette certication est la frquence de ses examens. En France, trois sessions se sont tenues au premier semestre 2008, alors quil ny a que deux sessions par an pour lobtention du CISA (Certied Information System Auditor) ou du CISM (Certied Information Security Manager). En revanche, bien que lexamen puisse se drouler en franais, la principale faiblesse de ce dispositif est la difcult de comprhension de certains concepts, due la diffrence entre les cultures amricaine et franaise.

7
CMMI

Le CMMI (Capability Maturity Model Integration) se dcompose en trois recueils de bonnes pratiques pour lamlioration continue de processus et permet galement une entreprise dobtenir un diagnostic daptitude ou de maturit de ses processus. Il sagit du CMMI-DEV pour les processus de dveloppement et de maintenance de produits, le CMMI-SVC, pour les processus de service et le CMMI-ACQ pour les processus dacquisition.

Figure 7.1 Modle CMMI

32

Chapitre 7. CMMI

Prsentation
Le CMMI concerne tous les processus lis aux affaires et aux projets, de lacquisition au service rendu en passant par le dveloppement et la prparation de la production en srie. Toutefois, il ne concerne pas les fonctions administratives non directement lies aux processus oprationnels comme la direction nancire. En revanche, le CMMI sintresse aux processus de support du management (fournis par la direction des ressources humaines, la direction commerciale, ou encore la direction des systmes dinformation), an de sassurer que les processus mtiers disposent bien des moyens et ressources ncessaires. Le CMMI sintresse la qualit des processus de management et dingnierie dune entreprise, et donc globalement sa maturit. Le CMMI a t organis sous forme de constellations, un ensemble de composants CMMI regroupant un modle, sa formation et sa mthode dvaluation. Il existe trois constellations :
la constellation dveloppement (CMMI-DEV, dveloppement de produits

et intgration systme) dnit un rfrentiel de bonnes pratiques pour une dmarche damlioration de gestion et de ralisation des projets et dingnierie systme ; la constellation services (CMMI-SVC, services informatiques, infogrance ou tierce maintenance, mais aussi de tous services professionnels, voire personnels, non lis linformatique) dnit un rfrentiel de bonnes pratiques compatibles avec ITIL et lISO 20000 pour la fourniture dun service ; la constellation acquisition (CMMI-ACQ, externalisation, outsourcing, offshore) dnit un rfrentiel de bonnes pratiques de gestion de la relation avec le fournisseur, depuis sa slection jusquau suivi de lexcution de sa mission en passant par la rdaction des contrats et la mise en place dindicateurs permettant de dtecter les ventuelles drives. La particularit des constellations est de proposer un noyau commun. Ainsi, 16 domaines de processus sont communs toutes les constellations. On retrouve ainsi dans le modle tag : Pour le niveau 2 Disciplin :
gestion des exigences, planication de projet, surveillance et contrle de projet, mesure et analyse, assurance qualit processus et produit, gestion de conguration.

Pour le niveau 3 Ajust :

focalisation sur le processus organisationnel, dnition du processus organisationnel,

CMMI

33

formation organisationnelle, gestion de projet intgre, gestion des risques, analyse et prise de dcision,

Pour le niveau 4 Gr quantitativement :

performance du processus organisationnel, gestion de projet quantitative.

Pour le niveau 5 En optimisation :

innovation et dploiement organisationnels, analyse causale et rsolution de problmes.

Le CMMI-DEV a t publi le 25 aot 2006. Cest la constellation la plus ancienne, celle sur laquelle il y a le plus de retours dexprience. Le CMMI-DEV (Capability Maturity Model Integration) apporte une solution complte et intgre pour les activits de dveloppement et de maintenance appliques aux produits. Il concerne les pratiques qui couvrent le cycle de vie du produit, de sa conception sa livraison et sa maintenance. La cration du CMMI-DEV a t coordonne par le SEI (Software Engineering Institute) de luniversit Carnegie Mellon aux tats-Unis avec un groupe denviron 30 industriels et des reprsentants de clients. Plusieurs modles prexistants sont la source de la conception du CMMI-DEV :
en matire de logiciel, le SW-CMM Capability Maturity Model for Software ; en matire de systme, le SE-CMM Systems Engineering Capability Model qui a

t produit par un groupement dindustriels sous la rfrence EIA/IS 731 ;

en matire dintgration, lIPD-CMM Integrated Product Development CMM

qui na pas t nalis, mais dont la version 0.98 est cependant disponible sur le site du SEI ; en matire dacquisition, le SA-CMM Software Acquisition Capability Maturity Model. Ces modles dorigine ne sont plus aujourdhui maintenus et sont remplacs par le CMMI-DEV. De plus, la compatibilit avec lISO 15504 est assure par la prise en compte des exigences de cette norme en matire de modle dvaluation de processus. Deux reprsentations sont proposes, gure 7.2, une par niveau de maturit (tage) et une autre dite continue par prol daptitude qui assure la compatibilit avec lISO 15504. Le rfrentiel nimpose aucun indicateur particulier, mais il exige que lentreprise dnisse des indicateurs de management et de performance avec les mtriques associes.

34

Chapitre 7. CMMI

Figure 7.2 Deux reprsentations du CMMI1

Documentation
Tous les documents relatifs ce dispositif sont rdigs en anglais et accessibles gratuitement sur le site du SEI :
le CMMI for Acquisition (CMMI-ACQ) ; le CMMI for Acquisition (CMMI-ACQ) Primer qui dnit les bases des bonnes

pratiques dacquisition ; le CMMI for Development (CMMI-DEV) ; le CMMI for Service (CMMI-SVC) ; lARC Appraisal Requirements for CMMI qui dnit les exigences applicables une mthode dvaluation ; le SCAMPI Standard CMMI Appraisal Method for Process Improvement qui dcrit la mthode dvaluation du SEI conforme lARC et donne des indications sur la charge de travail ncessaire pour raliser les valuations.

Depuis juin 2008, la version traduction en franais du CMMI-DEV v1.2, est disponible (CMMI 1.2 - Guide des bonnes pratiques pour lamlioration des processus, 2e dition, Pearson ducation France, ISBN 978-2-7440-7304-5). Il sagit de la traduction ofcielle, approuve par le SEI. Il existe galement une traduction du CMMI-DEV en japonais et une en chinois traditionnel. Par ailleurs, des livres en franais sont publis en particulier chez Dunod, dont CMMI 1.2 Laide-mmoire Les domaines de processus du CMMI-DEV par Richard Basque publi en octobre 2008.

CMMI

35

La documentation du CMMI est juge sufsante pour le mettre en uvre. Nanmoins, une formation permet plus facilement den comprendre lesprit et donc de naviguer dans la documentation trs bien faite et complte. La documentation de la mthode dvaluation (ARC et SCAMPI) est entirement et gratuitement disponible sur le site du SEI.

Mise en uvre
mi-2008, des valuations CMMI en provenance de 63 pays ont t ralises dont les rsultats ont t transmis au SEI1 . LAsie vient en tte du nombre de rsultats transmis au SEI pour enregistrement avec 1593, puis lAmrique du Nord avec 1187, ensuite lEurope avec 457, lAmrique du Sud avec 243, puis lAfrique avec 42 et enn lOcanie avec 31. En France, on compte 125 valuations se rpartissant en 4 de niveau 1, 75 de niveau 2, 38 de niveau 3, 1 de niveau 4 et 2 de niveau 5. LInde avec 158 organisations de niveau 5 est suivie par les tats-Unis qui en ont 118. mi-2008, 3 553 valuations CMMI avaient t ralises sur une priode de 76 mois dans les cinq continents dont 70 % dans des socits non amricaines. La rpartition par niveau de maturit, montre que la majorit des valuations (V1.2) se situent au niveau 4 (44 %) et 3 (32 %). Les organismes concerns sont en majorit les socits commerciales avec 73 % dvaluations, alors que les sous-traitants des marchs publics amricains en ralisent 22 % et les marchs publics amricains 5 %. Ce dploiement trs rapide du CMMI sur lensemble des pays industrialiss est suprieur celui du CMM. Outre les pays traditionnellement matures, on voit aujourdhui une vritable explosion de lutilisation du CMMI en Chine, Inde, Espagne, Argentine, Brsil et Malaisie. En France, le CMMI-DEV est utilis dans des secteurs dactivits varis tels que larospatial, les tlcommunications, les banques, les assurances, les services, lautomobile, mais aussi dans le secteur public (DGI, DGA, MAP...). Lapplication du rfrentiel ncessite un accompagnement : formation au dispositif, dnition de nouvelles pratiques, accompagnement du changement, suivi de lavancement, vrication priodique de processus, etc. Ces actions sont le plus souvent coordonnes par une quipe de support interne. La charge de mise en uvre du CMMI dpend du niveau de maturit de lentreprise au tout dbut de sa dmarche damlioration. Nanmoins, le SEI fournit des statistiques issues de lensemble des valuations qui ont t enregistres. Ces donnes facilitent le chiffrage et la planication de la dmarche. La dure de la phase de mise en uvre du CMMI-DEV est en moyenne de 18 24 mois pour lobtention du niveau 2, ainsi que pour le passage du niveau 2 au niveau 3. Lvaluation CMMI est effectue par des quipes formes la mthode dvaluation SCAMPI du SEI, et conduite par un valuateur en chef (Lead Appraiser) form et autoris par le SEI.
1. Source : rapport septembre 2008 www.sei.cmu.edu/appraisal-program/prole/prole.html.

36

Chapitre 7. CMMI

Depuis le 1er janvier 2006, SCAMPI est la seule mthode dvaluation reconnue par le SEI pour tous ses modles de maturit. La limite de validit dun niveau est aujourdhui de 3 ans, on peut penser qu lavenir il faille un audit de suivi tous les ans (comme dans ISO 9001). Si on publie le rsultat dune valuation SCAMPI hors de lentreprise, le Lead Appraiser doit maintenant tre externe au primtre valu, il nest plus possible de sauto valuer et proclamer les rsultats. Le SEI a conclu un accord avec certaines socits de service pour accompagner le dploiement du CMMI par la diffusion de formations et la ralisation dvaluations : ce sont les Partenaires du SEI (SEI Partners). La liste de ces socits partenaires gure sur le site du SEI. La mise en uvre du CMMI est formellement contrle par le SEI par lintermdiaire des Partenaires du SEI et des agrments dun valuateur en chef, le Lead Appraiser. Lvaluateur en chef doit tre enregistr auprs dun partenaire du SEI, partenaire qui doit avoir la licence de distribution des produits CMMI. Les valuateurs en chef doivent galement tre autoriss par le SEI au terme dun cursus de formation et dexprience x par le SEI. Cest un agrment difcile obtenir (une quinzaine de personnes en France sont aujourdhui rfrences en tant que SCAMPI Lead Appraiser), qui cote environ 80 000 $ et qui peut demander de 2 3 ans, dlai ncessaire pour suivre les diverses formations, obtenir lexprience de mise en uvre requise et faire valider lagrment lors dun SCAMPI sous observation du SEI.
Tableau 7.1 Formation des valuateurs CMMI Pour devenir Lead Appraiser, il faut : pouvoir justifier dune certaine exprience (en tre form au CMMI (Introduction to particulier, avoir particip des SCAMPI en tant que CMMI) ; membre dquipe) ; tre form la mthode dvaluation appartenir une socit Partenaires du SEI ou travailler SCAMPI par un Lead Appraiser. pour lune delles ; tre form au CMMI (formations Introduction to CMMI et Intermediate CMMI ) et la mthode dvaluation SCAMPI par le SEI ; tre observ lors de la 1re valuation ; tre accept par le SEI, suite cette observation. Pour tre autoris relativement une constellation (DEV, ACQ ou SVC), il est de plus requis davoir suivi la formation correspondante et davoir une exprience significative dans ce domaine Pour devenir valuateur, il faut :

Le programme de formation au CMMI et son modle dvaluation est trs prcisment dcrit sur le site du SEI, il est rsum dans le tableau 7.1. Il ny a pas de dlivrance de certicat par un organisme accrdit. Seules sont reconnues conformes les valuations conduites par un Lead Appraiser qui fournit un diagnostic indiquant le niveau de maturit atteint. Ensuite, si et seulement si lentreprise value le demande, ce rsultat est publi sur le site du SEI dans la List of Published SCAMPI Appraisal Results. Les rsultats ont tous la mme valeur quils soient publis ou non. partir de la version 1.2, leur validit est limite trois ans.

CMMI

37

Retour dexprience
Antoine N ARDZE, directeur dAlcyonix France, instructeur et valuateur CMMI et CMMI en France depuis plus de 12 ans a rpondu nos questions : ADELI : Est-ce que le CMMI-DEV remplace dautres standards ou modles ? Antoine N ARDZE : Non. Le CMMI-DEV est devenu le modle de fait pour le dveloppement et la maintenance dun produit ; il sarticule bien, en particulier, avec ITIL, CobiT, ISO 15504, ISO 9001, mais aussi avec les standards comme le DO-178 . Les entreprises disposent aujourdhui dun ensemble de modles dans lesquels elles peuvent aller puiser les bonnes pratiques qui leur sont utiles. chacun didentier les modles qui correspondent ses besoins. Le CMMI-DEV permet en outre dintgrer ces modles dans une approche cohrente. Cependant, le CMMI-DEV ne rsout pas tous les problmes. Il napporte pas ou peu de rponses relativement la technologie, au commerce, aux nances, aux ressources humaines... mais il permet den intgrer une grande partie dans un processus cohrent. ADELI : Quel sera le retour sur investissement ? Antoine N ARDZE : Si linvestissement est identiable a priori le bnce lest beaucoup moins, gnralement par manque de maturit : avant dutiliser des mesures, il faut dabord savoir mesurer (quoi, quand, comment, pourquoi...) ! Cependant, des bnces (tangibles ou intangibles) sont observs par les organisations qui ont mis en place une dmarche damlioration continue et qui lont maintenue dans la dure. Quelques publications sur les ROI obtenus sont disponibles (voir en particulier http://www.sei.cmu.edu/publications/documents/06.reports/06tr004.html qui indique un ROI de 4:1). De fait, les utilisateurs du CMMI-DEV obtiennent des retours positifs sur la productivit, les dlais, les cots et les taux de dfaut ds que les processus concerns sont relativement stabiliss et matures. ADELI : Peut-on se passer du CMMI-DEV ? Antoine N ARDZE : Avez-vous dj essay de conduire une voiture sans volant, sans acclrateur et sans frein ? En fait, il ny a pas dalternative : la matrise de lamlioration de processus est indispensable car les processus voluent naturellement et rgulirement ; on ne peut pas imaginer survivre trs longtemps si lon ne se dote pas de moyens pour piloter cette amlioration en lalignant sur les besoins et objectifs business . Georgette D UBAIN, responsable du programme damlioration CMMI de Thales dclare : Il est certain que la mise en place dune dmarche CMMI ne peut pas et ne doit pas tre engage la lgre. Elle doit correspondre une dcision managriale du plus haut niveau, avec une forte volont de la Direction, un pilotage serr des actions et un suivi des rsultats, faute de quoi la rsistance au changement bloquera lamlioration escompte. Linvestissement ncessaire dpend trs fortement du nombre de personnes concernes par la dmarche, du nombre de disciplines couvertes, du nombre de sites gographiques, de lhtrognit des affaires et des pratiques, et surtout de la maturit initiale. Cet investissement sera trs rapidement compens par une meilleure matrise des processus entranant un gain de productivit.

38

Chapitre 7. CMMI

Les bnces attendus sont principalement la matrise et la rduction des cots et des dlais, lamlioration de la productivit, la matrise de la qualit, la matrise des grands programmes, mais galement lafchage dun niveau de maturit vis--vis des tiers (clients, actionnaires), offrant un meilleur positionnement par rapport la concurrence. Le CMMI a t jug pertinent pour conduire la dmarche damlioration dans toutes les units du groupe Thales . Sophie R OBERT, directrice des tudes de BNP Paribas Personal Finance, socit du groupe BNP Paribas, dclare : BNP Paribas Personal Finance a choisi de sappuyer sur le CMMI-DEV ds 1998 (CMM lpoque) pour maintenir un processus qualit fort, initi ds le dbut des annes 1990 lors de la refonte totale du systme dinformation Immobilier. Paralllement, ds 2001, ITIL a t retenu pour optimiser les processus de production informatique. Nos objectifs taient avant tout Business (qualit, dlais, cots, ractivit). La mise en uvre sest traduite par la consolidation de nos acquis, renforce dactions damliorations opportunistes et concourantes la mise en place dun processus logiciel fort. Il est important dtre vigilant sur le fait que le modle CMMI-DEV nest pas appliquer la lettre mais dans lesprit . Le projet damlioration continue est conduit par environ deux quivalents temps pleins, qui sappuient sur les retours dexprience (internes ou externes), les mesures et les suggestions des oprationnels pour proposer des adaptations des processus et des organisations, qui sont dcides par lquipe dirigeante. Nous avons retenu un rythme dvaluation ofcielle tous les 36 mois, qui correspond la fois notre volont de continuit et la ncessit de fdrer lorganisation autour de lamlioration continue. Coupls une focalisation sur lArchitecture du SI, une organisation optimise et bien sr aux hommes qui les conduisent, nos processus logiciels ont permis damliorer signicativement notre efcacit oprationnelle, puisque nous mesurons en 2008 une efcacit 2 3 fois plus grande quen 2003 selon les secteurs. Limpact de la mise en uvre de CMMI-DEV a t excellent, dans le sens o il sest rvl comme un vritable guide, pour latteinte de meilleurs rsultats et la reconnaissance dun niveau de professionnalisme incontest . Dune manire gnrale, les bnces attendus de la mise en uvre du CMMI concernent lamlioration de la maturit des pratiques sur les affaires et les projets, une atteinte plus sre des objectifs stratgiques et une meilleure matrise des cots et dlais. La grande force de ce dispositif est la prsentation de concepts multidisciplinaires dpassant le domaine troit du dveloppement de logiciel et applicable dans des contextes non informatiques. Un dispositif cohrent est maintenant utilisable. La terminologie est donc unique pour tous les domaines, ce qui permet de rduire les cots de formation et dvaluation.

CMMI

39

Ce dispositif a t dvelopp par des industriels pour des industriels, il est donc adapt leurs besoins. Ce dveloppement sest fait en prenant en compte les dix annes dexprience du SW-CMM (software CMM) : en particulier, il est plus facilement applicable aux petites et moyennes entreprises que le SW-CMM. La compatibilit du CMMI avec la norme ISO 15504 fournit une passerelle ceux qui veulent utiliser ces deux modles. Une contrainte freine la ralisation dune valuation ofcielle : lobligation de transmettre le rsultat de lvaluation au SEI en intgrant la prsentation nale, avec les paramtres de lvaluation, les constats synthtiss des forces et faiblesses par processus et la cotation. Ce frein relve du souci de condentialit des entreprises franaises qui ne souhaitent pas forcment donner, un organisme amricain, une grande visibilit sur leurs forces et faiblesses. Il faut galement noter que le vocabulaire doit tre adapt au contexte et la culture de chaque entreprise.

8
CobiT

Le rfrentiel CobiT sert de cadre pour la certication dune personne physique en matire daudit, de scurit ou de gouvernance des systmes dinformation.

Figure 8.1 Dispositif CobiT

Prsentation
Comprendre et grer les opportunits et les risques lis aux systmes dinformation, tel est lobjectif de la gouvernance des technologies de linformation. Elle conditionne au plus haut niveau lefcacit de la gouvernance de lentreprise.

42

Chapitre 8. CobiT

LISACA (Information Systems Audit and Control Association) a dvelopp le CobiT (Objectifs de contrle pour linformation et les technologies associes) partir de 1994, en tant que modle de rfrence pour laudit des systmes dinformation. LISACA, association internationale dauditeurs reprsente en France depuis 1982 par lAssociation franaise de laudit et du conseil informatiques (AFAI), a t cre en 1967. Elle compte aujourdhui plus de 85 000 membres individuels rpartis dans plus de 160 pays qui occupent des postes lis au traitement de linformation, tels que directeurs des systmes dinformation, auditeurs internes et externes, consultants, formateurs ou encore professionnels de la scurit. Au dbut des annes 2000, lISACA a pris en compte la proccupation de la Corporate governance porte par le COSO (Committee of Sponsoring Organizations of the Treadway Commission). Le COSO a pour but damliorer la qualit des informations nancires fournies par les entreprises du secteur priv travers lthique, le contrle interne et la gouvernance dentreprise. Cette orientation stratgique sest traduite en 1998 par la cration de lITGI (Information Technology Governance Institute), qui a pour vocation la conduite de projets de recherche dans le domaine de la gouvernance des systmes dinformation. Les bonnes pratiques de CobiT sont le fruit dun consensus dexperts mondiaux. Elles sont trs orientes vers le contrle, au sens matrise pour la ralisation des objectifs, et moins vers lexcution. Elles ont pour but daider optimiser les investissements informatiques, assurer la fourniture des services et fournir des mtriques auxquelles se rfrer pour valuer le bon fonctionnement des systmes. CobiT est en permanence tenu jour et harmonis avec dautres cadres de rfrence faisant autorit. CobiT rpond plusieurs proccupations complmentaires concernant les systmes dinformation :
offrir un rfrentiel unique au contrle interne, aux auditeurs internes ainsi qu

linspection en relation avec la DSI et les tiers externes ; offrir un cadre dinvestigation pour les auditeurs externes, les actionnaires, les commissaires aux comptes ; couvrir la proccupation de la gouvernance des systmes dinformation et du management des risques ; intgrer les rfrentiels de la DSI (ISO 27001, CMMI, ITIL) dans un souci de gouvernance des systmes dinformation. CobiT aide les dirigeants valuer les risques et contrler les investissements dans un environnement informatique souvent imprvisible. Il permet ainsi de vrier que la gouvernance des systmes dinformation est cohrente avec celle de lentreprise : on parle alors dalignement stratgique. Il fournit aux directions oprationnelles, utilisatrices de linformatique, des garanties sur la scurit et les contrles des services informatiques internes ou sous-traits. Les auditeurs peuvent lutiliser pour justier leur opinion et conseiller les dirigeants sur les contrles internes mettre en uvre.

CobiT

43

Enn, auditeurs et informaticiens peuvent utiliser CobiT pour valuer le niveau de gouvernance des systmes dinformation de lentreprise. CobiT repose sur une approche processus assez ne qui subdivise le systme dinformation en 34 processus rpartis en quatre domaines fonctionnels :
planication et organisation ; acquisition et mise en place ; distribution et support ; surveillance et valuation.

La quatrime dition de CobiT est venue remplacer en 2005 la troisime dition qui datait de 2000. Elle a t traduite en franais en 2006 par lAFAI. Les principales volutions de la version 4 sont :
une volont de mettre au premier plan la gouvernance des systmes dinforma-

tion devant lorientation traditionnellement tourne vers laudit ; une dmarche rsolument oriente vers laction, plus que vers le contrle ; une volont de rapprochement des autres rfrentiels complmentaires que sont CMMI, ITIL et ISO 27001 en matire de systme dinformation et du rfrentiel COSO en matire de gouvernance dentreprise. Cette version 4 comprend six fascicules :
Synthse ; Cadre de rfrence (les 34 processus) ; Noyau, lui-mme dcompos en deux sous-parties :

les objectifs de contrle (associs aux 34 processus, ils sont passs de 318 dans la V3 220 dans la V4, les objectifs gnriques ayant t remonts dans le cadre de rfrence), le Guide de management,
Annexes ; Guide de mise en uvre de la gouvernance des TI qui reprend les outils de mise

en uvre de la V3 ;
Guide daudit des Systmes dinformation.

Le Guide de Management de CobiT V4 propose :

une description de chacun des 34 processus, prcisant les entres/sorties et les

liens avec les autres processus ;

une matrice de responsabilit dtaille pour les activits de chacun des proces-

sus ;
des objectifs et des mtriques revus dans une perspective oriente mtier

comprenant des indicateurs de management pour vrier que les objectifs sont atteints, ainsi que des indicateurs de performance pour sassurer que la qualit des dispositifs en place y contribuent ;

44

Chapitre 8. CobiT

un dispositif dvaluation des processus par rapport aux pratiques cls de gestion ; un modle de maturit de chaque processus permettant den apprcier le niveau

sur une chelle de 0 (inexistant) 5 (optimis), sur la base de six critres de maturit : conscience et communication, rgles, standards et procdures, outils et automatisation, comptences et expertises, responsabilit et charge, xation et mesure des objectifs.

Indicateurs et mtriques sont au cur de CobiT. Ils ont t revus dans la V4, pour tre plus orients mtiers et de faire mieux apparatre la relation entre les objectifs dun processus et les rsultats obtenus. Lutilisation dindicateurs identiques par des socits diffrentes utilisant CobiT devrait permettre chacun de se situer dans lchelle des bonnes pratiques. Le modle de maturit fournit de plus une mesure synthtique, mais pas forcment comparable celle dautres entreprises si elle est ralise sous forme dauto-valuation. Enn, dans le mme ordre dide, la structuration des processus et lafnement des indicateurs devrait conduire des comparaisons interentreprises plus systmatiques.

De nouvelles extensions CobiT : Val IT, Risk-IT

Publi en 2006, Val IT vient complter CobiT en traitant de la cration de valeur pour lentreprise via les investissements technologiques, fournissant ainsi un cadre de rfrence plus complet de la gouvernance des systmes dinformation. Le rfrentiel Val IT porte sur la gestion des investissements, des portefeuilles de programmes et de projets, ainsi que sur la gouvernance de la valeur. En effet, les projets de transformation de lentreprise et de ses processus comportent de plus en plus souvent une composante informatique signicative. Les directions gnrales exigent de plus en plus de transparence sur les apports des projets et souhaitent pouvoir tayer leurs dcisions et arbitrer ou rviser les choix effectus. Ds lors que les demandes existent, en matire de projets, il convient de se poser quelques bonnes questions :
les investissements informatiques consentis sont-ils rellement gnrateurs de

valeur pour lentreprise ;

et ce, un cot acceptable ; et un niveau de risque matris ?

La rponse ces questions est dans la mise en uvre de processus et de bonnes pratiques qui vont les pauler. Val IT comprend trois parties :
un cadre de rfrence pour obtenir une relle valeur des investissements

informatiques ;

CobiT

45

la description du rle cl du business case ; un retour dexprience rel.

Val IT distingue trois axes de gouvernance des projets systmes dinformation :

la gouvernance de la valeur (GV) : ou comment sorganiser pour piloter,

matriser les projets, dcider de leur poursuite et savoir, en toute connaissance de cause do vient la valeur pour lentreprise et comment la valoriser ; la gestion de portefeuille (GP), ou comment organiser les projets lmentaires pour obtenir une vision exploitable des projets lancs ou en cours, et se donner les moyens de piloter le portefeuille de projets ; la gestion des investissements (GI), qui relve dune analyse des projets lmentaires et de construction de programmes qui les englobent, et sappuie sur une logique de dmonstration de la valeur cre, au travers de loutil fondamental quest le business case . Risk IT, le volet matrise des risques du dispositif CobiT, est en cours de mise au point et devrait paratre n 2009 dans sa version dnitive. Il apportera une vision tendue du risque informatique, dpassant celle du risque scurit, abord par dautres rfrentiels.

Documentation
LAFAI a traduit et publi CobiT V4 en franais en 2006, ainsi que Val IT en 2007. La premire version en ligne de CobiT a t dveloppe en 2003 pour la version V3. Personnalisable par lutilisateur, elle permet des comparaisons internes ou avec dautres entreprises. Son utilisation repose sur un principe de licence annuelle. CobiT Quickstart, version allge de CobiT destine aux petites et moyennes entreprises ou aux entreprises pour lesquelles linformatique est moins stratgique a t mise jour la n de lanne 2005. Elle rpond aux critiques de lourdeur qui ont pu tre adresses CobiT V3 dans sa version complte. Il sagit dun sous-ensemble de CobiT qui ninclut que les objectifs les plus critiques. Dans son livre blanc IT Control Objectives for Sarbanes-Oxley, lITGI a dclin les exigences sur le systme dinformation de la loi Sarbanes-Oxley. On y rappelle en introduction que, depuis 2003 pour se conformer COSO, les entreprises doivent adopter un rfrentiel de contrle qui stend aux systmes dinformation. Dans cette publication, on trouve une grille de correspondance entre CobiT et les cinq axes de contrle de COSO, ainsi quune grille dtaille des objectifs de contrle de CobiT applicables Sarbanes-Oxley. Enn, lISACA et lITGI mettent jour en permanence une documentation trs riche autour de CobiT qui rete le succs de ce rfrentiel et le souci den faire une sorte dintgrateur de la gouvernance des systmes dinformation. Citons en particulier les grilles de correspondance (mapping) entre CobiT et les autres rfrentiels (CMMI, ISO 27001, ITIL, PMBOK, Prince2), lutilisation de CobiT dans le contexte de la loi Sarbanes-Oxley ou des audits de progiciels de gestion intgr.

46

Chapitre 8. CobiT

Une grande partie de ces documentations est consultable en ligne sur le site de lISACA ou disponible auprs de lAFAI.

Mise en uvre
La notorit de CobiT et celle de Val IT sont en croissance constante auprs du secteur public, des entreprises nancires, industrielles ou de services. En France, les formations et les ventes douvrages sur CobiT ont srieusement progress ces dernires annes. La croissance lente qui prvalait avant 2004 tait essentiellement le fait des auditeurs. Depuis lors, deux phnomnes peuvent expliquer le succs de CobiT : la dclinaison locale de loi Sarbanes-Oxley avec les nouvelles normes comptables internationales IFRS (International Financial Reporting Standards) et la Loi de scurit nancire (LSF) dune part et dautre part lmergence du concept de gouvernance des systmes dinformation. La gnralisation de CobiT comme rfrentiel pour lapplication de la loi SarbanesOxley est en partie source de sa notorit grandissante. Les grands cabinets daudit internationaux lont systmatiquement adopt ainsi que les services daudit et de contrle interne. Ramener CobiT une dimension de contrle serait toutefois ignorer le chemin parcouru entre le point de dpart (laudit) et la couverture actuelle qui inclut la gouvernance des systmes dinformation. Ainsi, lAFAI a suivi lexemple de lISACA en crant en 2004 lInstitut de la gouvernance des systmes dinformation (IGSI), association parit avec le Club informatique des grandes entreprises franaises (CIGREF). Cette association organise un symposium annuel au mois de mai sur la gouvernance des systmes dinformation. Il nexiste pas de dispositif de reconnaissance ofciel li la mise en uvre de CobiT. Dans la mesure o ce rfrentiel sert de guide lvaluation de la conformit des lois comme Sarbanes-Oxley, IFRS ou LSF, voire des principes de gouvernance comme COSO, la question de la conformit CobiT ne se pose pas en tant que telle. LISACA a institu une valuation des personnes par rapport une base de connaissance dont le cur est constitu de CobiT et de Val IT. Les certications internationales CISA (Certied Information System Auditor), CISM (Certied Information Security Manager), CGEIT (Certied in the Governance of Enterprise Information Technology) sont dlivres par lISACA. Ces certications individuelles, attaches la personne physique qui les obtient, sont en cohrence la fois avec les principes de laudit ou de la gouvernance et en phase avec CobiT. Il ne sagit pas pour autant de certications CobiT stricto sensu, contrairement ce qui existe pour le CMMI ou pour ITIL par exemple. Ladhsion au code dthique de lISACA et sa politique de formation continue est un pr requis lobtention des certicats.

CobiT

47

La certication CISA
La certication CISA sanctionne la russite un examen organis par lISACA et la validation de cinq annes dexprience dans le domaine de comptences de laudit informatique. Lexamen couvre tous les domaines de laudit des systmes dinformation, des aspects techniques aux aspects organisationnels :
le processus daudit des systmes dinformation ; la planication, lorganisation et la gestion des systmes dinformation ; linfrastructure technique et la gestion oprationnelle ; la protection des actifs informatiques ; les plans de secours et de continuit dactivit ; la gestion des risques ; la gestion des incidents.

Lexamen est organis tous les ans en juin et en dcembre, sous forme dun QCM de 200 questions traiter en 4 heures, disponible en 11 langues dont le franais. Le candidat doit sengager respecter les standards daudit de systmes dinformation de lISACA. La russite lexamen est conditionne par un taux minimum de 75 % de bonnes rponses. Il existe 160 centres de test dans le monde dont plusieurs en Europe : Paris, Bruxelles, Anvers, Luxembourg et Zurich. LAFAI propose en France des formations prparatoires cet examen. Une fois obtenu, le certicat doit tre conrm tous les ans en justiant de 20 heures de formation continue et de 120 heures tous les trois ans. La certication CISA est devenue un pralable pour le recrutement, voire la promotion, dauditeurs informatiques dans certaines grandes entreprises et cabinets daudit internationaux. En 2007, on comptait plus de 55 000 professionnels titulaires du CISA dans le monde depuis sa cration en 1978. Environ 150 candidats par an en France se prsentent lexamen avec un taux de russite de 50 %.

La certication CISM
La certication CISM, lance en 2003, sadresse principalement aux responsables de la scurit des systmes dinformation et aux consultants en scurit, mais aussi aux gestionnaires de risques et directeurs informatiques, dsireux de dmontrer leurs expriences et comptences en la matire. Lexamen couvre les thmes :
de la gouvernance de la scurit ; de la gestion des risques ; des schmas directeurs de la scurit de linformation ; de la gestion de la scurit ; de la gestion des incidents.

48

Chapitre 8. CobiT

Lexamen est organis tous les ans en juin et en dcembre, suivant des principes identiques celui du CISA, et peut tre pass en anglais, japonais, coren ou espagnol. En 2007, on comptait plus de 7 000 professionnels certis dans plus de 80 pays. Une fois obtenu, le certicat doit tre conrm tous les ans en justiant de 20 heures de formation continue et de 120 heures tous les trois ans. LAFAI propose galement pour prparer la certication CISM une formation sur la scurit en gnral et la scurit des rseaux dont Internet.

La certication CGEIT
La certication CGEIT, dont le premier examen sest droul en dcembre 2008, permet dsormais de reconnatre les connaissances en matire de principes de gouvernance du systme dinformation et la capacit des professionnels appliquer les bonnes pratiques correspondantes. Ces principes de gouvernance sont principalement fonds sur les travaux de lITGI et comprennent les six domaines suivants :
le cadre de rfrence de la gouvernance du systme dinformation ; lalignement stratgique ; la fourniture de valeur ; la gestion des risques ; la gestion des ressources ; la mesure de la performance du systme dinformation.

Retour dexprience
Dominique M OISAND, prsident-directeur gnral de la socit ASK Conseil et vice-prsident de lAFAI apporte son tmoignage : Quel est le rle dun rfrentiel ? Garantir la mise en uvre de bonnes pratiques valides sur une base signicative est sans doute la rponse la plus courante : la certication va dans ce sens. Avec CobiT, ce qui est au premier plan, cest la communication entre des acteurs trs htrognes : actionnaires, commissaires aux comptes, auditeurs, oprationnels mtiers, directeurs, contrleurs de gestion et informaticiens. Chacun deux va se retrouver autour de quelques processus parmi les 34 dcrits dans CobiT. Certains trouveront cette maille descriptive trop large et auront besoin de lafner en entrant dans des rfrentiels complmentaires spcialiss (CMMI, ISO 27001, ITIL, etc.) ou dans un niveau de dtail plus pouss (conformit avec la loi Sarbanes-Oxley ou IFRS). Avec la reprsentation des tableaux de bord quilibrs (BSC, Balanced ScoreCards), CobiT offre une vision commune de la gouvernance des systmes dinformation qui dpasse le strict aspect nancier pour devenir un outil de pilotage stratgique. En rsum, CobiT est un rfrentiel fdrateur parce quil se situe un bon niveau de maille pour tre sufsamment pertinent pour tous, tout en intgrant les principes fondateurs de lISO 9000 (vision par processus, amlioration continue), du benchmarking ou des rfrentiels techniques (modles de maturit). Il peut servir de

CobiT

49

base la mise sur pied dun pilotage unique et la cration dun vocabulaire commun tous, pour la gouvernance des systmes dinformation . Hendrik C EULEMANS, dirigeant de la socit InfoGovernance, consultant et formateur dans plus de trente pays sur quatre continents, afrme sa conance dans CobiT : La progression de ladaptation dans le monde de CobiT et de Val IT pour amliorer la gouvernance des SI, sera davantage stimule par la crise conomique que nous connaissons actuellement. Dans ce nouveau monde futur, les responsables dorganisations devront davantage pouvoir donner lassurance raisonnable quils connaissent leurs risques et les matrisent sufsamment. Pour ce faire, ils auront davantage besoins de professionnels conrms pour les aider dvelopper et tester un cadre de contrle, adapt aux nouvelles exigences et fond sur les bonnes pratiques crdibles linternational. Ces certications crdibilisent et motivent les professionnels. Aujourdhui, ces certications sont un critre de recrutement et de promotion dans le monde entier. De plus, les certis adhrent une communaut dintrt mutuel, vritable lieu dchanges et de dialogues. Lobtention des certicats apporte une preuve tangible dune vritable progression de carrire : en effet, la russite lexamen, fonde sur lexprience du terrain, indique une exprience solide couple une vritable expertise en management, ou en audit, de la matrise de linformation et des systmes dinformation . Avantage ou inconvnient ? Le caractre polyvalent de CobiT est indniable, la fois utilisable pour lvaluation des risques, class dans les rfrentiels de scurit, daudit et dans les outils ddis la mise en uvre de la loi Sarbanes-Oxley. En contrepartie de cette polyvalence, CobiT a la rputation dune certaine lourdeur, ce qui a justi le lancement dune version allge CobiT Quickstart pour les petites et moyennes entreprises. En matire daudit, la reproductibilit des rapports est le premier avantage de CobiT. En utilisant CobiT, deux auditeurs certis CISA devraient produire des rapports semblables. La diffusion internationale du rfrentiel est apprcie par les groupes multinationaux. LISACA fait lobjet depuis septembre 2005 dune accrditation conforme la norme ISO 17024 pour les certications de personnes CISA et CISM. La certication CGEIT devra probablement se conformer cette norme. Un point fort de CobiT, dans sa version V4, est la volont de compatibilit avec dautres rfrentiels incontournables, tels quITIL, CMMI ou encore les normes ISO 27001 et ISO 27002, qui sappuient tous sur une approche processus.

9
EFQM

Le dispositif EFQM permet une entreprise de faire reconnatre lexcellence de son systme de management.

Figure 9.1 Dispositif EFQM

Prsentation
LEFQM (European Foundation for Quality Management) a t cre en 1988 par les prsidents de 14 entreprises europennes (Bosch, BT, Bull, Ciba-Geigy, Dassault, Electrolux, Fiat, KLM, Nestl, Olivetti, Philips, Renault, Sulzer, Volkswagen) avec

52

Chapitre 9. EFQM

le soutien de la Commission europenne. Base Bruxelles, cette fondation sest x la mission de promouvoir en Europe un systme de management fond sur les concepts de la qualit totale. Cette fondation compte aujourdhui plus de 700 membres rpartis dans lensemble des pays europens. Depuis janvier 2004, AFAQ-Afnor est lorganisme reprsentatif franais de lEFQM. Les premiers prix ont t attribus en 1992, sur la base du modle EFQM version 1991. La version la plus rcente date de 2003. Elle est traduite en franais. Il existe dautres dispositifs de prix qualit :
le Prix Deming, gr par le W. Edwards Deming Institute, cr en 1951 au Japon ; le Malcolm Baldrige National Quality Award, gr par le National Institute for

Sciences and Technology (NIST), cr en 1987 aux tats-Unis ; le Prix franais de la qualit, lanc en 1992 par le Ministre de lindustrie et gr lorigine par le Mouvement franais pour la qualit (MFQ) et aujourdhui par la Fdration des associations rgionales du MFQ (FAR-MFQ). Le dispositif EFQM a pour objectif lamlioration continue de lentreprise vers lexcellence et sa reconnaissance au travers de plusieurs dispositifs : prix europen de la qualit, reconnaissance europenne de la matrise de lexcellence, reconnaissance europenne de lengagement vers lexcellence. Le modle EFQM se compose de neuf critres, les cinq premiers sont des facteurs dexcellence et les quatre suivants des mesures de performance. Ils sont ensuite dcoups en sous-critres :
le leadership : comment, par leur exemplarit, le comportement et les actions

des instances dirigeantes visent promouvoir une culture dexcellence dans lentreprise (cinq sous-critres) ; la politique et la stratgie : comment lentreprise les dnit, les met en uvre et les revoit (quatre sous-critres) ; la gestion du personnel : comment lentreprise motive, gre les comptences et lcoute de ses collaborateurs (cinq sous-critres) ; les ressources : comment lentreprise gre ses ressources et ses partenariats (cinq sous-critres) ; les processus : comment lentreprise sassure que ses processus servent bien sa politique et sa stratgie et quils sont bien dnis en tenant compte des retours de ses clients (cinq sous-critres) ; la satisfaction des clients : comment lentreprise y contribue et la mesure (deux sous-critres) ; la satisfaction du personnel : comment lentreprise y contribue et la mesure (deux sous-critres) ; lintgration la vie de la collectivit, quelquefois dnomme responsabilit sociale : comment lentreprise y contribue et mesure la satisfaction de la collectivit (deux sous-critres) ; les rsultats oprationnels : comment lentreprise contribue latteinte de ses objectifs commerciaux et mesure ses performances (deux sous-critres).

EFQM

53

Documentation
Un ensemble douvrages existe et est disponible la librairie EFQM dAFAQ Afnor. La documentation est disponible auprs de lEFQM en diffrentes langues. Un EFQM Starter Kit est vendu par lEFQM pour faciliter le dmarrage de la dmarche.

Mise en uvre
Mettre en uvre lEFQM est une dmarche managriale damlioration permanente qui est de plus en plus utilise pour raliser les auto-valuations de systme de management an den identier les points forts et de dgager des axes damlioration. Ce dispositif est multisectoriel et sapplique la totalit de lentreprise, tous ses processus, tous ses acteurs et toutes ses interfaces tant internes quexternes. Il sapplique lvaluation du niveau dexcellence dune entreprise. Le modle EFQM est utilis par plus de 30 000 entreprises en Europe en tant quoutil dauto-valuation. En dehors des adhrents EFQM, il est cependant difcile de savoir qui pratique lauto-valuation et donc de connatre la diffusion effective de ce dispositif en Europe. LUnion europenne a choisi le modle EFQM dexcellence comme la rfrence pour le secteur public. En mai 2000, elle a adopt un outil driv du modle EFQM dexcellence qui sert amliorer le fonctionnement des administrations. Cet outil existe en 16 langues. En France, il se nomme Cadre dauto-valuation des fonctions publiques. Il sagit dun outil dauto-valuation qui a deux vocations :
tre un outil pdagogique propre promouvoir la culture du management de la

qualit ; tre une rfrence dvaluation commune pour pouvoir faire des comparaisons entre les administrations des pays europens. En 2004, un prix europen EFQM Collectivits locales et territoriales a t mis en place, avec le support de Cisco Systems, HP et CGE & Y. Ce dispositif est destin rcompenser les villes, communauts urbaines, communauts dagglomrations, structures dpartementales et rgionales (Conseils gnraux et rgionaux) pour la mise en place dune organisation performante et la matrise des nouvelles technologies de linformation. Le dispositif repose sur lvaluation dindicateurs correspondant aux neuf critres du modle EFQM et 32 sous-critres permettant de calculer une note globale. Des formations sont recommandes. Deux types de formation existent : formation lvaluation et formation lauto-valuation. Il existe des formations dlivrant un certicat de connaissance du rfrentiel et de capacit la ralisation dvaluations. LEFQM fournit un registre de consultants et fournisseurs de formation et dlivre des licences permettant de donner des formations qualiantes lvaluation EFQM.

54

Chapitre 9. EFQM

Auto-valuation
Dans le cadre dune auto-valuation, la mise en uvre du modle EFQM peut rester strictement interne lentreprise. Elle est alors ralise partir des critres et souscritres dnis dans le modle dvaluation auxquels des points sont attribus.

Reconnaissances de lexcellence Le prix europen de la qualit

Le prix europen de la qualit implique la prsentation une chance donne dun dossier de 75 pages maximum qui sera not en fonction de quatre axes :
rsultats ; approche ; dploiement ; valuation et revue.

Si la note est suprieure une valeur dnie par le jury (plus de 500 points sur 1 000), des visites de sites par des valuateurs sont alors organises pour vrier de manire indpendante le contenu du rapport et valuer la mise en uvre. Les valuateurs rdigent un rapport soumis au jury qui effectue le choix nal. Le dossier peut tre prsent dans lune des cinq catgories suivantes :
Grandes entreprises ou entits indpendantes (business units), constituant elles

seules un centre de prot, ayant un niveau dactivit sufsamment important (plus de 250 employs et plus de 50 % du chiffre daffaires hors du groupe) ; Entits oprationnelles, constituant un centre de cot, avec un niveau dactivit important (plus de 250 employs, mais moins de 50 % du chiffre daffaires hors du groupe) ; Secteur public ; Petites et moyennes entreprises, liales dune grande entreprise, fonctionnant comme un centre de prot indpendant (plus de 50 % du chiffre daffaires ralis en dehors du groupe, moins de 250 employs) ; Les petites et moyennes entreprises indpendantes (chiffre daffaires de moins de 40 millions deuros et rsultat de moins de 27 millions deuros).

Dans chacune des cinq catgories prcdentes, le prix annuel est dcern par le jury selon trois niveaux de classement :
Award Winners, avec un gagnant par catgorie ; Special Price Winners, dcern pour une orientation particulire de lentreprise,

par exemple pour la gestion du personnel ou lorientation rsultats oprationnels ; Finalistes, pour les entreprises qui prouvent un degr sufsamment lev dexcellence dans le management de leur qualit et la mise en uvre dun processus damlioration continue.

EFQM

55

Depuis sa cration en 1992, 23 pays sont au moins classs parmi les nalistes. Cest le Royaume uni qui rae le plus de Awards (16), la Turquie vient ensuite avec 7, puis lAllemagne avec 3 et la France avec 2 en 1995 et 1999 ; en ce qui concerne les Special Price Winners, la France vient aprs le Royaume Uni (25), la Turquie et lEspagne (15), lAllemagne (14), la Grce (6), lItalie et le Danemark (5) puis la France, la Hongrie et la Suisse (3). La France a fait partie dix fois des nalistes.

Certicat de reconnaissance pour lexcellence

Ce certicat sadresse aux entreprises pratiquant lauto-valuation laide du modle complet de lEFQM. La soumission peut se drouler de diffrentes faons : ce peut tre un dossier de 51 pages maximum, suivi dune visite de sites ou une valuation complte sur site par une quipe dvaluateurs. Cela permet didentier de manire indpendante les forces et axes damlioration de lentreprise et de fournir une notation de chaque sous-critre. Cette reconnaissance est attribue partir de lobtention dun total de 400 points sur 1 000.

Certicat dengagement pour lexcellence

Il sadresse aux entreprises qui commencent sengager sur la route de lexcellence. Lobtention de ce certicat se fait en deux tapes :
effectuer une auto-valuation et en dduire une liste daxes damlioration ; fournir un validateur la preuve que les actions ciblant les axes damlioration

ont t dployes. Pour cela des documents sont produits, des entretiens sont tenus et une visite sur site de deux jours a lieu.

Retour dexprience
Un communiqu de presse dAFAQ de janvier 2006 indique : LEFQM et une quipe internationale duniversitaires de Leicester (GrandeBretagne) viennent de publier une tude sur la performance nancire des socits europennes rpondant aux principes fondamentaux du modle dexcellence EFQM. Cette analyse de la performance nancire de 220 socits sur une priode de 11 annes met en vidence la valeur conomique des dmarches dexcellence EFQM. Ltude se base sur la comparaison de 120 socits laurates dun prix Qualit et Excellence EFQM par rapport un panel de 100 entreprises semblables par leurs tailles et secteurs dactivits, sur des critres spciques de performance nancire. Les rsultats montrent que les entreprises ayant obtenu une reconnaissance EFQM afchent une croissance plus importante que celles du panel test. En effet, ce type de dmarche de recherche de lExcellence a des impacts trs positifs sur la valeur de leurs actions, leurs ventes, leurs indicateurs investissements/actifs et investissements/ventes , leurs actifs et la rduction de leurs dpenses. Notamment, les rsultats de cette tude illustrent que la mise en place des huit principes fondamentaux du modle EFQM gnre une augmentation des ventes de 77 % en moyenne et une valeur de laction en hausse de 36 % par rapport aux autres entreprises.

56

Chapitre 9. EFQM

Les rsultats de cette tude apportent la preuve aux entreprises qui envisagent de mettre en place une dmarche EFQM, que les bnces structurels et conomiques attendus sont rels avec un niveau tel quils leur permettront de se distinguer sur leur march face la concurrence et vis--vis de leurs partenaires 1 . Parmi les bnces attendus de lapplication du modle EFQM, on peut citer la connaissance des processus de lentreprise, lamlioration de la performance des activits, la comparaison aux bonnes pratiques des entreprises et la reconnaissance du niveau atteint en interne ou en externe. Ladhsion lEFQM permet lentreprise de partager avec dautres entreprises des retours dexprience. Les bonnes pratiques des gagnants du prix europen de la qualit sont diffuses lensemble des entreprises membres de lEFQM via une base de donnes. Lentreprise membre dEFQM a le sentiment dappartenir un groupe litiste dentreprises engages dans lexcellence. La mise en uvre du modle EFQM permet de constituer un vritable outil managrial. Il englobe et dpasse les exigences de la norme ISO 9001 pour laquelle il fournit des voies damlioration pour les prochaines rvisions. Il prend en compte non seulement le client, mais aussi les diffrentes parties prenantes (actionnaires, personnel, environnement) ; il fait progresser lentreprise vers lexcellence dans le cadre dune dmarche dauto-valuation qui identie clairement les points forts et les axes damlioration potentiels. En revanche, mme si le rfrentiel a t traduit en franais : la langue de base reste langlais au sein de lEFQM, en particulier le rapport de soumission doit tre rdig en anglais. Certains concepts, par exemple le leadership, fort lgamment traduit au Journal Ofciel par conductorat, peuvent parfois poser un problme de comprhension dans les entreprises de culture franaise. Le systme de pondration des neuf critres du modle, excluant toute personnalisation, peut tre parfois considr comme une faiblesse du systme car jug trop rigide par certains. Il sagit toutefois dune condition essentielle pour un vritable exercice de comparaison interentreprises.

1. Source : www.afaq.org

10
eSCM

LeSCM est un double dispositif permettant :

un prestataire, de faire certier la manire dont il rend un service externe. au client, de faire certier son aptitude assurer que ce service externe, achet

par ses soins, est bien en phase avec ses objectifs stratgiques mtiers et sera capable de faire face au dveloppement de ses activits.

Figure 10.1 Dispositif eSCM

58

Chapitre 10. eSCM

Prsentation
Pour illustrer limportance croissante prise par lactivit de service dans les dispositifs de certication, nous prsentons leSCM (eSourcing Capability Model). Ce modle repose sur le concept deSourcing. LeSourcing (pour IT-enabled sourcing) correspond tout service pour lequel les technologies de linformation reprsentent une composante clef dans la livraison de ce dernier. Concrtement y est identi tout service contenu dans le primtre englobant la fois les processus mtiers et les technologies de linformation. De fait, sont compris dans leSourcing , aussi bien les services dinfogrance que certains processus mtiers tels que les ressources humaines, les achats, le back-ofce ou la Finance. Le rfrentiel est conu pour permettre :
aux prestataires de pouvoir svaluer et se diffrencier entre eux sur le march ; aux clients dvaluer le service rendu partir des niveaux daptitude dnis par

le systme de certication. LeSCM a t dvelopp par lITSqc (Information Technology Services Qualication Center), un institut du Carnegie Mellon University. Ce dispositif se dcline en deux parties :
lune est lintention des prestataires de services (Service Providers), cest

leSCM-SP ;
lautre concerne les clients de ces services, cest leSCM-CL.

LeSCM-SP (for Service Providers)

La nalit de leSCM-SP est de donner des prestataires de services externes (eSourcing) les moyens dvaluer la qualit du service quils rendent et leur aptitude lamliorer. Ce rfrentiel est conu pour permettre dune part aux prestataires de svaluer et de se comparer, et dautre part aux clients dvaluer le service rendu selon des niveaux daptitude prdnis. LITSqc Research Consortium a coordonn le dveloppement de leSCM-SP avec une quipe dont les membres sont issus de Carnegie Mellon University, IBM Global Services, EDS, Accenture, Satyam Computer Services ltd. et plus rcemment de Computer Associates, Deloitte, DBA Engineering, Hewlett-Packard (HP) et Wachovia Financial. La premire version date de 2001. La version 2.01 a t publie en dcembre 2006 et complte en avril 2008 par une description dtaille des 84 pratiques. LeSCM-SP a t conu dans une optique de compatibilit avec des rfrentiels majeurs dont BS 15000 (devenue depuis ISO 20000), CobiT, CMMI, ISO 9001. LeSCM-SP est un modle structur en trois dimensions : le cycle de vie du sourcing, les domaines daptitude regroupant des pratiques sur lesquelles reposent le service et le niveau daptitude associ chaque pratique (gure 10.2).

eSCM

59

Une pratique ne peut tre associe qu :

5 niveaux daptitude

- 1 phase de cycle de vie - 1 domaine daptitude - 1 niveau daptitude Elle se positionne dans lespace par rapport ces trois dimensions.

Rversibilit Pratiques permanentes Fourniture Dmarrage

10 domaines daptitude
Figure 10.2 Les trois dimensions de leSCM-SP

Cycle de vie

Le cycle de vie comprend trois phases : le dmarrage, la fourniture et la rversibilit, auxquelles sajoutent les pratiques permanentes de lorganisation ou ongoing. Le dmarrage contient des pratiques spciques qui permettent au fournisseur de se mettre daccord sur les conditions requises avec son client, de concevoir puis dassurer la prise en charge du service. La fourniture regroupe les pratiques charges de fournir un service conforme aux engagements pris. La phase de rversibilit clt le contrat lorsque celui-ci nest pas reconduit : cest le transfert des ressources et des responsabilits soit vers le client soit vers un autre fournisseur. Les pratiques permanentes sont celles qui sappliquent tout au long du contrat. Le rfrentiel comporte 84 pratiques rparties sur 10 domaines daptitude. Les pratiques lies au dmarrage, la fourniture et la rversibilit sont traites dans quatre domaines daptitude :
la contractualisation ; la conception et le dploiement du service ; la fourniture du service ; le transfert du service.

Les pratiques permanentes sont rparties dans les six autres domaines :
la gestion de la connaissance ; la gestion des ressources humaines ; la gestion de la performance ; la gestion des relations ; la gestion de la technologie ; la gestion des risques.

Chaque pratique est matrialise dans le rfrentiel sous forme dune che comprenant un descriptif et un ensemble dactivits regroupant les tches excuter

60

Chapitre 10. eSCM

par lentreprise. Le descriptif documente la nalit et les bnces attendus par le fournisseur et les clients. Chaque pratique est associe une tape du cycle de vie : elle reprsente un ensemble dactivits permettant lentreprise dtre certie un niveau donn. LeSCM-SP a tabli cinq niveaux daptitude qui matrialisent une trajectoire damlioration de service. Cela va de la fourniture du service sans bonne pratique particulire (niveau 1) au maintien de lexcellence (niveau 5). Loriginalit de ce dispositif repose sur les points suivants :
les pratiques se rpartissent uniquement dans les niveaux 2 4 et aucune dans

le niveau 5 : niveau 2 : 48 pratiques ; niveau 3 : 26 pratiques ; niveau 4 : 10 pratiques.

il est acceptable pour obtenir la certication de mettre en uvre une pratique

sans celles de niveaux infrieurs mais cela uniquement pour rpondre un objectif ponctuel court terme ; toutefois, latteinte dun niveau ncessite normalement la mise en uvre des pratiques de niveaux infrieurs ; latteinte du niveau 5 ncessite la mise en uvre et la reconnaissance effective de toutes les pratiques par deux valuations conscutives.

LeSCM-CL (for Client organizations)

LeSCM-CL a t conu comme un guide permettant aux organisations clientes de mesurer et damliorer leur aptitude valuer le service rendu. Lide clef des concepteurs a t de faire en sorte que cette mesure daptitude ne porte pas uniquement sur la prestation en elle-mme mais plutt sur le systme organisationnel qui supporte la dite prestation, et ce tout au long du cycle de vie du service (eSourcing). LeSCM-CL a t dvelopp par lITSqc Research Consortium, parmi lesquels on retrouve les membres qui ont particip llaboration du volet fournisseur (eSCM-SP) auxquels se sont joints dautres membres de type organisation client tel que Phoenix Health Systems, Wachovia Financial, Boeing, BP, LOral, General Motors, etc. LeSCM-CL est structur sur le mme principe que leSCM-SP.

eSCM

61

5 niveaux daptitude

Rversibilit Pratiques permanentes Fourniture Dmarrage Analyse

17 domaines daptitude
Figure 10.3 Les trois dimensions de leSCM-CL

Cycle de vie

Dans le volet client, le cycle de vie couvre 5 phases, soit une de plus que leSCM-SP, celle de lanalyse. Lanalyse est une phase spcique au client. En effet il appartient ce dernier de dnir sa stratgie et dans le cadre de celle-ci, didentier les activits pouvant tre traites lextrieur. La nalit des pratiques contenues dans cette phase, est de sassurer que lorganisation cliente dispose bien des informations ncessaires une prise de dcision fonde sur une bonne comprhension de son fonctionnement oprationnel, pour identier les services, fonctions et processus qui peuvent tre fournis en externe, puis de dnir lapproche planie qui en rsulte. Le volet CL comporte 95 pratiques rparties sur 17 domaines daptitude. Dans les quatre premires phases du cycle de vie, les pratiques portent sur la rception de service. Nous pouvons alors parler de service reu en opposition au service mis qui lui appartient au fournisseur. Lencadrement du service reu repose sur des activits propres au client. Ces dernires constituent le Sourcing . Les pratiques sont traites dans huit domaines daptitude :
ltude dopportunit du sourcing ; lapproche de sourcing ; la planication du sourcing ; lvaluation des prestataires ; la contractualisation ; le transfert du service ; la gestion des services sourcs ; la rversibilit.

Les pratiques permanentes sont rparties dans les neuf autres domaines :
la gestion de la stratgie de sourcing ; la gestion de la gouvernance ; la gestion des relations ; la gestion de la valeur ; la gestion des connaissances ;

62

Chapitre 10. eSCM

la gestion des ressources humaines ; la gestion des changements organisationnels ; la gestion des risques ; la gestion de la technologie.

Le volet client reprend du volet fournisseur :

le descriptif des pratiques matrialis sur le mme modle de che ; lvaluation de lamlioration de service qui stablit sur le mme principe que

celui de leSCM-SP soit cinq niveaux. Toutefois, une diffrence rside dans la rpartition des pratiques par niveaux. cette dernire stablissant comme suit : niveau 2 : 58 pratiques, niveau 3 : 29 pratiques, niveau 4 : 8 pratiques.

Figure 10.4 Les activits du Sourcing

De par son contenu et sa dmarche, leSCM-CL repositionne profondment le rle du client. Celui-ci volue avec son environnement, son march, ses actionnaires, ce qui lamne adapter ses objectifs stratgiques. Par ricochet, les accords avec les fournisseurs se modient. Par consquent la prestation ne peut jamais tre dans un tat g. Elle volue rgulirement pour rpondre aux dcisions stratgiques.

eSCM

63

Ce mouvement ncessite la mise en place dune activit propre aux organisations clientes. Cest le Sourcing , et leSCM nen dnit que les bonnes pratiques.

Documentation
La documentation de ce dispositif est librement tlchargeable en anglais sur le site de lITSqc. Elle comporte : Le rfrentiel de leSCM-SP The sourcing Capability Model for service Providers :
The eSCM-SP V2 : Model Overview ; The eSCM-SP V2 : Practice detail.

Le rfrentiel de leSCM-CL The sourcing Capability Model for client organizations :

The eSCM-CL V1.1 : Model Overview ; The eSCM-CL V1.1 : Practice detail.

Dautres documents existent : pour dcrire le systme de mesure et pour fournir des comparaisons avec chaque rfrentiel avec lequel le dispositif se veut compatible. Notons aussi, quen France, lAssociation Franaise pour la Promotion des Bonnes Pratiques de Sourcing (Ae-SCM) a dit deux guides de poche en franais.

Mise en uvre
LITSqc a dni dans le rfrentiel les conditions et lorganisation de la certication. Quatre mthodes sont proposes qui vont de la mini auto-valuation lvaluation complte ralise par un valuateur agr par lITSqc. Cest lITSqc Certication Board qui met ou non le certicat daptitude pour une dure de deux ans. On trouve sur le site de lITSqc les coordonnes des socits certies, des valuateurs agrs et des socits fournissant du conseil. Les premires entreprises certies eSCM-SP lont t tout dabord en Core du Sud et en Inde. Puis le phnomne sest tendu lArgentine, le Brsil, les tats-Unis et la Tchquie. Elles incluent IBM, Accenture, Satyam, Infosys et sont toutes au niveau 3 ou 4 voire 5. Le site de lITSqc en donne la liste. Par contre il nexiste pas encore dorganismes clients certis eSCM-CL. Et en France ? LAssociation franaise pour la Promotion des Bonnes Pratiques de Sourcing (Ae-SCM) a t cre en 2007. Elle est reconnue ofciellement par lITSqc. Elle a organis les premires formations eSCM Paris et a publi plusieurs documents dont les deux guides de poche prcits.

Retour dexprience
En France, nous ne disposons pas encore aujourdhui de retour dexprience formel sur ce dispositif. Nanmoins la branche Courrier de La Poste sest engage dans cette dmarche obligeant son fournisseur principal se conformer ce modle. Nous attendons les premiers rsultats avec impatience.

64

Chapitre 10. eSCM

Lintrt de leSCM rside dans sa dmarche structurante pour cerner les attentes quun client doit formuler vis--vis de ses fournisseurs et inversement. Il nentre pas en conit avec dautres rfrentiels tels que CMMI ou ITIL puisquil sappuie sur leurs acquis. Loriginalit de leSCM est quil sagit dun dispositif deux volets centr sur la relation entre un client et ses fournisseurs. Chaque volet donne lieu une certication. La nouveaut est qu travers leSCM-CL le client va chercher donner conance au prestataire. Ce nest plus seulement le prestataire qui cherche donner conance son client. La relation client fournisseur devient symtrique. Ce rfrentiel est complexe. Comment sy retrouver entre les niveaux de certication portant sur diffrents services ? Faut-il faire concider leSCM-SP avec leSCM-CL ? Si oui, comment le faire ? La dmarche est-elle adapte aux petites et moyennes entreprises ? Compte tenu du srieux du Carnegie Mellon, de son exprience dans le CMMI, du support des grands oprateurs de linfogrance, de lexhaustivit du rfrentiel et des premires applications ltranger, nous pouvons nous attendre au succs de ce dispositif dans lhexagone.

11
HAS

Le dispositif de la Haute autorit de sant permet un tablissement de sant franais dobtenir une certication pour son systme de management de la qualit et de la scurit des systmes de sant.

Figure 11.1 Dispositif HAS

Prsentation
La Haute autorit de sant (HAS) est un organisme public indpendant caractre scientique, cr dans le cadre de la Loi du 13 aot 2004 relative lassurance-maladie.

66

Chapitre 11. HAS

Elle est charge, entre autres, de mettre en uvre la certication (anciennement appele accrditation) des tablissements de sant et reprend les missions de lAgence nationale daccrditation et dvaluation en sant (ANAES). La Loi du 13 aot 2004 remplace le terme accrditation prcdemment utilis par lANAES par celui de certication, en dnissant cette dernire comme une procdure dvaluation externe un tablissement de sant, effectue par des professionnels indpendants de ltablissement de sant et de ses organismes de tutelle, et concernant lensemble de son fonctionnement et de ses pratiques. Elle a t introduite au sein du systme de sant franais par lOrdonnance n 96-346 du 24 avril 1996 portant sur la rforme hospitalire et prcise par le Dcret n 97-311 du 7 avril 1997. La certication sapplique tous les tablissements de sant publics ou privs. Elle concerne galement les groupements de coopration sanitaire entre tablissements de sant, les syndicats interhospitaliers dtenteurs dune autorisation dactivit ainsi que les rseaux de sant et les installations de clinique esthtique. La certication est une procdure dvaluation externe, indpendante de ltablissement de sant et de ses organismes de tutelle, effectue par des professionnels, concernant lensemble de son fonctionnement et de ses pratiques. Elle apprcie non seulement le systme de management de la qualit, mais galement des aspects spcis de lorganisation des soins et les dmarches dvaluation des pratiques professionnelles. La certication sapplique ltablissement de sant au sens juridique du terme ainsi quaux activits de ltablissement de sant qui participent directement ou indirectement la prise en charge du patient. Elle concerne donc lensemble des structures et des secteurs dactivit. Les annes 1999 2002 sont considres comme une priode dexprimentation et dinnovation avec la premire version du Manuel daccrditation de lANAES en 1999 (V1). Entre 2002 et 2004, une priode dindustrialisation de la procdure sest conclue par la publication de la seconde version du Manuel daccrditation aboutissant une deuxime procdure daccrditation en septembre 2004 (V2). Aujourdhui, cest ldition 2007 du Manuel de certication des tablissements de sant et guide de cotation qui sapplique. La prochaine procdure (V3) est prvue pour 2010. Avec cette deuxime procdure, la certication mesure le niveau de qualit et de scurit des soins et apprcie la dynamique damlioration continue de la qualit et du service mdical rendu. Elle porte une attention particulire aux rsultats obtenus, aux modalits dorganisation et au niveau dengagement du management. Le rfrentiel actuel, le Manuel de certication des tablissements de sant et guide de cotation est organis en deux chapitres, 44 rfrences et 138 critres complts par des cartouches explicatifs. Lvaluation de ltablissement de sant se fait sur la base de critres pour lesquels des lments dapprciation sont mentionns sur la mme page permettant de coter la conformit par rapport au critre (cotation dA D).

HAS

67

Figurent ainsi :
des prcisions sur le libell du critre ; une srie non exhaustive dlments dapprciation de la conformit au critre

rechercher par les experts visiteurs ; une liste indicative de documents consulter ; des propositions de personnes-ressources rencontrer. Sur 44 rfrences, quatre concernent le systme dinformation. Elles sont rparties en six critres comme indiqu dans le tableau 11.1.
Tableau 11.1 Les rfrences relatives au SI Chapitre 1 : Politique et qualit du management Rfrence 4 : La politique du systme dinformation et du dossier du patient. Critre 4.a La politique du systme dinformation est dfinie en cohrence avec les orientations stratgiques de ltablissement. Chapitre 2 : Ressources transversales Rfrence 7 : La politique doptimisation des ressources et des moyens. Critre 7.a Ltablissement met en uvre un dispositif permettant la matrise des cots. Rfrence 18 : Le systme dinformation. Critre 18.a Critre 18.b Critre 18.c Le systme dinformation est organis pour faciliter la prise en charge des patients. Une identification fiable et unique du patient est assure. La scurit du systme dinformation est assure. Chapitre 4 : valuations et dynamiques damlioration Rfrence 44 : Lvaluation des politiques et du management. Critre 44.c Une valuation du systme dinformation est mise en uvre.

Le Manuel daccrditation formule des exigences sur la mise en place dindicateurs sans donner de prcisions sur ces indicateurs. Ces indicateurs portent sur tous les domaines traits. Ils doivent permettre de piloter les diffrentes actions de la politique damlioration continue de la qualit et de la scurit. noter que la HAS sest engage dans le dveloppement dindicateurs de qualit. Depuis 2008, les tablissements doivent transmettre annuellement la HAS un ensemble de donnes qui lui permettent de calculer les indicateurs et de suivre leur volution. Des indicateurs ont t expriments en 2007 et appliqus n 2008 aux tablissements de mdecine, chirurgie et obsttrique. Ce recueil sera progressivement largi dautres indicateurs de pratiques cliniques. partir de 2010, dautres indicateurs de type clinique ou organisationnel seront mis en uvre, de manire permettre une valuation quantitative des grands champs

68

Chapitre 11. HAS

dactivit des tablissements, compltant ou se substituant aux donnes jusquici analyses par les experts visiteurs dans le cadre des versions 1 et 2 de la certication.

Documentation
La documentation relative au systme de certication donne des informations sur lorganisation mettre en place et la procdure respecter ainsi que des recommandations sur les formations souhaitables. Une documentation complte est tlchargeable gratuitement sur le site de la HAS. On y trouve entre autres les documents suivants :
Guide Prparer et conduire votre dmarche de certication version 2007 -

mise jour septembre 2008, 5 juillet 2008 ;

Recommandations de bonne pratique : Attribution du label HAS, 28 mai 2008 ; Manuel de certication des tablissements de sant et guide de cotation, 4 juin

2007.

Mise en uvre
Le dispositif concerne prs de 3 000 tablissements de sant en France. Au cours de la priode 2000-20061, 100 % des tablissements de sant (2 890) ont reu une visite de certication selon la premire procdure. Entre 2006 et 2008, 50 % des tablissements de sant (1 413) ont reu une visite de certication selon la seconde procdure. Les dcisions de certications se rpartissent en 51 % de certication, 44 % de certication avec suivi et 5 % de certication conditionnelle. Spcique aux tablissements de sant, ce dispositif nest pas utilis dans dautres secteurs. La certication est rendue obligatoire par lOrdonnance de 1996, mais nen demeure pas moins une initiative volontaire. Cest ltablissement quil revient de sinscrire dans cette dmarche fonde sur des principes de responsabilit, de dialogue et dchanges. La mise en uvre de cette dmarche rend indispensable la cration dune cellule qualit dans les tablissements de sant. Elle ncessite une charge de travail variable selon la taille de ltablissement : de une trois personnes temps plein et 200 1 000 jours hommes tals sur une dure moyenne de deux ans. Le processus dvaluation est dni en dtail dans la Dcision du 14 mai 2008 du Collge de la HAS adoptant la procdure de certication des tablissements de sant parue au Journal Ofciel le 1er aot 2008. La HAS publie sur son site tous les rapports de certications, les additifs aux rapports de certication ainsi que les commentaires ventuels des tablissements. La cotation des critres comporte quatre niveaux selon une double chelle (tableau 11.2) similaire celle de lEFQM.

1. Source : http://www.has-sante.fr/portail/upload/docs/application/pdf/chiffres_cles_fev_08.pdf

HAS

69

Tableau 11.2 Les chelles de cotation de la HAS chelle analytique Tous les lments dapprciation La plupart des lments dapprciation Quelques lments dapprciation Trop peu dlments significatifs dapprciation chelle spatio-temporelle Partout et/ou tout le temps Dans la plupart des secteurs et/ou la plupart du temps Dans quelques secteurs et/ou quelquefois Nulle part et/ou jamais

Quatre dcisions sont envisageables : certication, certication avec suivi, certication conditionnelle ou non-certication. Dans le cas dune certication, la dure est xe quatre ans avant une nouvelle visite de certication. Des axes damlioration peuvent toutefois tre recommands ltablissement. Une certication avec suivi est valable au maximum quatre ans, avec exigence dun suivi chance dtermine par un rapport crit ou une visite cible sur des points identis dans le rapport. La certication conditionnelle est valable pour une dure infrieure quatre ans, avec prolongation de la certication conditionne par la satisfaction du suivi ralis chance dtermine sur des points identis dans le rapport. Une certication conditionnelle suivie dune visite cible infructueuse, tmoignant ainsi dune carence grave du management de ltablissement, peut conduire prononcer une non-certication. Le rapport des experts visiteurs est tabli partir des rsultats de lauto-valuation ralise par ltablissement, des documents consults et tudis dans ltablissement et des constats effectus par les experts visiteurs sur le(s) site(s) visit(s). Pour raliser les valuations, la HAS recrute et forme ses experts visiteurs selon un programme spcique ; ils sont tous des professionnels de sant, mdecins, soignants ou gestionnaires. La mthode dvaluation est dnie dans le Guide daide la cotation, incluse dans le rfrentiel et librement disponible ; ce ntait pas le cas avec la premire procdure, la mthode dvaluation tait alors rserve aux experts visiteurs. Des experts, spcialistes de ce dispositif existent en France. Certains diplmes universitaires comme la Qualit en sant traitent de ce sujet.

Retour dexprience
Un consultant dans le domaine de la sant, collaborateur dun grand cabinet de conseil, tmoigne : Sans le caractre obligatoire de cette dmarche, les tablissements de sant, confronts des problmes de plus en plus nombreux, comme la surcharge de travail, la

70

Chapitre 11. HAS

mise en uvre de la tarication, lapplication des 35 heures, la pnurie de personnel soignant et mdical, nauraient sans doute pas pu investir en temps et charge de travail dans une dmarche qualit. En matire de systme dinformation, les bnces de la mise en uvre du dispositif portent sur : lapprciation objective et indpendante de la situation dun tablissement de sant ; une organisation des tablissements de sant mieux adapte ; la mise en uvre dune dynamique damlioration continue de la qualit ; linformation des patients ; le renforcement de leur conance. Globalement, la dmarche a t perue comme transversale, structurante et pdagogique. lissue de quatre annes de mise en uvre, il apparat que les tablissements souhaitent une meilleure approche de leur spcicit, les usagers plus de lisibilit et les pouvoirs publics un meilleur clairage. Ces souhaits ont t intgrs dans la construction de la certication version 2 . Ce systme de certication, tabli par des professionnels de sant partir dexpriences franaises et trangres, est en principe trs bien adapt sa nalit. Le Rapport dactivit 2004 du collge daccrditation de la HAS relve que la certication a fourni un levier aux acteurs des politiques qualit dans les tablissements de sant pour structurer et pour formaliser ces dmarches. La seconde procdure reconnaissant la complmentarit de systmes de reconnaissances externes de la qualit permettra aux tablissements de sant de progresser, ne serait-ce quen mettant en uvre la certication ISO 9001 dans les services informatiques en complment des exigences du rfrentiel de certication de la HAS. De plus, la certication de services fait galement partie des dispositifs de reconnaissances externes de la qualit reconnus par la HAS. Les limites du dispositif proviennent essentiellement de son aspect franco-franais.

12
ISO 9001

Le dispositif ISO 9001 permet une entreprise dobtenir une certication pour son systme de management de la qualit.

Figure 12.1 Dispositif ISO 9001

Prsentation
On ne prsente plus lISO 9001, le rfrentiel de certication le plus connu. Il faut cependant rappeler que lobjectif de ce rfrentiel a beaucoup volu avec ses quatre versions successives de 1987, 1994, 2000, puis 2008. lorigine, la version 1987

72

Chapitre 12. ISO 9001

rpondait essentiellement aux besoins de clients industriels soucieux de contrler la qualit des produits de leurs fournisseurs. Couvrant le cycle de vie complet dun produit ou service, la norme ISO 9001 tait alors accompagne de deux petites surs, lISO 9002 qui ne sintressait quau dveloppement et la production et lISO 9003 qui ne traitait que des contrles naux aprs fabrication. Ds 1991, la famille ISO 9000 comprenait galement une norme spcialise pour le domaine du dveloppement de logiciel : lISO 9000-3, rvise sous le nom ISO 90003. La srie ISO 9000 fut victime de son succs. Les certications reposant sur les normes 9002 et surtout 9003 perdaient de leur valeur. La course au certicat pouvant se transformer en vritable bachotage faisait oublier lobjectif premier de la mise en place dun systme qualit, cest--dire lamlioration permanente et la satisfaction du client. On a mme pu constater que le certicat nempchait pas les entreprises de fabriquer des produits non conformes aux besoins du client ! Dun autre ct, la concurrence des grands prix de la qualit, tel celui de lEFQM reposant sur les principes de la qualit totale et de lauto-valuation commenait faire une ombre srieuse aux ISO 9000 taxes dune certaine mdiocrit. Une simplication et une volution vers lexcellence simposaient. Amorc ds 1994 ce changement de point de vue sest concrtis dans lISO 9001 version 2000 et sest ampli depuis. Chaque norme ISO est revue en principe tous les cinq ans pour sassurer quelle reste conforme ltat de lart. La rvision ISO 9000:2000 fut loccasion dune refonte complte, retour la fois lesprit initial du management de la qualit et simplication des systmes trop procduriers. Le long processus de rvision, men par le Comit technique 176 de lISO (TC 176 : Management et assurance de la qualit), a abouti la publication de trois normes complmentaires :
ISO 9000 pour la partie principes (inspirs de ceux de la qualit totale) et

vocabulaire ; ISO 9001 pour le rfrentiel dexigences servant de support la certication ; ISO 9004 pour les recommandations de mise en uvre et lauto-valuation. Le matre mot de ce nouveau rfrentiel tait et demeure lapproche processus qui met laccent sur lefcacit des activits et le principe damlioration permanente au service de latteinte dobjectifs mesurables. Quen est-il dbut 2009 ? La famille ISO 9000 sest enrichie dun ensemble de normes associes permettant de rpondre aux exigences de lISO 9001 sur les diffrents points particuliers qui y sont dvelopps. LISO a publi en 2005 une nouvelle dition de la norme ISO 9000 qui dnit le vocabulaire et dcrit les principes des systmes de management de la qualit. Cette nouvelle dition vient prciser et enrichir les dnitions an de les aligner sur des documents plus rcents de la famille ISO 9000. Parmi les mots explicits, nous citerons : expert technique, exigence, comptence, contrat, auditeur, quipe daudit, plan daudit et champ de laudit.

ISO 9001

73

La version 2008 de lISO 9001, publie ofciellement le 15 novembre 2008 nintroduit pas de nouvelles exigences mais, suite aux retours dexprience de ces huit dernires annes dapplication, elle apporte des clarications aux exigences de la version 2000. Elle met les points sur les i sur un certain nombre de sujets, en soulignant par exemple limportance de prendre en considration le produit ou service et pas seulement le systme de management de la qualit de lorganisme. Un clairage supplmentaire est apport sur la matrise des processus externaliss, dont la ncessit sest accrue face aux pratiques doffshore. La notion de risque y est galement introduite de faon encore timide. Une nouvelle dition de la norme ISO 9004 devrait tre publie courant 2009, avec pour vocation daider les quipes de direction amliorer les performances de lentreprise et de ses processus. Une rvision cohrente des normes ISO 9001 et ISO 14001 est prvue pour 2012. Le certicat ISO 9001 porte sur le systme de management de la qualit de tout ou partie dune entreprise. Les exigences formules portent essentiellement sur lidentication et la matrise des processus dans une perspective damlioration continue. Elles reprsentent un noyau restreint commun tous les secteurs dactivit et tous les domaines daction. Elles laissent lentreprise une grande latitude dinterprtation, en particulier dans le choix et la dnition des processus. La prsentation dune cartographie des processus est recommande, mais elle nest pas une obligation. On notera que, depuis la version 2000, la norme nexige plus que six procdures documentes obligatoires relatives aux chapitres matrise des documents, matrise des enregistrements, audit interne, matrise du produit non conforme, action corrective et action prventive. On nen conclura pas que ces six procdures sufsent dcrire le systme qualit de lentreprise, car au-del de lincontournable manuel qualit et des enregistrements assurant la traabilit de mise en uvre, il faudra prvoir lensemble des documents ncessaires lorganisme pour assurer la planication, le fonctionnement et la matrise efcaces de ses processus . Des exigences portant sur le produit sont galement prsentes dans la norme : le produit doit tre vri et valid ; il est en particulier soumis des exigences de conformit et de traabilit. Des exigences particulires portent galement sur les personnes. Elles concernent lattribution des responsabilits, les comptences et la formation. En matire de mesures, les exigences portent naturellement la fois sur les processus et les rsultats de lexcution de ces processus. La dmarche damlioration ncessite la mise en place :
dindicateurs de management des processus ; de mesures des caractristiques du produit an de vrier que les exigences

relatives au produit sont satisfaites ;

et de mesures de la satisfaction du client.

74

Chapitre 12. ISO 9001

Aucune directive prcise nest donne sur le choix de ces indicateurs qui dpendent des objectifs de lentreprise.

Documentation
La norme ISO 9001:2008 est disponible en France auprs dAfnor. Sa comprhension ncessite la lecture prliminaire de la norme ISO 9000:2005 (principes et vocabulaire). La lecture des normes de soutien qui accompagnent la srie ISO 9000 est galement recommande :
ISO 10001 : Code de conduite des organismes ; ISO 10002 : Traitement des rclamations ; ISO 10003 : Rsolution externe des conits ; ISO 10004 : Surveillance et mesure de la satisfaction client ; ISO 10005 : Plans qualit ; ISO 10006 : Management de la qualit dans les projets ; ISO 10007 : Gestion de la conguration ; ISO 10012 : Exigences pour les processus et les quipements de mesure ; ISO 10013 : Documentation des SMQ ; ISO 10014 : Management des effets conomiques de la qualit ; ISO 10015 : Formation ; ISO 10017 : Techniques statistiques relatives lISO 9001 : 2000 ; ISO 10018 : Implication du personnel et comptences ; ISO 10019 : Slection de consultants en systmes de management de la qualit

et pour lutilisation de leurs services ;

ISO 19011 : Audit des systmes de management.

Les exigences relatives chacun des processus gnriques de lISO 9001 font de plus lobjet de fascicules documentaires (FD), publis par lAfnor. Citons :
FD X 50-127 : Conception et dveloppement ; FD X 50-128 : Achats ; FD X 50-171 : Indicateurs et tableaux de bord ; FD X 50-172 : Enqute de satisfaction client ; FD X 50-174 : valuation de lefcacit dun SMQ ; FD X 50-176 : Management des processus ; FD X 50-179 : Identication des exigences client ; FD X 50-183 : Management des ressources humaines ; FD X 50-185 : Management de linformation ; FD X 50-186 : Processus dauto-valuation ; FD X 50-189 : Intgration des systmes ; FD X 50-190 : Capitalisation dexprience ;

ISO 9001

75

FD X 50-193 : Relations mutuelles bnques ; FD X 50-195 : Management des organismes.

Mise en uvre
LISO 9001 est applicable toute activit, quel que soit le type de produit ou service ; mais dans certains domaines sectoriels, elle se rvle insufsante du fait de sa trop grande gnralit. LISO 9001 est mondialement reconnue : une tude ralise par lISO la n de lanne 2007 dnombrait 951 486 certicats attribus dans 175 pays, ce qui correspond une augmentation de 91 % par rapport 2003. Ces chiffres sont globalement en augmentation permanente, sauf en Amrique du Nord, en Australie et en NouvelleZlande o lon constate une baisse sensible.
Tableau 12.1 Certificats ISO 9001 la fin de lanne 2007 Rgion Europe Asie Amrique du Nord Afrique et Extrme-Orient Australie et Nouvelle-Zlande Amrique du Sud et Amrique Centrale Nombre de certificats 431 479 345 428 47 600 78 910 8 715 39 354 Pourcentage 45,35 % 36,30 % 5,00 % 8,29 % 0,92 % 4,14 %

La rpartition gographique des certicats la n de lanne 2007 (tableau 12.1) traduit encore un phnomne majoritairement europen accompagn dun dveloppement en croissance dans les pays asiatiques. Les dix premiers pays dtenteurs de certicats taient cette date : la Chine, lItalie, le Japon, lEspagne, lInde, lAllemagne, les tats-Unis, le Royaume-Uni, la France, les Pays-Bas. La France est en perte de vitesse avec 22 000 certicats n 2007, contre 45 000 en Allemagne. Le nombre de certicats aux tats-Unis serait galement en rgression, revenant n 2007 son niveau de 2004. Il semble que le march de la certication ait atteint sa maturit dans plusieurs rgions du monde industrialis et aussi que les entreprises nord-amricaines et europennes se soient mises dans une situation dattente avant larrive de la version 2008. Parmi les contraintes quimplique la mise en place de lISO 9001 dans une entreprise, on cite toujours la matrise documentaire, mme si cette exigence a t allge dans la version 2000. Le dlai de mise en uvre incompressible reste estim 18 mois et elle doit sappuyer sur une volont forte de la direction. En termes dorganisation, la dsignation dun responsable qualit rattach la direction et disposant dun pouvoir et dune autorit sufsante, est indispensable, ainsi que la mise en place dune fonction daudit interne. La version 2008 prcise que le reprsentant de la Direction doit faire partie de lencadrement de lorganisme.

76

Chapitre 12. ISO 9001

Un accompagnement de la dmarche par des formations est fort utile. De nombreux cabinets de conseil proposent des prestations daide la mise en conformit ISO 9001. Le certicat ISO 9001 peut tre dcern en France par diffrents organismes concurrents qui font normalement lobjet dune accrditation par le Comit Franais daccrditation (COFRAC). Le certicat doit tre renouvel tous les trois ans et fait lobjet dun audit de suivi annuel par lorganisme de certication. Des dmarches groupes Qualit Scurit Environnement (QSE) reposant sur les normes ISO 9001, ISO 14001 et OHSAS 18001 sont proposes par diffrents cabinets de conseil et organismes certicateurs. Elles permettent doptimiser les efforts induits par la mise en place de systmes de management visant au dpart des objectifs diffrents, en les situant dans une perspective globale damlioration.

Retour dexprience
LAfnor prcise : La norme ISO 9001 dans sa version 2008 offre une meilleure compatibilit avec lISO 14001, sintgre plus facilement avec dautres normes de systmes de management, renforce la conformit aux exigences du produit et permet une meilleure prise en compte des processus externaliss. Le directeur qualit dune socit de services en informatique commente : La version 2000 tait dj plus oprationnelle, moins paperassire que la prcdente et plus en phase avec les objectifs defcacit de lentreprise. Dailleurs, son approche processus nous a facilit la mise en uvre de la dmarche CMMI dans nos usines de production de logiciels. La version 2008 devrait nous apporter une meilleure complmentarit avec les rfrentiels de management de la scurit et e lenvironnement. Un des principaux avantages de la mise en uvre de lISO 9001 est quelle nous permet de rpondre la demande de nombreux acheteurs publics ou privs qui exigent cette certication . Latout essentiel est le caractre quasi universel de la certication ISO 9001, grce la reconnaissance mutuelle entre organismes daccrditation de diffrents pays. En revanche, lISO 9001 est trs gnrale et doit tre souvent complte par des guides ou des exigences spciques au domaine dapplication. Dans le domaine du traitement de linformation, le dveloppement de certications plus spcialises autour de rfrentiels tels quISO 20000 bncie de la culture damlioration permanente et de lapproche processus diffuses par lISO 9000.

13
ISO 15408 Critres Communs

Le dispositif ISO 15408 ou Critres Communs (CC) permet une entreprise dobtenir une certication en matire dingnierie de la scurit des produits ou systmes informatiss quelle dveloppe.

Figure 13.1 ISO 15408 Critres Communs

78

Chapitre 13. ISO 15408 Critres Communs

Prsentation
Prenant le relais des ITSEC (Information Technology Security Evaluation Criteria) dans le processus dvaluation du niveau de scurit des logiciels et systmes dinformation, les Critres Communs pour lvaluation de la Scurit des Technologies de linformation, gnralement appels Critres Communs, sont issus de la convergence progressive des normes amricaines (Orange Book de la NSA), europennes et canadiennes. Ils ont t normaliss par lISO sous la rfrence ISO 15408, Critres dvaluation pour la scurit TI, qui se prsente en trois parties :
ISO 15408-1 Introduction et modle gnral, de septembre 2005 ; ISO 15408-2 Composants fonctionnels de scurit, daot 2008 ; ISO 15408-3 Composants dassurance de scurit, daot 2008.

Les Critres Communs dnissent les procdures et les mesures techniques normalises prendre en compte dans le cycle de vie dun produit logiciel ou dun systme dinformation ; ils fournissent ainsi un rfrentiel mondial de comparaison pour les produits de scurit de linformation. Sept niveaux dvaluation sont dnis sur lchelle dassurance appele EAL (Evaluation Assurance Level) pour la certication des mcanismes de scurit de linformation :
EAL1 test fonctionnellement ; EAL2 test structurellement ; EAL3 test et vri mthodiquement ; EAL4 conu, test et vri mthodiquement ; EAL5 conu et test de faon semi-formelle ; EAL6 conu, vri et test de faon semi-formelle ; EAL7 conu, vri et test de faon formelle.

Le plus exigeant, le niveau 7 rpond plus spcialement des problmatiques de stratgie nationale de scurit. Le signe + accol au niveau, par exemple EAL4+, signie que des tests de vulnrabilit ont galement t mens sur lapplication an den garantir la scurit. Trois niveaux de robustesse minimum des mcanismes de scurit leur sont associs appels SOF (Strength Of Function, la rsistance dune fonction) : SOF-lmentaire, SOF-moyen et SOF-lev. Les Critres Communs vont plus loin que les ITSEC en dnissant des familles de composants fonctionnels auxquelles sont attaches des exigences spciques :
FAU Famille audit de scurit ; FCO Famille communication ; FCS Famille support cryptographique ; FDP Famille protection des donnes de lutilisateur ; FIA Famille identication et authentication ; FMT Famille administration de la scurit ;

ISO 15408 Critres Communs

79

FPR Famille protection de la vie prive ; FPT Famille protection des fonctions de scurit ; FRU Famille utilisation des ressources ; FTA Famille accs la cible dvaluation (TOE, Target Of Evaluation) ; FTP Famille chemins et canaux de conance.

Lintroduction du prol de protection (PP) constitue lapport essentiel des Critres Communs par rapport aux critres ITSEC. Ce prol de protection dnit un ensemble dobjectifs et dexigences de scurit, indpendant de limplmentation pour une catgorie de produits, et couvrant des besoins de scurit communs plusieurs utilisateurs. Un prol de protection est ainsi rutilisable pour dnir rapidement des exigences rpondant des objectifs identis. Ce concept permet le dveloppement de standards fonctionnels et facilite la rdaction du cahier des charges dun produit. Des prols de protection, certains certis par la Direction centrale de la scurit des systmes dinformation (DCSSI), sont disponibles par exemple pour des cartes puce, des pare-feu, des changes de donnes informatiss, des infrastructures cls publiques... Parmi les exigences formules, il est prcis que le dveloppeur doit utiliser un modle de cycle de vie mesurable, cest--dire un cycle de vie dont les activits lmentaires peuvent faire lobjet de mesures. Ceci implique que la documentation relative au cycle de vie fournisse les rsultats des mesures de dveloppement conformes ce modle normalis. La nature exacte de ces mesures nest pas prcise. Elles permettent de sassurer que les diffrentes activits de vrication et de test ont bien t effectues.

Documentation
Lensemble de la documentation des Critres Communs, y compris le rfrentiel normatif (Critres Communs pour lvaluation de la Scurit des Technologies de linformation), est librement et gratuitement accessible en tlchargement sur le site de la DCSSI. La version 3.1 nexiste pour linstant quen version anglaise. La norme ISO 15408 Technologies de linformation Techniques de scurit Critres dvaluation pour la scurit TI est disponible auprs dAfnor. En plus du rfrentiel, il existe une mthodologie dvaluation, fournie par la norme ISO 18045 Mthodologie pour lvaluation de scurit TI. Cette dernire, rvise en 2008, est identique la mthode dvaluation CEM Common Methodology for Information Technology Security Evaluation (v3.1) librement disponible en tlchargement sur le site de la DCSSI. Des documents de support ont t dvelopps pour prciser les prols relatifs des produits particuliers, comme les cartes puce ou les chrono tachygraphes qui enregistrent la vitesse des poids lourds sur support numrique.

80

Chapitre 13. ISO 15408 Critres Communs

Mise en uvre
Lvaluation du niveau de scurit selon les Critres Communs sapplique plus spcialement aux logiciels soumis des exigences fortes en matire de scurit. On citera les microcircuits, les cartes puce, les produits rseaux, les produits des domaines fortement lis la montique et au commerce lectronique. En application des accords de reconnaissance mutuelle de certicats, des organismes trangers homologues de la DCSSI mettent galement des certicats. La liste de ces certicats est disponible sur les sites respectifs de chaque organisme. Comme dans le cas des ITSEC, lvaluation se fait en cours de dveloppement et en production. Le schma de certication franais est le mme que celui des ITSEC. Dans son rle dorganisme de certication, la DCSSI agre et contrle les centres dvaluation et dlivre les certicats lissue des valuations. Les valuations sont ralises par des experts appartenant des centres dvaluation, accrdits par le Comit franais daccrditation (COFRAC). Cette condition est ncessaire mais non sufsante : la DCSSI examine galement la comptence technique du centre et sa capacit traiter les aspects sensibles de lvaluation. Les cots dvaluation sont lis diffrents facteurs dont le niveau dvaluation vis, le primtre fonctionnel valuer et la taille du logiciel. Les dlais sont galement variables : ils stendent gnralement sur plusieurs mois. Lvolution du produit doit tre prise en compte sous ses multiples aspects (rvisions mineures, nouvelle version fonctionnelle, correctifs de scurit). La maintenance du certicat suppose une analyse dimpacts pour chaque nouvelle version an de statuer sur un prolongement de la validit du certicat ou une rvaluation partielle.

Retour dexprience
Un responsable scurit et qualit tmoigne : Par rapport aux ITSEC, la dmarche des Critres Communs est plus mthodique car elle intgre une analyse des risques ; elle est plus souple car elle permet la xation dexigences de scurit propres chaque produit . Un autre responsable prcise : Les difcults dvaluation sont lies limbrication des processus de dveloppement et dvaluation impliquant une polyvalence des acteurs : en particulier, la ncessit de former des dveloppeurs aux Critres Communs, le bilan documentaire du processus de dveloppement et lanalyse de lenvironnement de dveloppement . Les avantages dune telle certication sont multiples, on citera :
lobtention dun certicat dlivr par un organisme dtat, tel que la DCSSI

pour la France ou le NIST (National Institute of Standards and Technology) pour les tats-Unis ;

ISO 15408 Critres Communs

81

la reconnaissance de ce certicat au niveau international, jusquau niveau EAL4

compris, par le Common Criteria Recognition Agreement (CCRA), accord de reconnaissance mutuel conclu depuis 1999 entre plus de 25 pays ; la reconnaissance de ce certicat jusquau niveau EAL7 par un accord de reconnaissance mutuel entre plusieurs pays europens (France, Allemagne, Royaume-Uni, Pays-Bas) ; la publication sur Internet par la DCSSI de la liste des produits et systmes valus ; la possibilit de rpondre des appels doffres exigeant un niveau dvaluation minimum ; le rfrencement du produit par la DCSSI auprs des ministres et autres administrations en fonction du niveau atteint.

De faon plus indirecte, dautres avantages sont galement cits :

lamlioration du processus de dveloppement logiciel (gestion de conguration,

documentation, scurit du dveloppement) ;

la validation des mthodes de dveloppement dun produit (traabilit des

fonctions de scurit, analyse des rgles de programmation, qualit de la cryptographie) ; la validation des mthodes de qualication dun produit (couverture et profondeur du plan de tests) ; le dveloppement de la veille sur les vulnrabilits et techniques dattaque. En revanche, ce dispositif sapplique difcilement des produits dj existants. On ne peut en principe valuer un produit que si les exigences de scurit ont t formules ds la phase de spcications fonctionnelles sur la base des objectifs de scurit et des fonctions protger. Cette contrainte limite donc lapplication des Critres Communs aux produits pour lesquels lexigence dvaluation est formule dans le cahier des charges. Les valuations selon les Critres Communs peuvent atteindre un cot trs lev et sont de ce fait rserves aux grands diteurs ou aux organismes gouvernementaux : la certication au niveau 4 de Windows 2000 a cot prs de quatre millions de dollars ; le processus de certication EAL4+ obtenu en dcembre 2005 par Microsoft pour Windows XP SP2 et Windows Server 2003 a dur prs de deux ans et demi. Pour Windows Server 2008 et Windows Vista, ils ont obtenu en octobre 2008 leur certication au niveau EAL-1. En parallle, la certication Critres Communs de ces deux versions au niveau EAL-4 est en cours. Comme pour les ITSEC, cette certication atteste que le niveau de scurit choisi est bien atteint, mais elle ne saurait assurer que la cible de scurit choisie est bien adapte au niveau de risque. Il sagit donc plus dun dispositif dassurance qualit adapt la scurit que dune vritable assurance de la scurit.

14
ISO 15504

Le dispositif ISO 15504 permet une entreprise dobtenir un diagnostic daptitude de ses processus.

Figure 14.1 Dispositif ISO 15504

Prsentation
Le rfrentiel ISO 15504 normalise plusieurs thmes lis lvaluation de processus dingnierie du logiciel et des systmes en dnissant des exigences pour la (mthode de) ralisation dune valuation et le modle de processus utiliser. Le point central dune valuation est la description des processus et des pratiques servant de rfrence.

84

Chapitre 14. ISO 15504

La norme ISO 15504 sur lvaluation de processus est laboutissement de lvolution du rapport technique TR ISO 15504:1998 sur lvaluation de processus logiciels dvelopp dans le cadre dun projet international sous le nom de code SPICE (Software Process Improvement Capability Determination). Ce nom dusage lui est rest. Il sagit dun modle dvaluation de laptitude des processus ; il fournit une chelle de cotation pour mesurer le degr de matrise dun processus dcrit en termes de nalits et de rsultats.
Niveau 0 : processus incomplet, cest le niveau initial, il ne ncessite aucun

prrequis. Niveau 1 : processus ralis, sa mise en uvre satisfait ses nalits et donne les rsultats escompts. Niveau 2 : processus gr, le processus est ralis, mais galement plani, suivi et ajust ; ses produits du travail sont dnis, matriss et maintenus. Niveau 3 : processus tabli, le processus de plus mis en uvre de faon dnie sur la base dun processus standard de lorganisation an que ses rsultats attendus soient atteints. Niveau 4 : processus prvisible, le processus tabli sexcute dans des limites quantitatives dnies pour latteinte de ses rsultats. Niveau 5 : processus en optimisation, le processus prvisible est amlior de manire continue pour satisfaire des objectifs stratgiques actuels et prvisibles.

Ce modle caractrise de faon dtaille et quantitative la matrise dun processus par le biais de cotations permettant de composer un prol daptitude. Le rapport technique de 1998 tait spcique aux processus dingnierie du logiciel. Publie entre 2003 et 2006, la norme est applicable tout processus dcrit dans un modle de rfrence de processus qui respecte les exigences de la partie 2 (ISO 15504-2). La version de 1998 a t dveloppe en prenant comme sources des rfrentiels publics ou privs de matrise des processus : Trillium, SW-CMM, Bootstrap, SQPA, HealthCheck, SAM, STD et lISO 9001. La ralisation dvaluation daptitude par rapport un modle apporte lentreprise une connaissance approfondie de ses forces et de ses faiblesses dans la mise en uvre de ses processus. Cette connaissance facilite le choix des objectifs damlioration et de leurs priorits. Le rfrentiel fournit un cadre gnral pour lvaluation daptitude de processus dans des situations trs diffrentes. Il peut servir de support une dmarche de certication ISO 9001, la fois par laide quil apporte la mise en place de processus dingnierie et par lvaluation de leur matrise dans le contexte dune dmarche damlioration. On peut lutiliser galement pour prslectionner ses fournisseurs. Ce cadre peut servir de base diffrents rfrentiels internes, assurant ainsi une reprsentation standardise des rsultats. Ceci permet, jusqu un certain degr, de comparer des rsultats dvaluations fondes sur des modles dits compatibles parmi lesquels nous citerons le modle CMMI-Dev, dont la reprsentation continue, est trs

ISO 15504

85

similaire avec une dimension processus et une dimension daptitude compose de niveaux. Avec la norme ISO 15504, lvaluation se fait processus par processus : il ne sagit pas dune valuation globale de la maturit dune unit organisationnelle, mais dune cotation des attributs de processus spciques chaque niveau daptitude et gnrique pour tout processus. Ces attributs sont des caractristiques indpendantes du processus, servant mesurer le niveau daptitude du processus : par exemple au niveau 1 Lattribut de ralisation de processus est une mesure du degr datteinte de la nalit du processus . Ils sont dnis en dtail dans le modle dvaluation.

Documentation
Le cur du dispositif a t dcrit dans les parties suivantes :
Partie 1 Concepts et vocabulaire (ISO 15504-1). Partie 2 Excution dune valuation (ISO 15504-2). Partie 3 Ralisation dune valuation (ISO 15504-3). Partie 4 Conseils sur lutilisation pour lamlioration de processus et la

dtermination de capacit de processus (ISO 15504-4). Partie 5 Un exemple de modle dvaluation de processus (ISO 15504-5). Ces parties ont t compltes en 2008 par les suivantes :
Partie 6 Un exemple de modle dvaluation de processus du cycle de vie

systme (ISO 15504-6), publi en septembre 2008.

Partie 7 Evaluation de la maturit organisationnelle (ISO TR 15504-7), publi

en novembre 2008.
Partie 8 Un exemple de modle dvaluation pour la gestion des services IT

(ISO 15504-8) en dveloppement (n 2008) et qui reprend les processus du rfrentiel ITIL dclins dans la srie ISO 20000. Partie 9 (Dnition de) Objectif de prols de processus. (ISO 15504-9) en dveloppement (n 2008). On trouve dans la partie 2, outre la dnition normalise des niveaux daptitude de processus et de leurs attributs, une spcication des exigences relatives :
au processus dvaluation respecter lors de la mise en uvre dune mthode

dvaluation ; aux responsabilits spciques du commanditaire de lvaluation et des valuateurs ; aux modles de processus. La partie 3 qui explique comment rpondre aux exigences formules dans la partie 2, contient entre autres des recommandations explicites concernant les valuateurs. La srie de normes est disponible auprs des organismes de normalisation tel Afnor en France. Elle est rvise tous les cinq ans dans le cadre normal des rvisions de normes par lISO.

86

Chapitre 14. ISO 15504

Il existe des traductions dans diffrentes langues dont le franais, le japonais, le portugais (brsilien) et lespagnol.

Mise en uvre
La srie de normes ISO 15504 est utilise dans le monde entier : par exemple, en France, en Allemagne, au Royaume-Uni, en Italie, en Espagne, aux Pays-Bas, en Finlande, en Suisse, en Amrique du Nord et du Sud, en Afrique du Sud, au Japon, en Core, en Australie. De nombreux experts ont t forms dans tous ces pays. Une application la norme ISO 12207 dnissant les processus du cycle de vie des logiciels gure dans la partie 5 qui constitue un modle type dvaluation des processus du cycle de vie du logiciel. Dautres parties sont ralises soit par des socits (valuation des processus ITIL), soit par des groupements professionnels. Par exemple, SPiCE for SPACE (S4S) a t dveloppe spcialement pour les systmes scurit critique et dont le commanditaire est lAgence spatiale europenne. Linitiative Automotive SPICE est galement mentionner compte tenu de limportance quelle prend au niveau de grands industriels internationaux du secteur automobile, en particulier chez les industriels tablis en Allemagne. Malgr une certaine promotion faite depuis son origine (Projet SPICE en 1996), sur le terrain, lISO 15504 ne bncie pas dun support et dune promotion comparable dautres grands modles comme le CMMI qui est promu par le SEI (Software Engineering Institute). En particulier, en France, le CMMI est souvent retenu comme rfrence. Pour utiliser la norme ISO 15504, il est ncessaire de faire appel :
un modle de rfrence de processus (rfrentiel), par exemple la partie 2 ; un modle dvaluation de processus, dont un modle type est fourni dans

la partie 5 de la norme, peut tre utilis comme base pour la conduite dune valuation daptitude de processus logiciel ; un processus dvaluation document (mthode) conforme aux exigences de la partie 2 de la norme. Cest pourquoi, des modles dvaluation ont t dvelopps, par des socits pour leur usage personnel, par des groupements dindustriels dans un secteur donn, ou encore par des socits de conseil. Ils sont gnralement dclins en termes de guides, documents types, formulaires, grilles de lecture, etc. Le droulement des valuations ne suit pas un schma unique. Il existe diffrentes mthodes qui dpendent de lorganisme valuateur, mais qui toutes doivent rpondre aux exigences de la norme pour tre conforme. LiSQI (International Software Quality Institute) a mis en place liNTACS (International Accreditation Certication Scheme) pour accrditer les valuateurs ainsi que les formateurs et les formations lISO 15504 en forte synergie avec linitiative AutomotiveSPICE.

ISO 15504

87

Aujourdhui, les valuations ne donnent lieu ni une attestation ni un certicat ofciel par organisme accrdit ; lvaluation repose comme pour le schma dvaluation du modle CMMI, sur la comptence reconnue et enregistre du responsable dvaluation. Lauto-valuation est encourage explicitement par la norme.

Retour dexprience
Jean-Martin S IMON est responsable du ple valuation et Expertise de la socit QUALIUM ; il est lditeur de la Partie 5 de la norme (le modle dvaluation). En tant quvaluateur principal certi ISO 15504, et SCAMPI Authorized Lead appraiser pour le modle CMMI-Dev & CMM-ACQ, il apporte son tmoignage sur lutilisation du rfrentiel 15504 : La mise en uvre de SPICE peut contribuer la dnition dun rfrentiel de processus internes dingnierie dune organisation en facilitant lidentication des fondamentaux, puis des pratiques plus avances, en liaison directe avec les niveaux daptitudes proposes par la norme. Le "catalogue des processus" proposs avec leurs pratiques de base est considrer en conjonction avec dautres normes comme la dernire version de lISO 12207 de 2008. Dun point de vue valuation, SPICE fournit de nombreux points dinvestigation, qui savrent gnralement moins gnriques que ceux dnis dans le modle CMMIDEV. On retrouve cet aspect dans la dclinaison sectorielle de la norme avec le modle AutomotiveSPICE. On pourra donc opposer un ct trop prescriptif (ex. : sur les exigences de traabilit) mais qui a contrario permet de mieux guider les utilisateurs en explicitant ce quil convient de faire, en tant moins gnrique . Frdrick F RADET, Process Improvement Project Leader chez Johnson Controls Automotive Electronics SAS apporte le tmoignage suivant : Johnson Controls cadre ses dmarches damlioration des processus au sein de la division Electronique Europe en utilisant Automotive SPICE depuis sa publication. Ce choix sest impos pour assurer une meilleure communication avec les constructeurs automobiles. En effet, plusieurs dentre eux utilisent galement Automotive SPICE pour valuer leurs fournisseurs, le fait dutiliser le mme standard facilite grandement la satisfaction des attentes de ces clients. De plus, le fait quAutomotive SPICE soit un standard international adapt lautomobile a fourni une lgitimit dans luniformisation des pratiques des diffrents projets. Dsormais, quel que soit le type de produit dvelopp ou les sites de la division Electronique Europe concerns, le Management de Johnson Controls peut avoir une visibilit homogne sur les forces et faiblesses des diffrents projets. En outre, les problmes lis la mise en uvre des pratiques directement attendues par le modle ne sont plus remis en cause, ce qui permet de trouver des solutions plus constructives aux problmes des projets et avoir une boucle damlioration continue plus efcace. Automotive SPICE est dailleurs un standard en volution, de fait il est pressenti comme un standard sadaptant aux contraintes du monde automobile, elles-mmes en constante volution .

15
ISO 20000

Le dispositif ISO 20000 permet une entreprise dobtenir une certication de son systme de management de la qualit de service, plus spcialement en matire de production informatique.

Figure 15.1 Dispositif ISO 20000

Prsentation
De faon synthtique, nous pouvons prsenter ISO 20000 comme la norme internationale issue dITIL.

90

Chapitre 15. ISO 20000

La premire tape de normalisation a t la reprise dITIL par lorganisme de normalisation britannique, BSI, sous la forme de la norme BS 15000. La seconde tape sest termine en 2005, elle a abouti la reprise de la BS 15000 dans la norme ISO 20000 qui se prsente en deux parties :
Partie 1 Spcications (ISO 20000-1), norme dexigences. Partie 2 Code de bonnes pratiques (ISO 20000-2), norme de recommanda-

tions. La refonte de la norme a t initie en 2007. Outre la refonte des parties 1 et 2, dans un sens plus gnraliste, an dlargir le primtre au monde non-IT, La version future se composera de trois parties supplmentaires, qui nauront pas le statut ofciel de norme, mais celui de rapport technique, ne pouvant donc donner lieu certication :
PDTR 20000-3, Information technology - Service Management - Part 3 : Guidance

for the scoping and applicability of ISO/IEC 20000-1 ; ISO 20000-4, Information technology - Service management - Part 4 : Process Reference Model, qui dtaille chaque processus de la norme ISO 20000-1 de manire oprationnelle (entres-sorties et processus internes de chaque processus) ; ISO 20000-5, Exemplar Implementation Plan for ISO/IEC 20000-1, qui prsente un chemin progressif de mise en conformit avec ISO 20000-1, en diffrenciant les exigences primordiales des exigences secondaires. Une progression tage par niveau linstar de CMMI est ltude. n 2008, un projet de rdaction tait soumis relecture, pour chacune de ces trois parties supplmentaires. Grce ce dispositif, la certication dun systme de management de services va dsormais tre possible au niveau international. Tout comme lITIL, la norme ISO 20000 ne sapplique pas au produit. La partie 1 de la norme ISO 20000 (ISO 20000-1) sappuie sur lapproche processus et la boucle damlioration continue ou PDCA (Plan-Do-Check-Act). Les processus dont nous ne garantissons pas lappellation franaise (encore provisoire), sont classs en cinq grands types de processus :
les processus de fourniture de services :

gestion des niveaux de service, reporting, gestion de la continuit de service et gestion de la disponibilit, budgtisation et comptabilisation des services informatiques, gestion de la capacit, gestion de la scurit de linformation.

les processus de gestion des relations :

gestion de la relation commerciale, gestion des fournisseurs.

ISO 20000

91

les processus de rsolution :

gestion des incidents ou comment sattaquer aux consquences des dysfonctionnements, gestion des problmes ou comment sattaquer leurs causes.
les processus de contrle :

gestion de conguration, gestion des changements.

le processus de mise en production qui nest pas lui-mme dcompos en sous-

processus. La ncessit dtre extrmement ractif induit souvent un manque de traabilit dans les mtiers de linformatique o les termes documentation, validation, revue, accords entre les parties reviennent souvent en termes dexigences. Pour remdier cet tat de fait, il est ncessaire dindustrialiser des pratiques qui restent souvent artisanales, en dnissant clairement les rles et responsabilits de chacun des acteurs, clients ou fournisseurs de services. Les mesures constituent le troisime volet du PDCA, celui de la vrication ou Check. Un des processus obligatoires est celui de ltablissement de rapports rguliers (reporting) sur ltat du fonctionnement des services. Lapplication du rfrentiel ncessite la mise en place de mesures examines lors de revues de processus et daudits. Les indicateurs prcis mettre en place ne sont toutefois pas imposs, mais laisss lapprciation de chaque entreprise qui pourra les slectionner dans les recommandations de la norme ou dans un autre rfrentiel proche tel que CobiT.

Documentation
ISO 20000 partie 1 (2005) a t traduite en franais. Afnor ne prvoit pas actuellement de traduire les autres parties, en raison du plus faible intrt quelles suscitent. Seule la partie 1 peut faire lobjet dune certication, ce qui est une autre raison du manque de soutien pour une reprise des autres parties en version franaise. La bibliothque ITIL constitue elle-mme un sur ensemble des exigences et des recommandations contenues dans les normes de la srie ISO 20000. Le chapitre franais de litSMF (IT Service Management Forum), litSMF France, fournit progressivement les versions franaises de la documentation ITIL.

Mise en uvre
Lutilisation de la norme ISO 20000-1 pour la certication de services a pris le relais de celle qui tait effectue dans un cadre strictement britannique sur la base de la BS 15000. LISO 20000 annule et remplace la BS 15000. Dbut 2009 le site www.isoiec20000certication.com recensait 333 certicats dans le monde, dont seulement trois en France obtenus par BT France - Hosting Business Unit, Thales Security Solutions & Services Division et IBM Ltd France. Le Royaume-Uni

92

Chapitre 15. ISO 20000

arrive sans surprise en tte avec 50 certicats, devant le Japon fort de 48 certicats et lInde qui en compte 39. La certication ISO 20000 est dlivre par plus de 30 organismes de certication accrdits par litSMF, parmi lesquels on retrouve les grands organismes certicateurs des systmes de management de la qualit et de la scurit. Elle a pris la suite de celle que cette association avait lance ds 2003 pour fournir un contrle indpendant de conformit la norme BS 15000. Une certication ISO 20000 se droule de faon classique suivant le processus daudit tierce partie par un organisme de certication accrdit : pr-audit ou audit blanc facultatif, audit de certication, remise du certicat et audits de suivi. La dure du certicat est au maximum de trois ans et ncessite un audit de suivi annuel.

Retour dexprience
Nous avons interrog Francis R ONEZ, vice-prsident et directeur pour la France et les pays francophones dAxios Systems ltd. sur le processus interne qui a permis Axios Systems dtre la premire socit au monde tre certie BS 15000. Son tmoignage met en avant lintrt que prsentent la gestion de services et la certication ISO 20000 pour une entreprise vocation mondiale, tout en tant de taille humaine. diteur de logiciels vendus dans le monde entier, la socit Axios Systems est une entreprise de 200 personnes. Ds sa fondation en 1988, Axios Systems a adopt lITIL et lapproche mthodologique des meilleures pratiques, pour lesquelles elle a conu sa solution, assyst, qui permet dappliquer au quotidien les recommandations de lITIL. Ds son introduction, la BS 15000 a t reconnue comme la seule norme en mesure de dmontrer la conformit dune entreprise lITIL. Il nous a sembl logique quAxios Systems se xe comme objectif de faire partie des premires organisations au monde obtenir la certication la norme. travers cette certication, nous dsirions dmontrer notre engagement dans lITIL et dans les meilleures pratiques et montrer que nous pratiquions ce que nous prchions. La premire tape cruciale de notre projet de certication BS 15000 consista nous assurer du soutien et de limplication de la direction. tant donn notre soutien historique lITIL, participant la diffusion de lITIL et en prenant une part active dans litSMF, le concept a sduit nos directeurs et nos managers qui ont encourag toute lorganisation manifester le mme degr dengagement dans le processus de certication. Ltape suivante consista dsigner un responsable de projet et rpartir les rles et les responsabilits. Nos premires discussions ont eu lieu dbut 2003. Cependant ce moment-l, aucun organisme daudit navait t accrdit, il a fallu attendre lt 2003. Le projet de certication fut lanc ofciellement au sein dAxios Systems en aot 2003. Nous avions la chance de compter parmi Axios Systems des auditeurs et des consultants ITIL qualis Service Manager qui ont t capables deffectuer un pr-audit interne an dvaluer notre degr de prparation laudit ofciel. Les rsultats de ce pr-audit nous ont servi liminer toutes les lacunes identies et,

ISO 20000

93

lorsque nous avons t satisfaits des ajustements, nous avons sollicit un auditeur ofciel de KPMG, lun des organismes daudit enregistrs auprs de litSMF. La charge initiale de travail, principalement interne, a t assume par les ressources mentionnes ci-dessus, qui ont investi 10 20 % de leur temps au dbut du processus avant de simpliquer davantage lapproche de laudit. Lengagement de la direction sest rvl essentiel pour mettre disposition et grer efcacement les ressources ncessaires. Lorsque nous avons programm laudit, nous avons dcouvert que la dure de celui-ci pouvait beaucoup varier en fonction de la taille de lorganisation. Notre audit a t ralis en quatre jours. La certication a t dlivre en fvrier 2004. Limpact de cette certication a t positif, que ce soit vis--vis de nos clients, de nos collaborateurs ou de notre organisation. Le personnel dAxios Systems est extrmement er de cette certication et de son implication dans le processus daccrditation. Chaque personne a contribu et continue de contribuer au programme damlioration continue qui a t mis en place dans le cadre du processus de revue de laccrditation. Au niveau de lorganisation, la certication a confort notre conance dans la qualit de notre personnel et dans la formation que nous leur dispensons rgulirement. Nous nous assurons ainsi que nous sommes en mesure de fournir un support interne de qualit, ce qui se rpercute sur la qualit du produit que nous offrons sur le march. Elle a en outre permis de mettre en lumire certains points qui devaient tre revus an de maintenir nos propres standards haut niveau. La gestion de services informatiques (ITSM, Information Technology Service Management) est notre domaine dactivit. Au cur de nos solutions, lITSM contribue la russite de lensemble de notre organisation. Cest par la mise en place de la gestion de services informatiques et le respect des meilleures pratiques que nous parvenons fournir des services informatiques cohrents de grande qualit, en interne et chez nos clients. Nous grons nos services informatiques en utilisant une approche holistique qui repose sur la gestion des capacits. Grce cette approche, notre infrastructure SI nous donne les moyens de satisfaire nos besoins mtier daujourdhui et de demain ainsi que ceux de nos clients, sur des budgets matriss. LITSM est une dcision stratgique. Sa russite dpend donc de lengagement de la direction. Chez Axios Systems, non seulement le management soutient lITSM, mais il en est le plus fervent dfenseur. Cela sexplique par le rle essentiel tenu par la gestion de services en tant que fondement de notre offre mtier. La gestion de services informatiques a contribu faonner chez Axios Systems une culture oriente vers le service. Tous les collaborateurs dAxios Systems en contact avec les clients possdent une qualication ITIL, beaucoup au niveau Service Manager. Tous nos employs comprennent limportance fondamentale de lITSM et ont conscience de leur apport dans la russite de lentreprise. Nos clients sont certains que nous leur fournirons un service de qualit reposant sur des processus clairement dnis et publis. De plus, comme nous mesurons et nous communiquons clairement nos niveaux de service, nos clients ont conance dans Axios Systems et dans nos offres de services .

94

Chapitre 15. ISO 20000

Au dbut de lanne 2006, il y avait plus de socits de conseil et de consultants proposant leur accompagnement que de socits certies. LITIL et lISO 20000 sont des opportunits pour les socits de service et pour les diteurs doutils qui annoncent tous des produits conformes lITIL. Mme si les diteurs sinspirent des bonnes pratiques dITIL pour concevoir leurs outils, il nexiste aucune certication de produit pour labelliser un outil daide la gestion de services, quil sagisse de gestion dincident, de gestion de conguration ou tout autre processus difcile mettre en uvre manuellement. Le bnce dune certication dun systme de gestion des services est double, comme celui de toute certication de systme : une meilleure matrise des processus et une conance accrue du march. Le bnce essentiel porte sur la revalorisation de limage du parent pauvre quest la production informatique qui souffre depuis ses origines dun manque agrant de considration par rapport aux mtiers nobles du dveloppement. La motivation du personnel de production devrait ainsi tre la premire valeur ajoute dune dmarche ISO 20000 : les certications de personnes selon ITIL prennent ainsi tout leur sens en sinscrivant dans une dmarche dentreprise soutenue par la direction. La boucle damlioration repose sur la mise en uvre de pratiques concrtes moins conceptuelles que celles de lISO 9000. LISO 20000 apporte lentreprise un outil transversal de communication grce un vocabulaire prcis sur des sujets comme la gestion des incidents ou la gestion des problmes. LISO 20000 resitue ainsi linformatique au service des objectifs mtiers de lentreprise. Les principes de lISO 20000 peuvent galement tre appliqus de faon avantageuse des services autres que les services informatiques. Parmi les points faibles potentiels, il faudra sassurer que tous les certicats dlivrs aux quatre coins du monde ont bien la mme valeur, quel que soit lorganisme certicateur, ce qui suppose de rester vigilant en matire daccrditation. Il ne faut pas sous-estimer la rsistance au changement lintrieur des DSI, ni leffort humain et nancier de la mise en uvre de certains processus : procder linventaire des matriels et logiciels de lentreprise et mettre en place une procdure de mise jour able peut prendre plusieurs mois.

16
ISO 25051

Le dispositif ISO 25051 permet une entreprise dobtenir une certication en matire de qualit du produit logiciel.

Figure 16.1 Dispositif ISO 25051

Prsentation
La norme ISO 25051 fait partie de la srie de normes ISO 25000 concernant lexigence de qualit et valuation du logiciel (SquaRE).

96

Chapitre 16. ISO 25051

Le rfrentiel associ ce dispositif est la norme ISO 25051 (anciennement ISO 12119) de 2006 qui dnit les exigences de qualit pour les progiciels et les instructions dessais. Elle spcie des exigences applicables aux progiciels commercialiss et donne des instructions sur la manire de vrier la conformit ces exigences. Elle sert de base lvaluation ou la certication de ces progiciels. Il sagit par exemple des traitements de texte, des tableurs, des gestionnaires de bases de donnes, des outils de dessin, des logiciels techniques ou scientiques ou dutilitaires systmes. LISO 25051 comporte trois chapitres principaux :
les exigences sur le produit : sa description, sa documentation utilisateur et les

exigences en matire de qualit ;

les exigences sur la documentation des tests : le plan de test, la description et

les rsultats des tests ;

les instructions relatives aux valuations de conformit cette norme : va-

luations pralables, activits dvaluation, valuation tierce partie, rapport dvaluation, valuation de suivi. Cette norme fait rfrence aux caractristiques qualit dnies dans une norme dans la norme ISO 25010, en cours de dveloppement, qui reprendrait entre autres le contenu de lactuelle norme ISO 9126-1. En matire de mesure, aucune exigence spcique nest formule dans le rfrentiel. On peut toutefois supposer que les mesures utilises doivent tre cohrentes avec les caractristiques qualit de lISO 25010.

Documentation
LISO 25051 publie en 2006 annule et remplace la norme ISO 12119 Progiciel Exigences qualit et essai qui datait de 1994. Elle est disponible en anglais et en franais.

Mise en uvre
En France, ce dispositif conditionne le droit dusage de la marque NF Logiciel. Au 20 mars 20091 , 34 socits avaient certi au total 60 logiciels. Fin 2005, on comptait 52 produits certis. Ce dispositif peut servir lvaluation ou la certication de logiciels sur tagre tels quils sont proposs la vente en boutique. Il sagit de vrier la conformit aux exigences de la norme partir des documents qui dcrivent le produit et les tests, sans tenir compte du processus de dveloppement (activits ou produits intermdiaires, par exemple les spcications). Les exigences de la marque NF Logiciel et la mthode dvaluation reposent sur trois familles dexigences : les exigences qualit provenant de lISO 9001, celles qui sont relatives au produit provenant de lISO 25051 et les exigences complmentaires spciques un domaine.
1. http://www.infocert.org/produits_certies.php# G0

ISO 25051

97

Il nexiste aucune formation spcique attache la mise en uvre de cette norme. En France, lexpertise se trouve essentiellement chez Infocert lorganisme de certication mandat pour la marque NF Logiciel. La certication doit tre renouvele annuellement pour chaque produit.

Retour dexprience
Les responsables de diffrentes socits font part de leur exprience de la certication NF Logiciel. La socit EBP dclare : Nous faisons partie des premiers diteurs avoir obtenu le double label NF Logiciel et Support utilisateur certis. Cela nous a demand des amnagements spciques mais bnques, et lensemble a t moins contraignant que nous aurions pu le penser puisque nous avions dj des procdures bien arrtes, notamment en matire de traabilit des appels et de structuration de nos dveloppements . La socit Extensity France (ex Geac) : Nous avons choisi de faire certier nos solutions NF Logiciel en nous intgrant trs en amont, aux cts dInfocert, dans la rexion lie la dnition du systme de certication et de sa mise en uvre. Un travail collaboratif et constructif permet aujourdhui, par le biais de cette certication, doffrir tous les gages dassurance et de abilit aux utilisateurs naux . Pour ITHEC International : Lobjectif de notre dveloppement international doit sappuyer sur des outils et des produits sans faille . Le dire est une chose, mais sappuyer sur une certication en est une autre. Elle rend notre discours crdible. En interne, cest un projet dentreprise bas sur le travail des services techniques et valoris par le service commercial. Le gain, une plus grande abilit, sappuie sur des procdures simples, lisibles et utilisables par tous. Cest galement la matrise du cycle de test qui est un lment prpondrant de la qualit et du service client pour nous, diteurs de logiciel . Une nouvelle marque NF Logiciel est relativement facile laborer. Elle permet de rpondre au besoin du march : faire valuer par une autorit indpendante et comptente la capacit des diteurs de logiciel prendre en compte une rglementation particulire. Cela ncessite la cration dun groupe de travail regroupant des diteurs, des utilisateurs et des experts du domaine. On obtient ainsi une marque NF Logiciel, xxx . Par exemple, la marque NF Logiciel, Normes comptables internationales qui atteste la conformit du produit aux exigences requises pour traiter les normes comptables internationales IAS/IFRS. Cette marque permet aux diteurs de dmontrer leur capacit intgrer dans leurs produits les nouvelles exigences comptables. Dautres domaines donnent lieu (ou vont donner lieu) une marque spcique : SI ressources humaines, Reporting nancier, Services et prestations associs au produit, Gestion budgtaire.

98

Chapitre 16. ISO 25051

Toutefois, si ce type de certication tablit la conformit du produit soumis lvaluation il ne prjuge pas de sa conformit future lors de ses volutions entre deux certications. Pour estimer la conformit future, le dispositif le plus appropri est celui de la certication ISO 9001, condition dinclure lentit responsable du produit dans son champ dapplication.

17
ISO 27001

Le dispositif ISO 27001 permet une entreprise dobtenir une certication pour son systme de management de la scurit des systmes dinformation.

Figure 17.1 Dispositif ISO 27001

Prsentation
LISO 27001, publie en octobre 2005, complte le dispositif normatif en matire de Systme de management de la scurit de linformation (SMSI). Pour rsumer la situation, nous pouvons dire que lISO 27001 et lISO 27002 constituent un couple

100

Chapitre 17. ISO 27001

complmentaire en matire de scurit, tout comme lISO 9001 et lISO 9004 en matire de qualit. LISO 27001 prsente les exigences pouvant faire lobjet dune certication, et lISO 27002 les recommandations pour la mise en uvre effective de ces exigences. Cependant, le dtail des bonnes pratiques a prcd celui des exigences soumises la certication. Mais reprenons lhistorique du dveloppement de cette famille de normes :
en 1995, BSI publie la norme BS 7799 qui formalise pour le march britannique

un recueil de bonnes pratiques en matire de scurit de linformation ; en 1998, BSI publie une seconde partie de la BS 7799 (BS 7799-2) permettant de mettre en place une certication de lapplication des dispositions contenues dans la BS 7799 qui a t numrote cette occasion BS 7799-1 ; en 1999, BSI publie une seconde dition de la BS 7799-1 an de pouvoir la soumettre lISO ; en 2000, la norme britannique BS 7799-1 devient la norme ISO 17799, Code de pratiques pour la gestion de scurit dinformation ; en 2002, BSI publie une version amliore de la BS 7799-2 an de lharmoniser avec les systmes de management de la qualit et de lenvironnement (ISO 9001 et ISO 14001) ; en octobre 2005, lISO 17799 est mise jour conformment la politique de rvision quinquennale de lISO ; en 2005, la norme BS 7799-2 devient la norme ISO 27001 ; en fvrier 2007, la norme ISO 27006, sappuyant sur la norme ISO 17021, vient complter le dispositif en fournissant les exigences pour les organismes daudit et de certication des SMSI ; le premier juillet 2007, lISO 17799 devient lISO 27002, sans changer de contenu ; enn, en juin 2008, lISO 27005 remplace la BS 7799-2, en dcrivant la gestion du risque pour la scurit de linformation.

Dautres normes complmentaires devraient tre publies dans les annes prochaines :
lISO 27000, qui prsentera une vue globale de la famille de normes et du

vocabulaire ; lISO 27003, un guide dimplmentation pour le systme de gestion de scurit de linformation prsentant des bonnes pratiques en termes dimplmentation, issues de lannexe B de la BS7799-2 ; lISO 27004, une norme dnissant des mtriques pour lvaluation de lefcacit de la mise en uvre des systmes de management de la scurit de linformation (ISMS, Information Security Management Systems) ; lISO 27007, un guide pour laudit dun SMSI, dont la publication est prvue en 2010, mais dont le titre exact na pas encore t choisi.

ISO 27001

101

LISO 27001 spcie les processus qui permettent une entreprise de construire, de grer et dentretenir un systme de gestion de scurit de linformation. Elle intgre lapproche processus et le cycle PDCA (Plan-Do-Check-Act) damlioration continue dj contenu dans les normes ISO 9001 et ISO 14001 :
Plan : organiser la mise en place du systme de gestion de scurit de linforma-

tion ; Do : mettre en place et faire fonctionner le systme ; Check : contrler lefcacit du systme par des audits internes et des valuations de risque ; Act : amliorer le systme par des actions correctives et prventives appropries, lentretenir par des actions de communication et de formation. En matire de scurit, la boucle damlioration est synonyme de boucle de rduction des risques. En pratique, il convient de mettre en place des procdures pour :
dtecter rapidement les erreurs de traitement ; identier immdiatement toute non-conformit aux rgles de scurit et organi-

ser la remonte immdiate des incidents ; vrier que toutes les tches relatives la scurit sont rellement excutes que ce soit par des hommes ou des automates ; identier les actions raliser pour corriger les non-conformits aux rgles de scurit. En matire de contrle, il convient de raliser des revues rgulires de lefcacit du systme partir des rsultats daudits, des rapports dincidents, ainsi que des suggestions et commentaires reus des parties concernes. Dautre part, il faut examiner et adapter en permanence les niveaux de risques rsiduels acceptables en fonction des volutions de lorganisation, de la technologie, des lois et rglementations ou encore de lopinion publique. Des exigences de mesures sont explicitement contenues dans la norme, sous forme dvaluations de risques, daudits, de collecte de donnes sur les incidents et de nonconformits. Il manque toutefois la norme les mtriques qui permettraient, avec un rfrentiel unique, de comparer plus facilement des entits certies.

LISO 27002
Les objectifs de scurit indiquent le but atteindre et les mesures de scurit prsentent les activits permettant dy parvenir, expliquant les actions mettre en uvre pour implmenter ces mesures. LISO 27002 est un outil daide la mise en uvre de lISO 27001. Il regroupe une clause introductive sur lapprciation du risque et son traitement, 39 objectifs de scurit, dcomposs en 133 mesures de scurit organisationnelles et techniques, relatives 11 domaines.

102

Chapitre 17. ISO 27001

La politique de scurit : elle exprime lorientation et lengagement de la

direction en matire de scurit de linformation. Lorganisation de la scurit : elle permet de dnir les responsabilits de management de la scurit de linformation au sein de lentit, y compris lorsque des tiers accdent linformation ou sont responsables du traitement de linformation. La classication des informations ou gestion des actifs : elle vise le maintien du patrimoine informationnel de lentreprise. La scurit des ressources humaines : elle vise la rduction des risques dorigine humaine (vol, fraude ou utilisation abusive des infrastructures). La scurit physique et environnementale : elle permet de prvenir les accs non autoriss aux locaux, aux informations et leurs supports, ainsi que toute forme datteinte ou de dgradation de ces locaux. La gestion des oprations et des communications : elle permet dassurer le fonctionnement correct et sr des infrastructures de traitement de linformation, et de minimiser les risques oprationnels. Les contrles daccs : ils permettent de matriser les accs logiques au patrimoine informationnel. Le dveloppement et la maintenance des systmes : leur fonction est dinclure la scurit dans le dveloppement et la maintenance des systmes dinformation, ds les phases de spcication et de conception. La gestion des incidents de scurit : elle fournit les lments de traabilit et danalyse indispensables aux actions correctives et prventives. La continuit dactivit : elle sobtient par la mise en place des parades aux interruptions des activits de lentit an de permettre aux processus vitaux de lentit de continuer fonctionner malgr des dfaillances ou des sinistres majeurs impactant le systme dinformation. La conformit la rglementation interne et externe : son objectif est dviter les infractions de nature lgale, rglementaire ou contractuelle et dassurer la bonne application de la politique de scurit.

Documentation
Les normes de la srie ISO 27000 sont disponibles auprs dAfnor en France. LISO 27002 ainsi que lISO 27001 sont disponibles en anglais uniquement. Des informations complmentaires peuvent tre obtenues auprs de lISMS (Information Security Management Systems) International User Group. En France, la Direction centrale de la scurit des systmes dinformation (DCSSI) a mis en ligne un guide de bonnes pratiques expliquant comment exploiter, dans le cadre dune dmarche ISO 27001, les rsultats de la mthode EBIOS (Expression des besoins et identication des objectifs de scurit).

ISO 27001

103

Mise en uvre
Au Royaume-Uni, la BS 7799-2 fait lobjet dun dispositif complet de certication. En France, jusqu la parution de la norme ISO 27001, il nexistait pas de dispositif de certication en matire de systme de gestion de la scurit de linformation. n dcembre 2008, prs de 5 000 certicats ont t dlivrs dans lensemble du monde dont 9 en France. Les chiffres sont parlants : 50 certicats au dbut 2001, 1 000 la n 2004, 2 000 la n 2005 et prs de 5 000 la n 20081 ; la tendance est la mme que celle qui a accompagn la certication ISO 9001. Les cinq premiers dtenteurs de certicats2 sont le Japon (2 863), lInde (433), le Royaume-Uni (368), Tawan (202) et lAllemagne (108). La France arrive au 32e rang mondial. En nous appuyant sur le succs de la norme BS 7799-2 dans les pays anglo-saxons, nous pouvons toutefois faire le pari que la norme ISO 27001 connatra une reconnaissance au moins quivalente celle de lISO 9001, aujourdhui vidente pour tous et largement entre dans notre quotidien. On peut dj noter lintrt du monde bancaire soumis la rglementation Ble II qui impose de se prmunir face aux risques dits oprationnels, notamment en ce qui concerne le risque de pertes directes ou indirectes dune inadquation ou dune dfaillance attribuable des procdures, personnes, systmes internes ou des vnements extrieurs . La conformit ce rfrentiel commence tre reconnue comme un lment de prsomption de respect de certains textes comme la loi Sarbanes-Oxley, Ble II ou comme la Loi de Scurit Financire, lesquels expriment des exigences fortes en matire de scurisation des donnes nancires. BSI ainsi que dautres certicateurs internationaux comme LRQA (Lloyds Register Quality Assurance) dlivraient dj des certicats sur la base de la norme BS 7799-2 pour une dure de trois ans renouvelable. Ces certicateurs proposent aujourdhui le passage une certication sur la base de lISO 27001. Lorganisme certicateur charg de dlivrer les certicats respectera les mmes principes que ceux qui sont appliqus lISO 9001 : en France, il devra tre accrdit par le Comit franais daccrditation (COFRAC) selon un processus strict et normalis. La dmarche daudit ISO 19011 sapplique en particulier aux audits de conformit ISO 27001. Pour rduire les cots supplmentaires dune nouvelle certication, des audits combins sur plusieurs normes de systmes de management (ISO 9001, ISO 14001 et ISO 27001) pourront tre effectus par des certicateurs accrdits par le COFRAC.

1. Source : www.xisec.com 2. Source : http://iso27001certicates.com

104

Chapitre 17. ISO 27001

Retour dexprience
Le directeur qualit dun groupe international tmoigne : Lessentiel du travail porte sur lanalyse de risque qui ncessite la mise en place dune mthode adapte, ne faisant pas encore lobjet dune recommandation normative. Lidentication exige par la norme des actifs informationnels et celle des risques qui menacent ces actifs, constituent le premier bnce de la mise en place de cette norme. La certication a fortement rduit lauditomanie de nos clients. De plus, comme nous faisons partie dun groupe international, la norme nous permet davoir un langage commun. Enn, comme pour les autres dmarches de certication de systme de management, llment cl de la russite du projet est lengagement de la direction . Gilles T ROUESSIN, certi Lead Auditor 27001 par BSI, est consultant en audit et management de la scurit des systmes dinformation au sein de la socit OPPIDA. Il conrme cette nouvelle tendance : De plus en plus dentreprises issues de secteurs dactivit varis se soucient srieusement du management de la scurit de leurs informations de faon, disons, plus professionnelle, cest--dire de manire organise, planie et matrise, et non plus de faon improvise par des interventions ponctuelles en urgence, sans trop de coordination entre elles, ni danticipation sur la qualit ou la constance de celles-ci. Lutilisation de mthodes et doutils tels que ceux dvelopps par la DCSSI facilitent la mise en place cohrente et matrise dun systme de management de la scurit de linformation laide la norme ISO 27002 dune part, et dautre part la mise en uvre de la dmarche daudit et de certication correspondante avec lISO 27001. Il sagit de mettre en application la mthode EBIOS ou encore de favoriser la mise en place et lexploitation dun Tableau de bord de la scurit des systmes dinformation (TDBSSI) . La force du dispositif rside dans le modle de management calqu sur le modle gnrique du PDCA qui permet aux entreprises de lintgrer dans un systme de management unique, couvrant les aspects qualit, scurit et environnement. En contrepartie, le dispositif semble aujourdhui mieux adapt aux grands groupes multinationaux soumis des contraintes rglementaires et lgales multiples quaux petites et moyennes entreprises. LISO 27001, bien que diffuse par Afnor, nest pour linstant pas traduite en franais, ce qui en rend lutilisation difcile. Conscients de ces difcults, ltat franais mne une vritable campagne promotionnelle en faveur de la politique scurit, par le biais de la DCSSI et de la publication du Rfrentiel gnral de scurit (RGS), applicable aux administrations centrales et territoriales ainsi qu lensemble des organismes contribuant ladministration lectronique. Bien que les guides dapplication sur lvaluation des risques (ISO 27005) et les mthodes de mesure (ISO 27002) soient aujourdhui disponibles, un accompagnement fort par des socits de conseil reste indispensable. Daprs ltude Gartner Recommendations for Security Administration, en 2009 plus de la moiti des Systmes de management de la scurit de linformation (SMSI) devrait tre fonde sur lISO 27001 et utiliser lISO 27002 comme ensemble de

ISO 27001

105

contrle. On peut toutefois sinterroger sur le trs faible nombre dentreprises franaises certies ISO 27001 : 9 en France sur prs de 5 000 au niveau mondial. Gageons que lobligation faite aux entreprises sous-traitantes de ladministration franaise de saligner sur le RGS devrait avoir rapidement un effet de levier sur le nombre de certicats.

18
ITIL

Le dispositif ITIL permet une personne physique dobtenir une certication en matire de production informatique.

Figure 18.1 Dispositif ITIL

Prsentation
LITIL (Information Technology Infrastructure Library) est le rsultat de plusieurs annes de rexion et dexprience sur des problmes poss par les technologies de linformation. LITIL est un rfrentiel de bonnes pratiques pour la fourniture de

108

Chapitre 18. ITIL

services informatiques ; ce rfrentiel aide les entreprises atteindre leurs objectifs de qualit et de matrise des cots. ITIL est un rfrentiel ouvert et public qui appartient lOGC (Ofce of Government Commerce). Il a t dvelopp sous limpulsion du gouvernement britannique par des groupes de travail composs de responsables oprationnels, dexperts indpendants, de consultants et de formateurs. En mettant en place une organisation de support et de conseil, la direction informatique peut amliorer le service rendu au client par une meilleure communication, par des engagements sur des rsultats mesurables, ngocis et mesurs, et par le respect des contraintes budgtaires. Aujourdhui il existe deux versions dITIL, la version V2 et la version V3. La V2 aurait d tre dnitivement remplace par la V3 n 2008. Dbut 2009, force est de constater, que sous la pression de certains utilisateurs ; les deux versions continuaient coexister dbut 2009.

ITIL V2 : une approche par processus

ITIL V2 est donc toujours dactualit. Il repose sur huit modules intituls :
ITIL The Business Perspective qui prsente les avantages pour lentreprise dune

gestion des services an de mieux comprendre lITIL.

ITIL Service Delivery qui couvre les processus ncessaires la conception et

la fourniture des services. ITIL Service Support qui couvre la fonction Service-Desk et les processus ncessaires la maintenance et au support des services. ITIL Security Management qui couvre lensemble des aspects de mise en uvre et de gestion de la scurit des systmes dinformation. ITIL ICT Infrastructure Management qui couvre les processus de conception et de gestion des infrastructures informatiques. ITIL Application Management qui couvre les interactions de la gestion des applications avec la gestion de services. ITIL Software Asset Management qui couvre la gestion des objets logiciels sur lensemble de leur cycle de vie. ITIL Planning to implement Service Management qui couvre le plan de mise en uvre de la gestion des services et les conseils suivre.

Pour la V2, les modules sembotent comme les lments dun puzzle avec cependant des zones de recouvrement. Chaque module dcrit un domaine constitu de plusieurs processus. Chaque processus tablit des rgles de bonnes pratiques en matire de service dlivr et sassure du bon fonctionnement grce la certication des individus. La certication ne porte que sur les deux modules Soutien des services et Fourniture de services. Dans son principe, lITIL dcrit le service rendre et non pas la faon de sy prendre.

ITIL

109

ITIL V3 : une approche fonde sur le cycle de vie du service rendu

ITIL V3 repose sur la notion de cycle de vie du service, chaque tape faisant lobjet dune publication :
ITIL SS-Service Strategy fournit des conseils sur les modles dorganisation

dnissant les relations entre entreprise et fournisseur de service.

ITIL SD-Service Design fournit des conseils sur la conception et la maintenance

des services.
ITIL ST-Service Transition fournit des conseils sur la gestion des changements

la matrise des risques et les mises en production. Elle cherche amliorer laptitude aux changements. ITIL SO-Service Operation fournit des conseils defcacit et defcience dans lexploitation et le support des services. ITIL CSI-Continual Service Improvement traite du suivi de lamlioration du service sur toutes les tapes du cycle de vie. Il fournit des conseils pour maintenir et crer de la valeur au client. La V3 intgre les processus issus de la V2. Mais dans son principe, ITIL V3 ne voit plus le systme comme uniquement comme un embotement de modules et de processus. Cette version du rfrentiel insiste davantage sur le fait que les composants du systme sont en contact les uns avec les autres la faon dun mikado. Ds que lun dentre eux est modi, il y a implicitement rpercussion de la modication sur les autres composants. Cette vue est plus complexe dans la mesure o les processus sont dcrits travers les tapes du cycle de vie du service rendu. Cela explique peut-tre la difcult de certains utilisateurs adopter la V3.

Documentation
Concernant la V2, la certication de personnes repose uniquement sur deux recueils couvrant les domaines suivants :
ITIL Soutien des services (ITIL Service Support) ; ITIL Fourniture de services (ITIL Service Delivery).

Ils sont rdigs en anglais et en franais. La version anglaise est disponible sous forme de CD-ROM. Il existe aussi un Guide de poche sur la Gestion des services des TI. La certication V3 couvre lensemble des cinq publications prcites. La documentation en anglais peut tre acquise sur un site ddi ITIL gr par lOGC, celle en franais partir de celui litSMF France. Le site en anglais intitul Ofcial ITIL Website propose en plus des cinq publications centrales, des titres drivs intituls Key Element Guide . Ces derniers fournissent des modles, des tudes de cas et des aides : Il existe aussi une introduction ITILV3 sous forme de guide de poche.

110

Chapitre 18. ITIL

Mise en uvre
LITIL connat un succs croissant. Sil a t initialement utilis dans la plupart des pays anglo-saxons, force est de constater quil se dveloppe aujourdhui au niveau mondial. En France, il devient incontournable. Le succs actuel de litSMF France en est la preuve. Son dploiement le positionne comme un standard de fait dans plus de 50 pays. La documentation existe en 10 langues. Dabord positionn comme standard de fait, lITIL est devenue une norme internationale lISO 20000.

ITIL V2 : une formation structure sur trois niveaux

La formation lITIL V2 peut se drouler en franais ou en anglais. Les examens sont structurs en trois niveaux :
Fondamentaux-ITIL (ITIL Professionals for ITIL Foundation) qui existe en

anglais et en franais ; Praticien-ITIL (ITIL Practitioner) ; Managrial-ITIL (ITIL Service Manager) en anglais et franais. Les Fondamentaux -ITIL concernent tout collaborateur intervenant sur la gestion de linfrastructure. Aucune condition pralable nest exige. Le Praticien-ITIL est spcique la mise en uvre ; il est destin aux gestionnaires de processus. La condition pralable est lobtention du certicat Fondamental-ITIL. Les modules sont :
ITIL Practitioner Plan & Improve qui se droule en anglais ; ITIL Practitioner Release & Control en anglais et franais ; ITIL Practitioner Support & Restore en anglais et franais ; ITIL Practitioner Agree & Dene uniquement en anglais.

Le niveau Managrial-ITIL est spcique au domaine dactivit. Il sadresse tout manager ou consultant charg de mettre en uvre la prestation de service et lassistance conformment aux critres dITIL. En plus du certicat Fondamental-ITIL, deux ans dexprience en tant que manager ou consultant sont exigs. De plus, lEXIN (EXamination institute for INformation science) intgre une valuation de n de cours.

ITIL V3 : la structure sur trois niveaux demeure mais avec des volutions majeures
La version 3 dITIL saccompagne dun programme de formations et de certications. Le premier niveau change que trs peu sur lobjectif de la formation. Il sappelle toujours les fondamentaux ITIL (ITIL Foundation) et vise acqurir des comptences de base. Il complte la version V 2 avec 13 nouveaux processus et 3 nouvelles fonctions. En ce sens il enrichit le niveau :
dune approche permettant didentier et de grer la continuit / discontinuit

de la production informatique (avec le processus de gestion des vnements) ;

ITIL

111

dun volet de trois composantes de la gestion des vnements (informations,

alertes, anomalies) consacr la gestion des anomalies, qui se subdivise luimme en trois catgories (incidents, changements, problmes). Cette arborescence donne au service desk des principes dorganisation ct des structures dj existantes dans la V2 ; dun processus ddi la conception du catalogue des services subdivis en un catalogue technique (catalogue des composantes de service), et un catalogue client (catalogue des services). Seulement ce dernier fait lobjet dune publication ; dune gestion des lments de conguration largie la notion de systme de gestion des congurations (CMS Conguration management System), et de prise en compte des actifs (SACM Service Asset and Conguration Management). Le niveau intermdiaire praticien est remplac par trois cursus de certication au choix :
le cycle de vie (ITIL Life Cycle Stream) ; laptitude (ITIL Capability Stream) ; le module MALC (Managing Across the Life Cycle).

Les deux cursus Streams sont effectus au choix du candidat. Enn, le troisime niveau ne sappelle plus managrial mais diplm (Diploma). Il sobtient par le cumul dun ensemble de points (crdits) obtenus lors des formations prcdentes. noter, pour les personnes dj certies V2 niveau fondamentaux ou managrial, quil existe des formations entre V2 et V3 appeles passerelles (bridge). LITIL Qualication Scheme dcrit les rles et responsabilits des diffrents intervenants dans le dispositif ITIL. LICMB (ITIL Certication Management Board), comprend lOGC, litSMF ainsi que des organismes certicateurs (Examination Institute) qui assurent aussi laccrditation des centres de formation. Dans cette dernire catgorie, on ne trouve aujourdhui que lEXIN et lISEB (Information Systems Examinations Board). Le certicat est mis par lexaminateur local agr par lEXIN et lISEB, au nom de lorganisme certicateur. La liste des organismes accrdits pour raliser les formations lITIL est accessible sur le site de lEXIN.

Retour dexprience
Kamel S EHRI, directeur du dveloppement de la socit SELESTA remarque : On sait que si on nadhre pas lITIL, on aura de plus en plus de mal fonctionner. Notre socit a une politique de certication ITIL car cest une demande de nos clients. Aujourdhui, tous nos clients ont entendu parler dITIL, ce ntait pas vrai il y a deux ans. Pour eux, la certication est un gage de qualit, cela les scurise, minimise le risque. Cela nous permet de plus de valoriser notre personnel en le motivant .

112

Chapitre 18. ITIL

Philippe C ROIX, Marketing Technical Manager de la socit Peregrine Systems, ajoute : ITIL apporte un langage commun, ce qui facilite la comprhension. Ceci est tellement important pour nous que notre politique est de faire certier ITIL toute la partie de notre personnel qui est en contact avec nos clients : nos experts, nos commerciaux, les quipes davant-ventes, le marketing, le management, etc. Nous avions n 2005, 196 personnes certies Fondamental-ITIL, 24 Praticien-ITIL et trois Managrial-ITIL ; ces chiffres sont en constante augmentation . Franois B AUDRAZ consultant ITIL (FBA Conseil Suisse), certi ITIL V3 Expert en novembre 2008, dclare : Consultant MOF (Microsoft Operation Framework) depuis juin 2003, jai souhait passer le premier niveau de certication ITIL an dobtenir une reconnaissance ofcielle de ma conviction que les mthodologies de travail en environnement informatique taient la fois les fondations et les murs porteurs de la production. Ces bonnes pratiques concourent transformer les systmes dinformation de centres de cot en centres de prot. Ayant le diplme Service Manager V2, jai suivi une formation au Bridge Service Manager V3 en quatre jours et demi de thorie et une demi-journe de rvision (QCM blanc) avec passage de lexamen nal. La formation de cinq jours a pour but de prsenter de manire approfondie lensemble des ouvrages de ITIL V3. Compte tenu de la densit de concepts abords (cinq livres de prs de 300 pages chacun), il est ncessaire dune part davoir tudi les diffrents ouvrages pralablement et dautre part de sastreindre un travail personnel chaque soir lors des journes de formation. Le passage de la certication sest fait laprs-midi du cinquime jour, cet examen correspond un QCM de 20 questions couvrant tout le cycle de vie du service mais portant avant tout sur les nouveauts de la V3. La certication est difcile obtenir car il faut 80 % de bonnes rponses (soit 16 sur 20). Les questions sont fondes sur des scnarios en gnral complexes et multichoix. La certication sest faite en langue anglaise. Je suis convaincu que lexprience et la connaissance de la version ITIL V2 sont un avantage pour la comprhension de la V3. Le QCM est particulirement difcile, et aucune question nest vidente . Un consultant en production informatique dune importante socit de conseil en informatique conclut : La socit dans laquelle je travaille a lanc en 2005 un programme de certication ITIL. Pour ma part, javais dj pass le premier niveau en 2002. Jai donc assist une formation Praticien-ITIL Service Desk/Incident Management. Lenseignement thorique a dur trois jours. Par rapport au premier niveau, le cursus tait plus ax sur les travaux pratiques. Seule la premire journe tait consacre la thorie. Le passage de la certication, qui nest pas obligatoire, sest fait la semaine suivante partir dune tude de cas et dun QCM en anglais. Lutilisation du dictionnaire y tait autorise.

ITIL

113

Lexamen ma sembl plus difcile que celui du premier niveau, ceci sexplique en partie par ltude de cas quil faut lire au pralable. Mais il faut aussi y ajouter la formulation de certaines questions pour lesquelles javais du mal faire le lien entre ce qui mtait demand et ltude de cas. Pour obtenir la certication, il fallait rpondre correctement au moins 60 % des questions poses. Nous tions sept candidats. Cinq ont russi leur examen. Les rsultats se sont rpartis dans une fourchette allant de 56 % 65 % de rponses bonnes. Malgr tout, mme si on choue la certication, je conseille tout de mme de la passer. Pour ma part, je considre que cela ma oblig mieux mimpliquer pour prendre possession du sujet . Grce son orientation client, son approche processus et son indpendance technologique, ITIL apporte une dmarche structure et cohrente dans la mise en uvre des technologies de linformation. Il peut tre appliqu en complment dune dmarche ISO 9004. Il peut aussi servir de support une dmarche vers lexcellence comme celle de lEFQM ou aux tats-Unis du Malcolm Baldrige National Quality Award. Par laccent mis sur lutilisation dune terminologie clairement dnie et dun langage commun tous les modules, lappropriation de lensemble du rfrentiel est facilite non seulement pour les personnes se soumettant la certication, mais surtout lors de son utilisation dans le cadre des relations entre un client et ses fournisseurs. La synergie qui existe avec le rfrentiel PRINCE2, due en particulier la similitude dapproche dans lorganisation de la gestion du changement et de la gestion de projet, permet de capitaliser sur des mthodes de management. Toutefois, lappropriation de ce dispositif en France est pnalise par le fait que la traduction franaise du rfrentiel est incomplte bien quil existe un lexique des termes approuv par les communauts franaises (Canada, France, Belgique, Luxembourg). notre avis, une de ses principales faiblesses rside dans le fait que lvaluation des personnes est uniquement axe sur la connaissance du rfrentiel, sans tenir compte de lexprience. Quant au rfrentiel, laccent port sur le quoi au dtriment du comment peut rendre le rfrentiel difcilement applicable sans aide complmentaire.

19
ITSEC

Le dispositif ITSEC permet une entreprise dobtenir une certication en matire dingnierie de la scurit des produits ou systmes informatiss quelle dveloppe. Il est progressivement remplac par le dispositif des Critres Communs, sappuyant sur le groupe de normes ISO 15408.

Figure 19.1 Dispositif ITSEC

116

Chapitre 19. ITSEC

Prsentation
Les ITSEC (Information Technology Security Evaluation Criteria) sont les critres dvaluation de la scurit des systmes dinformation. Ils ont t dcrits en 1991, dans le cadre de la Communaut europenne (France, Royaume-Uni, Allemagne, Pays-Bas), an de servir de base lvaluation du niveau de scurit dun produit ou systme du domaine des technologies de linformation. Ils sinspiraient dune premire initiative amricaine, les TCSEC (Trusted Computer Systems Evaluation Criteria) mieux connus sous le nom dOrange book du nom de la couleur orange de couverture de louvrage. Initie par le Dpartement de la dfense des tats-Unis en 1985, cette norme amricaine dnit des rgles de scurit qui permettent de dterminer le degr de protection dun systme dexploitation avec sept niveaux croissants de scurit. La scurit de linformation est dnie dans ces normes de faon classique par ses trois caractristiques : condentialit, intgrit et disponibilit. Selon la terminologie que nous avons adopte dans cet ouvrage, les ITSEC contiennent le rfrentiel et le modle dvaluation. Les exigences formules par le rfrentiel portent la fois sur le produit, son processus de dveloppement et de production, et les personnes qui mettent en uvre ces processus. Le produit (ou systme valuer) est dnomm cible dvaluation (TOE, Target Of Evaluation). La TOE comprend un ensemble de fonctions de scurit ddies compltement ou seulement partiellement la scurit. Lvaluation porte sur deux aspects complmentaires, celui de la conformit des fonctions de scurit qui sont mises en uvre et celui de leur efcacit. Pour mesurer la conformit aux besoins exprims, sept niveaux de scurit sont prvus qui vont du niveau E0, niveau auquel on ne peut accorder aucune conance, au niveau E6 qui correspond au degr de conance le plus lev. Pour mesurer lefcacit, cest--dire le niveau de rsistance aux attaques, trois degrs de conance sont dnis : lmentaire, moyen, lev. Une des caractristiques de ce modle dvaluation est son intgration dans le processus de dveloppement et dexploitation du produit ou du systme comme prsent dans la gure 19.2. La cible de scurit fait partie des spcications du produit : les objectifs de scurit assigns au produit conditionnent les fonctions de scurit et le niveau dvaluation ncessaire. Le ou les documents qui spcient ces caractristiques, ainsi que le niveau dvaluation certier, constituent la cible de scurit pour la TOE. Les critres de conformit couvrent la fois le processus de dveloppement, lenvironnement de dveloppement et le processus de production. Le niveau de conance le plus lev (E6) nest atteint que si les conditions suivantes sont runies :
des spcications formelles des fonctions de scurit et une description formelle

de larchitecture sont ralises en phase de spcication des besoins ;

une gestion de conguration stricte est bien mise en place dans les environne-

ments de dveloppement et de production.

ITSEC

117

Figure 19.2 Processus dvaluation ITSEC

On notera que de ce fait les ITSEC incluent un cycle de dveloppement en quatre phases : spcication des besoins, conception gnrale, conception dtaille, ralisation. De mme, ils imposent un ensemble de pratiques incontournables aborder : gestion de conguration, programmation, documentation de production, etc. Les aspects humains sont abords sous le libell scurit des dveloppeurs qui recouvre des mesures physiques, organisationnelles, techniques et relatives au personnel. Cela comprend la scurit physique des locaux de dveloppement ainsi que les procdures de recrutement et dhabilitation du personnel. Le but de ces mesures est de protger le dveloppement dune attaque dlibre et de maintenir la condentialit des informations. En ce sens, les ITSEC constituent un rfrentiel de bonnes pratiques concourant latteinte de la cible de scurit xe par lentreprise. Lvaluation repose sur un systme de cotation qui mesure la conance accorde une cible dvaluation (TOE). La mesure est faite en rfrence une cible de scurit. Un niveau dvaluation est tabli aprs lvaluation de la conformit de ralisation et la prise en considration de son efcacit dans le contexte de production relle ou simule. Elle aboutit une cotation conrme de la robustesse minimale des mcanismes de scurit. Le contrle des exigences fonctionnelles de scurit peut ncessiter lexcution de mesures caractre technique, comme des mesures de bande passante pour vrier la disponibilit. La mise en place dindicateurs particuliers nest pas exige de faon gnrique.

118

Chapitre 19. ITSEC

Documentation
Lensemble de la documentation des ITSEC est librement et gratuitement tlchargeable sur le site de la Direction centrale de la scurit des systmes dinformation (DCSSI). En plus du rfrentiel ITSEC Critres dvaluation de la scurit des systmes informatiques et du guide dvaluation ITSEM Information Technology Security Evaluation Manual, il existe un document de 1998, ITSEC Joint Interpretation Library, en anglais uniquement, fournissant une interprtation commune des critres, ne pas confondre avec les Critres Communs, par les quatre pays lorigine de leur cration : France, Allemagne, Pays-Bas et Royaume-Uni. Ces documents sont en diffusion libre sur le site de la DCSSI.

Mise en uvre
Les produits ou systmes concerns sont varis : cartes microprocesseur, pare-feu, lecteurs de cartes, produits de tlphonie numrique, systmes dexploitation, base de donnes, contrle daccs ou toute autre application spcique. Les ITSEC sont progressivement remplacs par les Critres Communs qui sappuient sur la norme ISO 15408 : il ny aura donc pas de nouvelle version. En France, les laboratoires dvaluation, communment appels Centre dvaluation de la scurit des technologies de linformation (CESTI), sont accrdits par le Comit franais daccrditation (COFRAC). Les certicats sont mis par la DCSSI sur la base des valuations ralises par les CESTI. Les valuateurs ont leur disposition depuis 1993 un manuel dvaluation (ITSEM Information Technology Security Evaluation Manual) qui dnit et prcise les quatre principes dune valuation : rptabilit, reproductibilit, impartialit et objectivit. Le processus dvaluation y est dtaill ainsi que les techniques et outils utiliss. Ce guide peut galement tre utile aux fournisseurs et utilisateurs. Le certicat et reconnu dans les pays suivants : Allemagne, Royaume-Uni, Espagne, Italie, Suisse, Pays-Bas, Finlande, Norvge, Sude et Portugal.

Retour dexprience
Un responsable de dveloppement dune entreprise produisant des logiciels de scurit dclare : Lchange rgulier dinformations entre les quipes de dveloppement et dvaluation favorise la dtection des vulnrabilits ds les phases amont du processus de dveloppement . Les points forts des ITSEC sont lis aux avantages associs une certication et la ncessit de mettre en place un processus structur de dveloppement du logiciel. Ils prguraient ceux des Critres Communs avec une reconnaissance internationale moins large, limite au niveau europen. En revanche, ce dispositif ne diffrencie pas les exigences de scurit suivant le type de produit valuer et de ce fait il disparatra au prot des Critres Communs qui sont plus complets.

ITSEC

119

Comme les Critres Communs, les ITSEC ne sont pas applicables des produits existants, mais ils doivent tre mis en uvre ds la phase de spcication des besoins. Ceci a pour effet de limiter lapplication de ce dispositif aux produits pour lesquels lexigence dvaluation est formule dans le cahier des charges. Parmi les faiblesses de ce dispositif, il faut bien noter que ce type de certication ne donne pas lassurance que le niveau de scurit choisi est bien adapt au niveau de risque ; il garantit uniquement que le niveau choisi est atteint. Il sagit donc plutt dun dispositif dassurance qualit adapt la scurit que dune vritable assurance scurit.

20
MSP

Le dispositif MSP permet une personne physique dobtenir une certication en matire de management de programme.

Figure 20.1 Dispositif MSP

Prsentation
MSP (Managing Successful Programmes, Russir le management de programmes) est un rfrentiel fond sur des modles de processus et un ensemble de principes lis une direction de programme.

122

Chapitre 20. MSP

La mthode de management de programmes MSP se focalise sur lorganisation, la gestion et le contrle de programmes. MSP dnit la gestion de programme comme laction de coordonner lorganisation, la direction et lexcution dun portefeuille de projets et des activits transformationnelles (cest--dire le programme) pour atteindre les gains attendus et raliser certains objectifs dimportance stratgique pour lentreprise. LOfce of Government Commerce (Bureau de commerce gouvernemental en Grande-Bretagne), galement propritaire des mthodologies PRINCE2 et ITIL, a dvelopp un guide de meilleures pratiques (Best Practices) sur le MSP, publi par TSO (The Stationery Ofce). La premire dition du guide MSP, en 1999, a employ le matriel dvelopp par Calyx Consulting Limited avec laide et le support fournis par Programme Consulting Limited. Suite aux succs de la premire dition et de la deuxime dition en 2003, MSP est utilis et adopt par de nombreuses organisations, aussi bien dans le secteur public que dans le priv. Les diverses expriences de ceux qui ont adopt la gestion de programme ont contribu un enrichissement inestimable de la dernire dition du guide, parue en 2007. Aujourdhui, MSP rassemble les meilleures pratiques tablies et prouves dans la gestion de programme et fournit un langage commun tous les participants au programme et aux activits des membres des projets qui lui sont lis. Le guide comprend un ensemble de principes et de processus qui indiquent comment grer un programme. Il fournit ainsi un cadre commun de comprhension pour tous les programmes. Sa exibilit lui permet de rpondre aux besoins spciques dun programme ou dune entreprise particulire. Plus prcisment, il dcrit et explique les principes cls sous jacents, les neuf thmes de gouvernance et les six processus du ux transformationnel. Le rfrentiel MSP est compos de trois concepts cls :
Les ux transformationnel (Transformational Flow) Ces ux dnissent

la mthode dune organisation pour grer le programme. Ils permettent lorganisation de mettre correctement en place la direction suivre, lquipe, les structures organisationnelles et les contrles, offrant ainsi les meilleures chances de russite ; Les thmes de gouvernance (Governance Themes) Ces thmes fournissent litinraire travers le cycle de vie du programme, depuis sa conception jusqu la livraison des nouvelles possibilits, des nouveaux rsultats et bnces ; Les principes (Principles) Ils sont issus des retours dexprience positifs et ngatifs sur la gestion de programme. Ce sont les facteurs communs qui soutiennent le succs de tout changement transformationnel. Les ux transformationnels dnissent le cycle de vie du Programme. La transformation est acheve travers une srie dtapes rptitives et interdpendantes o chaque processus peut exiger plus dune rptition avant que la prochaine ne commence.

MSP

123

Les ux transformationnels (Transformational Flow) sont composs de six processus :

identier un programme (Identifying a Programme) ; dnir un programme (Dening a Programme) ; grer les tranches (Managing the Tranches) ; fournir laptitude (Delivering the Capability) ; concrtiser les rsultats (Realising the Benets) ; clore un programme (Closing a Programme).

Lvnement dclencheur de ltape initiale Identier un programme est un mandat de programme qui prcise les objectifs stratgiques de haut niveau du programme. partir du mandat de programme, les objectifs sont dvelopps au sein dun expos du programme (Project Brief). Le groupe de parrainage (sponsor) et le propritaire responsable principal doivent valider formellement lexpos du programme avant de pouvoir passer ltape suivante. MSP dnit les rles et responsabilits de tous ceux qui doivent diriger le programme. La conduite efcace dun programme est ralise grce defcaces prises de dcision et une structure managriale exible. Les rles clefs sont :
le groupe de parrainage (Sponsoring Group), dont le rle peut tre tenu par

un comit de direction existant au sein de lentreprise. Il est responsable des investissements, du bon alignement entre les objectifs du programme et de lentreprise ; le propritaire responsable principal (Senior Responsible Owner) qui a toute autorit sur le programme et est nomm par le groupe de parrainage ; le chef de programme (Programme Manager) ; les responsables du changement (Business Change Managers) ; le bureau de programme (Programme Ofce).

Les projets et les activits sont regroups dans des tranches. Chaque tranche constitue une tape de changement des capacits, lissue de laquelle les rsultats de rentabilit peuvent tre valus. Les activits des processus Fournir laptitude et Concrtiser les Rsultats sont rptes pour chaque tranche. La n de chaque tranche fournit un point de contrle important partir duquel le programme peut tre valu en termes de progrs raliss en comparant les rsultats attendus et les rsultats effectivement obtenus. Durant tout le programme, les points de contrle fournissent un tat des lieux du programme et permettent de rpondre des questions cruciales telles que Sommes-nous toujours sur le bon chemin ? , Lanalyse de rentabilit (justication conomique du Programme) est-elle encore valide et approprie ? .

Documentation
La documentation est en anglais, elle inclut le guide Managing Successful Programmes 2007 Edition et quelques autres ouvrages dont For Successful Programme Management : Think MSP et MSP Implementation Pack. Le Guide MSP existe galement en version

124

Chapitre 20. MSP

de poche et sous forme de CD-ROM. Le glossaire est disponible en hollandais et en mandarin. MSP appartient au domaine public. La documentation est payante et disponible auprs de lOGC qui en assure la diffusion. De plus, des informations sur la mthodologie et la certication sont disponibles sur le site ofciel de lAPMG (Association for Project Management Group).

Mise en uvre
MSP est maintenant largement reconnue en Grande-Bretagne et se propage sur le plan international notamment en Australie et en Europe du Nord. En 2007, il y avait plus de 50 organismes de formation accrdits MSP par lAPMG rpartis essentiellement au Royaume-Uni, mais aussi six en Australie, cinq aux PaysBas, un en France, en Pologne et en Afrique du Sud. La formation et lvaluation sont structures selon trois niveaux dvaluation : le certicat Foundation, le certicat Practitioner et le certicat Practitioner Advanced. Les examens sont disponibles en anglais et nerlandais. Le certicat de niveau Foundation concerne tout collaborateur intervenant sur des programmes. Il certie que le candidat a une connaissance de base de MSP. Aucune condition pralable nest exige. Il se compose dun QCM de 50 questions, qui doit tre rempli en 40 minutes. Pour russir cet examen, Il faut rpondre correctement un minimum de 30 questions sur 50. Le certicat de niveau Practitioner teste la comprhension de tous les concepts de base de MSP. La condition pralable est lobtention dun score minimum de 60 % lexamen Foundation. Le niveau Practitioner est obtenu via un QCM livre ouvert. Il consiste en neuf questions et dure 150 minutes. Pour russir cet examen, Il faut un minimum de 50 %, soit 90 sur 180 points. La dure de validit du certicat est de trois ans au-del desquels le candidat doit repasser un examen de renregistrement. La condition pralable est lobtention de lexamen Practitioner. Le niveau Practitioner Advanced est une tude de cas complte livre ouvert, qui comprend trois questions et dure 150 minutes. Pour russir cet examen, Il faut un minimum de 38 sur 75 points. La dure de validit du certicat est de cinq ans, au-del desquels le candidat doit repasser un examen de renregistrement. Plusieurs organismes interviennent dans ce dispositif :
lAPMG qui gre les programmes de certication et assure laccrditation des

organismes de formation, les ATO (Accredited Training Organizations) ;

lOGC qui assure la maintenance du dispositif et tient un rle important en

dveloppant et en favorisant la participation du secteur priv travers le secteur public ; les organismes de formation accrdits (Accredited Training Organisation) qui assurent la formation et la certication des personnes. La liste est disponible sur le site de lAPMG.

MSP

125

la n de lanne 2007, on comptait plus de 4 000 certis Foundation, plus de 3 000 Practitioner et plus de 2 500 Practitioner Advanced dans le monde.

Retour dexprience
Aujourdhui, en France, il existe peu de retour dexpriences dans la mesure o les premires certications ont t effectues courant 2008. Mais gageons que ce dispositif aura le mme succs que dans les autres pays. Signe encourageant ? Lcole suprieure de commerce de Lille (ESC Lille) a cr un master sur le management de programme incluant la certication MSP.

21
PCIE

Le dispositif PCIE permet une personne physique dobtenir une certication en matire dutilisation dun poste de travail informatique.

Figure 21.1 Dispositif PCIE

Prsentation
Le Passeport de comptences informatique europen (PCIE) a t cr en 1997 par le Conseil europen des associations de professionnels des technologies de linformation (CEPIS) partir du constat de grandes disparits de comptences en bureautique parmi les salaris dentreprise.

128

Chapitre 21. PCIE

Il certie toute personne souhaitant valider ses aptitudes crer, organiser et communiquer des documents et des informations, dmontrant ainsi ses comptences de base dans lutilisation quotidienne dun poste de travail. Au plan international, le PCIE est administr par la fondation ECDL (ECDL-F, European Computer Driving Licence Foundation). Son rle est de dnir les processus dhabilitation des licences et dassurer ladministration gnrale du PCIE dans le monde. Son conseil dadministration est compos de membres du CEPIS et doprateurs nationaux. Chaque membre est charg de promouvoir le PCIE dans son pays dorigine. De nombreux groupes de travail, associant les personnels des oprateurs PCIE et un ensemble dexperts indpendants travaillent de faon continue sur tous les aspects lis au dispositif : rfrentiel, tests et questions, systmes automatiss de test, normes pour lhabilitation des centres, producteurs de contenus de formation, standards et qualit, nouveaux programmes, partenariat, liaison avec la Commission europenne, etc. Euro-Aptitudes est loprateur franais du PCIE. Ce dernier assure toutes les tches de mise en uvre. Le PCIE est compos de sept modules correspondant aux domaines suivants :
Module 1 qui fait un tour dhorizon des connaissances gnrales du candidat

dans divers domaines des Technologies de lInformation ; Modules 2 6 qui couvrent les applicatifs bureautiques les plus utiliss : interface graphique et gestion des documents, traitement de textes, tableur, utilisation de bases dinformations, prsentation assiste par ordinateur ; Module 7 qui porte sur lutilisation intelligente du courrier lectronique et de la navigation web. Les tests du PCIE sont aujourdhui disponibles dans les versions : Microsoft (97, XP, 2000, 2003, 2007), Open Ofce, Mozilla et Lotus Notes.

Documentation
Le rfrentiel du PCIE appel ECDL/ICDL Syllabus contient les lments de connaissances ncessaires pour russir les sept modules. La version 5 est disponible depuis le 1er octobre 2008 en anglais auprs de la fondation ECDL, en franais auprs dEuro-Aptitudes pour les centres de formation, coles et entreprises habilites. Depuis le 1er juillet 2008, les cours en ligne PCIE-Skillsoft (e-learning), disponibles en deux langues (franais et anglais), sont homologus par rapport au syllabus ofciel du PCIE dont ils traitent en intgralit les modules 2 6.

Mise en uvre
Le succs a t immdiat. Pour preuve :
la n de lanne 1996, la fondation ECDL a t cre Dublin avec le soutien

de la Commission europenne et du gouvernement irlandais ;

la n de lanne 1996, les premiers tests de certication ont t organiss en

Sude et dans cinq autres pays dont la France ;

PCIE

129

au 31 dcembre 2003, la fondation ECDL disposait de 15 000 centres agrs

travers le monde ce qui lui a permis de faire passer les tests PCIE 3 582 000 candidats ; en dehors de lUnion europenne, le passeport a pris le nom dICDL (International Computer Driving Licence). Le 12 fvrier 20091 , 9 millions de personnes ont t enregistres dans le programme de formation ECDL. Au 20 mars 20092, lECDL/ICDL est prsent dans 133 pays. En France, le PCIE bncie du soutien du Ministre de lindustrie, de la dlgation interministrielle aux personnes handicapes (DIPH), du MEDEF, du CIGREF, de lANPE, dun certain nombre de Conseils rgionaux, et enn de celui des organismes collecteurs des fonds de formation. Au 20 mars 20093 , il existe 343 des centres de formation ouverts au public en France mtropolitaine et 25 dans les DOM-TOM. Ils se rpartissent en : organismes de formation privs, chambres de commerce et dindustrie, coles de commerce, maisons familiales et rurales, associations nationales pour la formation professionnelle des adultes et tablissements pnitentiaires. On en trouve galement dans les collges et lyces, en prparation dun brevet de technicien suprieur. Les entreprises, quelle que soit leur taille, utilisent galement le PCIE avec prot : Renault, Coroute, Banque de France, KPMG, la mairie de Cannes, TPM, le groupe Les Mousquetaires en sont quelques exemples, avec des retours dexprience extrmement positifs. Tous les centres dispensant la certication PCIE sont soumis une procdure dhabilitation, selon les standards de la fondation ECDL, par laquelle ils doivent justier de leur qualit, de leur environnement pdagogique ou informatique et du niveau des ressources humaines affectes. Cette habilitation est remise en cause chaque anne. Tout candidat russissant les tests dun des modules voit son rsultat enregistr dans une carte daptitude PCIE. Cette carte est valable trois ans. Lintrt majeur du dispositif PCIE rside dans le fait quon peut repasser les tests en cas dchec, an den faire un objectif de russite sur la dure. La premire session de tests constitue une photographie des comptences un instant donn. Elle peut tre suivie dune formation ou bien dune priode damlioration personnelle ; les tests auxquels le candidat a chou peuvent tre repasss sans frais supplmentaire, dans le but dobtenir la certication. On a donc un processus souple, sans contrainte et sans chec, trs diffrent de la notion de diplme. Il existe deux PCIE : le PCIE Start qui porte sur quatre modules au choix et le PCIE complet pour lequel il faut russir la totalit des sept modules. Le PCIE Start est idal pour les collaborateurs dentreprises, alors que le PCIE complet est plutt destin des

1. http://www.ecdl.org/publisher/index.jsp?1nID=93&nID=96&aID=1285 2. http://www.ecdl.org/countries/index.jsp 3. http://www.pcie.tm.fr/gen_listecentres_public.php

130

Chapitre 21. PCIE

tudiants. Certaines grandes coles de commerce (Nice, Dijon, ICN de Nancy entre autres) rendent obligatoire lobtention du PCIE pour le passage en anne suprieure. Les questions et les tests sont labors par le groupe spcialis de la Fondation ECDL qui compte plus de 300 experts tant en psychomtrie quen technologies de linformation. Les modles dnis doivent tre appliqus par les producteurs de tests ou par les oprateurs qui les implmentent (cest le cas en France), sur la base du rfrentiel ECDL. Les tests sont identiques et peuvent tre passs dans plusieurs pays diffrents, moyennant une traduction et une adaptation minimale autorise par pays : par exemple, le rle de la Commission nationale de linformatique et des liberts (CNIL) en France nest pas le mme que celui dorganismes similaires dans dautres pays. noter que le PCIE peut tre pass par une personne handicape : lexaminateur adaptant le passage du test aux conditions dun examen qui suit les rgles et recommandations correspondant au handicap du candidat.

Retour dexprience
Des candidats et des entreprises apportent leur tmoignage sur le site du PCIE. Jean-Ren S ICLET CCI du Jura dclare : En fait au dpart jtais assez sceptique. Je me suis dit : tiens encore un truc dont je ne voyais pas lutilit. Notre formateur nous a expliqu le bienfait de cette certication, que ce serait un point positif sur notre CV, donc jai jou le jeu et jai pass quatre preuves du PCIE Start savoir, connaissances de base, gestion de documents, Word XP et Excel XP. Je me suis pris au jeu et oh surprise, je pensais connatre tous ces logiciels alors que la ralit tait toute autre. Jai beaucoup appris et les tests de prparation sur Internet (PREPA-PCIE) mont permis de voir ma progression. Lvaluation en pourcentage sur chaque module est motivante et donne envie de toujours se hisser plus haut. Du coup jai pass galement, et avec succs, les modules PowerPoint et Internet. Maintenant je ne " bidouille " plus ! Je matrise et utilise la bonne faon de faire. Je suis donc plus rapide et plus efcace, et ce, sur lensemble des programmes bureautiques. Le PCIE est vraiment une belle invention. Quel superbe outil ! Claudine B ENOITON, responsable du service formation de lOral dit : lOral le Centre de ressources est un Centre habilit PCIE (non ouvert au public) destin tous les collaborateurs des entits de la rgion parisienne. Nous avons connu le PCIE par lintermdiaire de plusieurs socits et par un benchmark avec la Socit Renault. Le systme dautoformation bureautique que nous utilisons permet aux collaborateurs de se former et ensuite de passer le PCIE. La motivation des collaborateurs est lie des objectifs de comptence. Il apporte une valeur ajoute sur le CV et cest une reconnaissance de comptences par un certicat international. Lapprhension de lexamen est vite dissipe par un test logique, intuitif et dun niveau utilisateur , non expert ce qui rend les collaborateurs responsables de leur dveloppement personnel. Le PCIE assure le retour sur investissement de la formation bureautique et augmente la productivit et la satisfaction des utilisateurs .

PCIE

131

Bruno D EMAREST, directeur des ressources humaines du Palais des festivals de Cannes tmoigne : Pour lemployeur, un tel outil permet rellement de cibler les besoins en bureautique et ainsi doptimiser le budget de formation . Selon une tude de Cap Gemini Ernst & Young Norvge mene en septembre 2001 sur Le cot de lignorance dans la socit de linformation, lECDL couvrirait presque 80 % des domaines daptitudes dans lesquels les personnes perdent le plus de temps. Cette tude ralise auprs de 800 personnes travaillant tous les jours sur PC a montr que celles-ci perdaient prs de 3 heures par semaine, en moyenne, pour rsoudre leurs problmes ou aider les autres les rsoudre ! Chaque utilisateur sest en effet form de manire diffrente, en apprenant souvent sur le tas. La perte nancire de lentreprise tait value 56 500 euros par an et par salari. Une tude faite en Italie sur le cot de lignorance dans la socit de linformation conclu que le retour sur investissement minimal par personne est de 4 740 euros sur 3 ans, soit prs de 1 600 euros par an et par personne. Pour une trs petite entreprise de 6 personnes ayant 3 personnes utilisant intensivement lordinateur pour les tches quotidiennes, cela donne 4 800 euros par an de gagn ; pour une PME ayant 100 postes de travail informatiques, cela reprsente un gain de 160 000 euros par an ; et pour une entreprise de 2000 utilisateurs, on arrive 3,2 millions deuros. De nombreuses tudes, dont une compilation est disponible sur le site du PCIE, ont montr que le dispositif PCIE faisait gagner 20 % de productivit. Une multitude de producteurs de formation en ligne ont demand leur label de conformit avec le rfrentiel PCIE. Cette synergie est lorigine doprations spectaculaires comme les 500 000 collaborateurs du ministre anglais de la Sant inscrits au PCIE via une formation en ligne (350 000 candidats la n de lanne 2005). Sur le plan international, le PCIE est soutenu massivement par des dizaines de gouvernements ou de ministres : il est ainsi le test ofciel de lducation nationale en Italie, en Autriche, en Pologne, en Lituanie et dans bien dautres pays. Ce nest pas le cas en France o le Ministre charg de lducation a cr le Brevet informatique et interne, appel B2I novembre 2000 et le Ministre charg de lenseignement suprieur le Certicat informatique et internet, appel C2I, en mai 2002. Le B2I est une attestation dlivre aux lves des coles lmentaires, des collges et des lyces pour sanctionner leur capacit utiliser les outils informatiques et Internet. Le niveau collge a t intgr en 2008 de manire obligatoire pour lobtention du Brevet des collges. Le niveau lyce doit devenir obligatoire pour lobtention du baccalaurat ds la session de 2010. Le C2I est un certicat attestant de comptences dans la matrise des outils informatiques et rseaux. Il est institu dans le but de dvelopper, de renforcer et de valider la matrise des technologies de linformation et de la communication par les tudiants en formation dans les tablissements denseignement suprieur.

132

Chapitre 21. PCIE

Il existe deux niveaux :

un premier niveau dexigences applicable tous les tudiants et les stagiaires de

formation continue. Il doit tre acquis au plus tard au niveau de la licence mais de prfrence ds le dbut des tudes suprieures. un second niveau faisant lobjet dexigences plus leves en fonction des orientations professionnelles des formations dispenses ( travers les enseignements de prprofessionnalisation et les lires). Ce second niveau doit tre acquis au niveau du master 2 et comprend les spcialisations suivantes : enseignant, mtiers du droit, mtiers de la sant, mtiers de lingnieur et le dernier pour les mtiers de lenvironnement et de lamnagement durables est en cours dlaboration. En conclusion, le PCIE est gnraliste et sadresse en France essentiellement au monde de lentreprise. Leffort important fait au niveau de lenseignement primaire, secondaire et suprieur pour amliorer lducation de base rendrait terme le PCIE inutile en France.

22
PMBOK

Le dispositif PMBOK permet une personne physique dobtenir une certication en matire de management de projet.

Figure 22.1 Dispositif PMBOK

Prsentation
Le PMI (Project Management Institute) est un institut amricain but non lucratif cr en 1969 pour faire progresser ltat de lart en matire de management de projet. Le PMBOK (Project Management Body of Knowledge) a t approuv aux tats-Unis

134

Chapitre 22. PMBOK

par lorganisme amricain de normalisation, lANSI (American National Standards Institute). Le PMI sest engag lamliorer et le dvelopper. Le PMI propose des sminaires, des programmes de formation et une certication professionnelle intitule PMP (Project Management Professional). Le programme de certication permet dattester les connaissances en management de projets. Lentit du PMI responsable du programme de certication PMP a t certie ISO 9001. Le PMBOK dnit le management de projet comme la mise en uvre de connaissances, de comptences, doutils et de techniques dans une large gamme dactivits ncessaires au droulement de tout projet. Loriginalit du PMBOK est de dcrire la mission du chef de projet selon une approche oriente processus et domaines de connaissances. Les domaines de connaissances sont au nombre de neuf et incluent lensemble des processus sur lesquels repose le management de projet. Il sagit de lintgration du projet, de son contenu, des dlais, des cots, de la qualit, des ressources humaines, de la communication, des risques et de lapprovisionnement. Les groupes de processus dnissent une structure de base pour la comprhension du management de projet : ce sont le dmarrage, la planication, la ralisation, la matrise et la clture. Le rfrentiel aborde aussi bien des aspects techniques (Gantt, mthodes destimation, mtriques...) que des connaissances gnrales comme la communication, le management ou la qualit. ce titre il dborde du cadre strict de la structure de projet et sintresse au bon comportement attendu du chef de projet... Des mtriques sont dnies dans le cadre du Rapport davancement trait dans le domaine de connaissances Communication du projet. Les mesures reposent sur trois types danalyses :
lanalyse des carts qui exprime le rapport entre le prvu et le ralis ; lanalyse de tendances qui permet danticiper sur une ventuelle dtrioration

future ; lanalyse de la valeur acquise qui repose sur des indicateurs prcis dnis dans le rfrentiel.

Documentation
Ldition 2004 du PMBOK a t traduite en franais et publie par lAfnor sous le titre Management de projet Un rfrentiel de connaissances ; ce document est disponible auprs dAfnor et du PMI-France. Le PMBOK guide 4e dition a t publi n dcembre 2008. Des logiciels denseignement assist distance permettent de se familiariser avec les notions du PMBOK et de se prparer lexamen.

PMBOK

135

Mise en uvre
Le PMBOK est trs utilis aux tats-Unis, aussi bien dans ladministration que dans le secteur priv ; il est largement diffus dans le reste du monde. Il a servi de base la rdaction de la norme ISO 10006 sur le management de projet. Le PMI sest engag dans une politique de partenariat international avec trois types de partenaires : les entreprises, les associations et les organismes de formation. Une telle politique a notamment permis dtablir, non pas des quivalences, mais la reconnaissance de points PDU (Professional Development Unit, lunit de valeur de dveloppement professionnel) obtenus auprs dautres organismes comme lIPMA (International Project Management Association) pour la Certication en gestion de projet ou lAPMG (Association for Project Management Group) pour la certication PRINCE2. De plus, louverture de chapitres dans 68 pays permet dtendre sa notorit, par exemple en France avec le PMI France. Le dispositif PMP a t mis en place pour valuer les connaissances des professionnels en management de projet. Les critres de slection sont relativement stricts. Selon la catgorie dnie par rapport au niveau dtudes, tout candidat doit satisfaire aux exigences de formation initiale et dexprience suivantes :
avoir une exprience minimale de 4 500 ou 7 500 heures en management de

projet pour les cinq groupes de processus ; avoir de trois cinq ans dexpriences durant les six ou huit dernires annes prcdant sa candidature ; avoir au moins de 36 60 mois (sans chevauchement) dexprience en management de projet ; justier de 35 heures de formation en management de projet. Deux dispositifs complmentaires sont en usage depuis 2005 et 2007, le CAPM (Certied Associate in Project Management) et le PGMP (Program Management Professional). Le CAPM sanctionne les connaissances des assistants en management de projet, ce niveau se situant un niveau infrieur celui du PMP. Les critres de slection reposent sur :
une exprience minimale de 1 500 heures en management de projet ; la justication de 23 heures de formation en management de projet.

Le PGMP se situe sur un autre plan. Il sanctionne une comptence et la dmonstration dune exprience relatives la gestion des programmes et portefeuilles de projets. Les rgles dligibilit sont fonction du niveau dtude. Tout candidat doit avoir une exprience minimale de :
4 ans en management de projet ; 4 ou 7 ans (selon le niveau dtudes) en management de programme.

136

Chapitre 22. PMBOK

La russite du PGMP repose sur une squence de trois valuations successives :

le Panel Review , valuation initiale faite par une commission de program

managers conrms ;
lexamen proprement dit ; QCM de 170 questions traiter en quatre heures ; le contrle MRA (Multi Rater Assessment) qui repose sur une dmarche dva-

luation de 360 degrs. Lorsquils sont certis, les professionnels PMP ou PGMP doivent obtenir au moins 60 points de PDU tous les trois ans pour maintenir leur certication. Ces points PDU peuvent tre obtenus soit par des formations supplmentaires donnes par le PMI ou par des organismes agrs, soit galement par justication dune exprience professionnelle incluant des publications. Le dtail du mode dobtention et les modalits de candidature sont prsents sur le site du PMI. Le PMI gre les programmes de certication, assure laccrditation des organismes de formation, amliore le dispositif et assure sa promotion par diffrentes confrences et publications. Aujourdhui, le PMI fait tat de plus de 200 000 membres rpartis dans 125 pays. Lexamen se passe en anglais sur un support lectronique. On peut ainsi avoir accs une traduction en franais en un clic de souris ; toutefois la qualit de la traduction laisse dsirer, cest souvent du mot mot. Il sagit dun QCM qui a essentiellement pour objet de vrier des connaissances sur des aspects conceptuels et thoriques et moins sur des aspects pratiques. Toutefois, le QCM inclut environ 25 questions parmi les 200 qui mettent le candidat en situation : un projet y est dcrit et il est demand au candidat quelle est laction suivante excuter. Depuis 2008 deux dispositifs supplmentaires ont t livrs aux tats-Unis, le PMI-RMP (PMI Risk Management Professional) sur la gestion des risques et le PMI-SP (PMI Scheduling Professional) sur les techniques de planication, mais ne sont pas ce jour rfrencs par le PMI France.

Retour dexprience
Un chef de projet dune importante socit de service en informatique tmoigne : Le PMBOK sous-tend une organisation, un vocabulaire et des concepts qui lui sont propres. Il faut commencer par se les approprier pour pouvoir bncier de ses pratiques et se prparer lexamen. Mon entreprise nutilise pas le PMBOK. Jai donc besoin de madapter, cest--dire de traduire mon rfrentiel quotidien dans celui du PMBOK pour le comprendre et me prparer lexamen. Honntement, je dois vous dire que jai prpar lexamen du PMP car cela fait partie de la politique de ma socit de certier ses chefs de projet alors que notre mthodologie est diffrente. Jai donc fait du bachotage et jai obtenu le certicat. Un des bnces que jai retir de cet examen, cest lappartenance une communaut, le rseau des chefs de projet PMP .

PMBOK

137

Plus positif, Thierry C HAMFRAULT ditSMF France explique : Le PMI a une double nalit. La premire qui est bien videmment la plus probante, concerne la gestion de projet. Cette mthode apporte une structuration et des outils qui de prime abord sont simples daccs. Cependant, avec la mme logique structure, il est possible daller trs loin dans le dtail. La seconde est lappartenance une communaut dacteurs universellement reconnue, ce qui en fait sa valeur intrinsque donc un bon moyen de communiquer sur le fond. Cette valorisation peut dailleurs tre complte par une certication si lacteur le souhaite. Cette mthode globalement ma permis de consolider et mieux structurer mes acquis, tout en gardant la performance de loprateur que lentreprise est en droit dattendre . Un chef de projet dune grande socit de service en cours de certication PMP nous fait part de son opinion sur les efforts du PMI pour prendre en compte les aspects comportementaux dans le QCM : Les cas concrets semblent quand mme un peu simplistes : ce nest pas en quelques dizaines de lignes que lon peut dcrire un cas concret sufsamment complexe . Le responsable de formation dune socit de service expose : L o le PMI apporte le plus au mtier de chef de projet, cest dans la vision dun comportement succs du chef de projet ; tre leader de son quipe, anticiper les conits, communiquer de manire cible, optimiser le travail de lquipe sont des comptences et connaissances indispensables pour mener bien son projet. Il est notoire que le chef de projet passe gnralement 80 % de son temps sur des actions de communication. Cest certainement l que se trouvent les plus grands leviers damlioration pour la russite des projets. Selon le PMI, le chef de projet est la fois un manager et un leader. Par cette ouverture, le PMI nous permet davoir une vision largie du mtier de chef de projet . Le cycle de vie du produit dtermine le cycle de dveloppement du projet du PMP : le PMBOK fournit une srie dexemples notamment celui dun projet pharmaceutique. Les points forts du PMBOK rsident dans la dimension internationale de ce dispositif et la compltude des domaines de connaissances. En revanche, on a souvent reproch au systme dvaluer davantage le savoir que le savoir-faire. Aujourdhui, on peut constater que le PMI cherche remdier cette faiblesse, mais notre avis, de faon encore trs supercielle.

23
PRINCE2

Le dispositif PRINCE2 permet une personne physique dobtenir une certication en matire de management de projet.

Figure 23.1 Dispositif PRINCE2

Prsentation
PRINCE (PRojects IN Controlled Environments, Projets en environnements contrls) est un rfrentiel fond sur des modles de processus lis une direction de projet.

140

Chapitre 23. PRINCE2

Il est issu de PROMPT, rfrentiel de management de projet cr en 1975 par Simpact Systems ltd. PROMPT a t adopt en 1979 comme standard par lOGC (Ofce of Government Commerce) pour tre utilis dans tous les projets informatiques du gouvernement britannique. En 1989 son lancement, PRINCE remplaa effectivement PROMPT dans les projets gouvernementaux britanniques. Depuis, le rfrentiel a volu : il est devenu PRINCE2 en 1996. Des rvisions ont ensuite eu lieu en 1998, en 2000 et en 2005. Depuis la premire rvision, le nom PRINCE2 a t conserv et les mises jour sont identies par lanne de la rvision. Le rfrentiel na pas actuellement de rvision planie. Le manuel PRINCE2 Managing Successful Projects with PRINCE2 est un guide indpendant des bonnes pratiques en management de projet. Il est dailleurs recommand par lITIL, bien que le PMP (Project Management Professional) puisse lui tre prfr par certains utilisateurs. PRINCE2 est une approche du management de projet, base de processus, fournissant une mthode facilement personnalisable et adaptable tous types de projets. La structure PRINCE2 repose sur les notions de rles, composants, processus et techniques. Le rfrentiel PRINCE2 est compos des huit processus suivants :
la direction de projet (DP) ; llaboration du projet (EP) ; linitialisation du projet (IP) ; le contrle des squences (CS) ; la gestion des limites de squences (LS) ; la gestion des livraisons des produits (LP) ; la clture du projet (CP) ; la planication (PL).

Chaque processus est dni par ses entres et sorties, par des objectifs pour les produits crer et aussi par des tches accomplir. Le processus direction de projet dnit deux niveaux de management de projet avec des rles clairement dnis : le comit de pilotage du projet (o sige le client) et un chef de projet. Le comit de pilotage est une quipe de direction anime par un cadre dirigeant de haut niveau, par exemple un directeur oprationnel. Ce cadre dirigeant, lexcutif, est le vritable responsable : il a toute autorit sur le projet. Aprs avoir examin les rsultats, le comit de pilotage est seul habilit dcider de la poursuite et de la clture du projet. Le chef de projet est mandat pour livrer les produits en respectant les objectifs et les contraintes xs par le comit de pilotage. PRINCE2 se concentre sur la justication conomique du projet. Celui-ci ne peut tre lanc que si les conclusions de ltude de cots sont acceptables. Cette justication

PRINCE2

141

est matrialise par le cas daffaire (business case). En fait, il se prsente comme un compte dexploitation prvisionnel justiant le projet dun point de vue conomique. Pour une bonne mise en uvre de la gestion de projet de PRINCE2 il convient de comprendre et matriser les huit composants de la mthode. Ceux-ci dcrivent les bonnes pratiques et la philosophie gnrale de la mthode. Le suivi du projet se fait en fonction dune tolrance sur un certain nombre de mesures. Les principales mesures concernent typiquement le suivi des cots et des dlais, mais aussi la qualit, les risques, le primtre et lensemble des bnces.

Une volution majeure : PRINCE2 Refresh

PRINCE2 Refresh est issu dun projet commandit par lOGC pour faire voluer PRINCE2. Du fait que le rfrentiel navait pas volu depuis dix ans, et que de nouveaux modes de pense faisaient jour en la matire, lOGC, a lanc une consultation publique internationale auprs de 160 organisations et individus tous secteurs confondus. Ltude sest droule de novembre 2006 juin 2007. Chacun a pu y faire remonter les points forts et points faibles du rfrentiel. Il en est ressorti les orientations suivantes :
le rfrentiel devrait adopter sept principes de gestion pour faire face aux causes

communes dchec ;
larchitecture du modle voluerait quelque peu en passant de huit sept

processus ;
les huit composants seraient remplacs par sept thmes cls ; le manuel devrait tre allg (200 pages au plus) ; PRINCE2 salignerait avec les nouvelles mises jour de M_o_R et MSP ; le rfrentiel devrait aussi mieux sadapter lenvironnement en prenant en

compte le contexte organisationnel, du fait de la cration dun guide de maturit (PRINCE2 Maturity Model P2MM), et le contexte projet avec le portfolio (Portfolio Programme and Project management Maturity Model P3M3). La version nale devrait tre prte pour la n du premier semestre 2009.

Documentation
La documentation inclut le manuel PRINCE2 Managing Successful Projects with PRINCE2 et bien dautres ouvrages. On la trouve en franais. Elle existe sur papier et en format lectronique. Il existe galement des possibilits denseignement assist par ordinateur : le Computer Based Training mais uniquement en anglais. Un Guide de poche PRINCE2 est disponible dans plusieurs langues (franais inclus). Le manuel PRINCE2 a t traduit en 15 langues dont le franais. PRINCE2 est dans le domaine public. La documentation est payante et disponible auprs de lOGC qui en assure la diffusion. De plus, sur le site de lAPMG (Association for Project Management Group), il est possible de tlcharger gratuitement des tudes de cas, un ensemble de modles de

142

Chapitre 23. PRINCE2

documents ainsi quun glossaire de termes avec leur traduction en diffrentes langues dont le franais.

Mise en uvre
PRINCE2 est un standard largement utilis au Royaume-Uni aussi bien par lAdministration que par le secteur priv. Il est galement utilis dans dautres pays, par exemple par les services administratifs dEurope du Nord. Des certicats PRINCE2 ont t dlivrs des candidats provenant de 50 pays. En janvier 2006 il y avait plus de 80 organismes de formation PRINCE2 accrdits par lAPMG rpartis essentiellement au Royaume-Uni et aux Pays-Bas, mais aussi 10 en Australie, 2 aux tats-Unis, en Afrique du Sud, au Danemark, en Belgique, en France lcole Suprieure de Commerce de Lille et ISTYA. LAPMG est accrdite par lUKAS (United Kingdom Accreditation Service). Ce dispositif tablit les bonnes pratiques en management de projet et garantit leur application par la certication des chefs et directeurs de projet. La formation et lvaluation sont structures selon deux niveaux dvaluation : le certicat Fondamental et le certicat Praticien. Le certicat de niveau Fondamental concerne tout collaborateur intervenant sur des projets. Il certie que le candidat a une connaissance de base de PRINCE2. Aucune condition pralable nest exige. Pour russir cet examen, il faut 50 % de bonnes rponses, soit un minimum de 38 sur les 75 questions du QCM. Lexamen se passe livre ferm. Le certicat de niveau Praticien certie que le candidat comprend le dispositif PRINCE2 et quil est capable de lappliquer son projet. La dure de validit du certicat est de cinq ans, au-del desquels le candidat doit repasser un examen de renouvellement. La condition pralable est lobtention du certicat Fondamental. Cest un examen crit choix multiples comportant neuf questions dune valeur de 40 points chacune. Les candidats peuvent utiliser le manuel. Il faut 180 points sur 360 pour le russir, soit 50 % de bonnes rponses. Plusieurs organismes interviennent dans ce dispositif :
lAPMG qui gre les programmes de certication et assure laccrditation des

organismes de formation, les Accredited Training Organisations (ATO) ; lOGC qui assure la maintenance du dispositif ; le PRINCE User Group (PUG) qui en fait la promotion. Un ATO seul ne peut organiser une formation certiante. Le rfrentiel PRINCE2 sest largement dvelopp grce sa structure organisationnelle et son approche fonde sur les processus et leurs composants dune part, et dautre part sur une justication conomique. Les examens pour lobtention des certicats Fondamental et Praticien peuvent se drouler entirement en franais.

PRINCE2

143

la n de lanne 2005, il y avait plus de 120 000 praticiens certis dans le monde. On compte 150 000 manuels vendus par an, 750 examens par semaine. En 1989, 80 % des candidats certis provenaient du secteur public. Aujourdhui, la tendance sest totalement inverse, ce secteur ne reprsente plus que 20 %. PRINCE2 est devenu un standard dapplication obligatoire pour les administrations des Pays-Bas et du Danemark. On note galement une tendance son utilisation dans les projets europens. En France, on saperoit quil y a aujourdhui une demande croissante de confrences, de formation et dexamens. la n de lanne 2005, il y avait prs de 200 personnes ayant obtenu le certicat de praticiens, soit dix fois plus quen 2003.

Retour dexprience
Un chef de projet dune grande entreprise qui a mis en uvre PRINCE2 tmoigne : Cette certication me permet de donner conance mon responsable, la fois en mes capacits et dans la mthode que je lui propose pour mener bien mon projet. De plus, la communication avec mon quipe est facilite par lutilisation dune mthodologie et dune terminologie claires et non ambigus auxquels les membres de lquipe sont habitus . Un directeur des systmes dinformation prcise : Pour notre entreprise, la certication des chefs de projet permet de rassurer nos matrises douvrage ; de plus, nous prouvons notre comptence face la concurrence lorsque nous fournissons des services des clients externes . Une des forces de ce dispositif rside dans la dnition claire de lorganisation du projet avec les rles et responsabilits. De plus, la souplesse du dispositif lui permet de sadapter des contextes varis. Laccent port sur la justication conomique du projet fait aussi partie de ses atouts. En revanche, on remarque que limplantation est encore trop centre sur lEurope du Nord. Contrairement dautres dispositifs comme ceux de lAssociation francophone de management de projet (AFITEP), le systme dvaluation sintresse plus aux connaissances quaux comptences. Notons que les diffrences culturelles ne sont pas bien prises en compte. Citons par exemple, les concepts de matrise douvrage et de matrise duvre. Ces deux termes sont dnis dans le fascicule FD X50-108 Terminologie dans les contrats dingnierie industrielle. Ils sont souvent traduits en anglais respectivement par Prime Contractor et Acquirer, mais ce ne sont que des quivalents puisque la ralit juridique est totalement diffrente. On note galement que la responsabilit importante attribue au directeur de projet franais est sans quivalent dans le dispositif PRINCE2 qui place le chef de projet sous contrle dun cadre dirigeant ayant pouvoir de dcision, lexcutif. Mais peut-tre ne sagit-il que dune diffrence de vocabulaire ?

24
Sarbanes-Oxley

Le dispositif Sarbanes-Oxley permet une entreprise dobtenir une attestation sur ses dispositifs de contrle interne pour assurer la scurit des informations nancires.

Figure 24.1 Dispositif Sarbanes-Oxley

Prsentation
Soyons clairs, se conformer la loi Sarbanes-Oxley nest pas un choix : il sagit dune loi dont le respect est obligatoire pour les entreprises cotes aux tats-Unis, quels que soient leur nationalit et le lieu de leur sige social.

146

Chapitre 24. Sarbanes-Oxley

Ofciellement intitule la Public Company Accounting Reform and Investor Protection Act of 2002, le monde des affaires la dsigne communment par le nom de loi Sarbanes-Oxley. Cette loi a t vote en 2002 aux tats-Unis, linstigation du snateur dmocrate Paul Sarbanes du Maryland et dun membre du Congrs rpublicain Michael G. Oxley de lOhio, en rponse divers scandales nanciers, dont le plus clbre concerne laffaire Enron. Le respect de cette loi conditionne tout simplement lintroduction en Bourse et la certication des comptes des socits cotes la Bourse de New York auprs de la SEC (Securities and Exchanges Commission), organisme de rgulation des marchs nanciers amricains. Lobjectif de cette loi est le retour la conance des marchs nanciers dans la abilit des comptes des entreprises. De faon plus pragmatique, il sagit de pouvoir empcher un prsident-directeur gnral ou un directeur nancier dafrmer quil n tait pas au courant en cas de problme. Dun point de vue nancier, les clauses essentielles de la loi Sarbanes-Oxley sont les suivantes :
certication des rapports nanciers par les dirigeants de lentreprise et les

directeurs nanciers dont la responsabilit civile et pnale se voit ainsi afrme ; interdiction de faire des prts personnels aux cadres suprieurs et aux directeurs ; signalement plus rapide de transactions qui seraient ralises par des initis ; publication des prots et rmunrations des prsidents directeurs gnraux et directeurs nanciers ; indpendance des auditeurs ; obligation pour les entreprises davoir une fonction de contrle interne certie par des auditeurs externes indpendants ; interdiction aux socits daudit doffrir des services valeur ajoute leurs clients.

La section 404 de la loi Sarbanes-Oxley impose aux socits de mettre en place des procdures de contrle interne adquates sur le reporting nancier dont lefcacit sera teste annuellement par le dirigeant de la socit ainsi que par ses auditeurs externes. Initialement applicable partir du 15 juin 2005 pour les socits non amricaines, son application a t reporte au 15 juillet 2006. Pour rendre effective lapplication de la loi, une organisation spcique, le PCAOB (Public Company Accounting Oversight Board) a t cr, dont le rle est la supervision de la profession dauditeur. Ainsi tout auditeur dsirant effectuer un audit dune socit cote aux tats-Unis doit tre enregistr auprs du PCAOB. Mais en quoi les systmes dinformation sont-ils concerns par cette loi ? La rponse est une reconnaissance vidente du rle jou par les systmes dinformation dans notre monde moderne : les informations nancires sont en majeure partie produites par des systmes automatiss, quil sagisse de progiciels de gestion intgre hautement paramtrs ou dapplicatifs spciques traitant la facturation, la comptabilit et lensemble des ux nanciers de lentreprise. De nombreux aspects du contrle interne dpendent du systme dinformation.

Sarbanes-Oxley

147

Mise en place dun dispositif de contrle interne

La mise en conformit de ces dispositions conduit une revue en profondeur du systme de contrle interne li au reporting nancier, et en particulier des systmes informatiques, ainsi quun effort dexhaustivit sur la documentation des contrles effectus. Il importe de dmontrer que la loi est respecte, que le business est matris et que seules des donnes ables sont fournies. Une premire tape pour lentreprise consiste choisir un rfrentiel de contrle. Sarbanes-Oxley ne fournit pas de directive en matire de systme de contrle interne ; la SEC recommande toutefois sans lexiger, lutilisation du rfrentiel de contrle interne publi par le COSO (Committee of Sponsoring Organizations), un groupe priv amricain dont le but est damliorer la qualit du reporting nancier travers lthique, des contrles internes efcaces et la gouvernance dentreprise. La deuxime tape consiste recenser les processus et les contrles lis chaque poste des tats nanciers en sassurant de leur documentation dans un manuel de procdures. Ensuite, il convient dvaluer lefcacit de ces contrles en les testant sur le terrain. Les types de tests sont spciques chaque entreprise. Cette troisime tape permet didentier les faiblesses du systme de contrle et de dcider de mesures correctrices, comme la suppression de contrles redondants, lamlioration de certains contrles ou lajout de contrles manquants. La SEC ne fournit pas de directive sur lvaluation du contrle interne par la direction, mais prcise quune simple description des contrles ne suft pas. Lefcacit doit tre teste et dmontre. Cela implique une valuation des risques pralable lapplication des standards et procdures. Une attention toute particulire doit tre porte la sparation des fonctions entre les oprations dautorisation, de contrle, de stockage, de comptabilisation et de paiement. Ce qui est valu, cest le risque nancier port par les processus mtiers an de garantir la abilit des rapports nanciers. Lestimation de la charge de travail allouer ces travaux prparatifs dpend de ltat initial de la documentation des contrles internes et de leur efcacit, des ressources humaines disponibles et de la complexit de lentreprise.

valuation des systmes informatiques

Lvaluation des systmes informatiques lis au reporting nancier fait partie intgrante du processus dvaluation des contrles par la direction. En effet, les systmes informatiques fournissent des donnes alimentant le processus de dcision de la direction ainsi que le reporting nancier. Les systmes dinformation se doivent dtre ables et intgres an de fournir des donnes retant de manire correcte lactivit de lentreprise. La direction de lentreprise doit donc valuer le risque li lutilisation de linformatique et des contrles raliss par linformatique :
du point de vue organisationnel, en documentant lenvironnement de contrle

(structure de lorganisation informatique, niveau de comptence du personnel, procdures, etc.) et en documentant le processus de management des risques lis

148

Chapitre 24. Sarbanes-Oxley

linformatique (procdures de continuit de service, plans de secours, niveau de communication entre le dpartement informatique et les autres dpartements, scurit physique des donnes, etc.) ; du point de vue interne du SI, au niveau des transactions et des applicatifs informatiques, en documentant les ux de transactions nancires automatiques, les sources potentielles derreurs informatiques qui pourraient impacter les tats nanciers ainsi que les contrles raliss par linformatique. La loi Sarbanes-Oxley spcie des exigences dvaluation pour les contrles, sans prciser le rfrentiel utiliser pour ces contrles. Pour dnir le type dindicateurs mettre en place, on devra donc se reporter des rfrentiels de contrle tels que CobiT et celui du COSO.

Documentation
Le texte de la loi Sarbanes-Oxley en anglais est librement disponible auprs de la Librairie du Congrs des tats-Unis. Les socits de conseil ont donn de nombreuses interprtations du texte. Une simple recherche sur Internet fournit de nombreuses pistes.

Mise en uvre
Nous lavons vu, la loi Sarbanes-Oxley sapplique certaines socits en fonction de la structure de leur capital. Par effet de cascade, elle sapplique de plus indirectement leurs fournisseurs. Les entreprises utilisant les services dun prestataire externe doivent ajouter, pour chacun des services externaliss, un rapport complmentaire dtaillant les contrles raliss, leur adquation et leur efcacit. De faon symtrique, les prestataires de services informatiques traitant des oprations nancires pour le compte de clients soumis la loi Sarbanes-Oxley ont tout intrt prparer les preuves de la mise en place de contrles adapts. La loi Sarbanes-Oxley prvoit la mise en place dun comit daudit, dfaut les comptences du comit daudit sont assumes par le conseil dadministration. An damliorer lefcacit du contrle interne, les modalits pratiques du droulement des audits ont t prcises par le PCAOB dans lAuditing Standard 5 (AS 5), An Audit of Internal Control over Financial Reporting That Is Integrated with an Audit of Financial Statements (AS 5), approuv par la SEC le 25 juillet 2007. Le choix dun rfrentiel de contrle interne est ncessaire, par exemple CobiT en complment du COSO pour les aspects spciques linformatique. En pratique, il faudra quune socit franaise veille galement la compatibilit avec la Loi de scurit nancire (LSF). Ces choix et la mise en uvre qui en dcoule ncessitent un haut niveau dexpertise ce qui implique la plupart du temps de faire appel des consultants issus de cabinets de conseil spcialiss. Un des cueils pourrait tre la cration de structures daudit redondantes entre le contrle interne et les audits qualit. Le cot de mise en place du contrle interne a amen le gouvernement amricain taler dans le temps la mise en place de la loi. La SEC a prolong dun an le dlai

Sarbanes-Oxley

149

imparti aux metteurs trangers pour sy conformer. Les entreprises cotes ont eu jusquau 15 juillet 2006 pour adapter leur reporting nancier aux exigences de la section 404. Il ressort dune tude Ernst & Young, Emerging Trends in Internal Controls, Forth Survey and Industry Insights, publie en septembre 2005, que 70 % des socits amricaines, parmi les 100 plus importantes tous secteurs dactivit confondus, ont pass plus de 10 000 heures pour la mise en conformit avec la section 404 et que 40 % des socits reprises au Fortune 100 ont budgt plus de 100 000 heures. Selon une tude ralise par Zhang les cots de conformit directs atteindraient 260 milliards de dollars. Une autre tude, ralise par Carney en 2005 sur de plus petites entreprises, indique que lobservation de la loi Sarbanes-Oxley a accru de 149 % les cots de conformit totaux de ces entreprises.

Retour dexprience
Un auditeur explique : La loi Sarbanes-Oxley est sujette depuis son adoption beaucoup de critiques, la plus importante tant le cot jug prohibitif de la mise en uvre de la section 404. Une autre critique, plus indirecte, est leffet dissuasif sur les introductions en Bourse : depuis 2002, aprs ladoption de la loi Sarbanes-Oxley, le nombre de socits trangres introduites en bourse a diminu de moiti. Limpact a t particulirement notable sur les socits europennes qui prfrent dsormais dautres places boursires moins exigeantes : lassociation franaise de gouvernement dentreprise signalait par exemple une seule socit europenne cote la Bourse de New York au premier semestre 2004. Les difcults de mise en uvre dbouchent toutefois sur de vritables amliorations du niveau de contrle : certaines problmatiques informatiques fondamentales sont souleves comme la gestion de lautorisation et des accs des utilisateurs aux systmes informatiques et aux applicatifs, la sparation relle des tches au sein du dpartement informatique ainsi que le niveau de documentation des contrles informatiques et des sources derreurs lies lutilisation de linformatique. La date du 15 juillet 2006 sera-t-elle dnitive ? Doit-on sattendre dautres reports de date ? Nous ne savons pas actuellement rpondre ces questions. Aucune rvision de la loi ne semble pour linstant prvue, malgr les difcults rencontres . Parmi les faiblesses releves, outre le cot de sa mise en uvre, on citera galement les problmes rels dapplication dans le contexte dautres lgislations nationales : par exemple le whistle blowing anglo-saxon (ou dnonciation thique) peut se trouver en contradiction en France avec les directives de la Loi informatique et liberts. Selon la bonne gouvernance dentreprise lentreprise est faite pour les seuls actionnaires , les autres parties prenantes comme clients et employs ntant plus que des moyens pour maximiser leur prot. Un risque dexcs de gouvernance peut ainsi apparatre lorsque le contrle nancier nest pas quilibr par dautres proccupations prenant en compte les intrts du client et des autres acteurs de la socit : ceci pourrait expliquer lmergence de la Responsabilit sociale de lentreprise (RSE).

150

Chapitre 24. Sarbanes-Oxley

Le rapport de Ren R ICOL sur la crise nancire, publi en septembre 2008, dans le contexte de la Prsidence franaise de lUnion europenne indique dans ses conclusions que : Les problmes rencontrs par les tablissements bancaires lors de la crise des subprimes montrent une sous-valorisation des fonctions qui concourent au contrle interne par rapport celles des oprateurs de march (front ofce). Lapplication de la loi Sarbanes-Oxley na pas russi prserver la conance dans les marchs nanciers. On peut sinterroger sur la cause de cet chec : cette loi serait-elle inadapte ou seulement mal applique ?

25
SAS 70

Le dispositif SAS 70 fournit une entreprise un diagnostic sous forme de rapport sur le contrle interne de ses services sous-traits.

Figure 25.1 Dispositif SAS 70

Prsentation
Le Statement on Auditing Standards No. 70 (SAS 70) est un dispositif daudit sadressant aux fournisseurs de services. Lorsque ces derniers doivent prsenter leurs clients des rapports conrmant lexistence de contrles sur leurs processus de service, ils

152

Chapitre 25. SAS 70

font appel ce type daudit. SAS 70 a t dvelopp en 1992 par lAICPA (American Institute of Certied Public Accountants), linstitut amricain des experts-comptables. Ce type daudit dpasse largement le strict cadre nancier en tendant son domaine dinvestigation au contrle de lensemble des rgles de gouvernance dune entreprise, en incluant linformatique et les processus associs. Ce dispositif a pris un essor nouveau partir de 2002 avec lapplication de la loi Sarbanes-Oxley. Il rpond en effet aux besoins dentreprises qui ne seraient pas elles-mmes soumises la loi mais qui devraient apporter des lments de preuves leurs clients en matire de mise en place de contrles sur des services sous-traits. Bien que SAS 70 couvre tout le domaine des services sans restriction, les entreprises de service informatique, traitant des donnes personnelles ou nancires pour le compte de socits amricaines ou cotes en Bourse aux tats-Unis, sont particulirement concernes. Les rapports SAS 70 sont ainsi exigs par les entreprises utilisatrices de prestations de service et leurs auditeurs. Pour une entreprise de service, la production dun rapport daudit SAS 70 est un moyen efcace pour donner des informations ses clients sur les contrles quelle a mis en place. Deux types de rapport sont prvus par SAS 70 :
un rapport de Type I qui dcrit les contrles mis en place par une entreprise de

service, une certaine date ; un rapport de Type II qui inclut non seulement la description des contrles mis en place, mais encore des tests dtaills de ces contrles sur une priode minimum de six mois. Les processus couverts par les contrles portent sur les activits de contrle, les processus dvaluation de risques, la communication et le pilotage. Les contrles concernent entre autres le dveloppement et la maintenance des applicatifs, la scurit logique, les contrles daccs, les traitements de donnes et la continuit de service. Il appartient chaque entreprise de dnir ses objectifs de contrle et de dcrire ses contrles. De ce fait, SAS 70 ne propose pas de liste de contrles standard. Les objectifs de contrles sont supposs spciques chaque entreprise de service et ses clients. Toutefois, les entreprises font de plus en plus appel des rfrentiels de contrle spcialiss tels que CobiT pour linformatique. On citera galement les principes et critres SysTrust pour la scurit des systmes dinformation et de faon plus spcique WebTrust en matire de scurit des sites web ; tous deux sont disponibles auprs de lAICPA. Comme pour les contrles, le choix des mesures est de la responsabilit de lentreprise. En pratique, les indicateurs cls choisis sont slectionns dans les rfrentiels de contrle usuels tels que CobiT.

Documentation
Le site commercial de lAICPA propose un ensemble de documents, dont les principaux sont :
SAS No. 70 Auditing Guidance ;

SAS 70

153

Service Organizations, Applying SAS No. 70, As Amended, un guide daudit

complmentaire de lAICPA qui fournit des recommandations en matire dinvestigation et de rapports. Ces documents peuvent tre commands et achets en ligne auprs de lAICPA.

Mise en uvre
Lutilisation de certicats SAS 70 doit sa notorit actuelle son utilisation dans le cadre de la mise en uvre de la loi Sarbanes-Oxley. Le nombre de rapports dlivrs par les commissaires aux comptes nest pas connu, mais serait en constante augmentation parmi les fournisseurs dentreprises amricaines. Il faut en effet noter que lutilisation de ce rfrentiel ne se fait en France et en Europe que sous la pression des clients. La production dun rapport SAS 70 (tableau 25.1) nest pas un examen de passage, comme peut ltre une certication ISO 9001. Dans un rapport de Type I, lauditeur donne son opinion sur la description des contrles qui lui sont prsents, sur leur pertinence et sur ladquation de ces contrles aux objectifs spcis. Dans un rapport de Type II, lauditeur donne en plus son opinion sur lefcacit des contrles quil a pu tester pendant la priode dobservation et le degr de conance que lon peut leur accorder quant latteinte des objectifs xs.
Tableau 25.1 Rapports SAS 70 de Types I et II Contenu du rapport Rapport dun auditeur du service indpendant (opinion) Description des contrles de lentreprise de service Description des tests effectus par lauditeur sur lefficacit des contrles et rsultats de ces tests Autres informations fournies par lentreprise de service (par exemple glossaire) Type I Obligatoire Obligatoire Optionnel Optionnel Type II Obligatoire Obligatoire Obligatoire Obligatoire

Lopinion de lauditeur peut prendre deux valeurs : inconditionnelle ou conditionnelle. Une opinion conditionnelle traduit la dcience dun ou plusieurs contrles ; dans ce cas lentreprise cliente qui utilise le rapport pourra exiger la mise en place de procdures complmentaires ou la correction des dciences constates avant la n de lanne scale. Une opinion inconditionnelle exprime le fait quune conance raisonnable peut tre accorde aux contrles mis en place par lentreprise de service. Le rapport SAS 70 na de valeur pour lexpert-comptable que sil est sufsamment rcent : un rapport de plus de six mois la date de clture des comptes est rput sans intrt. Cela implique que les rapports soient raliss suivant un rythme annuel cohrent avec celui de lexercice scal du client. Un compromis est trouver lorsque les dates de clture dexercice des diffrentes entreprises clientes ne sont pas les mmes.

154

Chapitre 25. SAS 70

Un rapport SAS 70 peut tre ralis par nimporte quel cabinet dexpert-comptable disposant des comptences ncessaires. Il est donc important de vrier les comptences des auditeurs proposs par le cabinet, en sassurant quils disposent dune exprience sufsante en matire daudit, voire de certications comme le CISA (Certied Information Security Auditor) dlivr par lISACA (Information Systems Audit and Control Association).

Retour dexprience
Un consultant dun grand cabinet dexpertise comptable dclare : Sa mise en uvre est lourde et ne sadresse qu des entreprises dont le niveau de maturit est dj lev en matire de matrise des risques et de scurit informatique . Vu par les Big Four (PricewaterhouseCoopers, Deloitte, Ernst & Young, KPMG) et autres rviseurs, SAS 70 fait fonction de dispositif de certication facilitant le travail du commissaire aux comptes, en garantissant que la dynamique de contrle est efcace et quelle est permanente au sein de la socit. SAS 70 est un outil destin aux experts comptables pour certier les comptes. Lobjectif est de sassurer que des contrles efcaces sont mis en place an de limiter les risques nanciers, risques de fraude et autres risques oprationnels pouvant avoir un impact sur la abilit des rsultats comptables. Il ne sagit donc pas dun outil de management articul autour dune logique damlioration. La force de ce dispositif rside dans sa complmentarit avec dautres dispositifs damlioration et dans le pont quil tablit entre les rfrentiels techniques et les rfrentiels nanciers. En matire de scurit, SAS-70 apparat ainsi trs proche de lISO 27001, ce qui peut rduire linvestissement dune double certication. Lobtention dun rapport SAS 70, sil sappuie par ailleurs sur des pratiques sufsamment matures en matire de qualit et scurit, doit aboutir une rduction notable du nombre daudits effectus par des clients. Trois critiques principales lui sont toutefois adresses :
Le fait quil ne sagisse pas dun rfrentiel prdni a pour consquence que

la conformit est mesure par rapport des objectifs dnis par lentreprise, or ceux-ci peuvent se rvler insufsants ; par exemple lorsquune entreprise na pas de politique scurit lobjectif de contrle de la scurit ne sera pas examin. La ralisation daudits est effectue par des experts comptables dont les comptences en matire dinformatique et de scurit ne sont pas toujours adaptes. Et enn, le cot de lobtention dun rapport peut paratre prohibitif, entre 100 000 et 300 000 dollars et quelquefois beaucoup plus pour respecter lobligation pralable de documenter les contrles avec laide de consultants spcialiss.

26
Six Sigma

Le dispositif Six Sigma permet une personne physique dobtenir une certication pour ses comptences en matire damlioration de processus.

Figure 26.1 Certification des acteurs Six Sigma

Prsentation
Limportance croissante des rfrences au Six Sigma nous a incits prsenter le dispositif dans le cadre de la qualication de personnes. Il sagit dune mthode qui vise

156

Chapitre 26. Six Sigma

essentiellement loptimisation de la performance (aptitude) des processus existants et la conception de nouveaux processus permettant de rpondre aux besoins des clients de manire able et prvisible. La mthodologie Six Sigma a t conue par Motorola dans les annes 1980 puis reprise et amliore par General Electric dans les annes 1990. Il sagit dun dispositif fond sur le concept de variation. La lettre grecque (sigma) est lcart type qui indique lamplitude de la variation. Quun processus fournisse un produit industriel ou un service, la mesure de la variation est lindicateur de laptitude dun processus stratgique satisfaire les spcications critiques du client. Le Six Sigma se fonde sur lanalyse statistique de laptitude dun processus et sur lidentication par lanalyse statistique des sources principales de variation. Prconise initialement par Motorola, la dmarche consiste rduire de faon drastique la variabilit des processus de production de telle sorte que la proportion de pices ne rpondant pas aux spcications critiques du client dcroisse trs fortement. Lorsque la diffrence entre la moyenne et la valeur limite indique par le client est de six carts types (six sigma), le nombre de pices dfectueuses produites est peu prs 3,4 pices par million de pices produites, soit proche du zro dfaut. Au cur de la dmarche Six Sigma, le cycle DMAIC (Dene, Measure, Analyse, Improve, Control, et en franais DMAAC pour Dnir, Mesurer, Analyser, Amliorer et Contrler) intgre la dmarche damlioration de performance dans une mthode de gestion de projet ; le PDCA (Plan-Do-Check-Act) de la roue de Deming se reconnat aisment. Le cycle DMAIC comporte les tapes suivantes :
Dnir le primtre du processus amliorer, cest--dire clarier les exigences

du client, formaliser les objectifs damlioration et les ressources ncessaires lexcution du projet. Mesurer la performance (aptitude) actuelle du processus tudi par rapport aux exigences critiques des clients. Analyser les donnes rcupres an de dterminer les sources principales de variation en mettant en uvre des outils statistiques danalyse. Amliorer, cest--dire recenser, valuer, choisir et mettre en uvre les actions mener en priorit pour rduire le niveau de variation et optimiser laptitude du processus. Contrler, cest--dire mesurer et valuer les rsultats ainsi que les gains obtenus aprs la concrtisation des mesures damlioration de performance prconises, et dnir les actions ncessaires la prennisation de lamlioration.

Le succs grandissant de la mthodologie Six Sigma a entran la cration de nombreuses communauts de pratiques qui se sont dveloppes aussi bien sur des secteurs (industrie, services, nance...) que par type dactivits (marketing, R & D, contrle qualit...). Devant le risque de se retrouver avec des pratiques contradictoires sous la mme dmarche, lISO a initi en octobre 2008 la rdaction de la norme ISO 13053 Six Sigma mthodologie.

Six Sigma

157

Cette norme se composera de trois parties qui sont prvues pour n 2011 :
ISO 13053-1 dcrivant la dmarche, DMAIC , telle que dcrite ci-dessus sera

une introduction aux parties suivantes, ISO 13053-2 traitant des outils et techniques pour DMAIC, reprend les 35 ches du fascicule de documentation Afnor Six Sigma, une dmarche damlioration utilisant les outils statistiques . Elle a t publie en juin 2008. ISO 13053-3, ensemble de rapports techniques contenant un mode opratoire prcis de mise en uvre avec des exemples tirs de lindustrie, des services ou de la nance.

Documentation
Jusqu rcemment, la dmarche Six Sigma ne sappuyait pas sur un rfrentiel ; sa documentation se trouvait essentiellement dans les manuels de statistiques, les formations et les ouvrages publis sur ce thme. Suite la dcision de lISO de crer une norme sur la dmarche Six Sigma, des publications sur ce rfrentiel et son mode demploi devraient tre disponibles partir de n 2011.

Mise en uvre
Historiquement, cette dmarche concernait les processus de production de srie. Aujourdhui, elle sapplique de nombreux types de processus et de prestations aussi bien des services nanciers qu dautres types de services : tous les processus de lentreprise quils soient de conception, de production ou administratifs peuvent tre amliors en utilisant la dmarche et les outils Six Sigma. Comme en tmoigne louvrage Measuring the Software Process, la matrise statistique a t applique au processus de management de projet logiciel. La Haute autorit de sant (HAS) la prconise aussi dans louvrage Matrise statistique des processus en sant Comprendre et exprimenter. Ce dispositif est utilis par des centaines dentreprises, principalement aux tatsUnis, au Mexique, au Canada, au Royaume-Uni, en Allemagne, dans les pays dEurope de lEst, en Inde et en Chine. Il commence seulement tre utilis en France. Parmi les utilisateurs, on peut citer des groupes internationaux tels que Motorola, GE, Honeywell, Westinghouse, Dupont, Bombardier, ABB, Schlumberger, Sony, Nokia, Toshiba, American Express, Merrill Lynch et AXA. La dmarche Six Sigma convient aux entreprises dont lobjectif couvre les domaines classiques de la diminution des cots de non-qualit, laugmentation de la abilit des produits et des services, lamlioration de la satisfaction du client, laugmentation de la productivit et de la valeur ajoute. De faon plus originale, elle vise loptimisation de la performance (aptitude) des processus, la validation des processus par la stabilisation statistique et permet ainsi un retour sur investissement important et rapide.

158

Chapitre 26. Six Sigma

Le succs de cette approche dpend essentiellement de trois lments :

la comptence des personnes charges de la mettre en uvre ; un engagement de la direction au plus haut niveau ; une implication du personnel tous les chelons de lentreprise.

La qualication des personnes est illustre laide dune appellation qui rappelle les arts martiaux : Champion, Master Black Belt, Black Belt et Green Belt. Mikel Harry, lun des crateurs des Six Sigma avait introduit le systme des ceintures (en anglais, belt) pour reprsenter les niveaux dexprience. tant lui-mme passionn par les arts martiaux, il avait remarqu plusieurs points communs entre les personnes pratiquant les arts martiaux et celles qui pratiquent la technique du Six Sigma : exprience de terrain, matrise des outils, dvouement et humilit. Pour russir un projet, la participation dun Black Belt est insufsante, un travail dquipe au niveau de lentreprise et du projet est indispensable. Pour cela au niveau de lentreprise, le directeur du dploiement et les champions garantissent que les projets apportent une valeur ajoute et que le programme se dirige bien dans la direction prvue. Au niveau du projet, ce sont des experts dsigns sous le nom de Six Sigma Belt qui managent les projets et mettent en uvre les amliorations souhaitables, comme indiqu dans le tableau 25.1.
Tableau 26.1 Rle et formation des acteurs Six Sigma Green Belt Spcialiste de lamlioration, il intervient temps partiel tout en conservant ses fonctions prcdentes. Il reoit une formation de deux semaines sur une priode de deux mois. Il participe la collecte et lanalyse des donnes sur des projets Black Belt. Black Belt Spcialiste de lamlioration, il intervient plein-temps. Il reoit une formation de quatre semaines sur une priode de quatre mois. Il dirige une quipe et manage un projet Black Belt. Master Black Belt Spcialiste de lamlioration, il intervient plein-temps. Cest un expert en statistiques qui est souvent un ancien Black Belt de lentreprise. Il valide les projets au niveau de la mthodologie et de lutilisation des outils Six Sigma. Il forme les Green Belt et Black Belt et coache des quipes projets Black Belt.

Il peut diriger une quipe et Il coache les quipes projets manager un projet Green Belt. Green Belt.

La certication de personnes nest pas rglemente. Elle se fait souvent en interne lentreprise. LAmerican Society for Quality (ASQ) forme les individus et les certie au niveau Green Belt ou Black Belt. La certication ASQ de Black Belt ncessite un renouvellement tous les trois ans.

Six Sigma

159

Retour dexprience
Un collaborateur dune entreprise ayant adopt le Six Sigma tmoigne : Toute lentreprise a t entrane dans la dmarche et cela a modi, de ce fait, les rfrentiels qualit internes. Lensemble des employs est incit mettre en uvre un ou deux projets Six Sigma. Dans ce dessein, une formation de base est dispense sur la dmarche DMAIC, complte par une panoplie doutils de rsolution de problmes adopter en fonction des problmatiques rencontres. Puis, au fur et mesure de lacquisition de comptences et dexprience en mthodologie Six Sigma, des grades sont atteints : tout employ ayant bnci de la formation de base et ayant ralis un projet Six Sigma devient Green Belt, puis Black Belt loccasion des projets suivants. Cette progressivit est un important facteur de russite dun projet : tout projet Six Sigma est systmatiquement supervis par un Black Belt et pilot par un sponsor/dcideur. Le dmarrage et la n dun projet sont traits comme des vnements. La qualit et la russite de projets Six Sigma reprsentent ainsi un important moyen de promotion dans lentreprise. Un autre facteur cl de russite consiste la mise en valeur, lintrieur de lentreprise, de lensemble des projets mens et lattribution de primes aux quipes en fonction des gains nanciers dcoulant de ces projets . La dmarche Six Sigma est gnralement utilise dans des entreprises de taille importante. Toutefois, applique tous les processus dune petite entit (par exemple, une vingtaine de salaris), elle permet, en quelques mois, dacclrer de manire notable la matrise dun nouveau procd. La principale innovation de cette dmarche est de permettre la quantication de la qualit qui devient ainsi visible du management de haut niveau. Six sigma permet ainsi de rduire les cots de non-qualit de lentreprise : que ce soit des cots dus aux dommages (environnement, non-satisfaction client, retours, garanties, rclamations...) ou des cots dinvestissement (technologiques, processus, inspection...). Grce un retour sur investissement rapide, elle permet de rconcilier lexigence nancire et lamlioration de la satisfaction client. Toutefois la mise en uvre initiale de ce dispositif est coteuse (expertise, formation) et ncessite lacceptation dun changement culturel, parfois important, pour lentreprise. Labsence dun rfrentiel document et dun processus de reconnaissance entrane une certaine variabilit dans les pratiques des utilisateurs et linterprtation du Six Sigma quen font les cabinets de conseil. Ce qui est un comble pour une dmarche dont lobjectif premier est de rduire la variabilit des processus. La norme ISO doit permettre didentier un socle commun, universel et reconnu par tous, pour la mthodologie Six Sigma partir duquel les bonnes pratiques par secteur ou par activit pourront continuer de se dvelopper.

27
SSE-CMM

Lobjectif du SSE-CMM consiste fournir un cadre standard pour tablir et promouvoir lingnierie de la scurit comme une discipline mature et mesurable. Dans ce sens, le dispositif SSE-CMM permet une entreprise dtablir un diagnostic daptitude de ses processus assurer la scurit.

Figure 27.1 Dispositif SSE-CMM

162

Chapitre 27. SSE-CMM

Prsentation
Dans la famille des CMM, le rfrentiel SSE-CMM (Systems Security Engineering Capability Maturity Model) propose un modle dvaluation de la scurit des systmes dinformation permettant de pratiquer lauto-valuation dune organisation. Dvelopp partir de 1995 sur les bases gnriques du CMM par un groupe de projet compos dindustriels et duniversitaires, ce rfrentiel a t diffus et maintenu par lISSEA (International Systems Security Engineering Association). En novembre 2002, le Modle de maturit de capacit (SSE-CMM) a t normalis par lISO sous la rfrence ISO 21827 puis mis jour en 2008. Sa structure est similaire la reprsentation continue du CMMI avec une chelle de niveaux de 1 5 et prsente une compatibilit afche avec lISO 15504 :
Niveau 1 : Ralis informellement ; Niveau 2 : Plani et suivi ; Niveau 3 : Bien dni ; Niveau 4 : Contrl quantitativement ; Niveau 5 : Amlior en continu.

Comme dans le CMMI le rsultat se traduit par une dimension daptitude par processus comme reprsent dans la gure 27.2.

Figure 27.2 Exemple de profil daptitude

SSE-CMM

163

Ces processus prennent en compte :

les diffrentes phases du cycle de vie des produits ou des systmes ; les diffrentes fonctions dune entreprise ; les interfaces internes ; les interfaces externes.

Le SSE-CMM fournit tout la fois un ensemble de rgles et de recommandations dutilisation (le rfrentiel) et le modle dvaluation. Plus prcisment, le dispositif SSE-CMM est constitu de bonnes pratiques (appeles pratiques de base) associes un domaine de processus et de pratiques gnriques. Les 129 bonnes pratiques sont ainsi regroupes dans 22 domaines de processus (Process Area, PA). En parallle, comme dans lISO 15504, les pratiques gnriques sappliquent lensemble des processus et selon leur degr de mise en uvre. Elles permettent lvaluation de laptitude de chaque processus selon les cinq niveaux. Dans cette version 3, le modle propose deux catgories de processus :
des processus dingnierie de la scurit (gure 27.3) ; des processus organisationnels et de gestion de projet.

Les processus organisationnels et de gestion de projet du SSE-CMM sont similaires ceux du CMMI et de lISO 15504 et assurent la compatibilit avec ces modles. Les processus dorganisation proviennent du SE-CMM System Engineering Capability Maturity Model ; les processus projet permettent de planier, piloter et matriser les charges techniques, de grer les risques projet et les congurations, et dassurer la qualit. La catgorie de processus spciques lingnierie de la scurit permet de prendre en compte le niveau de scurit correspondant au besoin, aussi bien au niveau du projet quau niveau de lorganisation. Cette catgorie de processus peut tre subdivise selon trois axes. Le premier concerne les processus qui sont centrs sur lvaluation et le management du risque, lidentication des menaces et des vulnrabilits puis lanalyse de leur impact sur lorganisation ; ils permettent didentier les risques dont limportance justie leur prise en compte par lorganisation. On trouve ensuite les processus de spcication des besoins de scurit et des mesures de scurit correspondantes, les processus de mise en uvre de ces dispositions de scurit dans un objectif de rduction et de contrle des risques identis et retenus prcdemment. Ces processus sont mis en uvre conjointement avec les processus de construction de produits et de systmes. Enn, le troisime axe regroupe les processus dassurance scurit qui vrient la mise en uvre des dispositions et mesurent leur efcacit par rapport latteinte du niveau de scurit souhait. Deux types de mtriques sont identis dans le SSE-CMM : les mtriques relatives au processus et celles concernant la scurit.

164

Chapitre 27. SSE-CMM

Figure 27.3 Processus du SSE-CMM.

Les mtriques de processus permettent de collecter des preuves qualitatives ou quantitatives de latteinte dun niveau spcique de maturit dun processus ou de servir dindicateur binaire de la prsence ou de labsence dun processus mature. Les mtriques de scurit sont des attributs mesurables des rsultats des processus SSE-CMM dingnierie de la scurit ; elles peuvent servir de preuve de lefcacit des processus. Ce type de mtrique peut tre objectif ou subjectif, quantitatif ou qualitatif. Alors que le premier type de mtrique donne des informations sur le processus luimme, le second fournit des informations sur le rsultat des processus et en particulier permet dapprcier lefcacit des processus quant lobtention du niveau de scurit attendu.

SSE-CMM

165

Les mtriques de scurit devraient permettre dapporter des rponses aux questions poses sur le cot et lefcacit du dispositif de scurit mis en place. Elles devraient orienter les choix damlioration et permettre dvaluer dans quelle mesure les dispositions de scurit permettent de rduire les risques. Cependant, mme si le terme mtrique est employ de manire diffuse dans la description de plusieurs processus (parfois au sens de critres), la ncessit de dnir des mtriques quantitatives napparat qu partir du niveau 4 Contrl Quantitativement, avec ltablissement dobjectifs mesurables et la gestion quantitative des performances.

Documentation
La norme ISO 21827 Ingnierie de scurit systme Modle de maturit de capacit (SSE-CMM) nest disponible quen anglais auprs de lAfnor, toutefois la version 3.0 du 15 juin 2003 qui a t adopte par lISO est tlchargeable gratuitement sur le site du SSE-CMM. Le SSAM SSE-CMM Appraisal Method dcrit en dtail comment mener une valuation : on y trouve par exemple, les questionnaires pour chaque domaine de processus. Il est tlchargeable sur le site du SSE-CMM.

Mise en uvre
Initialement, les utilisateurs taient surtout des industriels amricains uvrant dans des domaines pointus comme la fabrication de microprocesseurs ou de systmes technologiques avancs ou encore pour la scurit nationale. Daprs une estimation de lISSEA1 , 40 entreprises lont adopt et 120 lutilisent informellement, 70 % seulement sont des fournisseurs de services ou de systmes de scurit. Daprs le Gartner2 lappropriation du SSE-CMM, lente les premires annes, devrait ensuite trs fortement sacclrer. Chaque processus peut tre valu indpendamment, mme sil existe une forte corrlation entre les mises en uvre des processus dune mme catgorie. Ce rfrentiel na pas pour objet la certication, mais il permet de complter des auto-valuations en fournissant un cadre dvaluation des pratiques en matire de scurit. Lauto-valuation peut tre soutenue par un il extrieur expriment (valuateur SSAM (SSE-CMM Appraisal Method) ou ISO 15504). Des industriels indiens ayant accumul les certications ISO 9001, 20000, 27001, et CMMI se sont engags dans des dmarches de certication SSE-CMM depuis 2004.

1. Source : Security as Engineering Discipline: the SSE-CMMs Objectives, Principes and Rate of Adoption. 2. Source : Integrating Security Into the Application Life, avril 2007.

166

Chapitre 27. SSE-CMM

Parmi ces industriels, on trouve par exemple :

Sobha Renaissance Information Technology (SRIT), premire entreprise mondiale-

ment certie SSE-CMM Level 5, SEI-CMM et People-CMM Level 5, ISO/IEC 27001:2005 and ISO 9001:2000. Mahindra-BT (MBT), intgrateur de systmes informatiques pour lindustrie des tlcommunications, 3e entreprise value SSE-CMM niveau 3, CMMI niveau 5, People-CMM niveau 5, mais aussi ISO 9001:2000, ISO 9001, 20000, et 27001. En 2008, des valuations conjointes CMMI/SSE-CMM ont eu lieu (Booz Allen Hamilton Global), en incorporant des exigences des processus dingnierie scurit au sein des exigences des processus CMMI (cf. http://www.sei.cmu.edu/cmmi/adoption/pdf/Lear08.pdf). Elles ont dmontr que :
il est possible de mixer les deux approches dvaluation ; des besoins de formations aux processus scurit persistaient dans les industries

du dveloppement logiciel pour permettre une meilleure efcacit et moins dinterprtations ; obtenir une vision objective de la maturit de lentreprise sur ses pratiques scurit a permis aux quipes de se sentir plus impliques dans leur mise en uvre. Notons aussi la parution du Trusted CMM , qui porte davantage sur les aspects de sret de fonctionnement, et qui permet avec le CMMI et le SSE-CMM, de complter la vision globale des qualits dun logiciel En France, plusieurs auditeurs ISO 15504 possdent la double comptence et de ce fait, ils sont susceptibles dvaluer les processus dingnierie de scurit et les processus dorganisation.

Retour dexprience
Anne C OAT, conseil en scurit des SI et amlioration de processus pour SEKOIA, cabinet de conseil et de formation en scurit de linformation, valuateur ISO 15504 et auditeur ISO 27001 (IRCA) dclare : Le SSE-CMM part du besoin dintgration des principes de scurit dans tous les processus des projets. Sa mise en uvre renforce la synergie entre quipes, diminue la charge, vite la duplication de travail, et permet ainsi dobtenir un produit de qualit, plus scuris et moindre cot. Le SSE-CMM a la mme capacit devenir incontournable dans le domaine de la scurit que le CMMI dans celui du dveloppement de logiciel ou de systme. Le ministre de la dfense des tats-Unis a dailleurs sponsoris une rexion pour dnir les meilleures pratiques en matire de scurit et de sret de fonctionnement, pour les intgrer au sein des modles CMMI et FAA-iCMM (Federal Aviation Administration Integrated Capability Maturity Model). En effet, la notion de niveau de maturit suppose quune organisation peut progresser son rythme de son tat initial vers un tat prenant en compte ses besoins de scurit

SSE-CMM

167

spciques, et pas sur une chelle arbitraire. Dautant que les auto-valuations ISO 15504 se basent sur latteinte des objectifs des processus et sur les moyens de leur mise en uvre. Ceci implique, par exemple, que, contrairement dautres normes, la notion de mtriques peut tre mise en place de manire progressive au fur et mesure de la dmarche et que les progrs peuvent tre reconnus par le passage successif des diffrents niveaux de maturit. Cette reconnaissance intermdiaire est ncessaire au sein des quipes pour justier les efforts accomplis et les encourager continuer. On peut donc penser que ce modle est complmentaire de la certication ISO 27001. Face au faible enthousiasme rencontr en France pour les certications ISO 27001, le SSE-CMM propose aux entreprises une alternative. Il fournit gratuitement un guide pratique leur permettant dapprhender les bonnes pratiques de scurit dans le dveloppement des logiciels, et une mthode dvaluation (SSAM) qui leur permet ensuite de sauto-valuer et progresser. Cette valuation leur permet enn de sengager en connaissance de cause dans une dmarche de certication de leur systme de management de la scurit de linformation (ISMS : Information Security Management System) sur la base de lISO 27001, sur un primtre dni. Par la suite, elles peuvent aussi continuer appliquer les bonnes pratiques proposes par les niveaux suprieurs du SSE-CMM, qui permettent datteindre une vision globale des recommandations de base de lISO 27001 et lISO 17799 (future ISO 27002). Dans un certain sens, le SSE-CMM permet de guider le dploiement des principes tablis dans lISO 13335 (Management des risques), qui a inspir la refondation de lISO 27001. Ladoption du SSE-CMM par lISO comme norme dvaluation ISO 21827 a favoris sa diffusion internationale. LISO 21827 est dailleurs suivie par le mme groupe de travail de lISO que les Critres communs qui sert lvaluation de systmes. Mettre en place lISO 21827 contribue aussi satisfaire des exigences des classes dassurance des Critres Commun . Lintrt principal de ce dispositif est dengager lorganisation dans une dmarche dintgration des mesures de scurit dans ses processus, en fonction de ses besoins en matire de scurit, et de manire compatible avec dautres dmarches damlioration continue et dautres systmes de management.

28
Testeur logiciels ISTQB

Le dispositif Testeur logiciels ISTQB permet une personne physique dobtenir une certication en matire de tests de logiciels??.

Figure 28.1 Dispositif CFTL ISTQB

Prsentation
Dans le monde, des millions de professionnels sont impliqus dans lindustrie du logiciel. Les systmes base de logiciels sont omniprsents. Trs souvent, la vie

170

Chapitre 28. Testeur logiciels ISTQB

de personnes dpend du bon fonctionnement de ces logiciels (par exemple dans les secteurs tels que laronautique, le nuclaire, le mdical, lautomobile). Cest pourquoi il est ncessaire que les personnes qui vrient et testent les logiciels soient correctement formes. LISTQB (International Software Tester Qualication Board) est une initiative pilote par des comits nationaux de testeurs logiciels, indpendants des diteurs de logiciels de tests. LISTQB propose une certication de testeur logiciels base sur trois niveaux (fondation, avanc et expert) et se dclinant en trois axes majeurs (gestionnaire de tests, analyste de tests, analyste technique de tests). Au niveau expert, des dclinaisons plus nes sont attendues. Le Comit franais des tests logiciels (CFTL) a t fond en 2004. Il est compos de spcialistes et dexperts en tests de logiciels qui sont dorigine universitaire et industrielle. Il a pour but de dvelopper en France le processus de certication mondialement reconnu de testeurs logiciels. Le CFTL reprsente la France et les pays francophones lISTQB qui est constitu de plus de quarante comits nationaux dans les pays suivants : Afrique du Sud, Allemagne, Amrique du Sud hispanique, Arabie Saoudite, Australie et Nouvelle-Zlande, Autriche, Bangladesh, Belgique et Pays-Bas, Brsil, Canada, Chine, Core, Danemark, Espagne, Estonie, tats du Golfe arabo-persique, tats-Unis dAmrique, Fdration de Russie, Finlande, France, Hongrie, Inde, Irlande, Isral, Italie, Japon, Lettonie, Luxembourg, Malaisie, Nigeria, Norvge, Pologne, Rpublique Tchque et Slovaquie, Royaume-Uni, SoEast Europe (Comit rgional pour lEurope du sud), Sude, Suisse, Turquie, Ukraine et Vietnam. LISTQB a mis au point un programme international de qualication appel ISTQB Certied Tester (testeur logiciels certi ISTQB). Il y a trois niveaux de certication : le niveau Fondation, le niveau Avanc et le niveau Expert. Le programme des cours a t bti partir des recommandations du chapitre du SWEBOK sur les tests.

Documentation
Deux programmes appels syllabus existent aujourdhui en franais :
Testeur certi, syllabus niveau fondation ; Testeur certi, syllabus niveau avanc.

Le syllabus niveau fondation de lISTQB comporte six chapitres principaux :

fondamentaux des tests ; tester pendant le cycle de vie logiciel ; techniques statiques ; techniques de conception de tests ; gestion des tests ; outils de support aux tests.

Le syllabus niveau avanc de lISTQB comporte dix chapitres principaux :

lments de base du test logiciel ;

Testeur logiciels ISTQB

171

processus de test ; gestion des tests ; techniques de test ; tester les caractristiques du logiciel ; revues ; gestion des incidents ; normes et processus damlioration des tests ; outils de test et automatisation ; comptences composition de lquipe.

Mise en uvre
Les Pays-Bas et le Royaume-Uni ont initialis ce programme en 1998. Plus de 40 pays sur cinq continents ont adhr ce schma de certication et dautres pays continuent se joindre ce programme. Au 31 dcembre 2008, cest au Royaume-Uni que se trouvent le plus de personnes certies (44 059), suivent lInde (19 974), lAllemagne (12 933), la Belgique (6 378), les tats-Unis (5 539), le Japon (4 373), la Nouvelle-Zlande et la Suisse avec plus de 3 000, puis viennent la Sude, Isral, lAutriche, la Core avec plus de 1 000. La France se trouve en 17e position avec 480 certis sur un total mondial de 111 469. Bien que rcent en France, ce dispositif intresse diffrentes socits de service et des grands comptes. Le nombre de testeurs logiciels certis augmente rapidement en France. Il a plus que doubl chaque anne depuis 2006. Le niveau avanc de lISTQB (Certied Tester) sappuie sur le niveau fondation et couvre les trois modules :
Gestionnaire de tests (Test Manager) ; Analyste de tests ; Analyste technique de tests.

Le Syllabus niveau avanc de lISTQB comporte les dix chapitres suivants :

les aspects de bases du test logiciel ; les processus de tests ; le management des tests ; les techniques de tests ; le test des caractristiques des logiciels ; les revues ; la gestion des incidents ; les standards & processus damlioration des tests ; les outils de test et lautomatisation ; les comptences individuelles et la composition dquipes.

172

Chapitre 28. Testeur logiciels ISTQB

Ceci permet soit dacqurir une certication dans une spcialit particulire, soit de passer les trois examens pour recevoir le certicat de testeur logiciels ISTQB, niveau Avanc complet. Les certicats ont une dure de validit non limite et couvrent surtout des aspects thoriques et mthodologiques, lesquels peuvent tre appliqus quel que soit le contexte. Cependant les syllabus sur lesquels sappliquent les certicats sont rvalus et mis jour tous les trois ans environ an de prendre en compte les nouveaux dveloppements tant thoriques ou mthodologiques que pratiques, par exemple les aspects relatifs aux outils dautomatisation. Le CFTL a dvelopp un programme de cours niveau fondation et un programme de cours niveau avanc, ainsi quun glossaire des termes utiliss. Des programmes de cours de niveau Expert sont en dveloppement en collaboration avec les comits nationaux membres de lISTQB. Les examens de certication donns par le CFTL se droulent en franais ou en anglais, au choix. Le programme de formation et les examens de testeur logiciels ISTQB sont utiliss par les comits nationaux des tests dans le monde entier. Ceux-ci garantissent que les formations dispenses sappuient sur les standards internationaux de formation et assurent la reconnaissance du certicat dans les autres pays. Les formations sont conues et dispenses par des socits commerciales indpendantes de lorganisme de certication CFTL. De faon sassurer de la qualit des formations donnes par les socits commerciales, celles-ci doivent tre soumises au CFTL pour vrication. lissue du processus de vrication, une accrditation de la formation est accorde et ils sont afchs sur le site du CFTL. Les examens sont gnralement effectus dans les locaux dun organisme de formation accrdit pour un cours ou un ensemble de cours. Chaque examen se droule laide de QCM avec une seule rponse correcte par question. Lexamen de niveau Avanc (trois modules) dure 4 heures 30.

Retour dexprience
Bernard H OMS, prsident du CFTL, dclare : Les personnes qui obtiennent le certicat dmontrent des connaissances leur permettant daider les chefs de projets et dirigeants prendre des dcisions importantes quilibrant qualit, caractristiques, planning et budget ; elles sont capables de dtecter les dfauts que dautres ne voient pas. Esprons que la reconnaissance de cette certication sur les tests logiciels permettra damliorer le niveau actuellement faible des tests de logiciels en France, partiellement d la mconnaissance des risques et des enjeux . Monsieur Jean-Christophe R OUZOUL, responsable de loffre Global Testing de Sopra group, dit : Dans le cadre de nos rexions "testing", nous avons fait le choix de lISTQB de faon fdrer et partager au sein de lentreprise une smantique et des pratiques

Testeur logiciels ISTQB

173

communes... Le dveloppement rapide de la demande "testing" nous a par ailleurs conduit identier une lire RH spcialise pour laquelle un plan de formation ddi a t labor ; plan de formation sanctionn par une certication CFTL... Il est clair quau-del de la mise en avant commerciale de nos testeurs certis, cette approche de certication par CFTL nous a permis de repositionner, au niveau et avec la valeur qui conviennent, le mtier de "testeur" au sein de lentreprise... Monsieur Christophe B EUCHARD DE K EREVAL, directeur commercial, tmoigne : La certication CFTL nous a concrtement permis dutiliser au niveau technique un vocabulaire commun, compris de tous et facilitant la comprhension du mtier des testeurs. Cette certication nous a aussi permis au niveau marketing et avant vente de crdibiliser notre approche professionnelle de lingnierie de tests.

29
TL 9000

Le dispositif TL 9000 permet une entreprise dobtenir une certication pour son systme de management de la qualit en matire dingnierie des systmes.

Figure 29.1 Dispositif TL9000

Prsentation
TL 9000 est un systme de management de la qualit spciquement conu pour lindustrie des tlcommunications. Fond sur la srie ISO 9000, il a t dvelopp par le QuEST Forum (Quality Excellence for Suppliers of Telecommunications Forum)

176

Chapitre 29. TL 9000

en raction aux dysfonctionnements affectant les produits et les services de cette industrie. Les reprsentants des principaux partenaires ont dcid quil tait vital de dnir des critres de qualit spciques et de xer des objectifs clairs pour promouvoir une culture de progrs continu dans le mtier des tlcommunications. TL 9000 dnit des exigences de systme qualit que les entreprises des tlcommunications doivent respecter dans lensemble de leurs processus industriels (conception, dveloppement, production, fourniture, installation et maintenance de produits et services). Il inclut des mtriques de rendement qui permettent de mesurer la qualit et la abilit des produits et des services. TL 9000 sappuie sur lISO 9001:2000 dont la certication est soit pralable, soit conjointe celle de TL 9000. Le contenu du TL 9000 se rpartit en deux manuels (handbooks). Le manuel des exigences dnit les exigences pour la gestion de la qualit du matriel, du logiciel et des services. Le manuel de mesurage traite de lutilisation de mtriques utilises comme base de mesure de la qualit et de la performance des diffrentes classes de produits et services. Ces mtriques offrent un ensemble quilibr de mesures et de moyens pour communiquer, surveiller et amliorer les rsultats rels. Dautre part, elles permettent une comparaison internationale des performances et simplient les relations entre les contractants. La premire version date de 1998, la version actuelle des deux manuels (version 4.0) est de juin 2006. TL 9000 est produit, maintenu et diffus par le QuEST Forum. lorigine en 1998, le QuEST Forum tait un groupement doprateurs et de fournisseurs de lindustrie des tlcommunications. Aujourdhui, il accueille parmi ses membres :
les oprateurs de tlcommunication ; les fournisseurs des services de tlcommunication ; les fournisseurs dquipements matriels et logiciels, dinstallation, de concep-

tion de systmes et de tous les produits intgrs dans un systme de tlcommunication ; des organismes de liaison en matire de certication et de formation. Llaboration du TL 9000 a t faite en se fondant sur un document de Telcordia/Bellcore le Quality System Generic Requirements for Hardware, Software, and Infrastructure et sur des normes :
lISO 9001:2000 pour les exigences dassurance qualit ; lISO 12207 pour la description des processus du cycle de vie des logiciels ; lISO 90003 pour lapplication de lISO 9001 au logiciel.

Le manuel des exigences du TL 9000 sadressait lorigine aux fournisseurs de tlcommunications. Il vise dsormais galement les fournisseurs de services (les oprateurs rseau...). Il tablit et dtaille des exigences de systme qualit et fournit

TL 9000

177

un ensemble cohrent de paramtres spciques lindustrie mondiale des tlcommunications. Il leur fournit les lments ncessaires pour satisfaire des exigences qualit qui portent sur :
les relations entre les parties, cest le maintien et lamlioration des responsabi

lits entre le client, lentreprise et le fournisseur ; la gestion des problmes, cest le traitement efcient des problmes des clients ; la ralisation, cest lutilisation de la planication et du mesurage ; le dveloppement du produit et la documentation des problmes ayant un impact sur la qualit du produit ; la documentation, cest la gestion des lments de conception du produit dans lobjectif de produire une qualit reproductible ; la gestion des ressources, cest la promotion du dveloppement des ressources internes avec des formations sur des thmes comme les concepts qualit et la manipulation des produits.

Lobjectif du manuel de mesurage du TL 9000 est de faciliter la mise en uvre des exigences de compte rendu au client (reporting), tout en fournissant des mesures normalises permettant la comparaison des performances qualit de toutes les entreprises du secteur. Cest un guide trs complet qui traite de la mise en pratique, de lutilisation, des responsabilits et des exigences relatives aux mesures. Les mtriques y sont dcrites prcisment par catgories de produits : matriel, logiciel et services. Il dnit lensemble minimal de mesures de performance qui permet de juger de lamlioration et dvaluer les rsultats dimplmentation du systme de gestion de la qualit ; dans certains cas, les dlais de ralisation utiliss pour lindicateur sont dnis par lentreprise contractuellement avec son fournisseur. Les principales mesures sont :
celles qui sont communes au matriel, au logiciel et au service ; par exemple,

nombre de rapports de problmes, livraison dans les dlais ; celles qui sont spciques au systme doutage (il sagit dune perte de fonctionnalit primaire de tout ou partie dun systme de tlcommunication) ; celles qui sont relatives soit au matriel (par exemple, taux de retours), soit au logiciel (par exemple, la qualit des corrections ou des solutions logicielles software x quality), soit la qualit de service.

Documentation
Les deux volumes de la documentation du rfrentiel TL 9000, TL 9000 Quality Management System Requirements Handbook et TL 9000 Quality Management System Measurements Handbook sont disponibles auprs du QuEST Forum en formats papier et lectronique. Il existe des traductions en franais, en espagnol, en portugais, en chinois, en japonais et en coren. Les deux volumes en franais sont disponibles auprs dAfnor mais uniquement en format papier. Le QuEST Forum est garant de la mise jour du TL 9000. Des volutions sont prvues pour amliorer le dispositif et aussi pour assurer la compatibilit des manuels dexigences et de mesurage avec les rvisions de lISO 9001.

178

Chapitre 29. TL 9000

Le QuEST Forum a galement la responsabilit de collecter priodiquement les indicateurs des entreprises certies. La base de donnes qui en rsulte constitue un vritable observatoire utilisable comme un outil daide la dcision dans la dnition des priorits damlioration pour les clients et leurs fournisseurs. Cet outil nest accessible quaux socits membres du QuEST Forum et non pas toutes les socits certies. Depuis 2009, trois fois par an, la QuEST Forum Best Practices Conference est loccasion pour ses participants dchanger leurs pratiques et de prsenter des tudes de cas. Elles sont organises dans chacune des rgions : tats-Unis, Asie Pacique et EMEA (Europe, Moyen Orient et Afrique). Le QuEST Forum fournit un guide spcique lattention des auditeurs TL 9000. Le site du QuEST Forum est trs rgulirement mis jour et librement consultable : www.questforum.org.

Mise en uvre
En consultant les chiffres publis sur le site du QuEST Forum, au 20 mars 20091 , on observe que :
Les certicats sont mis essentiellement dans la rgion Asie Pacique avec 923,

en Amrique avec 612 et seulement 17 en Europe, Moyen Orient et Afrique. Toutefois la rpartition dans les 52 pays montre que les tats-Unis sont en tte avec 533 certicats sur 1652, puis viennent la Chine avec 332, la Core du Sud avec 286, lInde 126, Tawan avec 83, puis le Mexique, le Royaume Uni, le Canada avec plus de 20, le Japon, Hong-Kong, lAllemagne et la France avec plus de 10. Toutefois, il prend en compte le fait quune partie importante des localisations europennes concerne surtout des certicats mis essentiellement aux tats-Unis. Les certicats sont dlivrs pour 99 % des socits de moins de 5 000 personnes et surtout celles de moins de 250 personnes. Depuis 2006, le nombre de certicats diminue. Ceci est d dune part des fusions dorganismes et dautre part des regroupements, pour raison defcacit, de plusieurs units ou sites sur un mme certicat. En France la liste des socits certies ne contient que des liales de groupes Amricains (ou fortement implants en Amrique) et Asiatiques. Il sagit dAlcatel-Lucent avec sept sites, Fujitsu, Motorola, Nortel avec trois sites, Flextronics International USA, Ulticom Inc, Interphase Corporation, Sanmina-SCI et Avanex. La dlocalisation rduit le nombre de sites certis en France. La rpartition des 149 membres du QuEST Forum est de 24oprateurs dont Bouygues Telecom et France Tlcom, 84 fournisseurs dont Alcatel-Lucent et 41 organisations de liaisons.

1. http://www.tl9000.org/registration/registered_companies.html

TL 9000

179

On saperoit donc que limpulsion pour la mise en uvre du TL 9000 vient des socits situes aux tats-Unis et stend surtout aux fournisseurs et sous-traitants (et quelques oprateurs) amricains et asiatiques. Le TL 9000 est moins utilis en Europe et en Amrique du Sud. De mme que lISO 9001 sur lequel il est fond, ce dispositif concerne tous les processus de lentreprise. La mise en uvre dun certain nombre dexigences requiert une formation sur des sujets comme la connaissance des concepts damlioration de la qualit et les comptences ncessaires la qualication des oprateurs. QuEST Forum a accrdit des fournisseurs de formation qui ont accs aux supports de formation ofciels du QuEST Forum, ce qui leur permet de former des valuateurs TL 9000 internes et externes. Le QuEST Forum est garant du choix des organismes certicateurs. Une liste des organismes accrdits pour dlivrer un certicat de conformit au TL 9000 est disponible sur le site du QuEST Forum. Les certicats mentionnent le nom TL 9000, lidentication de lentreprise audite et le champ de la certication (les catgories de produit, les types dactivits et les spcicits des matriels, des logiciels ou des services). Comme pour lISO 9001, les entreprises doivent mettre en place un dispositif daudit interne pour vrier lapplication du TL 9000 et respecter les exigences de mesurage. Les auditeurs internes doivent tre forms. La dure dun audit est prcise dans la documentation disponible sur le site du QuEST Forum : elle varie en fonction de la taille de lentit audite, normalement entre un et deux jours, mais entre un et trois jours pour un audit initial. Le manuel des exigences prcise le nombre de jours ncessaires lauditeur pour raliser une valuation tierce partie. Lauditeur TL 9000 peut raliser laudit ISO 9001 en mme temps que laudit TL 9000 moyennant un allongement minime de la dure de laudit. Aprs lobtention du certicat, lentreprise doit collecter des mesures sur une base mensuelle et les introduire dans la base de donnes Measurement Repository System . Un audit de surveillance est ralis tous les ans et un audit de renouvellement tous les trois ans. Les auditeurs externes doivent tre accrdits. Diffrents organismes, selon le pays, accrditent les auditeurs. Au 20 mars 20091 , des organismes accrditeurs se trouvaient essentiellement aux tats-Unis mais aussi en Core du Sud (8), en Chine (4), au Canada (2), en Allemagne (1), en Autriche (1), au Japon (1) et aux Pays-Bas (1). La liste des auditeurs est mise jour sur le site du QuEST Forum.

1. http://www.tl9000.org/registrars/overview.html

180

Chapitre 29. TL 9000

Retour dexprience
Bruno R UBY de la socit Bouygues Telecom dclare : En permanence la recherche de la meilleure performance pour satisfaire ses clients, Bouygues Telecom veut gnraliser la mise en uvre de la norme de management qualit TL9000 dans sa relation avec ses principaux fournisseurs. En particulier, Bouygues Telecom est persuad que lutilisation des indicateurs qualit normaliss du TL9000 est un moyen efcace pour dnir en commun et matriser latteinte dobjectifs qualit signicatifs dans le contexte dun contrat avec un fournisseur . Marc VANDENBERGHE de la socit Belgacom explique : La mise en uvre du dispositif ne ncessite en principe que les deux manuels du TL 9000. Toutefois, la connaissance de lISO 9001 est incontournable pour la mise en uvre puisque le manuel des exigences est fond sur lISO 9001. Chaque organisation ayant obtenu un certicat TL 9000 est oblige de soumettre priodiquement les rsultats de ses mesures et indicateurs dans le Measurement Repository System. Ceci rend aux membres du QuEST Forum de vraies opportunits de Benchmarking parmi toutes les organisations enregistres, leur permettant de dnir des objectifs pour les diffrents critres de performance . Le principal avantage de la certication TL 9000 est de donner lentreprise le moyen de traiter de manire consolide diffrentes exigences contractuelles et de limiter ainsi les ressources ncessaires pour raliser les comptes rendus fournir aux clients. Jusqu prsent, les oprateurs et fournisseurs franais nont pas t trs preneurs de ce dispositif. Bien que la situation semble voluer vers une plus grande prise en compte du TL 9000, on note toujours labsence dun organisme franais daccrditation.

DEUXIME PARTIE

Analyses et perspectives
Dans cette seconde partie nous dgageons des lignes de force en matire de dispositifs de reconnaissance pour les prochaines annes. Comme le disait Pierre Dac : Il est toujours prsomptueux de faire des prvisions, surtout en ce qui concerne lavenir . Cela est vrai dans un monde en constante volution. Nous avons observ plusieurs changements majeurs :
le dploiement incontournable des dispositifs de certication de personnes ; limportance croissante de la certication en management de projet ; la prise en compte de la scurit de linformation vhicule au travers du SI ; lmergence de nouveaux dispositifs portant sur les systmes de management du

service ; la prise en compte du concept de gouvernance incluant le poids de plus en plus fort pris par les exigences lgales et rglementaires ; le souci croissant de la responsabilit sociale de lentreprise dans une perspective de dveloppement durable. Comment ces grandes tendances vont-elles cohabiter ? Sont-elles compatibles ou concurrentes ? Quelques questions resteront sans rponse. chacun de se forger son opinion.

30
Regard sur la certification de personnes

Les dispositifs de certication de personnes, pour la plupart en provenance du monde anglo-saxon, se sont multiplis ces dernires annes. Ils viennent complter les cursus universitaires et accompagnent dsormais lindividu tout au long de sa carrire.

30.1 GNRALITS
Une norme europenne prend actuellement de plus en plus dimportance. Il sagit de la norme ISO 17024, relative laccrditation des organismes de certication procdant la certication de personnes. Lorganisme de certication doit tre indpendant des intrts des parties concernes, assurer leur reprsentation, dnir des exigences de comptences uniformes pour tous et mettre jour ces exigences en fonction des volutions de la technologie et de la rglementation. Il doit rester responsable de lattribution de la certication, de son renouvellement, de sa suspension ou de son retrait. Il doit sassurer tout moment que ceux qui prennent la dcision de certication nont pas particip lexamen, ni la formation du candidat et garantir une totale condentialit. Lvaluation doit employer des mthodes quitables, valables et ables, sassurer que tous les critres de connaissances sont valus de manire objective et systmatique, avec des preuves sufsantes. Quant aux examinateurs, ils doivent fournir les mthodes et documents dexamen, tre comptents par rapport au domaine examiner, savoir bien communiquer lcrit et loral, et tre libres de tout intrt ou conit potentiel.

184

Chapitre 30. Regard sur la certification de personnes

La plupart des dispositifs de certication de personnes tudis dans cet ouvrage certient conformment la norme ISO 17024 : AFITEP-CDP, AFITEP-CGP, CISSP de l(ISC)2 , CISA, CISM, testeur de logiciel par le CFTL, PMP (obtenu par le PMI en 2007). La formation Prince2 est accrdite par lAPMG, qui elle-mme est accrdite par lUKAS (United Kingdom Accreditation Service). Bien que la certication ITIL ne fasse pas rfrence la norme ISO 17024, le processus dcrit dans lITIL Qualication Scheme1 semble donner les garanties ncessaires, lAPMG, accrditeur ofciel de ce dispositif reconnaissant les organismes conformes lISO 17024. On saperoit quen France cette norme est devenue une exigence dans la plupart des dispositifs de certication de personnes. Faire appel un organisme qui respecte la sparation entre formation et examen est important, mais un autre critre doit servir de guide dans le choix dun organisme de formation : celui des comptences du formateur. La consultation des statistiques de russite aux examens peut indiquer un cart important dun formateur lautre. Il est prfrable den tenir compte lorsquon veut se prparer de manire efciente. Enn, il ne faut pas ngliger la valorisation du salari par la certication. Ceci peut devenir une arme double tranchant pour lentreprise en faisant reconnatre de manire externe la qualit dune personne sur le march du travail, mais cela donne aussi un avantage concurrentiel lentreprise qui ralise des projets pour des clients.

30.2 UTILISABILIT COURT TERME OU EMPLOYABILIT PAR ALTERNANCE ?

En France, nous assistons quasiment impuissants ce mouvement de certication de personnes venant du monde anglo-saxon. La comptence professionnelle devient ainsi lobjet dune reconnaissance formelle par une certication spcique de chaque domaine. Nous sommes maintenant habitus aux certications SAP pour les consultants qui installent ce progiciel, ou Microsoft pour les dveloppeurs qui utilisent les outils de cet diteur. Aujourdhui, se faire certier ITIL est lune des faons de dmontrer sa comptence en matire de gestion dun centre informatique. Vu le taux dchec des projets, certaines entreprises commencent exiger de leurs chefs de projet ou de leurs sous-traitants une certication en management de projet. Parmi celles-ci, les plus rpandues sont actuellement celles de lAFITEP, du PMI et PRINCE2. Demain, pour raliser des tches dingnierie du logiciel, il faudra probablement tre certi conformment au corpus de connaissances en ingnierie du logiciel, SWEBOK (ISO 19759). Ds prsent la certication de testeurs de logiciels existe.

1. lexception des normes, tous les documents cits en italique dans le texte sont repris dans les rfrences bibliographiques.

30.3 Problmatique de langue ou de culture ?

185

Dans le domaine de lingnierie, la pression du march est telle quavant mme que lINCOSE (International Council on Systems Engineering) ait nalis le corpus de connaissances en ingnierie systme appel SEBOK System Engineering Body of Knowledge, il a tabli ds lanne 2004 la certication des ingnieurs ou architectes de systmes (Certication Systems Engineering Program, CSEP). Les premiers certicats ont t distribus : n mai 2006, on en comptait plus de 70. Le certicat sobtient en passant un examen qui dure 2 heures et comporte 120 questions bases sur le INCOSE SE Handbook. Pour tre ligible, il faut justier de plus cinq ans dexprience en ingnierie systme. Le certicat est valable trois ans et doit ensuite tre renouvel en justiant de points PDU (voir chapitre PMBOK). Des organismes amricains dducation se sont dj intresss ce programme. Par exemple en matire de mthode, lObject Management Group (OMG) a mis en place un programme de certication de personnes sur la base du standard UML 2.0 dont il est le propritaire. La certication de la qualit des produits, de la matrise des processus et des systmes de management nous est devenue familire. Pourquoi donc craindre celle des personnes ? Il est probable que les diplmes ne seront bientt plus sufsants pour exercer un mtier. partir de ce constat, deux sries de questions se posent :
La formation initiale ne risque-t-elle pas dtre dvalorise face la formation

professionnelle souvent tourne vers le court terme et la matrise de tel ou tel outil, plutt que vers la comprhension des mcanismes de conception ? Tant vante par nos politiques, lemployabilit ne risque-t-elle pas de souffrir de ce phnomne au prot unique de lutilisabilit immdiate de la ressource humaine ? Ne doit-on pas considrer ce phnomne comme une spcialisation de la formation initiale trop gnrale pour les besoins en entreprise ? Ne soriente-t-on pas vers une forme dalternance entre enseignement suprieur et entreprise ? Nous constatons que certains certicats peuvent tre longs obtenir. Par exemple, la CGP de lAFITEP a un cursus de certication qui ncessite au minimum trois annes dexpriences pour un ingnieur diplm et huit annes pour un non diplm. Le monde de lenseignement suprieur devrait intgrer dans sa stratgie de dveloppement un partenariat avec une ou plusieurs associations professionnelles pour prparer les tudiants lobtention des certicats. Un exemple est donn par lcole suprieure de commerce de Lille. Dans le cadre du mastre spcialis Management de projets et programmes, cette cole propose ses lves le passage aux certications PRINCE2 et PMP. Pour se faire, elle a conclu des accords de partenariat avec les organismes de tutelle. Il en est de mme entre lAFAI dune part et ParisIX et lIAE dautre part. Libre choix est alors donn aux tudiants pour dcider de leur orientation.

30.3 PROBLMATIQUE DE LANGUE OU DE CULTURE ?

Dans la mesure o bon nombre de ces certications sont dorigine anglo-saxonne, certains examens qui les sanctionnent doivent tre passs en anglais. Plancher sur

186

Chapitre 30. Regard sur la certification de personnes

une tude de cas pendant trois heures ncessite un minimum daisance dans cette langue. Les candidats qui ne matriseraient pas correctement la langue de Shakespeare subiraient-ils un handicap ? Sans doute. Mais, dans une preuve dexamen il ne suft pas de traduire. Cela conduit le plus souvent rdiger de langlais dans un style franais, ce qui peut paratre lourd et primaire. Il faut plutt formuler des rponses comme les Anglo-Saxons ont lhabitude de le faire dans un style direct et prcis avec les termes exacts auxquels lexaminateur sattend. Prcisons que cette rfrence la notion de terme exact est ofciellement mentionne dans les preuves de niveau Managrial-ITIL. Il est galement indispensable de savoir penser son sujet la faon britannique. Cela relve donc plus dun mode de comportement issu dun systme ducatif que dun simple problme de linguistique. Ceci dit, de plus en plus dexamens sont traduits en franais. La difcult peut rsider dans la qualit de la traduction de certains termes techniques. Quelle que soit lapproche retenue par lorganisme accrditeur, il est clair que toute certication na lieu dtre que si elle dispose dune certaine reconnaissance au niveau international. Lutilisation de la langue anglaise est incontournable. Il est srement plus agrable de prparer un examen dans sa langue maternelle, cela donne plus de chances de russite en permettant de se concentrer davantage sur le fond que sur la forme, grce la comprhension de la langue. Il est vrai quil faut aussi tenir compte de laspect culturel. Mais lutilisation de langlais doit devenir une seconde nature. Et l, force est de constater quen France, nous avons un trs grand retard en la matire. Selon une tude parraine par lducation nationale et mene en 2002 auprs de 12 000 lves dans sept pays europens : au Danemark, en Finlande, au Pays-Bas, en Norvge, en France, en Espagne et en Sude, les jeunes Franais gs de 15 16 ans sont en Europe ceux qui matrisent le moins bien la langue anglaise. Une question reste alors pose. Doit-on sinquiter de cette situation compte tenu quune majorit de certicats aujourdhui se prparent en anglais ? Si oui, dans quelle mesure peut-on redresser le cap ? Il est difcile dy apporter une rponse immdiate. En effet, concernant lenseignement des langues trangres, le malaise semble tre profond et le remde complexe.

30.4 POUR QUEL NIVEAU DEXPERTISE ?

Lobtention dune certication apporte-t-elle la garantie dune meilleure dexpertise. ? Voici une question lgitime pose par bon nombre de responsables de services, compte tenu du cot non ngligeable des formations. Pour y rpondre, il faut considrer deux aspects :
la dmarche retenue par les organismes de certication ; les modalits dvolution du cycle de vie du rfrentiel.

Concernant le premier point, les organismes de certication ont le choix entre deux orientations.

30.4 Pour quel niveau dexpertise ?

187

Certains dentre eux sattachent valuer et tester uniquement la connaissance. La plupart du temps, ils considrent que cette connaissance est la mme quel que soit le pays. Il suft alors de constituer un questionnaire ou une tude de cas. Ils peuvent les faire traduire, ou les faire appliquer en anglais. Mme si cest moins vrai aujourdhui, cela a t souvent loption choisie par les dispositifs dorigine anglosaxonne tels que PMP, PRINCE2 ou ITIL. Pour un candidat libre, un tel examen exigera un entranement particulier pour matriser les tournures de style attendues par lexaminateur. Pour les organismes denseignement suprieur qui intgrent ce type de certication, le responsable du cursus devra concevoir son programme travers une dynamique dquipe centre autour du certicat en tant quobjectif commun. Il fera en sorte que le professeur danglais soit impliqu dans le processus ds llaboration du programme. Ce dernier aura un rle daccompagnateur dans le cursus en utilisant langlais comme langue de travail et de communication sur le sujet concern. Une double comptence sera la bienvenue pour tenir ce rle. Dautres organismes de certication pensent que tester la connaissance nest pas sufsant. Il faut aussi savoir valuer la mise en application des acquis. Il ne sagit plus dvaluer seulement le savoir, mais aussi le savoir-faire, voire le savoir tre de lindividu. Dans ce dessein, lpreuve de certication doit pouvoir sadapter aux diffrentes cultures dans la langue du pays. Cest par exemple loptique de lIPMA. Dans ce cas, le principe est simple. Il y a tout dabord ngociations entre lorganisme international (IPMA) et lorganisme national (AFITEP pour la France) charg de faire appliquer la certication dans son pays. Ces ngociations portent sur un cursus adapt la culture du pays selon des rgles prtablies par lorganisme international pour conserver la cohrence densemble. Ds laccord conclu, le processus de certication peut tre mis en uvre. Lexprience est alors prise en compte sous forme datelier de mise en situation ou de soutenance de mmoire partir dun projet rel. Pour valuer un candidat, le jury portera toute son attention sur la mise en pratique de sa dmarche dans un contexte vcu. Cela implique quil devra galement intgrer dans son apprciation toutes les contraintes externes, dont la culture dentreprise. Notons que la prparation aux certicats seffectue alors dans la langue du candidat. Second aspect considrer pour apprcier la valeur dune certication, celui de lvolution des rfrentiels. La plupart des organismes de certication font en effet voluer leur rfrentiel. Ces volutions se matrialisent par un changement de version. Trs souvent, elles sont laboutissement dun projet, soutenu par une campagne de communication. Le propritaire du rfrentiel ne doit pas sous-estimer limportance de cette campagne, sil veut voir les utilisateurs concerns sapproprier le nouveau modle. Un bon exemple est celui du passage de la version 2 la version 3 dITIL. Le retrait de la version 2 dITIL tait programm pour dcembre 2008. Or cela na pu se faire, du fait de la pression des techniciens et ingnieurs appliquant la mthode. Dans sa version 2, le rfrentiel avait t conu sur une approche processus. Dans sa nouvelle version, il est dni sur la base du cycle de vie du service rendu. Ce que montre le schma suivant.

188

Chapitre 30. Regard sur la certification de personnes

Figure 30.1 Positionnement V2 V3 du systme ITIL

Les concepteurs de la V3 ont estim que le pilotage et le contrle du systme devaient davantage porter sur le service rendu que sur le processus lui-mme, supposant que linterconnexion entre les services et les processus serait comprise assez naturellement. Ce nest pas si simple. Force est de constater que bon nombre dacteurs ne sapproprient pas le nouveau systme aussi aisment quon aurait pu le penser. En consquence, des cours V2 continuent tre planis tout au long de lanne 2009. Malgr tout, la version 3 devrait pouvoir simposer ; lorientation cycle de vie des services positionnant ITIL au plus prs des exigences mtiers du client et des contraintes lgislatives et rglementaires du march. Reste aux formateurs convaincre les intresss du bien fond de la nouvelle volution. La plupart des candidats ont lexprience de la version prcdente et deviennent de ce fait plus critiques vis--vis du systme. Lappropriation et le succs du rfrentiel reposent ainsi pleinement sur la qualit des formations donnes.

30.5 ET COMMENT OPTIMISER CETTE EXPERTISE ?

Reste alors une question. Comment une organisation peut-elle pleinement proter des connaissances acquises par tout nouveau certi ? Cela pose la question du partage des connaissances ou plus exactement de la gestion de ce partage. En fait, il ne suft pas de faire certier des individus pour avoir un retour

30.5 Et comment optimiser cette expertise ?

189

plus ou moins immdiat sur la mise en application de tel ou tel sujet. Il faut aussi tenir compte du comportement de chacun, de la culture dentreprise, autant de paramtres pouvant tre des facilitateurs ou des freins au changement. Aussi, il importe de mettre en place des mesures daccompagnement tel que le coaching par exemple, pour que la connaissance du sujet puisse tre partage et applique de faon collgiale et cohrente dans les faits. L encore, cela ne dcoule pas de soi. Il faut donc sattendre ce que, dans un futur proche, ce ne soit plus vraiment la certication des personnes qui sera au centre des proccupations mais bien le transfert de la connaissance. Lorganisme utilisateur devra pouvoir prouver quil applique rellement les bonnes pratiques du modle choisi. La capitalisation du savoir et sa gestion (intgration, transmission, partage et appropriation) devraient tre lenjeu de ces prochaines annes au sein de toute organisation, la ncessaire mise niveau des connaissances tant aussi un levier pour lamlioration continue.

31
Regard sur le management de projet

Ce chapitre compare les diffrents dispositifs de certication de personnes dans le domaine du management de projet. Lexamen de leurs complmentarits facilite le choix du dispositif le plus appropri son contexte.

31.1 CHOIX DU DISPOSITIF

Une tude du Giga Group, souvent cite et jamais dmentie depuis, annonait en 2002 que plus de 70 % des projets dentreprise natteindraient pas leurs objectifs ! Mener un projet nest pas facile. Cest pourquoi entre le milieu des annes 1960 et le dbut des annes 1980, plusieurs organismes se sont crs pour dnir des rfrentiels. Aujourdhui en France, trois dentre eux se partagent le march :
lAPMG accrdite par lOGC pour grer PRINCE2 et qui annonce 250 000

certis niveau praticien, avec 120 organismes de formation accrdits dans le monde ; le PMI organisme amricain qui dlivre la certication PMP, dont les membres sont rpartis dans 125 pays et qui revendique plus de 250 000 certis ; lAFITEP, association francophone, accrdite par lIPMA pour le dispositif de certication en direction de projet sur la base de lIPMA Competence Baseline et par lICEC pour le dispositif de certication en gestion de projet. Ces accrditations donnent une valeur internationale la certication qui est reconnue dans 38 pays.

192

Chapitre 31. Regard sur le management de projet

Pour promouvoir son rfrentiel, chacun a mis en application son dispositif. Comment ces dispositifs se positionnent-ils les uns par rapport aux autres ? Sont-ils concurrents ou au contraire complmentaires ? Faut-il sorienter vers un dispositif prcis ou plutt se positionner sur deux dispositifs en choisissant le meilleur de chacun deux ? Le tableau 31.1 compare les dispositifs de management de projet selon trois axes et apporte ainsi une bauche de rponses ces questions. Laxe Principes de base dcrit lorientation globale du dispositif. Laxe Organisation du projet explique comment sont traits le processus global du dispositif (gestion des phases), lencadrement et le pilotage, le dmarrage et la clture du projet. Enn, laxe valuation rsume le dispositif de certication.

31.2 CONCURRENCE OU COMPLMENTARIT ?

Les dispositifs de management de projet sont-ils en concurrence ou sont-ils complmentaires ? Un rfrentiel peut traiter le management de projet comme une entit de gestion, la problmatique est alors vue sous langle restreint de lorganisation ou de la planication, ou adopter une approche plus encyclopdique partir de connaissances largies dautres domaines. Un modle dvaluation peut se contenter destimer les connaissances en management de projet du candidat ou chercher en plus valuer ses comptences partir de ses expriences en management de projet. Une telle situation rend les dispositifs trs complmentaires les uns par rapport aux autres. En reprenant les donnes du tableau 31.1, il est alors intressant de positionner chaque dispositif par rapport aux axes Dmarche et valuation de la gure 31.1. En analysant les retours dexprience, nous observons que les personnes provenant du monde des tudes et de la conception ont tendance privilgier le dispositif du PMI alors que ceux de la production sorientent vers PRINCE2. Comment les entreprises se positionnent-elles par rapport cette conguration ? Jusqu une priode rcente, le dispositif reconnu tait celui du pays dorigine. Ainsi les chefs de projet amricains se faisaient certier PMP par le PMI, les Britanniques selon PRINCE2 et les Franais ne connaissaient que lAFITEP. Mais depuis quelques annes, les dispositifs sexportent. PMP a t le premier faire une perce consquente en France, peut-tre parce quil a t le premier tre traduit en franais. PRINCE2 commence tre utilis par le biais des entreprises britanniques qui ont des units en France et il est aujourdhui galement traduit en franais. De plus, les chefs de projet nhsitent plus sappuyer sur plusieurs dispositifs. Trois tendances semblent merger : lapproche mthodologique, lvaluation des connaissances et lvaluation de la maturit. Lapproche mthodologique consiste associer les spcications du PMBOK avec celles de PRINCE2 pour concevoir, suivre et valuer ltat davancement dun projet.

Tableau 31.1 Comparatif des dispositifs de certification en management de projet PMP

PRINCIPES DE BASE Approche fonde sur 42 items et sur des lments dapprciation du comportement. Le rfrentiel dcrit les connaissances et lexprience attendues chaque niveau de certification et complte ainsi le dispositif. La diffrenciation par niveau distingue les projets complexes (niveaux A et B), des autres plus standard (niveau C) ; le niveau D value uniquement des connaissances. Pas de rfrentiel commun aux dispositifs accrdits. En France, sa mise en uvre est fonde sur le FD X50-107. Il se focalise sur la planification, les investissements et la cotenance.

31.2 Concurrence ou complmentarit ?

PRINCE2

CDP

CGP

Prince2 est une mthode pour grer un projet dans une dmarche client fournisseur. Ce cycle est dcoup en six processus : laborer le projet ; initialiser le projet ; contrler une squence ; grer la livraison des produits ; grer les limites de squences ; clore le projet. Lensemble est encadr par les processus transverses de management de projet : planification et pilotage. ORGANISATION DU PROJET Processus Le cycle de dveloppement du projet est vu comme un enchanement de phases : une phase est une tranche dtermine du projet qui est rationnellement isole des autres. Le concept est plus global que celui du PMBOK dans la mesure o une phase ne fait quinclure un ensemble cohrent dactivits et de livrables de faon atteindre des objectifs communs. Une phase est dlimite par des jalons de prise de dcision. LAfitep sappuie sur un principe dorganisation le phasage de projet spcifique des branches industrielles ou de type de projet.

Le management de projet est dcompos en cinq groupes de processus : de linitialisation de laction projet jusqu sa terminaison formelle en passant par lexcution et le contrle de laction dans une logique qualit PDCA. Le management est aussi dcrit comme un ensemble de connaissances (neuf domaines de connaissance) et de comptences, reposant sur une saine gestion de projet.

Le projet est une action en environnement contrl et donc tout naturellement, il y aura un dbut contrl (laborer le projet et linitialiser), une excution contrle (dans lequel on sattache traiter le projet en termes de squence) et une fin de squence contrle. Il distingue les tapes techniques des tapes de management. Les tapes sont obligatoires mais leur nombre varie selon les spcifications du projet

PMI met en avant la technique de dcomposition, un projet se dcomposant en phases, la phase pouvant elle-mme se dcomposer en tapes. Le dveloppement du projet de chaque phase, voire de chaque tape met en uvre les cinq groupes de processus : dmarrage ; planification ; excution ; matrise des cots ; clture.

Identique au CDP.

193

194

Tableau 31.1 Comparatif des dispositifs de certification en Management de Projet (suite) PMP
ORGANISATION DU PROJET Rles et encadrement Le chef de projet est une partie prenante, cest--dire un acteur qui a un intrt dans la russite du projet, ceci au mme titre que le client, lutilisateur du produit ou la banque. Ce dispositif accorde plus de poids aux aptitudes quaux connaissances ncessaires. Limportant est ce que le chef de projet doit tre capable de faire ; la dfinition de son rle passant au second plan. Il sagit dapprcier les connaissances et qualits que doit possder le chef de projet. En consquence, le dispositif comprend un systme dvaluation du comportement personnel en plus des 42 lments de connaissances. Le dispositif insiste sur le fait quil faut dfinir des instances de dcision pour la bonne marche du projet. Le lancement est trait dans la premire phase du projet par le processus dinitialisation. Cest une activit de mobilisation durant laquelle les objectifs, le primtre du projet, les procdures de travail et la planification initiale doivent tre dfinis. La charte de projet est initialise durant cette phase. Le projet dmarre par une expression de besoin formelle. Sans objet. Sans objet.

PRINCE2

CDP

CGP

Le processus de pilotage du projet institue deux niveaux dencadrement : le comit de pilotage projet constitu par lquipe de direction du projet ; il est anim par un dcideur (Excutif) qui a toute autorit sur le projet ; le chef de projet qui est mandat pour excuter leurs dcisions. Il remplit une fonction dassistance au client. Diffrents rles de management de projet sont clairement dfinis dans le rfrentiel.

Le chef de projet est la personne responsable de la gestion du projet. Les rgles permettant au chef de projet dtablir les rles et responsabilits ainsi que les affectations sont dfinies dans le cadre de la planification organisationnelle de la gestion des ressources humaines. Le chef de projet assure une fonction de fournisseur de service. Le rfrentiel ne dit pas ce quil faut tablir mais comment ltablir.

Dmarrage

Chapitre 31. Regard sur le management de projet

Lors de la phase dinitialisation, le projet est confirm (ou infirm) en fonction des conclusions du cas daffaire (Business Case) qui documente les justifications du projet (conomiques ou autre). Le projet sera ensuite gr selon ce cas daffaires

Le dmarrage est avant tout le processus qui dcide de lexistence du projet, donnant ainsi lautorisation de poursuivre les phases. Le rsultat du dmarrage inclut une charte projet. Un chef de projet est nomm, les contraintes sont dfinies et les hypothses identifies avec leurs facteurs de risques.

Tableau 31.1 Comparatif des dispositifs de certification en management de projet (suite) PMI
CLTURE La clture du projet a pour finalit de valider les produits livrables au client et de formaliser le retour dexprience. Sans objet.

31.2 Concurrence ou complmentarit ?

PRINCE2

CDP

CGP

La clture du projet est la phase finale permettant de mettre fin de manire contrle au projet. Le comit de pilotage du projet donne lautorisation de clture.

La clture du projet est prvue ds linitialisation (critres dachvement). Cest, une activit de vrification et de contrle des lments en vue dune acceptation formelle du produit final livrer. Elle inclut la clture administrative du projet. Cest aussi loccasion de formaliser le retour dexprience. VALUATION Systme quatre niveaux destin valuer les connaissances, lexprience et le comportement du candidat. Le niveau D (assistant de projet) sobtient en rpondant des questions ouvertes compltant les 24 questions fermes. Le niveau C (responsable de projet) prvoit en plus un atelier ou un mmoire, ainsi quun entretien oral. Les niveaux A (directeur de projet) et B (chef de projet) reposent sur la soutenance dun mmoire fond sur un retour concret dexprience, un entretien et une vrification des connaissances. La candidature aux examens des niveaux A, B ou C ncessite la prsentation dun dossier.

Systme simple deux niveaux destin tester les connaissances : 1. le niveau fondamental est entrin par une preuve sous la forme de QCM livre ferm qui dure une heure ; 2. le niveau praticien est sanctionn par un examen de 3 heures livre ouvert qui comporte trois questions relatives un scnario de projet.

Systme dvaluation deux niveaux destin tester les connaissances : la certification CPAM (assistant chef de projet) valide les connaissances et savoir faire sur les techniques et outils de management de chef de projet ; la certification PMP confirme les comptences, connaissances et savoir faire en management de projet et valorise lexprience professionnelle.

Systme trois niveaux destin valuer les connaissances et lexprience. Le certificat de base est commun avec celui de lAFITEP CDP : cest le certificat dassistant de projet. Ensuite tout candidat doit tre qualifi aux trois units de valeur de planification, estimation et cotenance. Chaque unit est sanctionne par un examen reposant sur un QCM et une tude de cas. Lorsque le candidat a obtenu ses trois certificats, il devient ligible pour prparer son mmoire de certification. 195

196

Chapitre 31. Regard sur le management de projet

Figure 31.1 Positionnement des quatre dispositifs en Management de Projet

On considre que le PMBOK apporte un corpus de connaissances ncessaire au chef de projet. PRINCE2, par sa structure organisationnelle, dcrit surtout ce que doit savoir et faire un chef de projet pour organiser ou contrler un projet en optimisant les relations avec le client. Les deux approches se compltent plus quelles ne sopposent. Lvaluation des connaissances permet au candidat de faire reconnatre son exprience au sein de son entreprise ou de donner lassurance de ses comptences ses clients. En France, de nombreux chefs de projet dmarrent leur cursus par le PMP et le poursuivent avec lAFITEP-CDP. Ici, la complmentarit sexprime non pas en fonction dune combinaison de deux dispositifs, mais comme une extension de lun vers lautre. Lvaluation des maturits permet dassocier les concepts du PMBOK ou PRINCE2 avec le modle dvaluation du PMI. Loin de se faire concurrence, les dispositifs existants ont plutt tendance se complter. Ceci est rendu possible par des quivalences que les organismes de certication tablissent entre eux. Mais ils rpondent chacun une problmatique spcique. Ainsi PRINCE2 met plus laccent sur la justication conomique du projet, alors que le PMI le fait sur le planning. Quant au CDP, il sattache plus particulirement au respect des objectifs. Il en ressort un certain nombre dlments clefs supports par chaque rfrentiel, ainsi que le prsente la gure 31.2.

31.2 Concurrence ou complmentarit ?

197

Figure 31.2 Les points clefs des trois principaux dispositifs en Management de Projet

32
Regard sur la scurit

Arriv plus tardivement que la qualit dans le paysage de la reconnaissance professionnelle, le thme de la scurit mrite une attention particulire. Dans les paragraphes suivants, nous avons analys plus nement les dispositifs relatifs la scurit ainsi que les diffrents aspects qui sy attachent.

32.1 SCURIT OU SCURITS ?

La scurit est au cur des proccupations des entreprises, de leurs clients, actionnaires et fournisseurs. Les rfrentiels et dispositifs relatifs la scurit se sont dvelopps ces dernires annes avec lapparition de nouvelles normes et de nouveaux certicats. Il est dsormais question de systme de management intgr QSE, permettant daborder le management de lentreprise de faon globale, dans une dmarche damlioration unie. Mais ne nous y trompons pas, le terme scurit est polysmique : les diffrents dispositifs prsents nont pas forcment les mmes objectifs. Dans le domaine des systmes dinformation le S (pour scurit) de QSE est typiquement un faux ami car il fait rfrence la norme OHSAS 18001 qui porte sur lhygine et la scurit au travail. Lexpression systme de management de la scurit utilis dans ce contexte peut prter confusion avec un systme de management de la scurit de linformation (ISMS). Il convient donc danalyser les dispositifs relatifs la scurit suivant deux axes : le type de risque matriser avec la nature des objets protgs et lobjet de la reconnaissance. Le tableau 32.1 prsente les risques couverts par les diffrents dispositifs.

200

Chapitre 32. Regard sur la scurit

Tableau 32.1 Risques couverts par les dispositifs scurit Le risque Perte de continuit de lactivit Les objets protgs Dispositif BS 25999 (non prsent dans les fiches) DRI (non prsent dans les fiches) Perte de disponibilit, intgrit, Les biens et services confidentialit informatiques des informations Objet de la reconnaissance Systme de management de la continuit de service Personne physique pour ses comptences en matire de continuit dactivit Personne physique pour ses comptences en matire de scurit informatique

Lentreprise

CISSP

CobiT : CISA et CISM ISO 27001 Inefficacit de dispositifs de scurit informatique Systme de management de la scurit informatique Produits de scurit : pare-feu (firewall), antivirus...

Le systme dinformation

Critres communs ITSEC

SSE-CMM

Niveau de maturit du systme de management de la scurit informatique Personne morale pour ses rsultats financiers Personne morale pour la protection des donnes personnelles Systme de management de la scurit

Risque de fraude Risque financier Divulgation de donnes personnelles Risque professionnel

Les finances de lentreprise Lintrt des actionnaires Les donnes personnelles Les personnes physiques dans leur activit de travail

Loi de scurit financire / loi Sarbanes-Oxley GoodPriv @cy (non prsent dans les fiches) OHSAS 18001 (non prsent dans les fiches)

32.2 PRODUITS CERTIFIS

En matire de produits, le schma franais dvaluation et de certication sappuie sur les ITSEC et les Critres communs. Le dcret n 2002-535 du 18 avril 2002, relatif lvaluation et la certication de la scurit offerte par les produits et les systmes des technologies de linformation, en dnit le contexte rglementaire et lorganisation.

32.3 Scurit des systmes dinformation

201

32.3 SCURIT DES SYSTMES DINFORMATION

La mise en place de mesures pour garantir la scurit des systmes dinformation est devenue une obligation incontournable. Nous trouvons dans ce domaine des documents, spciques ou non la scurit, qui sappliquent aux produits, aux processus ou lentreprise. Prenons, par exemple, la norme ISO 9001 : le mot scurit ny gure pas. Or, la scurit informatique est lun des processus de lentreprise qui doit tre identi, au mme titre que les autres, car il est ncessaire la mise en uvre dun systme de management de la qualit. Comment concevoir un systme de management de la qualit qui laisserait le champ libre la fraude, qui ne traiterait pas de la scurit ? Dailleurs, la norme exige que le produit soit prserv et cela suppose sa protection. Il existe dsormais des normes ISO spcialises dans le domaine de la scurit : lISO 27001 pour les exigences et lISO 17799 en matire de recommandations. Ces normes couvrent diffrents aspects du traitement et de la protection de linformation dont :
la scurit du personnel ; la scurit physique et environnementale ; les problmes daccs et dauthentication ; la continuit de service.

On parle dsormais de systme de management de la scurit ou de systme de gestion de la scurit de linformation. Dans une optique de dmarche damlioration progressive, le SSE-CMM (ISO 21827) donne des indications sur les moyens damliorer les pratiques en matire dingnierie de scurit des systmes de la conception dun produit ou dun systme jusqu son retrait de service.

32.4 SCURIT FINANCIRE

Les textes lgislatifs, comme la Loi de scurit nancire en France et la loi SarbanesOxley aux tats-Unis, font de la protection de linformation une obligation lgale dont la responsabilit est du ressort de la direction de lentreprise, et plus seulement des techniciens qui uvrent autour des ordinateurs. Linformatique traite des ux nanciers de lentreprise sous tous leurs aspects et conditionne lexactitude des rsultats comptables. Le risque de fraude devient un risque majeur dans des entreprises qui ralisent une part croissante de leurs transactions nancires sur Internet. La continuit de lentreprise est conditionne par celle des services informatiques : la mise en uvre de Plans de continuit dactivits (PCA) englobe en ltendant celle des plans de secours informatiques prpars par les informaticiens.

202

Chapitre 32. Regard sur la scurit

De nouvelles certications sont ainsi apparues en matire de continuit dactivit :

le DRI (Institute for Continuity Management) propose cinq niveaux de certica-

tion de personne dans ce domaine : ABCP (Associate Business Continuity Professional), CBCV (Certied Business Continuity Vendor), CFCP (Certied Functional Continuity Professional), CBCP (Certied Business Continuity Professional) et MBCP (Master Business Continuity ProfessionaL) ; le BSI a dvelopp en 2006 et 2007 la norme BS 25999, future norme ISO sur le management de la continuit de service, dont les deux parties dcrivent dune part les bonnes pratiques et dautre part les exigences. Des certications sont proposes aux entreprises sur la base de la BS 25999-2, ainsi que des formations certiantes aux auditeurs et consultants. En France, le rfrentiel de bonnes pratiques BP Z74-700 : Plan de continuit dactivit (PCA) a t publi sur ce sujet par Afnor en fvrier 2007, mais na pas vocation servir de base une certication.

32.5 JUSTIFICATION DES COMPTENCES

Il ne faut pas oublier de certier les individus an de reconnatre leurs comptences en matire de scurit. Former et entretenir les comptences des personnes, cest utile et ncessaire ; exiger une certication, cest aller encore plus loin dans la rduction des risques en prenant une assurance contre lincomptence technique, mthodologique et managriale. Des certications de personnes en matire de scurit de linformation sont ainsi dlivres sur la base de CobiT. Nous avons prsent les certications de personnes CISA et CISM dans le cadre du dispositif CobiT, ainsi que la certication CISSP dans une che spcique, mais il en existe bien dautres, dont :
GIAC (Global Information Assurance Certication) ; CCSP (Cisco Certied Security Professional), certication de qualication tech-

nique en matire de scurit dont le programme est tabli par Cisco. Il inclut la scurit rseau, la dtection dintrusion, la mise en uvre de pare-feu et des antivirus. Le International Council of E-Commerce Consultants (EC-Council) ne propose pas moins de 19 certications diffrentes, sadressant de faon trs cible aux professionnels de la scurit : vous pouvez par exemple tre certi Hacker thique ou Dveloppeur dapplication scurise . Le dploiement aux tats-Unis des certications de personnes rpond un rel besoin dentreprises qui ne peuvent elles-mmes contrler le recrutement de spcialistes. Cela correspond sans doute galement une lacune des formations universitaires en la matire.

32.6 Risque professionnel

203

32.6 RISQUE PROFESSIONNEL

quels risques sont exposs les informaticiens ? Y aurait-il des maladies professionnelles spciques de linformatique ? Une mauvaise ergonomie du poste de travail informatique est la source de troubles musculaires et articulaires, de fatigue oculaire et de maux de tte. Le pourriel (spam) aurait suscit des cas de drapage srieux chez ses victimes. La paranoa serait une maladie professionnelle des informaticiens. En tout tat de cause, il parat indniable que les mtiers de linformatique engendrent un niveau de stress lev chez les professionnels. Cependant, aucun dispositif de reconnaissance spcique ne labellise, ce jour, les conditions de travail de linformaticien.

32.7 PROCESSUS ET BONNES PRATIQUES

Ce panorama des dispositifs en matire de scurit ne serait pas complet sans citer les rfrentiels de bonnes pratiques qui intgrent cette proccupation dans un cadre plus gnral. ITIL aborde la scurit en traitant du risque li lobligation de continuit de service dans le processus de gestion de la disponibilit. Lidentication et la gestion des risques font partie des bonnes pratiques gnriques de tous les dispositifs relatifs aux projets. Les risques datteinte la scurit des informations sont gnralement pris en compte de faon prioritaire, compte tenu de limportance de leur impact.

32.8 ORGANISATION DE LA SCURIT

La scurit doit tre traite la fois sur le plan technique et sur le plan organisationnel, lun ne pouvant tre efcace sans le support de lautre. La scurit des systmes dinformation dans lentreprise peut tre cone la DSI ou une Direction de la scurit des systmes dinformation (DSSI), ne dpendant pas forcment de la premire. La mise en place dun systme de management de la scurit informatique relve donc de lune ou lautre. DSI ou DSSI recruteront des experts en scurit disposant de certicats spcialiss justiant de leur niveau de comptences. Ils incluront dans leur processus dachat lexamen des certicats de produits scuritaires. En sappuyant sur un rfrentiel tel quITIL, ils pourront mettre en place les bonnes pratiques ncessaires la protection des donnes et la continuit de service et en vrieront leffet en surveillant les incidents touchant la scurit. Le contrle de la scurit informatique peut relever de la DSI, de la DSSI ou encore dune direction de laudit interne, directement rattache la direction gnrale et indpendante des deux premires. Quelle que soit lentit, celle-ci se proccupera de lensemble des risques nanciers et oprationnels en les intgrant dans un cadre plus large de gouvernance dentreprise. Les auditeurs informatiques seront gnralement recruts avec une double comptence valide par une ou plusieurs certications. CobiT

204

Chapitre 32. Regard sur la scurit

fournira les bases du rfrentiel daudit informatique qui pourra tre adapt en fonction des spcicits de lentreprise. Enn, le thme spcique de la protection des donnes personnelles pourra faire lobjet dune surveillance particulire avec la dsignation par lentreprise dun correspondant la protection des donnes personnelles ou dun correspondant informatique et liberts (CIL) charg du contrle de lapplication de la Loi informatique et liberts.

33
Regard sur le service

Initialement cantonns au monde industriel, les dispositifs de certication taient jugs peu adapts au monde du service et quasiment pas du tout celui des services informatiques. Nous assistons aujourdhui un nouveau phnomne : lmergence de rfrentiels ddis la fourniture de services. Sur le thme de la certication des systmes dinformation nous avons t amens prsenter des dispositifs de certication : de produit, de systmes de management de la qualit ou de la scurit, des comptences de personnes physiques. Mais quels rfrentiels touchent vraiment la certication du systme dinformation dans toutes ses dimensions ? Quel dispositif permet daccorder sa conance un prestataire de services informatiques ?

33.1 CERTIFICATION DU SERVICE

La dnition de mthodes prcde naturellement la mise en place de dispositifs vriant leur application. En matire de systme dinformation, les mthodologies ne se sont longtemps intresses quaux phases de construction, en dcrivant la dmarche projet et les cycles de dveloppement. Ces mthodologies visent matriser la construction dun produit logiciel. Or, le systme dinformation nest pas un produit, cest un processus au sens de lISO 9000 charg de fournir des services des clients internes ou externes, en rponse des besoins plus ou moins bien formuls sous forme dexigences. Les produits logiciels ne sont que des ressources qui doivent tre associes des infrastructures (matriel, systme et rseau) pour rendre le service attendu aux clients utilisateurs. La mise en uvre de ces services fait galement appel des ressources humaines adaptes et des systmes de pilotage.

206

Chapitre 33. Regard sur le service

Les mthodologies de production et les dispositifs de certication de services commencent tout juste apparatre aujourdhui. Nous avons prsent la certication de services au chapitre 5. Cest une certication fonde sur des rfrentiels de certication de services qui dnissent le service offert par le biais dindicateurs qualit couvrant les principales dimensions des attentes des clients. Mais ce dispositif ne concerne que les offres de services prdnies, dont le contenu peut tre spci a priori. Nous savons bien que ces cas ne sont pas les plus frquents : la particularit des services du domaine informatique est de se construire et se produire la demande de la faon la plus adaptative et exible possible. Un premier vritable dispositif de certication de services est en cours de mise en place partir dITIL autour du rfrentiel ISO 20000. ITIL apporte le socle mthodologique sous forme dun ensemble de bonnes pratiques pragmatiques, partir desquelles un dispositif de certication peut tre mis en place. Cest ce mme mcanisme, replaant la matrise des processus mtier au cur de la conance, qui a conduit la cration des dispositifs eSCM ddis au service. La capacit dun fournisseur et dun client matriser les diffrents aspects dune relation de service y est directement aborde. Plus rcemment, la publication de la constellation service du CMMI, le CMMSVC, qui nest en aucune faon limit du service dans le domaine des technologies de linformation, pourrait faire concurrence la certication de services telle quelle est dcrite au chapitre 5. Une grande diffrence existe toutefois au niveau de la communication grand public : la certication est associ un certicat alors que lvaluation ne dlivre quune attestation. Nous observons ainsi que la certication des systmes dinformation sorganise, de faon trs logique, suivant une typologie des processus, o nous retrouvons les trois catgories classiques du mtier, du support et du pilotage :
les dispositifs de reconnaissance des processus de service, tels que lISO 20000,

le CMMI-SVC et leSCM, donnent conance dans les processus mtiers ; les dispositifs concernant les produits et les personnes donnent conance dans les processus de support du systme dinformation ; enn, les dispositifs orients contrle ou mesure, comme CobiT, SAS 70 ou Six Sigma, apportent la vision gouvernance constituant ainsi le niveau de pilotage des processus de service. Tout comme les trois niveaux de processus, ces trois niveaux de reconnaissance sintgrent lintrieur des dispositifs globaux de systmes de management de lentreprise, tels que lEFQM et lISO 9001. Dans le domaine des systmes dinformation, la notion de service dpasse ainsi celle de la stricte production informatique pour lenglober dans un rfrentiel plus large qui devient celui du systme de management du service. La diffrence est de taille car elle implique la reconnaissance du caractre spcique de la fourniture de services par rapport celle de fourniture de produit. Cette diffrence tait jusqualors absente dans la plupart des rfrentiels : ainsi lISO 9001 ne faisait pas

33.2 Reconnaissance et relation contractuelle

207

de distinction entre produit et service alors que les processus de contrle, vrication, validation sont par nature diffrents. Le service est, rappelons-le, consomm au fur et mesure quil est produit, ce qui par exemple transforme le concept statique de traitement des non-conformits en processus dynamique de gestion des incidents. Si nous passons ainsi en revue lensemble des dispositifs prsents, on saperoit quils peuvent tous tre considrs, dune faon ou dune autre, comme des dispositifs fournisseurs dun seul dispositif de reconnaissance matre, celui de la fourniture des services :
la certication des comptences humaines donne conance dans les processus

mis en uvre par les hommes ;

la certication des produits donne de mme conance dans les processus qui les

utilisent ; la certication des processus de pilotage et des systmes de management donne une conance renforce dans les processus manags. La logique des dispositifs est similaire la logique dimbrication des processus dans le systme dinformation de lentreprise. Tous ces dispositifs apportent leur pierre ldice de la conance, mais il ne faut pas oublier que le pilotage, les hommes et les produits utiliss ne sont que des outils au service des processus mtier, ceux qui produisent la valeur ajoute du service. La conance ne se dcrte pas mais se mesure laune de la satisfaction du client.

33.2 RECONNAISSANCE ET RELATION CONTRACTUELLE

Lvolution des technologies de linformation et, plus particulirement, celle des rseaux ont permis une croissance exponentielle du volume dinformations changes entre les particuliers et les diffrentes entreprises du monde entier. Sachant proter de la mondialisation des changes commerciaux, certaines entreprises ont pu accrotre le volume de leurs activits. Mais cette croissance les a conduites repenser leur organisation en se recentrant sur leurs mtiers ou sur leurs activits les plus rentables. Cela les a amenes coner certaines activits de support des fournisseurs externes pour rduire les cots, transformer les cots xes en cots variables et tre plus ractives sur leur march. Il sen est suivi alors une volution majeure. Tout fournisseur dun produit ou dun service sintgrant dans le cycle de vie du produit ou du service de son client voit la russite de son activit dpendre de celle de ce dernier. Et inversement, la solidit dune entreprise sappuie en partie sur la solidit de ses fournisseurs. Quimplique une telle situation ? La simple relation dans laquelle un fournisseur se mettait daccord avec son client pour lui fournir un produit ne suft plus. Ds quil y a un engagement de responsabilit, un rfrentiel de base reconnaissant la qualit des rsultats produits par le fournisseur pour son client, apparat ncessaire. Dans ce contexte, les dispositifs de reconnaissance tels quils sont prsents dans les chapitres prcdents ont tout fait leur place.

208

Chapitre 33. Regard sur le service

Dans le cas de linfogrance par exemple, pour bncier de la conance que peut apporter un dispositif de reconnaissance, le client a tout intrt aujourdhui faire rfrence lITIL. Il ne faut pas oublier que la conance est un pralable en matire de gestion de la relation client : elle implique lengagement des hommes dans des activits cls comme la conduite du changement. Un dispositif de reconnaissance comme ITIL dnit un cadre de rfrence dans llaboration des activits faisant lobjet du contrat. La certication est mise par une tierce partie indpendante reconnue pour son expertise, dans notre exemple lOGC. Indirectement, cette tierce partie peut tre considre comme un arbitre. Mais un tel dispositif a aussi ses limites. Il ne rpond pas forcment avec exactitude toutes les spcications dun contrat. Aussi faut-il bien dnir le champ dapplication en distinguant ce qui est couvert par le dispositif de ce qui ne lest pas. Il faut aussi savoir identier des spcicits lies lactivit industrielle du client ; cest le cas de lindustrie pharmaceutique qui doit rpondre des exigences de la FDA (Food and Drug Administration). Et enn, il ne faut pas oublier dintgrer les variantes culturelles. Quoi quil en soit, dans cette relation entre un client et son fournisseur o le second assure une prestation de service vis--vis du premier, le dispositif de reconnaissance ne fait que fournir un guide. Lorganisme certicateur ne peut quattester un certain niveau de matrise dans la connaissance du sujet. Mais aucune norme ou aucun rglement ne saurait garantir pleinement le savoir-faire et le savoir-tre des individus impliqus dans la mise en uvre de contrats de service. Il appartient ainsi chacune des parties de valoriser au mieux la mise en uvre du dispositif et dinstituer ainsi le vritable climat de conance ncessaire toute excution de contrat.

34
Regard sur le lgislatif et le rglementaire

Lobligation ou non de se conformer un document dpend de la catgorie du document : sagit-il dun rglement, dune norme ou dun standard ? Nous explicitons dans ce chapitre les diffrences entre ces types de documents pour dvelopper ensuite plus prcisment la catgorie des textes lgislatifs et rglementaires et commenter leur rle croissant en tant quexigences imposes aux entreprises.

34.1 CATGORIES DE TEXTES APPLICABLES

Le tableau 34.1 classe les diffrents rfrentiels en rglements, normes et standards.

34.1.1 Rglements
Un rglement est une exigence lgale laquelle toute entreprise est tenue. Par exemple, un site de fabrication pharmaceutique qui ne respecterait pas les exigences de conformit aux bonnes pratiques de lAgence du mdicament serait contraint dinterrompre sa production. Certains rglements comme ceux qui rgissent la certication des produits issus de lagriculture biologique, sans tre dapplication obligatoire, conditionnent la dlivrance dattestations justiant lapposition de marques dont lutilisation frauduleuse ferait lobjet de poursuites.

210

Chapitre 34. Regard sur le lgislatif et le rglementaire

Tableau 34.1 Rglements, normes et standards Type de rfrentiel Lois ou rglements Rfrentiels Lois et dcrets relatifs la certification de services, Loi Sarbanes-Oxley. Code des marchs publics. ISO 9001 ISO 15408 ISO 15504 ISO 20000 ISO 21827 (SSE-CMM) ISO 25051 ISO 27001

Normes

Certains rfrentiels de certification de services comme NF 13816. CMMI CobiT EFQM eSCM HAS ITSEC SAS 70 TickIT TL 9000

Standards

Certains rfrentiels de certification de services. Les rfrentiels de certification de personnes : AFITEP-CDP, AFITEP-CGP, CISSP, ITIL, PCIE, PMP, PRINCE2, Six Sigma.

34.1.2 Normes
Les normes constituent la seconde catgorie de rfrentiels. Subsidiairement, elles deviennent des exigences lorsquelles sont cites dans un march public. Elles sont produites par des organismes de normalisation, par exemple :
internationaux, comme lOrganisme international de normalisation (ISO) et le

Comit lectronique international (CEI) ; rgionaux, comme le Comit europen de normalisation (CEN) en Europe ; nationaux, comme Afnor en France et les bureaux de normalisation, comme le Bureau de normalisation de laronautique et de lespace (BNAE). Il faut toutefois bien diffrencier les normes des autres documents (rapports, guides, spcications techniques, accords, etc.) publis par ces organismes. Par exemple, un fascicule de documentation dAfnor, sans tre une norme, est un document normatif. De mme, lISO publie sous le titre de rapport technique (TR) des documents de type informatif et sous celui de spcications techniques (TS) des documents initialement destins devenir des normes, mais qui nont pas obtenu les niveaux dapprobation requis ; ainsi que des documents dcrivant les orientations de la normalisation dans des domaines particuliers. Certaines normes sont mises disposition titre dessai, sous lappellation de normes exprimentales.

34.2 Rglementations applicables

211

34.1.3 Standards
Les standards sont des documents rdigs par des entreprises ou des groupements dentreprises an de rpondre rapidement un problme souvent sectoriel. Les standards sont gnralement considrs comme des normes de fait. Dans ce domaine, la pression du march est dterminante pour dcider ou non de lutilisation dun dispositif.

34.2 RGLEMENTATIONS APPLICABLES

Nous naborderons pas de nouveau dans ce chapitre les dispositifs comme la certication de services ou la certication des tablissements de sant dont le fonctionnement est rgi par des textes rglementaires, mais nous examinerons limpact des lois et des rglements sur les activits de lentreprise et leurs systmes de management. Dans le cadre de son activit, un jour ou lautre, toute entreprise est amene se proccuper de lapplication de la loi et de diffrentes rglementations, franaises, europennes, voire internationales ou applicables dans les pays avec lesquels lentreprise est en relation commerciale. La connaissance des lois, arrts et rglements applicables ncessite une veille constante. Cette connaissance tant incontournable par exemple dans les secteurs de la sant, du transport ou encore dans le monde bancaire et nancier, les grands groupes ont gnralement mis en place des structures ddies cette veille. Ils interviennent galement en amont de llaboration des lois et rglements au travers dorganismes professionnels, an que leurs intrts soient sufsamment pris en compte dans cette laboration. Ces lois et rglements constituent un rfrentiel dexigences dont le respect est impratif. Limportance croissante du rle de linformatique dans toutes les activits personnelles ou professionnelles a multipli le nombre de textes lgislatifs prendre en compte dans la conception, le dveloppement ou la mise en uvre dun systme dinformation. Nous en prsentons quelques aspects, de faon non exhaustive. Le Code des marchs publics et le Code gnral des impts ont d voluer, entrans par le mouvement de la mise en place de le-administration, pour tenir compte de la dmatrialisation des documents changs et permettre la dmatrialisation scale des factures. Des dispositions darchivage des pices justicatives et relatives la signature lectronique ont d y tre introduites. La rglementation bancaire en matire de systme dinformation sest galement notablement renforce ces dernires annes ; elle dcoule de la prise en compte des risques, y compris ceux qui sont relatifs la scurit.

34.2.1 Ble II
Le management du risque tait lorigine le mtier de lassureur. Lentreprise transfrait ce dernier ses risques en se couvrant par une police dassurance.

212

Chapitre 34. Regard sur le lgislatif et le rglementaire

Les banques se sont intresses naturellement un type de risque particulier, le risque nancier et plus spcialement au risque de crdit : le client titulaire dun prt pourra-t-il honorer ses chances ? La matrise de ce risque est au cur du mtier de la banque. Le risque bancaire a donc t progressivement soumis des rfrentiels de plus en plus contraignants. En 1988, un premier accord interbancaire conclu Ble (dsign gnralement sous le nom de Ble I) entre 13 pays signataires de lOCDE (Allemagne, Belgique, Canada, Espagne, tats-Unis, France, Italie, Japon, Luxembourg, Pays-Bas, RoyaumeUni, Sude, Suisse) a fourni des directives sur le montant total de fonds propres requis par tablissement, an de rduire le risque de dfaillance bancaire et le cot potentiel dune telle dfaillance pour les dposants. Perfectionnant ce mcanisme, un nouveau dispositif baptis Ble II la remplac. Il nest devenu compltement applicable quen 2006 du fait de la constitution pralable de bases statistiques sur les risques oprationnels. Ble II vise amliorer la scurit et la solidit du systme nancier en accordant plus de place aux procdures internes de contrle et de gestion et en largissant la surveillance aux risques dits oprationnels. Ce rfrentiel, constitu dun ensemble de recommandations, sapplique strictement aux banques dans les pays o il a fait lobjet dune transposition dans le droit national, et de faon indirecte la quasi-totalit des pays du monde, du fait du caractre international et globalis du systme montaire et nancier. Il nexiste aujourdhui aucun dispositif global de reconnaissance de son application. Nous pouvons seulement penser que, pour tre efcace, ce mcanisme devra tre accompagn dun dispositif de contrle et de certication par un organisme reconnu par la profession bancaire. Quel rapport cela peut-il bien avoir avec les systmes dinformation ? Les banques manipulent des masses considrables dinformations et sont grandes consommatrices de services. La relation entre un client et ses fournisseurs entrane forcment une rpercussion en cascade des exigences des banques vers leurs sous-traitants. Une banque qui externalise tout ou partie de ses services informatiques, se place dans une situation risque potentiel lev. Ainsi elle peut tre contrainte par les organismes de contrle daugmenter ses fonds propres. Lexigence de matrise du risque oprationnel formule dans les accords de Ble II sapplique donc la plupart des fournisseurs de logiciel et aux socits de service, sous-traitants du monde bancaire ; ceux-ci souhaiteront ds lors disposer de lattestation adquate pour dmontrer leur capacit en la matire. Les socits disposant dj dun systme de management de la qualit ne devraient pas avoir trop de problme pour apporter la preuve de cette capacit : la matrise des risques tant un processus dj bien identi dans des rfrentiels de la famille ISO 9000. Notons simplement que lapplication de cette rglementation na pas sufsamment limit les prises de risque ayant conduit la crise nancire de 2008.

34.3 Quelques lois

213

34.2.2 Solvabilit II
Les compagnies dassurance, tout comme les banques, se sont dotes dune rglementation europenne destine garantir le niveau de leurs fonds propres. Cette rglementation, connue sous le nom de Solvabilit II (Solvency II) entre en vigueur en 2009, en se transposant dans les diffrents droits nationaux et devrait entraner un changement de prsentation des comptes des compagnies dassurance, partir de 2010. Comme pour Ble II, il convient de mettre en place un vritable processus de contrle interne, destin identier les risques oprationnels.

34.2.3 CRBF n 97-02

Le Comit de la rglementation bancaire et nancire (CRBF) a mis un ensemble de rglements visant renforcer les contrless exercs par les tablissements bancaires sur leurs prestataires. Le rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement a ainsi t modi successivement en janvier 2004 puis en mars 2005. Il impose la mise en uvre de plans de continuit dactivit et dveloppe un ensemble de conditions applicables en matire dexternalisation visant garantir la continuit du service. Les banques sont ainsi amenes dvelopper leur plan de continuit dactivits et exiger de leurs prestataires la mise en uvre de dispositifs de secours et un niveau dengagement formel sur le niveau de qualit de service. Les prestataires doivent donner accs toute information sur les services rendus et accorder un droit daudit et de contrle trs large, y compris en donnant accs sur place aux contrleurs habilits.

34.2.4 Rfrentiel de scurit du chque

Conformment aux dispositions de larticle L.141-4 du Code montaire et nancier, la Banque de France sassure de la scurit des moyens de paiement scripturaux . Ceci est la premire phrase du Rfrentiel de scurit du chque labor par la Banque de France et applicable aux tablissements nanciers depuis 2005. Scurit informatique et matrise de lexternalisation sont au cur du dispositif impos aux tablissements nanciers et, par voie de consquence, leurs sous-traitants. Toute banque est ainsi tenue de justier de la matrise de son systme dinformation vis--vis de la Banque de France.

34.3 QUELQUES LOIS

En matire lgislative, les lois ayant une relation avec linformatique et les systmes dinformation se multiplient en tentant de rpondre diffrents besoins :
la protection des donnes personnelles ; la scurit des transactions nancires ; la prservation des droits dauteur.

214

Chapitre 34. Regard sur le lgislatif et le rglementaire

34.3.1 Loi informatique et liberts

Rvise en aot 2004, la Loi informatique et liberts du 6 janvier 1998 a pour objectif la protection des donnes caractre personnel. Elle simpose toute personne physique ou morale constituant et manipulant des chiers enregistrant des informations sur des personnes physiques vivantes. Elle interdit toute collecte de donnes linsu des personnes ches et leur donne un droit daccs et de rectication aux donnes qui les concernent. On notera dailleurs que les donnes sur des personnes dcdes ne relvent pas de cette loi. Cette loi cre un cadre de dclaration obligatoire pour les chiers de donnes personnelles en restreignant leur usage selon les principes suivants :
collecte loyale et licite des donnes ; collecte de donnes adapte la nalit des traitements ; droit daccs et obligation de rectication ; limitation de la dure de conservation.

Nous ne dtaillerons pas ici plus amplement cette loi, mais noterons quelle simpose tout concepteur de systmes dinformation comme une exigence en amont de toute spcication.

34.3.2 Loi pour la confiance dans lconomie numrique

La Loi pour la conance dans lconomie numrique (LCEN) du 21 juin 2004 a pour objet de donner une nouvelle impulsion au commerce lectronique et la scurit des transactions en ligne... Il sagit de renforcer la conance des acteurs, tout particulirement des consommateurs, et assurer les bases dune croissance conomique fonde sur lmergence de nouveaux services . Linternaute devrait tre rassur par la mise en place de dispositifs rpressifs concernant la cybercriminalit et la rglementation de la publicit en ligne. Ct entreprise, la loi implique la mise en conformit des dispositifs de gestion de la relation client et autres applicatifs de dlisation. Sil nagit pas directement sur le niveau de conance du consommateur, lexistence dun cadre lgislatif plus prcis peut cependant rassurer ce dernier sur les recours envisageables en cas descroquerie manifeste. On notera toutefois que la loi ne sattaque ni la cause majeure de linsufsance de conance quest la pitre abilit de certains logiciels, ni directement au phnomne des virus. La limite de cette loi est son caractre national, face un phnomne qui dpasse largement les frontires. Mais il sagit bien de donner la priorit au dveloppement de lconomie franaise, donc dinciter linternaute franais consommer sur des sites contrls ou recommands par ladministration franaise.

34.3 Quelques lois

215

34.3.3 Loi de scurit financire

Toujours en France, la Loi de scurit nancire du 1er aot 2003 renforce les pouvoirs de contrle nancier. Elle oblige les entreprises informer leurs actionnaires des procdures de contrle interne mises en place, en produisant un rapport sur les procdures de contrle interne relatives llaboration et au traitement de linformation comptable et nancire. Pour ce faire, elle sest donn trois missions :
moderniser les autorits de contrle et de rgulation ; renforcer la scurit des pargnants ; renforcer la scurit et la transparence des entreprises.

Cette loi cherche restaurer la conance par une remise plat des institutions et par le renforcement de la transparence en exigeant des contrles internes tous les niveaux dans lentreprise aussi bien sur les aspects nanciers quoprationnels. En cela, elle a un caractre plus exhaustif que la loi Sarbanes-Oxley, son pendant amricain...
Tableau 34.2 Comparatif LSF et Sarbanes-Oxley Loi de scurit financire Loi Sarbanes-Oxley

Socits concernes

Toutes les socits anonymes en Uniquement les socits cotes France. aux tats-Unis (Sec Registrants) Toutes les personnes faisant appel public lpargne Chaque socit Toutes les procdures de contrle interne. Le contrle porte sur les aspects financiers et oprationnels. Il faut tre conforme la loi. Pas de rfrentiel Groupe Uniquement les procdures qui concernent les informations comptables et financires.

Primtre

Domaine

Rfrentiel

COSO

Audit

Article 120 : les commissaires aux Section 404 : Les auditeurs comptes prsentent leurs attestent lvaluation et tablissent observations sur la partie du un rapport. rapport du prsident couvrant le contrle interne relatif llaboration et au traitement de linformation comptable et financire.

Pour rpondre cette problmatique de conance, la loi Sarbanes-Oxley fait porter leffort sur la gouvernance dentreprise en abilisant le reporting nancier, en luttant contre les fraudes, en renforant les contrles externes et les sanctions. Mais elle limite son champ dactions aux informations comptables et nancires. En revanche, elle sest donn un rfrentiel en matire de contrle interne le COSO (Committee Of Sponsoring Organizations). Lquivalent nexiste pas dans le contexte franais.

216

Chapitre 34. Regard sur le lgislatif et le rglementaire

Dans le cadre de la refonte des institutions, la LSF a permis de crer lAutorit des marchs nanciers (AMF) et le haut conseil du commissariat aux comptes (H3C). LAMF fournit des indications sur linterprtation de la loi mais principalement dans le domaine nancier et plus particulirement dans celui du conseil dinvestissement nancier (CIF). Sur ce point, elle prcise les obligations du CIF. Le H3C, organis en commissions par secteur dactivit, met des avis techniques au titre des bonnes pratiques professionnelles. Une commission snatoriale1 a estim que ce systme tait perfectible et devait tre amlior (renforcement des moyens, reconnaissance des avis techniques). Notons toutefois, que cette apprciation est limite au fonctionnement des institutions rglementaires. Or les entreprises vivent de leur march. Pour tre plus performantes, elles se recentrent de plus en plus sur leur mtier de base. Les activits qui nen font pas partie, sont achetes dans le cadre dun contrat de sous-traitance (sourcing). Avec lextension de ces mouvements dexternalisation, le volume des achats dune entreprise a de plus en plus de poids dans les comptes de rsultat. Si lon ajoute cela lintgration des pratiques informatiques telles que SaaS (Software as a Service), on comprend bien que toute entreprise doit sinterroger non seulement sur les contrles de sa propre organisation mais aussi sur les contrles internes de ses sous traitants. Lassociation entre un client et ses sous traitants prend la forme dune entreprise tendue. Aussi, dans un futur proche, les exigences rglementaires pourraient bien servir de levier aux services achats. En attendant, elles alimentent le moulin du rfrentiel de sourcing, leSCM-CL. Il faut sans doute y voir une raison de lengouement actuel des entreprises pour leSCM-CL en France.

34.3.4 Internet et droit dauteur

Plusieurs projets de loi tentent daccommoder nouvelles technologies et prservation des droits dauteur : la loi DADVSI (projet de loi relatif au Droit dauteur et aux droits voisins dans la socit de linformation) prvoyait un ensemble de dispositifs anticopie, didentication de lutilisateur et de traage de lutilisation, et fut nalement abandonne. Avec Internet le cadre lgislatif dborde des frontires, la loi DADVSI tait une tentative de transposition dans la loi franaise dune directive europenne elle-mme issue de lapplication dun trait international impos par ladministration Clinton. Dbut 2009, une Loi Cration et Internet est en projet avec pour objectifs la lutte contre le tlchargement illgal et le soutien du dveloppement des services lgaux de musique en ligne. Elle devrait aboutir courant 2009 la cration dune Hadopi (Haute autorit pour la diffusion des uvres et la protection des droits sur Internet). Il est prvu que lHadopi dlivre des labels garantissant la conformit des services de diffusion. Nous voyons ainsi se dvelopper une forme de certication actant du respect de la Loi par les entreprises.

1. Loi de scurit nancire ; un an aprs, rapport n 431 du 27 juillet 2004, rapporteur Philippe Marini.

34.3 Quelques lois

217

34.3.5 Le lgislatif amricain

ct de la fameuse loi Sarbanes-Oxley, le congrs amricain a vot bien dautres lois dans le but de renforcer la scurit des systmes dinformation. En voici les principales : Le Gramm-Leach-Bliley Act (GLBA) de 1999 demande tous les tablissements nanciers des tats-Unis de protger les informations personnelles de leurs clients et les oblige prendre les dispositions ncessaires pour garantir la scurit et la condentialit des donnes dtenues sur les clients et les protger contre toute menace pouvant les affecter. Dans le cadre des soins de sant, le Health Insurance Portability and Accountability Act (HIPAA), vot ds 1996, est charg de protger les informations dtenues sur les patients :
dans les transactions lectroniques vhiculant des donnes mdicales ; dans les donnes concernant la vie prive ; par des rgles de condentialit, dintgrit et de disponibilit des donnes

mdicales. Pour combattre le terrorisme, le congrs amricain a fait voter en octobre 2001 lUS Patriot Act obligeant les institutions nancires oprant aux tats-Unis protger les informations et les donnes nancires contre tout accs illicite ou malveillant. Pour y rpondre, les dispositions suivantes doivent tre appliques :
les contrles daccs ; la surveillance des utilisateurs ; le renforcement de la politique de scurit ; le contrle des congurations ; la dtection de logiciels malveillants ; la scurit des communications.

Le Federal Information Security Management Act (FISMA), vot en 2002, dicte les mesures mettre en place pour scuriser les biens et les informations des institutions fdrales aux tats-Unis : il assigne au National Institute of Standards and Technology (NIST) la responsabilit de dvelopper les normes de scurit que doivent appliquer les agences gouvernementales amricaines pour protger leurs systmes dinformations. Ces standards sont publis dans le Federal Information Processing Standards Publication 200 (FIPS PUB 200). Ils sont regroups par domaine comme suit :
le contrle daccs ; la sensibilisation et formation ; laudit et responsabilit ; lvaluation des contrles ; la gestion des congurations ; le plan de continuit ; lidentication et authentication ;

218

Chapitre 34. Regard sur le lgislatif et le rglementaire

la gestion des incidents ; la maintenance ; la protection des mdias ; la protection physique et environnementale ; la planication.

Ces dispositifs ont un caractre lgal et donc obligatoire, certains dentre eux tant assez exhaustifs. Ils sappliquent toute entreprise, quelle que soit sa nationalit, ayant des relations daffaires avec des organismes amricains issus des secteurs dactivit prcits. Or certains dentre eux, tels que le FISMA, peuvent avoir tendance de par leur structure tre vendus comme une norme. Le lgislateur deviendrait-il le dpositaire dune norme ? Namalgamons pas les rles. Lintrt des normes internationales, produites par des organismes comme lISO ou lIEC, cest justement quelles sont internationales, alors que les lois ne le sont pas, tout au moins pour linstant. Les lois devraient donc se limiter rendre obligatoire lapplication de certaines normes et non sy substituer. Le lgislateur devrait rester le lgislateur.

35
Cartographies

Nous observons que les entreprises ont tendance slectionner un seul dispositif en ne tenant pas compte des avantages que pourraient leur apporter des dispositifs complmentaires. Ce chapitre brosse un paysage qui positionne les principaux dispositifs les uns par rapport aux autres. Ltude approfondie des diffrents rfrentiels montre quils ont tendance se rfrencer les uns les autres. Cest ce que nous avons voulu mettre en vidence en prsentant les relations quils ont entre eux. Enn, nous tablirons une classication des dispositifs en indiquant le primtre de chacun deux.

35.1 POSITIONNEMENT DES DISPOSITIFS

An dillustrer notre dmarche, nous avons reprsent (gure 35.1) le positionnement actuel des dispositifs de reconnaissance prsents sur le march franais, sous la forme dun paysage vallonn o scoule une rivire. La position de la rivire au milieu de ce paysage est importante car elle marque la frontire entre deux domaines : celui des technologies de linformation et celui des dispositifs de reconnaissance globalement gnriques.
Sur la rive droite ( gauche), de lamont vers laval (du haut vers le bas), on

trouve les technologies de linformation rparties en trois zones : le domaine de la production informatique, celui du logiciel et enn, celui de la scurit informatique. Sur la rive gauche ( droite), on trouve le domaine de la qualit sur la berge et celui du management de projet sur les hauteurs ; la qualit se trouve prs de la rivire, cest--dire proche des technologies de linformation.

220

Chapitre 35. Cartographies

Les drapeaux indiquent le pays dorigine du dispositif : France, Royaume-Uni, tats-Unis, Europe ou International (drapeau des Nations Unies). An didentier rapidement les dispositifs qui occupent le territoire, nous les avons reprsents par des rgiments ou des soldats isols :
le fantassin pour la certication des personnes ; la cavalerie pour la certication des systmes et des entreprises ; lartillerie pour la reconnaissance des produits ; un hussard cheval pour lattribution dun prix.

Pourquoi reprsenter les dispositifs sous cette forme ? Tout simplement pour exprimer le fait quils se positionnent et voluent la manire de troupes sur un champ de manuvres. Ce paysage volue en permanence. Au dbut des annes 1980, les rexions dans le domaine des technologies de linformation portaient essentiellement sur les mthodes et plus particulirement celles du dveloppement : Corig ds 1967, Warnier en 1970 puis, plus tard Merise. Ensuite, dans la seconde moiti des annes 1980, on a assist lmergence de mthodes daudit de scurit telles que Marion pour le secteur de lassurance et Melisa pour lArme de lair. Les premires certications en management de projet sont nes dans les annes 1980, notamment avec la certication de chef de projet (AFITEP-CDP). En 1987, apparat le premier dispositif de certication dentreprise par rapport un rfrentiel gnrique indpendant du secteur dactivit, cest lISO 9001. Entre 1990 et 1997, lvolution se poursuit principalement sur les axes du logiciel et de la scurit avec une ouverture sur le service. On commence alors sintresser la reconnaissance de la qualit. On voit apparatre les premires valuations SW-CMM (qui a t remplac par le CMMI) pour le logiciel et les certications ITSEC pour la scurit. Le mcanisme de la certication prend ensuite de lampleur avec une lacune dans le domaine de la production informatique, comble depuis avec lapparition dITIL en France accompagn de PRINCE2 pour le management de projet, dans les annes 2001-2002. partir de 2005, sur la base dITIL, les activits dinfrastructure informatique disposent dun rfrentiel supplmentaire certiant les systmes, lISO 20000. Peu avant, les activits dexternalisation ont eu leur propre rfrentiel ; leSCM. Cest aussi cette date que le lgislateur a introduit en France la loi de scurit nancire. Enn, dernier arriv, le MSP intgre la gestion des programmes et des portefeuilles de projets en accompagnement de PRINCE2. On voit sur ce paysage que la certication de systmes (la cavalerie) concerne essentiellement les aspects mthodologiques de dveloppement et intgre la dmarche dvaluation de processus. En revanche, la certication de personnes (le fantassin) porte davantage sur loprationnel avec ITIL, sur la scurit avec le CISSP et sur le management de projet avec le PMI qui certie les individus selon le PMP depuis environ vingt ans. Rien dtonnant ! Le dveloppement de logiciel fait traditionnellement appel du personnel quali. Par ailleurs lvolution technologique a conduit une plus grande complexit de la production informatique et de la scurit. Les hommes ont d sadapter do limportance croissante attribue la certication des personnes.

35.1 Positionnement des dispositifs

221

Figure 35.1 Le paysage

222

Chapitre 35. Cartographies

35.2 TICKIT
Nous navons pas repris dans cette dition la che relative TickIT qui rgresse en France. Il y a moins de 10 certicats, essentiellement attribus au groupe Thales. Un guide pour les auditeurs avait t labor en 1991 par BSI an dharmoniser les rsultats dvaluation aboutissant la certication ISO 9001. Ce guide sert, depuis, de rfrence, au Royaume-Uni, la certication TickIT ; tick voulant dire cocher en anglais. Ce rfrentiel a constamment volu et la toute dernire version, TickIT Plus, date de juin 2009. On y trouvera des additifs par rapport la certication ISO 9001, en particulier :
des niveaux de maturit : bronze, argent, or et platine ; des extensions facultatives du champ dapplication : par exemple ISO/IEC

20000 et ISO/IEC 27001 ;

le mcanisme de rvision des conditions de formation et de qualication des

auditeurs TickIT.

35.3 RELATIONS ENTRE LES DISPOSITIFS

On mesure la notorit dun chercheur au nombre de citations de ses articles dans les bibliographies dautres auteurs. Cest le principe adopt par Google pour tablir la notorit dun site Internet. De mme, on pourrait mesurer limportance dun rfrentiel au nombre de relations quil a avec dautres rfrentiels. Les rfrentiels font rfrence les uns aux autres, les nouveaux se crent partir de rfrentiels dj prouvs. La gure 35.2 met en vidence les relations qui existent entre les dispositifs de la gure 35.1.

35.3.1 Influence de lISO 9001 sur les autres rfrentiels

LISO 9001 est la norme de rfrence incontournable, surtout depuis la sortie de la version 2000. Il nest plus possible de produire un quelconque rfrentiel sans mentionner cette norme ou son dispositif de certication. Les propritaires de rfrentiels estiment ncessaire de souligner les relations entre leur modle et lISO 9001 : cela a t par exemple, une des priorits pour le lancement de leSCM. La norme ISO 25051 sur la certication de progiciel prend comme support lISO 9001 pour les exigences sur les tests. La certication ISO 9001 est ncessaire lobtention de la certication TL 9000. Les dispositifs de certication de systmes de management, comme lISO 20000 en matire de service ou lISO 27001 pour la scurit, font explicitement rfrence lISO 9001 comme modle damlioration continue et de dmarche processus.

35.3 Relations entre les dispositifs

223

Figure 35.2 Des relations entre dispositifs

35.3.2 HAS, ISO 9001 et certification de services

Parmi les nouveauts du Manuel daccrditation des tablissements de sant, deuxime procdure daccrditation de la HAS, on trouve une politique visant reconnatre les diffrents systmes de reconnaissance externe an de bncier de synergies entre les dmarches, dtablir les complmentarits et dviter les redondances entre les procdures . Il y est prcis Selon les cas, peuvent par exemple tre mises en uvre une certication ISO 9001 dun secteur ou de ltablissement, une certication de service sur un domaine... . Ceci est une volution importante par rapport la version prcdente o il tait dclar que Dans les tablissements de sant, les procdures de certication concernent essentiellement certains secteurs dactivit tels la restauration, le blanchissage, la strilisation... . Il est dailleurs prcis, dans la version de mars 2005 du guide Prparer et Conduire votre Dmarche dAccrditation : les principaux types de certication rencontrs dans les tablissements de sant sont :
la certication des systmes de management et en premier lieu, la certication

des systmes de management de la qualit. Cette dernire certication se fonde sur la norme ISO 9001 ; la certication de service : il sagit dune certication visant sassurer quun service rpond des exigences spcies. Des rfrentiels ad hoc sont construits pour chaque certication de service. Llaboration de ces rfrentiels obit un cadre rglementaire prcis .

224

Chapitre 35. Cartographies

35.3.3 ISO 15504 et ISO 9001

LISO 15504 peut tre utilise dans le contexte de la Surveillance et mesure des processus (paragraphe 8.2.3 de lISO 9001) pour mesurer la qualit des processus du systme de management de la qualit. De plus, le cadre dcrit dans lISO 15504 donne la possibilit dajuster le champ de lvaluation an de ne traiter que certains processus spciques dune entit organisationnelle (une entit pouvant tre une entreprise ou une partie dune entreprise). Un niveau daptitude 3 sur lchelle de lISO 15504 assure la certication ISO 9001 vis--vis des exigences relatives au dveloppement du produit.

35.3.4 ITIL, ISO 20000, CobiT et ISO 9001

Lintroduction du manuel ITIL Service Delivery met en vidence limportance de ladoption des bonnes pratiques de fourniture de services pour aider amliorer la qualit des procdures et donc obtenir la certication ISO 9001. De plus, lITIL insiste sur limportance de la culture du changement et sur lattitude approprie pour maintenir les procdures et processus. La norme ISO 20000, directement issue dITIL, sapplique la certication du management des services. Elle sappuie sur les principes de base de lISO 9001 en faisant directement rfrence au PDCA de la roue de Deming. Enn, lISACA a prsent un alignement des processus CobiT V4 avec ceux dITIL V3 et de lISO 27002. Le document peut tre tlcharg sur le site de lorganisme.

35.3.5 EFQM et ISO 9001

La mise en uvre dun systme de management de la qualit fait partie des critres dvaluation EFQM. ce titre, une certication ISO 9001 correspond lobtention dun certain nombre de points dans le dispositif EFQM. LEFQM participe activement la normalisation des systmes de management des organisations, en tant quorganisation internationale en liaison avec le Comit technique TC176 de lISO. Les principes de lEFQM ont guid la rdaction de la version 2000 de lISO 9001. Cette tendance devrait aboutir une prise en compte encore plus marque des concepts de la qualit totale.

35.3.6 ITIL et EFQM

ITIL aborde lEFQM comme un modle pour ceux qui dsirent atteindre un certain niveau dexcellence dans le cadre dun programme damlioration continue . Le rfrentiel EFQM vient donc en support des pratiques ITIL pour mettre en place une gestion de la qualit totale.

35.3.7 Rfrentiels en management de projet

Certaines entreprises nhsitent pas associer le PMBOK et PRINCE2 pour encadrer les projets et en particulier les projets informatiques.

35.4 Porte des dispositifs

225

Une diffrence substantielle existe dailleurs entre PRINCE2 et tous les autres dispositifs de management de projet cits : PRINCE2 est davantage tourn vers le service rendu au client. LOGC le recommande naturellement pour la mise en uvre dITIL, car pour ce rfrentiel, lobjectif est avant tout de pouvoir rpondre aux exigences des processus mtier du client. Dans les deux cas, il faut y voir un engagement, une implication, dont la nalit est de livrer, partir des technologies de linformation, un ensemble de services apportant une valeur ajoute au mtier du client. Autre diffrence, la gestion des programmes et des portefeuilles de projets est incluse dans le PMBOK, alors que PRINCE2 ne la traite pas en tant que telle et fait rfrence MSP, ddie au sujet. En France, une relation existe entre les diffrents dispositifs de management de projet, ceux de lAFITEP, du PMI ou PRINCE2. Elle concerne les passerelles entre les diffrents dispositifs. Par exemple, ce sont des points PDU gagns auprs de lAFITEP pour renouveler son certicat PMP, ou encore un certicat PMP qui est accept en quivalence du niveau D de lAFITEP-CDP pour lobtention du certicat de base de lAFITEP-CGP. noter que pour la version 4 de CobiT, lISACA a prsent des grilles de correspondance avec PRINCE2 et le PMBOK.

35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM

lorigine il y avait le SW-CMM spcique au processus logiciel. Ce fut lune des sources pour llaboration de lISO 15504. Le SW-CMM sest ensuite gnralis tous les processus dingnierie du logiciel et des systmes sous le sigle CMMI. Une des spcications de conception du CMMI a t dtre conforme aux exigences de lISO 15504. laide de la vision continue du CMMI, il est possible dtablir des quivalences entre des valuations ISO 15504 et CMMI. CobiT, SSE-CMM, eSCM proposent des modles de maturit ou daptitude inspirs de ceux qui sont dvelopps par le SEI. Leurs points communs sont lapproche processus et la prsence dun modle dvaluation de la matrise des processus plusieurs niveaux.

35.3.9 Critres communs et ITSEC

Les Critres communs sont issus des ITSEC dont ils constituent le prolongement. Ils peuvent toutefois tre utiliss de faon indpendante.

35.4 PORTE DES DISPOSITIFS

Un dispositif peut concerner tous les domaines dactivit ou seulement certains secteurs bien dlimits ; il peut sappliquer toute lentreprise ou seulement certaines de ses fonctions. Lvaluation peut porter sur lentreprise, sur certains processus, sur des personnes physiques, sur des produits ou sur des services particuliers. Le tableau 35.1 met en vidence la diversit des types de reconnaissance, existants ou potentiels.

226

Chapitre 35. Cartographies

Tableau 35.1 Primtre des dispositifs Secteur dactivit Activits concernes Entit value Entreprise ou entit Toutes Processus Personne Service Gouvernance Personne Entreprise ou entit Processus Scurit des systmes dinformation Tous secteurs Produit Personne Dispositif EFQM ISO 9001 Sarbanes-Oxley SAS 70 ISO 15504 Six Sigma Certification de services CobiT-CGEIT ISO 27001 SSE-CMM CobiT-CISM CISSP ISO 15408 Critres communs ITSEC AFITEP-CDP AFITEP-CGP MSP PMBOK PRINCE2 ISO 20000 eSCM CMMI ISO 25051 ITIL PCIE Testeur logiciel CobiT-CISA HAS TL 9000

Management de projet

Personne

Entreprise ou entit Processus Informatique Produit

Personne

Sant Tlcommunications

Toutes

Entreprise ou entit

36
Analyses

Dans tous les cas, que ce soit une dmarche volontaire ou une obligation, la mise en uvre dun dispositif de reconnaissance apporte des bnces internes et externes, en contrepartie de cots eux aussi internes et externes essentiellement dus la charge de travail ncessaire la mise en uvre et aux valuations. De plus, il ne faut pas ngliger les perturbations dues aux changements dorganisation induits par le dispositif et la mise en place dindicateurs de mesures. Enn, pour ceux qui mettent en uvre plusieurs dispositifs, il faut intgrer la prise en compte de processus diffrents ou de processus dnis diffremment. En n de chapitre, nous rpondrons aux questions suivantes : Quelle est la prennit de ces dispositifs ? Quest-ce que laccrditation des organismes de certication ? Comment devient-on valuateur ?

36.1 BNFICES
Mettre en uvre un ou plusieurs dispositifs est une dcision stratgique de la direction de lentreprise. Le cot associ est important, que ce soit lors de la premire mise en uvre ou pour le maintien du statut, quil sagisse de librer des ressources sous forme de jours hommes en interne ou pour nancer des prestations externes de conseil, de certication ou dvaluation. Cette dcision se prendra donc dans lespoir dun bnce attendu, interne ou externe.

228

Chapitre 36. Analyses

36.1.1 Bnfices externes

Les pressions externes proviennent de diverses sources : les clients, les actionnaires, le march. Souvent quel que soit le dispositif, le seul but vis est lobtention dune reconnaissance formelle de la qualit des produits, des services ou des processus. Le rsultat attendu est alors lobtention dun certicat ou dune attestation fournie par un organisme indpendant. Ce bnce est loin dtre ngligeable, la survie de lentreprise peut tre en jeu lorsque les clients mettent lobtention dudit document comme pralable la signature de tout contrat. Cette demande peut galement provenir non plus des clients, mais des actionnaires comme cest le cas pour les socits cotes en Bourse. Elle rpond de plus en plus au respect obligatoire dune exigence lgale ou rglementaire. Le respect dune loi nest jamais optionnel, nous lavons vu avec Sarbanes-Oxley. Les rglementations nancires simposent en priorit lentreprise avant mme toute dmarche damlioration volontaire, quelles concernent le respect des donnes personnelles ou quelles visent le dveloppement durable. Le march exerce sa pression pour lapplication de tel ou tel dispositif. Par exemple, la certication ISO 9001 est aujourdhui devenue quasi incontournable. Ne pas tre certi ISO 9001 devient synonyme de qualit non matrise.

36.1.2 Bnfices internes

Quel que soit le dispositif, la mise en uvre dun ou plusieurs dispositifs apporte des bnces internes par lamlioration du fonctionnement de lentreprise et par la satisfaction du personnel.

Bnfices pour lentreprise

Lamlioration du savoir-faire passe par une amlioration des pratiques. La mise en uvre de dispositifs prouvs qui ont capitalis lexprience du domaine est une richesse ne pas ngliger. Lorsque les cots de mise en uvre sont amortis, les rsultats nanciers de lentreprise ne peuvent que samliorer grce lutilisation de bonnes pratiques et grce la vision externe de lauditeur ou de lvaluateur. Il est important de communiquer avec lensemble des collaborateurs sur latteinte des objectifs dont dpend la certication. La motivation du personnel est un facteur cl du succs. Laccrditation des organismes de certication donne lattestation une valeur parfois universelle comme dans le cas de lISO 9001. Ainsi grce la notorit de lorganisme daccrditation, le nombre daudits, dvaluations ou dexamens multiples devrait diminuer.

36.2 Charges de travail

229

Laugmentation de la qualit (50 % avec la mise en uvre du CMMI) et celle de la productivit observe en parallle (62 % avec la mise en uvre du CMMI) sont des avantages non ngligeables.

Bnfices pour le personnel

Une dmarche de mise en uvre dun dispositif lorsquelle est russie conduit lamlioration des conditions de travail des quipes et meilleure motivation. Ces amliorations sont obtenues par la dnition de rles, de responsabilits et dobjectifs associs non ambigus. Par une meilleure connaissance des processus et par leur matrise, lamlioration de la productivit doit permettre de rduire le stress ainsi que les dpassements dhoraires. La comprhension des enjeux et la participation des oprationnels lamlioration augmentent la motivation et le plaisir pris au travail. Les dispositifs visant la certication de personnes apportent une meilleure qualication aux postulants. Plus gnralement, toute mise en uvre dun dispositif fait progresser la qualication du personnel concern.

36.2 CHARGES DE TRAVAIL

La charge de travail effectuer se rpartit en deux grandes phases : la mise en uvre et lvaluation.

36.2.1 Charge de mise en uvre

La mise en uvre dun rfrentiel comprend de nombreuses activits qui dureront la premire fois plus dun an. Il faut tout dabord une dcision de la direction, au plus haut niveau, pour allouer les ressources. Il faut ensuite que lentreprise sapproprie le rfrentiel et le traduise de manire oprationnelle dans son contexte, pour dnir les pratiques et lorganisation adquate. Il faut en parallle assurer la conduite du changement et gnralement tester la dmarche sur un domaine pilote avant de pouvoir la gnraliser. La charge de travail associe cette premire mise en uvre dpend gnralement de plusieurs critres : le niveau de lentreprise au moment o elle dcide de recourir un dispositif de reconnaissance, la motivation pour cette mise en uvre et la taille de lentit concerne, sachant que ce peut tre tout ou partie dune entreprise. Souvent, le niveau initial de lentreprise est valu par un tat des lieux mettant en vidence forces et faiblesses. Le rgime de croisire consiste assurer la prennit de la mise en uvre du dispositif et son efcience ; il ncessite galement des ressources en personnel pour effectuer des vrications priodiques, prendre en compte les remarques ou commentaires des auditeurs et valuateurs, identier les axes damlioration...

230

Chapitre 36. Analyses

Chaque dispositif sappuie sur une organisation qui lui est propre. Certains dispositifs prcisent des rles. LISO 9001:2000 prcise au paragraphe 5.5.2 celui du reprsentant de la direction. Le Six Sigma prcise ceux du directeur, du champion, du Black Belt et du Green Belt. Le CMMI se contente de dnir un groupe de personnes comme le Process group qui regroupe des spcialistes dont le rle est de faciliter la dnition, la maintenance et lamlioration des processus utiliss par lentreprise. Le rle de manager y est dcrit, cest la personne qui dirige dun point de vue technique et administratif ; ses fonctions incluent la planication, lorganisation, la direction, le contrle du travail dans sa sphre de responsabilit. Parmi les managers cits, on trouve le chef de projet qui est responsable entre autres de la satisfaction du client ainsi que le senior manager, dirigeant de haut niveau, qui a le pouvoir dallouer des ressources pour les activits damlioration et defcacit de processus. Le temps consacrer par chaque acteur lintrieur du dispositif est rarement explicit. Il est donc difcile de disposer de chiffres objectifs et complets qui permettraient une comparaison.

36.2.2 Charge dvaluation

La charge dvaluation comprend la charge interne de celui qui se fait certier ou valuer et celle de lauditeur ou valuateur.

Charge de travail interne

Dans le cas de la certication de personnes, la charge interne correspond leffort que doit fournir la personne pour russir son examen. Cette charge dpend du type de prparation : rdaction dun mmoire, formation par lecture, par enseignement assist distance ou par le suivi physique dun cours. Il est entendu que lacquisition de lexprience est un pralable et nest pas compte dans le temps de formation. Il en est de mme lorsque lobjet de lvaluation est une entreprise, la charge de travail dpend alors de son niveau de maturit. Les autres critres sont :
la taille de lentit value, le nombre de personnes, le nombre de projets, le

type dactivits, etc. ;

le choix du modle dvaluation qui dpend de lobjectif vis : amlioration ou

reconnaissance externe ;
la formation ncessaire pralable lvaluation an de disposer dun langage

commun dans lentreprise. Alors que pour la plupart des dispositifs, lvaluation na pas dinuence directe sur lobjet valu, dans le cas des ITSEC et des Critres communs, cette valuation a un impact immdiat sur le produit en conditionnant son processus de construction et de production.

36.3 Mesures

231

Charge de travail externe

La charge de travail externe est gnralement prcise dans le dossier de demande dvaluation. Certains dispositifs comme le TL 9000 indiquent dans la documentation la dure de laudit sur site en fonction de la taille de lentit. Dans le cas du SCAMPI pour lvaluation CMMI, le droulement des oprations dvaluation est prcis : la planication, la prparation et la ralisation durent trois mois. En revanche, il ny a pas dindications sur la charge de travail.

36.3 MESURES
Pour paraphraser Lord Kelvin, on ne sait faire progresser que ce que lon sait mesurer. La mise en place dun processus de mesure est donc indispensable pour conduire une dmarche damlioration. Ainsi :
mesurer les performances actuelles permet de dcider des priorits damliora-

tion ; mesurer les performances obtenues permet dvaluer lefcacit des nouvelles pratiques ; mesurer les rsultats obtenus permet de convaincre de la pertinence et de ladquation de la dmarche mise en place. Aucun indicateur nest gnralement impos par les diffrents dispositifs : ceuxci se limitent formuler lexigence de mise en place dindicateurs, sans plus. Des exemples pdagogiques sont parfois fournis dans la documentation du dispositif, par exemple dans le guide de la HAS, Prparer et conduire votre dmarche daccrditation. On note toutefois que le rfrentiel CobiT se distingue en prsentant une panoplie complte de tableaux de bord stratgiques (BSC, aussi appels tableaux de bord quilibrs ou encore tableaux de bord prospectifs). Lvolution du SW-CMM vers le CMMI renforce les exigences de mesures : celles-ci se manifestent par la mise en uvre dun domaine de processus (Process area) spcique aux mesures et lanalyse de ces mesures ds le premier niveau damlioration. Certains organismes recueillent les rsultats de mesures des ns statistiques ou de diffusion de bonnes pratiques. Par exemple, les donnes rsultant des valuations ofcielles CMMI sont transmises au SEI qui les analyse et publie des rsultats globaux. Le QuEST Forum collecte priodiquement les indicateurs des entreprises certies sur la base des donnes du TL 9000 ; cette base constitue un vritable observatoire, outil daide la dcision pour dnir les axes damlioration prioritaires pour les clients et ses fournisseurs. La HAS recueille les indicateurs crs par les tablissements de sant pour les diffuser ultrieurement.

232

Chapitre 36. Analyses

36.4 PROCESSUS
Aujourdhui, le mot processus est lun des termes les plus utiliss dans les entreprises. On le retrouve dans la quasi-totalit des rfrentiels. Cet emploi gnralis laisse penser quon voque le mme concept dans tous les rfrentiels, mais est-ce vraiment le cas ?

36.4.1 Vision Systme de management de lISO 9000

LISO 9001 utilise la dnition fournie par la norme ISO 9000 : Ensemble dactivits corrles ou interactives qui transforme des lments dentre en lments de sortie . Lapproche processus est le matre mot de la version 2000 qui exige lidentication des processus sans toutefois en fournir de nomenclature. Chaque entreprise doit construire sa cartographie des processus en cohrence avec sa stratgie. Les processus cls sont ceux du mtier de lentreprise. Une ide reue voudrait que les processus aillent du fournisseur vers le client ou dans le meilleur des cas du client vers le fournisseur. En fait, les processus vont bien du client au client comme on peut lobserver dans le schma explicatif de lISO 9000 (Modle dun systme de management de la qualit bas sur des processus) : ils transforment lexpression du besoin en satisfaction tout autant quils transforment les lments physiques dentre du processus en lments de sortie.

36.4.2 Vision de la HAS

La version exprimentale de novembre 2003 du Manuel daccrditation des tablissements de sant de lANAES introduit la notion de processus de la manire suivante : Ce terme est apparu dans le vocabulaire franais au milieu du XVIe sicle (1541). Il vient du latin processus, progrs, action de savancer. Ensemble complexe de tches raliser dans un objectif donn. ne pas confondre avec la procdure qui dcrit la manire de raliser le processus . En septembre 2004, la dnition du terme processus a t modie pour saligner sur celle de lISO 9001:2000. La notion de processus apparat systmatiquement dans le manuel. On y trouve deux grandes catgories de processus : les processus mtiers et les processus de support. Cette dernire catgorie fait lobjet du chapitre 2 Ressources transversales du Manuel daccrditation des tablissements de sant.

36.4.3 Vision Ingnierie du logiciel de lISO 12207

LISO 12207 sur lequel sappuie lISO 15504 dnit le processus comme un ensemble dactivits lies qui transforment des lments entrants en lments sortants et en fournit une nomenclature assimilable une liste dactivits. Toutefois, lamendement de 2002 de lISO 12207 dcrit les processus en termes de nalits atteindre et de rsultats produire. LISO 12207 est ainsi utilisable comme modle de rfrence de processus pour une valuation laide de la norme ISO 15504.

36.4 Processus

233

36.4.4 Vision du SEI

Pour sa part, le SEI ne dcrit pas de processus. Historiquement, le SW-CMM ne traitait que dun seul processus : le processus logiciel. Pour mettre en uvre ce processus, un ensemble de secteurs cls tait dni en fonction du niveau de maturit. Le processus est dcrit comme un levier permettant lamlioration durable dune entreprise, via des progrs successifs jalonnant le cheminement dun processus improvis et immature vers un processus mature et disciplin. Le SEI reprenait alors la dnition de lIEEE-STD-610 : Un processus est une suite dtapes ralises dans un but donn . Le processus logiciel est ainsi un enchanement dactivits, de mthodes, de pratiques et de transformations permettant le dveloppement et la maintenance de logiciels et des produits associs (plans de projet, documents de conception, programmes, jeux de tests et manuels utilisateur). Dans le CMMI, le SEI prcise que les descriptions fournies ne sont ni des processus, ni des descriptions de processus et que chaque entreprise doit adapter son contexte les domaines de processus du CMMI pour laborer ses processus. Ces domaines de processus ne font que dcrire des comportements qui devraient tre mis en place dans toute entreprise.

36.4.5 Vision du PMI

Le PMBOK dnit un processus comme tant une srie dactions qui produit un rsultat . Il distingue deux catgories de processus :
Les processus de management de projet dcrivent les activits communes tout

type de projet. Ils sont regroups en neuf domaines de connaissances.

Les processus de production traitent des spcications et de la cration du

produit nal. Ils sont dnis par le cycle de dveloppement du projet et varient selon le domaine dapplication.

36.4.6 Vision PRINCE2

PRINCE2 dcrit une mthode de management de projet base de processus. Pour PRINCE2 un processus est ce qui doit tre ralis pour parvenir un rsultat particulier, en termes dinformations runir, de dcisions prendre et de rsultats produire .

36.4.7 Vision ITIL

Dans ITIL, la qualit de service se fonde sur une approche processus. Un processus se dnit comme une srie organise dactions, dactivits, de changements excuts par des acteurs avec lintention de satisfaire et datteindre un objectif .

234

Chapitre 36. Analyses

Il est peru comme un modle :

compos dactivits excutes par des acteurs connaissant leurs rles et respon-

sabilits ;
disposant de spcications dentre et de sortie ; contrl par un systme de mesure effectif connu des acteurs impliqus ; avec un engagement de rsultats ; supervis par un propritaire de processus.

36.4.8 Vision Scurit

Dans le domaine de la scurit, la grande innovation des ITSEC et des Critres communs (ISO 15408) a t dexiger la formalisation et la mise en uvre de bonnes pratiques dans les processus de dveloppement, dvaluation et de production. Les dispositifs plus anciens ne sintressaient quau produit rsultat quil sufsait de contrler.

36.4.9 Conclusion
On saperoit que les utilisations du terme processus varient dun rfrentiel lautre. Son emploi traduit cependant toujours le besoin de formaliser et de modliser le fonctionnement dune entreprise ou dun systme pour mieux le comprendre et pour mieux le matriser. Le processus reprsente laspect dynamique de lentreprise, son pouvoir de transformation des ressources avec valeur ajoute. La reconnaissance de la performance de lentreprise est toujours plus ou moins la reconnaissance de lefcacit de ses processus.

36.5 ACCRDITATION DES ORGANISMES DE CERTIFICATION

On constate que le terme accrditation employ dans diffrents contextes prsente diffrentes acceptions. Pourquoi ? Au sens premier, laccrditation est un mcanisme par lequel un acteur, personne ou organisme, donne sa garantie en faveur dun tiers. Laccrditation donne la lgitimit pour agir en qualit de . Ainsi, tout comme un ambassadeur est accrdit pour reprsenter son pays, un organisme de certication est accrdit pour dlivrer un certicat au nom dun organisme ofciel, lequel lui dlgue ce pouvoir en garantissant en mme temps la valeur du certicat mis. Les organismes daccrditation nationaux, tout comme les tats accrditent leurs ambassadeurs, se font conance mutuellement en reconnaissant lquivalence des certicats dlivrs par les organismes avec lesquels ils ont conclu des accords de reconnaissance mutuelle.

36.5 Accrditation des organismes de certification

235

En France, le Comit franais daccrditation (COFRAC) a t mis en place par les pouvoirs publics pour cautionner les organismes quil accrdite dans la preuve de leur comptence et impartialit. Il a sign des accords de reconnaissance mutuelle avec des organismes europens et internationaux grce auxquels les certicats obtenus par des organismes quil a accrdits sont accepts partout. Nanmoins, il nest pas indispensable dobtenir une accrditation dlivre par un organisme tel que le COFRAC pour raliser des activits de certication reconnues. La valeur du certicat ne dpend que de la notorit de lorganisme certicateur. Cest en particulier le cas de ce que nous appellerons des dispositifs propritaires qui ralisent des valuations, mais aussi parfois des certications. Nous citerons par exemple la certication des tablissements de sant : la HAS dlivre elle-mme le certicat ltablissement de sant en lui accordant ainsi son crdit, synonyme de conance dans lexcution de ses activits. LIAF (International Accreditation Forum) regroupe au sein dun organisme international les comits daccrditation des diffrents pays ou diffrentes rgions du monde, tels le COFRAC pour la France. Il facilite la mise en place daccords de reconnaissance mutuelle entre ces organismes et veille la qualit des processus daccrditation mis en uvre par ses membres. Le tableau 36.1 prsente les organismes daccrditations qui ne sont pas rglements. On voit sur ce tableau que le contrle de lattestation est effectu par lorganisme propritaire du dispositif. Ce contrle seffectue soit par la matrise des valuateurs, soit par la matrise du processus complet, de bout en bout, jusqu la dlivrance de lattestation.
Tableau 36.1 La certification non rglemente Dispositif CMMI EFQM HAS ISO 15504 TL 9000 SEI EFQM HAS iSQI/iNTACS QuEST Forum Organisme daccrditation

La certication de personnes entre systmatiquement dans le cadre dun dispositif propritaire. Le tableau 36.2 met en vidence la prsence de lorganisme daccrditation dans de nombreux pays, ce qui permet des certications dcernes en France de bncier dune reconnaissance dans ces pays.

236

Chapitre 36. Analyses

Tableau 36.2 La certification des personnes Prsence de Organisme Organisme lorganisme certificateur daccrditation daccrditation dans pour la France IPMA ICEC (ISC)2 ISACA ISACA ISACA 45 pays 41 pays 104 pays 160 pays 160 pays 160 pays AFITEP AFITEP (ISC)2 AFAI AFAI AFAI APMGInternational BCS-ISEB DANSK IT DF Certifiering AB EXIN LCS TV SD Akademie APMG au nom de lOGC Euro-Aptitudes PMI France APMG au nom de lOGC CFTL Centres dexamen en France Oui Oui Oui Oui Oui Oui

Dispositif

AFITEP-CDP AFITEP-CGP CISSP CobiT CGEIT CobiT-CISA CobiT-CISM

ITIL

APMG

33 pays (ceux des membres de litSMF)

Oui

MSP PCIE PMBOK PRINCE2 Testeur logiciel

APMG ECDL PMI APMG

Plus de 50 pays 140 pays 68 pays Plus de 50 pays

Oui Oui Oui Oui

CFTL-ISTBQ

40 pays

Oui

36.6 FORMATION DES AUDITEURS ET VALUATEURS

Quen est-il de la formation de ceux qui attribuent le certicat ? Il existe un ensemble de formations sanctionnes par un certicat spcique chaque dispositif. Ces formations permettent de suivre un schma de certication des auditeurs ou valuateurs. Elles sont gnralement agres par lorganisme de certication. Leur

36.6 Formation des auditeurs et valuateurs

237

objet est dassurer la reproductibilit des rsultats de certication ou dvaluation, quel que soit lvaluateur. Malgr tout, des diffrences peuvent exister entre des certications ralises par diffrents organismes certicateurs. En fait, cela varie dun dispositif lautre. Gnralement cest le propritaire du dispositif qui xe les rgles, dfaut cest lorganisme de certication. Dans le cas de la HAS, les experts visiteurs sont nomms par la HAS. Dans le cas de lISO 9001, il y a par exemple lInstitut de certication des auditeurs (ICA) dpendant dAFAQ-Afnor, lIRCA qui attribue la qualication LRQA. Dans le domaine de la certication de personnes, lexaminateur dtient un certicat en cours de validit. Ces exigences sont parfois plus strictes comme dans le cas de PRINCE2 o lon demande lexaminateur potentiel dobtenir 105 points lexamen de niveau Praticien, alors quon nen demande que 85 au formateur et 75 au candidat. Dans les domaines o il nexiste pas dorganisme de reconnaissance, des solutions peuvent tre trouves. Par exemple pour lvaluation de processus selon lISO 15504, cest liNTACS qui prend linitiative et agre les auditeurs et les formations.

37
Gouvernance et responsabilit sociale de lentreprise

Gouvernance dentreprise, gouvernance informatique, responsabilit sociale de lentreprise et dveloppement durable font dsormais partie du vocabulaire des dirigeants. Sans dvelopper ces concepts qui font lobjet de nombreuses publications, nous essaierons de montrer comment ils sinscrivent naturellement dans lvolution des dispositifs de reconnaissance.

37.1 GOUVERNANCE
Le concept de gouvernance est apparu rcemment dans certaines entreprises franaises en rponse aux inquitudes de leurs actionnaires alerts par plusieurs scandales boursiers. La dmarche de gouvernance est dabord une dmarche de surveillance et de matrise des risques. Elle sappuie sur des rfrentiels de nature rglementaire gnralement issus des organismes de surveillance boursiers. Nous citerons en Angleterre le Combined Code on Corporate Governance (Code combin sur la gouvernance dentreprise) et le Rapport Turnbull Internal control : Guidance for Directors on the Combined Code (Lignes directrices lusage des directeurs pour la mise en uvre du Code combin) ; ils sappliquent tous deux aux socits cotes la Bourse de Londres. Ces rapports prcisent les responsabilits des membres du conseil dadministration dans la mise en place et lentretien dun systme de contrle interne et de gestion des

240

Chapitre 37. Gouvernance et responsabilit sociale de lentreprise

risques. En France, la Loi de scurit nancire renforce les pouvoirs de contrle en crant une Autorit des marchs nanciers, mais elle sarrte aux portes de lentreprise sans dnir les principes de gouvernance. Historiquement, la dmarche qualit sintressait prioritairement la satisfaction du client. La gouvernance dentreprise sintresse la protection des intrts de lactionnaire et principalement des sujets comme le salaire des dirigeants ou les irrgularits comptables. Le principe de base de la gouvernance est la transparence associe lexigence de rendre des comptes. La non-satisfaction du client fait partie des risques surveiller car elle entranerait la perte des clients et donc celle des bnces. LEFQM et les rfrentiels qui prennent leur source dans les concepts de la qualit totale rpondent la fois aux exigences des clients et celles de lactionnaire. Le manager de lexcellence russit satisfaire tous les acteurs, y compris dailleurs les employs, les fournisseurs et lensemble de la socit civile quil respecte au nom de principes thiques clairement afchs. Une bonne gouvernance est soucieuse du respect de lenvironnement et du dveloppement durable, qui intgre des proccupations cologiques, sociales et conomiques.

37.2 MERGENCE DE LA RESPONSABILIT SOCIALE DE LENTREPRISE

Les rfrentiels qualit prsents dans cet ouvrage prennent en compte les besoins et exigences de diffrentes parties prenantes quil convient de satisfaire. Ctait en premier lieu des acteurs individuels en relation directe avec lentreprise : clients, fournisseurs, actionnaires, employs. Les modles de qualit totale, dont lEFQM, ont fait apparatre dans la liste de ces acteurs une partie prenante globale sous le terme de socit. La Responsabilit sociale de lentreprise (RSE) pose les principes de la satisfaction des besoins et attentes de la collectivit. La RSE suppose ainsi un largissement du champ des acteurs prendre en compte, mais galement un nouveau rapport au temps : la plupart des rfrentiels intgrent les notions de temps et de dure de faon implicite au travers de boucles damlioration continue, dactions correctives et prventives visant en particulier limiter limpact de risques identis. Lchelle de temps classique est dj inscrite dans celle de lentreprise et de son cycle daffaires. Le dveloppement durable introduit une chelle de temps diffrente qui rpond aux exigences de prservation de la plante pour les gnrations futures. Dabord diffuss dans la sphre politique, ces principes du dveloppement durable ont aujourdhui pntr la sphre conomique ; ils sont de plus en plus souvent intgrs la stratgie dentreprise en tant qulment diffrenciateur. Pour grer son risque de rputation et sous la pression de son environnement (consommateurs, mdias, organismes non gouvernementaux, certains syndicats et fonds dinvestissement thiques) lentreprise est amene tenir compte de limpact de ses activits sur le social, lhumain et le biotope.

37.3 Responsabilit sociale et systme dinformation

241

Les arguments et critres relevaient, il y a quelques dcennies, dune politique cologiste juge trop souvent utopiste et marginale : ils sont aujourdhui repris par les gouvernements et appliqus aux entreprises cotes par les organismes de surveillance boursiers. Au-del du positionnement long terme, cette approche vise, par une meilleure matrise des risques, donner conance lopinion publique et aux investisseurs. Lintrt conomique de lentreprise peut ainsi rejoindre dans un cercle vertueux celui du citoyen. Des informations sociales et environnementales sont dsormais exiges en France par le dcret n 2002-211 du 20 fvrier 2002, en application de larticle 116 de la Loi sur les Nouvelles rglementations conomiques (Loi NRE) qui introduit une obligation de rapports sur limpact social, environnemental et territorial de lactivit des entreprises. Les socits cotes sur un march rglement ont dsormais lobligation de rendre compte, dans leur rapport annuel, non plus seulement de leur gestion nancire mais aussi de leur gestion sociale et environnementale au travers de leurs activits. Une Stratgie nationale de dveloppement durable (SNDD) a t dnie par le gouvernement Franais avec un impact sur les marchs publics. Approuv par la Commission technique des marchs le 9 dcembre 2004, le Guide de lachat public co-responsable dnit par exemple des critres dachats de produits et services. Vu de lentreprise, le dveloppement durable nest que lun des volets de la RSE qui associe diffrentes proccupations : thique, environnementale, sociale, citoyenne, cologique, nancire.

37.3 RESPONSABILIT SOCIALE ET SYSTME DINFORMATION

Les relations entre responsabilit sociale, dveloppement durable et systmes dinformation sont peu videntes premire vue. Lindustrie du logiciel ne pollue pas directement. Daprs un rapport de fvrier 2003, Study on External Environmental Effects Related to the Life Cycle of Products and Services, ralis pour la Commission europenne, les quipements informatiques ne contribueraient que marginalement leffet de serre et lacidication de lair ; le recyclage des vieux ordinateurs pose quelques problmes dans les pays les plus dvelopps (qui sen dbarrassent dans les pays pauvres !), mais ne met pas rellement la plante en pril. Un rapport sur les TIC et le dveloppement durable, publi le 11 mars 2009 la demande du gouvernement franais souligne que les TIC ont un apport positif pour la rduction des missions de gaz effet de serre, en permettant dconomiser 1 4 fois leurs propres missions sur le reste de lconomie . La dmatrialisation des procdures administratives, le tltravail ou le e-commerce sont autant de nouveaux usages permis par les TIC qui permettent de rduire la consommation globale dnergie. Les liens sont plutt trouver en sens inverse : les systmes dinformation contribuent la boucle damlioration globale en fournissant les informations utiles la matrise des risques et aux prises de dcision. La Commission europenne a ainsi dcid en 2008 de dvelopper un systme de partage dinformation sur lenvironnement

242

Chapitre 37. Gouvernance et responsabilit sociale de lentreprise

(http://ec.europa.eu/environment). Pour une mise en uvre efcace, les rfrentiels quels quils soient ont besoin dun systme dinformation able. Comment prendre des dcisions concernant lutilisation des ressources nergtiques au niveau plantaire en labsence de systmes puissants de traitement et danalyse de donnes ? lchelle de lentreprise, la prennit du processus de management de linformation conditionne la prennit des activits. Nous citerons le fascicule FD X50-185 Outils de management Management de linformation qui indique quun dysfonctionnement de ce processus pourrait avoir de graves consquences sur son activit . Lentreprise se doit :
dvaluer ses besoins en information ; didentier les sources dinformation, internes et externes dont elle a besoin ; de mettre en place laccs ces sources dinformation ; de convertir les informations en connaissances utiles pour lentreprise ; dutiliser ces donnes, informations et connaissances pour tablir ses stratgies

et atteindre ses objectifs. En matire de systme dinformation, la responsabilit sociale de lentreprise passe par une attitude responsable concernant la gestion de linformation :
protection des informations qui lui sont cones et plus spcialement des

donnes caractre personnel ;

utilisation responsable des informations favorisant par exemple une diffusion

non intrusive, limitant les messages indsirables ;

information du personnel sur sa stratgie et les besoins de formation ou de

reconversion qui en dcoulent ; partage de connaissances lintrieur de lentreprise ou de communauts professionnelles largies ; diffusion la collectivit de toutes les informations utiles la matrise des risques, par exemple les non-conformits des produits ou les risques environnementaux induits par leur activit. La liste prcdente nest probablement pas exhaustive, mais vise suggrer que des moyens dactions trs directs en matire de RSE sont mettre entre les mains des entreprises.

37.4 RFRENTIELS POUR LA RESPONSABILIT SOCIALE

37.4.1 Multiplicit des rfrentiels
Les agences de notation ont construit leurs rfrentiels en sappuyant la fois sur les rfrentiels qualit existants et sur un ensemble de textes lgislatifs et rglementaires internationaux.

37.4 Rfrentiels pour la responsabilit sociale

243

Nous citerons, sans prtendre tre exhaustif :

lISO 14001, norme de rfrence en matire de systme environnemental ; la Loi sur les Nouvelles rglementations conomiques ; les Principes directeurs de lOCDE lintention des entreprises multinationales ; les lignes directrices de lOCDE sur la gouvernance dentreprise, appeles

Principes de gouvernement dentreprise de lOCDE ; lensemble documentaire de la GRI (Global reporting initiative) ; le standard priv SA 8000 ; le guide SD 21000 (FD X30-021). Les Principes directeurs de lOCDE destination des multinationales ont t rviss en juin 2000. Adresses par les gouvernements aux entreprises multinationales, ces recommandations visent aider les entreprises, les organisations syndicales et la socit civile promouvoir une attitude responsable. Les gouvernements qui y ont souscrit sengagent en promouvoir lapplication et faire en sorte que les principes inuent sur le comportement des entreprises exerant des activits sur leur territoire ou partir de celui-ci. Lapplication effective de ces principes se heurte toutefois beaucoup de difcults pratiques : les Principes directeurs de lOCDE lattention des entreprises multinationales ne sont pas considrs comme un instrument adquat pour enrayer les comportements pervers des entreprises. Cest la conclusion dOECD Watch, un rseau international dONG uvrant pour la responsabilit des entreprises, dans le rapport diffus en septembre 2005 intitul Cinq ans aprs : revue critique sur les Principes directeurs de lOCDE et les points de contact nationaux. Suite la crise nancire de 2008, le secrtaire gnral de lOCDE propose en 2009 une stratgie de renforcement de lthique des affaires. Les Lignes directrices de lOCDE sur la gouvernance dentreprise de 1999 ont t renforces en 2004 en raction aux divers scandales surgis dans le monde des affaires. Elles se focalisent sur les problmes pouvant natre de la sparation entre la proprit et le contrle dans les entreprises. Elles ne se limitent pas la relation entre actionnaires et quipe de direction, mais elles traitent galement des droits des actionnaires minoritaires et des employs. La GRI est une initiative internationale laquelle participent des entreprises, des ONG, des cabinets de consultants, des universits. Cre en 1997, base Amsterdam, la GRI dicte des lignes directrices pour aider les entreprises produire, si elles le souhaitent, des rapports sur les dimensions conomiques, sociales et environnementales de leurs activits, produits et services. En matire de responsabilit sociale, le standard priv SA 8000 repose sur plusieurs conventions de lOrganisation internationale du travail. Il a t lanc en octobre 1997 par le SAI (Social Accountability International), un organisme non gouvernemental bas aux tats-Unis qui dveloppe des standards et un programme de certication relatifs la responsabilit sociale. Certains critres concernent lemploi des enfants, la main-duvre force, la sant et la scurit ainsi que la rmunration.

244

Chapitre 37. Gouvernance et responsabilit sociale de lentreprise

En France, le guide SD 21000 (FD X30-021) publi par Afnor se veut un guide de bonnes pratiques lusage des entreprises.

37.4.2 Bientt lISO 26000 ?

Face cette multiplicit de standards et dapproches et la demande exprime en juin 2002 par des associations de consommateurs, lISO a enclench un processus normatif international qui devrait dboucher sur la publication de la norme internationale ISO 26000 sur la RSE. La composition des groupes dtude prvoit une reprsentation quilibre des parties prenantes au sein dun groupe de travail de lISO sur la responsabilit sociale, cest--dire avec des reprsentants de lindustrie, des gouvernements, du monde du travail, des associations de consommateurs, des organisations non gouvernementales, des secteurs des services, des services de soutien, de la recherche, etc. En outre, la responsabilit de direction des groupes dtude se doit dtre partage entre les pays dvelopps et les pays en dveloppement. Initialement annonce en octobre 2008, la publication a toutefois pris du retard et nest plus annonce avant n 2010. Les groupes de travail runissent 84 pays dont les proccupations ont du mal converger, les pays pauvres craignant que cette norme ne serve de barrire commerciale aux pays riches. Cette norme se prsentera comme un recueil de recommandations et de bonnes pratiques issues des diffrentes conventions adoptes ce jour par les Nations Unies et lOrganisation internationale du travail en matire de responsabilit sociale. LISO a rafrm quelle ne pourra pas servir une certication, an de rassurer les pays pauvres sur lutilisation protectionniste qui pourrait en tre faite. Le dbat est loin dtre clos. Gageons que les entreprises souhaiteront faire reconnatre leur engagement de faon plus ofcielle vis--vis des consommateurs et obtiendront la mise en place dun rfrentiel de certication permettant de vrier lapplication des bonnes pratiques de la norme ISO 26000. Aprs stre appliqu la qualit, la scurit ou la gestion de services, le couplage norme dexigences norme de recommandations serait ainsi tendu la RSE. Les cabinets daudit tels que PricewaterhouseCoopers, Deloitte et Touche, Ernst & Young, KPMG pourraient tre prts assurer ce rle de certicateur. Dans leur rle de commissaires aux comptes, ils vrient classiquement des donnes nancires. Dans le cadre de la norme ISAE 3000 (prcdemment ISAE 100) de lIAASB (International Auditing and Assurance Standard Board), ils sont dsormais amens vrier galement des donnes non nancires portant sur les dmarches engages par lentreprise en matire de responsabilit sociale. On peut galement penser que de nouveaux rfrentiels toujours plus exigeants apparatront et entraneront les entreprises dans ce mouvement porteur de conance en lavenir.

Acronymes et organismes

(ISC)2 ADELI Ae-SCM AFAI AFITEP AFNOR AICPA AIPM AMF ANAES ANSI APMG ARC ATO B2I BS BSC BSI C2I CAPM

International Information Systems Security Certification Consortium Association pour la matrise des systmes dinformation Association franaise pour la promotion des bonnes pratiques de sourcing Association franaise de laudit et du conseil informatiques Association francophone de management de projet Lorganisme de normalisationfranais American Institute of Certified Public Accountants Australian Institute of Project Management Autorit des marchs financiers Agence nationale daccrditation et dvaluation en sant American National Standards Institute Association For Project Management Group Appraisal Requirements for CMMI Accredited Training Organisation Brevet informatique et internet British Standard Balanced ScoreCards Lorganisme de normalisation britannique Certificat informatique et internet Certified Associate in Project Management

246

Guide des certifications SI

(suite) CBK CCRA CDP CEI CEN CEPIS CESTI CFTL CGEIT CGP CIGREF CIL CISA CISM CISSP CMM CMMI CMMI-ACQ CMMI-DEV CMMI-SVC CMS CobiT COFRAC COSO CPE CRBF CSEP CSI DCSSI DGA DGI DMAAC Common Body of Knowledge for Information Security Common Criteria Recognition Agreement Certification en direction de projet de lAFITEP (AFITEP-CDP) Comit lectronique international Comit europen de normalisation Council of European Professional Informatics Societies Centre dvaluation de la scurit des technologies de linformation Comit franais des tests logiciels Certified in the Governance of Enterprise IT Certification en gestion de projet de lAFITEP (AFITEP-CGP) Club informatique des grandes entreprises franaises Correspondant informatique et liberts Certified Information System Auditor Certified Information Security Manager Certified Information Systems Security Professional Capability Maturity Model Capability Maturity Model Integration CMMI for acquisition CMMI for development CMMI for services Configuration Management System Control objectives for information and related Technology Comit franais daccrditation Committee Of Sponsoring Organizations Continuing Professional Education Comit de la rglementation bancaire et financire Certification Systems Engineering Program Continual Service Improvement Direction centrale de la scurit des systmes dinformation Dlgation gnrale pour larmement Direction gnrale des impts Dfinir, mesurer, analyser, amliorer et contrler

Acronymes et organismes

247

(suite) DMAIC DSI DSSI EAL EBIOS ECDL ECDL-F EFQM EN eSCM eSCM-SP eSCP-CL EXIN FAA-iCMM FD GRI HAS IAASB IAS ICDL ICEC ICMB IFRS IGSI INTACS INCOSE IPMA IRCA ISACA ISEB ISMS ISO Define, Measure, Analyse, Improve, Control Direction (ou directeur) des systmes dinformation Direction de la scurit des systmes dinformation Evaluation Assurance Level Expression des besoins et identification des objectifs de scurit European Computer Driving Licence Fondation ECDL European Foundation for Quality Management European Norm eSourcing Capability Model eSourcing Capability Model for Service Providers eSourcing Capability Model for Client Organizations Examination Institute for Information science Federal Aviation Administration Integrated Capability Maturity Model Fascicule de documentation Global Reporting Initiative Haute autorit de sant International Auditing and Assurance Standard Board International Accounting Standards International Computer Driving Licence International Cost Engineering Council ITIL Certification Management Board International Financial Reporting Standards Institut de la gouvernance des systmes dinformation International Accreditation Certification Scheme International Council on Systems Engineering International Project Management Association International Register of Certificated Auditors Information Systems Audit and Control Association Information Systems Examinations Board Information Security Management Systems Organisation internationale de normalisation

248

Guide des certifications SI

(suite) iSQI ISSEA ISTQB IT ITGI ITIL ITSEC ITSEM ITSM itSMF ITsqc LRQA LSF MALC MAP MOF M_o_R MSP NF OCDE OGC OHSAS P2MM P3M3 PCAOB PCIE PDCA PDU PGMP PMBOK PMI PMI-RMP International Software Quality Institute International Systems Security Engineering Association International Software Testing Qualifications Board Information Technology Information Technology Governance Institute Information Technology Infrastructure Library Information Technology Security Evaluation Criteria Information Technology Security Evaluation Manual Information Technology Service Management IT Service Management Forum IT Services Qualification Center Lloyds Register Quality Assurance Loi de scurit financire Managing Across the Life Cycle Ministre de lagriculture et de la pche Microsoft Operation Framework Management of Risk Managing Successful Programmes Norme franaise Organisation de coopration et de dveloppement conomiques Office of Government Commerce Occupational Health and Safety Assessment System PRINCE2 Maturity Model Portfolio Programme and Project Management Maturity Modell Public Company Accounting Oversight Board Passeport de comptences informatique europen Plan-Do-Check-Act Professional Development Unit Program Management Professional Project Management Book of Knowledge Project Management Institute PMI Risk Management Professional

Acronymes et organismes

249

(suite) PMI-SP PMP PRINCE PUG QCM QuEST Forum QSE R&D ROI SAI SACM SAS 70 SCAMPI SEC SEI SI SOF SPICE SPIN SSAM SSE-CMM SW-CMM SWEDAC TI TOE UKAS WAI PMI Scheduling Professional Project Management Professional Projects IN Controlled Environments PRINCE User Group Questions choix multiples Quality Excellence for Suppliers of Telecommunications Forum Qualit scurit environnement Recherche et dveloppement Return On Investment (retour sur investissement) Social Accountability International Service Asset and Configuration Management Statement on Auditing Standards n 70 Standard CMMI Appraisal Method for Process Improvement Securities and Exchanges Commission Software Engineering Institute de lUniversit Carnegie Mellon aux tats-Unis Systme dinformation Strength Of Function Software Process Improvement Capability dEtermination Software Process Improvement Network SSE-CMM Appraisal Method Systems Security Engineering Capability Maturity Model Capability Maturity Model for Software Swedish Board for Accreditation and Conformity Assessment Technologies de linformation Target Of Evaluation United Kingdom Accreditation Service Web Accessibility Initiative

Rfrences bibliographiques

Lorsquaprs la rfrence, un site Internet est indiqu, cela signie que le document est tlchargeable gratuitement. ARC, V1.2, aot 2006 : http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tr011.pdf An Introductory Overview of ITIL V3 Pocketbook - itSMF http://www.best-managementpractice.com/gempdf/itSMF_An_Introductory_Overview_of_ITIL_V3.pdf Ble II, Convergence internationale de la mesure et des normes de fonds propres Dispositif rvis Ble II, Banque des rglements internationaux (Bank for International Settlements, BIS), version franaise de juin 2004 http://www.bis.org/publ/bcbs107fre.pdf et anglaise plus rcente de novembre 2005 http://www.bis.org/publ/bcbs118.htm Building an ITIL Based Service Management Department - Malcom Fry Cadre dauto-valuation des fonctions publiques http://www.chartemarianne.gouv.fr/IMG/pdf/CAF_2003.pdf CBA-IPI CMM-Based Appraisal for Internal Process Improvement, Version 1.2 Method, CMU/SEI-2001-TR-033 http://www.sei.cmu.edu/publications/documents/01.reports/01tr033.html CEM Common Methodology for Information Technology Security Evaluation V 3.1 sept. 2007 http://www.ssi.gouv.fr/site_documents/CC/CEMV3.1r2.pdf Cinq ans aprs : revue critique sur les principes directeurs de lOCDE et les points de contact nationaux http://www.oecdwatch.org/FR/docs/OECD_Watch_5_years_on.pdf CISSP For Dummies, Lawrence C. Miller, Peter H. Gregory, Wiley 2002.

252

Guide des certifications SI

CMMI for Acquisition, version 1.2, novembre 2007, CMU/SEI-2007-TR-017 http://www.sei.cmu.edu/publications/documents/07.reports/07tr017.html CMMI for Acquisition (CMMI-ACQ) Primer, version 1.2, mai 2008, CMU/SEI-2008TR-010 http://www.sei.cmu.edu/publications/documents/08.reports/08tr010.html CMMI for Development, version 1.2, aot 2006, CMU/SEI-2006-TR-008 http://www.sei.cmu.edu/publications/documents/06.reports/06tr008.html CMMI for Services, version 1.2, fvrier 2009, http://www.sei.cmu.edu/publications/documents/09.reports/09tr001.html CMMI 2e dition - Guide des bonnes pratiques pour lamlioration des processus - Pearson Education France - ISBN 978-2-7440-7304-5. CMMI 1.2 Laide-mmoire : Les domaines de processus du CMMI-DEV, Richard Basque, octobre 2008. CMMI, toutes les constellations : http://www.sei.cmu.edu/cmmi/models/ CobiT, AFAI. CobiT QuickStart, AFAI Code montaire et nancier, textes lgislatifs http://www.legifrance.gouv.fr/ Combined Code on Corporate Governance http://www.fsa.gov.uk/pubs/ukla/lr_comcode2003.pdf Critres communs pour lvaluation de la scurit des technologies de linformation http://www.ssi.gouv.fr/fr/conance/methodologie.html Dcret n 97-298 du 27 mars 1997 relatif au code de la consommation (partie rglementaire) http://www.legifrance.gouv.fr/ Dcret n 97-311 du 7 avril 1997 relatif lorganisation et au fonctionnement de lAgence nationale daccrditation et dvaluation en sant (ANAES) institue larticle L. 791-1 du code de la sant publique et modiant ce code (deuxime partie : dcrets en Conseil dtat) http://www.legifrance.gouv.fr/ Dcret n 2002-221 du 20 fvrier 2002 pris pour lapplication de larticle L. 225-102-1 du code de commerce et modiant le dcret n 67-236 du 23 mars 1967 sur les socits commerciales http://www.legifrance.gouv.fr/ Dcret n 2002-535 du 18 avril 2002 relatif lvaluation et la certication de la scurit offerte par les produits et les systmes des technologies de linformation http://www.legifrance.gouv.fr/ Delivering IT Services using ITIL, PRINCE2 and DSDM Atern OGC.

Rfrences bibliographiques

253

DO-178B, Software Considerations in Airborne Systems and Equipment Certication, RTCA. EBIOS, Mthode dexpression des besoins et didentication des objectifs de scurit http://www.ssi.gouv.fr/fr/conance/ebiospresentation.html Economic Consequences of the Sarbanes-Oxley Act of 2002, Ivy Xiying Zhang, fvrier 2005 http://w4.stern.nyu.edu/accounting/docs/speaker_papers/spring2005/Zhang_Ivy_ Economic_Consequences_of_S_O.pdf EFQM http://www.AFNOR.org/efqm/information/librairie_efqm.html EFQM http://www.efqm.com/Portals/0/EFQM_Catalogue_Price_List.pdf EIA/IS 731-1, Systems Engineering Capability Model, Interim Standard, Electronic Industries Alliance, 1er aot 2002. Emerging Trends in Internal Controls, Forth Survey and Industry Insights, Ernst & Young, septembre 2005 http://www.sarbanes-oxley.be/aabs_emerging_trends_survey4.pdf eSCM-CL The eSourcing Capability Model for Client Organizations, Model Overview fvrier 2006 http://itsqc.cs.cmu.edu eSCM-CL The sourcing Capability Model for clients organizations The eSCM-CL V1.1: Model Overview, ITsqc et Carnegie Mellon University, Juillet 2006 http://itsqc.cs.cmu.edu. The eSCM-CL V1.1 : Practice Details, ITsqc et Carnegie Mellon University, juillet 2006 http://itsqc.cs.cmu.edu eSCM-CL Le modle daptitude leSourcing pour les clients - Le guide, Ae-SCM, juin 2008 http://www.ae-scm.com eSCM-SP The sourcing Capability Model for service Providers The eSCM-SP V2: Model Overview, ITsqc et Carnegie Mellon University, avril 2004 http://itsqc.cs.cmu.edu. The eSCM-SP V2 : Practice Details, ITsqc et Carnegie Mellon University, avril 2004 http://itsqc.cs.cmu.edu eSCM-SP Le modle daptitude leSourcing pour les prestataires - Le guide, AeSCM, octobre 2008 http://www.ae-scm.com FD X50-105 Le management de projet Concepts, aot 1991.

254

Guide des certifications SI

FD X50-107 Management de projet Certication du personnel en matrise de projet, dcembre 1991. FD X50-108 Management de projet Terminologie dans les contrats dingnierie industrielle Formes de liens contractuels, de rmunration valuation des rsultats et sanction Vocabulaire, dcembre 1991. FD X 50-127 Outils de management Matrise du processus de conception et dveloppement, avril 2002. FD X 50-128 Outils de management Lignes directrices pour le processus achat et approvisionnement, mai 2003. FD X 50-171 Systme de management de la qualit Indicateurs et tableaux de bord, juin 2000. FD X 50-172 Management de la qualit Enqute de satisfaction des client, mars 1999. FD X 50-174 Management de la qualit Mesure de lefcacit dun systme qualit, septembre 1998. FD X 50-176 Outils de management de la qualit Management des processus, octobre 2005. FD X 50-179 Management de la qualit Guide pour lidentication des exigences du client, dcembre 2000. FD X 50-183 Outils de management Ressources humaines dans un systme de management de la qualit Management des comptences, juillet 2002. FD X50-185 Outils de management Management de linformation, mars 2004. FD X50-186 Systme de management Lignes directrices pour la mise en place dun processus dauto-valuation, juillet 2005. FD X 50-190 Management de la qualit Capitalisation dexprience, septembre 2000. FD X 50-193 Outils de management Relations mutuellement bnques : facteur de croissance durable Lignes directrices pour une approche des relations mutuellement bnques entre organismes, avril 2006. FD X 50-195 Systmes de management Lignes directrices pour le management dun organisme, novembre 2005. Guide daide la cotation Deuxime procdure de certication des tablissements de sant (V2), novembre 2005, http://www.hassante.fr/portail/upload/docs/application/pdf/aide_cotation_v2.pdf Guide de lachat public co-responsable http://www.ecologie.gouv.fr/IMG/pdf/guide_achats_publics_eco_responsables.pdf Guide de poche PRINCE2, OGC. Guide de poche sur la Gestion des services des TI, itSMF.

Rfrences bibliographiques

255

IEEE-STD-610, IEEE Computer Dictionary Compilation of IEEE Standard Computer Glossaries, 610-1990. INCOSE SE Handbook, INCOSE. IPD-CMM Integrated Product Development CMM http://www.sei.cmu.edu/cmm/ipd-cmm.html IPMA Competence baseline http://www.atep.fr/Catalogue/docs/icb.pdf ISAE 3000 International Standard on Assurance Engagements Assurance Engagements Other Than Audits or Reviews of Historical Financial Information, IAASB de lIFAC. ISO 9000 Systmes de management de la qualit Principes essentiels et vocabulaire, NF EN ISO 9000, octobre 2005. ISO 9001 Systmes de management de la qualit Exigences, NF EN ISO 9001, dcembre 2000. ISO 9004 Systmes de management de la qualit Lignes directrices pour lamlioration des performances, NF EN ISO 9004, dcembre 2000. ISO 9126-1 Gnie du logiciel Qualit des produits Partie 1 : modle de qualit, ISO/CEI 9126-1, juin 2001. ISO 10001 Management de la qualit Satisfaction du client Lignes directrices relatives aux codes de conduite des organismes, novembre 2007. ISO 10002 Management de la qualit Satisfaction des clients Lignes directrices pour le traitement des rclamations dans les organismes, juillet 2004. ISO 10003 Management de la qualit Satisfaction du client Lignes directrices relatives la rsolution externe de conits aux organismes, novembre 2007). ISO 10004 Lignes directrices sur la surveillance et la mesure de la satisfaction client (en projet). ISO 10005 Systmes de management de la qualit Lignes directrices pour les plans qualit, juin 2005. ISO 10006 Systmes de management de la qualit Lignes directrices pour le management de la qualit dans les projets, FD ISO 10006, dcembre 2003. ISO 10007 Systmes de management de la qualit Lignes directrices pour la gestion de la conguration, juin 2003. ISO 10012 Systmes de management de la mesure Exigences pour les processus et les quipements de mesure, avril 2003. ISO 10013 Lignes directrices pour la documentation des systmes de management de la qualit, juillet 2001. ISO 10014 Management de la qualit Lignes directrices pour raliser les avantages nanciers et conomiques, juin 2006.

256

Guide des certifications SI

ISO 10015 Management de la qualit Lignes directrices pour la formation, dcembre 1999. ISO 10017 Lignes directrices pour les techniques statistiques relatives lISO 9001:2000, mai 2003. ISO 10018 Management de la qualite Lignes directrices pour la participation et les comptences de personnes (en projet). ISO 10019 Lignes directrices pour la slection de consultants en systmes de management de la qualit et pour lutilisation de leurs services, janvier 2005. ISO 10020 Satisfaction du client Mesure et surveillance de la satisfaction client, ISO TR 10020 (en dveloppement). ISO 12207 Traitement de linformation Ingnierie du logiciel Processus du cycle de vie du logiciel, NF ISO/CEI 12207, novembre 1995 et aussi lamendement n 1 de mai 2002 et lamendement n 2 de novembre 2004. ISO TR 12888-1 : Illustrations choisies dtudes de rptabilit et de reproductibilit par calibre, 2007 ISO 13053 Six Sigma mthodologie, en cours de rdaction, prvue pour n 2011. ISO 13335 Technologies de linformation Techniques de scurit Gestion de la scurit des technologies de linformation et des communications ; ISO/CEI 13335. ISO 14001 Systmes de management environnemental Exigences et lignes directrices pour son utilisation, NF EN ISO 14001, dcembre 2004. ISO 15408 Technologies de linformation Techniques de scurit Critres dvaluation pour la scurit TI, ISO/CEI 15408 : ISO 15408-1 Partie 1 : Introduction et modle gnral, ISO/CEI 15408-1, septembre 2005. ISO 15408-2 Partie 2 : Exigences fonctionnelles de scurit, ISO/CEI 15408-2, aot 2008. ISO 15408-3 Partie 3 : Exigences dassurance de scurit, ISO/CEI 15408-3, aot 2008. ISO 15504 Technologies de linformation valuation des procds, NF ISO/CEI 15504 : ISO 15504-1 Partie 1 : Concepts et vocabulaire, NF ISO/CEI 15504-1, novembre 2004. ISO 15504-2 Partie 2 : Excution dune valuation, NF ISO/CEI 15504-2, octobre 2003 et recticatif technique n 1 en fvrier 2004. ISO 15504-3 Partie 3 : Ralisation dune valuation, NF ISO/CEI 15504-3, janvier 2004. ISO 15504-4 Partie 4 : Conseils sur lutilisation pour lamlioration de processus et la dtermination de capacit de processus, NF ISO/CEI 15504-4, juillet 2004.

Rfrences bibliographiques

257

ISO 15504-5 Partie 5 : Un exemple de modle dvaluation de processus, NF ISO/CEI 15504-5, mars 2006. ISO 15504-6 Partie 6 : Un exemple de modle dvaluation de processus du cycle de vie systme, NF ISO/CEI 15504-6, septembre 2008. ISO 15504-7 Partie 7 : valuation de la maturit organisationnelle, NF ISO/CEI TR 15504-7), novembre 2008. ISO 15504-8 Partie 8 : Un exemple de modle dvaluation pour la gestion des service IT, NF ISO/CEI 15504-8 et qui reprend les processus du rfrentiel ITIL dclines dans la srie ISO 20000, en cours de dveloppement. ISO 15504-9 Partie 9 : (Dnition de) Objectif de prols de processus, NF ISO/CEI 15504-9, en cours de dveloppement. ISO 17024 valuation de la conformit Exigences gnrales pour les organismes de certication procdant la certication de personnes, NF EN ISO/CEI 17024, aot 2003. ISO 18045 Information technology Security techniques Methodology for IT security evaluation, ISO/CEI 18045, aot 2008. ISO 19011 Lignes directrices pour laudit des systmes de management de la qualit et/ou de management environnemental, NF EN ISO 19011, dcembre 2002. ISO 19759 Ingnierie du logiciel Guide au corpus des connaissances en gnie logiciel (SWEBOK), ISO/CEI TR 19759, septembre 2005. ISO 20000 Technologies de linformation Gestion de services, ISO/CEI 20000 ISO 20000-1 Partie 1 : Spcications, ISO/CEI 20000-1, dcembre 2005 ISO 20000-2 Partie 2 : Code de bonne pratique, ISO/CEI 20000-2, dcembre 2005. ISO 21827 Technologies de linformation Ingnierie de scurit systme Modle de maturit de capacit (SSE-CMM), ISO/CEI 21827, octobre 2008. ISO 25000 Ingnierie du logiciel Exigences de qualit du produit logiciel et valuation (SQuaRE) Guide de SQuaRE, NF ISO/CEI 25000, juillet 2005 NF ISO/CEI 25010 Ingnierie du logiciel Exigences de qualit et valuation du logiciel (SQuaRE) Modle de qualit, en cours de dveloppement. ISO 25051 Exigences de qualit pour le logiciel et valuation (SQuaRE) Exigences de qualit pour les progiciels et instructions dessais, ISO/CEI 25051, mars 2006 ISO/IEC 25051:2006/Cor 1:2007, juillet 2007. ISO 26000 Responsabilit sociale de lentreprise (en dveloppement). IS0 27000 Technologies de linformation Techniques de scurit Systmes de gestion de la scurit des informations --Vue densemble et vocabulaire (en projet). ISO 27001 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Exigences, ISO/CEI 27001, octobre 2005.

258

Guide des certifications SI

ISO 27002 Technologies de linformation --Techniques de scurit Code de bonne pratique pour la gestion de la scurit de linformation, juin 2005. ISO 27003 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Guidage dimplmentation de systme de gestion de scurit de linformation (en projet). ISO 27004 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Mesurage (en projet). ISO 27005 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Gestion du risque en scurit de linformation, juin 2008. ISO 27006 Technologies de linformation Techniques de scurit Exigences pour les organismes procdant laudit et la certication des systmes de management de la scurit de linformation, fvrier 2007. ISO 27007 Guide pour laudit dun SMSI, (en projet, titre non dnitif). ISO/TR 29901 Selected illustrations of full factorial experiments with four factors, 2007. ISO 90003 Ingnierie du logiciel et du systme Lignes directrices pour lapplication de lISO 9001:2000 aux logiciels informatiques, ISO/CEI 90003, fvrier 2004. IT Control Objectives for Sarbanes-Oxley http://www.itgi.org/ ITIL Application Management OGC. ITIL CSI-Continual Service Improvement OGC ITIL Fourniture de services (Meilleures pratiques pour), itSMF France, publication prvue en 2006. ITIL ICT Infrastructure Management OGC. ITIL Planning to Implement Service Management OGC. ITIL SD-Service Design OGC. ITIL Security Management OGC. ITIL Service Delivery OGC. ITIL Service Management Practices V3 Qualications Scheme http://www.itil-ofcialsite.com/Qualications/ITILV3QualicationScheme.asp ITIL Service Support OGC. ITIL SO-Service Operation OGC. ITIL Software Asset Management OGC. ITIL Soutien des services (Meilleures pratiques pour), itSMF France. ITIL SS-Service Strategy OGC

Rfrences bibliographiques

259

ITIL ST-Service Transition OGC. ITIL The Business Perspective OGC. ITIL V3 Foundation Handbook Pocketbook from the Ofcial Publisher of ITIL itSMF. ITIL V3 Small-Scale Implementation Book OGC. ITSEC Joint Interpretation Library http://www.ssi.gouv.fr/fr/conance/methodologie.html ITSEC Critres dvaluation de la scurit des systmes informatiques version 1.2 juin 1991 http://www.ssi.gouv.fr/fr/conance/methodologie.html ITSEM Information Technology Security Evaluation Manual http://www.ssi.gouv.fr/fr/conance/methodologie.html Key Element Guide Continual Service Improvement OGC. Key Element Guide Service Design OGC. Key Element Guide Service Operation OGC. Key Element Guide Service Strategy OGC. Key Element Guide Service Transition OGC. Le cot de lignorance dans la socit de linformation http://www.pcie.tm.fr/entr_faits_ernst_c.htm Loi de scurit nancire (LSF) n 2003-706 du 1er aot 2003 http://www.legifrance.gouv.fr/ Loi de scurit nancire ; un an aprs : rapport n 431 du 27 juillet 2004, rapporteur Philippe Marini. Loi du 13 aot 2004 relative lassurance maladie http://www.legifrance.gouv.fr/ Loi informatique et liberts du 6 janvier 1998, rvise en aot 2004 http://www.legifrance.gouv.fr/ Loi n 94-442 du 3 juin 1994, modiant le code de la consommation en ce qui concerne la certication des produits industriels et des services et la commercialisation de certains produits http://www.legifrance.gouv.fr/ Loi pour la conance dans lconomie numrique (LCEN) n 2004-575 du 21 juin 2004 http://www.legifrance.gouv.fr/ Loi Sarbanes-Oxley, voir Public Company Accounting Reform and Investor Protection Act of 2002.

260

Guide des certifications SI

Loi sur les Nouvelles rglementations conomiques (NRE) n 2001-420 du 15 mai 2001 http://www.legifrance.gouv.fr/ Malcolm Baldrige National Quality Award http://www.quality.nist.gov/NIST_Materials.htm Management de Projet Un rfrentiel de connaissances (traduction de la version de 1996 du PMI), AFNOR 1998. Managing Successful Projects with PRINCE2, OGC 2002 http://www.ogc.gov.uk/prince2/publications/pubspages.html Manuel de certication des tablissements de sant et guide de cotation, dition 2007, http://www.hassante.fr/portail/upload/docs/application/pdf/20070601_manuelv2007.pdf Measuring the Software Process, William A. Florac, Anita D. Carleton, Addison-Wesley, 1999 NF 13816, Transport Logistique et services Transport public de voyageurs Dnition de la qualit de service, objectifs et mesures, NF EN 13816, septembre 2002. ODOScope Trouver son chemin au pays des certications, Jacqueline Sidi, Martine Otter, Laurent Hanaud, ADELI, 2004 (puis). Ofcial (ISC)2 Guide to the CISSP Exam, (ISC)2 . OHSAS 18001, BSI. Ordonnance n 96-346 du 24 avril 1996 portant sur la rforme hospitalire http://www.legifrance.gouv.fr/ Organizational Project Management Maturity Model (OPM3) - PMI Passing Your ITIL Foundation Exam The ITIL Foundation Study Aid OGC. Passing Your ITIL Intermediate Capability Stream Exam OGC. Passing Your ITIL Intermediate Lifecycle Stream Exam OGC. P-CMM People Capability Maturity Model, version 2.0, CMU/SEI-2001-MM-001 http://www.sei.cmu.edu/pub/documents/01.reports/pdf/01mm001.pdf PMBOK A guide to the Project Management Body of Knowledge, PMI, 4th Edition Practice Standard for Earned Value Management PMI. Practice Standard for Project Conguration Management PMI. Practice Standard for Work Breakdown Structures PMI. Practice Standard for Scheduling PMI.

Rfrences bibliographiques

261

Prparer et conduire votre dmarche de certication version 2007 mise jour septembre 2008, http://www.hassante.fr/portail/upload/docs/application/pdf/20070723_guide_pc_v2007.pdf Prparer et conduire votre dmarche daccrditation deuxime procdure, HAS, mars 2005 http://anaes.fr/ Principes de gouvernement dentreprise de lOCDE http://www.oecd.org/dataoecd/32/19/31652074.PDF Principes directeurs de lOCDE lintention des entreprises multinationales, juin 2000 http://www.oecd.org/ Project Manager Competency Development Framework PMI. Public Company Accounting Reform and Investor Protection Act of 2002 http://www.sec.gov/about/laws/soa2002.pdf Quality System Generic Requirements for Hardware, Software, and Infrastructure, Telcordia/Bellcore. Rapport dactivit 2004 du collge de laccrditation de la HAS http://anaes.fr/ Rapport sur la crise nancire Mission cone par le Prsident de la Rpublique dans le contexte de la Prsidence franaise de lUnion europenne 2008 Ren Ricol http://lesrapports.ladocumentationfrancaise.fr/BRP/084000587/0000.pdf Rapport Turnbull Internal control : Guidance for Directors on the Combined Code http://www.frc.org.uk/corporate/internalcontrol.cfm Recommandations de bonne pratique : attribution du label HAS : http://www.hassante.fr/portail/upload/docs/application/pdf/reco_attribution_label_has.pdf Recommendations for Security Administration, Gartner G00137698, fvrier 2006. Rfrentiel de comptences en management de projet, AFITEP http://www.atep.fr/certication/cdp/Default.htm Rfrentiel de scurit du chque, Banque de France Eurosystme, 20 juillet 2005. Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement modi en janvier 2004 puis mars 2005 (CRBF 97-02), Comit de la rglementation bancaire et nancire http://www.banque-france.fr/fr/supervi/regle_ba/textvig/reglcrbf_1.htm SA 8000, Social Accountability 8000, octobre 2005 (version franaise de 2001), SAI. SA-CMM Software Acquisition Capability Maturity Model, Version 1.03, CMU/SEI2002-TR-010 http://www.sei.cmu.edu/arm/SA-CMM.html

262

Guide des certifications SI

SAS No. 70 Auditing Guidance, AICPA. SCAMPI, A V1.2, aot 2006 : http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06hb002.pdf SD 21000 (FD X30-021) Dveloppement durable Responsabilit socitale des entreprises Guide pour la prise en compte des enjeux du dveloppement durable dans la stratgie et le management de lentreprise, mai 2003. SE-CMM System Engineering Capability Maturity Model, version 1.1, CMU/SEI-95MM-003 http://www.sei.cmu.edu/pub/documents/95.reports/pdf/mm003.95.pdf Security as Engineering Discipline : the SSE-CMMs Objectives, Principes and Rate of Adoption, Gartner G00138066, fvrier 2006. Service Organizations, Applying SAS No. 70, As Amended, AICPA. SSAM SSE-CMM Appraisal Method http://www.sse-cmm.org/docs/SSAM.pdf SSE-CMM Systems Security Engineering Capability Maturity Model, Model Description Document, Version 3.0, 15 juin 2003 http://www.sse-cmm.org/model/model.asp Study on External Environmental Effects Related to the Life Cycle of Products and Services //europa.eu.int/comm/environment/ipp/pdf/ext_effects_nalreport.pdf SWEBOK Guide to the Software Engineering Body of Knowledge http://www.swebok.org/ TDBSSI, Guide dlaboration de tableaux de bord de scurit des systmes dinformation http://www.ssi.gouv.fr/fr/conance/tdbssi.html Testeur certi, Syllabus niveau Fondation http://www.cftl.net/cms/les/Dokumente/frSyllabusFoundation_v2005.pdf Testeur certi, Syllabus niveau Avanc http://www.gasq.org/boards/cftl/cms/les/Dokumente/Advanced Syllabus v 2007 FR_31DEC08_Released.PDF The Introduction to ITIL Service Lifecycle OGC. The Standard for Program Management PMI. The Standard for Portfolio Management PMI. TL 9000 Quality Management System Measurements Handbook, QuEST Forum. TL 9000 Quality Management System Requirements Handbook, QuEST Forum. UML Unied Modeling Language http://www-306.ibm.com/software/rational/uml/

Sites internet

(ISC)2 ADELI Ae-SCM AFAI AFAQ AFITEP AFNOR AICPA APMG Auditware B2I BNAE BSI C2I CCRA CEN CEPIS CESTI CFTL CISA CISM

http://www.isc2.org http://www.adeli.org http://www.ae-scm.com http://www.afai.asso.fr http://www.afaq.org http://www.afitep.fr http://www.afnor.fr https://www.cpa2biz.com http://www.apmgroup.co.uk http://www.auditware.fr http://www.educnet.education.fr/formation/certifications/b2i http://www.bnae.asso.fr http://www.bsi-global.com http://www2.c2i.education.fr/ http://www.commoncriteriaportal.org/theccra.html http://www.cen.eu/cenorm/homepage.htm http://www.cepis.org http://www.ssi.gouv.fr/fr/confiance/cesti.html http://www.cftl.net http://www.isaca.org/cisa/ http://www.isaca.org/cism/

264

Guide des certifications SI

(suite) CISSP CNIL COFRAC COSO DCSSI EA ECDL-F EFQM Euro-Aptitudes EXIN FAR-MFQ GRI HAS ICEC ICMB IEEE IAASB INTACS INCOSE INFOCERT IPMA IRCA ISACA ISMS ISTYA ISO ISO 20000 ISQI ISSEA ISTQB ITGI http://www.cissps.com http://www.cnil.fr http://www.cofrac.fr http://www.coso.org http://www.ssi.gouv.fr/fr/dcssi/ http://www.european-accreditation.org http://www.ecdl.org http://www.efqm.org http://www.pcie.tm.fr http://www.exin.fr http://www.mfq.asso.fr http://www.globalreporting.org http://www.has-sante.fr http://www.icoste.org http://www.itil.co.uk/icmb.htm http://www.computer.org http://www.ifac.org/IAASB/ http://www.intacs.info http://www.incose.org http://www.infocert.org http://www.ipma.ch http://www.irca.org http://www.isaca.org http://www.xisec.com http://www.istya.fr http://www.iso.org http://www.isoiec20000certification.com http://www.isqi.org/en/ http://www.issea.org http://www.istqb.org/ et http://www.isqi.org/isqi/eng/cert/istqb/ http://www.itgi.org/ et http://www.itgi-france.com

Sites internet

265

(suite) ITIL http://www.itil.co.uk et http://www.itil-officialsite.com http://www.best-management-practice.com itSMF ITsqc Journal Officiel de la Rpublique Franaise Legifrance Librairie du Congrs des tats-Unis MFQ MSP NIST OCDE OGC OECD Watch OMG PMI PMGURU PRINCE PRINCE User Group http://www.itsmf.com et http://www.itsmf.fr http://itsqc.cmu.edu http://www.journal-officiel.gouv.fr

http://www.legifrance.gouv.fr http://www.loc.gov http://www.mfq.asso.fr http://www.msp-officialsite.com http://www.nist.gov http://www.ocde.org http://www.ogc.gov.uk http://www.oecdwatch.org http://www.omg.org http://www.pmi.org et http://www.pmi-fr.org http://fr.pmguru.com http://www.prince2.org.uk et http://www.prince-officialsite.com http://www.usergroup.org.uk Appel aussi Best Practice User Group

QuEST Forum SAI SEC SEI SpearOne SSE-CMM SWEDAC

http://www.questforum.org http://www.sa-intl.org http://www.sec.gov http://www.sei.cmu.edu http://www.spearone.com http://www.sse-cmm.org http://www.swedac.se/sdd/System.nsf/(GUIview)/ index_eng.html

TickIT TickIT Plus W3C/WAI

http://www.tickit.org http://www.tickitplus.org http://www.w3.org/WAI/

Index

ANPE 129 ANSI 134 (ISC)2 28, 184 APMG 124, 135, 141, 184, 191, 236 ARC 34 A ASQ 158 accrditation 18, 29, 49, 66, 76, 80, 87, audit 4, 9, 12, 36, 42, 43, 46, 49, 72, 74, 92, 94, 103, 111, 118, 124, 136, 78, 92, 93, 104, 146, 148, 170, 179, 215 142, 172, 180, 183, 191, 223, 227, 228, 231, 234, 235 cabinets daudit 46, 47 Comit franais daccrditation de renouvellement 179 Voir COFRAC de surveillance 179 International Accreditation Forum de systmes dinformation 29, 30, 41, Voir IAF 47 organismes daccrditation 234 dmarche daudit 103, 104 ADELI XVI guide daudit 43, 153 AFAI 42, 185, 236 mthodes daudit 220 AFAQ 24, 52, 237 organisme daudit 92, 100 AFITEP 143, 184, 185, 187, 191, 192, pr-audit 92 236 rapport daudit 152 AFITEP-CDP 13, 184, 196, 210, 220, Autorit des marchs nanciers 216, 240 225, 226, 236 AFITEP-CGP 17, 184, 225, 226, 236 AFNOR 10, 14, 18, 23, 52, 53, 74, 76, B 79, 85, 91, 102, 104, 134, 157, B2I 131 165, 177, 202, 210, 237, 244 Ble II 213 AICPA 152 Ble II 103, 211, 212 AIPM 15 Black Belt 158 AMF Voir Autorit des marchs Brevet informatique et internet Voir B2I nanciers ANAES 66, 232 BSC 231

Symboles

268

Guide des certifications SI

CMMI 31, 42, 76, 84, 162, 210, 225, 226, 229231, 233, 235 ACQ 31 DEV 31 C SVC 31 CNIL 130 C2I 131 CobiT 37, 41, 58, 91, 148, 152, 200, 202, CAPM 135 203, 206, 210, 224, 225, 231 CBK 28 CobiT-CGEIT 226, 236 CEPIS 127 CobiT-CISA 226, 236 Certicat informatique et internet CobiT-CISM 226, 236 Voir C2I COFRAC 76, 80, 103, 118, 235 certication Comit franais daccrditation dentreprise 25, 58, 220 Voir COFRAC dtablissement de sant 65 commerce lectronique 80, 214 de personnes 13, 17, 27, 41, 47, 107, contrle 109, 121, 127, 133, 139, 155, nancier 149, 213, 215 158, 169, 183, 191, 210, 220, interne 12, 42, 46, 145, 151, 213, 229, 230, 235, 237 215 de services 21, 70, 107, 206, 210, Correspondant informatique et liberts 211, 223, 226 (CIL) 204 de systme informatis 77, 115 COSO 42, 43, 147, 148 du produit 95 CPE 29 CESTI 118 CRBF 213 CFTL 170, 184, 236 Critres communs 77, 118, 167, 200, 225, CGEIT 48 226, 230, 234 CGP 210 CIGREF 46, 129 D CISA 30, 47, 154, 184, 200, 202 DCSSI 79, 80, 102, 118 CISM 30, 47, 200, 202 dveloppement durable 239 CISSP 27, 184, 200, 202, 210, 220, 226, diagnostic 236 daptitude de processus 31, 83, 161 CMM de maturit 31 FAA-iCMM 166 du logiciel 184, 224, 232 IPD-CMM 33 sur le contrle interne 151 People-CMM 166 DIPH 129 SA-CMM 33 DMAIC 157 SE-CMM 33 DO-178 37 SEI-CMM 166 SSE-CMM 161 E SW-CMM 33 Trusted CMM 166 EA 26

BSI 90, 100 bureautique 127, 130, 131

Index

269

EBIOS 102, 104, 253 ECDL 128, 236 EFQM 51, 68, 72, 113, 206, 210, 224, 226, 235, 240 Elite Site Label 24 eSCM 57, 58, 206, 210, 222, 226 eSCM-CL 63 eSCM-SP 60 tablissement de sant 65 Euro-Aptitudes 128, 236 European co-operation for Accreditation 26 excellence 51 EXIN 110

F
FAA-iCMM 166

G
gouvernance 41, 43, 61, 77, 122, 152, 206, 226, 239 dentreprise 43, 147, 152, 203, 215, 239, 243 de la valeur 45 des projets 45 des systmes dinformation 30, 41 principes de gouvernance 46, 48, 240 GRI 243

H
H3C 216 HAS 23, 65, 157, 210, 223, 226, 231, 232, 235, 237 Haut conseil du commissariat aux comptes Voir H3C Haute autorit de sant Voir HAS

I
IAF 235 ICDL 128

ICEC 15, 18, 191, 236 ICMB 111 IFRS 46, 48, 97 IGSI 46 INCOSE 185 ingnierie de la scurit 77, 115, 161 des cots 18 des systmes 175 du logiciel 184 Institut de la gouvernance des systmes dinformation 46 iNTACS 86, 235, 237 International Accreditation Forum Voir IAF IPMA 14, 18, 135, 187, 191, 236 IRCA 237 ISACA 42, 154, 236 ISC 28, 236 ISEB 111 ISMS 100, 199 ISO 12207 86, 176, 232 ISO 13335 167 ISO 15408 77, 118, 210, 226, 234 ISO 15504 33, 39, 83, 162, 210, 224226, 232, 235, 237 ISO 17799 167 ISO 19759 184 ISO 20000 58, 76, 89, 110, 206, 210, 222, 224, 226 ISO 21827 162, 201, 210 ISO 25051 95, 210, 222, 226 ISO 27001 42, 49, 99, 167, 200, 201, 210, 222, 226 ISO 27002 99, 167, 201 ISO 9000 25, 48, 72, 94, 175, 205, 212, 232 ISO 90003 72, 176 ISO 9001 25, 37, 56, 58, 70, 71, 84, 96, 100, 103, 134, 153, 176, 201, 206, 210, 220, 222224, 226, 228, 230, 232, 237 iSQI 86, 235

270

Guide des certifications SI

ISSEA 162 ISTQB 170 ITGI 42 ITIL 37, 42, 64, 86, 89, 107, 140, 184, 186, 203, 206, 208, 210, 220, 224, 226, 233, 236 ITSEC 78, 115, 200, 210, 220, 225, 226, 230, 234 itSMF 91, 236 ITSqc 58

P
P2MM 141 P3M3 141 PCIE 127, 210, 226, 236 PDCA 90, 91, 101, 156, 224 PDU 135, 185, 225 PGMP 135 PMBOK 133, 185, 192, 224, 226, 233 PMI 15, 133, 184, 191, 192, 220, 225, 233, 236 PMP 16, 140, 184, 185, 187, 191, 192, 210, 225, 236 PRINCE2 113, 135, 139, 184, 185, 187, 191, 192, 210, 220, 224, 226, 233, 236, 237 processus 161 dacquisition 31 daudit 47 de dveloppement 31, 80, 96, 116, 234 de production informatique 38 de service 31, 151, 206 de systmes dinformation 43 production informatique 11, 38, 89, 94, 107, 206, 219, 220 progiciels 96 PROMPT 140

L
Loi de scurit nancire 46, 103, 148, 200, 201, 215, 240 informatique et liberts 149, 204, 214 NRE 241 Sarbanes-Oxley Voir Sarbanes-Oxley LRQA 103, 237 LSF Voir Loi de scurit nancire

M
M_o_R 141 management de projet 13, 17, 121, 133, 139, 191 MEDEF 129 MSP 121, 141, 220, 225, 226, 236

Q
QSE 76, 199 qualit de la production informatique 89 de services 21, 22, 89, 177, 213 du produit 93, 95, 177 systme de management de la qualit 9, 12, 65, 71, 89, 175, 201, 232 QuEST Forum 175, 176, 231, 235

N
NF 13816 23, 210

O
OCDE 243 OGC 108, 140, 141, 191, 208, 225, 236 organismes daccrditation 234

R
risques 199, 203, 241 analyse des risques 29, 80

Index

271

boucle de rduction des risques 101 contrle des risques 163 valuation des risques 49, 101, 104, 147 gestion des risques 33, 47, 59, 62, 136, 203 lis aux systmes dinformation 41 matrise des risques 45, 109, 154, 239, 241, 242 management des risques 42, 147, 167 niveaux de risques 101 projets 163 rduction des risques 102, 202 risques environnementaux 242 risques nanciers 154, 200, 203, 212 risques oprationnels 102, 154, 212 RSE 149, 240, 242, 244

S
SA 8000 243 SAI 243 Sarbanes-Oxley 45, 103, 145, 152, 200, 201, 210, 215, 226, 228 SAS 70 151, 206, 210, 226 SCAMPI 34, 231 SEC 146, 148 scurit 161, 199 des informations nancires 11, 145 des systmes dinformation 22, 27, 41, 47, 79, 99, 104, 152, 162, 201, 203, 226 des systmes de sant 65 des systmes informatiss 77, 115 Direction centrale de la scurit des systmes dinformation Voir DCSSI du chque 213 nancire 201, 212, 215 SEI 33, 86, 225, 231, 233, 235

service 205 certication de 21 externe 57 sous-trait 151 Six Sigma 155, 206, 210, 226, 230 Solvabilit II 213 SPICE 84 SSAM 165 SSE-CMM 161, 200, 201, 210, 225, 226 SW-CMM 33, 84, 220, 225, 231, 233 SWEBOK 184 systme de management 51, 104, 232 de management de la qualit 9, 12, 65, 71, 89, 175, 201, 212, 224, 232 de management de la scurit 12, 99, 167, 199201, 203 de management de services 90 SysTrust 152

T
TDBSSI 104 tlcommunications 175 testeur 236 logiciel 169 TickIT 210 TL 9000 175, 210, 222, 226, 231, 235 TOE 79, 116 Trillium 84 Trusted CMM 166

U
UKAS 142

W
W3C/WAI 24 Webcert 22, 24 WebTrust 152

InfoPro

type douvrage lessentiel se forMer retours dexprience

Martine Otter, Jacqueline Sidi, Laurent Hanaud Prface de Jean-Pierre Corniou

ManageMent des systMes dinforMation applications Mtiers tudes, dveloppeMent, intgration

GuIDe DeS certIfIcatIonS SI

comparatif, analyse et tendances ItIL, cobit, ISo 27001, eScM...
Ce guide des certifications appliques aux systmes dinformation fournit une vision synthtique de 27 dispositifs utiliss en France. Les rfrentiels analyss couvrent lensemble des domaines soumis certification : entreprises, services, produits, processus et personnes. Par sa forme pdagogique sous forme de fiches synthtiques, cet ouvrage facilite la comprhension des diffrents dispositifs et constitue un guide pratique. En complment des fiches, il prsente cartographies, analyses, tendances et de nombreux retours dexprience. Les directions charges des choix en matire de certification, motives par la bonne gouvernance du SI, lexcellence de lentreprise ou la responsabilit sociale, trouveront dans cet ouvrage les lments essentiels pour comprendre les dispositifs existants ou construire leur propre systme. Ce guide sadresse principalement aux DSI et aux responsables des systmes de management de la qualit ou de la scurit. Les DRH du secteur informatique seront intresss par les aspects de certification des personnes. Enfin, les consultants disposeront dune abondante matire pour appuyer leurs recommandations.
est une association qui permet lensemble des professionnels des systmes dinformation de partager leur exprience, daccrotre leurs connaissances et de dbattre librement. www.adeli.org

exploitation et adMinistration rseaux & tlcoMs

2e dition
MARTINE OTTER est directeur Audit interne et scurit chez Extelia. Elle y contribue au dploiement des bonnes pratiques en matire de qualit, scurit et analyse des risques. Depuis 1999, elle est prsidente dAdeli, association pour la matrise des systmes dinformation.

JACQUELINE SIDI est entre dans le groupe Capgemini en 1991 o elle conduit des missions de conseils et anime de sminaires de formation. Elle a t pendant 6 ans prsidente de la commission de normalisation AFNOR Ingnierie et qualit du logiciel et des systmes.

LAURENT HANAUD est consultant chez IBM Global Services, spcialis dans le secteur de linfogrance. Il intervient plus particulirement, dans le cadre des projets dexternalisation, sur la mise en conformit des processus avec les standards du march et leur implmentation. Il enseigne linstitut du Management de lInformation de luniversit technologique de Compigne. Il est vice-prsident dAdeli.

ISBN 978-2-10-054182-9

www.dunod.com