12 mai 2014 QSE : qualité et gouvernance des systèmes d’information Module introductif : paysage normatif en qualité SI Qu’est-ce que la qualité ? La qualité SI ? Performance AFNOR : « un produit ou service de qualité est un produit dont les caractéristiques lui permettent de satisfaire les besoins exprimés ou implicites des consommateurs » Besoins et services La qualité = notion subjective, difficile à définir Coûts Gestion de la qualité : ensemble des techniques d’organisation au sein d’une entreprise pour rendre la production de biens ou services conforme à des normes Délais Autre définition de la qualité : le rapport entre les besoins du client et le service proposé en matière de coûts, de performances et de délais. Qualité SI Qualité de l’infrastructure Qualité de l’information Qualité du logiciel Qualité de service Qualité des données 12 mai 2014 - Propriété de Solucom, reproduction interdite 2 Pourquoi se lancer dans une démarche qualité ? Raisons organisationnelles, techniques et juridiques Raisons économiques et commerciales Amélioration de la marge Baisse des coûts de production Amélioration des produits et services Baisse des coûts de la non-qualité Pression des concurrents Conquête de nouveaux marchés Amélioration de la satisfaction et de la fidélisation client … Raisons d’une démarche qualité dans l’entreprise 12 mai 2014 - Propriété de Solucom, reproduction interdite Amélioration du management et de l’organisation de l’entreprise Meilleure gestion des objectifs à atteindre (sécurité, sûreté de fonctionnement, etc.) Respect des exigences réglementaires (ISO 9001…) … 3 Panorama des principales normes relatives à la qualité SI Projets informatiques Production Sécurité Continuité Logiciels Gouvernance ISO 25000 COBIT ISO 9000 ISO 20000 CMMI ITIL ISO 27000 ISO 22301 Différentes normes pour différents domaines et différentes populations… …proposées par des organismes publics (ISO) et privés (Carnegie-Mellon, Office britannique du commerce, ISACA)… …certifiables au niveau des individus ou de l’organisation 12 mai 2014 - Propriété de Solucom, reproduction interdite 4 La gestion de la qualité s’appuie sur l’amélioration continue L’amélioration continue est l’ensemble des actions curatives, correctives ou préventives visant à assurer une amélioration du système dans le temps L’amélioration continue s’appuie sur la méthode de la roue de Deming PDCA La roue de Deming 4 étapes : Plan : planifier les objectifs et les actions pour les atteindre Do : Mettre en œuvre les actions Check : Contrôler l’efficacité des actions Act : rechercher des pistes d’amélioration Amélioration continue Le concept de la roue de Deming s’applique à tous les processus de l’entreprise 12 mai 2014 - Propriété de Solucom, reproduction interdite 5 Tableaux récapitulatifs (1/3) Normes Objet de la norme Exigences pour la mise en place d’un Système de Management de la Qualité (SMQ) ISO 9000 Démontrer son aptitude à fournir un produit conforme aux exigences réglementaires et client Viser à accroitre la satisfaction des clients par l’application efficace du système Contenu 4 domaines d’exigences 8 principes de management Écoute client / Leadership / Implication du personnel / Approche processus / Approche système / Amélioration continue / Approche factuelle de prise de décision Certification de l’organisation Bonnes pratiques d’ingénierie informatique Bonnes pratiques déclinées autour de 25 processus CMMI (Capability Maturity Model Integration) Référentiel d’évaluation pour le développement d’applications Représentations continue et étagée des processus Concerne le management et les équipes de développement Positionnement de la maturité sur 5 niveaux Pour les collaborateurs : Direction / Système qualité / Identification et maitrise des processus / Amélioration continue Concerne les Directions métiers Certification de l’organisation Responsabilité de la Utilité Fournir des outils et des méthodes de travail optimisés et communs Renforcement de l’esprit d’équipe Renforcement de l’efficacité Pour le management : Clients satisfaits, fidèles Collaborateurs ayant le souci de la qualité Aboutit à une liste de forces et faiblesses pour entamer une démarche d’amélioration Identification des risques Initial / Piloté / Standardisé / Amélioration des performances (coûts, délais, Quantifié / Optimisé productivité, satisfaction client) 12 mai 2014 - Propriété de Solucom, reproduction interdite 6 Tableaux récapitulatifs (1/3) Normes Objet de la norme ISO 20000 Approche processus Certification de l’organisation Bonnes pratiques pour la gestion de services informatiques (cycle de vie) ITIL (Information Technology Infrastructure Library) ISO 27000 Exigences pour la mise en place d’un système de management de services 5 publications Certification d’individus Exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) 4 domaines d’exigences 11 domaines dont une politique de sécurité, une organisation de la sécurité de l’information Contenu S’inspire de la certification ITIL Amélioration continue de la gestion des services Stratégie de service Conception des services Transition des services Exploitation des services Amélioration continue 7 processus Établissement du SMSI Traitement des risques et mise en place de mesures de sécurité Contrôle et amélioration Utilité Qualité de service Perpétuelle optimisation par l’amélioration continue Un référentiel de bonnes pratiques riche et adaptable Facilite les audits Une légitimation de la démarche sécurité Mise en place d’un modèle durable capable de s’améliorer dans le temps Certification de l’organisation 12 mai 2014 - Propriété de Solucom, reproduction interdite 7 Tableaux récapitulatifs (3/3) Normes Objet de la norme Utilité Poser le cadre et la référence pour définir les exigences qualité d’un logiciel Remplacement des normes ISO 9126 et ISO 14598 Optimisation du processus du développement Préciser la manière dont ces exigences seront évaluées Division de SQuaRE en 5 parties Meilleure fiabilité des logiciels Certification de l’organisation Bonnes pratiques pour gérer et auditer le SI d’une entreprise Synthèse Cadre de référence Aide à la prise de décision stratégique Guide d’audit Permet l’auto-évaluation de l’entreprise Guide management Outils de mise en œuvre ISO 25000 (SQuaRE : Software product Quality Requirement and Evaluation) Contenu COBIT (Control Objectives for Information and Related Technology) Contrôle des opérations informatiques 4 domaines 34 processus Certification de l’organisation 12 mai 2014 - Propriété de Solucom, reproduction interdite 8 www.solucom.fr Contact Etienne CAPGRAS Consultant senior Tel : +33 (0)1 49 03 24 51 Mobile : +33 (0)6 67 49 45 35 Mail : [email protected] Focus sur les normes ISO 9000 Objet Contenu Exigences pour la mise en place d’un système de management de qualité (SMQ) 1ère version : 1987 Dernière version : 2008, v4 Populations cibles : Directions métiers Certification de l’organisation Pour les collaborateurs : Fournir des outils et des méthodes de travail optimisés et communs Renforcement esprit d’équipe Renforcement de l’efficacité Pour le management : Responsabilité de la direction Système qualité Identification et maîtrise des processus Amélioration continue 8 principes de management Utilité 4 domaines d’exigences pour le SMQ : Écoute client Leadership Implication du personnel Approche processus Management par approche système Amélioration continue Approche factuelle de prise de décision Un SMQ doit permettre de : Démontrer son aptitude à fournir un produit conforme aux exigences réglementaires et client Viser à accroitre la satisfaction des clients par l’application efficace du système Clients satisfaits, fidèles Collaborateurs ayant le souci de la qualité 12 mai 2014 - Propriété de Solucom, reproduction interdite 10 Focus sur les normes CMMI : Capability Maturity Model Integration Objet Contenu Ensemble de bonnes pratiques d’ingénierie informatique Référentiel d’évaluation pour le développement de systèmes, logiciels et applications 1ère version : 2001 Dernière version : 2011, v3 Populations cibles : Chef de projet, Management, Équipe développement Certification de l’organisation CMMI contient beaucoup d’exemples : il est donc peu sujet à interprétation Les bonnes pratiques sont déclinées autour de 25 processus Deux modes de représentation des processus La représentation continue : les processus sont répartis en 4 groupes dont ont attribue une note et on suit les progrès La représentation étagée : il permet d’évaluer la maturité de l’entreprise à travers 5 niveaux de maturité 5 niveaux de maturité d’une organisation : Initial Piloté Standardisé Quantifié Optimisé Utilité Le résultat de l’évaluation est une liste de forces et faiblesses pour entamer une démarche d’amélioration Une identification des risques Une amélioration des performances (coûts, délais, productivité, satisfaction client) 12 mai 2014 - Propriété de Solucom, reproduction interdite 11 Focus sur les normes ISO 20000 Objet Contenu Exigences relatives à un fournisseur de services pour fournir à ses clients des services de qualités en ligne avec les besoins via un Système de Gestion des services 1ère version : 2005 Dernière version : 2011, v3 Populations cibles : DSI, entreprise de services informatiques (centre d’appels…) Certification de l’organisation Exigences d’un système de gestion : Gestion de la responsabilité de la Direction Gestion de la documentation Gestion des compétences, de la sensibilisation et de la formation Planification et mise en œuvre de la gestion des services informatiques Planifier Mise en œuvre de la gestion des services Surveillance, mesure et revue Amélioration continue 5 processus : Processus de Conception et transition des services nouveaux et modifiés Processus de fourniture de services Processus de gestion des relations Processus de contrôle et de mise en production Processus de résolution Utilité Amélioration du service et de la qualité de service Fiabilité et disponibilité des services Meilleur alignement IT/ Métiers Réduction des coûts : Identification des faiblesses Amélioration continue 12 mai 2014 - Propriété de Solucom, reproduction interdite 12 Focus sur les normes ITIL : Information Technology Infrastructure Library Objet Contenu Recueil de bonnes pratiques pour la gestion des services informatiques 1ère version : 1988 Dernière version : 2011, v4 Personnes cibles : Direction de la production, la DSI, directions métiers Certification d’individus Utilité Un référentiel de bonnes pratiques riche et adaptable : Gain de temps Mise en œuvre de pratiques éprouvées Une réduction des coûts Facilitateur de l’audit des DSI Deux principes fondamentaux : L’amélioration continue de la gestion des services Un système de gestion des services En pratique : La définition et la mise en œuvre de processus de gestion des services Référentiel orienté sur les services fournis aux utilisateurs, notamment sur le cycle de vie des services 5 publications de l’ITIL : La stratégie de services La conception de services La transition de services L’exploitation de services L’amélioration continue de services 12 mai 2014 - Propriété de Solucom, reproduction interdite 13 Focus sur les normes ISO 27000 Objet Contenu Ensemble d’exigences d’un système de management de la sécurité de l’information (SMSI) 1ère version : 2005 Dernière version : 2011 Populations cibles : Chef de projet, Management, Équipe sécurité Certification de l’organisation Modèle fondé sur 4 axes principaux : 11 domaines du SMSI dont : Politique de sécurité Organisation de la sécurité de l’information Sécurité physique Gestion des incidents … 7 processus : Piloter et améliorer le SMSI Conduire l’analyse de risques Mettre en œuvre le traitement des risques Sensibiliser et former à la sécurité de l’information Gérer les incidents de sécurité et les vulnérabilités Contrôler et mesurer l’efficacité Gérer la documentation et les enregistrements Utilité Mise en place de process d’amélioration continue de la sécurité SI (connaître les risques et les traiter) Image extérieure positive par la maîtrise des risques Approche orientée processus Pilotage par les risques Amélioration continue Implication du management 12 mai 2014 - Propriété de Solucom, reproduction interdite 14 Focus sur les normes ISO 25000 Objet Contenu Exigences qualité pour un produit logiciel et la mise en œuvre de leur évaluation (SQuaRE) 1ère version : 2005 Dernière version : 2014, v2 Populations cibles : développeurs, Certification de l’organisation ISO 25000 remplace les normes ISO 9126 et ISO 14598 Ensemble des caractéristiques qualité principales d’un produit logiciel SQuaRE est divisée en 5 parties : Management de la Qualité Modèle Qualité Mesure de la Qualité Évaluation de la Qualité Exigences de la qualité La qualité du logiciel en 3 niveaux : La qualité interne La qualité externe La qualité de fonctionnement Utilité Optimisation des processus de développement Meilleure fiabilité des logiciels 12 mai 2014 - Propriété de Solucom, reproduction interdite 15 Focus sur les normes COBIT : Control Objectives for Information and Related Technology Objet Contenu Définition des processus essentiels de gouvernance des SI Référence de bonnes pratiques pour améliorer les contrôles des SI 1ère version : 1996 Dernière version : 2012, v5 Populations cibles : Direction générale, la Qualité, auditeurs Certification de l’organisation Aide à la prise de décision stratégique Aide au contrôle du service fourni Disposer d’une méthode de mesure pour l’auto-évaluation d’une organisation Permet d’évaluer et/ou justifier les risques et faiblesses des objectifs de contrôle et propose des mesures correctives Le Guide de Management comprend : Les objectifs de contrôle et les impératifs Les critères de l’information Les ressources informatiques impactés par le processus Le Guide d’audit permet : présentation des 4 domaines et des 34 processus Le cadre de référence comprend Aide à l’optimisation des investissements informatiques Planifier et organiser Acquérir et implémenter Délivrer et supporter Surveiller et évaluer La synthèse comprend: Utilité 34 processus qui subdivisent la gestion du SI en 4 domaines : Modèle de maturité = outil d’évaluation de la maturité des processus Aide à la formation de tableaux de bord Indicateurs clés d’objectifs, de performance et de succès 12 mai 2014 - Propriété de Solucom, reproduction interdite 16