Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

0. Paysage normatif en qualité SI 1.0 Fichier

publicité 
12 mai 2014
QSE : qualité et gouvernance des systèmes d’information
Module introductif : paysage normatif en qualité SI
Qu’est-ce que la qualité ? La qualité SI ?
Performance
AFNOR : « un produit ou service de qualité est un produit dont
les caractéristiques lui permettent de satisfaire les besoins
exprimés ou implicites des consommateurs »
Besoins et
services
 La qualité = notion subjective, difficile à définir
Coûts
Gestion de la qualité : ensemble des techniques
d’organisation au sein d’une entreprise pour rendre la
production de biens ou services conforme à des normes
Délais
Autre définition de la qualité : le
rapport entre les besoins du client et
le service proposé en matière de
coûts, de performances et de délais.
Qualité SI
 Qualité de l’infrastructure
 Qualité de l’information
 Qualité du logiciel
 Qualité de service
 Qualité des données
12 mai 2014 - Propriété de Solucom, reproduction interdite
2
Pourquoi se lancer dans une démarche qualité ?
Raisons organisationnelles,
techniques et juridiques
Raisons économiques et
commerciales

Amélioration de la marge

Baisse des coûts de production

Amélioration des produits et
services

Baisse des coûts de la non-qualité

Pression des concurrents

Conquête de nouveaux marchés

Amélioration de la satisfaction et
de la fidélisation client

…
Raisons d’une
démarche
qualité dans
l’entreprise
12 mai 2014 - Propriété de Solucom, reproduction interdite

Amélioration du management et de
l’organisation de l’entreprise

Meilleure gestion des objectifs à
atteindre (sécurité, sûreté de
fonctionnement, etc.)

Respect des exigences
réglementaires (ISO 9001…)

…
3
Panorama des principales normes relatives à la qualité SI
Projets
informatiques
Production
Sécurité
Continuité
Logiciels
Gouvernance
ISO 25000
COBIT
ISO 9000
ISO 20000
CMMI
ITIL
ISO 27000
ISO 22301
 Différentes normes pour différents domaines et différentes populations…
 …proposées par des organismes publics (ISO) et privés (Carnegie-Mellon, Office britannique du commerce, ISACA)…
 …certifiables au niveau des individus ou de l’organisation
12 mai 2014 - Propriété de Solucom, reproduction interdite
4
La gestion de la qualité s’appuie sur l’amélioration continue
L’amélioration continue est l’ensemble des actions curatives, correctives ou préventives
visant à assurer une amélioration du système dans le temps
 L’amélioration continue s’appuie
sur la méthode de la roue de
Deming PDCA
La roue de Deming
 4 étapes :




Plan : planifier les objectifs et les
actions pour les atteindre
Do : Mettre en œuvre les actions
Check : Contrôler l’efficacité des
actions
Act : rechercher des pistes
d’amélioration
Amélioration continue
 Le concept de la roue de Deming
s’applique à tous les processus de
l’entreprise
12 mai 2014 - Propriété de Solucom, reproduction interdite
5
Tableaux récapitulatifs (1/3)
Normes
Objet de la norme

Exigences pour la mise en place
d’un Système de Management de
la Qualité (SMQ)


ISO 9000
Démontrer son aptitude à fournir un
produit conforme aux exigences
réglementaires et client
Viser à accroitre la satisfaction des
clients par l’application efficace du
système
Contenu

4 domaines d’exigences


 8 principes de management
 Écoute client / Leadership /
Implication du personnel /
Approche processus /
Approche système /
Amélioration continue /
Approche factuelle de prise de
décision

Certification de l’organisation

Bonnes pratiques d’ingénierie
informatique

Bonnes pratiques déclinées
autour de 25 processus
CMMI


(Capability Maturity
Model Integration)
Référentiel d’évaluation pour le
développement d’applications
Représentations continue
et étagée des processus

Concerne le management et les
équipes de développement

Positionnement de la
maturité sur 5 niveaux
Pour les collaborateurs :

Direction / Système qualité /
Identification et maitrise des
processus / Amélioration
continue
Concerne les Directions métiers
Certification de l’organisation

 Responsabilité de la


Utilité

Fournir des outils et des
méthodes de travail
optimisés et communs
Renforcement de l’esprit
d’équipe
Renforcement de
l’efficacité
Pour le management :


Clients satisfaits, fidèles
Collaborateurs ayant le
souci de la qualité

Aboutit à une liste de
forces et faiblesses pour
entamer une démarche
d’amélioration

Identification des risques

 Initial / Piloté / Standardisé /
Amélioration des
performances (coûts, délais,
Quantifié / Optimisé
productivité, satisfaction client)
12 mai 2014 - Propriété de Solucom, reproduction interdite
6
Tableaux récapitulatifs (1/3)
Normes
Objet de la norme

ISO 20000

Approche processus

Certification de l’organisation

Bonnes pratiques pour la gestion
de services informatiques (cycle
de vie)
ITIL
(Information
Technology
Infrastructure
Library)
ISO 27000
Exigences pour la mise en place
d’un système de management de
services

5 publications

Certification d’individus

Exigences pour la mise en place
d’un Système de Management de
la Sécurité de l’Information (SMSI)

4 domaines d’exigences

11 domaines dont une politique de
sécurité, une organisation de la
sécurité de l’information

Contenu

S’inspire de la
certification ITIL

Amélioration continue de
la gestion des services

Stratégie de service

Conception des services

Transition des services

Exploitation des services

Amélioration continue

7 processus

Établissement du SMSI

Traitement des risques et
mise en place de
mesures de sécurité

Contrôle et amélioration
Utilité

Qualité de service

Perpétuelle optimisation
par l’amélioration
continue

Un référentiel de bonnes
pratiques riche et
adaptable

Facilite les audits

Une légitimation de la
démarche sécurité

Mise en place d’un
modèle durable capable
de s’améliorer dans le
temps
Certification de l’organisation
12 mai 2014 - Propriété de Solucom, reproduction interdite
7
Tableaux récapitulatifs (3/3)
Normes
Objet de la norme
Utilité

Poser le cadre et la référence
pour définir les exigences qualité
d’un logiciel

Remplacement des
normes ISO 9126 et ISO
14598

Optimisation du
processus du
développement

Préciser la manière dont ces
exigences seront évaluées

Division de SQuaRE en 5
parties

Meilleure fiabilité des
logiciels

Certification de l’organisation

Bonnes pratiques pour gérer et
auditer le SI d’une entreprise

Synthèse


Cadre de référence
Aide à la prise de
décision stratégique

Guide d’audit

Permet l’auto-évaluation
de l’entreprise

Guide management

Outils de mise en œuvre
ISO 25000
(SQuaRE : Software
product Quality
Requirement and
Evaluation)
Contenu
COBIT

(Control Objectives
for Information and
Related Technology)
Contrôle des opérations
informatiques

4 domaines

34 processus

Certification de l’organisation
12 mai 2014 - Propriété de Solucom, reproduction interdite
8
www.solucom.fr
Contact
Etienne CAPGRAS
Consultant senior
Tel : +33 (0)1 49 03 24 51
Mobile : +33 (0)6 67 49 45 35
Mail : [email protected]
Focus sur les normes
ISO 9000
Objet
Contenu

Exigences pour la mise en place d’un
système de management de qualité (SMQ)

1ère version : 1987

Dernière version : 2008, v4

Populations cibles : Directions métiers







Certification de l’organisation
Pour les collaborateurs :




Fournir des outils et des méthodes de
travail optimisés et communs
Renforcement esprit d’équipe
Renforcement de l’efficacité
Pour le management :



Responsabilité de la direction
Système qualité
Identification et maîtrise des processus
Amélioration continue
8 principes de management







Utilité

4 domaines d’exigences pour le SMQ :
Écoute client
Leadership
Implication du personnel
Approche processus
Management par approche système
Amélioration continue
Approche factuelle de prise de décision
Un SMQ doit permettre de :


Démontrer son aptitude à fournir un produit conforme
aux exigences réglementaires et client
Viser à accroitre la satisfaction des clients par
l’application efficace du système
Clients satisfaits, fidèles
Collaborateurs ayant le souci de la qualité
12 mai 2014 - Propriété de Solucom, reproduction interdite
10
Focus sur les normes
CMMI : Capability Maturity Model Integration
Objet






Contenu
Ensemble de bonnes pratiques d’ingénierie
informatique
Référentiel d’évaluation pour le
développement de systèmes, logiciels et
applications
1ère version : 2001
Dernière version : 2011, v3
Populations cibles : Chef de projet,
Management, Équipe développement
Certification de l’organisation

CMMI contient beaucoup d’exemples : il est donc
peu sujet à interprétation

Les bonnes pratiques sont déclinées autour de 25
processus

Deux modes de représentation des processus
 La représentation continue : les processus
sont répartis en 4 groupes dont ont attribue
une note et on suit les progrès
 La représentation étagée : il permet
d’évaluer la maturité de l’entreprise à travers 5
niveaux de maturité

5 niveaux de maturité d’une organisation :
 Initial
 Piloté
 Standardisé
 Quantifié
 Optimisé
Utilité

Le résultat de l’évaluation est une liste de
forces et faiblesses pour entamer une
démarche d’amélioration

Une identification des risques

Une amélioration des performances
(coûts, délais, productivité, satisfaction
client)
12 mai 2014 - Propriété de Solucom, reproduction interdite
11
Focus sur les normes
ISO 20000
Objet





Contenu
Exigences relatives à un fournisseur de
services pour fournir à ses clients des
services de qualités en ligne avec les
besoins via un Système de Gestion des
services
1ère version : 2005
Dernière version : 2011, v3
Populations cibles : DSI, entreprise de
services informatiques (centre d’appels…)
Certification de l’organisation

Exigences d’un système de gestion :
 Gestion de la responsabilité de la Direction
 Gestion de la documentation
 Gestion des compétences, de la
sensibilisation et de la formation

Planification et mise en œuvre de la gestion des
services informatiques
 Planifier
 Mise en œuvre de la gestion des services
 Surveillance, mesure et revue
 Amélioration continue

5 processus :
 Processus de Conception et transition des
services nouveaux et modifiés
 Processus de fourniture de services
 Processus de gestion des relations
 Processus de contrôle et de mise en
production
 Processus de résolution
Utilité

Amélioration du service et de la qualité de
service
 Fiabilité et disponibilité des services
 Meilleur alignement IT/ Métiers

Réduction des coûts :
 Identification des faiblesses
 Amélioration continue
12 mai 2014 - Propriété de Solucom, reproduction interdite
12
Focus sur les normes
ITIL : Information Technology Infrastructure Library
Objet





Contenu
Recueil de bonnes pratiques pour la
gestion des services informatiques
1ère version : 1988
Dernière version : 2011, v4
Personnes cibles : Direction de la
production, la DSI, directions métiers
Certification d’individus
Utilité



Un référentiel de bonnes pratiques riche et
adaptable :
 Gain de temps
 Mise en œuvre de pratiques
éprouvées
Une réduction des coûts
Facilitateur de l’audit des DSI

Deux principes fondamentaux :
 L’amélioration continue de la gestion des
services
 Un système de gestion des services

En pratique :
 La définition et la mise en œuvre de processus
de gestion des services

Référentiel orienté sur les services fournis aux
utilisateurs, notamment sur le cycle de vie des
services

5 publications de l’ITIL :
 La stratégie de services
 La conception de services
 La transition de services
 L’exploitation de services
 L’amélioration continue de services
12 mai 2014 - Propriété de Solucom, reproduction interdite
13
Focus sur les normes
ISO 27000
Objet





Contenu
Ensemble d’exigences d’un système de
management de la sécurité de l’information
(SMSI)
1ère version : 2005
Dernière version : 2011
Populations cibles : Chef de projet,
Management, Équipe sécurité
Certification de l’organisation
 Modèle fondé sur 4 axes principaux :





11 domaines du SMSI dont :
 Politique de sécurité
 Organisation de la sécurité de l’information
 Sécurité physique
 Gestion des incidents
 …

7 processus :
 Piloter et améliorer le SMSI
 Conduire l’analyse de risques
 Mettre en œuvre le traitement des risques
 Sensibiliser et former à la sécurité de
l’information
 Gérer les incidents de sécurité et les
vulnérabilités
 Contrôler et mesurer l’efficacité
 Gérer la documentation et les enregistrements
Utilité

Mise en place de process d’amélioration
continue de la sécurité SI (connaître les
risques et les traiter)

Image extérieure positive par la maîtrise
des risques
Approche orientée processus
Pilotage par les risques
Amélioration continue
Implication du management
12 mai 2014 - Propriété de Solucom, reproduction interdite
14
Focus sur les normes
ISO 25000
Objet





Contenu
Exigences qualité pour un produit logiciel et
la mise en œuvre de leur évaluation
(SQuaRE)
1ère version : 2005
Dernière version : 2014, v2
Populations cibles : développeurs,
Certification de l’organisation

ISO 25000 remplace les normes ISO 9126 et ISO
14598
 Ensemble des caractéristiques qualité
principales d’un produit logiciel

SQuaRE est divisée en 5 parties :
 Management de la Qualité
 Modèle Qualité
 Mesure de la Qualité
 Évaluation de la Qualité
 Exigences de la qualité

La qualité du logiciel en 3 niveaux :
 La qualité interne
 La qualité externe
 La qualité de fonctionnement
Utilité

Optimisation des processus de
développement

Meilleure fiabilité des logiciels
12 mai 2014 - Propriété de Solucom, reproduction interdite
15
Focus sur les normes
COBIT : Control Objectives for Information and Related Technology
Objet






Contenu
Définition des processus essentiels de
gouvernance des SI
Référence de bonnes pratiques pour
améliorer les contrôles des SI
1ère version : 1996
Dernière version : 2012, v5
Populations cibles : Direction générale, la
Qualité, auditeurs
Certification de l’organisation








Aide à la prise de décision stratégique

Aide au contrôle du service fourni

Disposer d’une méthode de mesure pour
l’auto-évaluation d’une organisation
Permet d’évaluer et/ou justifier les risques et
faiblesses des objectifs de contrôle et propose des
mesures correctives
Le Guide de Management comprend :


Les objectifs de contrôle et les impératifs
Les critères de l’information
Les ressources informatiques impactés par le
processus
Le Guide d’audit permet :


présentation des 4 domaines et des 34 processus
Le cadre de référence comprend



Aide à l’optimisation des investissements
informatiques
Planifier et organiser
Acquérir et implémenter
Délivrer et supporter
Surveiller et évaluer
La synthèse comprend:

Utilité

34 processus qui subdivisent la gestion du SI en 4
domaines :


Modèle de maturité = outil d’évaluation de la maturité
des processus
Aide à la formation de tableaux de bord
Indicateurs clés d’objectifs, de performance et de
succès
12 mai 2014 - Propriété de Solucom, reproduction interdite
16
Documents connexes
Stage de fin d’études / Césure / Apprentissage
Stage de fin d’études / Césure / Apprentissage
Annexe : ISO 27001 – Management de la sécurité de l`information
Annexe : ISO 27001 – Management de la sécurité de l`information
110714_Mise en oeuvre du PRA AGM Solucom_VF
110714_Mise en oeuvre du PRA AGM Solucom_VF
CV MPR - WebEngineering
CV MPR - WebEngineering
ISO 31000 - management du risque
ISO 31000 - management du risque
Préparer certification ISO 20000
Préparer certification ISO 20000
ft maitriser les techniques de gestion de projet it
ft maitriser les techniques de gestion de projet it
Open access
Open access
Fiche Service FLE n°1
Fiche Service FLE n°1
View summary
View summary
e-CRM ou comment placer internet au cœur de la
e-CRM ou comment placer internet au cœur de la
La compétitivité en questions
La compétitivité en questions
Risque
Risque
Fiche de formalisation de connaissances
Fiche de formalisation de connaissances
Référentiel d`indicateurs pour auto-évaluer l`éco
Référentiel d`indicateurs pour auto-évaluer l`éco
Qualité en santé : expérience en imagerie médicale
Qualité en santé : expérience en imagerie médicale
CC maillons isolants
CC maillons isolants
L`outil d`autodiagnostic de la norme NF S99
L`outil d`autodiagnostic de la norme NF S99
APEG art 5 BRODHAG ISO 26000
APEG art 5 BRODHAG ISO 26000
Les normes ISO - Climate Services
Les normes ISO - Climate Services
introduction-partie-1-reconnaitre-la-diversite-des
introduction-partie-1-reconnaitre-la-diversite-des
Historique et présentation générale
Historique et présentation générale
Téléchargement
publicité