La Lettre de mai 2005
Archives
|
|
Bonnes pratiques : les référentiels
Editorial - la lettre de mai 2005
Pour l'informatique, trois référentiels de bonnes pratiques sont actuellement à la mode :
- COBIT (Control Objectives for Business & Related Technology),
- ITIL (Information Technology Infrastructure Library),
- CMMi (Capability Maturity Model intégration).
Très complémentaires, ils ont chacun un domaine de prédilection.
Outre ces trois référentiels, il en existe d'autres, plus ou moins spécifiques ou plus moins en vogue :
- PMI (Project Management Institute),
- Prince2 (PRojects INControlled Environments),
- Spice (ISO 15504),
- ISO 17799,
- ISO 9000.
Choisir un référentiel de bonnes pratiques
Même si chaque système a plus ou moins été étendu aux différentes facettes de l'activité informatique, chaque référentiel trouve son efficacité dans un domaine particulier. Il n'est pas donc pas trop difficile de se tourner vers celui qui sera pertinent.
A quoi sert un référentiel de bonnes pratiques en informatique
A priori, un système d'information en bonne santé peut fort bien se passer de la mise en place d'un référentiel de bonnes pratiques. Toutefois, il doit faire face à de nombreux impératifs :
- satisfaire les utilisateurs,
- faire la preuve de son optimisation financière,
- rassurer la direction générale sur sa fiabilité et sa pérennité,
- rassurer les investisseurs sur la sécurité de leurs investissements,
- savoir s'organiser pour évoluer et s'adapter en permanence.
Faire appel aux bonnes pratiques est à la fois un guide méthodologique efficace et également une sorte de label que le décideur informatique pourra mettre en avant pour démontrer qu'il a pris les meilleures dispositions possibles.
Protéger l'informatique s'impose désormais à la direction générale
La direction générale a désormais la responsabilité impérieuse de protéger son informatique sur 2 niveaux :
- patrimonial : l'informatique est un enjeu économique fondamental, aussi bien directement (budget informatique), qu'indirectement (risque d'arrêt de la production en cas d'incident). Ces différents aspects patrimoniaux sont désormais surveillés par les investisseurs.
- légal : conscient de la nécessité d'obliger l'entreprise à protéger la valeur du capital investi et à garantir la sincérité des rapports annuels, de nombreuses législations imposent désormais aux entreprises de prendre des dispositions de protection du système d'information (Sarbanes-Oxley, LSF, NRE, IAS/IFRS, Bâle II...)
Ces obligations essentiellement destinées à apporter au final des garanties aux investisseurs concernent le système d'information sur 3 points :
- la réalité du patrimoine que constitue l'investissement informatique lui-même.,
- que le patrimoine global de l'entreprise ne peut être anéanti par une incurie informatique,
- que les rapports d'activité et les comptes financiers sont réalisés à l'aide d'outils performants et fiables.
Aussi, même si ni l'actionnaire, ni le législateur n'imposent une méthodologie ou une certification particulière, ils attendent de la direction générale et de la direction informatique que des méthodes effectives soient mises en place. L'appel aux bonnes pratiques est donc un bon outil d'assurance collective.
COBIT
Le COBIT (Control Objectives for Business & Related Technology), est utilisé pour la gouvernance et l'audit des systèmes d'information.
Il analyse le système informatique suivant 4 domaines :
- planning et organisation,
- acquisition et mise en place,
- fourniture du service et support,
- surveillance.
Il est important de noter que la loi américaine Sarbanes Oxley impose d'utiliser l'infrastructure de contrôle interne COSO (Committee of Sponsoring Organizations). En l'absence de méthodologie précisée, beaucoup de grandes entreprises ont considéré que le COBIT était la meilleure voie pour rendre le système d'information conforme aux exigences du COSO.
On peut donc probablement voir dans le COBIT une bonne façon de rendre la gouvernance IT, et même partiellement la gouvernance d'entreprise, compatible avec les nouvelles exigences financières et légales mondiales.
COBIT a été traduit en français par l'AFAI, ce qui est un atout indéniable.
ITIL
ITIL (Information Technology Infrastructure Library), s'intéresse à la production, qu'il s'agisse de fourniture de services informatiques ou d'exploitation interne.
C'est donc une voie pour s'assurer de la satisfaction des utilisateurs ou clients de services.
CMMi
CMMi (Capability Maturity Model intégration) est le référentiel dédié au développement de systèmes et logiciels.
CMMi permet d'évaluer la maturité de l'entreprise sur 5 niveaux :
- initial,
- reproductible,
- défini,
- maîtrisé,
- optimisé.
PMI
Le PMI (Project Management Institute) a développé le standard PMBOK (Project Management Body of Knowledge, élaboré sur la base des meilleures pratiques du management de projet.
Il est organisé suivant 9 domaines :
- intégration du projet,
- contenu du projet,
- délais du projet,
- communication du projet,
- risques du projet
- approvisionnements du projet).
Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals).
Prince, Prince2
Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction de projet, utilisé par l'administration britannique.
Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir.
La méthode Prince est dans le domaine public.
Spice, ISO 15504
Spice est une norme créée par l’ISO (International Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504).
Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet.
ISO 9000
Les certifications de la famille ISO 9000 constituent désormais un ensemble de références de qualité incontestées sur le plan mondial.
Très généralistes, ces spécifications ne sont pas forcément les plus productives pour l'informatique.
ISO 17799
Catalogue de bonnes pratiques assurant un client que ses informations sont gérées de manière sécurisée par son fournisseur.
Elle est présentée dans cette liste comme complément de réponse aux obligations de sécurité des systèmes d'information.
Les autres liens
- - Adeli (Association pour le DÉveloppement de la Logique Informatique)
- - AFAI (Association Française de l'Audit et du conseil Informatique)
- - ISACA (Information Systems Audit and Control Association)
- - COFRAC (Comité Français d'Accréditation)
- - Spice (Software Process Improvement and Capability dEtermination)
- - AFNOR (Association Française de NORmalisation)
- - itSMF
- - Afitep (Association Francophone de Management de Projet )
- - Prince (PRojects INControlled Environments)
- - PMI (Project Management Institute)
- - OGC (Office of Government Commerce to the Cabinet Office) - ITIL
- - SEI (Software Engineering Institute) - CMM
Pour aller plus loin
Les dossiers
Les livres
Forum
- Certification, sécurité
- Référentiels de la gouvernance des SI
- ITIL et ISO 9001
- COBIT et ITIL
- COBIT .V4.0 et COBIT V3.2
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Toute l'actu sur ce sujet
-
Solidifi Introduces Next Generation of Collateral Risk Management Services
CNW Group
30 Novembre 2008
-
Orange Business Services lance Monétique Autonome, l'offre de paiement la plus sécurisée du marchée
Mag Securs
29 Novembre 2008
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire