Académique Documents
Professionnel Documents
Culture Documents
Guide comment
Vous souhaitez optimiser les cots et les dlais dans votre entreprise tout en offrant une bonne qualit de service ? Les normes, rfrentiels, mthodes et modles (NRMM) vont vous y aider ! Cet ouvrage vous en propose une synthse facile dutilisation et pratique. Il vous apportera des rponses claires et prcises, et les nombreuses annexes vous permettront dapprofondir vos recherches. Vritable livre de rfrence, ce guide comment est destin autant aux nophytes quaux plus expriments. 7 Quatre grands thmes centraliss dans un mme ouvrage, avec des explications simples et des exemples sur les normes, rfrentiels, mthodes et modles. Les tendances avec les nouvelles normes (ISO 20000:2010, ISO 38500) et les nouveaux rfrentiels (P-CMM, EFQM-SD 21000, CoBit V4.1). Une vision gnrale des sujets selon une mme logique : lhistorique, le concept, lapplication et le dire dexpert.
7 7
www.jgaconsulting.com
Ont particip cet ouvrage : Michel BERTEAU, Expert et Auditeur Scurit en SI Christophe DENIS, Spcialiste CMMI Alexandre ENGEL, Master Black Belt Six Sigma Gad KOSKAS, Auditeur ISO 20000, Consultant et formateur ITIL Sylvain LABORDE, Lead Auditeur ISO 27002 Hugues MOLET, Directeur du Mastre management industriel Mines Paristech Benot NELATON, Responsable Performance Industrielle Michel RAQUIN, Prsident du club des pilotes de processus, Peter SULLIVAN, Directeur qualit industrielle Pierre THORY, Coditeur du standard ISO/IEC 20000-1 (AFNOR).
Gilles TENEAU est responsable du ple ITIL au sein de SOGETI. Doctorant en science de gestion, il est charg de cours au CNAM. Il crit galement des articles et ouvrages de management et possde une longue exprience du conseil en stratgie auprs de grandes entreprises.
Jean-Guy AHANDA est consultant senior en direction de projet et spcialiste en qualit pour lindustrie et les services. Diplm en management industriel et systmes logistiques de lcole des Mines ParisTech et en normalisation qualit, certication de lUTC, il intervient auprs des grands groupes.
ditions dOrganisation Groupe Eyrolles 61, bd Saint-Germain 75240 Paris cedex 05 www.editions-organisation.com www.editions-eyrolles.com
Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans lenseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du Droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Groupe Eyrolles, 2009 ISBN : 978-2-212-54388-9
Remerciements
Nous tenons remercier tout particulirement nos familles respectives pour les nombreuses heures de patience, de conseil et de soutien tout au long de notre travail. Nous remercions galement lensemble des personnes qui ont fortement contribu la parution de louvrage : Dominique Briot, spcialiste en approche systmique, auteur de louvrage Manager par lapproche systmique aux ditions dOrganisation. Hugues Molet, professeur lcole nationale suprieure des mines de Paris, pour sa contribution dans la ralisation de la prface de notre ouvrage. Benot Nelaton, responsable industrialisation, pour sa prcieuse aide dans lamlioration et la relecture de louvrage, et pour sa participation en tant que dire dexpert pour le chapitre Lean. Michel Berteau, consultant senior, auditeur certi ISO 27001, pour ce qui concerne ISO 27001 et son dire dexpert . Sylvain Laborde, certi BS 7799, auditeur certi ISO 27001, pour sa contribution la rdaction des normes ISO 27002 27007. Gad Koskas, consultant manager, auditeur ISO 20000 et formateur ITIL V2, V3, pour la rdaction du chapitre de la norme ISO 20000. Michel Raquin, prsident du Club des pilotes de processus (C2P) pour sa contribution pour le chapitre BPM.
Groupe Eyrolles
Alexandre Engel, manager Black Belt, pour sa contribution en tant que dire dexpert pour le chapitre Six Sigma.
VI
Christophe Denis, ingnieur logiciel, spcialiste CMMI, pour sa contribution en tant que dire dexpert pour les chapitres ISO/IEC 15504 et ISO/IEC 12207. Peter Sullivan, manager Quality pour sa contribution en tant que dire dexpert pour le chapitre TICKIT. Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ; directeur de Sextant Solutions Informatiques ; matre de confrences associ luniversit dEvry ; prsident de la Commission nationale ingnierie et qualit des logiciels et systmes (AFNOR). Marguerite Cardoso, ditrice chez Eyrolles, qui nous a fait conance.
Groupe Eyrolles
Sommaire
V 1 5 9
Partie 1
LES NORMES
Dfinition ............................................................................................ Historique....................................................................................... Dfinition simplifie ...................................................................... quoi sert une norme ?...................................................................... Une norme est en relation avec un domaine dactivit ........................ Les organismes de normalisation ......................................................... quoi sert un organisme de normalisation ? .............................. Pourquoi des organismes de normalisation ?............................... Accrditation et certification............................................................... Liste des normes analyses dans cet ouvrage ..................................... 16 16 17 17 17 19 19 19 20 20 23 27 31 37 43 47 53
CHAPITRE 1 BS 8800 ................................................................... CHAPITRE 2 ISO 9000 ................................................................. CHAPITRE 3 ISO 9001:2000 ....................................................... CHAPITRE 4 ISO 10006:2003 .....................................................
Groupe Eyrolles
CHAPITRE 5 ISO/IEC 12207:2008 ............................................. CHAPITRE 6 ISO 14001:2004 ..................................................... CHAPITRE 7 ISO/IEC 15504 .......................................................
VIII
CHAPITRE 8 ISO 19011 ............................................................... CHAPITRE 9 ISO/IEC 20000 ....................................................... CHAPITRE 10 ISO/IEC 21827:2002 .......................................... CHAPITRE 11 ISO/WD 26000 .................................................... CHAPITRE 12 ISO 27000 ............................................................. CHAPITRE 13 ISO/DIS 31000 .................................................... CHAPITRE 14 ISO 38500:2008 ................................................... CHAPITRE 15 SAS 70 ................................................................... CHAPITRE 16 SA 8000 ................................................................. CHAPITRE 17 SOX ........................................................................
57 61 65 69 73 81 85 89 93 99
Partie 2
LES RFRENTIELS
Dfinition ............................................................................................ Quest-ce quun rfrentiel ?.......................................................... Quest-ce quun rfrentiel de certification ?................................ Liste des rfrentiels analyss dans cet ouvrage.......................... 102 102 102 103 105 109 111 119 123 127 133 141 143
Groupe Eyrolles
CHAPITRE 1 ASL ........................................................................... CHAPITRE 2 CISSP ....................................................................... CHAPITRE 3 CMM et CMMI ........................................................ CHAPITRE 4 COBIT ...................................................................... CHAPITRE 5 DSDM....................................................................... CHAPITRE 6 EFQM ....................................................................... CHAPITRE 7 eSCM ........................................................................ CHAPITRE 8 ISPL (Euromthode) ............................................ CHAPITRE 9 ITIL V2 .....................................................................
Sommaire
IX
CHAPITRE 10 ITIL V3 .................................................................. CHAPITRE 11 MOF ....................................................................... CHAPITRE 12 OHSAS .................................................................. CHAPITRE 13 PCIE....................................................................... CHAPITRE 14 PMP ....................................................................... CHAPITRE 15 PRINCE2 ............................................................... CHAPITRE 16 SPICE .................................................................... CHAPITRE 17 TICKIT .................................................................. CHAPITRE 18 TQM....................................................................... CHAPITRE 19 Zachman ..............................................................
149 157 161 165 167 169 175 179 181 187
Partie 3
LES MTHODES
Dfinition ............................................................................................ Gnralits sur les mthodes ........................................................ Liste des mthodes analyses dans cet ouvrage.......................... 194 194 195 197 203 209 215 219 223 225 229 233
CHAPITRE 1 AMDEC .................................................................... CHAPITRE 2 BPM.......................................................................... CHAPITRE 3 BSC ........................................................................... CHAPITRE 4 Benchmark ............................................................ CHAPITRE 5 BP-GP ...................................................................... CHAPITRE 6 CRAMM ...................................................................
Groupe Eyrolles
CHAPITRE 10 Juste--Temps ..................................................... CHAPITRE 11 Kaizen ................................................................... CHAPITRE 12 Knowledge Management ................................. CHAPITRE 13 Lean ....................................................................... CHAPITRE 14 MEHARI ................................................................ CHAPITRE 15 OCTAVE/OCTAVE-S ........................................... CHAPITRE 16 PDCA (roue de Deming) .................................. CHAPITRE 17 Six Sigma ............................................................. CHAPITRE 18 TCO........................................................................ CHAPITRE 19 TDBSSI ..................................................................
237 241 247 253 259 261 263 267 271 275
Partie 4
LES MODLES
Dfinition ............................................................................................ Liste des modles analyss dans cet ouvrage .............................. 278 279 281 283 287 291 293 297 299 301 303
Groupe Eyrolles
CHAPITRE 1 Cartes mentales .................................................... CHAPITRE 2 Ishikawa ................................................................. CHAPITRE 3 Chane de valeur .................................................. CHAPITRE 4 Chane de la performance ................................. CHAPITRE 5 Modle des carts de la qualit de service ............................................................... CHAPITRE 6 Les 3C ou le triangle stratgique ..................... CHAPITRE 7 Les 5S ....................................................................... CHAPITRE 8 Les 5P ...................................................................... CHAPITRE 9 Les 5 forces ............................................................
Sommaire
XI
CHAPITRE 10 Les 7S .................................................................... CHAPITRE 11 Matrice Atouts/Attraits .................................... CHAPITRE 12 Matrice Croissance/Part de march ............. CHAPITRE 13 Matrice Importance/Urgence ........................ CHAPITRE 14 MSP-SPC ............................................................... CHAPITRE 15 PEST ...................................................................... CHAPITRE 16 Principe de Pareto ou loi des 80/20 ............. CHAPITRE 17 RACI ...................................................................... CHAPITRE 18 SMED .................................................................... CHAPITRE 19 SIPOC ou les relations client-fournisseur ... CHAPITRE 20 SWOT .................................................................... CHAPITRE 21 TPM .......................................................................
Conclusion .........................................................................................
305 307 309 311 313 315 317 319 321 323 325 327 331
ANNEXES
ANNEXE 1 ANNEXE 2 ANNEXE 3 ANNEXE 4 ANNEXE 5 ANNEXE 6
Groupe Eyrolles
Cartographie des NRMM .................................... Les nouveauts normes et rfrentiels .......... Sites Internet ......................................................... Organismes de certification ............................. Acronymes ............................................................ Glossaire ................................................................
Prface
Prface
Dans lenvironnement concurrentiel actuel, les entreprises recherchent plus que jamais raliser des objectifs stratgiques, tactiques et oprationnels. Il peut sagir de croissance sous forme de fusion, rachat Il peut galement sagir damliorer la productivit, interne ou externe, sur la chane logistique, ou de faon plus pragmatique de chercher survivre ; pour aider rester dans la course, les activits de la technologie de linformation (TI) deviennent indispensables. Ces objectifs seront atteints grce la mise en uvre des outils du management stratgique, de la gestion industrielle et de la logistique, et cela quel que soit le secteur dactivit, industrie ou service. Les auteurs de cet ouvrage proposent des rponses dans des domaines varis pour mettre en uvre ces outils. Il ne sagit pas de donner une solution unique et dcisive mais dapporter quelques cls prsentes selon une typologie NRMM1. Lorsque lon parle de normes, rfrentiels, mthodes et modles, on est enclin considrer que leur mise en uvre et leur utilisation ne sont lies qu certaines directions fonctionnelles : qualit, mthodes, maintenance, tudes Et presque toujours, on se rfre au secteur industriel. Mais cette vision est restrictive ; les NRMM englobent la totalit des fonctions et des acteurs et, de plus en plus, on assiste lappropriation des NRMM par les entreprises du tertiaire, et plus prcisment celles des services, des prestataires logisticiens et distributeurs, des entreprises SSII, des cabinets de conseil, des oprateurs en systmes dinformation, en tlcommunications
Groupe Eyrolles
titre personnel, je me sens trs directement concern par lapplication de ces outils pour plusieurs raisons.
1. Normes, Rfrentiels, Mthodes, Modles.
Jai t responsable dune PME, il y a plusieurs annes. Le danger dans une telle structure est de penser que votre situation est spcique et que les outils appliqus dans les grandes entreprises ne vous apporteront quune aide bien limite. En ralit, les outils NRMM sont tout fait adaptables nimporte quelle structure. titre dexemple, on a longtemps pens que la mise en place dune norme ISO 9000 ntait quun amoncellement de documents, et que ceux-ci ne concernaient que de grandes structures qui pouvaient se permettre de les confectionner et de les rassembler. Lexprience a montr quintelligemment conues et mises en place de telles normes pouvaient tre relativement souples et adaptables, conduire des amliorations signicatives. La mise en uvre dun audit de ux ou dun changement rapide de fabrication nest pas lapanage de grandes socits et, quelle que soit sa taille, chaque entreprise peut trouver dans les NRMM matire progresser. En qualit de professeur au sein de lcole des mines ParisTech et directeur du 3e cycle pour le mastre spcialis Management Industriel et Systmes Logistiques , je suis confront une difcult pdagogique. Bien que lapprentissage thorique des NRMM ne soit pas si complexe, il arrive aux tudiants de considrer ces outils comme vidents, sinon triviaux, parce que la difcult nest pas dans lapprentissage de ces NRMM mais dans leur mise en uvre. Or, celle-ci ne peut intervenir qu la suite de la partie acadmique. ce moment-l, les tudiants ralisent la complexit et la nature des difcults dimplmentation des NRMM, ainsi que limportance primordiale du facteur humain dans leur mise en uvre. Le constat intressant aujourdhui est lafux de sujets proposs par les industriels, dont les solutions reposent sur la mise en uvre rchie des NRMM. Lenjeu le plus important nest pas seulement de connatre ces outils mais de les mettre en place ; tout converge alors vers limplication du personnel. Un thme rcurrent avec un dcalage important et omniprsent entre les potentialits thoriques des outils NRMM quels quils soient, et leur efcacit relle en termes de productivit. Cet cart est li la comprhension par les acteurs de ces outils, et lintrt qui leur est port dans leur application et constante amlioration. La mise en place dune norme ISO peut constituer une corve sans
Groupe Eyrolles
Prface
valeur ajoute, ou bien, au contraire, devenir un vecteur de progrs. Tout dpendra de la faon dont cette norme est comprise, notamment en termes de source continuelle de progrs. Le danger est grand de considrer une norme comme une entit ge ; lapplication de celle-ci sera une russite lorsque lon ne cherchera pas uniquement la respecter mais dpasser les exigences requises. Une autre de mes activits actuelles concerne la responsabilit de la Revue franaise de gestion industrielle, revue qui relate des expriences concrtes de praticiens, de consultants et duniversitaires dans le monde industriel et des services. Depuis plusieurs annes, je suis tmoin dun intrt nouveau et accru envers les tmoignages prsents sur la mise en uvre doutils NRMM. Autre volution intressante, la mise en uvre de ces outils sapplique de plus en plus au monde des services : on assiste une appropriation de dmarches autrefois rserves lindustrie dans des univers qui ny taient pas familiers, en particulier ceux de la logistique et toutes les activits de services. La valeur principale de cet ouvrage est dapporter aux lecteurs une vision simple et rapide de la plupart des NRMM, tout en offrant la possibilit de mieux cerner lensemble des thmes prsents. Le public potentiel est large : il peut sagir dtudiants, de professionnels, denseignants, que ceux-ci aient dj une bonne connaissance de ces outils ou quils les dcouvrent. Grce cet ouvrage, ces outils sont prsents et positionns dans leur contexte selon la typologie NRMM propose ; limportance du facteur humain dans leur mise en uvre et leur efcacit est juste titre trs prsente. Cet ouvrage est un livre pratique : il peut servir de recueil, de dictionnaire, de rfrence. Il sagit dun ouvrage dont tous les acteurs des entreprises industrielles et de services pourront trs utilement proter. Hugues Molet Professeur lcole des mines ParisTech.
Groupe Eyrolles
Rdacteur en chef de la Revue franaise de gestion industrielle. Auteur de nombreux ouvrages dont La Gestion de production, Herms, 1989, Une nouvelle gestion industrielle, Herms, 1993, Systme de production et de logistique, Lavoisier, 2006.
Avant-propos
Avant-propos
Le panel qui existe en matire de norme, de rfrentiel, de mthode et de modle est relativement large ; notre choix porte sur le management de la qualit, travers diffrents domaines dactivit, comme le systme dinformation, lorganisation, la supply chain, et cela quel que soit le cur de mtier de lentreprise. Tout dabord, il faut se poser la question : sans les NRMM, comment mon organisation (service, dpartement, direction) fonctionnerait-elle ? Des rgles sont tablies en interne comme en externe de lentreprise ; lavantage davoir des NRMM permet danticiper des problmes, de mieux comprendre les enjeux et la stratgie de lentreprise, ainsi que le march conomique. Pour la direction gnrale, les NRMM sont des outils indispensables ; avoir la matrise de ces outils est un vecteur de russite pour lentreprise face la concurrence.
Ltape 3 : Mthodes Il sagit de toutes les bonnes solutions qui vont permettre lentreprise datteindre son objectif (qualit, cot, dlai, services) et autres (fusion, rachat, joint-venture).
Ltape 4 : Modles Il sagit doutils, connus et reconnus des professionnels ; les modles sont indispensables et complmentaires aux mthodes. Avant dinitialiser les NRMM dans lentreprise, la dimension humaine est prendre en compte par rapport lchelle temps, cest--dire avant, pendant et aprs : avant : concerne la sensibilisation de tout le personnel et se traduit par un vritable plan de communication, formation, sminaire. Une mobilisation du personnel est organiser ; pendant : ne pas cesser de communiquer auprs des quipes, les impliquer, avec pour objectif lappropriation des NRMM dans sa totalit ; toujours penser communiquer auprs du personnel sur lavancement, les rsultats de la mise en place des NRMM ; fliciter et reconnatre les succs comme savoir reconnatre les checs ; aprs : concerne les volutions, les nouveauts, la veille technologique et organisationnelle, structure quil faut mettre en place et maintenir an de prserver toute lefcience qui existe autour des NRMM. Grce aux NRMM lentreprise donne la preuve quelle est organise, normalise, qualie, certie on lui dcerne un package de conformit , poids stratgique face la concurrence et aux nouveaux marchs. Sans les NRMM lenjeu est difcile. Il ne faut pas voir les NRMM comme quelque chose de compliqu, de lourd, de pnible utiliser, de non convivial, dastreignant, de rbarbatif mais il faut les voir davantage comme un vecteur de succs pour lentreprise, qui doit permettre aux collaborateurs doptimiser, damliorer la qualit de leurs activits tout en dgageant de vritables gains :
Gains pour le personnel Gains pour lentreprise
panouissement de la personne (tre utile). Reconnaissance de son travail. Satisfaction personnelle. volutions internes ou externes. Augmentations de salaire, primes
Temps, cot, qualit de service. Position de leader sur le march/image de marque (rputation). Conqute de nouveaux marchs. Rachats, fusions, partenariats, joint-ventures.
Groupe Eyrolles
Avant-propos
Cet ouvrage a pour vocation de prsenter les NRMM de manire simple. Lapproche NRMM permet dtablir des rgles de fonctionnement, voire des rgles stratgiques. De nos jours, travailler sans rgles est dangereux car beaucoup de choses sont standardises, normalises, rfrences, que ce soit les services, les fabrications, les changes, les ux, les produits
Groupe Eyrolles
Introduction
Introduction
Lobjectif de cet ouvrage est de prsenter, de manire simple et comprhensible, les vastes domaines que sont les normes, les rfrentiels, les mthodes et les modles, qui semblent complexes pour les non-initis, pour les activits de la technologie de linformation et, plus particulirement, le systme dinformation. Cet ouvrage permettra au lecteur dacqurir un ensemble de bases essentielles (smantique, normatif, rfrentiel, mthodique, modlisme, stratgique) pour matriser et mettre en place une approche NRMM ; nous dsignons par cette appellation les normes, rfrentiels, mthodes, modles. Depuis plusieurs annes, le monde professionnel a assist son mergence dans de nombreux domaines dactivit, dont les systmes dinformation. Pour beaucoup, quand on parle de NRMM, un amalgame confus entre les termes est souvent fait. Cest vrai quil est difcile de faire la distinction entre une norme et un rfrentiel, entre une mthode et un modle ; les frontires sont souvent confondues. Grce cet ouvrage, la distinction sera clairement faite entre une norme et un rfrentiel, et entre une mthode et un modle. Les normes ou les rfrentiels ont des numros de versions par exemple, COBIT V4.1, ITIL V3 ou ISO/IEC 27001 , alors que les mthodes et les modles nen possdent pas. Les normes sont des exigences, vous devez faire ceci , alors que les rfrentiels sont des recommandations, il serait bien de faire comme ceci . Les mthodes et les modles sont des outils qui servent aux rfrentiels ou aux normes. Par exemple, la mthode PDCA est utilise par le rfrentiel eSCM. Le modle de la chane de valeur est utilis par le rfrentiel ITIL V3. Les mthodes Marion et Mehari sont utilises par la norme ISO/IEC 27001. Les modles sont des outils simples tandis que les mthodes sont des outils complexes. Certaines mthodes peuvent se sufrent elles-mmes, cest le cas pour le modle Six Sigma.
Groupe Eyrolles
10
Le tableau ci-dessous permettra davoir une meilleure comprhension de ce que lon dsigne par NRMM :
NRMM Dnition Exemples
NORME
Document de rfrence sur un sujet ou un domaine donn en accord avec la rglementation franaise ou trangre (norme europenne, norme internationale). Certication de lentreprise dans bien des cas.
RFRENTIEL
Standard ( best practice du mtier) reconnu par des professionnels du domaine, et qui se rfre souvent une norme. Certication des personnes dans bien des cas.
ITIL V2, V3 COBIT CMMI Zachman AMDEC BSC Kaizen Six Sigma
MTHODE
Ensemble de dmarches formalises selon des principes, dans le but dacqurir un savoir-faire conforme aux objectifs attendus. Utilisation de la mthode travers lentreprise ou une partie de lentreprise.
MODLE
Outil qui, grce ses caractristiques, ses qualits, son utilisation, peut servir de rfrence limitation ou la reproduction. Application du modle pour un domaine ou une activit spcique de lentreprise.
Les entreprises, les administrations nationales ou internationales, les organisations sappuient sur des normes, des rfrentiels, des mthodes et des modles, dans lobjectif de rester comptitives. La matrise des NRMM reprsente un atout important, voire stratgique, pour toutes. La qualit, le cot, le dlai et le respect de lenvironnement sont des critres importants et incontournables pour lensemble des acteurs qui appartiennent la chane logistique normale :
Groupe Eyrolles
Introduction
11
Pour les professionnels des domaines de lindustrie et des services, quils soient directeur informatique, directeur de la stratgie, directeur qualit, responsable tudes, responsable production, ingnieur, consultant, chef de projet, auditeur, la richesse de ses donnes sera prcieuse.
12
destination des chercheurs, enseignants, il apportera les premires rponses aux interrogations sur les NRMM. Pour les seniors dsirant approfondir leurs connaissances en matire de NRMM, lapproche gnraliste de louvrage permettra de sapproprier de nouvelles connaissances de manire simple et rapide.
LA STRUCTURE DE LOUVRAGE
La premire partie concerne les normes ; il sagit dune introduction la normalisation en gnral. Un grand nombre de normes sont dcrites, une dnition simple est donne dans chaque cas, la gense des normes est prsente avec les domaines dapplication, les diffrents secteurs dactivit qui sont concerns par ces normes. Sans rentrer dans un dtail superu, cette premire partie permet dacqurir un premier niveau de connaissances ncessaire et sufsant sur les normes actuelles. La deuxime partie prsente les diffrents rfrentiels qui existent dans les services des domaines TI et organisationnel. Elle permet au lecteur de commencer se familiariser avec lutilisation que lon en fait dans le monde professionnel. La troisime partie traite des mthodes ; laccent est mis sur les mthodes employes dans le secteur des services, et plus particulirement dans les systmes dinformation. Les modes demploi sont prsents ainsi que la dmarche suivre pour mettre en place une mthode. La quatrime partie concerne les modles ; il sagit de modles dits daction, trs oprationnels, pour beaucoup dentre eux des modles de rfrence, souvent utiliss et toujours dactualit. Ils se rpartissent en quatre familles spciques qui sont : la stratgie (exemple : PEST) ; lorganisation (exemple : la chane de la performance) ; le changement (exemple : les 7S) ; la gestion des hommes (exemple : RACI).
Groupe Eyrolles
On retrouve lensemble des quatre familles dans le monde des systmes dinformation. La dernire partie comprend la conclusion ainsi que les nombreuses annexes riches et complmentaires, comme les relations qui existent
Introduction
13
entre les normes et les rfrentiels ou entre les mthodes et les modles, reprsentes sous forme de cartographie. Un tableau rcapitulatif est prsent (vision des nouveauts). Les adresses des diffrents sites Internet qui existent sur les NRMM, la liste des organismes de certication, les abrviations et le vocabulaire ainsi que la bibliographie sont consultables en n douvrage pour une lecture facilite. Enn le lecteur pourra saider dun index pour rechercher un terme spcique dans louvrage. Nous vous souhaitons une trs bonne lecture.
Groupe Eyrolles
Les normes
16
Les normes
DFINITION
Historique
Depuis de nombreuses annes, les industriels ont travaill sans avoir de vritables rgles de travail, dans les bureaux dtudes, dans les services de conception, dans les services de dveloppement, de fabrication et de production. Chacun travaillait suivant sa logique, son bon sens, son habitude, pour un mme secteur dactivit, voire dans une mme entreprise, et on arrivait avoir des produits totalement diffrents, en restant sur la mme ligne de production, avec la mme matire premire, les mmes programmes, les mmes oprateurs, sans volont, ni dsir de rechercher la diffrenciation mais par le fait dune absence totale de rgles de travail. Alors que faire ? Cette situation sest arrte, suite une relle prise de conscience de la part des industriels, et cest ce moment-l que des groupes dindustriels se sont rencontrs an de dnir et de formaliser des rgles de bonnes pratiques partager entre eux. Cette forte demande de la part des grands industriels davoir une vritable standardisation sur les produits, les services et les biens, domaine par domaine, a permis par la mme occasion de voir natre un ensemble dinstitutions, dans un seul but : celui de mettre en place des instances de standardisation, ou plus exactement des institutions professionnelles de normalisation nationales, europennes et internationales. Les institutions de normalisation sont apparues aux tats-Unis au dbut des annes 1900. Une des premires institutions est lAmerican Institute of Electrical Engineers (aujourdhui lIEEE, Institute of Electrical and Electronics Engineers). La premire norme tre approuve est amricaine ; elle a vu le jour en 1916 dans lAmerican Standard Safety Code. Il sagit dune norme qui traite de la protection des yeux et de la tte des ouvriers du monde industriel. Larme amricaine a t la principale grande administration formaliser un ensemble de normes en crant le Military Standard. LInternational Organization for Standardization ISO est apparue aprsguerre (1947) ; vingt-cinq pays la composent, et plus prcisment les institutions professionnelles des pays. LISO est base Genve (Suisse) et regroupe lensemble des normes internationales.
Groupe Eyrolles
Les normes
17
Dnition simplie
Une norme est une directive qui permet de dnir un standard pour un produit, un service, un bien, destination des professionnels et du grand public. Dnition ofcielle : Document tabli par consensus et approuv par un organisme reconnu, qui fournit, pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des activits ou leurs rsultats garantissant un niveau dordre optimal dans un contexte donn. (Source : lISO et IEC). En franais on utilise le mot norme , alors que dans les pays anglosaxons on utilise le mot standard .
chaque domaine, il est possible dassocier une norme ; cette distinction permet aux professionnels de cibler prcisment leurs besoins. Pour le domaine de la mesure, de la volumtrie, du poids, des units on utilisera les normes fondamentales (chantillonnage). Institution concerne : le Bureau national de mtrologie (BNM).
18
Les normes
Pour le domaine de la conception, llaboration de produit spcique, cest--dire tout ce qui demande un certain dosage, de la prcision, un respect des mesures on utilisera les normes spciques (trs proches des bonnes pratiques de lartisanat). Pour le domaine de la rsistance, de la fatigue, de leffort, de la pression, de lusure cest--dire des produits comme les ceintures de scurit, la rsistance dune route lusure des pneus des vhicules, la rsistance dun lastique on utilisera les normes danalyses et dessais. Institution concerne : le Laboratoire national de mtrologie et dessais (LNE). Pour le domaine de la qualit, de lenvironnement, des nouvelles technologies, cest--dire le management de la qualit ISO 9001:2000, le management environnemental ISO 14001:2004, ou pour le systme dinformation ISO 20000, on utilisera les normes dites de management. Les normes de management sont les normes les plus connues de lISO. Notre ouvrage concerne les normes de management qui sappliquent lensemble des services des entreprises. Que lon souhaite tre certi ISO 9001:2000 ou ISO 20000, ISO 14001: 2004, il sagit bien de normes de management. Cette dernire concerne toute lentreprise ; son primtre va jusquaux partenaires, fournisseurs, sous-traitants. Il y a plus de dix ans, certier son entreprise faisait partie des priorits de la direction. La certication a ouvert des portes : se positionner sur un march, pouvoir rpondre aux appels doffres. Elle est vite devenue une condition obligatoire en termes de conqute de nouveaux marchs pour les entreprises. Les certications ISO 9001:1994 ou ISO 9002:1994 avaient le vent en poupe. Avant, on parlait de systme dassurance qualit ; maintenant, depuis les annes 2000, il sagit de la certication ISO 9001:2000 qui la remplace, et on parle de systme de management de la qualit. Cette norme doit rpondre un ensemble dexigences. Avec la prise de conscience des problmes environnementaux, la norme ISO 14001:2004 commence prendre beaucoup dimportance auprs des entreprises. Malheureusement, le nombre dentreprises certies nest pas aussi important que celui des entreprises certies ISO 9001: 2000.
Groupe Eyrolles
Les normes
19
On associe de plus en plus la norme ISO 14001:2004 au dveloppement durable. Dans bien des cas les normes sont labores par des groupes dexperts ; cependant, il arrive quune norme soit ralise par une seule personne, voire deux. Souvent, les personnes veulent protger leur travail (la norme) par le droit de la proprit industrielle ; cest le mme principe pour un inventeur qui dpose une marque, un brevet, un logo la personne fait appel aux services de lInstitut national de la proprit industrielle (INPI). Cet aspect protection, on le retrouve dans beaucoup de normes, les normes CEN, cest--dire les normes europennes, ou les normes ISO internationales. Il faut savoir que les normes sont payantes.
Groupe Eyrolles
20
Les normes
AFNOR : Association franaise de normalisation ANSI : American National Standards Institute ASTM International : American Society for Testing and Material BSI : British Standards Institute
DIN : Deutsches Institut fr Normung JSA : Japanese Standards Association BN : Bureau de normalisation, organisme ofciel belge de normalisation, qui a succd lIBN, lInstitut belge de normalisation, le 1er dcembre 2006
ACCRDITATION ET CERTIFICATION
Le COFRAC (Comit franais daccrditation) a pour objectif daccrditer les organismes de certication (AFAQ, LRQA, BVQI), ainsi que les laboratoires dessais, de tests, dchantillonnages.
BS 8800 ISO 8402:1994 ISO 9000 ISO 9001:2000 ISO 9004:2000 ISO 10005:2005
Gestion de la sant et de la scurit au travail Management par la qualit et assurance de la qualit Systme de management de la qualit tape vers une gestion de la qualit totale Management de la qualit, lignes directrices pour lamlioration des performances Dveloppement, acceptation, application et rvision de plans qualit
1 2 2 3 3 4 /
Groupe Eyrolles
Les normes
21
Normes
Dnition
Chapitre
ISO 10006:2003 ISO 10007:2003 ISO 10011 ISO/IEC 12207:2008 ISO/IEC 13335 ISO 14001:2004 ISO/IEC 15504 ISO 19011 ISO/IEC 20000 ISO/IEC 21827:2002 ISO/WD 26000 ISO/IEC 27001
Donner des conseils sur le management de la qualit dans les projets Recommandations pour lutilisation de la gestion de la conguration Lignes directrices pour laudit des systmes qualit Typologie des processus logiciels Gestion de la scurit Systmes de management environnemental Management des processus logiciels et valuation de leur amlioration Lignes directrices pour laudit environnemental et qualit Norme pour les organisations qui fournissent des services, processus daudit Approcher la scurit dans une organisation comme une entit bien dnie Porte sur la responsabilit socitale des organisations Mise en uvre dun systme de management de la scurit de linformation Lignes directrices pour la mise en uvre efcace du management du risque Gouvernance des technologies de linformation par lentreprise Contrle interne et externalisation Donner aux organisations les moyens dtre socialement responsables Mettre en uvre un contrle interne sappuyant sur un cadre conceptuel
4 4 4 5 12 6 7 8 9 10 11 12
13 14 15 16 17
Chapitre 1
BS 8800
HISTORIQUE
La norme BS 8800 est une norme anglaise, produite en 1996, labore par un groupe de travail compos dorganisations professionnelles, reprsentatives de divers secteurs industriels et dadministrations, pour le compte du BSI, organisme de normalisation anglais. Les entreprises commencent prendre en considration laspect humain, cest--dire veillent ce que lindividu, dans son activit professionnelle de tous les jours, ne subisse pas daccident physique. ce titre, la norme BS 8800 met laccent sur le domaine prventif, cest--dire faire diminuer fortement, voire faire disparatre, les accidents en entreprise. Grce la norme BS 8800, lentreprise prend conscience que les femmes et les hommes doivent travailler dans un cadre scuris. Les termes scurit et hygine font partie de la vie courante des entreprises via le Comit dhygine, de scurit et des conditions de travail (CHSCT). La norme BS 8800 permet de dvelopper laspect environnemental (moins de dchets) et, cet effet, elle sappuiera sur la norme de management de lenvironnement ISO 14001:2004.
DFINITION
Il sagit dun modle de management normatif. Lobjectif de la norme BS 8800 est de proposer un modle de management dont lobjet est clairement mentionn : protger les employs dont la sant et la scurit pourraient tre affectes par les activits de lentreprise. La norme BS 8800 propose des orientations dorganisation et de mise en place de structure de gestion de la sant et de la scurit au travail (SST).
Groupe Eyrolles
24
Les normes
APPLICATION
RETENIR
La norme BS 8800 est une norme pour les secteurs primaires et secondaires, qui peuvent connatre des avantages dvelopper la norme de management de la sant et de la scurit au travail. Il sagit des secteurs dont les risques pour les employs au travail sont connus. Le ministre du Travail publie rgulirement des donnes ce sujet : le nombre daccidents, les accidents sans ou avec arrt de travail sont des indicateurs de rfrence.
La norme concerne certaines activits du secteur tertiaire pour lesquelles le management de la sant et de la scurit au travail nest pas dnu dintrt : entreprises de transport, hpitaux, restaurants et htellerie, socits dintrim, socits forte activit commerciale incluant une quipe de commerciaux ayant des dplacements quotidiens ou de fret avec manutention de colis.
Groupe Eyrolles
BS 8800
25
Une responsabilit partage Faire vivre, voluer et maintenir le systme de management de la SST concerne chacun. Se faire reconnatre La norme BS 8800 est utilise pour la certication par des organismes tiers.
Dire dexpert
Les tendances en matire de gestion de la scurit et de la sant au travail ont t ralises par le BIT, do lILO-OSH 2001, lors de lanne 2001. On constate une volont grandissante de la part des salaris de devenir des acteurs majeurs dans la vie des structures interentreprises. Cette volont sexplique simplement par lamlioration des conditions de travail. Disposer dun environnement de travail scuris, propre, grce aux structures internes qui veillent cette garantie de service, est important pour tous dans lentreprise. LILO-OSH 2001 est beaucoup plus utilis et jour que la norme BS 8800.
Groupe Eyrolles
Chapitre 2
ISO 9000
HISTORIQUE
La norme ISO 9000 a pour objectif de simplier et de structurer les grands principes de normalisation concernant la qualit des services, des produits, des biens. Elle permet aussi de prsenter le rle et le poids que joue la documentation travers le systme dassurance qualit. La norme ISO 9000 a pour principe didentier les diffrences concernant les exigences des normes pour les services, les processus, les biens, les produits. Elle fournit des conseils sur le choix et lutilisation des normes internationales issues du domaine ISO 9000 associ au management de la qualit. Avant les annes 2000, le march conomique avait des critres de slection bien prcis ; un des critres de slection a t la certication ISO 9001, ou 9002, ou 9003 pour les grandes comme pour les petites entreprises. De nombreuses socits ont voulu se faire certier, mais le parcours nest pas toujours simple. La certication ISO 9001, 9002 ou 9003 est vite devenue une tape obligatoire pour les entreprises. Sans certication, lentreprise avait beaucoup de difcults se positionner par rapport la concurrence pour les rponses un appel doffres. Les trois normes ISO 9000 certiables avant les annes 2000 taient : ISO 9001 pour la conception, le dveloppement, la production, linstallation et les prestations associes ;
Groupe Eyrolles
ISO 9002 pour la production, linstallation et les prestations associes ; ISO 9003 pour le contrle et les essais naux. Certains certicats avaient plus de valeur que dautres aux yeux des donneurs dordre, ce qui a permis de faire une slection parmi les entreprises
28
Les normes
certies. Une grande partie des certicats concernaient le systme dassurance qualit ISO 9002. Pour lensemble des trois normes ISO 9000, il fallait prouver lorganisme certicateur que ce que lon avait crit dans les procdures correspondait bien ce que lon faisait. Le mot preuve avait toute son importance. tre en mesure de pouvoir tracer le parcours dun produit, dun bien, dun service au sein de lentreprise, ds son arrive sa sortie, fait partie des exigences de la norme. Aujourdhui les trois normes IS0 9001, 9002, 9003 sont remplaces par la norme ISO 9001:2000. On ne parle plus de systme dassurance qualit, mais de management de la qualit. Il sagit de matriser et doptimiser les processus et de satisfaire le client tout en mettant en place des actions damlioration continue. Les processus permettent de vhiculer une relle sensibilisation du client au sein de lentreprise. La norme ISO 9001:2000 ne couvre pas tout, malheureusement ; cest le cas pour les aspects touchant la scurit au travail et la protection de lenvironnement. Il faudra attendre deux futures normes, lISO 31000 qui sera publie en septembre 2009 et lISO 26000 en octobre 2010.
DFINITION
Aptitude dun ensemble de caractristiques intrinsques satisfaire des exigences clients.
Normes Dnition
ISO 8402:1994
Management par la qualit et assurance de la qualit Vocabulaire. Permet de poser les bases gnrales employes dans la famille ISO 9000 an dliminer toute incomprhension au sein de lentreprise et vis--vis des acteurs externes lentreprise.
Famille de normes en rapport avec la gestion de la qualit dites et publies par lOrganisation internationale de normalisation (ISO).
Groupe Eyrolles
Normes pour le management par la qualit et lassurance de la qualit Partie 1 : lignes directrices pour leur slection et utilisation. Normes pour le management de la qualit et lassurance de la qualit Partie 2 : Lignes directrices gnriques pour lapplication de lISO 9001, lISO 9002 et lISO 9003. /
ISO 9000
29
Normes
Dnition
ISO 9000-3
Normes pour le management de la qualit et lassurance de la qualit Partie 3 : Lignes directrices pour lapplication de lISO 9001:1994 au dveloppement, la mise disposition, linstallation et la maintenance de logiciel. Normes pour le management de la qualit et lassurance de la qualit Partie 4 : Guide de gestion du programme de sret de fonctionnement. Systmes Qualit Modle pour lassurance de la qualit en conception, dveloppement, production, installation et prestations associes. Systmes qualit Modle pour lassurance de la qualit en production, installation et prestations associes. Systmes qualit Modle pour lassurance de la qualit en contrle et essais nals.
ISO 9000-4
ISO 9001
Ces trois dernires normes (ISO 9001, ISO 9002, ISO 9003) ont t remplaces par la norme ISO 9001 V 2000. ISO 9004-1 ISO 9004-2 ISO 9004-3 Management par la qualit et lments de systme qualit Partie 1 : Lignes directrices. Management par la qualit et lments de systme qualit Partie 2 : Lignes directrices pour les services. Management par la qualit et lments de systme qualit Partie 3 : Lignes directrices pour les produits issus de processus caractre continu. Management de la qualit et lments de systme qualit Partie 4 : Lignes directrices pour lamlioration de la qualit.
Source : fonde sur www.iso.org/iso/fr/iso_catalogue/catalogue
ISO 9004-4
APPLICATION
Les normes ISO 9000 et ISO 14000
Mettre en application la norme ISO 9000 ou la norme ISO 14000 demande le mme effort, ainsi quune forte mobilisation de la part du personnel de lentreprise. LISO 9001:2000 concerne le management de la qualit, lISO 14001:2004 traite du management environnemental. Par ailleurs, on parle de plus en plus de QSE (Qualit, Scurit, Environnement).
Groupe Eyrolles
30
Les normes
Il faut savoir que les normes ISO 9000 et ISO 14000 ont permis la mise en place dautres normes, comme ISO/TS 16949 qui concerne le monde de lautomobile, les donneurs dordre et leurs quipementiers ; cest le cas aussi pour la norme EN 9100 qui est propre au secteur de laronautique. Dans tous les cas, la mise en application des normes ISO 9000 et ISO 14000 repose sur une approche projet, avec un chef de projet, des correspondants ou des relais qui se trouvent dans les diffrents dpartements, directions, divisions. RETENIR
LISO 9000:2000 comprend un ensemble de normes : ISO 9000:2000 qui correspond au systme de management de la qualit (principes essentiels et vocabulaire) ; ISO 9001:2000 qui correspond au systme de management de la qualit (les exigences) certiable ; ISO 9004:2000 qui correspond au systme de management de la qualit (lignes directrices pour lamlioration des performances) ; ISO19011 qui correspond aux lignes directrices pour laudit environnemental et laudit qualit.
Dire dexpert
ISO 9000 fait partie des standards, mais, dans les domaines IT, le standard ISO 9000 ne suft pas, dautres rfrentiels sont ncessaires : par exemple, si le domaine concern est plus organisationnel, alors ITIL sera mis en place ; si le domaine concern est plus applicatif, alors on utilisera CMMI.
Groupe Eyrolles
Chapitre 3
ISO 9001:2000
HISTORIQUE
Depuis 1994-1995, lISO 9000 est compose de trois normes ; ltendue du primtre des trois normes concerne tous les domaines dactivit de lentreprise : ISO 9001 avait pour vocation de couvrir dans lentreprise : la conception, le dveloppement, la production, linstallation, et enn les prestations associes ; ISO 9002 avait pour vocation de couvrir la production, linstallation et les prestations associes, sans conception ni dveloppement ; ISO 9003 avait pour vocation de ne couvrir que le contrle et les essais naux. partir des annes 2000, les trois normes ISO 9001, 9002, 9003 ont disparu ; elles ont t remplaces par une seule et unique norme, la norme ISO 9001:2000 qui est le management de la qualit.
DFINITION
RETENIR
La norme ISO 9001:2000 est un rfrentiel certiable par une tierce partie (organisme neutre qui a la charge de vrier que les dispositions prises par lentreprise sont conformes aux exigences de la norme. Exemples dorganismes : AFAQ, LRQA, BVQI).
Groupe Eyrolles
32
Les normes
La norme ISO 9001:2000 repose sur huit principes incontournables pour lentreprise : lcoute totale du client ; la volont dtre leadership (la direction) ; la relle implication de tout le personnel la dmarche de management de la qualit ; lapproche processus tous les niveaux de lentreprise ; le management par approche systme pour lensemble des dirigeants de lentreprise ; lamlioration continue ou permanente pour les femmes et les hommes de lentreprise, ainsi que pour les acteurs externes (partenaires) ; lapproche dite factuelle pour la prise de dcision, avec les avis de chacun ; la relation mutuellement bnque avec les fournisseurs, dans un climat de partenariat et de conance.
APPLICATION
La norme ISO 9001:2000
Huit chapitres dnissent les exigences ; la norme ISO 9001:2000 est le rfrentiel unique qui va conduire la certication du systme de management de la qualit (SMQ). RETENIR
Les huit chapitres importants de la norme ISO 9001:2000 sont : le domaine dapplication ; la rfrence normative ; les termes et dnitions ; les systmes de management de la qualit ; la responsabilit de la direction ; le management des ressources ; la ralisation du produit ; les mesures, lanalyse et lamlioration.
La norme ISO 9001:2000 sinscrit dans une dmarche damlioration continue qui est le PDCA souvent dcrit au travers de la roue de Deming.
Groupe Eyrolles
ISO 9001:2000
33
Responsabilit de la direction
Clients
Clients
Satisfaction
Exigences
lment dentre
Ralisation du produit
Produit
lment de sortie
Le manuel qualit
Les procdures
Les enregistrements
Le systme documentaire
Groupe Eyrolles
34
Les normes
mettre en place des objectifs qualit mesurables et ralisables ; xer les actions pour atteindre les objectifs et sy tenir ; dsigner un responsable qualit pour lensemble de lentreprise ; tenir des revues de direction mensuelles ou trimestrielles ; mettre en place des plans daction pour amliorer les processus. Les exigences par rapport aux ressources : identier et donner les ressources ncessaires pour concevoir le produit, le service attendu par rapport aux attentes du SMQ et du rfrentiel (norme) ; identier et nommer les ressources humaines comptentes, former le personnel ; mettre en place les infrastructures (quipements, moyens, machines) ; choisir lenvironnement de travail. Les exigences par rapport llaboration du service ou du produit : identier les processus qui prennent en compte les attentes des clients ; identier et mettre en place les processus de commercialisation, de conception, dachat, de production, de contrle dexpdition et de service aprs-vente ; dnir et grer lensemble des processus qui participent la conception du produit, du service conforme. Les exigences par rapport aux suivis et mesures, analyses, et actions damlioration : mesurer de manire permanente la satisfaction des clients ; raliser rgulirement des audits internes ; analyser les donnes pour mener bien les actions damlioration ; planier et mener les actions correctives en cas de problmes ; planier et mener les actions prventives pour viter de nouveaux problmes potentiels.
La certication
Les audits de certication ou de renouvellement sont raliss par des organismes indpendants de lentreprise (certiable). Celle-ci fait la dmarche
Groupe Eyrolles
ISO 9001:2000
35
auprs dun organisme habilit accrdit pour raliser un audit en vue dtre certie, si et seulement si elle rpond aux exigences de la norme. Les organismes franais de certication sont accrdits par le COFRAC. Il existe plus de quinze organismes de certication en systme de management de la qualit qui suivent le rfrentiel ISO 9001:2000. La premire anne, la dure du certicat est de trois ans, puis tous les deux ans, le certicat doit tre renouvel (par un nouvel audit). RETENIR
Il existe galement le SQE (Systme de la qualit de lentreprise) qui inclut la norme 14001 environnementale.
Dire dexpert
La norme ISO 9001:2000 a encore de beaux jours devant elle ; cependant, nous constatons quun rapprochement commence se faire entre lISO 9001:2000 et la dmarche PDCA, ainsi quavec les nouvelles normes telles que ISO/IEC 20000, qui sinspirent fortement de lISO 9001:2000. Alors pourquoi pas, dici quelques annes, avoir une norme gnrique et globale qui serait le regroupement de lISO 9001:2000, lISO/IEC 20000, lISO 14001:2004, et dautres normes ?
Groupe Eyrolles
Chapitre 4
ISO 10006:2003
HISTORIQUE
Cest en 1997 que la norme ISO 10006 est apparue. Elle rassemble lensemble des organismes nationaux en matire de normalisation. En 2003, une nouvelle version est disponible, il sagit de lISO 10006:2003, qui est une norme internationale.
DFINITION
Le but de la norme est de donner des conseils dans la conduite de la gestion de la qualit au sein des projets. Manager un projet demande de la mthode, de lorganisation. LISO 10006:2003 apporte cet ensemble dlments, plus une relle valeur ajoute en termes de point de contrle, qualit des livrables, respect du calendrier.
Les normes daudit et dassurance qualit
Normes Dnition
ISO 10011-1
Lignes directrices pour laudit des systmes qualit Partie1 : Audit. Principes de bases pour mener bien un audit du systme qualit, contrler le niveau de comptence de lentreprise se rapprocher de la cible en matire de qualit. Norme qui concerne lentreprise et les audits externes auprs des sous-traitants (fournisseurs) de lentreprise.
Groupe Eyrolles
ISO 10011-2
Lignes directrices pour laudit des systmes qualit Partie 2 : Critres de qualication pour les auditeurs de systmes qualit. Assistance et accompagnement sur les activits lies la comptence des personnes ; exemple, plan de formation, matrise de son activit, dans le but didentier de futurs auditeurs internes. /
38
Les normes
Normes
Dnition
ISO 10011-3
Lignes directrices pour laudit des systmes qualit Partie 3 : Gestion des programmes daudit. Principes directeurs pour la gestion du plan daudit du systme qualit.
ISO 10012-1
Exigences dassurance de la qualit des quipements de mesure Partie 1 : Conrmation mtrologique de lquipement de mesure. Principes directeurs dun systme dtalonnage an de garantir la vracit des mesures ralises.
ISO 10012-2
Assurance de la qualit des quipements de mesure Partie 2 : Lignes directrices pour la matrise des processus de mesure. Principes directeurs complmentaires sur la gestion statistique des processus. Dans le but de rpondre aux attentes de la partie 1.
ISO 10013
Lignes directrices pour llaboration des manuels qualit. Principes directeurs pour la dnition et la mise en place de la gestion des manuels qualit conformment aux objectifs et attentes de lentreprise.
APPLICATION
Elle est utilise par les chefs de projet, les organisateurs, qui sont dj dans une dmarche ISO 9000 ; sa capacit permet de sappliquer diffrents types de projets. Il faut voir la norme ISO 10006:2003 comme un soutien la mise en place de la norme ISO 9000 ; lapport de la norme ISO 10006:2003 sur lensemble des processus identis dans lISO 9000 est important. Les deux points de la norme ISO 10006:2003 : lensemble des processus organisationnels et fonctionnels qui sont lis au projet. Il sagit de lorganisation au sein du projet ; les rsultats des processus, ou plus prcisment les livrables du projet ; les livrables peuvent tre des services, des biens, des produits. La norme ISO 10006:2003 permet dapprhender, de comprendre ce que reprsente la qualit travers les processus de management de projet. Nous avons donc deux approches : la premire est la qualit dans les processus de management de projet (ISO 10006:2003), et la seconde est la qualit dans les livrables en provenance des processus (ISO 9004).
Groupe Eyrolles
ISO 10006:2003
39
ce titre, la norme ISO 10006:2003 fait rfrence aux normes ISO 9001:2000 pour les aspects qualit, optimisation des processus, et pour toute la partie satisfaction client qui, elle aussi, repose sur des processus, comme nous lavons expliqu ci-dessus. La norme ISO 9004 concerne la qualit des livrables (produits, biens et services).
Groupe Eyrolles
40
Les normes
Il existe des points communs entre la norme ISO 9001:2000 et la norme ISO 10006:20003, il sagit : de la prise en considration des orientations clients, grce aux tudes de march, sondages, tendances ; du volontariat de la part de lensemble du personnel de lentreprise, sa sensibilisation et son implication suivre les directives dcrites dans la norme ; ce qui demande une large communication auprs des quipes. Cette communication a pour but de faire ressortir les avantages et bnces que peut apporter la norme. Gnraliser lapproche processus travers lentreprise Avoir une philosophie du toujours mieux faire : lamlioration continue rpond cette demande, et concerne chacun au sein de lentreprise. La documentation est importante ; il faut tre en mesure de pouvoir grer correctement le systme documentaire. Se donner les moyens en ressources (hommes), en outils, et bien entendu en organisation (processus).
Groupe Eyrolles
ISO 10006:2003
41
Processus
Objectif
Prsentation des diffrents produits associs au projet, avec leurs spcications, les mthodes de suivis et de mesures. On parle de qualit du produit.
Suivi de lavancement du projet dans le respect du planning annonc (les activits sont suivies, contrles). On parle de qualit des processus et dlais (chelle de temps, chiffres).
Processus lis aux cots Notion quantitative Processus lis aux ressources Notion qualitative
Respect du budget, anticipation des cots. On parle de cots, de chiffres. Prvoir et grer efcacement la problmatique de ressources sur un projet (personnes, matriels, logiciels). On parle de qualit (problme, identication).
Atteindre un niveau defcience au sein des quipes. On parle de qualit (les bonnes personnes).
Centraliser et diffuser la mme information tout le monde et au mme moment (ash, newsletter, plan de communication autour du projet, prsentation, avancement). On parle de qualit et de dlais.
Minimiser les risques sur le projet durant tout le cycle de vie du projet. On parle de qualit et de quantit (nombre dimpacts).
Il sagit des entres de matriels, de ressources, de prestationsqui dpendent des achats, en relation bien entendu avec le projet. On parle de qualit des produits, et du nombre dachats de matires premires.
42
Les normes
Dire dexpert
La norme ISO 10006:2003 fait rfrence aux concepts de la norme ISO 9001 :2000 qui traite du management de la qualit, spciquement pour les conseils en management de la qualit pour lensemble des activits de gestion de projet.
Groupe Eyrolles
Chapitre 5
ISO/IEC 12207:2008
HISTORIQUE
La norme ISO/IEC 12207:2008 a t labore par le comit technique JTC 1 de lISO/IEC et sa publication date de 1995. Lintroduction en 1987 de la norme ISO 9001, issue de lindustrie mcanique, a rapidement t suivie de dveloppements prenant en compte la spcicit des activits informatiques (ISO 9000-3). Paralllement ont t dveloppes des dmarches fondes sur une analyse des processus logiciels (ISO/IEC 12207:2008, TICKIT), ainsi que celles reposant sur une valuation de laptitude ou valuation de la maturit (CMM, ISO 9004-4), la mthodologie SPICE reprsentant en quelque sorte une synthse russie de ces diffrentes orientations.
DFINITION
RETENIR
La norme ISO/IEC 12207:2008 permet de situer les principaux critres pour lensemble des processus, tout au long du cycle de vie des logiciels, et cela dune manire gnrale avec les premiers processus, les processus organisationnels, les processus de maintenance et de support. La norme ISO/IEC 12207:2008 prsente un type de processus.
lactivit des entreprises qui achtent des logiciels et qui sont spcialises dans le domaine du dveloppement des logiciels spciques ; des missions de prestations axes sur les logiciels ;
44
Les normes
Systme qualit
des activits dexploitation et de maintenance des logiciels ; la gestion du traitement de linformation et de la vie du logiciel. Grce la norme, une slection est faite sur les diffrents processus, sur lensemble des tches ainsi que sur les nombreuses activits qui sont menes pour les projets, avec une forte dominante pour les projets plus spciques que les autres. Il est recommand de mettre en place un plan damlioration continue pour les processus, quil soit interne ou externe lentreprise, et cela concernant les produits logiciels quelles que soient les phases davancement des activits de dveloppement et de maintenance. DANGER
Groupe Eyrolles
La norme ISO/IEC 12207:2008 dnit une architecture des processus requis mais ne spcie pas les dtails dimplantation ou dexcution des activits et des tches qui sont incluses dans les processus. Elle ne prescrit pas le nom, le format, et de faon explicite le contenu des documents produire, et ne prescrit ni modle de cycle de vie ni mthodologie de dveloppement.
ISO
12
20
7
CM M
ISO/IEC 12207:2008
45
APPLICATION
Processus Objectif
Processus de base
Acquisition pour lorganisme lui-mme. Activits du fournisseur. Dveloppement du logiciel. Exploitation du systme informatique et des services associs. Maintenance du logiciel.
Documentation du logiciel et de son cycle de vie. Gestion de conguration. Assurance qualit avec les revues, audit et vrication. Vrication. Validation. Revue conjointe. Audit pour la vrication de la conformit aux exigences. Rsolution de problmes et de non-conformits en cours de dveloppement et lexploitation.
Management de toutes les activits, y compris la gestion de projet. Infrastructure ncessaire un processus. Pilotage et amlioration du cycle de vie. Formation du personnel.
Groupe Eyrolles
46
Les normes
Nous pouvons retenir ce stade que les processus lmentaires, quils soient des processus oprationnels ou de support, ont une vocation identique entre ISO/IEC 12207:2008 et lITIL. Les objectifs et les cadres daction sont, quant eux, diffrents : les phases de conception, de dveloppement, de test et mise en place des logiciels sont le livrable du service de production par rapport ce que dit la norme ISI/IEC 12207:2008 ; le rfrentiel ITIL place la production au cur de loffre de service. Les rapports qui existent entre le service de dveloppement et le service de production sont des rapports de fournisseur (service dveloppement) client (service production) ; ce titre, le service de production est seul dire si tel logiciel est en conformit avec les attentes (service production) ; ce mode dorganisation rvolutionne un peu les anciens principes ; en agissant ainsi, il est plus facile de faire la distinction entre les tapes de fourniture et de support de service et les tapes lies au dveloppement.
Groupe Eyrolles
Chapitre 6
ISO 14001:2004
HISTORIQUE
Une politique internationale concernant la protection de lenvironnement a t initie et dveloppe depuis le dbut des annes 1970. Quelques dates cls : en 1972 Stockholm, cration dune lgislation internationale de lenvironnement ; en 1992 Rio de Janeiro, lors du Sommet de la Terre, le dveloppement durable est approuv et reconnu par tous les acteurs ; en 1997 Kyoto, il sagit dun vritable protocole daccord sur le changement climatique entre les plus grandes puissances industrielles du monde.
Types de normes Dnition
Dcrit les exigences ou les niveaux atteindre. Norme spcique au management environnemental. Dcrit les directives dlaboration du systme de management environnemental. Norme axe sur le conseil. Grandes directives et grands principes de laudit environnemental. Process de mise en uvre dune campagne daudit du systme de management environnemental. Identication et choix des facteurs de qualication des auditeurs.
48
Les normes
DFINITION
La norme ISO 14001:2004 Systmes de management environnemental
Spcications et lignes directrices en application depuis octobre 1996 proposent un processus de gestion de lenvironnement dans et par lentreprise. CIBLE ATTEINDRE
Lobjectif premier de la norme ISO 14001:2004 est de proposer un concept dorganisation pour dployer la stratgie environnementale tous les niveaux de lentreprise et de linscrire dans la dure. Il est primordial de garder lesprit que les objectifs de protection de lenvironnement et de prvention de la pollution ne doivent pas fragiliser ou mettre en pril les besoins socioconomiques de lentreprise dans son contexte local et global.
ISO 14001:2004
49
surveillance et mesurage ; non-conformit et action corrective et prventive ; enregistrements ; audit du systme de management environnemental ; revue de direction.
APPLICATION
Lquipe
Avant de lancer un projet ISO 14001:2004, il convient de dnir lquipe qui assurera sa dnition et sa mise en uvre dans lentreprise.
Direction et encadrement
Le management doit tre moteur et engag dans la mise en uvre dun SME ISO 14001:2004. Il simplique pour le lancement du projet, la dnition de la politique, lallocation des budgets correspondants et la participation aux revues de la direction. STRATGIQUE
Groupe Eyrolles
La participation de la direction est extrmement importante pour motiver lensemble du personnel, sassurer que le SME sinsre bien dans les objectifs stratgiques de lentreprise, allouer lensemble des ressources permettant le bon avancement du projet.
50
Les normes
RETENIR
Il est fortement souhaitable que lensemble du personnel reoive, avant sa mise contribution, une sensibilisation environnementale, de faon mettre en perspective les efforts raliser par rapport aux problmes environnementaux globaux.
Analyse environnementale
Cette phase est un pralable important pour le SME. Elle consiste tablir une image synthtique et exhaustive de la situation environnementale de lentreprise, comprenant notamment la description des activits de lentreprise et de son environnement, les performances environnementales, les impacts signicatifs des activits et la position des parties intresses. Cette analyse servira de base pour llaboration de divers lments du SME : politique ; programmes environnementaux ; procdures
ISO 14001:2004
51
le programme de management de lenvironnement qui planie les objectifs et les cibles ; les procdures du systme, chacune rpondant la squence quiquoi-comment ; les instructions techniques ; les registres et documents techniques des donnes lies lenvironnement.
La matrise documentaire
La gestion documentaire et le manuel environnemental consistent tre en mesure de savoir prcisment : o retrouver un document ; qui peut le rdiger, le rviser, ventuellement le valider ; o doivent tre placs les exemplaires pour lutilisation ; comment retirer les documents prims ; quels documents prims conserver en archives.
Le SME est un outil vivant qui volue avec les besoins de ltablissement. Il faut le tenir jour en procdant priodiquement la rvision des documents pour vrier sils restent adapts.
Dire dexpert
Le retour dexprience montre qu long terme la mise en place dun systme ISO 14001:2004 est gnratrice de gains pour lentreprise, notamment lis : la diminution des charges environnementales suite la mise en uvre de programmes dconomies et de valorisation (eau, dchets) ; au renforcement de la position commerciale.
Groupe Eyrolles
Pour raliser un diagnostic de lexistant en matire denvironnement au sein de ltablissement, il est ncessaire didentier toutes les tches, tous les documents, rapports et enregistrements ayant trait la gestion de lenvironnement : le qui fait quoi : affectation des rles et des responsabilits, y compris ceux qui sont informels, tches dvolues ; le quoi est o : o sont localiss les dossiers ? que recle chacun deux ?
52
Les normes
En ce qui concerne la matrise documentaire du SME, il faut transcrire, inscrire, dcrire le systme de management environnemental mis en place. Cest le rle du scribe. La norme ISO 9001:2000 introduit un certain nombre de principes nouveaux par rapport la version 1994 ; ce qui la rapproche encore dans sa structure de la norme ISO 14001:2004. Laudit est un outil daide pour la direction, le contrle et le respect de la mise en pratique des directives et des exigences demandes par la norme et par les organismes certicateurs, en rapport aux contextes lis lenvironnement et la qualit. Laudit permet de faire des valuations, et cela nimporte quel niveau de lentreprise et sur nimporte laquelle de ses activits.
Approche processus
Ce quil ressort de cette approche est une orientation davantage procdures mtiers autour du systme qualit. Cela peut galement permettre davoir un systme avec des procdures abordant en mme temps les aspects qualit et les aspects environnement.
Rle de la direction
Lengagement de la direction est renforc dans la version 2000. Une revue de direction est prvue comme dans la norme ISO 14000. Elle peut tre ralise selon les mmes principes dans les deux systmes de management.
Groupe Eyrolles
Chapitre 7
ISO/IEC 15504
HISTORIQUE
Cest en 1993 quun programme de travail a t ralis concernant une norme ISO associe un plan de dveloppement ; le rsultat de ce travail fut le standard du domaine pour les activits de dveloppement. Derrire cette norme se cache le Software Process Improvement and Capability Determination (SPICE).
DFINITION
Le niveau de maturit des organisations de lentreprise se mesure. travers lensemble des mesures, on retrouve les procds des activits de production de logiciel. La norme ISO/IEC 15504 permet didentier les risques et les faiblesses issus des activits de production de logiciel, avec pour but de sinscrire dans une dmarche damlioration continue la fois pour les processus et pour les activits de production (logiciel). RETENIR
ISO/IEC 15504 dtermine la maturit dune organisation de production de logiciel selon six niveaux, de 0 5 par ordre croissant de maturit.
Groupe Eyrolles
54
Les normes
Niveau
Statut
0 1 2 3 4 5
Non en service Ralis de manire implicite sans formalisme Gestion de lavancement Matrise du primtre Gestion des mesures et des chiffres Amlioration continue
Mise en application difcile. Mise en place doprations identies. Gestion des jalons, priorisation des activits et suivi de leur ralisation. Organisation des process, pilotage et gnralisation aux activits. Dnition, choix des indicateurs pertinents, faciles suivre et contrler. Optimisation de lorganisation, des processus, de manire permanente an de rechercher la performance.
APPLICATION
Pour mettre en application la norme ISO/IEC 15504, il est demand davoir une organisation rceptive et sensible aux dmarches damlioration continue ; cela concerne toutes les activits de la production de logiciel comme le respect du planning, la gestion de projet, les relations avec les fournisseurs, le suivi des contrats de maintenance, de support. La norme ISO/IEC est dcoupe en deux domaines : le premier relve plus des activits qui dnissent les processus ; le second concerne les critres qui permettent dlaborer et dexploiter les processus ; la gestion des processus dnit les aptitudes et il y a diffrents niveaux daptitude.
Structure gnrique dun plan qualit CMM/ISO/IEC 15504
Structure Contenu
Introduction aux directives de lassurance qualit en rapport aux contrats et aux diffrentes tches lis au projet.
Groupe Eyrolles
Prsentation des grandes lignes du projet, le ou les documents associs, les principaux acteurs, le cycle de vie du document avec les rgles de nommage ainsi que la traabilit des diffrentes rvisions du document.
ISO/IEC 15504
55
Structure
Contenu
Description des interventions des prestataires, sous-traitant sur le projet de manire macroscopique. Prsentation des directives en matire dassurance qualit et de son garant sur le projet, prsentation des procdures et des processus associs son activit sur le projet. Prsentation de la dmarche suivre en cas de non-respect du plan dassurance qualit sur le projet. Transmission de linformation aux acteurs au mme moment et avec le mme niveau (formalise par des comptes rendus).
5 Contrle et gestion de lexcution du plan 6 Rgle documentaire et documents applicables et de rfrence 7 Terminologie et dnition 8 Les cinq exigences, risques et contraintes du projet
Prsentation des points de contrle des tapes ou des jalons du projet, ainsi que le dtail des diffrentes actions de contrle. Ensemble des documents employs durant le projet, documents qualit et autres documents plus fonctionnels propres la solution informatique en place. Smantique des noms communs aux projets et aux documents associs, dnition de certains termes, connus de tous. Exigences stratgiques (orientation direction). Exigences fonctionnelles (orientation mtiers). Exigences technologiques (orientation outil). Exigences organisationnelles (orientation structurelle et humaine). Exigences de contraintes (orientation gestion des risques).
Rle et responsabilits des acteurs sur le projet, ainsi que leur niveau dimplication et de relation hirarchique sur le projet. Description du plan de communication. Prcision des plans ventuels de formation pour certains acteurs dans le cadre de la russite du projet. /
56
Les normes
Structure
Contenu
Descriptif des tapes offrant une vision des activits dans leur ensemble et de tout ce qui permet de voir la continuit et lavancement du projet. Indication aussi des exigences qualit relatives aux acteurs externes (sous-traitants) lentreprise.
Gestion des modications suite des demandes dvolution ou des non-conformits. Gestion des congurations gnralement lie la gestion des modications. Prsentation des conditions de duplication, de copie du logiciel, ainsi que les processus associs la gestion de la scurit de la solution (application).
Dire dexpert1
Le processus logiciel est en constante volution, ce qui demande une amlioration continue des processus. Connatre le niveau de maturit des processus logiciels se traduit par un tat des lieux ou une analyse de lexistant. Ltat des lieux prend en compte les processus de lactivit, ainsi que les livrables associs aux activits. Les rfrentiels tels que CMM, CMMI se sont fortement inspirs de la norme ISO/IEC 15504 pour ce qui concerne les volutions.
Un grand nombre dentreprises utilisent la norme ISO/IEC 15504 comme rfrentiel car, pour beaucoup dentre elles, la norme ISO/IEC 15504 est un rel vecteur damlioration pour lensemble de leurs processus logiciels. La mise en place de la norme ISO/IEC 15504 au sein de leur organisation leur fournit lassurance de rduire signicativement le nombre de risques et de pouvoir dgager de rels bnces. Il est possible de se procurer cette norme internationale ISO/IEC 15504 auprs des organismes nationaux (achat de normes).
Groupe Eyrolles
Chapitre 8
ISO 19011
HISTORIQUE
La norme ISO 19011 est parue en n danne 2002, elle a pour objectif de prsenter les lignes directrices pour laudit des systmes en correspondance avec le management de la qualit et le management environnemental.
DFINITION
La norme ISO 19011 a pour vocation dapporter son aide lensemble des organismes utilisateurs concernant lamlioration et loptimisation des systmes de management, dans deux domaines : la qualit et lenvironnement. LISO a la volont de mettre en place un seul et unique programme daudit. Ce programme daudit concernera la fois lISO 9001:2000 pour le management de la qualit et lISO 14001:2004 pour le management de lenvironnement. Cette orientation permettra doptimiser les cots pour les entreprises (une seule campagne daudit). RETENIR
La conduite daudit, quelle soit interne ou externe, repose sur la norme ISO 19011 car celle-ci a lavantage de donner les lignes directrices pour les campagnes daudit du management de la qualit ISO 9001:2000 et du management environnemental ISO 14001:2004. Les auditeurs, les organismes de certication, daccrditation, de normalisation, sont concerns par cette norme.
Groupe Eyrolles
58
Les normes
APPLICATION
Pour lentreprise qui est audite, une organisation est mettre en place. Le directeur qualit environnement est garant de lorganisation interne de la campagne daudit. Il dsigne lensemble des personnes qui seront audites (ISO 9001:2000 et ISO 14001:2004) ; dans bien des cas, quelle que soit la norme audite, les personnes audites sont les mmes. Les auditeurs (organismes de certication) doivent bien comprendre le contexte des entreprises audites et faire la distinction entre les exigences que demandent les normes ISO 9001:2000 et ISO 14001:2004. Pour mettre en application la norme ISO 19011, lidal est dtre dans un contexte bimodal, cest--dire la fois dans une dmarche de systme de management environnemental (SME) et dans une dmarche de systme de management qualit (SMQ). Pour beaucoup dentreprises qui ont les deux systmes de management en place, avoir une seule campagne daudit est une bonne chose plusieurs niveaux : un seul audit (temps plus court) ; un seul cot (diminution des cots, investissement moins lourd) ; une seule contribution quipe auditeur, personnel audit (optimisation des quipes). Sadapter au contexte conomique des entreprises, du march, est facteur de russite : cest ainsi que la norme ISO 19011 est apprcie de tous. Pour mener bien une campagne daudit, les auditeurs doivent tre qualis, le programme daudit ainsi que la conduite de laudit doivent tre conformes aux attentes des organismes certicateurs. Le march conomique demande aux entreprises de pouvoir sadapter rapidement aux changements et aux volutions concernant les systmes de management de la qualit et de lenvironnement ; lISO 19011 joue un rle important en conseillant et en prsentant les bonnes pratiques suivre. Le programme daudit est un lment important, il xe le niveau daudit (audits groupes ou audits individuels).
Groupe Eyrolles
ISO 19011
59
Dire dexpert
Le l conducteur des audits internes pour le management de la qualit et le management de lenvironnement est dni dans la norme ISO 19011. Elle remplace les sries ISO 9000 (qualit) et ISO 14000 (environnement), ainsi que la srie des normes ISO 10011-1, lISO 10011-2 et lISO 10011-3 de la famille ISO 9000, et les normes denvironnement ISO 14010, ISO 14011, ISO 14012 de la famille ISO 14000. La norme ISO 19011 est un complment de la norme ISO de la srie 9000 qui comprend les normes ISO 9000, ISO 9001 et ISO 9004. Ces sries ont t rvises et publies en dcembre 2000.
LES NOUVEAUTS
Une rvision de la norme ISO 19011 a t dcide n 2007 par lISO/TC 176/ SC3 groupe de travail dexperts. Cette rvision concerne deux lments : la rduction du champ daction de la norme aux audits internes et audits externes ; la gnralisation de la norme ISO 19011 lensemble des autres systmes de management, en plus du systme de management de la qualit et du systme de management de lenvironnement.
Groupe Eyrolles
Chapitre 9
ISO/IEC 200001
HISTORIQUE
La BS 15000 est la toute premire des normes en matire de gestion de services informatiques qui soit devenue internationale ; cest la British Standards Institution (BSI) qui a particip activement son volution. Pour les activits dinfogrance, prestation de services, la norme BSI 15000 permet de dnir lensemble des spcications indispensables pour sassurer que le service sera bien rendu auprs du client. La documentation a une place importante dans la norme ; elle permet didentier les points de vigilance que lentreprise se doit de suivre, et cela en relation avec les objectifs attendus et annoncs par lorganisation en place. En 2005, la BS 15000 a donn naissance lISO/IEC 20000 qui se compose de deux parties : une norme dexigences ISO/IEC 20000-1:2005, ce sont les spcications ; une norme de recommandations ISO/IEC 20000-2:2005 ; il sagit du Code de bonnes pratiques.
DFINITION
RETENIR
Groupe Eyrolles
LISO/IEC 20000 est une norme pour les organisations qui fournissent des services.
1. Avec la contribution de Gad Koskas, consultant manager, auditeur ISO 20000 et formateur ITIL V2, V3.
62
Les normes
Une certaine dontologie et un haut niveau de comptence des acteurs sont garantis par le processus de certication des personnes et des entreprises. La certication dorganisation ISO/IEC 20000 est ralise par AFAQ/ AFNOR ; dautres organismes peuvent certier les entreprises. Remarque : la certication de produit nest pas reconnue.
APPLICATION
Les processus de lISO/IEC 20000
Rpondre aux diffrentes attentes des clients demande aux entreprises de travailler en mode processus, ce que la norme ISO/IEC 20000 prconise fortement. Le mode de fonctionnement, dit pertinent, repose sur de nombreuses activits interactives. La norme ISO/IEC 20000 sinspire fortement du rfrentiel ITIL V3 et de la norme ISO 9001:2000, qui ont comme point commun le management par les processus, la satisfaction client et lamlioration continue.
PROCESSUS DE CONTRLE
Gestion des configurations Gestions des changements
Groupe Eyrolles
ISO/IEC 20000
63
Dire dexpert
La norme ISO/IEC 20000 a le double avantage de pouvoir proposer la fois une base daccrditation et de certication pour les centres de production informatique. Il faut bien voir que la norme ISO/IEC 20000 est organise en lots : PDCA des services ; support de service ; fourniture de service ; relation pour les services TI. La notion de management de la qualit de service volue vers le management de service. Il faut voir le service comme une relle activit avec ses clients, son business, son environnement TI, ses marchs. Les exigences relatives ISO/IEC 20000 sont numrotes de 1 10. Pour quune organisation soit certie ISO/IEC 20000 lensemble des exigences demande tre vri.
1. Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ; directeur gnral de Sextant Solutions Informatiques ; matre de confrences associ luniversit dEvry ; prsident de la Commission nationale ingnierie et qualit des logiciels et systmes (AFNOR).
64
Les normes
conue initialement pour permettre la certication des organisations anglaises qui se sont engages dans la mise en uvre du rfrentiel ITIL V2, pour lequel les certicats ne sont dlivrs quaux individus. Depuis 2007, des travaux sont engags pour amliorer le standard ISO/ IEC 20000-1 : lintgration de la partie conception des services dans les exigences, la cohrence avec le standard ISO 9001:2008, la prise en compte de certains concepts issus dITIL V3 (en toute indpendance de lOGC, propritaire dITIL) sont parmi les premiers axes damlioration. ISO/IEC 20000-1 est amen devenir un standard particulirement reconnu, au mme titre que ISO 9001, car il sadapte tous les services et pas seulement aux services informatiques. Or la part des services reprsentera terme prs de 70 % du PNB mondial, ce qui est dj pratiquement le cas pour les pays les plus dvelopps. Les premires analyses que jai pu raliser, notamment dans les secteurs du tourisme et des services hospitaliers, se sont rvles particulirement concluantes. Les membres du groupe de travail international sur la srie de standards ISO/IEC 20000 en ont totalement conscience et cest pourquoi la version prochaine, prvue pour 2010, aura supprim dans ses exigences toute rfrence linformatique pour proposer un ensemble dexigences destines aux fournisseurs de services. ISO 20000-1 est un Systme de Management de Services (SMS) en cohrence avec ISO 9001:2008 (SMQ).
Groupe Eyrolles
Chapitre 10
ISO/IEC 21827:2002
HISTORIQUE
Comme ce fut le cas pour beaucoup de normes, pour pallier un manque de repres, une absence de modle, de standard en termes de scurit informatique, un groupe dexperts parmi de grandes socits amricaines se mit au travail. En 1993, ces experts travaillrent sur un modle, le SSE-CMM. En 2002, lISSEA (International Systems Security Engineering Association, qui est ddie lavancement des systmes de scurit) a ralis de nombreux changements partir du modle initial : le modle est devenu une norme qui sappelle ISO/IEC 21827:2002, puis il y a eu des volutions sur la norme et une nouvelle version est apparue ; il sagit de la norme ISO/IEC 21827:2003.
DFINITION
La scurit informatique concerne toute lentreprise. Elle sinscrit dans une dmarche processus, on la retrouve partout : les informations en entre, les informations traiter, les informations en sortie, elle sinscrit galement dans une dmarche damlioration continue, elle se remet rgulirement en question an de progresser. Grce son organisation la SSE-CMM sest vite adapte au monde de lentreprise.
Groupe Eyrolles
66
Les normes
APPLICATION
La mise en pratique de la norme SSE-CMM dans lentreprise repose sur une approche globale qui est divise en deux parties : la premire concerne le domaine, o lon trouvera les pratiques de base (BP), et la seconde concerne ladaptabilit, o lon trouvera la pratique gnrique (GP) avec les aspects de planication et de ralisation des pratiques de base. Pour avoir une optimisation parfaite, les processus doivent tre mesurs. Cette mesure se fonde sur cinq valeurs, la plus grande valeur correspondant au chiffre 5 et la plus petite au chiffre 0 : la valeur 5 correspond une amlioration continue de la part du processus ; la valeur 4 correspond au contrle qualit du processus et des livrables du processus ; la valeur 3 correspond la standardisation des processus ; la valeur 2 correspond au plan daction des oprations et au suivi des actions ; la valeur 1 correspond aux tches ralises au travers des processus ; la valeur 0 correspond aux tches ou activits non ralises, tout est faire. La norme SSE-CMM a une approche transverse. Elle prend en compte trois critres importants qui sont le risque, lassurance et lingnierie : pour le risque, on considrera le produit des trois facteurs suivants : les menaces le degr de vulnrabilit les impacts. En matire de scurit, la gestion du risque est incontournable, elle est demande systmatiquement dans les projets ; pour lassurance, on considrera tout ce qui concerne le besoin de se faire assurer : un service, un bien, un produit, un systme An dtre prventif, on prvoit de se couvrir avant un sinistre (identi ou non identi) ; pour lingnierie, on considrera les aspects de pilotage autour de la scurit, ladministration, la surveillance, la coordination des tches On constate que lingnierie demande une gestion de suivi de la scurit ; il est facile de comparer lingnierie la production, voire lexploitation (pilotage) dun systme informatique.
Groupe Eyrolles
ISO/IEC 21827:2002
67
Dire dexpert
La norme ISO/IEC 21827:2002 permet de faire prendre conscience au DSI de limportance que reprsentent les processus. Les cinq niveaux de maturit ont vu le jour avec le SSE-CMM ; dailleurs, on retrouvera par la suite les cinq niveaux dans CMMI. Les aspects vulnrabilits sont au cur de la norme. La norme permet dassocier un processus une activit (ressource), an de suivre comme il se doit lavancement des oprations dans le domaine de la scurit du systme dinformation.
LES NOUVEAUTS
Depuis 2001-2002 le SSE-CMM nest plus ou peu utilis, CMMI ayant pris le relais avec CMMI 1.0 (Capability Maturity Model Integrated). Cependant, on retrouve dans CMMI les bases de SEE-CMM.
Groupe Eyrolles
Chapitre 11
ISO/WD 26000
HISTORIQUE
La norme ISO/WD 26000 est une nouvelle norme. Elle concerne tout le primtre de la responsabilit socitale. Un groupe dexperts travaille sur cette future norme, son objectif tant de livrer une norme utilisable auprs des entreprises et des professionnels dici la n de lanne 2010. La norme regroupera un ensemble de bonnes pratiques et servira ainsi de guide. En effet, donner des directives en termes de responsabilit socitale est chose difcile, chaque entreprise ayant sa faon de fonctionner et sa propre culture.
DFINITION
Elle concerne la partie responsabilit socitale des entreprises, et plus prcisment celle des organisations en place dans les entreprises, les ONG La norme ISO/WD 26000 a pour objectif de dnir et de clarier la notion de responsabilit socitale et de la rendre accessible tout type dorganisation (entreprises, collectivits territoriales, associations), quelle que soit sa taille ou sa localisation, en fournissant des principes directeurs partags, repres pour laction.
Groupe Eyrolles
Il convient que la norme soit vraiment un guide auprs des entreprises et des professionnels : elle ne doit pas imposer une directive particulire ; elle doit aider les entreprises sidentier, se positionner, la fois au niveau culturel et au niveau conomique ;
70
Les normes
elle doit sassurer de sa complmentarit par rapport aux autres normes internationales, aux autres conventions ; en aucun cas elle ne remplace les directives de la direction de lentreprise. Une appropriation en termes de smantique est faire au sein de lentreprise sous la forme dun plan de communication ou dun sminaire car, pour beaucoup, la responsabilit socitale reste encore obscure.
Pour une mise en application, il faut capitaliser sur ce qui existe dj. Cest le cas pour certaines normes qui auront un rle jouer dans llaboration de la norme ISO/WD 26000. Il sagit de deux normes qui sont
Groupe Eyrolles
APPLICATION
ISO/WD 26000
71
la norme ISO 9001:2000 pour lengagement de la direction, principalement pour son rle de leader dans la conduite de la dmarche globale damlioration continue au sein de lentreprise, et de la norme ISO 14001:2004 pour les engagements environnementaux et les activits de dveloppement durable de lentreprise. Ces deux normes comportent des normes issues de lOrganisation internationale du travail (OIT) ainsi que des rfrentiels comme ILO-OHSAS 2001 qui traitent de la gestion de la scurit et de la sant au travail. La norme ISO/WD 26000 ne sera pas sujette une certication.
Environnement
HSS
Social/ Socital
EFQM
Excellence
ISO 26000
SD 21000 Guide pour la prise en compte du dveloppement durable dans la stratgie et le management de lentreprise
Groupe Eyrolles
72
Les normes
de mettre en place une politique de dveloppement durable, de chasser le gaspillage, de se proccuper du bien-tre de leur personnel, de prendre soin de leur environnement local, grce aux liens qui existent entre la norme ISO/WD 26000 et la norme ISO 14001:2004.
Dire dexpert
La norme internationale ISO/WD 26000, dite sur la responsabilit socitale des entreprises, va bientt tre publie. Peaune depuis des annes par les experts de 54 pays cette norme sera dcerne aux entreprises citoyennes engages dans le dveloppement durable. Protection des consommateurs, conomies dnergie, vigilance sur le droit du travail, lutte contre la pollution, les ingalits sociales et la corruption, engagement de ne jamais succomber la seule recherche du prot maximal, etc., bref, toujours davantage de droits de lhomme, et toujours moins de gaz effet de serre (GES) : trs tendance lISO/WD 26000 sera bourre de bonnes intentions comment ne pas applaudir. Ds 2009, exigez-la de votre picier, de votre garagiste, de votre bureau de tabac Ils ne devraient pas avoir trop de mal lobtenir, sachant que cette norme, avalise par le Bureau international du travail et les Nations unies, contiendra des lignes directrices et non pas des exigences . Une dclaration de bonnes intentions pour plus tard devrait donc sufre loctroi du prcieux label. Attendons-nous le voir afch jusque sur les chemines des usines les plus fumantes, voire imprim sur les T-shirts des travailleurs esclaves, en Extrme-Orient ou ailleurs. Ct franais ( lAFNOR) on se rjouit et on dclare sans rire que, grce cette prochaine nouvelle norme, la responsabilit socitale est sur le point de franchir une nouvelle tape.
Source : Journal du dveloppement durable.
Groupe Eyrolles
Chapitre 12
ISO 27000
HISTORIQUE
En 1995 la BSI (British Standards Institution) publie un document compos de dix grands chapitres et contenant une centaine de recommandations scuritaires sous le dnominatif de norme BS 7799. En 1998, la BSI adjoint une seconde partie, dnomme BS 7799-2, qui prcise les exigences de mise en uvre dun Systme de management de la scurit de linformation (SMSI). En 2000, suite au succs rencontr par la norme BS 7799 dans le monde entier, lISO ladopte, tout en y ajoutant quelques mesures de scurit supplmentaires, en la renommant ISO 17799. LISO nintgrant pas la notion de SMSI, lISO 17799 reste un rfrentiel de bonnes pratiques. En 2002, la BSI publie une seconde version de la BS 7799-2 qui devient BS 7799-2: 2002. Puis, en juin 2005, lISO remanie et enrichit de nouvelles mesures de scurit lISO/IEC 17799, qui sera renomme en 2007 ISO 27002. En octobre 2005, en sinspirant de lISO 9001:2000 et en spciant les exigences de mise en uvre dun SMSI, lISO adopte dnitivement, aprs quelques modications, la BS 7799-2 sous le dnominatif dISO/ IEC 27001:2005. De toutes les normes de la srie ISO 27000, seule la norme ISO/IEC 27001 est certiable.
DFINITION
Groupe Eyrolles
RETENIR
La norme ISO/IEC 27001:2005, publie le 15 octobre 2005, prsente sous les titres Technologies de linformation , Techniques de scurit , Systmes de gestion de scurit de linformation , Exigences , fournit
74
Les normes
au travers dune approche oriente processus, un modle de gestion de la scurit de linformation communment appel SMSI (Systme de management de la scurit de linformation) ou SGSI (Systme de gestion de la scurit de linformation).
Du point de vue de Sylvain Laborde1, grer un SMSI, cest apporter les garanties sur la capacit de lentreprise matriser les cots et les priorits en matire dinvestissements et dorientations budgtaires au regard des enjeux business et des risques. La gestion dun SMSI permet de garantir la justesse des investissements de scurit. Il permet de mobiliser tous les acteurs de lentreprise autour dun projet commun par lequel chacun, de lutilisateur nal ladministrateur systme jusqu la direction gnrale, prend sa part de responsabilit dans ltablissement (responsable de la scurit des systmes dinformation), la mise en uvre, le contrle (auditeurs) ou lamlioration continue de la scurit. Limplication de tous les acteurs sobtiendra par lengagement de la direction gnrale de lentreprise qui safrmera de manire claire et visible dans la dmarche par une mise disposition des ressources humaines et nancires. Le SMSI permet ainsi au RSSI de sortir du mode ractif pour aboutir un mode de gestionnaire de la scurit et des risques. La norme sarticule donc autour dexigences gnrales pour la mise en uvre du systme et dannexes, dont lannexe A prsente les objectifs et mesures de scurit de lISO/IEC 17799:2005. Cette norme permet une entreprise de certier son systme de management, et non pas de garantir un niveau de scurit 100 % (ce qui nexiste pas). Un dbat fait rage actuellement sur lutilit de se faire certier. Ma vision est que les arguments mercantiles et marketing prsents pour une certication sont un faux dbat et que la certication est surtout la concrtisation dune dmarche continue de gestion de la scurit de linformation : le cur de la norme est donc bien le systme de gestion.
Prospective
Groupe Eyrolles
La prospective porte sur la dclinaison des exigences gnrales (articles 4 8) de la norme ISO/IEC 27001:2005 en nouvelles normes. titre dexemple, larticle 4 prsentant notamment les exigences relatives
1. Sylvain Laborde, certi BS 7799, auditeur certi ISO 27001.
ISO 27000
75
lapprciation, lanalyse et le traitement des risques est devenu lISO/ IEC 27005:2008.
ISO 27000 Prsentation et vocabulaire
ISO 2700X
LISO/IEC 27002:2005
Elle remplace depuis le 15 juin 2005 lISO/IEC 17799:2005. Les articles 5 15 de la norme, organiss autour de 39 objectifs de scurit, constituent un recueil de bonnes pratiques organisationnelles et techniques, communment appeles mesures de scurit. Toutes ne sont pas pertinentes dans le contexte dune entreprise mais sont slectionner en sortie dune analyse de risques pour rduire les risques pour lesquels la direction gnrale a dtermin quils sont inacceptables et doivent donc tre rduits. Les articles et mesures de scurit seront intgrs au sein dune dclaration dapplicabilit (DdA) dans le cadre dune dmarche de mise en uvre dun SMSI. Cette norme sert galement de support aux audits scurit de linformation (dits audits ashs) pratiqus en audits externes par de nombreuses socits de services ou en audits internes par les directions daudit et directions dinspection gnrale. Sans vouloir lafcher, de nombreuses entreprises, par ailleurs soumises aux rglementations Ble II, Sarbanes-Oxley Act ou Payment Card
Groupe Eyrolles
76
Les normes
Industry, appliquent dj partiellement les bonnes pratiques de lISO 27002. Ces entreprises peuvent donc valuer le cot du reste faire vers le management de la scurit de linformation ISO/IEC 27001.
LISO 27003
La norme, qui devrait voir le jour en septembre 2009, encourage ladoption dune approche processus sappuyant sur le modle de Deming qui nest pas propre la norme mais que lon retrouve en support dautres mthodologies telles que lISO 9001 ou 14001. Ce modle de gestion permet lentreprise de grer et de piloter son systme de management selon les phases P pour planier, D pour dployer, C pour contrler et A pour amliorer.
LISO 27004
LISO 27004, en cours de dveloppement, est un guide qui fournit des conseils pour le dveloppement dun programme de mesures et de contrles et la formalisation dindicateurs permettant de mesurer lefcience dun SMSI. Il interagit avec les phases Check et Act de la mthode PDCA de lISO 27003.
LISO/IEC 27005:2008
LISO/IEC 27005:2008 correspond aux exigences gnrales 4.2.1 c 4.2.1 f et 4.2.3 d de lISO/IEC 27001. Cette norme intgre le vocabulaire du risque dj dvelopp dans lISO 73 et lISO/IEC 13335. Ce standard international, publi en juin 2008, fournit des directives pour le management du risque en proposant un vocabulaire de rfrence et un cadre de dmarche en support lISO/IEC 27001. Le process de management du risque sarticule autour de ltablissement du contexte (clause 7), de lvaluation du risque (clause 8), du traitement du risque (clause 9), de lacceptation du risque (clause 10), de la communication (clause 11) et de la mesure et rvision du risque (clause 12). La dmarche saligne selon la mthode de gestion PDCA adopte par la norme ISO/IEC 27001. La norme nimpose donc pas une mthodologie danalyse de risques, dont le choix reste du ressort de lentreprise. Nanmoins, il est probable que les entreprises franaises et cabinets de conseil embarrasss par des mthodologies danalyse de risques ou dexpression
Groupe Eyrolles
ISO 27000
77
des besoins de scurit juges lourdes Mehari dvelopp par le Club de la scurit de linformation franais (Clusif) ou Ebios dvelopp par la Direction centrale de la scurit des systmes dinformation (DCSSI) trouveront dans la norme le moyen de dvelopper des outils plus lgers adapts des exigences Time to Market par exemple, de prise en compte des exigences de scurit dans les nouveaux projets ou dveloppements, domaine souvent nglig.
LISO/IEC 27006:2007
Le standard, ofciellement publi depuis le 13 fvrier 2007, sadresse aux organismes certicateurs (LSTI, AFNOR, BVQI) de SMSI et fournit un guide et des exigences pour laccrditation des auditeurs certiant des SMSI. Ce standard est un complment aux exigences dnies dans la norme ISO/IEC 17021, et se substitue la norme EA 7/03.
LISO 27007
La norme, dont la date prvisionnelle de publication est xe en avril 2010, constituera le guide daudit du SMSI.
Dclinaisons sectorielles
Depuis peu, on constate une appropriation sectorielle des normes de cette famille, notamment pour le secteur de la sant et des tlcoms. Cela montre un intrt grandissant pour cette famille. Parmi ces appropriations on peut citer : lISO 27799:2008 : cette norme, qui a vu le jour le 12 juin 2008, adresse, sur la base de lISO/IEC 27002, les spcicits du secteur de la sant ; lISO/IEC FDIS 27011:2008 : cette norme tablit les principes et constitue un guide pour linitialisation, limplmentation, le maintien et lamlioration de la gestion de la scurit de linformation pour le monde des services de tlcommunications (oprateur tlcom, hbergeurs de services) en se fondant sur lISO/IEC 27002.
Groupe Eyrolles
En implmentant lISO/IEC 27011:2008, les oprateurs de tlcommunications, en interne comme vis--vis des autorits comptentes (Autorit de rgulation des tlcoms ART) : seront capables dassurer la condentialit, lintgrit et la disponibilit des infrastructures de services ;
78
Les normes
adopteront des processus de scurit collaboratifs et des niveaux de contrle permettant la rduction des risques pour un secteur qui est souvent la cible privilgie des attaques ; favoriseront une meilleure transparence et conance dans la relation publique.
APPLICATION
Le projet de mise en place du SMSI est un projet transversal si le service informatique est de fait concern, puisque linformation est devenue essentiellement informatique. Suivant le primtre dni, plusieurs directions (directions mtier) peuvent tre impactes et en premier la DRH. Le projet concerne galement toute lchelle hirarchique de lorganisme. La russite du projet dpend essentiellement de limplication de toutes les personnes concernes dans lentreprise, de la direction gnrale au plus bas de lchelle. Si laccompagnement par un consultant peut savrer ncessaire, la dmarche consistant faire faire par des prestataires nayant aucune connaissance de lentreprise est voue lchec. RETENIR
Quelle que soit lapproche retenue, squentielle ou mode projet, il est essentiel de prendre en compte les trois contraintes suivantes : respecter les exigences de la norme ; respecter la mthode PDCA ; sassurer en permanence de la cohrence entre les objectifs et les mesures de scurit.
Groupe Eyrolles
La phase Plan , qui revient xer les objectifs du SMSI, est compose de quatre grandes tapes : dnition du primtre et de la politique, apprciation des risques, traitement du risque, slection des mesures de scurit. Cette dernire tape sappuie sur lannexe A qui contient une liste de 133 mesures de scurit, classes en 11 chapitres. Mais ce nest quune liste, limplmenteur doit y slectionner des mesures une fois lapprciation des risques effectue et rechercher les conseils de mise en uvre dans lISO/IEC 27002. Une fois les mesures slectionnes, un tableau rcapitulatif reprenant les 133 mesures de lannexe A sera constitu en spciant les mesures retenues et celles cartes.
ISO 27000
79
La phase Do du SMSI comprendra les tapes suivantes : planication du traitement des risques, gnration dindicateurs signicatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, dtection et raction aux incidents. La norme impose de mettre en place des moyens de contrle du SMSI ; cest la phase Check , qui sappuiera sur des audits internes planis, un contrle interne permanent, des revues. Lors des audits, contrles et revues, si des carts sont constats par rapport aux objectifs du SMSI, la phase Act permettra de mener des actions correctives, des actions prventives et des actions damlioration.
Dire dexpert1
Selon Michel Berteau, la mise en uvre de la norme ISO/IEC 27001 est un projet fdrateur. Cest un projet transversal, et ne pas en tenir compte peut vouer le projet lchec. En revanche, limplmentation dun SMSI est la garantie de ladoption de bonnes pratiques, de laugmentation de la abilit, et la certication par un organisme indpendant assurera lapport de la conance des parties prenantes de lentreprise (clients, fournisseurs, actionnaires, banques, autorits, etc.) et bien souvent qui dit conance dit business. Lavantage de la norme ISO/IEC 27001 pour le traitement du risque est quelle laisse lentreprise le libre choix de son outil danalyse de risques, lISO/IEC 27005 ne restera quun guide. En revanche, quelle que soit la mthode utilise, le cahier des charges de la norme en ce domaine reste trs strict. La srie ISO 27000 est en cours de nalisation, et elle fait lunanimit au niveau international. Cette norme commence intresser de plus en plus dentrepreneurs franais, non seulement par son caractre normatif mais galement parce quelle savre complmentaire dun autre rfrentiel qui connat un engouement important en France, ITIL. LISO a publi en 2005 la norme ISO/IEC 20000 qui permet de faire certier les processus informatiques et qui est une dclinaison dITIL V3 avec mise en uvre dun SMSI, ce qui a retenu lattention de bon nombre de directions informatiques. Par ailleurs, lISO/IEC 20000 recommandant de sappuyer sur lISO/IEC 27002 pour le processus gestion de la scurit de linformation, les DSI sont de plus en plus tentes par une mutualisation des deux normes.
Groupe Eyrolles
Chapitre 13
ISO/DIS 31000
HISTORIQUE
Il sagit de la future norme ISO/DIS 31000 sur le management du risque. STRATGIQUE
Grer le risque reprsente pour les entreprises et les organismes une vritable dmarche danticipation ; pour que cela soit efcace, il faut respecter les exigences de la norme. Les opportunits seront au rendez-vous pour les bons lves. La future norme ISO/DIS 31000, qui va prendre de limportance dans les annes venir, prsente les diffrents risques possibles : risque au travail, risque sur lenvironnement, risque sur la scurit
Tout le monde est concern par la gestion des risques, cela dans nimporte quel cas de gure, que ce soit en pratiquant une activit physique (extrme comme un saut en parachute, ou pas), ou en prenant lavion. Souvent, nous faisons une analyse rapide de la situation et des risques possibles par rapport aux bnces ; une valuation est faite et, partir de celle-ci, une dcision est prise. Par rapport cette prise de dcision, aucun formalisme nest mis en place. Quand il sagit dune entreprise grande ou moyenne, dun gouvernement, de plusieurs pays la gestion des risques est toujours utilise. Elle repose sur un processus ; grce la gestion des risques, les dcideurs peuvent choisir la solution qui offrira le plus de gains et le moins de risques.
Groupe Eyrolles
82
Les normes
LES NOUVEAUTS
La norme ISO 31000 sera publie en septembre 2009.
DFINITION
Le management des risques concerne les entreprises et leurs organisations ; la norme doit prendre en considration les autres normes ISO. Elle est apparue en tant que proposition de norme en juin 2005, linitiative du Japon. Comme beaucoup de nouvelles normes, son objectif principal est de servir de guide auprs des entreprises. Il ny a pas de critres de taille, de poids conomique ou de domaine dactivit pour que lentreprise puisse utiliser la norme et bncier de tous ses bienfaits. Implicitement, il faudra prvoir une gestion de management des risques ; lentreprise devra nommer un responsable, si ce nest pas dj fait. Il sagit dune activit comme une autre, la diffrence que sil nexiste pas de responsable pour le management des risques, lentreprise est vulnrable tout moment : avant, durant, et aprs le risque. Sans plan de reprise, sans sauvegarde, il est toujours difcile de repartir rapidement. La partie maintenance du processus de management des risques est prendre en compte, des volutions seront prvoir, des ajustements seront mettre en place et, comme pour beaucoup de processus, des mesures devront tre effectues. Elle porte comme nom provisoire principes et lignes directrices pour la mise en place dun processus de management des risques .
il permet de faire remonter les incertitudes et leurs causes an dy apporter une explication et une rponse ; il est orient direction ; il permet de prendre des dcisions qui savrent ncessaires en matire de risque ;
ISO/DIS 31000
83
il prend en considration laspect humain ainsi que le comportement des personnes dans lentreprise ; il a pour objectif de crer une plus-value ; il incite la rexion et amne une prise de conscience des femmes et des hommes de lentreprise par rapport au risque professionnel ; il prend en compte lorganisation de lentreprise et lensemble de son primtre dintervention ; il est connu de tous, et permet de prendre en compte et de grer les volutions de manire rapide.
APPLICATION
Le management des risques se gre comme un vritable projet. Le primtre est large ; il touche lentreprise et les diffrentes directions. Il touche galement les activits, institutions, associations en dehors de lentreprise. Une fois le primtre identi, il est plus facile de se xer les objectifs atteindre. Ltape suivante concerne les risques que lentreprise devra prendre en compte et cela partir de la source du risque, jusqu son rsultat (dgts, pertes). Un ensemble de questions est pos : pourquoi cela peut-il arriver ? Quels sont les endroits risques ? quelles priodes ? Il faut aussi que tout le monde comprenne le risque. Classer les risques, leur donner un poids, une importance, une priorit, est une ncessit. La prochaine tape consiste prendre du recul par rapport au risque, et commencer comprendre le risque, son cycle de vie, les interactions avec les autres risques qui sont directement ou indirectement rattachs au risque principal, le niveau de rcurrence ; il faut faire le diagnostic du risque. On arrive alors la qualication du risque par lui-mme ; cet effet, il faut avoir une base de connaissance des risques qui permet davoir des repres en termes dvaluation. Cette valuation permettra de prendre les bonnes dcisions pour limiter les risques dans limmdiat et pour le futur. Ltape suivante est la correction du risque, un plan daction est dcid, lentreprise est daccord, une validation a t faite, et aprs avoir corrig
Groupe Eyrolles
84
Les normes
le risque, on va suivre un programme de surveillance an dtre vigilant pour que le risque ne se reproduise plus. Un peu comme pour la norme ISO 9001:2000, on se doit de revoir, ractualiser le programme de surveillance qui fait partie intgrante du processus de management des risques. La dernire tape est la communication et la consultation ; il ne faut pas les oublier, car elles permettent de renforcer lesprit de groupe, dchanger, de partager les actions, informations qui dcoulent du processus de management des risques.
Dire dexpert
La norme ISO/DIS 31000 sintgrera parfaitement avec Sarbanes-Oxley (SOX) et SAS 70. De mme, elle pourra trouver appui avec le rfrentiel COBIT. Une tendance devrait voir le jour rapidement ; le primtre du management du risque sera rapidement dpass, dautres primtres entreront en ligne de compte. Nous retrouverons des liens importants avec la norme ISO 27000 et la scurit, ainsi quavec la nouvelle norme qualit ISO 9001:2008.
Groupe Eyrolles
Chapitre 14
ISO 38500:2008
HISTORIQUE
LES NOUVEAUTS
La norme ISO 38500:2008 est aligne sur le concept de la gouvernance dentreprise. Ce terme est issu du rapport Cadbury, publi en 1992 concernant les aspects nanciers de la gouvernance dentreprise.
LISO a publi en 2008 la nouvelle norme ISO 38500:2008 qui prsente le rsultat du consensus international sur le sujet de la gouvernance du systme dinformation. Tout le monde sait quune entreprise sans informatique est une entreprise moribonde, avec une dure de vie relativement courte. Linformatique dans lentreprise est indispensable, voire vitale ; quil sagisse dune petite ou grande entreprise, elles ont toutes un accs Internet, aux applications, aux logiciels. Grce la nouvelle norme ISO 38500:2008, il sera possible de suivre des directives communes en matire de systme dinformation. Depuis peu, on parle de plan de gouvernance informatique ; la stratgie et le budget sont concerns. Lorganisation des entreprises repose sur un certain formalisme, des rgles de fonctionnement sont dployes auprs des organisations fonctionnelles.
Groupe Eyrolles
Les directions gnrales savent limportance et le poids que reprsente le systme dinformation, qui se traduit par la prsence de la DSI au sein du directoire de beaucoup de grandes entreprises. La direction gnrale a pour objectif la matrise du management et de la stratgie, lorganisation de lentreprise, laugmentation ou la diminution
86
Les normes
du nombre de salaris, le contrle des nances, la gestion du budget, linvestissement dans la R&D auxquels sajoutent les relations de partenariat avec les fournisseurs, les changes avec les associations, les parrainages avec les institutions et les aides aux collectivits locales ; tous ces lments font partie de la gouvernance de lentreprise. Tout dpend de linformatique : la nance, le budget, la communication, les changes, les ux dinformations tous les domaines utilisent les moyens informatiques. Le facteur commun est bien linformatique, do limportance davoir une gouvernance du systme dinformation au sein du directoire de lentreprise. Les ouvrages et les publications sur le domaine de la gouvernance informatique sont nombreux. Que lon soit dans le milieu universitaire (la Sloan School of Management amricaine, la Craneld University de Londres, lUniversity of Antwerp Management School dAnvers), au sein des institutions professionnelles telles que lIT Governance Institute, ou en rapport avec les rfrentiels professionnels comme COBIT 4.1, Valid, ITIL V3, on constate que la gouvernance du systme dinformation prend de plus en plus dimportance. La nouvelle norme ISO 38500 sinscrit dans la continuit dune gouvernance de lentreprise dj bien installe. Dans beaucoup dentreprises, les budgets des systmes dinformation sont de plus en plus importants et les lignes budgtaires sont prises en compte dans le plan de gouvernance du systme dinformation ; alors quil y a quelques annes elles dpendaient encore de la direction nancire.
DFINITION
STRATGIQUE
Organisation stratgique qui a pour objectif de dnir, prvoir, aider lentreprise prendre des dcisions et faire des choix en matire de systme dinformation. Elle repose sur un plan de gouvernance du systme dinformation, avec des rgles de fonctionnement, une smantique, et des acteurs responsables au sein de lentreprise.
Groupe Eyrolles
La norme repose sur six principes importants qui sont : la responsabilit du personnel de lentreprise ; la stratgie mise en place dans lentreprise ;
ISO 38500:2008
87
lacquisition des moyens, de la connaissance, des bonnes pratiques ; lexcution des tches, des oprations, des projets ; la conformit des processus organisationnels par rapport au standard dni et aux attentes de la direction ; le comportement humain du personnel de lentreprise. Lapplication de la norme auprs des entreprises a pour but de les aider mieux grer leurs dpenses informatiques, matriser leur budget et leur cot, aider la direction gnrale dnir les futures orientations stratgiques en matire de systme dinformation.
APPLICATION
Elle sapplique tous types dentreprises, quelle que soit leur activit (mtier) et quelle que soit leur taille. Elle permet de mieux valuer les projets dinvestissement informatique ainsi que les capacits oprationnelles de leur organisation. Elle a pour vocation daider les directions dentreprise cerner et raliser leurs engagements dordre lgal, rglementaire et dontologique, relatifs lutilisation des services TI.
Dire dexpert
La norme 38500:2008 ne va pas lencontre des rfrentiels COBIT, ITIL ou de la norme ISO/IEC 20000, car il nexiste pas de modle de processus des services informatiques que lon retrouve dans la norme ISO 38500 :2008.
Les rfrentiels dans leurs nouvelles versions, tels COBIT 4.1 et ITIL V3, ont une orientation gouvernance dentreprise.
Groupe Eyrolles
Chapitre 15
SAS 70
HISTORIQUE
SAS 70 a t dveloppe par lInstitut amricain de certication public (American Institute of Certied Public Accountants, AICPA). Cest une norme de conformit avec les normes de contrle interne et audit nancier, de type Sarbanes-Oxley. En 1974 apparait SAS 3, qui consistait en laudit et lvaluation du contrle interne. Puis en 1982, avec SAS 44, on sest intress au contrle des services organisationnels. Ce nest quen avril 1992 quapparat SAS 70, pour laudit des services organisationnels. En mai 2001 parat SAS 94, portant sur leffet des technologies de linformation sur le rle donn aux auditeurs au niveau du contrle interne lors dun audit nancier.
DFINITION
Le contrle interne et linfogrance ou lexternalisation sont les deux sujets principaux de la norme SAS 70. Sa premire orientation concerne le domaine du service, par la suite elle stendra aux autres domaines. Cest une norme cre par lAmerican Institute of Certied Public Accountants (AICPA) pour llaboration des mthodes auprs des organismes habilits prendre en charge la fois les contrles internes et les audits nanciers des entreprises. Les tiers (organismes de certication) sont mme de mener des audits indpendants et deffectuer des contrles des processus en place dans les entreprises. La norme SAS 70 comporte deux niveaux (type I et type II) et est rpute au niveau international, particulirement en tant qulment de conformit Sarbanes-Oxley. Elle a un champ daction relativement
Groupe Eyrolles
90
Les normes
large ; elle traite lensemble des contrles qui assurent la qualit des services rendus aux clients. On constate de plus en plus que les entreprises veulent se spcialiser sur leur cur de mtier, ce qui produit des effets dexternalisation de leurs activits auprs des sous-traitants (facilities management). Il peut sagir dune externalisation mineure, cest--dire la reprise dune partie de lactivit dune entreprise par un infogrant, ou dune externalisation majeure, cest--dire la reprise de toute une activit dune entreprise par un infogrant. La norme SAS 70 intervient au niveau des infogrants ; le client est en mesure de lui demander de suivre et dappliquer les exigences de la norme. DANGER
Le fait de vouloir externaliser une activit, un service, auprs dun soustraitant (infogrant), demande de la part de lentreprise un contrle rgulier de son sous-traitant. Lentreprise doit veiller ce quil garantisse un contrle identique, ou presque identique, celui quelle faisait avant de dcider dexternaliser son activit car, tout moment, il faut quelle puisse rendre des comptes (rglementation franaise, rglementation internationale, direction gnrale des impts).
Quand une entreprise dcide de sous-traiter une activit, elle doit mettre en place des contrles sur les processus de son futur prestataire de services ; ces rapports (contrles) serviront en cas daudits.
APPLICATION
La norme SAS 70 est devenue une rfrence pour les prestataires de services. Les processus de contrle des prestataires sont connus des clients, rien ne doit tre cach, cela fait partie des relations clients et fournisseurs. Elle apporte la preuve que le prestataire de services matrise la gestion des cots. Les entreprises clientes utilisent de manire slective la norme SAS 70 vis--vis de leurs prestataires de services, car pour elles il sagit dun critre de slection. La norme concerne lensemble des organismes de services rendant une prestation en rapport avec la gestion des cots/nancire de leurs clients. La liste est vaste, cela va du dpositaire au centre de traitement informatique.
Groupe Eyrolles
SAS 70
91
La norme SAS 70 permet de mettre en place, ct client comme ct prestataire, une mme approche et un mme suivi des activits. Pour le prestataire (en cas dinfogrant) : tre capable de montrer son client que lon matrise le processus de contrle interne, et de lui prsenter le suivi des activits, le droulement du processus, les livrables associs ; montrer au client que lon matrise son (propre) processus de contrle interne (cest rassurant pour le client), et tre transparent (critre de conance) : Je sais ce quil faut faire (car je le fais chez moi et pour moi), Je sais ce que vous attendez (car vos attentes sont semblables aux miennes) ; bncier, en cas daudit client, des rsultats de celui-ci pour samliorer ; on est toujours dans lamlioration continue. Pour le client : disposer du rapport de contrle du prestataire permet de mieux connatre quelles sont les mthodes mises en place ct prestataire ; faire voluer son processus de contrle interne par rapport au prestataire ; choisir le prestataire en fonction de son niveau de comptence en matire de matrise du contrle interne (activits du prestataire) ; aider la slection du choix du prestataire peut devenir un prrequis.
Dire dexpert
Selon Olivier Mauduit, associ chez Deloitte, si la pratique de SAS 70 est encore peu rpandue en France et en Europe, elle tend saccentuer fortement pour rpondre aux exigences rglementaires. Si actuellement tre SAS 70 est dj un atout lors des appels doffres pour les prestataires, il sera clairement dici quelques annes un standard incontournable et donc un facteur cl de succs pour celui qui en disposera.
Groupe Eyrolles
Chapitre 16
SA 8000
HISTORIQUE
La norme SA 8000 est ne aux tats-Unis la n de lanne 1997. Cest le Social Accountability International (SAI) qui est linitiative de son dveloppement auprs des entreprises. La volont du SAI est de certier les entreprises (SA 8000) et de pouvoir accrditer les organismes de certication qui sont habilits auditer les entreprises en rapport aux exigences de la norme SA 8000. Deux orientations sont prises par le SAI, la norme SA 8000 restant le vecteur central de ces deux orientations : grer les certications SA 8000 et accrditer les organismes de certication habilits conduire des campagnes daudits auprs des entreprises. Une estimation en 2008 a t faite concernant le nombre dindustries utilisatrices de la norme SA 8000 dans le monde : elles sont plus de mille deux cents lutiliser.
DFINITION
Les organisations, grce au SAI, sont devenues des organisations responsables au niveau social : en rassemblant des parties prenantes pour mettre au point des normes tablies sur un consensus ;
Groupe Eyrolles
en accrditant des organismes qualis pour vrier leur mise en uvre ; en promouvant la comprhension et en encourageant la mise en place de telles normes au niveau mondial.
94
Les normes
Conseil de surveillance
SAI sest dot dun conseil de surveillance (advisory board) compos dexperts issus des syndicats de travailleurs, du monde des affaires et des Organisations non gouvernementales (ONG). Ces experts couvrent une large palette de domaines : droits de lhomme, travail des enfants, droit du travail, socits dinvestissement socialement responsables, mais aussi techniques daudit et management de vastes chanes dapprovisionnement.
Devenir membre
Pour devenir membre du SAI, il faut reconnatre la validit de la norme SA 8000, dclarer publiquement sa volont de lappliquer puis de la mettre en uvre, et se faire certier Il faut aussi sengager rendre public un rapport annuel. Les membres du SAI sont de deux types : les entreprises de vente au dtail et les fabricants ou fournisseurs.
APPLICATION
RETENIR
La structure gnrale de la norme SA 8000 sinspire des normes ISO 9000 et ISO 14000 relatives au management de la qualit et au management environnemental.
Groupe Eyrolles
SA 8000
95
avec le travail (Code du travail) et le droit des personnes. Lentreprise qui dcide de suivre la norme doit sassurer galement que ses partenaires respectent au mieux la norme SA 8000 ; il sagit presque dun code de dontologie o dthique de lentreprise. Lentreprise se doit dtre vigilante auprs des diffrents partenaires ; elle est en mesure de demander des preuves sur lauthenticit de la mise en place et du respect de la norme SA 8000 (chez les partenaires). Les principes cls de la norme sont : la sant et la scurit ; le respect des droits du personnel constituer des syndicats ; la main-duvre force ; linterdiction de discrimination ; la rmunration ; lusage des pratiques disciplinaires ; la dure du temps de travail ; le travail des enfants ; la mise en place dun service de management qui respecte les points numrs ci-dessus, ainsi que la surveillance de la dlit des fournisseurs de services suivre ces principes.
Le systme de management
Dans la partie relative au systme de management de la SA 8000, on trouve des exigences classiques dans les normes ISO 9000 et 14000 : politique ; revue de management ; reprsentants de lentreprise ; planication et mise en uvre ; contrle des fournisseurs ;
Groupe Eyrolles
rponse aux interrogations et prise de mesures correctives ; communication externe ; accs pour vrication ; dossiers.
96
Les normes
Rvision de la norme
SAI met la norme SA 8000 en accs libre sur son site Web et sollicite des remarques et suggestions en vue dune ventuelle rvision.
La certication SA 8000
SAI entend contrler toute la chane de certication et, cet effet, veut accrditer les auditeurs et les organismes certicateurs. SAI a prpar un guide lusage des auditeurs et des organismes voulant obtenir la certication pour aider les entreprises mettre en uvre la norme permettant dutiliser des mthodes de vrication sur la conformit. Ce guide sappelle Guidance Document . Lentreprise qui veut se faire certier en SA 8000 passera par les quatre phases classiques : Prparation. Dans cette phase, lentreprise se procure la norme, nomme un responsable de la mise niveau et effectue une valuation initiale de la situation an didentier les carts par rapport la norme. Mise niveau. Lentreprise comble les carts, tablit les procdures ncessaires et prpare les enregistrements. Audit de certication initial. Aprs un ventuel audit blanc, un organisme certicateur accrdit effectue laudit initial et dlivre un certicat valable pour une dure de trois ans. Audits de suivi. intervalles dnis, gnralement six mois ou un an, lorganisme certicateur effectue des audits de suivi, an de valider ou non le maintien du certicat.
Groupe Eyrolles
SA 8000
97
DANGER
Laudit selon la SA 8000 prsente quelques difcults majeures, qui sont en fait repres dans les critres daccrditation.
Dire dexpert
Il y a plusieurs types daudits de certication initiaux. Aprs un ventuel audit blanc, un organisme certicateur accrdit ralise laudit initial et dlivre un certicat valable, en gnral, trois ans. Seuls les organismes certicateurs accrdits seront habilits effectuer les audits tierce partie et dlivrer les certicats. Ce processus daccrditation inclut un audit de la politique, des procdures et de la documentation de lorganisme et des audits de surveillance. Il est certain que cette norme rejoindra la nouvelle norme ISO 26000 de responsabilit sociale des entreprises.
Groupe Eyrolles
Chapitre 17
SOX
HISTORIQUE
Aux tats-Unis dans les annes 2000, les lois concernant la comptabilit et le suivi nancier des entreprises avaient connu de grandes irrgularits dans leurs rsultats ; le systme devait tre revu et contrl de manire optimale. La loi Sarbanes-Oxley a ainsi t promulgue an de stopper lhmorragie nancire et comptable de certaines grandes entreprises amricaines. RETENIR
Cest en 2002 que la loi Sarbanes-Oxley (ou SOX) est apparue suite aux nombreux scandales nanciers des tats-Unis (lentreprise Enron par exemple). La loi oblige lensemble des entreprises cotes en Bourse aux tatsUnis diffuser auprs de la Commission amricaine toutes les oprations de Bourse concernant les comptes certis et signs par les dirigeants des entreprises. Il sagit bien dune prise de responsabilit de la part du dirigeant ; il est le seul responsable devant la loi en cas de litiges. Il faut savoir que prs de 1 350 groupes europens sont sujets cette obligation (existence dintrts aux tats-Unis pour ces grands groupes europens). Les comptes publis et diffuss permettent la loi de connatre pnalement les responsables. Pour que la loi Sarbanes-Oxley soit correctement suivie, des auditeurs sont nomms auprs des entreprises ; leur statut dindpendants leur permet de rester neutres et dtre incorruptibles face aux nombreuses malversations nancires de la part de certains dirigeants dentreprise.
Groupe Eyrolles
DFINITION
Depuis n juillet 2002 de nouvelles obligations sont apparues pour les entreprises. Au plus haut niveau de lentreprise, une organisation de contrle et de responsabilit est mise en place par le conseil dadministration
100
Les normes
et par la direction gnrale. Une implication personnelle est demande ; le prsident ou le directeur gnral ainsi que le directeur nancier ont le devoir de valider et de signer les comptes de lentreprise pour prserver un ct impartial et incorruptible (dans la rdaction des rapports, des audits). Le conseil dadministration nomme un administrateur qui est indpendant du comit daudit ; il a pour mission de raliser les rapports daudit quand cela est ncessaire, et de participer au jugement des personnes physiques dans les affaires de corruption. En cas de fraudes, dinformations mensongres cest la suppression du parachute dor pour certains dirigeants, laquelle sajoute celle dautres avantages comme la prime lintressement, limpossibilit de faire des emprunts auprs de lentreprise, lannulation de mandat social
APPLICATION
La loi Sarbanes-Oxley, pour tre efcace, va devoir sappuyer sur des contrles internes au sein de lentreprise. En termes dorganisation, la norme SAS 70 permettra dapporter son exprience sur le sujet, grce une traabilit des activits lies au contrle interne ; elle apportera plus de transparence sur les activits de contrle interne, les processus nanciers de lentreprise. Proche de la norme SAS 70, il existe une dmarche dite COSO (Committee Of Sponsoring Organizations of the treadway commission) qui, elle aussi, a pour vocation de contrler les processus internes lis directement ou indirectement au cot de lentreprise.
Dire dexpert
La loi Sarbanes-Oxley concerne de plus en plus dentreprises. Le primtre est trs large, condition dtre prsent sur les marchs boursiers amricains. Cela amne une interrogation : le monde de la nance tant complexe et les enjeux trs importants, une telle loi devrait peut-tre ouvrir des portes auprs des autres places boursires mondiales (Londres, Paris, Tokyo, Shanghai) avec une instance de contrle mondiale. Les grands groupes cots en Bourse aux tats-Unis sans tre amricains sont obligs dtre en rgle avec la loi Sarbanes-Oxley, et donc de suivre les recommandations, de mettre en place ou de renforcer une structure de contrle interne des cots nanciers de lentreprise et de leurs liales, mme si elles ne sont pas physiquement bases aux tats-Unis.
Groupe Eyrolles
Les rfrentiels
102
Les rfrentiels
DFINITION
Inventaire dactivits ou de comptences ncessaires lexercice de ces activits.
Les rfrentiels
103
Un rfrentiel de certication comporte : les mthodes de mesure, danalyse, de test ou dvaluation ; les engagements pris par les prestataires ; la nature et le mode de prsentation des informations considres comme essentielles ; les caractristiques retenues pour dcrire les produits ou les services ; les modalits des contrles auxquels procde lorganisme certicateur ; les rles et les responsabilits attribus aux personnes en charge du rfrentiel ; un ensemble de processus, organiss en structure, en stratgie et en gestion des hommes.
Gestion de ladministration dinformation daffaires Certication de la scurit du systme dinformation professionnel Mthode dvaluation et damlioration de la maturit des processus TI Dmarche de gouvernance pour les systmes dinformation Gestion de projet Agile sur les relations entre le mtier et le dveloppement Fondation europenne de la gestion de la qualit, prix EFQM Qualit de service en matire doutsourcing (entre client et infogrant) Relation entre client et fournisseurs concepts et terminologie, orientation MOA Ensemble de bonnes pratiques permettant doptimiser la qualit de services des DSI Une orientation satisfaction des services business (vision cycle de vie des services)
1 2 3 4 5 6 7 8 9 10 /
ITIL V2 ITIL V3
104
Les rfrentiels
Rfrentiel
Dnition
Chapitre
Version ITIL adapte lenvironnement Microsoft Management de la scurit lie la sant et la scurit au travail Passeport de comptences informatiques europen Les bonnes pratiques en matire de management de projet Gestion de projet fond autour des processus Pratiques importantes des projets de dveloppement ou de maintenance logiciel Systme de management de la qualit appliqu la conception doutils informatiques Management total de la qualit Reprsentation de larchitecture systme dune entreprise sous deux dimensions
11 12 13 14 15 16 17 18 19
Groupe Eyrolles
Chapitre 1
ASL
HISTORIQUE
ASL (Application Information System) a t dvelopp la n des annes 1990 an dassurer la gestion, le management, la maintenance et le support des applications. ASL 2 est sorti en Hollande le 19 mai 2009, sa traduction en langue anglaise est prvue lautomne 2009. Aucune traduction franaise nest prvue dans limmdiat.
DFINITION
RETENIR
Le but de la bibliothque de services dapplication (ASL) est le dveloppement professionnel dadministration dapplication, en offrant un cadre dans lequel ces processus sont complmentaires les uns par rapport aux autres. Le cadre sert aussi pour catgoriser au mieux les pratiques qui ont t dveloppes. En plus du cadre, ASL contient un glossaire uniforme. En utilisant la terminologie contenue dans ce glossaire, les parties concernes par la gestion dapplications sont dans une meilleure position pour communiquer lune avec lautre.
Beaucoup dorganisations deviennent de plus en plus dpendantes de leur systme informatique pour ce qui est des processus primaires. Par consquent, le rle dadministration dinformation daffaires devient plus important ; il traduit des demandes dutilisateurs dans les spcications fonctionnelles (recommandations). Ladministration dinformation dtermine lavenir des systmes informatiques pertinents. Elle garantit quil y a un alignement optimal entre les systmes informatiques et les processus daffaires, tant maintenant que dans lavenir. Ce champ dopration est celui que nous pouvons le mieux dsigner sous le terme renseignements provisioning .
Groupe Eyrolles
106
Les rfrentiels
Dans une telle situation, un client devra indiquer que les demandes de sa propre organisation sont des informations qui font partie de ladministration ; elles garantissent lobtention des services externes. Il sagit de la responsabilit nale de la fonction dadministration dinformation daffaires. Pour fournir le soutien aux organisations dans lamlioration de leur administration dinformation daffaires, un modle de processus de domaine public est disponible : il sagit de la bibliothque de services dinformation daffaires (BiSL). La BiSL dcrit les processus primaires, cest une fonction dadministration dinformation daffaires au niveau de la stratgie, du management et des oprations. Concernant lamlioration des processus, il est recommand dutiliser le rfrentiel ITIL ; il assure lentretien des processus dadministration, surtout appliqus dans le champ dinfrastructure technique. La bibliothque de services dapplication (ASL) est de plus en plus utilise pour amliorer ladministration dapplication.
APPLICATION
Processus Objectif
Dveloppement dune perspective future de la structure du service TI, et traduction de cette perspective dans les politiques vises linnovation de la structure du service TI. Dveloppement dune stratgie long terme pour les applications diffrentes. Contrle collectif de processus excutoires pour les services et les applications. Processus nourris par le niveau dcision/ contrle et oprationnel. Vision du futur trs prsente. Optimisation de lutilisation dapplications existantes au sein des processus oprationnels. Emploi des ressources minimales et limitation de la refonte des processus oprationnels. Administration de changement : mcanisme pour linventaire et la gestion des priorits. Distribution : contrle et distribution dapplication. Modication des applications en prenant en compte les nouvelles exigences des changements survenant dans ou lextrieur de lorganisation. Changements importants prsents aux modles de donnes, au logiciel et la documentation.
Groupe Eyrolles
ASL
107
Services
Applications
Systme de dcision
Systme de contrle
Processus de management
Systme oprationnel
Maintenance
Amlioration et rnovation
Processus de communication
Groupe Eyrolles
Chapitre 2
CISSP
HISTORIQUE
CISSP (Certied Information System Security Professional) a t dvelopp par lInternational Information Systems Security Certication Consortium (ISC2). Cest une certication reconnue dans le monde, par lensemble des experts en scurit. Le but de CISSP est de contrler, dvaluer et de reconnatre lensemble des comptences des diffrents experts, en assurant la continuit de leur formation. La certication CISSP a t cre en 1995. Son dveloppement sest accru de faon sensible depuis cinq ans pour atteindre plus de 35 000 CISSP dans 104 pays ce jour. Depuis janvier 2005, lexamen du CISSP est en franais. CISSP au niveau international demande une comprhension des concepts la fois franais et amricain, et ainsi dtablir une correspondance entre les diffrentes langues.
DFINITION
RETENIR
LISC dnit une aptitude gnrale dans la connaissance en scurit. Tout le savoir-faire reprsente une base de connaissances la disposition des experts pour leurs activits de tous les jours. Lintrt de la certication CISSP est de mesurer son niveau de comptence tant au niveau des analyses des risques que des connaissances techniques.
Groupe Eyrolles
2
Le programme de la certication ISC2 dtermine dix domaines : contrle daccs ; scurit applicative ;
110
Les rfrentiels
continuit des oprations et plan de reprise en cas de sinistre ; scurit des dveloppements dapplications et des systmes de cryptographie ; scurit de linformation et gestion du risque ; loi, investigations et thique ; scurit des oprations ; scurit physique ; modle de scurit informatique ; scurit des tlcommunications et des rseaux.
APPLICATION
tre CISSP nest pas une chose simple, il faut remplir certaines conditions : prouver que lon a quatre ans dexprience de la scurit ; correspondre un code thique et rpondre un ensemble de questions relatives son parcours personnel ; passer un QCM de 250 questions ; faire valider les informations fournies par un tiers. Comme pour tout rfrentiel, un audit de temps autre peut tre effectu an de vrier les connaissances. Une fois la certication acquise, il faut maintenir leffort et obtenir un nombre de points dnis par priode de trois ans, dans le but de garder un haut niveau de comptences.
Groupe Eyrolles
Chapitre 3
CMM et CMMI
HISTORIQUE
La conception de CMM (Capability Maturity Model) a t ralise par Watts Humphrey, ingnieur du DoD (Department of Defense) amricain an dtre en mesure de donner des informations concrtes aux problmes de la qualit suite des pannes de logiciels. Ds 1986, le DoD nana le Software Engineering Institute (SEI) an de dvelopper un modle de maturation des entreprises au regard de la qualit logiciel. Luniversit Carnegie Mellon, situe aux tats-Unis, a t choisie pour lhberger. Voici les grandes dates de lhistoire du CMM : 1987, cadre de rfrence ; 1988, le SEI publie la mthode SCE (Software Capability Evaluation) ; 1990, le SEI publie la mthode SPA (Software Process Assessment) ; 1991, publication de la version 1.0 du SW-CMM (Capability Maturity Model for Software), totalement arrte en 2005 ; 1993, CMM version 1.1 plus connu sous labrviation SEI-CMM ; 1994, mthode CBA IPI ; 1998, CMM version 2.0 draft C arrt ; 2001, lancement de CMMI version 1.0 (Capability Maturity Model Integrated), vision largie au systme dinformation ;
Groupe Eyrolles
2002, CMMI version 1.1 accompagn des mthodes dvaluation SCAMPI (Standard CMMI Appraisal Method for Process Improvement) ; 2006, parution de la version 1.2 du CMMI.
112
Les rfrentiels
CMMI est lhritier de SW-CMM (daprs Richard Basque, CMMI, Dunod, 2004). CMMI est parent dISO 9001:2000 et est quivalent ISO/IEC 15504 (SPICE). Il comporte le cycle de vie dni par la norme ISO/IEC 12207:2008. Mis au point par le Project Management Institute (PMI), est contrairement CMMI une mthode de conduite de projet. Les deux guides pourraient converger utilement. Mis au point par le SEI, concerne la gestion des achats. Il sera vraisemblablement intgr dans la version 2.0 de CMMI. quivaut lensemble form par CMMI et SA-CMM. Conu par le SEI, sert valuer la maturit dune entreprise en regard de CMMI. Le CMM a donn naissance au CMMI qui concerne les aspects systmes des dveloppements. Sapplique la gestion du personnel et est en voie de dveloppement.
DFINITION
RETENIR
Cest un modle dvaluation et damlioration de la maturit des process logiciels et technologiques fond sur lexprience, prenant en compte la dynamique volutive. Il sagit dune rfrence par rapport laquelle va tre mesur lcart de maturit.
lvaluation par rapport une rfrence en vue de comparaison ; lvaluation dun cart en vue de la dnition dactions damlioration vers des objectifs.
Groupe Eyrolles
CMM et CMMI
113
Il est structur en processus cls qui dnissent des activits mettre en uvre ainsi que des dispositions prendre.
Indiquent Capacit du processus Atteignent Buts Sadressent Excution institutionnalisation Dcrivent Activits infrastructure Niveaux de maturit Contiennent Secteurs cls du processus Organiss par Caractristiques communes Contiennent Pratiques cls
APPLICATION
Le modle CMM est fond sur une chelle progressive de cinq niveaux de maturit (initial, reproductible, dni, gr, optimis). Le niveau de maturit dune organisation est dtermin par lexamen de ses pratiques et procdures de gestion.
5 Optimis 4 Gr 3 Dfini 2 Reproductible
Groupe Eyrolles
1 Initial
Source : schma selon le SEI.
114
Les rfrentiels
Niveau 1 : Initial
Les procdures, les fonctions, les modes opratoires, les processus sont mal dnis.
Entre
Initial
Sortie
Ce qui caractrise ce niveau : une production avec une qualit alatoire ; une population de pionniers, de hros ; une succession de crises non prvues ; pas denseignement tir des difcults ou des erreurs ; un va-et-vient du savoir-faire.
Niveau 2 : Reproductible
ce niveau, les processus sont crits globalement ; il y a une utilisation de rfrentiels et de standards.
Entre
Sortie
Reproductible
Ce qui caractrise ce niveau : lexistence dune discipline dans lorganisation de la production, bien que des variations subsistent encore dune entit lautre ; lexistence de plans, de prvisions avec des estimations plus ables et des actions correctives ;
Groupe Eyrolles
CMM et CMMI
115
pas de compromis sur la qualit, et une vie au quotidien beaucoup plus facile.
Niveau 3 : Dni
Les processus sont dnis et documents, il y a existence de modes opratoires.
Entre
Sortie
Dfini
Ce qui caractrise ce niveau : une capacit quivalente entre les diffrentes entits qui constituent la production informatique ; des risques dcroissants car il y a une cohrence et une communication entre les diffrentes entits ; une capitalisation systmatique (enseignements tirs), une rutilisation du savoir-faire, une prvention.
Niveau 4 : Gr
Les processus sont dnis, ils sont galement bien documents, quantis et mesurs. Les actions sont aussi clairement dnies, ainsi que les rles et les responsabilits de chacun.
Entre
Groupe Eyrolles
Sortie
Gr
116
Les rfrentiels
Ce qui caractrise ce niveau : des mtriques/indicateurs mis en place et exploits ; des retours dexprience possibles car les processus sont cohrents (les comparaisons ont un sens) ; un programme qualit ; une valuation des impacts lis aux volutions des processus.
Niveau 5 : Optimis
Les processus sont matriss, leurs interfaces sont identies, les donnes de lentreprise sont utilises pour lamlioration continue de lensemble des services. La documentation est claire, et lexprience est capitalise.
Entre
Sortie
Optimis
Ce qui caractrise ce niveau : lamlioration continue des processus ; la gestion des changements ; la performance individuelle et collective suivie.
Groupe Eyrolles
CMM et CMMI
117
Dire dexpert Lorsque lon souhaite mettre en uvre un projet CMMI, par quoi devons-nous commencer ?
Comme pour tout projet de mise en uvre dun rfrentiel, il ny a pas spciquement de bon moment pour commencer. Il est toutefois de meilleur augure de dbuter un tel projet avant une crise. Si lentreprise attend la crise pour mettre en uvre un projet CMMI, les risques peuvent se trouver accrus et le danger de commettre des erreurs dans la mise en place du projet est plus grand. Le mieux pour lentreprise qui veut tre efcace et/ou efciente est de commencer le plus tt possible, lorsque tous les acteurs seront prts suivre, grer, prendre le temps ncessaire la russite du futur projet.
Parmi les rfrentiels existants, deux prdominent, CMMI et ITIL ; les deux sont-ils complmentaires ou antinomiques ? Ils sont assez complmentaires. Avec CMMI, ce sont les tudes qui sont essentiellement impactes, tandis que, dans le cas de ITIL, le service impliqu est la production. Nonobstant, avec les nouvelles versions de CMMI, la production est impacte, et avec la version 3 de ITIL, nous nous trouvons au centre mme de toute la stratgie de lentreprise. CMMI doit rester au cur des applications en ce qui concerne la qualit dintgration logicielle. Des liens avec ISO 20000 sont-ils envisageables ? La mise en place de CMMI est de suivre un ensemble de recommandations an dlaborer un modle de maturit sur cinq niveaux. Cette chelle est applicable une bonne qualit rfrentielle. De son ct, ISO 20000 est aussi oriente vers une analyse de maturit de lentreprise, mais ici, au contraire de CMMI, cest lorganisation de lentreprise qui est en cause.
Source : Armand Gauthier Consultant Q-Labs, Journal du Net du 18 septembre 2006.
Groupe Eyrolles
Chapitre 4
COBIT
HISTORIQUE
Le rfrentiel COBIT (Control Objectives for Information and related Technology) dnit les contrles, les pratiques et les processus informatiques formels devant tre mis en place, ainsi que les rsultats minimaux quils sont censs gnrer. Il a t dvelopp en 1996 par lISACA (Information Systems Audit and Control Association), relay en France par lAFAI (Association franaise de laudit et du conseil informatiques).
DFINITION
Le rfrentiel COBIT est reprsent dans un cube, cela permet de lutiliser suivant plusieurs perspectives : qualitatif : qui comprend des aspects de cots et de dlais ; duciaire : qui comprend les aspects duciaires, lefcacit et lefcience des oprations, le respect des lois et rglements, ainsi que la abilit de linformation ; scurit : qui comporte lui-mme trois composantes, la condentialit, lintgrit et la disponibilit.
APPLICATION
Ces trois perspectives sont dclines selon sept critres :
Groupe Eyrolles
efcacit : faire correspondre au but souhait les moyens mis en uvre ; efcience : le surplus de qualit amen par lefcacit ; condentialit : les informations ne sont pas divulgues ;
120
Les rfrentiels
Critres dinformation
Qualit
Fiduciaire
Scurit
Processus IT
Processus
Activits
Personnel
Applications
intgrit : tre certain que les donnes personnelles soient respectes ; disponibilit : retrouver parfaitement linformation change ; conformit : ressemble parfaitement au projet dni ; abilit de linformation : sur quoi lon peut compter sans se tromper.
Les ressources
Elles sont au nombre de cinq : les donnes structures et non structures ; les moyens technologiques ; les installations ; les personnes (formation, comptence, capacit).
Groupe Eyrolles
Technologies
Ressources IT
Installations
Domaines
Donnes
COBIT
121
Les processus
Des activits formant un ensemble de processus lis des objectifs de contrle mobilisent les ressources. Les processus sont regroups en quatre domaines. Planication et organisation Ce domaine couvre la stratgie et les tactiques qui concernent la direction gnrale et la direction du systme dinformation (DSI). Ils doivent ofcialiser lidentication des moyens permettant linformatique de contribuer le plus efcacement possible la ralisation des objectifs commerciaux de lentreprise et renforcer sa position sur le march. Acquisition et installation Ce domaine concerne la ralisation de la stratgie informatique. La DSI pilote la mission au sein de lentreprise ; il y a identication, acquisition, dveloppement et installation des solutions informatiques, et intgration de celles-ci dans les processus commerciaux. Livraison et support Ce domaine concerne la livraison des prestations informatiques exiges. La direction de linformation pilote, la DRH et les services scurit participent (formation). Surveillance Ce domaine permet au management dvaluer la qualit et la conformit des processus informatiques aux exigences de contrle, ce qui fait appel aux quipes daudits pour des campagnes daudits organisationnels, techniques et qualit. LES NOUVEAUTS
Commercialisation du COBIT V4.1 le 25 mars 2008. Il est accompagn dun cdrom contenant une version numrique en couleur. La prsentation de la version franaise est strictement identique la version originale.
Groupe Eyrolles
Cette nouvelle version donne de meilleures dnitions des principaux concepts. Exemple : lobjectif de contrle volue vers une pratique de management. Plusieurs objectifs de contrle ont t regroups dans le but dune meilleure cohrence de lensemble.
122
Les rfrentiels
Groupe Eyrolles
Chapitre 5
DSDM
HISTORIQUE
DSDM (Dynamic Systems Development Method) est un rfrentiel de gestion de projet de la catgorie des mthodes agiles. DSDM a t dvelopp en Grande-Bretagne ds 1994. Depuis 1996, ce rfrentiel est diffus dans le monde.
DFINITION
Les neuf principes fondamentaux de DSDM : Une forte implication de lensemble des clients internes (utilisateurs). Une relle autonomie de la part des quipes DSDM pour des prises de dcisions, des choix raliser. Le produit, le bien, le service, est exploitable et utilisable le plus souvent possible. La conformit aux attentes des directions mtiers est primordiale. Une volution par thme permettra de trouver la solution. Les changements, les volutions durant llaboration sont rversibles. Les rapports permettent de faire ressortir les besoins initiaux. Le cycle de vie est jalonn de tests.
Groupe Eyrolles
124
Les rfrentiels
APPLICATION
tude de faisabilit
tude de business
Mise en uvre
tude de faisabilit
Lobjectif de cette tape est de dcider sil est propice dexcuter le projet en question. On estime les cots, la valeur ajoute souhaite. Dans cette tape, on fournit un rapport de faisabilit et un plan global de dveloppement . On dploie de temps autre un prototype dont lobjectif est dtablir la faisabilit technique.
tude business
Cette partie sert lexposition des spcications. On dcrit les fonctionnalits que lapplication permet en les priorisant dans un livrable dnomm Dnition du domaine industriel , mais galement quels types de personnes sont intresss par lapplication, de manire les impliquer. On analyse aussi larchitecture du systme dans un document nomm Dnition de larchitecture systme . Puis, en tenant compte du plan global de dveloppement, est ralis un Plan global de prototypage .
Groupe Eyrolles
DSDM
125
RETENIR
DSDM est une mthode agile dont lutilisation se fonde sur les relations entre le mtier et le dveloppement.
Diffrents types de rles sont dnis par DSDM : le visionnaire dveloppe la vision ; le sponsor est la personne qui veut et achte le produit ; lambassadeur se trouve face aux utilisateurs et les reprsente ; le conseiller dlivre de lexpertise mtier et rpond aux demandes de lambassadeur. La toute dernire version de DSDM, la V4, apporte un cadre plus centr sur les besoins de lentreprise. Cette version nest actuellement pas disponible en franais, mais lancienne version, la V3, existe en langue franaise et peut tre tlcharge.
une productivit thorique qui devient 2,5 fois suprieure un dveloppement traditionnel en cascade ; des dveloppements inutiles que lon supprime, et le respect des livraisons dans les dlais et cots plus objectifs ;
126
Les rfrentiels
la livraison des fonctions mtier qui apporte de la valeur ajoute de faon rapide travers le temps ; une mthode qui a fait ses preuves en Grande-Bretagne ; la conduite de projet type rupture par rapport aux autres approches traditionnelles, avec pour objectifs de gagner en productivit et daugmenter la satisfaction des clients naux. Il sagit dun rfrentiel qui est en continuelle volution. Le champ dapplication du rfrentiel DSDM ne se limite pas au monde TI. Il a pour objectif dapporter des solutions viables aux diffrentes problmatiques que peuvent vivre les entreprises, et cela dans un dlai le plus court possible. DSDM concerne un nouveau concept, le systme dentreprise , qui englobe les personnes, les processus, les structures et la technologie. Les principaux domaines dans lesquels le rfrentiel DSDM a dmontr son efcacit sont : le prototypage du processus de lentreprise ; la gestion des changements au sein de lentreprise ; la nouvelle culture dentreprise.
Lapproche qualit
Le rfrentiel DSDM rpond aux critres de qualit de services quattend lutilisateur. Il est en conformit avec les objectifs de lentreprise. Dans certains environnements, les activits lies la qualit sont perues comme tant trs onreuses (parfois mme comme un mal ncessaire), car elles accroissent les tches administratives et engendrent des frais supplmentaires. Dans un projet DSDM, lensemble des activits doit concourir llaboration dun livrable qui est le produit nal ; cest pourquoi la conception de produits intermdiaires, qui augmente considrablement le nombre dinspections ncessaires, nest pas recommande.
Limiter les contrles intermdiaires, faire un effort sur les spcications, avoir un processus de dveloppement adaptable et modulable.
Chapitre 6
EFQM
HISTORIQUE
LEuropean Foundation for Quality Management (EFQM) a t cre en 1988 par 14 multinationales avec laide de la Commission europenne.
DFINITION
RETENIR
Le but que se donne lEFQM est de promouvoir un rel cadre mthodologique dans lamlioration des processus qualit.
facteurs
Management des comptences (RH) Vision stratgique Objectifs & Leadership Management des savoirs (KM) Investissements, ressources, partenariat
Groupe Eyrolles
produits
Impact sur le personnel Projets & Processus Impact sur les clients Impact sur lenvironnement Performance mesure
valuation permanente
Source : EFQM.
128
Les rfrentiels
Les huit principes de base : Orientation et rsultats. Orientation clients. Leadership. Management par les processus. Dveloppement et implication du personnel. Apprentissage, amlioration et innovation. Dveloppement des partenaires. Responsabilit sociale et socitale. Ils sont compatibles avec les processus du management de la qualit ISO 9001:2000.
Groupe Eyrolles
EFQM
129
APPLICATION
La carte des principes et leurs critres de cotation
Principe Exigences
Orientation et rsultats
tablir la politique, la stratgie, les objectifs et les cibles. Collecter et analyser les rsultats de manire quilibre. Dvelopper les activits de veille.
Orientation clients
couter, comprendre et intgrer les besoins et les attentes des clients. Dvelopper la dlisation et la conqute des clients partir de leurs attentes. Comprendre, mesurer et amliorer la satisfaction. Anticiper les besoins futurs. Identier et comprendre les besoins de toutes les parties intresses.
Leadership
tablir une direction et des nalits claires pour lorganisation. Dnir des valeurs, une thique et une culture lies aux nalits. Favoriser limplication et la reconnaissance. Anticiper et soutenir les changements.
Concevoir les produits et services comme les rsultats de processus transverses. Dcliner la stratgie et les objectifs travers le systme de processus. Amliorer les processus en fonction des besoins des parties prenantes. Anticiper les risques lis aux processus.
Dvelopper les comptences et le potentiel des individus et des quipes. Dvelopper la participation du personnel aux activits damlioration. Impliquer et reconnatre les individus. Soutenir les personnes dans la mise en uvre des changements.
130
Les rfrentiels
Principe
Exigences
Chercher amliorer de manire systmatique et dans tous les domaines. Identier, hirarchiser et piloter les actions. Soutenir les dispositifs dapprentissage et de partage des bonnes pratiques. Favoriser linnovation et les comparaisons de pratiques, en interne et en externe.
Dvelopper un rseau de partenaires. Construire des relations durables et fondes sur des bnces mutuels. Partager la connaissance et travailler en commun. Piloter les partenariats par la valeur et raliser les ajustements ncessaires.
Dvelopper lthique en interne et en externe, et la culture de responsabilit. Respecter et aller au-del de la rglementation. Promouvoir des relations de conance avec les reprsentants de la socit. Anticiper les risques lis lactivit.
Pour chacun des huit principes, une cotation est tablie : 5 : Lentreprise est excellente. 4 : Lentreprise est trs bonne. 3 : Lentreprise nest pas experte, mais elle reste bonne. 2 : Lentreprise nest pas trs performante. 1 : Lentreprise nest pas performante. 0 : Lentreprise est vraiment derrire les autres, tout est faire.
Nature de lvaluation
Groupe Eyrolles
Il sagit dune valuation versus audit en comparaison avec lISO 9001:2000 (source : Prix, Modle & dmarches EFQM, Patrick Iribarne, Stphane Verdoux, AFNOR, 2005).
EFQM
131
ISO 9001
EFQM
Identier des exigences. Les intituls commencent par : Lorganisme doit . Servir de rfrence pour mesurer un cart. Rassembler tous les standards applicables toute relation contractuelle client/fournisseur. Focaliser sur le systme de management qualit et atteindre lobjectif qualit.
Identier des hypothses de travail. Les intituls commencent par : Ceci peut impliquer . Servir de modle pour une comparaison. Rassembler les meilleures pratiques en vue damliorer les rsultats importants pour lorganisation. Focaliser sur le systme dentreprise des rsultats cls globaux.
Dire dexpert
Qui peut prtendre au prix EFQM ? Toutes les entreprises si elles le souhaitent ; il sagit dune dmarche volontaire . Tous les ans, une entreprise est sacre la premire entreprise en termes de dmarche EFQM et remporte le prix EFQM. Les entreprises sinscrivent lEFQM pour concourir au prix EFQM.
La notion de dveloppement durable nest pas encore tout fait matrise par les entreprises, lEFQM et les Nations unies travaillent en ce sens. En complment, lEFQM se rapproche du guide SD 21000 qui concerne la responsabilit socitale des entreprises (droits de lhomme, environnement).
Groupe Eyrolles
Chapitre 7
eSCM
HISTORIQUE
Laxe client-fournisseur est mis en valeur. Les entreprises soucieuses de faire reconnatre la qualit des services quelles fournissent sont de plus en plus nombreuses adopter des rfrentiels de certication. Preuve en est, les succs grandissants dITIL, de CMMI, de COBIT Tous ces modles ont une caractristique commune, celle dvaluer des activits issues de processus mtiers. LInformation Technology Services Qualication Center (ITSqc) du Carnegie Mellon a coordonn le dveloppement de leSCM-SP. La version 2 deSCM-SP a t publie en avril 2004. Pour eSCM-CL, la version 1.1 a t publie en 2006. Cration de lassociation internationale AeSCM en 2006. LES NOUVEAUTS
Fin 2007, leSCM a vu le jour en France au travers de lassociation franaise AeSCM.
DFINITION
Parmi les nombreux concepts dvelopps dans le rfrentiel eSCM, trois lments sont importants : la gestion des contrats, la gestion des fournisseurs et la gestion du sourcing.
Groupe Eyrolles
134
Les rfrentiels
En sassurant que les accords et les contrats sont aligns aux besoins dnis dans les Services Level Agrement ou SLAs. Une tierce partie est responsable de la fourniture de biens ou de services qui sont ncessaires la fourniture de services des TI. Exemples de sous-traitants : revendeurs de matriel et de logiciels, fournisseurs de rseau et de tlcoms et organisations dexternalisation, contrat et chane de sous-traitance. Une base de donnes ou un document structur sert grer les contrats de sous-traitance tout au long de leur cycle de vie. Cette base contient les attributs cls de tous les contrats avec les sous-traitants, et doit faire partie du systme de gestion des connaissances du service.
Gestion du sourcing
La notion de sourcing est lun des concepts forts dvelopps par le Carnegie Mellon au sujet du rfrentiel eSCM. Ci-dessous quelques formes de sourcing.
eSCM
135
Internalisation (insourcing)
Utilisation de ressources internes dans la conception, le dveloppement, la transition, etc., de services nouveaux, modis ou rviss. Recours un fournisseur externe pour grer les services des TI. Combinaison dinternalisation et dexternalisation. Relation dans laquelle deux organisations collaborent troitement pour atteindre des buts communs ou des avantages mutuels. Relocalisation de fonctions mtier entires, gnralement sur un site moins coteux. Services informatiques partags (applications la demande) assurs par un fournisseur de services logiciels. Va plus loin que lexternalisation des processus mtier, car elle inclut les processus de domaine et lexpertise mtier.
Externalisation (outsourcing)
Co-sourcing
Partenariat
RETENIR
LeSCM a t conu en deux volets : lun est destin au fournisseur, leSCMSP (SP pour Service Provider), lautre au client, leSCM-CL (CL pour Client).
Se situe au niveau de linformation et de la connaissance des systmes documentaires. Ds lors, lensemble des collaborateurs a un accs facile la connaissance. Se situe au niveau du management et de la motivation du personnel dlivrer les services, en tenant compte de la comprhension et du ressenti au plan des comptences dont lorganisation a besoin. /
Groupe Eyrolles
136
Les rfrentiels
Type de capacit
Dnition
Gestion de la performance
Se situe au niveau de la gestion de la performance du fournisseur, et assure au client les besoins en capacit. Se situe au niveau de la relation et des changes avec les parties prenantes (partenaires, fournisseurs) dans la dlivrance et lassurance de la qualit des services. Identie activement la gestion des droits et la disponibilit assurer le service des technologies de linfrastructure. Inclut le management des risques associ avec la scurit, la condentialit, linfrastructure technologique et la gestion de la continuit. Se situe au niveau de la gestion des processus qui sont supports par les besoins des clients et analyss par eux. Cela permet de ngocier un accord formel, dcrivant comment lorganisation supporte ces recommandations. Se situe au niveau du transfert dexigences du client et de la nature du dploiement du fournisseur. Se situe au niveau de lamlioration continue des services. Se situe au niveau du transfert des comptences entre le fournisseur et le client, ou un autre fournisseur de service. Lobjectif est dassurer une continuit de service pendant la phase de transition.
Contrats
Conception des services et des dploiements Dlivrance des services Transfert du service
LeSCM-SP est un rfrentiel de 84 capacits, structur sur trois dimensions : le cycle de vie du service ; les domaines daptitude ;
Groupe Eyrolles
le niveau daptitude. Le cycle de vie couvre quatre phases : linitialisation, la livraison, la clture, lon going.
eSCM
137
Une pratique ne peut tre associe qu : 1 phase de cycle de vie 1 domaine daptitude 1 niveau daptitude Elle se positionne dans lespace par rapport ces trois dimensions :
Livraison
Initialisation
10 domaines daptitude
Source : site bms.info
Gestion de la stratgie du sourcing Gestion de la gouvernance Gestion des relations Gestion de la valeur Gestion du changement organisationnel Gestion des hommes
Utiliser les ressources internes ou externes. Grer la stratgie, la structure et les hommes. Assurer un change constructif avec les clients. Raliser le cycle de vie de lentreprise, aligner la TI sur les services clients et mtiers. Comprendre le ux ncessaire et volutif du changement. Souvrir la valeur humaine, lthique dentreprise, se parfaire dans la responsabilit sociale des entreprises. Mettre en place une gestion centralise de lensemble de la documentation de lentreprise. /
Groupe Eyrolles
138
Les rfrentiels
Type de capacit
Objectif
Matriser lvolution technologique et utiliser ses bienfaits. Mettre en uvre une cellule apte surveiller les risques de toute nature.
Analyse des opportunits du sourcing Approche du sourcing Planication du sourcing valuation du service fourni
Analyse fonctionnelle des oprations courantes de lorganisation. Selon le type dexigence dni par le client, choisir les approches de sourcing. La faon dimplmenter, de mesurer et de planier les actions lies au sourcing. Aide pour les fournisseurs dans leur capacit crer de la valeur, des bnces dans la dlivrance des services. Ngociation des termes et des engagements de type contrat de service, SLA, etc. Transfert des ressources entre le client et le fournisseur an de mettre en place un plan de transition, didentier les difcults, de faire travailler les quipes ensemble, de faire connatre la documentation, dassurer le niveau de service requis par le client. Sassure que les exigences souhaites par le client sont respectes au regard du fournisseur.
Le cycle de vie adress par leSCM-CL tend chacune de ses capacits aux capacits de leSCM-SP. Il adresse les activits de sourcing au niveau de lorganisation cliente.
Groupe Eyrolles
LeSCM-SP et leSCM-CL ont tabli cinq niveaux daptitude qui rpondent un besoin damlioration de service : Niveau 1 : Fournir les services. Niveau 2 : Rpondre systmatiquement aux besoins.
eSCM
139
Niveau 3 : Traiter la performance organisationnelle. Niveau 4 : Amliorer proactivement la valeur. Niveau 5 : Maintenir lexcellence.
APPLICATION
La certication
La nalit du programme de certication est de fournir une manire able, objective et crdible pour mesurer le degr de conformit de tout fournisseur avec les pratiques de leSCM-SP et eSCM-CL. LITSqc assure la formation des valuateurs. La certication est valide pendant deux ans. Le certicat apporte la preuve que lorganisme est conforme aux exigences de leSCM-SP pour un niveau daptitude spcique sur des services identis. La liste de tous les organismes certis est disponible sur le site de lITSqc.
Source : fonde sur Carnegie Mellon, documentation ITSQC, The eSourcing Capability Models.
Dire dexpert
Pourquoi sintresser leSCM, quels sont les enjeux ? LeSCM est orient essentiellement vers le sourcing. An dy rpondre, les concepteurs de leSCM du Carnegie Mellon ont ralis une grille sous trois perspectives. Chacune des dimensions indique des pratiques clairement identies et bien documentes. Ce rfrentiel possde deux grands axes, lun tourn vers le fournisseur, lautre vers le client. La qualit de service, lefcacit attendue est demande tant au fournisseur de service quau client dans ses changes avec le fournisseur. LeSCM-SP nest pas en conit avec les autres rfrentiels tels que ITIL ou encore le CMMI, au contraire, leSCM est une combinaison de ITIL, de CMMI et de COBIT. LeSCM apporte galement une analyse de maturit, ct client avec leSCM-CL et ct fournisseur avec leSCM-SP, pouvant permettre lorganisation de recevoir une certication.
Groupe Eyrolles
Chapitre 8
ISPL (Euromthode)
HISTORIQUE
Euromthode est un rfrentiel qui date de 1990. Euromthode propose un rfrentiel commun harmonisant les relations de contrats entre les clients et les fournisseurs. Le projet Euromthode offre de dynamiser le march europen des systmes dinformation. Ce rfrentiel dote les acteurs dune culture commune an de favoriser lefcacit dans leurs changes techniques et commerciaux. La vise dEuromthode nest pas de remplacer les mthodes existantes de type Merise, SDMS, mais de mettre en place et de rpandre un rfrentiel dont lobjectif est la gestion des phases dadaptation dun systme dinformation (de type appel doffres, slection des fournisseurs, acceptation des plans davancement, recette, dploiement). Euromthode a de trs fortes ressemblances avec le rfrentiel ITIL. En 1995, la Commission centrale des marchs (CCM) cre une antenne franaise, dont le rle est daider la mise en uvre du rfrentiel Euromthode en France.
DFINITION
Euromthode est un ensemble de concepts. Parmi les chapitres, citons : le rfrentiel de relations entre les clients et les fournisseurs et lexpression des besoins en prenant en compte les besoins futurs au regard de lexistant. Euromthode tient compte dune analyse objective de la ralit, tant de la complexit que des facteurs de risques composant un projet.
Groupe Eyrolles
142
Les rfrentiels
RETENIR
Un lment essentiel dans la prise en compte dEuromthode est la notion de cycle de vie par des points de contrle validant et supervisant les processus raliss.
Euromthode est un cadre de rfrence et une bonne mthode dexpression des besoins. Il est utile pour les matres douvrage et est un bon produit, diffus au bon moment, avec une bonne documentation. De plus, il a reu un accueil trs positif des enseignants. Mais son existence est encore trs peu connue dans la profession, le terme Euromthode est ambigu (rfrentiel ou mthode) et le terme Euro soppose, de faon rductrice, Mondial . Les cibles et objectifs ne sont pas trs clairs et la mthode de travail est peu adapte une rapide mise en pratique, sans compter quil y a un manque cruel de guides pratiques. Enn, les dmarches de normalisation sont longues et il y a peu ou pas de promotion des travaux.
APPLICATION
Ds 2000, Euromthode change de nom pour devenir ISPL (Information Services Procurement Library) ; il sagit dun ensemble de bonnes pratiques lies aux projets. ISPL propose des guides spcialiss, issus dEuromthode. ISPL se dnit comme : un rfrentiel de bonnes pratiques ; un ensemble de phrases courtes, faciles retenir pour la gestion de projet ; un groupe dexperts qui peuvent schanger des informations, an de permettre les dveloppements ultrieurs dISPL ; un rfrentiel maintenu par une organisation pouvant former et certier.
Groupe Eyrolles
Chapitre 9
ITIL V2
HISTORIQUE
ITIL : Information Technology Infrastructure Library
Selon lOfce of Government Commerce (OGC), ITIL est une collection de livres (les spcialistes ITIL parlent de librairie) qui recense, synthtise et dtaille les meilleures pratiques dans la fourniture, la gestion et la dlivrance des services informatiques. Le projet initial est prsent en 1986 la direction du CCTA (depuis repris par lOGC) et entrane la cration dun groupe dutilisateurs (IT Infrastructure Management Forum) qui deviendra lInformation Technology Infrastructure Service & Management Forum (ITSMF). Les consultants lorigine du projet ont ensuite diffus la mthode dans les diffrents pays o ils sont passs. RETENIR
Lide initiale tait de dnir un rfrentiel pour recenser et cataloguer les meilleures pratiques en matire de gestion de production informatique.
Dix livres ont t dits sur cinq ans. Le premier livre dit en 1989 a t le Service Level Management. La deuxime version de la collection de livres ITIL a t lance en 2000 avec la fusion des dix livres prcdemment dits en deux livres.
ITSMF
Groupe Eyrolles
LITSMF est le groupe mondial des utilisateurs. LITSMF France a t cr en 2003. Une confrence annuelle regroupe les personnes intresses par ce rfrentiel et fait le point (exposs, ateliers) sur lvolution, limplantation et la pratique dITIL.
144
Les rfrentiels
Les certications
Les pratiques ITIL font lobjet de formations sanctionnes par des examens. Les certications sont valides par le Netherlands Examination Institute (EXIN), lInformation Systems Examinations Board (ISEB) et lAPMG (APM Group). Niveau de base, ITIL Foundation : concerne ceux qui sintressent ITIL. Vue gnrale et lments essentiels de la gestion des services IT. Niveau de praticien, ITIL Practitioner : pour ceux pratiquant la gestion des services IT. Prrequis : 2/3 annes dexprience en gestion du processus en question. Niveau de gestionnaire, ITIL Service Manager : concerne ceux qui implmentent les processus. Certicat de gestion des services IT. Prrequis : 2/3 annes dexprience en gestion des services TI.
Source : www.itsmf.fr (site de lassociation franaise des utilisateurs ITIL).
DFINITION
Noyau de la mthode ITIL
Les deux documents Support des services et Dlivrance des services dtaillent les processus et leurs interactions partir de cas concrets de production informatique. La mthode introduit un vocabulaire commun (incident, problme, changement, mais aussi contrat de service, continuit, disponibilit) lensemble des professions de la production informatique.
Quels objectifs ?
Une orientation client dans les limites de ce qui peut tre justi par son mtier : lutilisateur est au centre des proccupations de la direction informatique. Les besoins concrets sont dcrits dans des contrats de services. Lide force est que cest lutilisateur qui juge et qui sait ce dont il a besoin. Un cycle de vie : lensemble du cycle de vie de linfrastructure est couvert de la conception la mise en uvre et la gestion quotidienne. Exemple : lors du dploiement dune nouvelle application, il
Groupe Eyrolles
ITIL V2
145
faut prvoir la formation des oprateurs du service desk an quils puissent rpondre aux appels relatifs cette application. Une approche processus : la production informatique est vue comme un ensemble de processus visant rendre aux utilisateurs les services dnis dans les engagements de niveaux de services. Une amlioration continue : la satisfaction du client passe par une remise en cause permanente des acquis. Cest la mise en application de la boucle qualit (roue de Deming).
APPLICATION
Soutien des services (service support)
Le soutien des services se concentre sur les oprations au quotidien et sur le support aux services lis aux technologies de linformation.
Processus Objectif
Grer tous les incidents de bout en bout et permettre de restaurer le service oprationnel le plus vite possible. Prvenir et minimiser limpact sur les mtiers des incidents rcurrents dinfrastructure informatique. Utiliser des mthodes et des procdures standardises pour faire et abiliser les changements autoriss. Sassurer que tous les aspects techniques ont t analyss avant la mise en place. Avoir une image la plus complte et la plus jour possible de la conguration globale (matriels, logiciels).
Gestion des mises en production (Release Management) Gestion des congurations (Congurations Management)
Groupe Eyrolles
146
Les rfrentiels
Processus
Objectifs
Proposer un catalogue de services. Offrir un niveau de service en adquation avec les accords (SLA) ; faire voluer cycliquement ce niveau de qualit; veiller la rentabilit. Prvoir les besoins futurs en capacit et en performance dans les dlais et les cots prvus. Surveiller et mesurer tous les composants de linfrastructure actuelle.
Gestion de la disponibilit (Availability Management) Gestion de la continuit (IT Service Continuity Management) Gestion nancire (Financial Management for IT services)
Aprs dtermination des besoins, sengager sur leur respect dans le cadre des niveaux de service. Sassurer que les services TI peuvent tre remis oprationnels dans les meilleurs dlais aprs une catastrophe. Calculer et exposer le cot global effectif des services fournis et permettre la refacturation (calcul du TCO).
Clients
Centre de services
ITIL V2
147
Considrer limplmentation de ITIL comme un projet denvergure Planier limplmentation des processus sur le long terme. Estimer les moyens humains, technologiques et nanciers en consquence. Ne pas ngliger linvestissement ncessaire au risque dobtenir un retour infrieur aux attentes. Prparer son organisation ITIL Prparer lorganisation, par une information pertinente, lapport des processus, au travers dune bonne comprhension des enjeux de ITIL. Sensibiliser le management et les acteurs du projet ITIL aux concepts et enjeux. Former les acteurs concerns aux fondamentaux de ITIL an quils en acquirent le vocabulaire et les grands principes de fonctionnement. Former les propritaires et les gestionnaires de processus la pratique, au travers de sessions approfondies et orientes mise en uvre .
Groupe Eyrolles
Chapitre 10
ITIL V3
HISTORIQUE
En dcembre 2005, lOfce public britannique du commerce (OGC) a annonc la mise disposition la n de lanne 2006 dune version 3 de la librairie ITIL. 40 pays ont contribu la conception dITIL V3. La version franaise dITIL V2 est constitue de deux ouvrages, qui sont le support des services et la dlivrance des services . ITIL V3 est compos de cinq ouvrages : Service Strategy, Service Design, Service Transition, Service Operation, Continual Service Improvement. Un ouvrage dintroduction est en complment des cinq core books. Cet ouvrage, en langue anglaise, a t traduit en franais par une quipe dexperts.
150
Les rfrentiels
DFINITION
Le cycle de vie au centre de la dmarche
Livre 1 : Stratgie des Services La stratgie des services rpond aux besoins en IT exprims par les utilisateurs. Elle va analyser les diffrents besoins (leur faisabilit, leurs cots, leurs impacts stratgiques pour lentreprise). Livre 2 : Conception des Services La conception des services va prendre en considration les besoins qui auront t retenus par le livre Stratgie des Services . Ces besoins vont intgrer un Catalogue de Services . Le livre Conception des Services va mettre en uvre les tudes ncessaires an de rpondre aux cahiers des charges : quelles capacits technologiques ; quel niveau de disponibilit ; comment sera gre la relation avec les fournisseurs ; quels seront les impacts ; comment aborder la scurit.
Livre 3 : Transition des Services Lorsque les besoins ont t analyss par les tudes, ils sont proposs au livre Transition des Services . Ce dernier sera charg dtudier le changement et de rpondre la mise en production des services. Les diffrentes TI mises en uvre seront intgres dans une CMDB (gestion des congurations). Livre 4 : Exploitation des Services Ds que les services sont mis en production, le livre Exploitation des Services se chargera dassurer le bon maintien de la qualit des services rendre au client. Il assurera une bonne gestion des incidents utilisateurs, des vnements (alertes), ainsi que des problmes. Le lien entre les utilisateurs et le livre Exploitation des Services passera par la fonction Centre de Services . Livre 5 : Amlioration Continue des Services La bonne vie du service souhait pralablement par lutilisateur sera suivie tout au long de son cycle de vie par le livre Amlioration Continue
Groupe Eyrolles
ITIL V3
151
des Services . Au travers de ce service et du suivi de celui-ci, lutilisateur mettra de nouveaux souhaits an de rpondre la stratgie de lentreprise et la satisfaction de ses clients. Ces nouveaux besoins seront pris en charge par le livre Stratgie des Services .
Introduction de la notion de cycle de vie de la gestion des services, avec une focalisation sur la qualit des services TI et sur les services TI de bout en bout . Organisation oriente service de telle sorte que les efforts fournis aillent vers le client et lutilisateur, plutt que vers la technologie.
152
Les rfrentiels
Prise de conscience par les responsables de projet de limportance dITIL. Transformer de plus en plus les DSI en organisateur de mtier . Recentrage trs fort autour du mtier de lentreprise, source de prots et de diffrenciations. Lalignement sur le mtier est synonyme defcacit. LES NOUVEAUTS
Quelques processus supplmentaires noter que la version 3 nest pas une rvolution du rfrentiel ITIL mais une volution. En effet, les processus existant en V2 sont bien prsents dans cette version et sintgrent au cycle de vie des services dnis dans les cinq livres : la gestion des besoins (identier lensemble des besoins utilisateurs) ; la gestion du portefeuille (catalogue des services actuels et en prvision) ; la gestion des fournisseurs (gestion de la relation clients/fournisseurs) ; la gestion des connaissances (maximiser lutilisation des connaissances).
ISO 20000 SOX ISO 9001 v2008 ISO 27001 ISO 14001
Conc
eptio
Modle
ns
Stratgie
ratio
tin
ITIL
T s ran itio n
Am
li
Ai
de
ud
e
Qualifications
Ga
in
a sr
pi
Source : OGC.
Groupe Eyrolles
ue
Op
con
n tio ora
de
Adap
tabil
it
ITIL V3
153
APPLICATION
ITIL V3 Amlioration continue des Services (Continual Service Improvement)
Ce livre est fond sur la roue de Deming (PDCA ou Plan-Do-CheckAct : planication, ralisation et mise en uvre, contrle, nouvelles dcisions damlioration). STRATGIQUE
Un cycle en quatre phases ou roue de Deming (Planier-Raliser-VrierAgir) pour la gestion des processus attribue Edward Deming. Planier : concevoir ou rviser les processus qui soutiennent les services des technologies de linformation. Raliser : mettre en uvre le plan et grer les processus. Vrier : mesurer les processus et les services des IT, les comparer avec les objectifs et produire un reporting. Agir : planier et mettre en uvre les changements an damliorer les processus.
Le livre prsente le modle de tout processus damlioration permanente en sept tapes : Dnir ce quil faudrait mesurer. Dnir ce quil est possible de mesurer aujourdhui. Collecter les donnes de base. Traiter les donnes collectes pour crer les informations sur les indicateurs de performance. Analyser les informations cres. Restituer et diffuser les informations selon les cibles (tableaux de bord). Implanter les actions correctives. Le livre prsente des aspects de lamlioration permanente :
Groupe Eyrolles
les rapports et tableaux de bord sur les services ; le mesurage des services (prise de mesure et collecte des donnes de base) ; le retour sur investissement des amliorations ;
154
Les rfrentiels
les questions spciques dues limplication des organisations mtiers dans lamlioration permanente des services ; la gestion des niveaux de service et lamlioration permanente des services. RETENIR
Les ides cls suivantes sont un guide pour mesurer les services : valuation de la valeur ajoute des services par des mtriques ; dveloppement de points de rfrence pour les mesures ; dveloppement de la maturit des valuations ; dsignation pour favoriser un niveau de qualit.
Catalogue des services Service pipeline Services existants Services nouveaux ou en prvision
Fournisseurs Clients
Ce besoin peut tre : lamlioration dune application mtier ; lintgration dune nouvelle fonction ;
Groupe Eyrolles
Sur ce schma, nous reprsentons le cycle de vie de lamlioration des services. Le client met un besoin qui sera pris en charge par le service stratgie.
ITIL V3
155
un dfaut rencontr au sein dune application systme ou mtier ; un souhait dvolution mis par la direction de lentreprise. Quelle que soit lorigine de la demande, une expression de besoin sera remise au niveau de la Conception des Services . Cette expression de besoin prend en charge la possibilit, le cot et la faisabilit du projet. Aprs la ralisation des nouveauts, mises jour et amliorations envisage, la Transition des Services se chargera de mettre en production la ralisation du changement. Une tude concernant le changement et son implication au sein des mtiers de lentreprise doit tre apporte. Les niveaux de services correspondant la demande sont tudis et intgrs (Service Level Management SLM). Une Qualit de Service , de maintien, de support doit tre prvue (QS), gnralement source de cration de nouveaux indicateurs. Lensemble sintgrera dans une gestion de la chane logistique (SCM). LExploitation des Services se chargera dassurer les ventuels dysfonctionnements. Cette chane de valeur sera suivie au travers de lAmlioration Continue des Services (pilotage, tableau de bord, rles et responsabilits). Lintgralit des nouveaux services apports aux utilisateurs se situe au niveau du service pipeline ; ce service est galement charg des prvisions . Les services dj existants sont nomms au service catalogue . Ainsi par la coordination du service pipeline et du service catalogue , nous avons lensemble des services SI disponibles au sein des mtiers de lentreprise. Ils forment le service portfolio . Les services qui ne sont plus utiliss sont soit dans une position rutilisable , soit non utilisable , ou en sommeil . Ce principe permet davoir un catalogue de services toujours jour des informations ncessaires lentreprise.
Dire dexpert
Avec ITIL V3, nous vrions que ce qui a t mis en place en termes de services est ralis. Cela doit tre fait sur le plan oprationnel mais aussi tout au long du cycle de vie du service et au niveau de la valeur mtier. Un systme de mesure et de reporting est mis en place. La V3 prconise de matriser le cycle de vie des services, de ltude dopportunit jusqu la production.
Groupe Eyrolles
156
Les rfrentiels
ITIL permet de fournir un systme de management (comprenant les politiques dentreprise) et une structure permettant de grer et de mettre en uvre efcacement tous les services. Lorganisation et le pilotage par les processus deviennent un gisement damlioration de la performance.
DANGER
Les difcults rencontres par les entreprises selon les avis des clients : lorganisation des TI passe trop de temps sur la rsolution des incidents ; il y a beaucoup trop dincidents majeurs sur les infrastructures des TI ; les projets dvolution des infrastructures sont mal grs ; lorganisation des TI matrise mal toutes les mises en production ; les budgets informatiques ne sont pas bien matriss ; les investissements informatiques ne sont pas justis.
Chapitre 11
MOF
HISTORIQUE
MOF (Microsoft Operations Framework) est un rfrentiel conu par Microsoft. Cest un ensemble de bonnes pratiques (best practices) servant la ralisation des processus, des procdures, des modes opratoires, des rles et des responsabilits attachs chaque processus ou activit dun processus. La structure MOF vient du rfrentiel de bonnes pratiques ITIL en adjoignant les particularits de la plateforme Microsoft. La structure MOF : offre des enseignements proportionnels au style de dploiement, de planication et dvaluation de gestion des processus oprationnels informatiques en soutien aux solutions de services stratgiques ; fait rfrence des rles ; ce qui signie que plusieurs rles peuvent tre assigns une personne ; est un modle gnrique ; il est donc fondamental dajuster bon nombre des recommandations pour lutilisation dans votre organisation.
DFINITION
RETENIR
MOF est une adaptation et une extension par Microsoft de la mthode ITIL limplmentation et au support de ses produits en exploitation.
Groupe Eyrolles
MOF nest pas une mthodologie, cest un regroupement : de principes et de modles dvelopps par Microsoft ; de bonnes pratiques.
158
Les rfrentiels
MOF repose sur trois modles : le process model ; le team model ; le risk model.
RLE Gestion des contrats de service Gestion financire et budgtaire Gestion de la continuit de service Gestion de la disponibilit Gestion de la performance et des capacits Gestion des ressources OPTIMISER CHANGER RLE Gestion des changements Gestion des releases
REVUE
REVUE
REVUE
Supervision et contrle
Hot line / Help desk Gestion des incidents Gestion des problmes
SUPPORTER
EXPLOITER
REVUE
RLE
RLE
Release et conguration
Grer la relation entre les tudes techniques et fonctionnelles et la production. Grer les changements et lintgration en production des volutions.
Groupe Eyrolles
Grer la conguration. Infrastructure Dnir et planier les besoins dvolution des infrastructures. Dnir le partage des ressources. Optimiser les ressources existantes. /
MOF
159
Rle
Contenu
Support
Fournir aux utilisateurs, aux clients, un point de contact unique et de support. Sassurer que les incidents sont traits de bout en bout. Suivre les contrats et les engagements de service.
Opration
Scurit
Dnir et mettre en uvre la politique de scurit. Assurer la scurit des donnes au quotidien.
Partenaires
Dnir les contrats de service. valuer la qualit de service. Entretenir la relation avec les clients et les fournisseurs.
APPLICATION
MOF dcrit des rles et responsabilits pour chaque tape des processus, il permet de sassurer que le processus est excut tel quil est document. Par exemple, un gestionnaire dincidents assure quun incident sera rsolu dans les dlais spcis. Il faut : documenter et publier le processus ; dnir les indicateurs cls de performance ou KPI pour valuer le processus ; amliorer leffectivit et lefcacit du processus ; veiller ce que le personnel concern soit sufsamment form.
Groupe Eyrolles
Chapitre 12
OHSAS
HISTORIQUE
Le British Standards Institution (BSI organisme de normalisation britannique), en collaboration avec un ensemble de consultants et dorganismes de normalisation en environnement, est lorigine du rfrentiel.
DFINITION
RETENIR
Cest un systme de management de la scurit avec deux objectifs majeurs : mettre en place une organisation pour contrler les risques lis la sant et la scurit au travail tout en sassurant que les risques sont rduits pour les employs et les parties externes employes.
Les secteurs viss concerns sont les entreprises, les tablissements, les usines, les institutions, les associations publiques ou prives. Les activits vises sont les produits, les services de lorganisation. LES NOUVEAUTS
LOHSAS 18001 a t revu en juillet 2007 et devient la norme BS OHSAS 18001:2007. Au 1er juillet 2009, lOHSAS 18001:1999 disparat au prot de la norme BS OHSAS 18001:2007.
Groupe Eyrolles
162
Les rfrentiels
APPLICATION
Les cinq grandes phases du rfrentiel
Amlioration continue
1
Revue de direction
5 2
Contrle et actions correctives Mesure de la performance et surveillance Accidents, incidents, actions correctives prventives Audit, enregistrement et management des enregistrements
Planification Identification des dangers et contrle des risques Exigences lgales et autres exigences Objectifs et programme de management de la SST
3
Mise en uvre et fonctionnement Structure et responsabilit Formation Sensibilisation, comptences Consultation et communication, documentation Contrle des documents et des donnes Matrise oprationnelle Prvention et rponse aux prventions durgences
Revue de direction
Groupe Eyrolles
OHSAS
163
Dire dexpert
OHSAS 18002 : systmes de management de la sant et de la scurit au travail. Lignes directrices pour la mise en uvre de lOHSAS 18001 (version 2000).
Ce passage dun rfrentiel (recommandation dun ensemble de bonnes pratiques) une norme (un ensemble dexigences) signie que lOHSAS 18001 devient, avec la norme BS OHSAS 18001:2007, une vritable norme nationale britannique (British Standard pour BS) correspondant au management de la sant et de la scurit. Elle attribue les exigences permettant aux entreprises de contrler leurs risques en sant et scurit au travail (SST) et damliorer leurs performances. LOHSAS a t amliore et complte dans sa nouvelle version, cest une volution du rfrentiel, mais en rien une rvolution. Lun des objectifs tait de rendre cette nouvelle norme compatible avec les normes de la srie ISO 900X et ISO 1400X. Les principales volutions entre BS OHSAS 18001:2007 et OHSAS 18001: 1999 : la BS OHSAS 18001 devient une norme, et plus un rfrentiel ; des dnitions ont t revues et dautres (nouvelles) ont t ajoutes ; une amlioration qualitative avec la norme ISO 9001:2000 ; une amlioration signicative de la responsabilit sociale des entreprises au regard de la sant des personnes avec la norme ISO 14001: 2004 ; de nouvelles exigences ont t ajoutes pour la consultation ; la sant prend une place privilgie. Les entreprises dj certies par le rfrentiel OHSAS 18001:1999 ont une priode dune dure de deux ans pour effectuer la mise jour avec la nouvelle norme BS OHSAS 18001 :2007. La priode de transition prendra n le 1er juillet 2009. Les entreprises qui souhaitent obtenir la certication de la norme BS OHSAS 18001 peuvent tre aides par la norme OHSAS 18002:2000, consistant en lignes directrices pour la mise en uvre de la norme OHSAS 18001.
Groupe Eyrolles
Chapitre 13
PCIE
HISTORIQUE
Dans les entreprises modernes, lutilisation de la micro-informatique et des outils bureautiques de type traitement de texte, base de donnes et tableur sont choses courantes. La certication PCIE (Passeport de comptences informatique europen), mise en place en 1997 par le Conseil europen des associations de professionnels des technologies de linformation (CEPIS), permet aux salaris et aux tudiants de valider leurs acquis en comptences informatiques.
DFINITION
La certication PCIE comprend deux niveaux de validation, rpartis sur un ensemble de sept modules. Les deux niveaux de validation sont : le PCIE standard comprenant le passage de quatre modules au choix ; le PCIE complet pour lequel il faut obtenir la totalit des sept modules. Les sept modules se dnissent ainsi : les connaissances gnrales du poste de travail et de son environnement ;
Groupe Eyrolles
la gestion documentaire, tre apte retrouver une information ; la ralisation dun tableau ; lutilisation dune base de donnes ; lutilisation dun traitement de texte ;
166
Les rfrentiels
Dire dexpert
Au 31 mars 2004, 3 672 000 candidats ont pass 13,2 millions de tests PCIE dans 135 pays et en 32 langues. En France, 170 000 tests ont t effectus depuis 2002 , prcise Olivier Goulas, le responsable marketing et commercial dEuro-Aptitudes, la socit charge de dlivrer lagrment aux centres de formation franais. De manire gnrale, et paradoxale, il est difcile dtablir un bilan sur lutilisation du PCIE. Les informations sont dans chaque organisme de formation et nous navons pas encore mis en place de systme de reporting.
Source : Journal du Net du 27 fvrier 2004, Olivier Goulas de EuroAptitudes.
Groupe Eyrolles
Chapitre 14
PMP
HISTORIQUE
Project Management Professional (PMP) est un guide des bonnes pratiques en management de projets. Cette certication est rpandue dans le monde entier. Elle permet davoir une bonne gestion des hommes, des cots, des dlais et de la technologie. La profession de chef de projet avec la certication PMP reconnat le rle et la fonction du chef de projet. Cette certication est dcerne par le Project Management Institute (PMI), organisme amricain fond en 1969. Cette certication est tellement rpandue aux tats-Unis quelle est trs souvent demande lors des recrutements de chefs de projet.
DFINITION
RETENIR
La certication PMI donne la possibilit dacqurir laccrditation de Project Management Professional (PMP). Cette certication est trs respecte. Ce programme denseignement professionnel a reu laccrditation ISO 9001:2000.
Utilisation dun corpus reconnu, le PMBOK (Project Management Body of Knowledge). Aide au dveloppement des employs en fournissant un cadre solide.
168
Les rfrentiels
APPLICATION
La qualication, comme toute certication, nest pas aise. Il faut prouver ses comptences en gestion de projet et prsenter les projets sur lesquels la personne souhaitant obtenir le PMP a travaill. Un instructeur (PMI) vous indiquera si vous tes apte vous prsenter lexamen de certication et, si vous passez avec succs les diffrentes preuves de lexamen, vous devenez PMP. Il existe de nombreuses aides pour se prparer lexamen de certication : soit lintress intgre un centre de prparation dans le but de suivre le cursus amenant au PMP, soit il peut se prparer en saidant dune importante documentation et se procurer les supports de prparation lexamen de certication PMP du PMI en conformit avec le nouveau PMBOK Guide 3e dition.
Groupe Eyrolles
Chapitre 15
PRINCE2
HISTORIQUE
Simpact Systems Ltd cre en 1977 une mthode de gestion de projet baptise PROMPT. Le rfrentiel se fonde sur lvaluation continue du projet au regard du rsultat souhait. Le concept est lamlioration continue du service. Deux ans plus tard, en 1979, PROMPT est adopt par le Royaume-Uni comme norme dutilisation pour les projets TI. En 1989, PROMPT est remplac par PRINCE (PRojects IN Controlled Environments projets dans des environnements contrls). En 1996, PRINCE2 voit le jour : cette nouvelle version est plus exible et sadapte tous types de projet quelle que soit son envergure. LOGC (Organisation gouvernementale du commerce) est propritaire tant de PRINCE2 que de ITIL.
DFINITION
Le rfrentiel PRINCE2 est dni comme suit : Un projet est une couche fonctionnelle ajoute au sein dune organisation informatique. Un projet ne peut senvisager uniquement comme un projet technique, o lon demande aux acteurs dappliquer de nouveaux procds dorganisation. Un projet tient plus dun changement stratgique dune entreprise que dun projet dinfrastructure. Concevoir des processus dorganisation nest pas simplement un jeu de Lego . Le risque majeur est de raliser une immense documentation de processus stocke dans une armoire et de ne jamais russir sa mise en application, son exploitation.
Groupe Eyrolles
170
Les rfrentiels
Le niveau de dtail des tches, leur squence, ne se rduit pas une modlisation indpendante du contexte o elle sapplique.
PROCESSUS
PRINCE est divis en huit processus. Chaque processus est dsign par une abrviation : (SU) laborer un projet (EP) (IP) Initialiser un projet (IP) (DP) Diriger un projet (DP) (CS) Contrler une squence (CS) (MP) Grer la livraison des produits (LP) (SB) Grer les limites de squences (LS) (CP) Clore un projet (CP) (PL) Planier (PL)
Planifier (PL)
Source : PRINCE2.
Groupe Eyrolles
PRINCE2
171
Les huit processus sont regroups en quatre phases : Dmarrage (SU) Initialisation (IP) Excution (CS, MP, SB) Clture (CP) PRINCE2 est form de huit composants qui sont utiliss par les diffrents processus. Ces composants donnent la description remplir an quun projet soit men bien. Processus, composants et phases comportent trois aspects techniques : la planication fonde sur les produits, la technique de contrle qualit, et la technique de contrle de changements.
Certication
Il existe deux types de certication PRINCE2 : PRINCE2 Fondamental, vriant si une personne possde les connaissances spciques la gestion dun projet selon PRINCE2 ; PRINCE2 Praticien, garantissant la matrise dune gestion de projet selon PRINCE2.
APPLICATION
tape 1 : (SU) laborer un projet (EP)
Dcision GO NOGO en termes dutilit Processus dans lequel le projet est dni et o lon examine sil est utile. En pratique, cest une phase courte et rigoureuse o le responsable du projet collabore intensivement avec le commanditaire. Le projet est command ofciellement et le responsable dtermine alors la composition et lorganisation du projet. (SU1) Nommer lexcutif et le chef de projet (EP1) (SU2) Composer lquipe de gestion du projet (EP2)
Groupe Eyrolles
(SU3) Nommer lquipe de gestion du projet (EP3) (SU4) Prparer lexpos du projet (EP4) (SU5) Dnir lapproche du projet (EP5) (SU6) Planier la squence dinitialisation (EP6)
172
Les rfrentiels
Groupe Eyrolles
PRINCE2
173
174
Les rfrentiels
Groupe Eyrolles
Chapitre 16
SPICE
HISTORIQUE
Dans la ligne du modle CMM dautres sont apparus, dont le modle ISO SPICE en 1993. Le modle ISO SPICE (Software Process Improvement and Capability dEtermination) fait lobjet de la norme internationale ISO/IEC 15504 qui fournit une approche structure pour lvaluation de processus logiciel pour le compte dune organisation, dans les buts suivants : comprendre la situation de ses propres processus pour lamlioration de processus ; dterminer ladquation de ses propres processus par rapport une exigence ; dterminer ladquation des processus dune autre organisation pour un contrat.
DFINITION
Cest un modle deux dimensions et, pour valuer le niveau daptitude de chacun des processus, le modle dnit deux types dindicateurs : les indicateurs de ralisation de processus ou dimension processus. Pour chacun des processus, des pratiques de base sont identies ainsi que des produits du travail en entre et en sortie ;
Groupe Eyrolles
les indicateurs daptitude de processus ou dimension daptitude. Pour chacun des niveaux daptitude, des pratiques de management sont identies ainsi que des caractristiques de ralisation, de ressources et dinfrastructure.
176
Les rfrentiels
Le modle est constitu de six niveaux daptitude : Niveau 0, Incomplet : les pratiques de base ne sont pas mises en uvre ou le processus natteint que partiellement ses objectifs. Niveau 1, Ralis : les pratiques de base sont ralises et le processus atteint ses objectifs. Niveau 2, Gr : les activits du processus et les produits issus de ces processus sont grs. Niveau 3, tabli : les activits du processus sont effectues selon un processus standard dni au niveau de lorganisation. Niveau 4, Prvisible : le droulement du processus et ses performances sont mesurs. Niveau 5, En optimisation : le processus standard est en amlioration continue en fonction des objectifs de lorganisation. Il se dcrit en neuf documents : Introduction aux concepts fondamentaux. Modle de gestion de lingnierie des processus. Processus dvaluation du niveau daptitude. Guide de conduite de lvaluation. Modle dvaluation, guide des indicateurs, outils. Guide pour la qualication des valuateurs. Guide de mise en uvre de lamlioration des processus. Guide de dtermination des aptitudes des fournisseurs. Dictionnaire, vocabulaire et terminologie.
APPLICATION
La mise en application de SPICE est effectue lorsque lon veut faire une valuation de son niveau de maturit des processus logiciels. Deux dimensions entrent en ligne de compte : la dimension aptitude. Il faut se rfrer au guide pour lutilisation du rfrentiel ISO/SPICE en amlioration de processus, qui reprend lensemble des points dvelopps
Groupe Eyrolles
la dimension processus ;
SPICE
177
dans la norme ISO 9004-4 de 1993 concernant la gestion de lamlioration de la qualit. Une approche structure et par cycles est prsente an de conduire un programme damlioration. Les diffrentes tapes explicites dans le guide concernent : lanalyse de lexistant de la stratgie de lentreprise et lexamen de ses besoins ; linitialisation de la dmarche damlioration ; la prparation et la ralisation de lvaluation initiale des processus ; llaboration dun plan daction pour lamlioration, fond principalement sur une analyse des rsultats de lvaluation ; llaboration de la mise en uvre et le suivi du plan daction ; lanalyse puis la gnralisation des pratiques issues des actions damlioration. Lvaluation de processus fait donc partie de lune des tapes cls du cycle damlioration car elle permet dune part le diagnostic initial et, dautre part, la mesure de laccroissement daptitude, aprs la mise en uvre des actions damlioration.
Processus
Identification de ladquation
valuation
Conduit Conduit
Peut permettre
Groupe Eyrolles
Chapitre 17
TICKIT
HISTORIQUE
Cest dans les annes 1990 que le rfrentiel TICKIT a vu le jour en Grande-Bretagne. Le rfrentiel a t modi an dtre compatible avec lISO 9001:2000, pour une prise en compte des exigences de la norme ISO 9001:2000 dans le monde du logiciel.
DFINITION
Il sagit dun rfrentiel de systme de management de la qualit appliqu la conception doutils informatiques.
APPLICATION
TICKIT est compos de trois documents principaux qui sont : le guide du client ; le guide du fournisseur ; le guide de lauditeur. TICKIT permet de saligner sur les normes ISO 9001:2000 et ISO 9003: 1994. La certication TICKIT permet lentreprise de prouver que les processus en matire de systme de management appliqu la conception doutils informatiques sont matriss et que les audits logiciels sont raliss.
Groupe Eyrolles
180
Les rfrentiels
Le guide du client
Ce guide permet de suivre et dexpliquer le rle que peut jouer le client dans le processus appliqu la conception de loutil informatique, ou plus exactement dans un projet de dveloppement (logiciel), expliquer comment le client peut contribuer la qualit des livrables qui reprsentent les produits et services. Le guide est appliqu avant, durant, et aprs un projet de dveloppement.
Le guide du fournisseur
Ce guide permet de dcrire lensemble des informations de lorganisation mise en place an dassurer une qualit de service dans lutilisation des procdures TICKIT. Le guide est appliqu avant, durant, et aprs un projet de dveloppement.
Le guide de lauditeur
Ce guide permet aux auditeurs de conduire leurs audits en se fondant sur lensemble des procdures TICKIT en place. Le guide est appliqu tout au long du cycle de vie dun projet de dveloppement.
Dire dexpert1
Une nouvelle version 5.5 du guide TICKIT est en service. Celle-ci comprend un guide informatique fond sur la gestion du systme. Rfrence PD0020:2002 . Une version de TICKIT internationale est disponible.
Groupe Eyrolles
Chapitre 18
TQM
HISTORIQUE
Il existe une dnition institutionnelle du TQM selon lISO 8402/1994 qui en fait un mode de management dun organisme, centr sur la qualit, fond sur la participation de tous ses membres et visant au succs long terme par la satisfaction du client et des avantages pour tous les membres de lorganisation et pour la socit .
DFINITION
La norme ISO/DIS 9000:2000 voque le management total de la qualit (TQM Total Quality Management). RETENIR
Le management de la qualit est ainsi dni : Activits coordonnes permettant dorienter et de contrler un organisme en matire de qualit ; Le management total de la qualit (TQM) est un management de la qualit qui sappuie sur tout le personnel de lorganisme. Le TQM implique galement toutes les parties intresses.
182
Les rfrentiels
Les principaux modles dexcellence : le modle dexcellence europen de lEFQM (European Foundation for Quality Management), qui sert de base lattribution du prix europen de la qualit ; le modle amricain du Malcolm Baldrige National Quality Award, qui sert de base lattribution du prix amricain de la qualit ; le modle japonais du prix Deming, qui sert de base lattribution du prix japonais de la qualit. En plus, certains grands groupes mondiaux ont adapt ces modles leurs besoins ; cest le cas par exemple du modle SEMCE de AT&T.
Mettre en place le TQM signie que les principes cls (la satisfaction du client, limplication des salaris et lamlioration constante) sont bien accepts, appliqus et dploys au sein de lentreprise.
Groupe Eyrolles
TQM
183
Un examen des nombreux critres des prix qualit conrme que les concepts cls et les valeurs mis en avant sont ceux qui sont largement considrs comme tant les bases dune mise en place efcace du TQM. Les prix sont attribus aprs que les candidats sont passs au travers dun processus dvaluation plusieurs niveaux, o ils sont jugs par des experts internes ou externes. Un processus rigoureux est appliqu pour assurer que les gagnants mettent en place efcacement le TQM. De nombreux organismes qui attribuent des prix sont des clients qui ont dvelopp des systmes de prix qualit, pour leurs fournisseurs. Ceux-ci incluent les principaux constructeurs automobiles amricains et de nombreuses entreprises industrielles qui ont gagn le prix Malcolm Baldrige. Les organismes qui attribuent des prix comprennent aussi des organisations indpendantes, comme lInstitut national des normes et technologies (National Institute of Standards and Technology) qui gre le prix Malcolm Baldrige , et de nombreux tats des tats-Unis.
APPLICATION
La performance est examine sur deux priodes de cinq ans. La premire priode (mise en place) commence six ans avant et nit un an avant que les gagnants obtiennent leur premier prix qualit. Cest pendant cette priode que les gagnants mettent en place le TQM. Pour fournir une perspective quilibre sur les bnces nets du TQM, il est important destimer la magnitude de ces cots. La seconde priode (aprs la mise en place) commence un an avant et nit quatre ans aprs que les gagnants ont remport leur premier prix qualit. Il est clair que les gagnants ont mis en place de faon effective le TQM ds quils obtiennent leur premier prix qualit. Comme il faut de six neuf mois aux organismes qui attribuent les prix pour valuer et certier lefcacit de la mise en place du TQM, les auteurs de ltude ont fait lhypothse que la mise en place du TQM chez les gagnants tait effective environ un an avant lobtention du prix pour la premire fois.
Groupe Eyrolles
184
Les rfrentiels
les cots de production et les dpenses de vente et dadministration. Cet indicateur mesure le prot gnr par les oprations dexploitation avant les intrts et les taxes. Par consquent, il nest pas affect par la mthode de nancement, par tout gain ou perte provenant de la vente dactifs, par le Code des impts, qui ont tous peu voir avec le TQM. Le rsultat dexploitation est inuenc par lvolution du taux de croissance et/ou de la productivit. An de comprendre les causes dvolution du rsultat dexploitation, les mesures suivantes sont aussi suivies :
Mesures de la croissance Mesures de la productivit
Pourcentage dvolution des ventes. Pourcentage dvolution des actifs. Pourcentage dvolution du nombre de salaris.
Pourcentage dvolution de la marge sur chiffre daffaires. Pourcentage dvolution du prot sur actifs.
Repres de comparaison
Pour fournir un repre pour la performance des gagnants du prix, un chantillon dentreprises de contrle a t dtermin. Les rsultats sont donns pendant la priode de mise en place du TQM. De nombreux managers croient que le TQM est moins bnque aux petites entreprises, car elles ne sont pas en mesure de faire face aux cots levs de mise en place ; ce qui nest pas toujours le cas. Les organismes qui attribuent les prix utilisent diffrents rfrentiels pour valuer lamlioration de la qualit et galement pour examiner les candidatures. Par consquent, diffrents prix peuvent tre indicatifs de diffrents niveaux de maturit dans les mises en place du TQM. On considre le fait davoir obtenu un prix indpendant (par exemple le prix Baldrige ou les prix dtat de qualit) comme un indicateur dun TQM plus mature que celui reconnu par un prix fournisseur.
Dire dexpert
Le TQM est un bon investissement, il agit sur le long terme et satisfait aux attentes ralistes.
Source : Petite histoire de la qualit dite par le ministre de lIndustrie.
Groupe Eyrolles
Groupe Eyrolles
Prix
Historique
En 1951, par la JUSE* partir des travaux de E. Deming. Une fois par an en novembre (mois de la qualit) au Japon.
En 1987, par la loi 100-107 gouvernement R. Reagan. Une fois par an en octobre (mois de la qualit) la MaisonBlanche.
En 1992, par le ministre de lIndustrie et le Mouvement franais de la qualit. Une fois par an au printemps. Les rgionaux : de novembre dcembre. Le national : au printemps.
En 1991, par lEuropean Foundation for Quality Management (EFQM). Une fois par an en octobre.
Priodicit
Objectif
Amliorer le niveau des entreprises japonaises tous les niveaux sur le principe du PDCA de E. Deming. Vrier que lentreprise fonctionne bien dans un mode PDCA.
Amliorer les entreprises amricaines (faire face la menace japonaise). Lentreprise doit prouver par son management quelle est dans une dmarche qualit et conomique.
Promouvoir et stimuler la qualit totale avec un rfrentiel dautovaluation. Juger de la performance de lentreprise en tudiant de trs prs les moyens mis en uvre ainsi que les rsultats obtenus. /
But de lpreuve
TQM
185
186
Prix
Les rfrentiels
Admission
Ouvert toutes les entreprises, mme trangres, depuis 1988. Trois catgories : PME et PMI, grands groupes, entreprises trangres.
Les entreprises doivent avoir les siges sociaux aux USA ; liales si 50 % de leffectif est aux USA.
Entreprises, liales, divisions dont 50 % des effectifs est en Europe, et tre membre de lEFQM.
Temps de prparation
5 10 recours un expert japonais agr par la fondation Deming. 4 8 par an. 4 8 par an. 700 1 000 points. Titre honorique au Japon. Crmonie retransmise la tlvision.
Variable suivant la maturit de lentreprise (1 ou 2 ans) avant le prix rgional. 500 rgional/1 par an. 47 national/1 par an. Plus de 700 points. Trophe, logo spcique pour lentreprise.
Entre 3 et 5 ans.
70 par an. 2 par an. Plus de 700 points Titre honorique, avec la participation du prsident de la Rpublique.
15 par an. 1 par an. Plus de 700 points. Prix reconnu dans le monde des entreprises.
Groupe Eyrolles
Chapitre 19
Zachman
HISTORIQUE
Le rfrentiel Zachman a t mis au point en 1987 par un ingnieur dIBM, John Zachman. Il propose une matrice permettant de se reprsenter larchitecture dun systme dinformation dune entreprise. Le concept est quune entreprise est un ensemble darchitectures qui peut tre dcompos selon plusieurs points de vue, des niveaux varis. RETENIR
Le rfrentiel Zachman est une matrice deux dimensions reprsentant lentreprise : une dimension horizontale contenant six types de groupes, utilisant six types de modles. Le haut du schma reprsente la partie conceptuelle, tandis que la partie basse est plus concrte. une dimension verticale tablie sur un ensemble de questions, six interrogations, fond sur le modle de question du Qui, quoi, quand, o, comment, pourquoi, plus connu sous le nom de QQQOCP.
DFINITION
La dimension horizontale les points de vue
Porte (contextuelle)
Groupe Eyrolles
Le point de vue du planicateur. Cette ligne dcrit les modles, larchitecture et les reprsentations qui correspondent aux limites de lorganisation concerne.
188
Les rfrentiels
Modle mtier (conceptuel) Le point de vue du propritaire. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les propritaires des process mtier. Elle se concentre sur les utilisations habituelles dun produit. Modle systme (logique) Le point de vue du concepteur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les ingnieurs, architectes et toutes les personnes qui doivent arbitrer entre les besoins et ce quil est techniquement possible de faire. Modle de technologie (physique) Le point de vue du constructeur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les techniciens, les ingnieurs et les contractants qui modlisent et crent les produits. Reprsentation dtaille (hors contexte) Le point de vue des sous-traitants. Cette partie dcrit les diffrents lments inclus dans le produit nal. Pour les dveloppeurs de logiciels, cette partie correspond lintgration de module ou de composant en provenance de lextrieur. Le fonctionnement de lentreprise Cette partie reprsente la relle mise en uvre des lments, cest lexistant dans toute sa complexit. Chaque vision est dnie par plusieurs questions. Ces six questions rsument les questions que se posent frquemment les personnes lorsquelles essaient de comprendre.
Source : fonde sur Zachman.
Cest la composition du produit. Dans le cas dun logiciel, il sagit des donnes. Zachman propose, pour chaque colonne, un modle dillustration. Le modle est : Objet Relation Objet.
Zachman
189
Le Comment ? (Fonctions) Comment a fonctionne ? Cette colonne correspond au fonctionnement et la transformation du produit. Le modle est : Processus Entre/Sortie Processus. Le O ? (Rseau) O sont les lments les uns par rapport aux autres ? Cette colonne sintresse lemplacement et aux connexions du produit. Le modle est : Nud Lien Nud. Le Qui ? (Personnel) Qui fait quoi ? Cette colonne correspond au personnel, aux manuels, aux procdures qui leur sont utiles pour faire leurs tches. Le modle est : Acteur Tche Acteur. Le Quand ? (Temps) Quand se produisent les choses ? Cette colonne concerne les cycles de vie, les dures et les programmes qui sont utiliss pour contrler lactivit. Le modle est : vnement Cycle vnement. Le Pourquoi ? (Motivation) Pourquoi les vnements arrivent-ils ? Cette colonne correspond aux objectifs, plans et rgles qui guident lorganisation. Le modle est : Finalit Moyens Finalit.
Source : fonde sur Zachman.
APPLICATION
Chaque partie de la matrice Zachman expose une architecture, une reprsentation dune organisation. Chacune de ces parties peut tre dcrite indpendamment des autres, nanmoins chaque partie a des interactions avec les autres lments de la matrice. Cette matrice permet de saisir la description de larchitecture dune entreprise. Elle met en relief les lments importants de la stratgie et permet de comprendre quelles sont les interfaces existantes dans les diffrentes couches de lorganisation. Une approche utilisant la mthode BPM (Business Process Management) est un complment intressant dans la vision et la reprsentation de lentreprise.
Groupe Eyrolles
190
Donnes Quoi ?
Activits Comment ?
Emplacement O ?
Personnel Qui ?
Temps Quand ?
Motivation Pourquoi ?
Les rfrentiels
Liste des lments importants pour lactivit Modle de donnes conceptuelles Modle de donnes logiques Modle de donnes physiques Dnition des donnes Donnes mtier relles
Liste des processus excuts par lactivit Modle mtier Architecture de programmes Modlisation des systmes (fonction informatique) Programmes
Liste des lieux o est exerce lactivit Modle logistique Architecture SI distribue Architecture technologique
Liste des organisations importantes pour lactivit Modle hirarchique Interface homme/ document Matrice organisation/ processus Architecture de scurit Organisation mtier relle
Liste des vnements signicatifs pour le mtier Modle temporel Structure de traitement Structure de contrle
Liste des objectifs mtiers stratgiques Modle dobjectifs Modle de rgle mtier Modlisation des rgles
Code du programme
Groupe Eyrolles
Zachman
191
Groupe Eyrolles
Les mthodes
194
Les mthodes
DFINITION
RETENIR
Capitalisation dun savoir-faire qui est standardis ; cette standardisation est reprsente sous forme de dmarche, et a pour but de rpondre aux attentes organisationnelles, fonctionnelles, techniques, stratgiques, scuritaires Ex : La mthode scientique. Ensemble des principes de base dun secteur, dune activit spcique connue.
Groupe Eyrolles
Les mthodes
195
AMDEC BPM BSC BENCHMARK BP-GP CRAMM EBIOS HOSHIN ITBPM JAT KAIZEN KM LEAN MEHARI OCTAVE PDCA SIX SIGMA TCO
Groupe Eyrolles
Analyse des modes de dfaillance, de leurs effets et de leur criticit Business Processus Management Balanced Scorecard Comparaison entre ce qui se fait dans lentreprise et dans les autres entreprises Pratiques de base et pratiques gnrales Processus dvaluation tape par tape (physique, matriels, logiciels, hommes) Expression des besoins et identication des objectifs de scurit (risques) Direction pour optimiser les objectifs prioritaires IT Baseline Protection Model Juste--temps (optimisation du systme logistique) Amlioration continue au sein de lentreprise Knowledge Management (base de connaissance, de partage, dinnovation) Amlioration continue (chasse aux gaspillages) Mthode permettant lanalyse des risques Operationally Critical Threat, Asset, and Vulnerability Evaluation Amlioration continue (roue de Deming) Plan-Do-Check-Act Chantier qualit, avec pour objectif de dgager des gains importants et rapidement Total Cost of Ownership (cot de possession) Tableau de bord des systmes de scurit informatiques
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
TDBSSI
Chapitre 1
AMDEC
HISTORIQUE
LAMDEC est ne dune prolongation de lanalyse fonctionnelle (ellemme une des bases de lanalyse de la valeur). Cest larme amricaine qui est linitiative du dveloppement de lAMDEC. La rfrence militaire MIL-P-1629, intitule Procdures pour lAnalyse des Modes de Dfaillance, de leurs Effets et de leur Criticit date du 9 novembre 1949. CIBLE ATTEINDRE
Il sagit dune mthode dvaluation fonde sur les dfaillances dun process, dun produit ou dun service et qui permet didentier le niveau de abilit dudit process, produit ou service.
En 1988, lISO labore et publie une famille de normes ; il sagissait de la srie des normes ISO 9000. Il faut savoir que le systme qualit des quipementiers du monde de lautomobile, qui est le QS 9000, est trs proche de la norme ISO 9000. Avec QS 9000, lutilisation de lAMDEC fait partie des mthodes qui sont utilises par les quipementiers pour leur planication qualit des procds, connue sous le sigle APQP.
DFINITION
Groupe Eyrolles
Il sagit dun process rgulier qui a pour objectif didentier diffrentes dfaillances, et qui permet de les traiter avant quelles narrivent, dans le but de les supprimer en rduisant les risques associs.
198
Les mthodes
Le but de lAMDEC
Matriser les risques grce une tude des dfaillances possibles dun systme, dun produit ou dun service, en imaginant tous les scnarii possibles, en sappuyant sur une analyse des risques et de leurs consquences sur lutilisateur nal avec pour principal but llimination ou la rduction des pannes ayant les consquences les plus importantes sur le systme, le produit ou le service.
APPLICATION
Les fournisseurs doivent utiliser lAMDEC dans la planication qualit du procd et dans le dveloppement de leurs plans de contrle. LAutomotive Industry Action Group (AIAG) et lAmerican Society for Quality Control (ASQC) mettent les standards AMDEC en fvrier 1993. Le travail en quipe est essentiel pour identier les lments AMDEC. Lquipe multidisciplinaire devrait tre constitue de personnes bien informes avec un expert, le bureau dtudes, le fabricant et la qualit.
AMDEC
Mode de dfaillance
Groupe Eyrolles
Il sagit dune anomalie qui empche le systme de fonctionner correctement. Par exemple, la photocopie est illisible.
AMDEC
199
Effet Il sagit de la consquence de la dfaillance pour lutilisateur du systme. Par exemple, la lecture de la feuille est impossible. Criticit Elle dtermine limportance relative de la dfaillance au sein du systme. Elle dpend de trois critres : la gravit de leffet pour lutilisateur ; la frquence dapparition de la dfaillance, par exemple la photocopieuse a trs souvent des problmes avec son bac de papier A4 ; le risque de non-dtection, par exemple je nai pas relu les ditions papier avant la prsentation.
Groupe Eyrolles
200
Les mthodes
G (note)
1 5 10 15 20
F (note)
Sans effet sur le produit et son utilisation Non dtectable par le client. Anomalie dtectable mais ne remettant pas en cause la conformit la spcication Dtectable par le client. Le produit nest plus conforme la spcication, llment dfectueux continue remplir sa fonction Le client est mcontent. Rupture de la fonction. La scurit RAS Le client est mcontent, retour produit. Rupture de la fonction qui entrane un problme de scurit.
Frquence
1 5 10 15 20
D (note)
Le cas ne peut pas se prsenter. Le cas ne sest jamais rencontr sur un produit de conception similaire. Ce cas ne sest jamais rencontr sur un produit similaire mais sest dj prsent sur un produit de conception diffrente. Le cas sest dj prsent sur un produit similaire. Incident rptitif que lon ne matrise pas.
Dtection par lentreprise
1 5 10 15 20
On dtecte le dfaut 100 % Impossibilit dassemblage. Les oprations de contrle ne laissent que peu de chances au produit dfaillant dtre livr au client % de dtection son maximum. Les oprations actuelles ne permettent pas une bonne dtection des dfauts Contrle mais pas de bonne dtection. Les oprations de contrle se limitent un contrle subjectif, risque de ne pas tout voir Contrle subjectif qui dpend de lindividu. Aucune dtection du dfaut possible.
Groupe Eyrolles
La criticit est dtermine en multipliant les trois notes prcdentes entre elles : GFD
AMDEC
201
Le rsultat permet de dterminer le seuil de criticit = niveau de priorit de risque (NPR). Pour hirarchiser les NPR, dont les causes de dfaillance, un diagramme est ralis. Il permet de prsenter les risques de dfaillance dtects au cours de cette tape.
une anticipation des problmes et une prvision des actions correctives (la gravit).
Chapitre 2
BPM
HISTORIQUE
Le Business Processus Management (BPM) existe depuis prs de vingt ans ; son principe est n avec le concept de workow au dbut des annes 1980. Toutefois, la notion de processus date daprs-guerre, avec les tudes amricaines inspires des techniques de qualit japonaises. Edward Deming est lun des dignes reprsentants de cette poque. BPM concerne beaucoup dentreprises qui utilisent des processus.
DFINITION
BPM permet de matriser la comprhension des processus, de les organiser, voire de les planier et galement de les mesurer, dans une vision de performance pour lentreprise. La mthode BPM sinscrit dans lamlioration continue des services et des produits que ralise et fournit lentreprise et, cette n, sappuie sur un ensemble de processus mtiers.
APPLICATION
RETENIR
Groupe Eyrolles
La mise en application de BPM nest pas toujours facile ; elle repose sur une forte sensibilisation des quipes an davoir une vritable appropriation de la mthode par les mmes quipes, car qui dit processus dit obligatoirement organisation. La conduite du changement est importante dans la mise en place de BPM.
204
Les mthodes
Pour les entreprises qui sont dans des contextes en pleine mouvance, par exemple en cas de fusion, dachat, dacquisition de nouvelles socits, ou dans un contexte environnemental comme la mondialisation et le respect des rglements internationaux, cela demande une vision cohrente des informations et des organisations (processus), en dveloppant agilit/ractivit et modularit. On voit bien que la vision stratgique et la vision terrain sont trs lies. La mise en place de BPM dans lentreprise exige le suivi dun ensemble de rgles ou dtapes. Lensemble des rgles est proche de la mthode du PDCA, do limportance de lamlioration continue au sein de la mthode BPM. Le schma ci-dessous permet de prsenter les grandes tapes du BPM dans lentreprise.
LENTREPRISE ET LES PROCESSUS MTIERS
Comprendre Analyser
Analyse des acteurs Analyse des processus
Mesurer
Mesures
Analyser
Analyse
Modliser
Amlioration continue
Amliorer
Amlioration des processus
La force de BPM est de pouvoir laborer et traiter lensemble du cycle de vie des processus mtiers : identication ; excution ; contrle ; analyse ;
Groupe Eyrolles
modlisation ;
BPM
205
optimisation ; simulation. Il est possible de modliser les interdpendances qui existent entre les personnes, les applications informatiques et les informations. Une automatisation de ces interdpendances est faire, ainsi quune coordination des processus oprationnels, et cela du dbut la n du processus ; ne plus penser domaines spciques ou activits compartimentes, mais avoir une vision transverse. Trs proche des grands principes de la qualit, lapplication de BPM doit permettre damliorer et doptimiser lensemble des processus et surtout les processus les plus stratgiques pour lentreprise. Exemple : les processus qui permettent de dgager une relle plusvalue par rapport aux concurrents. Cela fait partie du niveau dagilit de lentreprise. Lentreprise devra sappuyer sur des solutions TI, et plus exactement sur des offres (logiciel). Les offres sont de plusieurs natures, avec des produits aux fonctionnalits diverses et varies, issues de technologies de domaines diffrents comme lintgration, la gestion documentaire, le workow, la modlisation, les applications dites intgres. DANGER
Il est conseill de faire une analyse de lexistant des processus organisationnels avant de faire lacquisition du futur outil.
Le march conomique est en constante volution (OPA, joint-ventures). Dans les entreprises, quand on parle dorganisation, dans beaucoup de cas, les processus mtiers sont revoir, optimiser, supprimer, remplacer BPM est dans une phase de forte consolidation. Le march conomique autour de BPM est toujours en phase de croissance et dvolution. Les acteurs du middleware et de lintgration applicative interviennent vivement sur de nouvelles propositions an de renforcer la partie gestion des interactions humaines et la gestion documentaire.
Groupe Eyrolles
206
Les mthodes
sont dcoups en modules, ce qui permet davoir une bonne vision de lorganisation ; chaque mtier est identi, on en connat le primtre daction, le qui fait quoi est connu de tous. Il est alors plus facile de proposer des amliorations et cela demande une optimisation des processus. Pour tre efcace, BPM est prsent au sein du systme dinformation. Celui-ci a besoin dune organisation autour des processus, puisquil est le garant de la circulation des ux dinformations, quel que soit le service concern de lentreprise (nance, comptabilit, achats, ventes, commandes). La complexit du systme dinformation demande une parfaite comprhension de la gestion des ux (les entrants, les sortants), et une bonne vision des processus qui sont lis lorganisation de lentreprise. BPM conduit naturellement le systme dinformation sorienter vers des amliorations, des volutions majeures en termes dautomatisation, dindustrialisation des tches que ralisent les femmes et les hommes de lentreprise.
Dire dexpert
Lentreprise qui souhaite se lancer dans la mise en place dune dmarche BPM devra avant tout analyser son existant, identier les points forts et les faiblesses de son organisation, le nombre de processus oprationnels, les principaux acteurs Ensuite, en accord avec la direction, elle sera en mesure de mieux cibler son besoin ; il ne faut surtout pas partir trop vite sans connatre parfaitement son organisation et les processus associs.
cet effet, quatre facteurs importants sont prendre en compte : le facteur analytique ; le facteur culturel de lentreprise ; le facteur TI de lentreprise ; le facteur humain, quil ne faut pas oublier. La mthode de management par les processus a encore de belles annes venir ; dici une dizaine dannes, BPM sera indispensable pour les entreprises.
Groupe Eyrolles
BPM
207
Groupe Eyrolles
208
Les mthodes
Le pilotage par les processus ncessite une implication forte de la direction gnrale, la nomination dun pilote de processus pour chaque sousensemble ou domaine, la dtermination dobjectifs par domaine de processus en lien avec la stratgie de lentreprise et la conduite dactions damlioration ou de reconstruction des processus. On met en place une vritable organisation matricielle qui ncessite une large coopration entre les pilotes de processus et les responsables marchs/mtiers. Cest lensemble de lentreprise qui est mise sous tension. Enn, le pilotage par les processus nest quun moyen pour atteindre les objectifs et non une n en soi.
Groupe Eyrolles
Chapitre 3
BSC
HISTORIQUE
En 1992 apparat pour la premire fois le terme Balanced Scorecard dans la Harvard Business Review. Les initiateurs du concept BSC sont Robert S. Kaplan et David P. Norton. Par la suite, ils ont ralis un bestseller intitul The Balanced Scorecard.
DFINITION
Il faut savoir que le concept du tableau de bord existe depuis plus de vingt ans, faire le lien entre les chiffres (nanciers) et les mesures ou les valeurs lies lactivit de lentreprise na jamais t ralis auparavant, et cela de manire ofcielle. Mettre en relation une organisation, des processus, par rapport des mesures nancires, organisationnelles, qualitatives (clients), ressources humaines (formations), avec comme l dAriane la stratgie de lentreprise, nest pas chose facile. Les besoins des directions gnrales voluent, de nouvelles informations sont prendre en compte, exploiter : le Balanced Scorecard rpond entirement ces exigences. RETENIR
Les activits budgtaires et nancires ne sont plus les seules informations pertinentes que lon va retrouver dans les tableaux de bord ; les nouvelles gnrations des tableaux de bord permettent de mesurer la performance et lefcience de lentreprise en relation avec les directives stratgiques de celle-ci.
Groupe Eyrolles
BSC permet toutes les directions, dont les directions plus oprationnelles, de remonter des informations pertinentes sur lentreprise pour la
210
Les mthodes
direction. Nous lavons dit, les besoins voluent trs vite, il faut donc tre trs ractif. Savoir ce que pense prcisment le client (le client nal) est essentiel, et le droit lerreur nest pas admissible, la fois par rapport la concurrence et au march conomique (les clients, les associations de consommateurs). Cest ainsi que les directions se doivent de matriser lensemble des processus de leur entreprise et de savoir interprter les mesures, les chiffres, toutes les donnes quelles centralisent. Balanced Scorecard identie quatre axes importants pour le management de la stratgie au sein de lentreprise ; cela est li un nouveau mode de management, le management participatif, qui est plus individualiste, fond sur les rsultats. Un des principes de la mthode BSC repose sur le fait que le salaire du manager se calcule partir des rsultats de sa performance et cela par rapport aux quatre axes de la dmarche (nance, processus internes, clients, apprentissage/formation).
APPLICATION
Tableaux de bord
Lapplication de la mthode BSC suppose prcisment de connatre la volont de la direction gnrale. Il faut que celle-ci comprenne bien que la mise en place de la mthode exige de la rigueur, de la persvrance, une nouvelle organisation, de nouvelles responsabilits et des prises de dcision communes : il sagit pour lentreprise de changer sa stratgie, et BSC permet deffectuer cet accompagnement. Quatre axes essentiels sont prendre en compte : laxe nancier : les bnces raliser, les rductions des cots, les retours sur investissements, la recherche de solutions moins coteuses, les nouveaux partenaires, une prsentation des rsultats auprs des actionnaires pour les dcisions, la conance conserver laxe processus interne : tous les processus qui permettent doffrir un service de qualit auprs des clients naux, les processus dits cls de lentreprise ; laxe client : les actions menes par le marketing, la force de vente, le service aprs-vente, les rsultats des enqutes de satisfaction auprs des clients ; en fait, tout ce qui va dliser les clients et en apporter de nouveaux ;
Groupe Eyrolles
BSC
211
laxe apprentissage/formation interne/organisation : les comptences, les connaissances, la matire grise de lentreprise, les formations de nouveaux produits, la formation la qualit tous les niveaux de lentreprise, la rvision des processus, loptimisation des processus et le systme dinformation, qui devra voluer lui aussi. Il faudra nommer des responsables ou propritaires de processus pour ces quatre axes essentiels et responsabiliser les acteurs oprationnels sur les rsultats attendus, les objectifs xer
Client
Finances
Carte stratgique
Processus internes
Apprentissage organisationnel
Source : Norton et Kaplan, The Balanced Scorecard.
Le point central du systme est la carte stratgique : Chaque mesure slectionne pour le Balanced Scorecard doit tre un lment dune chane de relation de cause effet exprimant lorientation stratgique de lentreprise. (Robert S. Kaplan, David P. Norton, Le tableau de bord prospectif, ditions dOrganisation, 2003).
Voici les diffrentes phases de la mise en place dune mthode BSC : Identier lexpression de besoins de la direction. Avoir une vision hlicoptre. Prciser la vision trois ans.
212
Les mthodes
Identier les facteurs cls de succs. Dnir avec eux quatre priorits en relation avec : la nance ; les clients ; les processus internes ; lapprentissage organisationnel. Dnir des indicateurs pertinents pour les quatre priorits. Nommer des pilotes processus/indicateurs (volontariat). Mesurer, comparer les rsultats par rapport aux objectifs xs (atteints, drives) et proposer un plan daction an de recadrer les rsultats cycle PDCA. Construire le tableau de bord avec les indicateurs cls. Communiquer tout au long de la mise en place de la mthode (direction, cadres).
La vision hlicoptre
Qui sont les fournisseurs ? Qui sont les partenaires ? Quels sont les changements cls en cours dans les trois ans venir ? Qui sont les comptiteurs cls ?
Quels sont nos savoir-faire cls ? Qui sont nos clients cls ?
Attention, ce type de dmarche sinscrit dans le temps (il faut compter en moyenne douze mois pour avoir des rsultats sur lensemble des quatre axes).
Groupe Eyrolles
BSC
213
Groupe Eyrolles
Chapitre 4
Benchmark
HISTORIQUE
Le benchmarking est apparu aux tats-Unis. Il fut utilis par Rank Xerox dans les annes 1980 pour amliorer son cycle de commandes. Cette socit se serait compare non dautres fabricants de copieurs, mais au vendeur de vtements par correspondance L.L.Bean. Le benchmarking est un outil de management qui consiste analyser la place dun organisme dans son contexte conomique puis trouver des exemples dabord galer puis dpasser pour atteindre un niveau dexcellence dans toutes les composantes de son activit. Cette mthode est apprcie des entreprises ; elle sinscrit dans une dmarche de progrs.
DFINITION
Le benchmarking est souvent compar au processus car, comme le processus, il a pour fonction dapporter en sortie une relle plus-value dans le traitement des informations.
Le benchmarker
Le benchmarker est la personne qui pilote un projet, il met en uvre le benchmarking. Celui-ci pouvant sappliquer au management de tous les secteurs dune entreprise (ux nanciers, ressources humaines, matrise de lenvironnement et de la qualit), la fonction principale du benchmarker pourra tre diffrente selon la partie du management gnral.
Groupe Eyrolles
216
Les mthodes
Le benchmark
Pour certains, le benchmark est un objectif, mais selon la dnition cidessous, cest un repre qui doit dboucher sur des objectifs. The American Heritage Dictionary of the English Language donne une dnition plus large du benchmark : RETENIR
Benchmark Un standard par rapport auquel quelque chose peut tre mesur ou valu : lination est une grave remise en cause dides conomiques et de benchmarks apparemment tablis.
APPLICATION
Au plus haut niveau
Lorsque la direction constate que tel ou tel organisme externe russit mieux sadapter un des lments quelle sest xs dans ses objectifs (par exemple, la ractivit la conjoncture), il est de son intrt quelle puisse comprendre les raisons dune telle diffrence. Elle le choisira comme organisme phare . Le benchmarking lui fournira les lments pour stalonner par rapport lui. Lorganisme phare clairera la voie que la direction devra prendre pour devenir plus innovante, plus efcace, plus efciente, en un mot plus performante.
Benchmark
217
Phase de conception la conception, le benchmarking permettra de valider le cahier des charges. cet effet, dautres outils sont utilisables. Aprs lanalyse fonctionnelle de plusieurs produits concurrents ou similaires et lattribution de notes pondres, une analyse de la valeur pourra tre dclenche. Il sera ainsi possible de concevoir, ds lorigine, le produit le mieux adapt au march vis. Phase dindustrialisation Lors de lindustrialisation, la comparaison des projets avant investissement avec des ralisations relles (visites) ou supposes mises en uvre pour des produits concurrents, similaires ou transposables, est souvent un benchmarking utile. Phase de production En production, le benchmarking permet de comparer tous les aspects des produits de lentreprise ce qui se fait de mieux sur le march. Par exemple, notre logiciel de gestion documentaire est-il aussi convivial que le logiciel achet pour le service contrle ? Benchmarking et management Il est important que le benchmarking devienne partie intgrante du processus de management utilis par lquipe dencadrement pour prendre ses dcisions. Il est par exemple ais de demander, lorsque les actions viennent en discussion, de se fonder sur les rsultats dun benchmarking. Benchmarking et conception Ce point a dj t abord pour la conception des produits. Il en va de mme lors de la cration dune nouvelle activit, dun nouveau service. Concevoir du neuf sans savoir situer lexistant, cest dj concevoir du dpass. Benchmarking et analyse de la valeur Le processus analyse de la valeur utilise la dmarche intellectuelle du benchmarking en comparant non seulement des solutions existantes internes ou externes dans des domaines compltement trangers, mais aussi des projets et des solutions qui ne vivent que dans limagination des crateurs.
Groupe Eyrolles
218
Les mthodes
Benchmarking et reengineering Le reengineering est un processus visant essentiellement les processus oprationnels. Le benchmarking peut y avoir sa place condition de bien dnir les benchmarks qui seront soit des sous-processus, soit des lments de la rimplantation. Il peut faire jaillir des ides dans lquipe, surtout si elle prend comme rfrence des entreprises dautres secteurs. Benchmarking et fournisseurs Il est ncessaire dinclure les fournisseurs dans la chane des processus an que le produit quils livrent soit, lui aussi, optimal. Le benchmarking peut remettre en cause le stade de fourniture, les critres de rception, voire certains processus internes du fournisseur. Il peut ainsi apparatre plus performant que le stockage soit report chez le fournisseur et quil organise lui-mme des transports vers les clients. Benchmarking et systmes de management de la qualit Lobjectif essentiel des systmes de management de la qualit est de satisfaire les exigences des clients, ce qui implique de collecter des informations qui serviront de base ltablissement des normes. Le benchmarking peut participer lamlioration du systme de management de la qualit en intgrant tous les stades depuis llaboration jusqu la mise en place. RETENIR
Le benchmarking est un processus de comparaison entre des ralisations de lorganisme analys et celles dun organisme interne ou externe oprant dune faon juge plus performante, que ce dernier soit ou non dans le mme contexte. Comme tout processus, le benchmarking doit lui-mme faire lobjet de remises en cause frquentes.
Groupe Eyrolles
Chapitre 5
BP-GP
HISTORIQUE
Cest en 1996 que la premire version du modle BP-GP est arrive ; ensuite, la mthode dvaluation est apparue en 1997. Cette mthode provient de SSE-CMM.
DFINITION
RETENIR
Mthode qui permet de dnir la frontire entre les projets/organisation et la scurit. BP correspond aux pratiques de bases et GP correspond aux pratiques dites gnrales.
Concernant les pratiques de base (BP), elles sont au nombre de 129 et sont dcomposes en 22 processus spciques, ce qui est consquent. Processus traitant de lorganisation et de la gestion de projet (origine SSE-CMM) : garantir un service de qualit tout au long de la mise en application de la mthode ; suivre et dnir des plans daction et les mener pour les aspects de conguration et pour les risques du projet ;
Groupe Eyrolles
laborer des plans daction pour le technique ; vrier si les actions sont ralises pour le technique ; identier et laborer les processus organisationnels ; optimiser les processus organisationnels ;
220
Les mthodes
suivre dans leur ralisation les diffrentes volutions et changements concernant les produits, les biens et les services ; sassurer que le support ralise ce que lon attend de lui ; assurer une vritable rversibilit. Comme toute gestion de projet, on retrouve des jalons tels que la gestion des risques, le contrle qualit, le transfert de comptences mais certains jalons sont absents tels le plan de communication, qui est important dans la gestion de projet, les bilans de projet, la gestion documentaire. Les autres processus, qui traitent de la scurit informatique, sont : vrier ladquation des contre-mesures ; estimer et peser les impacts ; valuer les risques ; mesurer les menaces ; apprcier la vulnrabilit ; piloter les aspects scurit ; identier les besoins en termes dassurance ; vrier ltat davancement des actions ; remonter des informations ; contrler et dcider des actions de scurit.
APPLICATION
La mise en application des pratiques gnrales (GP) concerne les 22 processus des pratiques de base (BP).
Niveau de maturit tat
5 4 3 2 1 0
Amlioration permanente. Ralisation d'audits, de suivi, d'inspection (qualit). Utilisation commune (tout le monde). Organisation projet (calendrier et suivi d'avancement). Ralisation. Pas de ralisation (point mort).
Groupe Eyrolles
BP-GP
221
Les six niveaux de maturit sont dtermins : non ralis, ralis, plani et suivi, standardis, contrl qualitativement, en amlioration constante ; toutes les pratiques dites courantes sont ainsi trouves et dnies.
Dire dexpert
Plus une entreprise connat, gre et contrle un processus, plus le niveau de maturit de ce processus scurit sera lev.
Groupe Eyrolles
Chapitre 6
CRAMM
HISTORIQUE
Cest le gouvernement britannique qui est lorigine de la mthode CRAMM ; elle est apparue en 1987. Au dpart, elle concernait les administrations, puis elle sest oriente vers les entreprises du secteur priv. Elle a subi de nombreuses rvisions, sa dernire version tant la version 5. Le service de scurit du gouvernement britannique est propritaire de la mthode.
DFINITION
CIBLE ATTEINDRE
Lutilisation de la mthode CRAMM nest pas spcique une infrastructure informatique ou technologie informatique particulire, elle peut sappliquer lensemble des systmes informatiques, que lon soit en phase de mise en place, dvolution ou de changement du systme dinformation.
La mthode CRAMM prend en compte cinq aspects : laudit (audit faire avant et audit faire aprs) ; limplmentation, cest--dire instaurer la mthode au sein dune organisation ; la vulnrabilit, cest--dire rechercher les maillons faibles quil faut renforcer ; les menaces, les risques ; lexistant dans lequel il sagit de prvoir o, quand et comment un incident, un problme, une catastrophe, pourrait se produire dans un futur proche.
Groupe Eyrolles
224
Les mthodes
APPLICATION
Mettre en application la mthode CRAMM demande de faire des points de contrle phase aprs phase, aussi bien pour les activits mtiers que pour les activits organisationnelles. On prend en compte le lieu de travail des personnes, les bureaux, les entrepts, ainsi que les composants informatiques, comme lensemble des logiciels et progiciels quutilise un service ; lautre composant informatique concerne les crans, les imprimantes, le mainframe. La mthode CRAMM doit connatre lexistant du parc informatique ; le meilleur moyen est de faire un inventaire la fois matriel et logiciel du systme dinformation. Un chiffrage est effectu pour toute la partie matrielle ; et pour la partie logicielle, on raisonne en termes dimpact business, dindisponibilits, de pertes de donnes il sagit de la prise de connaissance de lexistant et de son valuation. Aprs cette prise de connaissance et cette valuation, il sera possible dattribuer chaque problme un scnario. Lide pour le systme dinformation est de connatre lavance lensemble des problmes possibles, et de voir et danticiper ce qui peut se passer et ce qui peut tre fait. ce niveau, il sagit de lvaluation des menaces et des vulnrabilits. Lavantage de la mthode CRAMM est quelle dispose de sa bote outils, qui est constitue de 300 contre-mesures qui sont organises en 70 groupes spciques. En fonction du risque, il sera dcid via loutil de mettre en place ou non une contre-mesure. Il sagit de la slection des contre-mesures.
Dire dexpert
Il existe diffrentes dclinaisons de la mthode (ex : CRAMM Express et CRAMM Expert) qui sont toutes accompagnes dun outil.
Groupe Eyrolles
Chapitre 7
EBIOS
HISTORIQUE
En 1995, la mthode EBIOS (Expression des besoins et identication des objectifs de scurit), dorigine franaise, est cre par la DCSSI (Direction centrale de la scurit des systmes dinformation). La mthode EBIOS concerne toutes les entreprises quelle que soit leur taille.
DFINITION
RETENIR
Lanalyse des risques est au centre de la mthode EBIOS. La phase principale concerne la mthode danalyse de lexistant ; la phase nale permet didentier toutes les exigences de scurit fonctionnelles.
Une mthode doit tre simple dutilisation et conviviale ; EBIOS sinscrit dans cette logique car il sagit dun guide qui est dcoup en cinq phases. Or, qui dit guide dit conseils souvent pratiques, trs oprationnels. De plus, il est possible de trouver le guide sur le site Internet de la DCSSI.
Analyser lexistant (activits, processus, livrables qui doivent tre protgs). De cette analyse, il faut regarder les risques et les ventuelles failles de linfrastructure du systme informatique (architectures techniques et fonctionnelles).
226
Les mthodes
partir des diffrentes analyses, il sera possible de faire une synthse et de proposer un plan daction an de rduire les risques. Pour aider synthtiser les rsultats, la DCSSI propose un logiciel gratuit et un ensemble de documents (rapports) qui font ofce de livrables pour les diffrentes directions de lentreprise (direction gnrale, direction du systme informatique et de lorganisation, direction de la scurit, direction nancire). Pour les activits traitant des donnes classes dfense , le document ou rapport issu de loutil de la DCSSI est indispensable. La mthode EBIOS a toute son importance en matire de gestion des risques au sein des entreprises franaises.
APPLICATION
Un des points forts de cette mthode est quelle a t pense de faon tre autonome, cest--dire quelle na besoin pour entrer en application que dun petit groupe de personnes comptentes et volontaires, en interne lentreprise ; elle na pas besoin daide ou dassistance extrieure (prestation dexperts en scurit informatique). Son rle sera de conduire la mthode au sein de lentreprise. Attention, cela ne veut pas dire non plus que le petit groupe projet (interne) doit travailler tout seul dans son coin non, au contraire, un grand nombre de services, voire tous les services de lentreprise, sont concerns. La communication est au rendez-vous bien entendu. Comme il sagit dune dmarche projet, il faut quelques prrequis qui ont la mme smantique pour tous, les mmes dnitions, les mmes orientations. La gestion des risques est importante dans la mthode EBIOS ; son but est dapporter toute laide ncessaire et indispensable pour laborer des mesures de scurit fonctionnelles et techniques quil faudra mettre en place dans lentreprise autour du systme informatique. RETENIR
EBIOS nest pas une mthode ferme, elle est complmentaire des normes internationales comme la norme ISO 17799 et la norme ISO/IEC 15408 qui concerne les critres communs ; cette position lui donne toute son importance vis--vis des entreprises.
Groupe Eyrolles
EBIOS
227
Primtre tudier. tude de lorganisation. tude de lorganisation cible. Identication de lensemble des composants de la cible.
Formalisme du besoin. laboration des documents propres aux besoins. Rcapitulatif de lensemble des besoins de scurit.
Investigation et analyse. Analyse des sources des risques et des menaces. Analyse des faiblesses. Synthse et standardisation des menaces.
Relations menaces, besoins. Rapprochement des menaces par rapport aux besoins et aux attentes. Standardisation des attentes et objectifs en termes de scurit. Dcisions des seuils minimes en termes de scurit.
Choix et dcision des exigences de scurit. Dcisions sur les engagements de scurit fonctionnelles. Dcisions sur les engagements de scurit dassurance.
Dire dexpert
Groupe Eyrolles
Trs complte, la mthode peut tre acclre par lutilisation des diverses listes et bases de connaissance ; tout en restant exhaustive et exible, la mthode prcise elle-mme les points pouvant tre modis, suivant les caractristiques de lorganisation tudie.
Chapitre 8
Hoshin
HISTORIQUE
La mthode Hoshin est originaire du Japon. Elle est apparue n 1960. Les grandes entreprises japonaises ont contribu fortement son dveloppement. Cette mthode est galement appele le management par perce ; elle fait partie des autres mthodes du management de la qualit totale.
DFINITION
RETENIR
Il sagit de progrs important et stratgique pour lentreprise, progrs quelle doit mener an datteindre les objectifs majeurs. La mthode Hoshin doit tre vue comme une action volontaire, qui va de lavant et qui recherche lamlioration permanente.
Les objectifs
La direction a un rle important jouer, cest elle qui donne les orientations et dnit ainsi pour lentreprise la stratgie de demain. La mthode Hoshin permet de positionner la direction gnrale de lentreprise au cur de la mthode, en sensibilisant le personnel sur le chemin suivre en matire de qualit totale. Trois points importants ressortent : tre en mesure de dgager les rsultats antrieurs, le pass ;
Groupe Eyrolles
230
Les mthodes
saisir la situation actuelle ; on soccupe du prsent, on regarde les contraintes, les risques, les opportunits par rapport aux clients, au march conomique ; comprendre la vision future avec les objectifs prvus. Lide est de faire ressortir lensemble des bonnes ides et bonnes pratiques des annes coules, avec pour point de repre la satisfaction client. En regroupant les trois situations, il est possible de faire sortir les plans daction court et moyen terme sur ce quil faut entreprendre pour samliorer et se dvelopper de manire sereine et pertinente dans un futur proche. Hoshin peut tre utilise pour diffrentes choses : lanalyse et la rexion sur les processus amliorer, la gestion des problmes et les rclamations clients. Lavantage de cette mthode est quelle est facilement gnralisable diverses activits. Si la mthode Hoshin est employe dans lindustrie, elle pourrait trs bien tre utilise dans les services car elle fait partie de la dmarche Kaizen ; elle est par consquent facilement adaptable, quel que soit le domaine dactivit de lentreprise. Comme beaucoup de mthodes japonaises, le volontariat a un rle important jouer ; le personnel doit tre force de proposition sur son lieu de travail, chacun dapporter sa pierre la construction de ldice qui nest que la mise en uvre de la qualit totale au sein de lentreprise. STRATGIQUE
La mthode Hoshin est la fois un outil stratgique pour la direction gnrale, et un outil la porte des quipes oprationnelles.
APPLICATION
Groupe Eyrolles
La mise en application de la mthode Hoshin demande une analyse pousse des actions passes et prsentes, et des objectifs futurs. La direction synthtise les trois analyses et prsente les actions damlioration qui seront entreprises conformment au planning.
Hoshin
231
La communication est importante. La direction doit tre moteur en la matire en sensibilisant les quipes, en prsentant un planning, les jalons, les objectifs attendus. Elle doit tre la fois le sponsor et le leader dans une telle dmarche. Elle doit encourager les quipes, les rcompenser, mais savoir aussi les recadrer en cas de drives. Lide est de prendre en compte les donnes des actions passes, des actions actuelles, et de faire apparatre la tendance pour btir la solution de demain. Cette mthode sinscrit dans un cycle damlioration continue et sinspire fortement de la roue de Deming, avec le PDCA :
PLAN PRVOIR DO FAIRE CHECK VRIFIER ACT RAGIR
DANGER
Comme toute mthode, il est prfrable de commencer simplement, et davancer tape par tape. Il ne faut pas aller trop vite, mais faire des points davancement rguliers. La direction a un rle important, elle doit montrer son engagement permanent.
Dire dexpert
Deux acteurs sont importants pour la russite de la mise en place de la mthode Hoshin : la direction gnrale, par sa prsence continuelle, sa position de leader, sa capacit mobiliser les quipes, et sa vision du futur ; lensemble du personnel, par une appropriation de la mthode, une comprhension des enjeux ; chacun, son niveau, est indispensable.
Une constante contribution des quipes et de la direction est ncessaire ; dans ce cas, la mthode aura toutes les chances de rpondre aux attentes de la direction.
Groupe Eyrolles
Chapitre 9
ITBPM
HISTORIQUE
Cest par le bureau allemand pour la scurit informatique que la mthode ITBPM est apparue dans le monde des entreprises. Ce bureau a pour principale mission de donner des conseils, voire des recommandations, par rapport des situations relles vcues par certaines entreprises. On retrouve les mmes objectifs entre le bureau allemand et son homologue franais, la DCSSI.
DFINITION
ITBPM prsente une liste de recommandations qui sont en rapport avec diffrents systmes dinformation ; chaque systme comprend son infrastructure, son organisation, son personnel. Cette approche permet davoir une vision globale des diffrents cas de gures possibles. Lensemble des recommandations doit permettre davoir un niveau de scurit sufsant pour les systmes dinformation de lentreprise qui ont besoin dun niveau de scurit normal. Diffrentes mesures de scurit peuvent tre mises en place, par exemple pour le domaine organisationnel, personnel, technique, architecture standard.
APPLICATION
Groupe Eyrolles
La mthode ITBPM comporte des tables de correspondance entre les diffrentes menaces qui existent en termes dintrusions, de vandalisme et leurs contre-mesures associes.
234
Les mthodes
Implmentation des mesures oublies dans les domaines architecturaux organisationnel, personnel, technologique et calendaire : Permet davoir conscience de la scurit du SI. Constitue un entranement concernant la scurit du SI.
Modules prsents travers les organisations de lentreprise Modules lis ltablissement, aux liaisons rseaux Modules lis la communication tels que le tlphone, le fax Machines autonomes sans connexions Machines connectes Matriels, machines de transmission (modems, routeurs) Les autres machines
Dysfonctionnement au sein de lorganisation Situation difcile Dysfonctionnement Anomalie technique Faute humaine Vandalisme
ITBPM
235
Dire dexpert
Un des grands avantages de lITBPM est doffrir un guide (gratuit) au grand public et aux professionnels de la scurit informatique, actualis tous les six mois : volutions, rajouts Le site offre dautres avantages, comme pouvoir changer sur des thmes spciques ou gnraux concernant la scurit des systmes dinformation.
Le guide met en uvre une dmarche rapide proposant des solutions techniques dtailles et rgulirement mises jour. Nanmoins, il apparat ncessaire de mener une vritable analyse de risques de scurit des systmes dinformation pour tout systme dont les enjeux de scurit sont importants. Il serait envisageable dintgrer les mesures de scurit de lITBPM dans les bases de connaissance de la mthode EBIOS, et dadopter lapproche baseline pour des systmes dinformation ne ncessitant pas un niveau de maturit lev. Par ailleurs, il pourrait tre utile denrichir loutillage de lITBPM par une dmarche globale de gestion des risques telle que EBIOS.
Groupe Eyrolles
Chapitre 10
Juste--Temps
HISTORIQUE
La mthode du Juste--Temps est originaire du Japon ; cest suite des contraintes de stockage de marchandises (entrept) quelle a t mise en place. Son nom explique bien ce que lon attend delle. En anglais on parle de JIT ou Just-in-Time. Produire un bien, un produit et le livrer en peu de temps reprsente bien la philosophie du Juste--Temps. Cette mthode est fortement utilise dans le secteur industriel et commence se dployer dans le secteur du service.
DFINITION
Le Juste--Temps a pour objectif de produire le bon produit, au bon moment, et de le livrer la bonne personne au bon moment et au moindre cot. RETENIR
Le Juste--Temps concerne un large primtre : du fournisseur de matire premire (en amont) jusquau client nal (en aval). Tous les acteurs de la chane de valeur sont concerns.
Groupe Eyrolles
Les secteurs dactivit o le Juste--Temps est en place depuis de nombreuses annes sont lindustrie automobile, lindustrie des composants lectroniques, llectromnager et la grande distribution.
238
Les mthodes
Le Juste--Temps parle de ux tir et de ux tendu : ux tir : tout part dune demande du client. Cest le mode de fonctionnement des constructeurs automobiles, la commande du client tant le point de dpart de la production (usine de fabrication) ; ux tendu : produire trs vite en minimisant le temps de passage entre les chanes de production. Il est difcile de parler de Juste--Temps sans parler du Kanban. Le Kanban veut dire tiquette . Par rapport notre mthode, prenons un exemple : dans un magasin de pices de rechange, le magasinier est responsable de la gestion de son stock. Dans les rayons, on trouvera des vis (dun certain calibre, dune certaine rfrence) dans des botes ; quand une des botes se vide et quelle arrive un seuil critique (nombre de vis disponibles dans la bote, soit 150), alors un voyant rouge sallume en dessous de la bote concerne ; le seuil de 150 vis est un seuil dalerte ou critique. Ici, le Kanban est matrialis par la couleur des voyants : vert, tout est normal, rouge, il faut prvoir du stock, de la production. Le magasinier, ce moment-l, sait quil doit faire un approvisionnement. Il faut retenir que la demande vient de laval, cest--dire dans notre cas, du client. Le client fait une demande, il faut lhonorer, cest--dire produire bien sr par rapport cette demande, et prendre en compte ltat du stock : combien de vis sont en stock ? le stock de scurit a-t-il t dpass ? Un autre terme qui fait partie du primtre du Juste--Temps est le zro stock, cest--dire que lon cherche rduire au minimum les stocks (encours). La rduction des stocks entrane une rduction des cots, cest--dire moins de frais, de matire premire, de gaspillage, dencombrement physique, de surface au sol (loyer), de surveillance, de gardiennage un ensemble dlments qui reprsentent des frais directs ou indirects pour lentreprise.
Mettre en place une mthode Juste--Temps demande de solides connaissances en management industriel ; il faut bien connatre lensemble des partenaires qui travaillent avec lentreprise, leur organisation de production, leurs limites, leurs capacits.
Groupe Eyrolles
APPLICATION
Juste--Temps
239
Il est recommand de sintresser aux clients en termes dattentes, dorganisation daccueil des nouveaux produits livrs chez eux, de capacit de rception et de stockage, an de ne pas devoir repartir avec la marchandise livre pour manque de place. Faire une analyse de lexistant est primordial : savoir ce que lon peut faire, quelles sont ses limites en termes de machines, capacits, personnels et ses moyens, outils et processus en place, personnels forms, systme dinformation Suite cette analyse, voir les carts qui existent entre la situation actuelle et la cible atteindre, et les combler : en laborant un plan daction, un calendrier, et en choisissant des sites pilotes avec des clients pilotes quand cela est possible ; en traitant des aspects amont (fournisseurs, partenaires, leurs organisations, capacits machines) pour la matire premire ; en traitant des aspects internes (capacits machines, cadences, ordonnancement, personnels, organisations, systme dinformation, code-barres, RFID, stockage, logistique interne) ; en traitant des aspects aval et externes (capacits camions, chauffeurs, otte, autres partenaires, entrepts de stockage, livraison chez le client). Beaucoup dlments sont prendre en compte dans une dmarche Juste--Temps.
Dire dexpert
Le Juste--Temps demande de la ngociation avec les services internes de lentreprise, les partenaires (livraisons si sous-traiter) et le client nal. Les organisations (partenaires, client, entreprises) sont concernes et sont donc impactes dans leur mode de fonctionnement. Qui dit Juste--Temps dit livraison nationale ou internationale. Dans ce dernier cas tout spcialement, dautres critres sont prendre en considration : types de transport (air, mer, rail, route) et douanes.
Groupe Eyrolles
Chapitre 11
Kaizen
HISTORIQUE
1946 (Japon) : Taiichi Ohno et Shigeo Shingeo sont les pres du systme de production, le Toyota Productive System (TPS). Cest dans les usines Toyota que le TPS a vu le jour. Quelques lments du TPS : le Juste--Temps, la rduction du gaspillage, le systme ux tir. 1986 (Japon) : Masaaki Imai, consultant de renom au pays du SoleilLevant, fait connatre lOccident le concept Kaizen ou plus prcisment la philosophie Kaizen dans le cadre du TPS. Il fonde le Kaizen Institute. Il intervient auprs de grands groupes comme Renault, HP 1993 (Royaume-Uni) : le mot Kaizen entre dans le New Shorter Oxford English Dictionary.
DFINITION
Kaizen : Kai = changement, Zen = meilleur, bon.
242
Les mthodes
RETENIR
Kaizen : amlioration continue, progrs permanent.
Amlioration
valuation
Le travail est organis en processus autour de lamlioration continue : matrise globale de lenchanement des tches jusquau client ; amlioration permanente lcoute du client (interne et externe) ; visibilit de la contribution de chacun la performance globale.
Thorie
Le Kaizen est une philosophie. Dans un monde qui bouge, avec des clients exigeants et une concurrence froce, on doit sadapter rapidement. Mais comment sadapter ? Le Kaizen permet de rpondre la question en prenant en compte trois lments : les concepts (la faon de penser) ; les systmes (la manire de travailler) ; les outils (la manire de rsoudre des problmes). Le Kaizen est une stratgie oriente client. Pourquoi vouloir amliorer son quotidien (personnel et professionnel) ? Pour se satisfaire et pour satisfaire le client. Une amlioration qui napporterait pas la satisfaction du client est inutile. La question quil faut se poser est la suivante : en quoi le changement va-t-il augmenter la satisfaction de mes clients ?
Groupe Eyrolles
Kaizen
243
APPLICATION
Le Kaizen doit tre port par la hirarchie. Lencadrement doit montrer le chemin ; ce titre, son implication en tant que leader est primordiale. RETENIR
Trois lettres retenir plus une nouvelle : Q C D S Q pour qualit, C pour cot, D pour dlai et S pour service.
QUALIT
Service
COT
DLAI
Nous lavons dit, le Kaizen est une philosophie, et qui dit philosophie dit tat desprit. Les ides ci-dessous correspondent ltat desprit du Kaizen : samliorer de faon continue na pas de limite ; savoir se remettre en question ; trouver des ides et mettre en pratique ses ides ; se xer des objectifs ralisables avec des gains raisonnables ; apporter la correction dans limmdiat et ne pas la remettre au lendemain ; utiliser les 5 pourquoi , ou identier la cause et la rsoudre ; appliquer immdiatement les plans dactions damlioration ; chercher et identier des ides en cas de problme ; capitaliser sur dix ides au lieu dattendre une ide pertinente ; tester et ensuite dcider.
Groupe Eyrolles
244
Les mthodes
Le Kaizen permet de se remettre en question de manire permanente, an de rechercher lamlioration continue travers son travail et dans sa vie personnelle.
Groupe Eyrolles
Kaizen
245
Dire dexpert
Le Kaizen est une capitalisation de bonnes pratiques qui reposent sur du bon sens, du formalisme et surtout une implication de toute lentreprise, en commenant par la direction gnrale, qui doit montrer lexemple. Tout le personnel est impliqu, des plans de formation sont organiss, des ateliers spciques sont mis en place, des leaders sont nomms au sein des dpartements et des services. Il ne sagit pas dune mthode big-bang, ou type lectrochoc ; avec le Kaizen, on sinscrit dans la dure, tape par tape on consolide, on samliore, on dveloppe le champ daction aux autres services, dpartements, voire aux partenaires, et on compte beaucoup sur la prise de conscience des personnes.
Groupe Eyrolles
Chapitre 12
Knowledge Management
HISTORIQUE
Cest dans les annes 1990 quest mentionn le nom de Knowledge Management (KM) dans les revues spcialises, aux tats-Unis. Concomitamment apparat la notion de veille technologique.
DFINITION
Il sagit dune bote outils qui permet chacun au sein de lentreprise de bncier des bonnes pratiques, du savoir-faire, et cela de manire simple. On pourrait comparer le KM une vritable base de connaissances. Dnition oprationnelle : mettre disposition linformation auprs du demandeur (personne), et linstant le plus propice pour lui sans demande formelle de sa part. STRATGIQUE
Dnition stratgique La plus-value du KM est de capitaliser et de prenniser les connaissances de chacun en matire de service, de bien, de processus, et de structure organisationnelle de lentreprise.
Concept
Groupe Eyrolles
Les principaux concepts de KM sont : Le KM doit rpondre aux enjeux stratgiques de lentreprise. Le KM est mis en uvre travers une large panoplie de mthodes et doutils.
248
Les mthodes
Connaissances
Processus et procdures
Comptences
Travail
Management prvisionnel
Anticipation
Le KM doit permettre lanticipation des volutions des attentes des clients : matrise des connaissances et des comptences appliques au processus ; matrise de lensemble des ux dinformation internes et externes ; reconnaissance de la comptence humaine ; rponse aux besoins du client et dveloppement dune vritable pdagogie sur le client.
Les objectifs
Objectif Dnition
Amliorer la dcision
Faire des choix et dcider de manire intelligente en ayant pris connaissance des diffrentes propositions au pralable. /
Groupe Eyrolles
Rduire les cots et dlais, amliorer la qualit et la productivit en rutilisant la connaissance existante et en vitant de rpter les erreurs dj commises.
Knowledge Management
249
Objectif
Dnition
Chercher et trouver les meilleures comptences qui seront complmentaires les unes aux autres et les faire partager, tout en assurant une certaine capitalisation des acquis. Faire merger les ides nouvelles par fertilisation croise, les transformer en projet industriel et russir la mise sur le march.
Innover
APPLICATION
La dmarche KM repose sur trois tapes pour mettre en place un dispositif prenne de partage des bonnes pratiques : tape 1 : constitution dun premier rfrentiel de bonnes pratiques terrain structur selon les contextes dutilisation (masse critique) ; tape 2 : mise en uvre doutils permettant une utilisation et un enrichissement des bonnes pratiques par les principaux acteurs ; tape 3 : cration et animation dun dispositif prenne encourageant les acteurs utiliser et promouvoir la dmarche. Cette tape a pour objectif de faire vivre la base de connaissances ; cela demande des outils adapts selon le contexte et une relle implication des acteurs la bonne utilisation de la mthode.
Groupe Eyrolles
Dans tous les cas de gure, il faut commencer la dmarche avec une vision raliste et optimiste car des efforts seront demands aux diffrents acteurs.
250
Les mthodes
Portail
Capitalisation Recueil des connaissances dun expert ou groupe projet Communauts de pratiques Partage des pratiques Cartographie Reprage des connaissances et comptences appliques aux processus Innovation, SPL
Annuaire dexpertise Il permet didentier les diffrents experts en relation avec leur domaine de comptences. Exemple : Dsol, mais je ne moccupe pas de cela, je ne sais pas qui est expert sur le sujet. Communaut de pratiques Espace dchanges, capitalisation sur ce qui marche bien, les piges viter.
Groupe Eyrolles
Knowledge Management
251
Cartographie Identication des connaissances et des comptences stratgiques et importantes pour lentreprise en rapport aux processus. Vision simple et rapide des points cruciaux pour lentreprise. Capitalisation Centralisation des savoir-faire des experts par domaine dactivit. Chaque expert est garant de sa base de connaissances. E-Learning Principe dautoformation, auto-valuation pour un domaine de connaissance particulier, la disposition de lensemble du personnel de lentreprise. Lide principale est bien de pouvoir partager auprs de toutes les connaissances, avec pour but davoir en retour suggestions et propositions damlioration de la part des lves (personnel en formation).
Avant Aprs Comment ?
Les bonnes pratiques sont partages entre les services. Gain de temps et ractivit accrue.
Une mthode pour recueillir, structurer et formaliser les bonnes pratiques. Une mise en place doutils simples et efcaces de partage des bonnes pratiques.
Peu de mise en commun des pratiques entre les commerciaux. Intgration longue des nouveaux embauchs.
Une dmarche daccompagnement centre sur les rsultats, le transfert de savoir-faire, la prennit du partage.
Une reconnaissance des comptences du terrain. Un outil de management commercial, stratgique. Un accompagnement par des consultants experts.
252
Les mthodes
KM 2.0
LES NOUVEAUTS
La mthode KM volue : on commence voir apparatre le Web 2.0 qui, par sa structure Web, permet davoir un champ daction beaucoup plus large que le KM standard. Le KM 2.0 sinscrit dans une mthode participative ; toute personne faisant partie dune entreprise, dune association, dune institution est en mesure dtre un acteur actif dans les relations qui existent autour de la mthode KM 2.0. Les rseaux ouverts permettent dchanger, de partager, de crer, de vhiculer toutes les nouvelles connaissances, et ce, malgr les diverses entits oprationnelles qui existent au sein des entreprises.
Il commence apparatre les iKM qui ne sont que les KM 2.0 vision Internet. Exemples de iKM : les Web smantiques (internes ou externes lentreprise), les blogs, les wikis (base de connaissances), les systmes de networking, les rseaux dexperts, les rseaux sociaux, les environnements virtuels
Groupe Eyrolles
Chapitre 13
Lean
HISTORIQUE
Initialement mise en place au Japon par Taiichi Ohno de chez Toyota, la mthode Lean permet lentreprise dtre plus proche des clients et, comme le Kaizen, de rduire toutes les sources de gaspillage. De nos jours, le Lean est utilis dans lindustrie et commence se dvelopper dans le secteur des services. J. Womack et D. Jones, tous deux fondateurs et prsident du LEI (Lean Enterprise Institute), sont devenus les promoteurs de la mthode travers le monde. RETENIR
Lean concerne les domaines de la planication stratgique oprationnelle, la conception, la production et la logistique dlai court.
DFINITION
La mthode Lean sarticule autour de cinq critres importants qui sont : la valeur ou couter la voix du client ; cartographier les ux ; tirer les ux ; rsoudre les problmes ; rechercher la perfection.
Groupe Eyrolles
254
Les mthodes
APPLICATION
Un des prrequis est davoir de bonnes connaissances en matire de management industriel, car dans beaucoup de cas il sagit dactivits de ce secteur. Mettre en application la mthode Lean reprsente beaucoup de travail, elle sinscrit dans le temps et la gestion des ux est importante ; il faut savoir identier les points critiques, la perte de temps, rduire les priodes dattente trop longues des produits sur la chane, le manque de place pour les encours, le surplus de stocks tampons Il sagit bien dune organisation au sein des ateliers, ou des lignes de production ; il faut chercher optimiser, uidier le trac des ux. Laspect humain est aussi concern : tout le monde est impliqu, les bonnes ides sont les bienvenues, et il faut savoir se remettre en question. Les quipes de production doivent se responsabiliser ; un des moyens est lafchage des rsultats, sous forme de tableaux, par ligne de production sur le nombre dheures-hommes, et dheures-machines, an doccuper au maximum les lignes de production. Cela fait partie du management visuel. Cet outil a deux effets : le premier est la recherche de la motivation des quipes, le second est le challenge entre les diffrentes quipes. Identier le nombre de rebuts par ligne de production, chasser le gaspillage, rduire les stocks sont les activits fortes du Lean. Les prestataires sont concerns par la mthode Lean ; ils doivent tre en mesure de pouvoir sadapter et, eux aussi, de participer la dmarche. La mise en application de Lean concerne non seulement lentreprise qui progresse, mais aussi les partenaires. Il sagit dun vritable effet de masse. La dmarche permet dobtenir des gains importants (production) si elle est mene de manire intelligente. La troisime gnration Lean a vu le jour vers 2000. Aujourdhui, Lean, qui, comme son prdcesseur Juste--Temps, identie et chasse le gaspillage (Muda), comprend cinq tapes.
Lean
255
1
couter la voix du client
2
Rsoudre les problmes Se perfectionner Cartographier les flux des valeurs
256
Les mthodes
tape 5 : perfectionner
La cinquime tape de Lean correspond la tension des ux, un (Kanban) de moins la fois, pour rduire graduellement les stocks, cette protection temporaire et coteuse du gaspillage sous-jacente laquelle Lean veut sattaquer. LES NOUVEAUTS
Lean prend de plus en plus dimportance, les entreprises se rendant compte des bienfaits de la mthode ; il est facile de transposer la mthode dans les services car on y retrouve des similitudes avec le secteur industriel : gestion des ux, rsolution de problme, chasse aux gaspillages, partenaires ables, recherche de la perfection
Dire dexpert1
Lean na pas rponse tout mais la mthode permet dapporter des rponses et des solutions beaucoup de problmes. Il faut que les personnes soient sensibilises la dmarche, quelles comprennent les enjeux de la direction et que, si lentreprise travaille mieux, celle-ci ralisera des gains qui auront certainement des rpercussions directes ou indirectes sur leurs conditions de travail.
Groupe Eyrolles
Lean
257
Relation Lean-Kaizen
La mthode Kaizen est plus ancienne que la mthode Lean. La mthode Lean est trs oriente production, industrie (manufacturing), bien quelle commence smanciper vers les services, alors que la mthode Kaizen concerne toute lentreprise, elle fait partie de sa culture ; les deux mthodes sont complmentaires. Des rapprochements verront peut-tre le jour dans quelques annes.
Groupe Eyrolles
Chapitre 14
MEHARI
HISTORIQUE
Parmi les mthodes danalyse des risques, la mthode MEHARI (Mthode harmonise danalyse de risques) est dorigine franaise ; cest le Clusif qui la fait connatre. Il sagit dune association de professionnels spcialiss dans le domaine de la scurit informatique. MEHARI est une fusion de deux autres mthodes. RETENIR
Les deux mthodes sont MELISA, qui concerne la dfense (les armes quel que soit le corps), et la mthode MARION, qui, au dbut, avait pour principaux clients les banques et les assurances, et par la suite dautres secteurs comme lautomobile.
DFINITION
La mthode MEHARI apporte des conseils et fait rfrence un ensemble dexemples dutilisation de la mthode dans des milieux professionnels. Pour mener bien cette mthode, un pilote doit tre nomm par la DSI. Un des grands avantages de la mthode est que le Clusif met disposition sur son site un ensemble de bonnes pratiques et doutils.
Groupe Eyrolles
APPLICATION
La mise en application de la mthode demande de la rigueur et une bonne connaissance des organisations, car la scurit informatique touche lensemble des utilisateurs et pas seulement les quipes de la DSI.
260
Les mthodes
Il faut galement savoir mener des campagnes daudits. cette n, la mthode apporte les bases ncessaires, grce plusieurs guides qui sont lanalyse de risques, laudit des services de scurit, lidentication et le classement des ressources sensibles, llaboration des objectifs de scurit. Lide est de constituer des bases solides de connaissances (sur les audits, les services de scurit, les risques). En phase initiale, il faut identier et laborer le plan stratgique de scurit (PSS) ; cest la vision globale de la scurit informatique au sein de lentreprise. Il est dcid au niveau de la direction gnrale et concerne la validation des budgets, les ressources ncessaires affrentes, les volutions en termes dinfrastructures, la salle blanche, les sites externaliser Le plan oprationnel de scurit spcique (POS) concerne un site spcique, son organisation, les lments mettre en place pour celui-ci. Le plan oprationnel dentreprise (POE) permet dalimenter le tableau de bord via les indicateurs.
Dire dexpert
La scurit de linformation est importante, les projets qui sont sans prise de responsabilits de la part de la direction gnrale sont souvent vous lchec ; il faut, comme pour les dmarches de certication ISO, une implication forte de la direction. On assiste depuis peu une vritable prise de conscience de la part des directions gnrales grer les risques lis aux problmes du systme dinformation. Les mthodes voluent, elles fusionnent, elles se transforment. La mthode MEHARI en fait partie.
Groupe Eyrolles
Chapitre 15
OCTAVE/OCTAVE-S
HISTORIQUE
Lapparition dOCTAVE remonte lanne 1999. Cette mthode est dorigine amricaine, linitiative du Computer Emergency Response Team (CERT), centre dexpertise sur les incidents touchant la scurit du systme dinformation. Cette premire mthode concerne les entreprises, et a pour objectif dtre utilise au sein des entreprises avec la version 2.0 en 2001. En 2003, une version spciale PME a t ralise, il sagit de la version OCTAVE-S.
DFINITION
La mthode OCTAVE demande tre conduite par un groupe dacteurs : dun ct, des utilisateurs, gnralement des key users (utilisateurs connaissant bien le SI et les applications associes, ainsi que le domaine dactivit/mtier), de lautre ct, des reprsentants de la direction du systme dinformation.
APPLICATION
La mthode OCTAVE propose un catalogue dans lequel on trouve un ensemble de bonnes pratiques en relation avec les diffrentes activits.
Groupe Eyrolles
La mise en application de la mthode OCTAVE se dcompose en trois tapes : lorganisation : identier les activits informatiques stratgiques pour lentreprise et voir quelles seraient leurs principales menaces ;
262
Les mthodes
la technique ou plus prcisment la technologie : composants dinfrastructures, degrs de vulnrabilit composants, sur site, hors site. Une expertise est ralise an de bien identier les points critiques de linfrastructure informatique ; le dveloppement de la stratgie : cette tape permet de faire une synthse des diffrents rsultats des tapes prcdentes. Suite une analyse dtaille des risques, un plan de protection est labor et mis en place. Aprs ces trois tapes, des livrables sont produire, le plan daction est raliser court terme, pour toute lorganisation autour du systme dinformation, et le plan de gestion des risques de TI est excuter.
OCTAVE-S
Concernant la mthode OCTAVE-S, cest--dire spcialement conue pour les PME-PMI, si la dmarche est la mme on retrouve les mmes organisations , elle na pas la mme ampleur, et concerne moins de personnes avec des quipes plus rduites.
Dire dexpert
Lavantage dOCTAVE et dOCTAVE-S est que cette mthode accompagne les entreprises et offre un vritable service (guide, outils, conseils et exemples) lensemble des clients.
Groupe Eyrolles
Chapitre 16
HISTORIQUE
Dans les annes 1950, Deming prsente une nouvelle mthode damlioration continue auprs du comit directeur de Keidaren, mthode plus connue sous le nom de PDCA. Shewhart est lorigine de la mthode. Cest au Japon que Deming intervient.
DFINITION
PDCA est une mthode damlioration continue. Elle a pour but damliorer les processus, les produits et les services. Elle concerne tous les domaines de lentreprise. Elle est complmentaire aux dmarches Kaizen, Lean et aux normes et rfrentiels ISO 9001:2000, ISO 14001:2004, ISO/ IEC 27001, ITIL V3
APPLICATION
La mise en application de la mthode PDCA est souvent reprsente par la roue de Deming qui est structure en quatre tapes : la premire lettre est le P de Plan, planier : tablir le plan daction et xer des jalons sur un calendrier connu de tous (les acteurs) ; la deuxime lettre est le D de Do, faire : passer laction, raliser ;
Groupe Eyrolles
la troisime lettre est le C de Check, vrier : vrier ce qui a t fait pour sassurer que tout est correct ; la quatrime lettre est le A de Act, ajuster : ajuster, voire corriger pour samliorer.
264
Les mthodes
Prparer Plan
Vrifier Check
tape
Contenu
tape 1
Identier le problme. Construire un groupe de travail. Formaliser le problme (outils QQOQCCP). Mesurer la situation actuelle grce la dnition dindicateurs reprsentatifs du problme. Dnir lobjectif.
tape 2
Trouver les causes racines : rechercher les causes (brainstorming, PS/TB, diagramme dIshikawa) ; hirarchiser les causes (vote pondr) ; valider les causes principales (diagramme de Pareto). Choisir des solutions optimales : rechercher les solutions (brainstorming) ; slectionner les solutions (analyse multicritres).
Groupe Eyrolles
tape 3
tape 4
Mettre en uvre la solution retenue : dnir la zone dexprimentation ; rdiger un plan daction ; raliser toutes les actions dnies. /
265
tape
Contenu
tape 5 tape 6
Mesurer les rsultats des solutions mises en place, et les comparer la situation initiale. Formaliser les solutions, et dans certains cas, mettre en place des systmes anti-erreur. Gnraliser les solutions si possible. Valoriser le groupe de travail et les personnes ayant mis en uvre les actions.
Dire dexpert
On parle souvent de cycle PDCA, cette mthode est trs utilise en entreprise. Elle demande une implication du personnel et de la hirarchie.
RETENIR
Un grand avantage de cette mthode est la mise en place de type projet : il est possible de travailler avec un service ou un dpartement la fois ; on ralise un pilote (un service en particulier), un bilan est fait, on recadre certaines choses, et on gnralise auprs des autres services ; le PDCA est par dnition sans n, car il sagit damlioration continue, ltape suivante est le Kaizen.
La roue de Deming est toujours trs utilise et elle le sera encore ; des volutions sont constates par rapport au dbut ; elle se rapproche de plus en plus de la qualit totale ou du Kaizen. Il faut bien comprendre que cette roue na rien de statique, tout au contraire, elle est en mouvement, en mouvement vers lamlioration continue.
P : Planier ou ractualiser les processus. D : Mettre en place le plan daction et grer les processus.
266
Les mthodes
C : Mesurer les efforts, les processus, les services et faire une comparaison avec les objectifs viss. A : Grer les changements an damliorer les processus.
Niveau de maturit
Faire Do D P
Amlioration stabilise
chelle de temps
Algeria-Educ.com
Groupe Eyrolles
Chapitre 17
Six Sigma
HISTORIQUE
La dmarche Six Sigma est apparue dans les annes 1980 ; le groupe Motorola est devenu le pionner en la matire. RETENIR
Lobjectif principal du groupe et des entreprises utilisatrices de cette mthode est dobtenir trs rapidement des gains (quick wins) mesurables, cest--dire nanciers, en menant des ateliers cibls.
DFINITION
Six Sigma est une mthode utile pour optimiser les processus ; elle concerne la fois loprationnel (production) et les autres grandes activits de lentreprise. Les processus de lentreprise sont au centre de la mthode. Les processus de production et de qualit de services livrs auprs des clients sont des processus majeurs pour Six Sigma.
Tableau rcapitulatif de correspondance des
Dfauts par million Qualit (%)
2
Groupe Eyrolles
3 4 5 6
268
Les mthodes
Distribution normale
Dfauts
Dfauts
6 Sigma
APPLICATION
Mettre en place Six Sigma demande une connaissance de la mthode, car lobjectif est de pouvoir gnrer des gains rapides : quick wins. La mthode Six Sigma est dcoupe en cinq phases et, comme beaucoup de mthodes, elle doit tre conduite comme un vritable projet, avec des comits de pilotage, des revues de direction, des jalons, des livrables
Groupe Eyrolles
Procd non 6 Sigma = USL-LSL < 6 Sigma, dfauts > 3,4 dfauts par million Procd 6 Sigma = USL-LSL > 6 Sigma, dfauts < 3,4 dfauts par million
Reprsentation graphique
Six Sigma
269
Que veut mon client ? Comment puis-je le satisfaire ? Comment puisje optimiser mes processus an de rpondre au besoin du client ? Quel est mon niveau de performance ? Analyser les sondages, les mesures de satisfaction, car elles sont importantes pour une meilleure connaissance de la qualit perue de mes services auprs de mon client. Capitaliser et faire voluer les informations concernant les incidents, les problmes lis au fonctionnement des processus et dnir les pistes de progrs associes. Comment faire lanalyse des dysfonctionnements, des problmes ? Faire un tat des lieux des problmes en cours, identier les causes, les origines. Chercher des pistes de progrs, pour samliorer et avoir des processus Six Sigma optimiss. Vrier si les mesures et les plans daction sont bien suivis, maintenir et accompagner lamlioration.
Pour une entreprise de 10 000 salaris, environ 400 personnes sont impliques.
270
Les mthodes
Groupe Eyrolles
Chapitre 18
TCO
HISTORIQUE
Ce principe a t labor en 1988 par le Gartner Group ; depuis, il est appliqu par beaucoup de directions informatiques. Cest la fois un lment comptable et une information importante pour le budget informatique, qui est li aux utilisateurs. Combien nous cote cette infrastructure ? Cest la question que posent les clients (internes) leur DSI.
DFINITION
Il sagit du cot total dun systme, cest--dire lensemble des cots dachat dun matriel ou dun logiciel (entretien, maintenance, formation des quipes).
APPLICATION
Gnralement, le suivi budgtaire est ralis par le service comptable ou la direction administrative et nancire (DAF), toutefois, les DSI veulent et doivent matriser leurs cots de fonctionnement, dacquisition an de pouvoir refacturer leurs clients (internes). TCO (Total Cost of Ownership) permet davoir une vision globale des cots lis au systme dinformation.
Groupe Eyrolles
272
Les mthodes
Le paramtrage, linstallation, la mise disposition dapplications reprsentent un cot difcilement quantiable, car ils comportent beaucoup dinconnues : lassistance aux utilisateurs quand lapplication ne fonctionne plus, la gestion des nouvelles versions, lassistance technique un ensemble de frais est alors engag soit par rapport linfrastructure en place, soit par rapport aux services offerts pour les clients, et prendre en compte. Ces activits sont difcilement chiffrables (sauf sil existe un contrat, un SLA), certains utilisateurs naux, pour des raisons dorganisation, dcident davoir un correspondant informatique au sein de leur service, ce qui engendre une forte hausse des cots de fonctionnement lis au TCO. Le dernier cot concerne le rseau, quil soit LAN (local) ou WAN (distant) ; ce niveau, les cots de liaisons sont facilement quantiables.
Tableau rcapitulatif du TCO par domaine pour un ordinateur de bureau
Domaine % du cot total dun ordinateur
Capital matriel et logiciel Administration Support technique Utilisateurs naux Rseau Total
19 % 10 % 11 % 35 % 25 % 100 %
Groupe Eyrolles
TCO
273
Gestion du TCO Mise en place des bases Renouvellement tous les 9 mois Mesurer les rsultats et valider les processus
Analyse du TCO Analyse des actifs (enqute) Analyse du cot moyen industriel Enqute, audit, qualit sur cots survenus Analyse des cots et comparaison
Amlioration de la TCO Choisir les techniques et pratiques damlioration Exemple ROI, valeur Choisir les meilleures solutions
Les bnces attendus sont : la abilit et la transparence des cots ; des budgets et prvisions ralistes ; une prise de dcision facilite ; lamlioration du contrle des dpenses ; lamlioration des performances et de la productivit ; lamlioration de la satisfaction client ; la diminution des risques ; laugmentation de la valeur ajoute.
Dire dexpert
Groupe Eyrolles
Dans le cas de gure dinfogrance, dhbergement ou de mutualisation, laspect TCO est voir plus nement avec lensemble des partenaires ; gnralement le contrat prcise et valide les dcisions prises. Une estimation a t faite par le Gartner Group, sur la rpartition du cot de possession dun dploiement dapplication sur un poste de travail.
Source : Gartner Group.
274
Les mthodes
Capital 19%
Administration 10%
Support 11%
35%
Groupe Eyrolles
Chapitre 19
TDBSSI
HISTORIQUE
En fvrier 2004, en France, la Direction centrale de la scurit des systmes dinformation (DCSSI) publie llaboration des tableaux de bord SSI (TDBSSI), il sagit dun vritable guide pour les directions de la scurit de linformation. Les tableaux de bord des entreprises en matire de scurit informatique ne suivent aucun formalisme, ne reposent sur aucun standard. Le guide TDBSSI prsente et explique une dmarche, ainsi que des outils facilement utilisables par les entreprises.
DFINITION
Le tableau de bord scurit des systmes dinformation (TDBSSI) permet lensemble des membres dune direction informatique, ainsi quaux membres du personnel du service, de bncier dune vision gnrale et synthtique de la situation qui existe en matire de scurit, et ce quel que soit le domaine : oprationnel, technique ou tudes (audits, avertissements, alertes et plans daction associs).
APPLICATION
Le guide comporte la fois un exemple dapplication et un ensemble de ches daide, qui constituent un prcieux gain de temps et une assistance tout au long de la mise en place de la dmarche et de lavancement du projet. Un grand nombre de dmarches doivent tre menes comme un vritable projet, et TDBSSI nchappe pas la rgle : il y a cinq grandes tapes qui sont dveloppes dans le tableau ci-aprs.
Groupe Eyrolles
276
Les mthodes
Un ensemble de familles dindicateurs pourra tre ralis en relation avec les objectifs de la scurit ; cest le cas pour le niveau stratgique, le niveau fonctionnel et le niveau oprationnel. Il serait possible de prendre en compte dautres niveaux comme les niveaux nancier, juridique Une grande partie des donnes initiales proviennent des dispositifs de scurisation, comme les rewalls, les antivirus
Prrequis
Capitaliser la pertinence des informations. Recueillir les informations, les donnes traiter.
Communiquer auprs des diffrents acteurs. Identier les acteurs an de mettre en place les groupes de travail. Construire les tableaux de bord SSI en prenant en compte les donnes identies. Mise en uvre des tableaux de bord SSI. Suivi des tableaux de bord SSI et suivi des modications apportes aux tableaux de bord SSI.
Source : www.ssi.gouv.fr/fr/conance/documents/methodes/ tdbssi-section1-methodologie-2004-02-05.pdf
laboration des tableaux de bord SSI Exploitation des tableaux de bord SSI volution et amlioration des tableaux de bord SSI
Dire dexpert
Les objectifs de scurit sont en rapport avec les mesures et indicateurs qui seront en place au sein de lentreprise, au niveau de la direction (aspects stratgiques), des mtiers (aspects fonctionnels), de la ralisation et de la production (aspects oprationnels). Les tableaux de bord ont pour but de donner aux directions la situation, les tendances sur la qualit de service dun dpartement, dune direction. Il sagit bien dun outil stratgique. Le contenu, la forme, le circuit de validation sont des critres importants pour les dcideurs.
Groupe Eyrolles
Les modles
278
Les modles
DFINITION
Faire rfrence un modle et se reprsenter une copie dans ses caractristiques particulires, ses qualits intrinsques, au regard dune rfrence reproductive. Le modle est ce quoi lon se rfre, cest une base premire dans la rexion. Le modle est lorganigramme de la pense, cest la reprsentation dune ide, un concept que lon souhaite raliser. Le terme modle, lorigine, est emprunt de litalien modello ; cest un diminutif de modus, en dautres termes, mesure . Cest un exemple imiter, une gure que lon recompose, une vision de limaginaire qui prend forme. Limage est la mesure de la vision. Lutilisation moderne du concept vient avec larrive des travaux des cybernticiens et, rapidement, on retrouve cette ide dans les diffrentes sciences humaines (sociologie, conomie, linguistique structurale). De nos jours, nous parlons de modlisation dun processus, cest--dire dessiner, simplier des lments dun ensemble complexe. Le modle, cest larchtype de notre ralit. Il reprsente lexpression de nos images internes. Par des exemples, un ensemble de formules cohrentes, des gabarits, lide est pose sur la feuille. Au dpart, une esquisse, un dessin, juste le contour dune expression qui deviendra ralit. La force dun modle se trouve dans la possibilit de donner une rponse heureuse une question quun individu se pose. Parmi les nombreux choix possibles dun modle, il en existe un qui correspond tout fait la question que lon se pose. Les reprsentations de tableaux, les images qui jaillissent des potes, les symboles universels sont une ralit pour tout individu avide de comprhension et de mise en uvre de ralisations cratives. Dans cette dernire partie, notre souci est dorienter le lecteur sur la comprhension stratgique des entreprises. Dans ce but, nous rpondons certaines questions : si lentreprise veut des prots durables, alors quel modle de cration faut-il utiliser ?
Groupe Eyrolles
lors de la cration dun modle organisationnel, comment faire pour que les concurrents ne semparent pas du modle ? comment dployer un tel modle, par qui, et sur quel primtre ? lorsque le modle est dni, fait-il rfrence une mthode, un rfrentiel ou une norme ?
Les modles
279
doit-on crer des modles particuliers lentreprise, de type gnrique, ou alors est-il prfrable dutiliser les modles courants de la stratgie dentreprise ? comment savoir si un modle correspondra au devenir de lentreprise ? Les modles sont lorigine des outils daide la dcision qui datent des annes 1960 ; lun des plus connus et des plus utiliss est lanalyse SWOT qui indique dans une matrice les forces et les faiblesses dun projet, dun service, ainsi que les opportunits et les menaces. Certains modles se sont rendus clbres, tels ceux proposs ci-dessous : H. Igor Ansoff, le fondateur du management stratgique ; M. E. Porter, le positionnement stratgique et lavantage concurrentiel ; J. B. Barney, lavantage concurrentiel soutenable ; le Boston Consulting Group (BCG), la consultance stratgique. Les modles sont nombreux, nous avons d faire un choix drastique parmi les dizaines de modles existants. Nous avons souhait garder une simplicit dans nos crits et un apport complmentaire dans la comprhension des NRMM. Les lecteurs souhaitant aller plus loin dans la connaissance des modles pourront se rfrer la bibliographie. Cette partie ne comporte pas de dire dexpert , la plupart de ces modles ntant pas utiliss seuls mais en complment de mthodes, de rfrentiels ou de normes. Nous trouvons essentiellement les experts au sein des normes, des rfrentiels et de certaines mthodes ; le qualicatif dexpert tant engendr par une certication, un diplme, une accrditation, une reconnaissance de la spcialit. Aucune certication nest dlivre pour les modles.
Cartes mentales
Groupe Eyrolles
Principe de limagination et de lassociation dides et dimages Identier les causes possibles dun effet constat Diagnostic de lavantage concurrentiel
1 2 3 /
280
Les modles
Modle
Dnition
Chapitre
Chane de la performance Modle des carts de la qualit de service Les 3C ou le triangle stratgique Les 5S
Mise en place et dploiement de la stratgie de lentreprise Utilis pour le management de la qualit, stratgique et oprationnel La dimension des segments pour le client, des fonctions pour lentreprise, et des facteurs de comptitivit pour la concurrence Cinq critres importants qui sont le dbarras, le rangement, le nettoyage, lordre et la rigueur Trouver la cause premire dun problme Fond sur cinq forces, dont le jeu contraint celui de lentreprise Comprendre la dynamique dune organisation ou se xer les buts pour un programme de changement Atouts et attraits de chacun des segments de lentreprise Modle pour classier et valuer des produits Modle de classement selon le degr durgence ainsi que le degr dimportance Dnir les causes fondamentales responsables des dispersions Prsentation des facteurs denvironnement Analyse qui permet de classer les causes dun dysfonctionnement, dun problme Identier les intervenants pour la ralisation dune tche Appliqu dans le cadre de changements de fabrication lments permettant danalyser la relation client-fournisseur Analyse les forces, faiblesses, opportunits et menaces volution des mthodes de maintenance
4 5 6
8 9 10
Matrice Atouts/ Attraits Matrice Croissance/ Part de march Matrice Importance/ Urgence MSP/SPC PEST Principe de Pareto ou loi des 80/20 RACI SMED SIPOC ou les relations client-fournisseur SWOT TPM
11 12 13 14 15 16 17 18 19 20 21
Groupe Eyrolles
Chapitre 1
Cartes mentales
HISTORIQUE
Le Mind Mapping a t ralis dans le courant des annes 1970 par Tony Buzan. Son sens littral en franais signie reprsenter une carte de pense . Notre cerveau fonctionne par lassociation de mots cls. Lutilisation de ces associations en schma est plus aise quune reprsentation textuelle. Chaque lment de la carte mentale est une ide cl ; de cette ide jaillit un nouvel lment, et ainsi de suite.
DFINITION
Les hmisphres du cerveau
Tony Buzan, dans son ouvrage Une tte bien faite, a mis en vidence que les individus prfrent utiliser lhmisphre gauche du cerveau, l o se trouve le calcul rationnel, les lments logiques notre interprtation, la source du langage. Lautre hmisphre, le droit, appartient la crativit, lesprit de synthse. Ds lors, en stimulant lhmisphre droit de notre cerveau, nous pouvons le faire fonctionner plus aisment avec notre hmisphre gauche. Les cartes mentales ont donc pour principe dassocier limagination, la cration, avec lassociation des ides.
Groupe Eyrolles
282
Les modles
les branches, qui partent de cet lment rassemblant les ides principales ; les petites branches, jaillissant des principales, illustrant la raison existante des grosses branches. Plus les ides sont nombreuses et varies, et plus le nombre de niveau de branches est important.
APPLICATION
De nombreuses applications sont envisageables : pendant une runion, en relevant lensemble des lments qui constituent les buts et les objectifs de celle-ci ; lors dun entretien, en notant les mots cls, les associations de mots ; dans une confrence, en relevant chaque lment essentiel du discours ; pendant une conversation tlphonique, en prenant en note rapidement lessentiel de la conversation.
Groupe Eyrolles
Chapitre 2
Ishikawa
HISTORIQUE
Kaoru Ishikawa (1915-1989), dorigine japonaise, est lun des premiers thoriciens pour la gestion de la qualit. On lui doit notamment le diagramme de causes et effets, qui est un outil fondamental pour assister les cercles de qualit.
DFINITION
Le diagramme dIshikawa, ou plus communment appel arte de poisson , est un modle permettant didentier les causes possibles dun effet peru et, par consquent, de mettre en place les solutions remdiant aux causes releves. RETENIR
Ce modle est reprsent sous la forme dune arte de poisson, do son surnom ; des ches dnissant les effets viennent se greffer sur le corps central de larte.
APPLICATION
Se poser en priorit la question suivante : quel est leffet souhait par rapport la cause premire ?
Groupe Eyrolles
284
Les modles
Pour ce faire : lister les causes premires, celles qui sont susceptibles de concerner le problme, et noter lensemble de ces ides ; par le brainstorming, qui consiste faire jaillir toutes les ides relevant dun sujet spcique, approfondir la globalit de la question ; classer toutes les causes par famille. Lune des principales questions sur le rsultat souhait dun tel modle est de rpondre la question : Sur quels types de causes je peux agir ?
Effet
M3
M4
M5
Source : Kaoru Ishikawa, La Gestion de la qualit.
parmi les causes potentielles, se demander quelle est la source du problme identi ; il restera vrier, analyser, et corriger la cause.
Groupe Eyrolles
tenir compte de lensemble des causes qui sont potentielles et les identier sur des mini-ches ;
Ishikawa
285
M1
M2
Effet
M3
M4
M5
Source : Kaoru Ishikawa, La Gestion de la qualit.
Groupe Eyrolles
Chapitre 3
Chane de valeur
HISTORIQUE
La chane de valeur, concept dvelopp lorigine par Michael Porter dans le milieu des annes 1980, dcompose lactivit de lentreprise en fonctions : direction, logistique, production, commerciale, marketing, etc. La performance de lentreprise peut tre value avec la chane de valeur. Cette chane peut galement se trouver tendue un secteur particulier dactivit conomique. Dans cette notion, nous avons lide de client et de fournisseur ; rendre au client un ensemble de services sans que celui-ci en subisse les cots et les risques. Lorganisation en fonctions stratgiques oriente les dcisions prises au regard des clients. Les activits de lentreprise sont porteuses davantages concurrentiels en termes de diversication, de distinction, de cots ; ainsi, elles sont porteuses de cration de valeur pour le client.
DFINITION
RETENIR
Lanalyse de la chane de valeur est un outil indispensable pour faire un diagnostic de lavantage concurrentiel.
Groupe Eyrolles
288
Les modles
Ltude de la chane de valeur dcoupe lentreprise en activits stratgiquement importantes. Aprs avoir effectu cette tude, lentreprise est apte choisir une stratgie spcique chaque produit.
APPLICATION
M. Porter distingue neuf catgories gnriques dactivits : Logistique interne : accueil, classement, rangement et affectation des moyens de production indispensables au produit. Logistique externe : rcolte, stockage, archivage et attribution des produits aux clients. Production : transformation des moyens en but, comprenant la rparation des machines, le contrle de la qualit. Commercialisation : activits lies la fourniture des moyens par lesquels les clients achtent un produit et sont incits le faire. Services : activits associes la fourniture dun service tendant accrotre ou maintenir la valeur du produit. Approvisionnement : situ en amont de la production dans le cycle dexploitation de lentreprise, son rle est de satisfaire les besoins en fournitures et services des autres fonctions de lentreprise au meilleur cot et dans le respect des quantits, de la qualit et des dlais exprims. Recherche et dveloppement : Changement introduit sciemment dans lconomie par un agent quelconque et ayant pour but et rsultat une utilisation plus efciente ou plus satisfaisante des ressources. (Encyclopedia Universalis) Gestion du personnel : fonction apparue avec les tudes de Elton Mayo, au dbut du sicle ; ni Fayol ni Taylor ny font rfrence. Aujourdhui, la gestion du personnel et limportance quon y accorde sont une valeur ajoute pour lentreprise. Infrastructure de lentreprise : reprsente par la fonction direction. Le rle du dirigeant est de choisir les buts de lentreprise. Les membres du conseil dadministration, du directoire, du comit dexcution, du conseil de surveillance, et toutes les personnes susceptibles dexercer une inuence sur la stratgie de lentreprise peuvent intgrer cette fonction.
Groupe Eyrolles
Chane de valeur
289
Infrastructure de lentreprise
Activits de soutien
AR
GE
Services
AR
GE
Activits principales
Source : M. Porter, LAvantage concurrentiel.
Groupe Eyrolles
Chapitre 4
Chane de la performance
HISTORIQUE
La Supply Chain Management (SCM), ou gestion de la chane logistique, sintresse aux processus cls de la fabrication, la planication, au suivi de la production, lexcution et au contrle de la performance. Lors de son apparition en France, la gestion de la chane logistique tait principalement centre sur la fonction excution (fabrication, entrepts, transport logistique).
DFINITION
Lentreprise permet de dnir et didentier un ensemble de domaines de performances propres son activit : les ressources humaines ; les processus internes ; les relations clients ; les nances. RETENIR
En suivant le modle de la chane de la performance, lentreprise labore et explicite son modle type de performance, tout dabord par rapport la vision intuitive quelle sen fait, puis en vriant les rsultats statistiques des corrlations prsumes.
Groupe Eyrolles
Un des grands avantages de lentreprise est de mettre en uvre une vision dite totale et commune des facteurs cls de la performance, en gnral au sein de lentreprise.
292
Les modles
APPLICATION
Le modle est indispensable pour lanalyse, laudit et le diagnostic de fonctionnement, le management par les objectifs. Il sert la mise en place et au dploiement de la stratgie de lentreprise. DANGER
Attention, le modle de performance est propre chaque entreprise ; an dtre efcace, il est conseill quil soit construit par les services oprationnels, fonctionnels, en se fondant sur lexprience des femmes et des hommes de lentreprise.
CA
Rentabilit
Image positive
Cots
Qualit
Comptences du personnel
Satisfaction du personnel
Formation
Recrutement
Suggestion du personnel
Groupe Eyrolles
Chapitre 5
HISTORIQUE
En 1985, Parasuraman, Zeithaml et Berry ont dni le modle le plus reconnu pour lvaluation de la qualit du service et de la satisfaction de la clientle. Ils lont appel le modle des carts de la qualit de service.
DFINITION
Ce modle est utilis pour la gestion de la qualit, le management stratgique et oprationnel.
Modle de la qualit
Service attendu Service attendu de la part du client, il sagit dune attente mesurable : fonction de la diffrence entre les attentes du client et sa perception du service offert. La satisfaction du client est plus grande lorsquil peroit quon lui offre un bon service, quand ses attentes sont compatibles avec le service que lorganisation peut fournir. Service reu
Groupe Eyrolles
Service reu de lentreprise, destination du client, il sagit dune prestation mesurable : fonction de nombreux facteurs externes qui chappent la volont du fournisseur de service.
294
Les modles
Dlivrance du service Dlivrance du service par lentreprise au client, il sagit dun engagement du fournisseur : fonction de plusieurs facteurs externes comme lhumeur gnrale du client, qui sont indpendants de la volont de la direction, des communications tablies avec le client. Si la prestation du service nest pas conforme aux informations fournies au client, cela affecte la satisfaction de la clientle. Offre de service Offre de service de lentreprise aux clients, engagement contractuel : fonction des plans dicts concernant la prestation du service, de la ralit de laccueil dont les ressources limites et dautres facteurs inuent sur la capacit doffrir le service. Si les plans de prestation du service ne concordent pas dans les faits avec la prestation, un cart se creuse et peut provoquer linsatisfaction du client. Perception des attentes des clients par le fournisseur Mesures, sondages : fonction de divers facteurs indpendants de la volont des gestionnaires, de la perception des attentes du client par lorganisation. Si les facteurs externes exercent une contrainte sur la planication du service, il est impossible de respecter les attentes du client. Communication externe avec les clients Par le fournisseur, dlisation, prospection : fonction de la tradition, danecdotes, de lexprience personnelle des attentes de la clientle. Si les attentes du client sont coupes de ses attentes relles, toute la chane de la prestation aboutit une moins grande satisfaction.
APPLICATION
Lcart qui existe entre le service reu, tel que le client le peroit, et le service attendu par ce client, rfrence 1 , est dtermin par quatre carts dits lmentaires qui sont :
Groupe Eyrolles
lcart entre le service attendu par le client et la perception par lentreprise des attentes de ce dernier : cart de connaissance (2) ; lcart entre la perception par lentreprise des attentes des clients et sa traduction en une offre de service avec ses caractristiques et ses spcications : cart de conception du service (3) ;
295
lcart entre loffre de service dnie et la ralit du service qui est vraiment dlivr : cart de mise en uvre (4) ; lcart entre la ralit du service dlivr et les messages qui circulent par les communications externes destines la clientle : cart de communication (5).
Service attendu Client Service reu
1
Dlivrance du service
4
Entreprise
Offre de service
3 5
1 Qualit de service globale 2 Qualit de la connaissance des attentes des clients 3 Qualit de la conception de loffre de service 4 Qualit de la mise en uvre de loffre de service 5 Qualit de la communication sur le service
Groupe Eyrolles
Chapitre 6
HISTORIQUE
Le triangle stratgique a t cr par Kenichi Ohmae (n en 1943) ; cest lun des plus grands spcialistes mondiaux de stratgie conomique des entreprises.
DFINITION
RETENIR
Trois critres sont prendre en compte pour laborer une stratgie dentreprise : lentreprise, la concurrence et le client. Sans ces trois critres il ny a pas de stratgie. Ces critres sont coupls avec des primtres bien spciques : le primtre fonctionnel pour lentreprise, le primtre comptition pour la concurrence, et le primtre niche ou segment de march pour le client.
Au sein de lentreprise, lensemble des pistes de progrs apporte un niveau de maturit sur les performances et sur lesprit de comptition qui existe au sein des services face la concurrence ; cela concerne les aspects qualitatif, de service, de prix, de rputation, dimage de marque. La stratgie prend en compte la vision du march par sa segmentation et, bien entendu, les futures attentes et besoins des clients.
Groupe Eyrolles
APPLICATION
La stratgie qui va faire la diffrence est celle que lentreprise utilisera par rapport ses concurrents, en employant ses ressources internes an
298
Les modles
de rpondre et de satisfaire aux besoins des clients. Pour mener bien les 3C, il faut avoir un bon niveau de dcision stratgique de la structure pour que celui-ci puisse agir la fois sur la segmentation, loptimisation des ressources internes et les diffrents facteurs de comptitivit.
Les clients
Val eur
Val eur
Lentreprise
Cots
Les concurrents
Groupe Eyrolles
Chapitre 7
Les 5S
HISTORIQUE
Le modle 5S a vu le jour au Japon dans les annes 1947-1950. Cr par le japonais Takashi Osada, il sinscrit dans la dmarche Kaizen et, gnralement, fait partie de ses outils.
DFINITION
RETENIR
Le modle 5S repose sur cinq critres importants qui sont le dbarras, le rangement, le nettoyage, lordre et la rigueur. Llimination du gaspillage est le vecteur commun aux cinq critres.
Le modle 5S vise donner un oprateur une meilleure matrise de son environnement de travail.
APPLICATION
Lappellation 5S tire son origine de la premire lettre de chacune des cinq oprations conduire dans le cadre de cette technique de management.
Groupe Eyrolles
300
Les modles
travail (normes, rgles, documentation). Elle lutte contre le penchant bien naturel qui consiste accumuler.
Seiso (nettoyer)
Cette opration, valable surtout en milieu industriel, assure la propret du poste de travail en luttant contre la poussire, la salet, les chutes de matriaux, les fuites dhuile. Lentretien des sols et de machines y prend une importance toute particulire. Le nettoyage devient loccasion et le moyen dinspection des machines pour dtecter les anomalies et les usures prmatures.
Conditions de russite
Elles consistent en une adhsion active de la direction la dmarche, puis en la participation de chaque collaborateur. Des audits sont raliss de manire rgulire an de voir (preuves, photos, consignes), vrier, contrler si la dmarche est bien utilise.
Groupe Eyrolles
STRATGIQUE
Les 5S sont utilises dans les milieux industriels, mais le secteur des services commence sy prter ; le syndrome du bureau net y est pour quelque chose
Chapitre 8
Les 5P
HISTORIQUE
Le modle des 5P ou des 5 pourquoi , tout comme le modle des 5S, est apparu dans les annes 1947-1950 au Japon. Il sinscrit dans la dmarche Kaizen, et fait partie de son panel doutils.
DFINITION
Le modle 5P permet de trouver la cause premire dun problme. Il repose sur un questionnaire que lon appelle les 5P, les 5 pourquoi , ou les 5W. CIBLE ATTEINDRE
Trouver la cause premire (origine) dun problme.
APPLICATION
Le modle 5P sapplique de la faon suivante : Identier un problme traiter (complexe de prfrence). Identier les principaux acteurs (experts, clients internes, fournisseurs dans certains cas) qui seront dans le groupe de travail. Recenser lensemble des preuves et les centraliser pour travailler avec le groupe. Durant la runion, questionner cinq reprises les diffrents acteurs concerns par le problme. Btir avec le groupe les diffrentes sources de rponses obtenues suite aux 5 pourquoi , questions poses.
Groupe Eyrolles
302
Les modles
Identier et valider lorigine ou les origines du problme dans le cas dun problme complexe. Proposer un plan dactions pour la rsolution du problme ; attention, cela peut demander un peu de temps (contrat revoir, modication dun programme de production, traitement informatique). Il est important de travailler plusieurs sur les rsolutions de problmes.
Pourquoi y a-t-il de lhuile par terre ? Je crois que cest une fuite de la machine
Pourquoi y a-t-il une fuite sur cette machine ? Cela doit venir du joint dhuile
Groupe Eyrolles
Vous lui demandez douvrir la machine et voyez que le joint est dfectueux. Vous lui prcisez alors quil vaut mieux changer le joint an darrter la fuite une fois pour toutes, et que cela vitera ainsi dutiliser du sable.
Chapitre 9
Les 5 forces
HISTORIQUE
Le modle des 5 forces a t dvelopp par lconomiste Michael Porter en 1979.
DFINITION
Le modle synthtise les facteurs inuant sur la performance dune entreprise par cinq forces : le pouvoir de ngociation des clients, le pouvoir de ngociation des fournisseurs, la menace des nouveaux entrants, la menace des produits de substitution et lintensit de la concurrence du secteur.
Les 5 forces
Les clients Les clients ont la possibilit dinuencer les cots de vente, mais aussi la qualit de production et les dlais de livraison des produits nis. Les fournisseurs La gestion des fournisseurs ou supplier management (SM) est le processus consistant grer les fournitures et les services an dobtenir une qualit de service sans discontinuit, et dassurer la valeur des investissements.
Groupe Eyrolles
Les nouveaux entrants Un secteur attractif est porteur de nouveaux concurrents. Lentreprise face ces rivaux doit ragir par la mise en place de barrires pour les
304
Les modles
nouveaux prtendants. Une nouvelle entreprise doit payer un lourd tribut an de stablir sur le secteur. Les produits de substitution Ces produits sont une alternative loffre principale ; gnralement, ils rpondent une demande semblable. Exemple : une entreprise de produits laitiers peut proposer la vente des biscuits au lait. La concurrence Sur un secteur identique, les entreprises se livrent une comptition an de survivre ou damliorer leur statut.
APPLICATION
CIBLE ATTEINDRE
Le modle des 5 forces est utilis pour laborer une analyse stratgique externe.
Dautres forces peuvent venir enrichir les 5 forces principales ; dautres acteurs comme les institutions publiques, les administrations, les collectivits locales
Nouveaux entrants
Les fournisseurs
Concurrents du secteur
Les clients
Produits de substitution
Groupe Eyrolles
Chapitre 10
Les 7S
HISTORIQUE
Ce modle date de la n des annes 1970, Richard Pascale et Anthony Athos stant demand les raisons de la russite des entreprises japonaises. peu prs la mme poque, Tom Peter et Robert Waterman, dans leur clbre ouvrage Le Prix de lexcellence, staient pos la mme question. Ds lors, ces quatre auteurs ont travaill la mise en place de ce modle, appel les 7S, repris depuis par lentreprise de conseil McKinsey.
DFINITION
Ce modle des 7S aide saisir la dynamique dune organisation, qui permet dorienter globalement et efcacement les objectifs des raisons du changement.
APPLICATION
Le modle est compos de 7 lments, dont tous les termes anglais commencent par un S : Shared value : Les valeurs partages de lentreprise, qui sont au centre du modle. Cet lment est en interaction avec les 6 autres concepts dtermins dans le modle des 7S.
Groupe Eyrolles
Strategy : La stratgie de lentreprise (rpondre aux buts avec des moyens). Skills : Le savoir-faire (lutilisation des connaissances). Staff : Le personnel (lutilisation des comptences).
306
Les modles
Style : Le style ou la manire du personnel dirigeant de se comporter dans la ralisation des buts de lentreprise. Systems : Le systme indique le comment de la ralisation dune tche au travers dun ensemble de procdures, de modes opratoires, de tches distinctives. Structure : La structure qui rvle lagencement des diffrentes sections de lentreprise, et la faon dont elles interagissent les unes par rapport aux autres.
Structure
Systme
Style
Groupe Eyrolles
Chapitre 11
Matrice Atouts/Attraits
HISTORIQUE
Le modle de la matrice Atouts/Attraits doit sa conception James OI. McKinsey en 1926 ; il sagit dun outil daide la dcision.
DFINITION
Cette matrice permet de savoir si lentreprise possde sufsamment datouts pour rpondre un march o les attraits sont levs pour les clients.
APPLICATION
Ce modle est reprsent dans une matrice o, gnralement, les Atouts sont en abscisse et les Attraits en ordonne. Attrait comme Atout sont spars en faible , moyen et fort ; ce qui permet de positionner la stratgie de lentreprise sur lventuelle prise de dcision.
Fort
Attraits
Groupe Eyrolles
Atouts
Source : Kenichi Ohmae, Le Gnie du stratge, Dunod, 1992.
Chapitre 12
HISTORIQUE
Lvaluation et la classication des produits se font en utilisant le modle danalyse du Boston Consulting Group (BCG), qui porte le nom de Growth Share Matrix. Le modle a t mis au point au cours des annes 1970 par le BCG. Les produits sont reprsents dans une matrice comme celle reprsente ci-dessous.
Taux de croissance du march
Forte
Vedette
Dilemme
Faible
Vache lait
Poids mort
Part du march relative
Groupe Eyrolles
Forte
Faible
310
Les modles
DFINITION
Quand une entreprise prend une dcision stratgique en rapport avec le segment de march, elle doit sassurer de deux lments : la croissance du march et la part quelle y dtient. RETENIR
Le modle matrice Croissance/Part de march permet de croiser les deux aspects. Sur laxe du taux de croissance, la valeur mdiane correspond au taux du march qui est concern. Laxe Part de march indique le rapport en volume au principal concurrent.
Il y a quatre types de positions : les vedettes ou les stars, produits leaders dans un march croissance rapide ; les vaches lait, produits leaders dans un march faible croissance ; les dilemmes, produits peu comptitifs sur un march croissance rapide et forte ; les poids morts, produits peu comptitifs sur un march croissance faible. Le lien qui existe avec le cycle de vie est le suivant : les vedettes deviennent des vaches lait qui deviennent des poids morts. Il faut savoir que plus la croissance est rapide, plus les besoins de liquidits sont forts et importants, plus la position de la concurrence est bonne, plus elle gnre des liquidits. Les entreprises ont donc intrt rentabiliser et traire les vaches lait pour investir dans les vedettes ou les dilemmes qui peuvent devenir des leaders, et abandonner peu peu les autres dilemmes et les poids morts.
APPLICATION
Ce modle permet dvaluer des stratgies, des dcisions stratgiques.
Groupe Eyrolles
Chapitre 13
HISTORIQUE
Cette matrice est galement connue sous le nom de matrice ABC. Pour rsoudre les problmes de surcharge de travail, D. Eisenhower (18901969), commandant en chef des forces allies en Europe, a mis au point la matrice Importance/Urgence.
DFINITION
RETENIR
Les activits peuvent se classer la fois selon leur degr durgence et leur degr dimportance.
Le critre urgence est primordial ; il permet de grer les priorits, car de nombreuses erreurs et dysfonctionnements existent, des confusions ont lieu entre limportance et lurgence, ce qui rend difcile lordonnancement des priorits. Une organisation est prconise an de faire prvaloir le critre importance ; cela demande un traitement spcique : il faut prendre sufsamment de temps pour traiter les activits dites importantes et urgentes, puis traiter les autres activits non urgentes. La matrice est utilise par le management oprationnel.
Groupe Eyrolles
312
Les modles
APPLICATION
Sur une matrice, lurgence est indique en abscisse et limportance en ordonne. Chaque lment, urgence ou importance , est divis en deux parties, faible ou fort . Ds lors, nous avons : Priorit Priorit Priorit Priorit 1 2 3 4 : : : : Tche Tche Tche Tche importante et urgente. importante mais pas urgente. urgente mais pas importante. non urgente et non importante.
Importance
Forte
Faible
4
Urgence
Forte
Faible
Groupe Eyrolles
Chapitre 14
MSP-SPC
HISTORIQUE
La Matrise statistique des procds (MSP) ou Statistical Process Control (SPC) date du milieu des annes 1920 grce Walter A. Shewart, ingnieur la Western Electric, qui fut le premier travailler sur les techniques statistiques de contrle de la qualit des produits nis. Il a eu comme lve Edwards Deming, le fondateur de la clbre roue (PDCA). MSP est un modle fond sur lanalyse statistique ; cet outil permet de matriser la production.
DFINITION
RETENIR
MSP-SPC a une approche culturelle concernant la comprhension des notions dintervalles de tolrance et une approche plus technique concernant les outils. Tous les procds ne sont pas capables de reproduire exactement le mme produit (rglage de la machine, humidit, chaleur).
Groupe Eyrolles
Le MSP-SPC utilise le modle 5M ; il sagit dun outil qui permet de distinguer les cinq lments principaux qui sont la base des dispersions possibles lors dun procd industriel. Le 5M a pour objectif de travailler sur les cinq causes fondamentales responsables des diffrentes dispersions (non-qualit) : machine, main-duvre, matire, mthodes, milieu. Beaucoup de variations, souvent alatoires, dune caractristique suivent une courbe dite en cloche.
314
Les modles
On distingue deux types de causes : les causes communes : il sagit de nombreuses sources de variations qui sont difcilement matrisables et qui sont prsentes dans diffrents procds. Ces causes communes forment la variabilit intrinsque du procd, cette variabilit suivant souvent la loi de Gauss ; les causes spciales : il sagit de dispersions identiables, irrgulires, instables, imprvisibles. Cela ncessite une intervention sur le procd ; heureusement, ces dispersions sont limites. Par exemple, la machine est drgle suite lusure dun outil.
APPLICATION
tape 1 But : connatre la variabilit naturelle du procd. Comment : raliser une carte de contrle sans limite. Aller ltape 2. tape 2 But : xer les limites des variations gnres par les causes communes. Comment : en utilisant la moyenne des variations observes en 1 ou 4. Aller ltape 3. tape 3 But : prvenir lapparition des causes spciales, dcouvrir les actions susceptibles damliorer la capabilit du procd. Comment : dtecter sur les cartes les variations de rglage et de capabilit. Aller ltape 4. tape 4 But : amliorer la capabilit du procd. Comment : en rsolvant les problmes mis en vidence par ltape 2.
Groupe Eyrolles
Chapitre 15
PEST
HISTORIQUE
Le modle PEST est apparu dans les annes 1960 aux tats-Unis, il est aussi appel lanalyse PEST. Il concerne quatre grandes activits : la politique, la technologie, le social et lconomie ; activits qui ont des impacts directs sur le fonctionnement des entreprises. Le modle sest rapidement rpandu en Europe et, de nos jours, il est mondialement connu.
DFINITION
RETENIR
Les impacts sur le fonctionnement de lentreprise, les performances de lentreprise ainsi que tous les facteurs lis lenvironnement sont prsents dans le modle PEST.
Il sagit des facteurs : politiques (P) : orientations politiques, actions des pouvoirs publics conomiques (E) : ination, conjoncture, chmage, taux de change sociaux (S) : comportements ou attentes des clients et des salaris
Groupe Eyrolles
technologiques (T) : volution des technologies, des produits et services, des mthodes de travail Les facteurs types, nationaux, march conomique, mondialisation sont galement pris en compte.
316
Les modles
APPLICATION
Les relations entre lentreprise et lenvironnement sont analyses au travers du modle PEST : les changements, les volutions, le tout avec une vision futuriste par rapport aux objectifs de lentreprise. Des rapprochements sont possibles entre des critres environnementaux et les expertises sur les futures menaces. Les critres lis aux changements sont associs au domaine de lenvironnement. Des rapprochements sont possibles aussi concernant le positionnement de lentreprise par rapport aux concurrents.
Facteurs politiques
Facteurs technologiques
Entreprise
Facteurs conomiques
Facteurs sociaux
Groupe Eyrolles
Chapitre 16
HISTORIQUE
Cest lconomiste Vilfredo Pareto qui a dcouvert ce phnomne de distribution ingale, en analysant la rpartition des diffrentes richesses dans plusieurs pays des priodes diffrentes. Le qualiticien Juran a t un fervent promoteur de cette analyse.
DFINITION
Le principe de Pareto est une analyse qui permet de classer les causes dun dysfonctionnement, dun problme, dun incident ou dune situation, par ordre dcroissant. Dans de nombreux domaines, une forte proportion des rsultats est due une petite proportion des ressources ou des causes. Par exemple, 20 % des fonctions dun tlphone portable correspondent 80 % de son utilisation.
APPLICATION
Cet outil est utilis pour dnir des priorits et des stratgies daction qui correspondent aux managements stratgique, oprationnel et de la performance (qualit).
Groupe Eyrolles
318
Les modles
20 %
80 %
Ressources Causes
Rsultats Effets
Groupe Eyrolles
Chapitre 17
RACI
HISTORIQUE
Il ny a pas de date spcique, ce quil faut retenir est que cette mthode est utilise depuis longtemps dans la gestion de projets, en gnral, les plans daction. Elle est employe de manire rgulire dans la rpartition des tches ou des activits.
DFINITION
RETENIR
Mthode dorganisation qui a pour but didentier les intervenants pour la ralisation dune tche. Souvent le qui fait quoi est utilis.
R = Responsable, A = Approbation, C = Consultation, I = Information Responsable : cest la personne qui ralise la tche ou laction. Il peut y avoir plusieurs personnes qui ralisent la tche. Approbation : il y a toujours un seul approbateur de la tche. Il doit donner un retour sur lavancement de la tche. Consultation : la consultation est faite par les participants. Information : ce sont les personnes qui doivent tre informes.
Groupe Eyrolles
APPLICATION
Lutilisation du modle RACI permet didentier le qui fait quoi . Il est souvent employ sous forme de matrice.
320
Les modles
Acteurs
Activits
Dfinir le pilote Mettre en place le pilote Former les utilisateurs du site pilote Dployer la solution PDCA sur le site pilote Observer le site pilote Bilan du dploiement du site pilote
Direction qualit
Direction support
Direction projet
Sous-traitant
I I R/A I I R/A
C C R R R/A I
A A C C C C
R R I R/A I I
Groupe Eyrolles
Chapitre 18
SMED
HISTORIQUE
Aprs la Seconde Guerre mondiale, le modle SMED a t dvelopp par Shigeo Shingo pour le compte de lentreprise Toyota, son employeur.
DFINITION
RETENIR
Le modle SMED (Single Minute Exchange of Die) est un modle dorganisation visant rduire les temps de changement des outillages.
La dure des changements des outillages sur les lignes de fabrication a pour consquence la taille minimale des lots lancs en production. Rduire ces temps entrane une vritable optimisation du cot global de revient des produits fabriqus. Single Minute signie un temps infrieur dix minutes.
APPLICATION
Les quatre tapes du modle SMED sont les suivantes : faire linventaire de toutes les tches raliser pour effectuer le changement ; raliser en temps masqu toutes les tches externes ; rduire les temps internes (temps attribu larrt des machines) par des actions cibles damlioration ; rduire la charge des temps externes (pendant le fonctionnement des machines).
Groupe Eyrolles
322
Les modles
Lobjectif est de diminuer le temps de mise en train (MET), cest--dire la partie consacre au rglage de la machine. Les effets bnques que le SMED engendre sont nombreux : une forte augmentation de la exibilit globale des quipements ou des lignes de fabrication, une grande diminution des temps de dlement
Groupe Eyrolles
Chapitre 19
HISTORIQUE
Le SIPOC est n en mme temps que le Six Sigma dans les annes 19801990 aux tats-Unis.
DFINITION
Le sigle SIPOC correspond aux cinq lments permettant danalyser la relation client-fournisseur : Supplier (sous-traitant ou fournisseur) : la personne ou le groupe de personnes qui fournit linformation, le produit, ou toute autre ressource indispensable au bon fonctionnement du processus. Input (entres) : ce qui est apport par le sous-traitant ou le fournisseur. Processus : ce qui concerne le processus, cest--dire la bote noire. Output (sorties) : le produit nal du processus. Customer (client) : la personne, le groupe de personnes ou le processus qui reoit le produit nal. La qualit dun service est lcart qui existe entre le service reu, tel que le client le peroit, et le service attendu par ce client.
Groupe Eyrolles
APPLICATION
Il sagit dun des outils de la mthode Six Sigma.
324
Les modles
CIBLE ATTEINDRE
Le modle SIPOC permet de clarier correctement le primtre des processus. Il identie un ensemble dlments (les acteurs, les fournisseurs, les clients, les quipes). Cet outil est utilis pour le management du changement et le management de projet.
Supplier (fournisseur)
Input Entres
Processus (processus)
Output Sorties
Customer (client)
Groupe Eyrolles
Chapitre 20
SWOT
HISTORIQUE
Cest au dbut des annes 1950 que la rexion sur un modle stratgique a vu le jour. Il faudra attendre dix ans, pour quen 1960 Albert Humphrey en fasse un modle.
DFINITION
Lacronyme SWOT signie : Strengths (forces), Weaknesses (faiblesses), Opportunities (opportunits), Threats (menaces).
APPLICATION
La russite dune entreprise dpend de la faon dont elle gre lensemble de ses ressources internes, sources de forces et de faiblesses, en relation directement avec son environnement, sources dopportunits et de menaces. Un des objectifs du modle SWOT est dviter de passer ct lors dun diagnostic en analysant uniquement les points faibles. Le modle SWOT doit, bien entendu, tre en mesure dintgrer une part dite subjective, voire pragmatique (le modle est ouvert). Une force pour certains un moment peut devenir une faiblesse un autre moment et pour dautres. Des menaces peuvent tre transformes en opportunits (cela fait partie de ltat de lart du management). Le modle permet de donner une vision rapide et synthtique de la situation dans laquelle se trouve lentreprise.
Groupe Eyrolles
326
Les modles
Le modle SWOT est employ dans plusieurs cas : pour ltude dune organisation, dune entreprise, dun processus, dun dpartement, dun service, dun planning stratgique et dcisionnel.
lments internes lments externes
lments positifs
Forces
Opportunits
lments ngatifs
Faiblesses
Menaces
Groupe Eyrolles
Chapitre 21
TPM
HISTORIQUE
Le modle TPM a vu le jour dans les annes 1970, au Japon.
DFINITION
Le sigle TPM signie Total Productive Maintenance ; il sagit de lvolution des mthodes de maintenance : Total : concerne tout le monde. Productive : assurer et garantir la maintenance, tout en perturbant le moins possible la production. Maintenance : maintenir en bon tat et bon usage, nettoyer, rparer. Le but de la TPM est darriver zro accident, zro panne, zro dfaut. Les indicateurs cls de la TPM sont : le taux de rendement conomique (TRE) = U/Temps total ; le taux de rendement global (TRG) = U/P ; le taux de rendement synthtique (TRS) = U/R. TRS prend en compte la disponibilit, la performance et la qualit qui affecte le rendement de la machine. Le TRS est souvent utilis dans le milieu industriel ; cest le produit de trois indicateurs : Taux de marge brut Taux net de fonctionnement Taux de qualit.
Groupe Eyrolles
328
Les modles
P = temps douverture
R = temps requis
Arrts planifis
F = temps de fonctionnement
Pannes, pertes
E = temps net
Perte cadence
U = temps utile
Nonqualit
Temps total = Temps thorique de fonctionnement maximum (24 h/jour). P = Temps total Fermeture, soit lamplitude de travail pour une machine/un atelier. R = Temps dit brut de fonctionnement. F = Temps de fonctionnement avec n alas venant gner la production. E = Temps de fonctionnement cart de cadence. U = Temps net Perte de qualit.
Il est demand avec la TPM que les diffrents acteurs (utilisateurs de machine, pilote, oprateur) puissent tre mme de pouvoir intervenir un premier niveau sur leur environnement pour les aspects maintenance. Dans de nombreux domaines, le ct autonomie permet de responsabiliser les personnes et de ltrer les vrais problmes des autres.
APPLICATION
Le sponsor
La mise en application de la TPM seffectue en plusieurs tapes. La premire tape concerne limplication de la direction : elle a le devoir de montrer lensemble du personnel que la TPM a toute son importance au sein de lentreprise. La direction se doit de faire connatre et de porter la TPM auprs de lensemble du personnel et plus particulirement auprs des dpartements et des services de production.
Groupe Eyrolles
TPM
329
Le meilleur moyen pour cela est didentier et de lister le nombre de pannes machine sur un mois, les dlais dintervention et de rparation que doivent assurer, dans bien des cas, lunique quipe de maintenance de lentreprise. Dautres critres peuvent venir sinscrire dans cette tude, comme la disponibilit des pices de rechange.
Les enjeux
Une fois que cette tude est ralise, la deuxime tape consiste, pour la direction et plus particulirement les responsables de production, dnir et xer des objectifs atteignables damlioration. Cest partir de l que la TPM rentre en jeu, elle permet de rduire les pannes machine, les arrts de chanes de production intempestifs, bref les pertes de temps et dargent. Quelques mois aprs avoir mis en application la TPM, les pannes machine sont sous contrle et de vritables bnces apparaissent : de nouvelles connaissances pour le personnel, des gains de productivit, moins darrts machine, une meilleure matrise de lenvironnement de travail Toutes les amliorations lies la productivit apportent directement ou indirectement des bnces nanciers lentreprise.
Les acteurs
La troisime tape concerne la motivation des quipes oprationnelles. An que celles-ci sapproprient rellement la TPM, il est conseill de nommer un ou plusieurs pilotes par quipe, recevant une formation plus approfondie sur la TPM et ayant pour rle de former les autres membres de son quipe la TPM.
Lacclrateur
La quatrime tape consiste sappuyer sur les 5S, car ces derniers sinscrivent tout fait dans une dmarche TPM. Par exemple, le rangement des pices, de son poste de travail, le nettoyage de sa machine ou de son robot vitent davoir un ensemble de dysfonctionnements, perturbations sur les lignes de production, les 5S sont dvelopps plus en dtail dans notre ouvrage.
Groupe Eyrolles
Lorganisation
La cinquime tape concerne les ressources dont doivent disposer les quipes de production qui devront faire de la maintenance de premier
330
Les modles
niveau dans le cadre de la TPM. Il faudra en effet prvoir quelques pices de rechange, outils, moteurs disposition sur place, prs des lignes de production, an de pouvoir intervenir rapidement, en interrompant le moins possible la production. Un mini-stock de pices ou doutils disposition des quipes TPM sera rang dans une armoire ou un coffre spcique. Il ne sagit en aucun cas de crer des stocks tampons un peu partout dans lusine. Il existe gnralement un magasin de pices de rechange, localis un endroit prcis de lusine.
Lintervention
La TPM demandant une grande autonomie de la part des quipes de maintenance de premier niveau, la sixime tape porte sur ce point. Cela se traduit par des consignes, des procdures et des process entre les quipes. Les comptences et les astuces mtiers sont partages, une vritable polyvalence mtiers est ralise entre les quipes. Laspect visuel est trs important : des repres de couleur sur les machines, comme un trait rouge pour indiquer le niveau minimum dhuile sur une machine, permettent aux quipes de production ou de maintenance dintervenir pour effectuer des oprations de maintenance prventives (avant un incident) ou correctives (suite un incident).
Lamlioration
La septime et dernire tape de la TPM concerne la dmarche damlioration continue. Le premier niveau de maintenance est important mais certaines quipes souhaitent aller plus loin, on parle alors de deuxime niveau de maintenance. Les activits seront alors plus spciques, voire plus pointues lors des interventions sur les machines, robots On se rapproche de lexpertise.
Le calendrier
Pour mettre en place la TPM dans une entreprise, il faut compter entre cinq et huit mois selon la taille de lentreprise, des dpartements et des services de production ; cela demande de linvestissement en temps et en hommes mais, trs rapidement, des amliorations oprationnelles et organisationnelles apparaissent.
Groupe Eyrolles
Conclusion
Nous esprons maintenant que le monde des NRMM est beaucoup plus comprhensible pour vous et que des portes se sont enn ouvertes. Un des objectifs de louvrage est dapporter aux lecteurs une vision globale des NRMM. Nous vous demandons de faire un rapprochement avec votre propre exprience ; comme dans beaucoup de domaines, sa propre exprience professionnelle acquise en entreprise permet de mieux comprendre limportance des NRMM dans le monde professionnel. Cela dit, la richesse de cet ouvrage est de permettre aux non-initis dacqurir des bases lmentaires de manire rapide et simple. Les NRMM peuvent tre utilises de manire globale, face aux besoins dune norme, dun rfrentiel, de plusieurs mthodes et modles, ou de manire modulable ; dans ce cas, il est alors possible de nutiliser que la partie mthode ou modle dont on a besoin. Cet ouvrage doit vous servir de guide ; il prsente un rel avantage en vous proposant un large choix de mthodes et de modles. Pour une lecture plus facile, nous vous dconseillons de lire cet ouvrage du dbut la n, mais de lire en priorit ce dont vous avez besoin. Un autre avantage est que chacun puisse se reconnatre et se retrouver ; cet ouvrage concerne toutes les directions : direction gnrale (exemple : BSC) ; direction nancire (exemple : Sarbanes-Oxley) ; direction du marketing (exemple : benchmarking) ; direction du SI (exemples : ITIL V3, CMMI) ;
Groupe Eyrolles
direction RH (exemple : OHSAS) ; direction mthodes & qualit (exemples : PDCA, Kaizen) ; direction industrielle (exemples : Six Sigma, Lean, 5S) ; direction logistique (exemple : JAT) ;
332
Les modles
direction commerciale (exemple : 5F) ; direction achats (exemple : TCO). Le rle de la direction gnrale est de montrer le chemin suivre pour lentreprise ; NRMM apporte connaissances et mthodes auprs des femmes et des hommes de lentreprise, et cela quel que soit le service, le dpartement, ou la direction.
Aprs la suite logique de la prsentation des tapes 1 (les normes), 2 (les rfrentiels), 3 (les mthodes), 4 (les modles), nous arrivons aux deux dernires tapes qui sont les tapes 5 (les femmes et les hommes de lentreprise) et 6 (le march conomique) dcrites ci-dessous.
Le personnel
Sans ladhsion des femmes et des hommes de lentreprise, malgr les NRMM, la partie est perdue davance. Toute la stratgie NRMM repose
Groupe Eyrolles
Conclusion
333
sur limplication du personnel ; on a souvent tendance loublier. Nous attirons votre attention sur cette tape 5, qui est cruciale pour la bonne mise en uvre, lutilisation et loptimisation des NRMM au sein de lentreprise. Nous prendrons limage du cur qui est assez reprsentative. Il faut bien comprendre que les femmes et les hommes de lentreprise reprsentent le cur de lentreprise et, sans cur, personne ne peut vivre, mme si lentreprise a les meilleurs outils ; ainsi, sans limplication du personnel rien nest possible. On pense souvent que tout est acquis, tout va se passer facilement, alors que ce nest pas toujours le cas. Mettre en place les NRMM au sein de son entreprise met en jeu de nombreux facteurs : la stratgie, lorganisation, la communication, la formation tous les niveaux hirarchiques de lentreprise sont impliqus. Il sagit dune rvolution organisationnelle, structurelle et culturelle pour lentreprise, et an dviter des problmes, complications et autres, le passage dun ancien rgime un nouveau rgime requiert un travail important de prparation car la culture dentreprise est remise en cause. En rgle gnrale, quand on annonce aux personnes quelles vont devoir effectuer de nouvelles activits, suivre une nouvelle organisation elles sont sur leurs gardes : cest humain, nous avons nos habitudes, nous matrisons ce que nous faisons, nous pensons connatre tout le primtre de nos activits, et tout coup, sur une dcision de la direction, nous devons revoir notre mode de travail et de fonctionnement. ce moment-l, plusieurs questions nous viennent lesprit : et pour moi, quest-ce que cela va avoir comme effet ? Que vais-je devoir faire ? Serai-je la hauteur ? Cest alors que nous passons par diffrentes phases de comportement : la peur, lincomprhension, la remise en cause de ses comptences, le manque de savoir, la crainte de ne pas tre la hauteur, le refus Pour certaines personnes, cela a leffet inverse : nouveau challenge, dcouverte pour dautres, il y aura de la rsistance, de la reconnaissance. Tous les cas de gure sont possibles. Nous vous prsentons deux schmas reprsentatifs du comportement humain face aux changements dans un contexte professionnel. Le premier schma reprsente la courbe du changement chez lindividu.
Groupe Eyrolles
334
Les modles
APPROPRIATION ET ALLIANCE
Temps
OPPOSITION ET RSISTANCE
La courbe du changement
An de rduire et de limiter ltape opposition/rsistance, une bonne communication est faire auprs de lensemble du personnel de lentreprise. Le second schma reprsente ltape de rexion, de changement et dappropriation ; il sagit de toutes nos actions an de transformer le changement en solution doptimisation pour notre activit professionnelle.
couter Appliquer
Comprendre
crire
Contrler Corriger
Communiquer
Capitaliser
Amliorer
Groupe Eyrolles
Conclusion
335
La direction se doit de travailler en troite collaboration avec lensemble du personnel ; il faut que tout le personnel se retrouve dans le choix fait par la direction. Cela saccompagne par un changement plus ou moins fort des mentalits et de la culture de lentreprise ; il faut que le personnel passe dun tat statique et passif (rsistance, opposition) un tat actif et volontaire (participation, suggestion damlioration).
Le march conomique
La vision globale permet de mieux comprendre limportance des NRMM dans lorganisation et la stratgie des entreprises. Le march conomique est national (europen) et international (mondial). Les acteurs des marchs nationaux et internationaux utilisent les NRMM. On constate que chaque domaine a son propre NRMM, et que des mutualisations se font : production (ITIL V3, Prince 2, ISPL, ISO 20000, PDCA, COBIT, CMMI, e-SCM) ; industrie (Kaizen, Lean) ; environnement (ISO 9000, ISO 14000, ISO 26000) ; audit (ISO 20000, CMMI, ISO 19011) ; tudes (CMMI, SPICE, ISO 15504, ISO 12207) ; scurit (ISO 15408, ISO 27000, ITIL V3) ; risques (SOX, COBIT, ISO 31000). Dans beaucoup dentreprises nationales et internationales, les organisations, les institutions, les administrations sappuient sur des normes, des rfrentiels, des mthodes et des modles pour rester dans la course. Nous esprons que cet ouvrage vous a plu et vous est utile dans votre vie professionnelle, dans vos tudes ou dans vos recherches de tous les jours. Un dernier conseil : il ne faut pas tout apprendre, les symboles sont l pour vous simplier la lecture et la comprhension, mais savoir que vous disposez dun ensemble dinformations dans un seul et mme ouvrage est important. Merci de votre conance et bientt.
Groupe Eyrolles
ANNEXES
Annexe 1
Groupe Eyrolles
Risques
ISO 38500 COBIT SAS 70 eSCM SOX ITIL ISO 20000
NORMES ET RFRENTIELS
340
MOF
Annexes
ISPL
ZACHMAN
PROMPT
tudes
ISO 18044 ASL ISO 31000 ISO 17799 ISO 13335 BS7799 TQM TICKIT EFQM ISO 8402 ISO 25000 ISO 9126
Production
ISO 10005 ISO 10006 HAS
ISO 10007 ISO 9001 /2000 ISO 9004 BS 8800 PMBOK PMP PMI
ISO 10011 SA 8000 ISO 26000 DSDM ISO 38500 ISO 14001 PCIE
ISO 19011
Scurit
LGENDE
Normes Rfrentiels
Qualit
Projet
Groupe Eyrolles
Groupe Eyrolles
MTHODES ET MODLES
Services
PCDA KAIZEN Chane de profit dans les services
Matrice defficience
Chane de valeurs 7S
5S AMDEC TPM
ISHIKAWA
5S
Matrice Croissance
SMED
TCO
5P
5P
BSC
5F
LEAN
JusteTemps
Stratgie
TDBSSI
KNOWLEDGE MANAGEMENT
Production
BENCHMARK
BP-GP PARETO CRAMM MEHARI MARION EBIOS PSSI ITBPM 5S ISHIKAWA Processus analyse des problmes et prise de dcisions Modle des carts de la qualit de service HOSHIN SIPOC KNOWLEDGE MANAGEMENT
341
Scurit
LGENDE
Mthodes Modles
Qualit
Projet
Annexe 2
LES NORMES
Rfrence de la norme Chapitre Publication
ISO 9001:2008 ISO/IEC 20000:2010 ISO 26000 ISO 27003 ISO 27004 ISO 27005 ISO 27006 IS0 31000:2009 ISO/IEC 38500:2008
Rfrence de la norme
3 9 11 12 12 12 12 13 14
Chapitre
15 novembre 2008 2010 Octobre 2010 Septembre 2009 2008 Juin 2008 Fvrier 2007 Septembre 2009 Avril 2008
Rvision
ISO 19011
Rfrence de la norme
8
Chapitre
2011
Abandon
SSE-CMM
Groupe Eyrolles
10
2008
344
Annexes
LES RFRENTIELS
Intitul du rfrentiel Chapitre Publication
P- CMM
Intitul du rfrentiel
3
Chapitre
Novembre 2008
Rvision
5 10 12 12 17
Chapitre
Fin 2007
N.B. Les tableaux ci-dessus prennent en compte les publications ou rvisions lies aux normes et rfrentiels depuis juillet 2007.
Groupe Eyrolles
Annexe 3
Sites Internet
346
Annexes
BSC : http://www.balancedscorecard.org CRAMM : http://www.cramm.com EBIOS Site de la DCSSI : http://www.ssi.gouv.fr/fr/conance/ ebios.html Kaizen : http://www.kaizen.com MEHARI Site du Clusif : http://www.clusif.asso.fr/fr/production/ mehari/ OCTAVE/OCTAVE-S : http://www.cert.org/octave/ TDBSSI : http://www.ssi.gouv.fr/fr/conance/tdbssi.html
Groupe Eyrolles
Annexe 4
Organismes de certication
AB Certication. AFAQ : Association franaise pour lassurance de la qualit. AOQC Moody France. APMG : Certications ITIL. Bureau Veritas Certication : le Bureau Veritas Quality International est devenu le Bureau Veritas Certication depuis le 20 septembre 2006. COFRAC : Comit franais daccrditation. DEKRA Intertek Certication SAS. DNV Certication France : Det Norske Veritas Certication France. EXIN : Certications ITIL. LRQA : Lloyds Register Quality Assurance. SGS-ICS SA : Socit gnrale de surveillance International Certication Service. UTAC : Union technique de lautomobile du motocycle et du cycle.
Groupe Eyrolles
Annexe 5
Acronymes
AFAQ : Association franaise dassurance qualit AFNOR : Association franaise de normalisation AIAG : Automotive Industry Action Group AMDEC : Analyse des mthodes de dfaillance, de leurs effets, et de leur criticit BP : Base Practices BS : British Standard BSC : Balanced Scorecard BSI : British Standard Institute BVQI : organisme certicateur ISO 9000 V 2000 CC : Critres communs CCTA : Central Computer and Telecommunications Agency CLUSIF : Club de la scurit des systmes dinformation franais CMM : Capability Maturity Model COBIT : Control OBjectives for Information and related Technology COFRAC : Comit franais daccrditation CRAMM : CCTA Risk Analysis and Management Method
Groupe Eyrolles
DCSSI : Direction centrale de la scurit des systmes dinformation EAL : Evaluation Assurance Level EBIOS : Expression des besoins et identication des objectifs de scurit
350
Annexes
EFQM : European Foundation for Quality Management FEROS : Fiche dexpression rationnelle des objectifs de scurit des systmes dinformation FDA : Food and Drug Administration GMITS : Guidelines for the Management of Information Technology Security GP : Generic Practices HACCP : Hazard Analysis Critical Control Point IA-CMM : INFOSEC Assurance Capability Maturity Model IETF : Internet Engineering Task Force ISACA : Information Systems Audit and Control Association ISMS : Information Security Management System ISO : International Organization for Standardization ISSEA : International Systems Security Engineering Association ITBPM : Information Technology Baseline Protection Manual ITIL : IT Infrastructure Library ITSEC : Information Technology Security Evaluation Criteria ITSM : IT Service Management Forum KM : Knowledge Management KPI : Key Performance Indicator LRQA : Lloyds Register Quality Assurance MARION : Mthodologie danalyse de risques informatiques oriente par niveaux MEHARI : Mthode harmonise danalyse de risques
Groupe Eyrolles
MELISA : Mthode dvaluation de la vulnrabilit des systmes dinformation MFQ : Mouvement franais pour la qualit MOF : Microsoft Operations Framework
Acronymes
351
MSP : Matrise statistique des processus NIST : National Institute of Standards and Technology NSA : National Security Agency OCDE : Organisation de coopration et de dveloppement conomiques OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation OGC : Ofce of Government Commerce OHSAS 1801 : Occupational Health and Safety Assessment Series OMS : Organisation mondiale de la sant PDCA : Plan-Do-Check-Act POE : Plan oprationnel dentreprise PSI : Politique de scurit interne PSS : Plan stratgique de scurit PSSI : Politique de scurit des systmes dinformation QCD : Qualit, cot, dlai QQOQCCP : Qui quoi o quand comment combien pourquoi QRQC : Quick Response Quality Control RFC : Request For Change ROI : Return On Investment ou ROIC : Return On Invested Capital SA 8000 : Social Accountability International SCM : Supply Chain Management SE-CMM : Systems Engineering and software CMM SEI : Software Engineering Institute SI : Systme dinformation
Groupe Eyrolles
SLA : Service Level Agreement SME : Systme de management environnemental SMED : Single Minute Exchange of Die
352
Annexes
SOA : Architecture oriente services SSE-CMM : Systems Security Engineering-Capability Maturity Model SSIC : Scurit des systmes de linformation et de la communication SST : Sant scurit au travail ST : Security Target TCO : Total Cost of Ownership TDBSSI : Tableaux de bord de scurit des systmes dinformation TI : Technologie de linformation TQM : Total Quality Management
Groupe Eyrolles
Annexe 6
Glossaire
5M : modle qualit qui permet de rsoudre un problme. Il existe dautres noms comme arte de poisson, diagramme dIshikawa. 5 Pourquoi : modle du Kaizen qui permet de trouver la cause dun problme en posant la question pourquoi cinq fois. 5S : modle qualit, originaire du Japon, issu du Kaizen, qui permet dtablir des rgles organisationnelles au sein de son travail an de dgager une relle plus-value. Le premier S , sieri, signie dbarrasser linutile, le deuxime S , seiton, veut dire ranger, le troisime S , seiso, se traduit par nettoyer, le quatrime S , seiketsu, a comme sens ordonner et le cinquime S , shitsuke, veut dire rigueur. Agilit : tre capable de sadapter trs vite aux nouveaux environnements. Andon : systme qui permet dtre inform quand un technicien a un problme sur sa ligne de production. Architecture oriente service (SOA) : architecture qui repose sur un ensemble de services transverses. Asset : ressources (personnes, matriels). Assurance de la qualit : position du management renforcer lesprit de conance des quipes en matire de dmarche qualit. Audit : enqute et contrle du respect par lentreprise de lensemble des exigences dune norme ou dune directive rglementaire. Laudit peut tre interne (auditeurs de lentreprise) ou externe par une tierce partie (organisme de certication). Laudit est conduit par des auditeurs habilits et certis dans la plupart des cas (audit de certication pour la qualit, lenvironnement, audit de scurit, audit nancier).
Groupe Eyrolles
354
Annexes
Autonomation : systme automatique darrt dune machine en cas de problme ou de dysfonctionnement technique, lors de son fonctionnement. Best practices : activits ou processus dont le succs a t dmontr et qui sont utiliss par de nombreuses organisations (exemples : ITIL V2, V3, COBIT). Cercle de qualit : ensemble de personnes qui se runissent rgulirement an de traiter un problme qui est en rapport avec leurs activits professionnelles. Certication : activit qui permet de prouver quune entreprise, une institution, une structure conomique, une personne a les comptences et les connaissances ncessaires pour appliquer et pour faire appliquer lensemble des exigences dune norme dans son domaine professionnel (suite un audit, un examen). Exigences : ce que demande une norme, une directive, en termes de mise en place des personnes au sein des entreprises. Flux tendu : en production, livraison sans perte de temps, sans temps mort, en rduisant les encours ; zro stockage. Flux tir : production qui attend une demande du client avant de produire ; la demande vient de laval. Par exemple, avoir une commande avant de produire. Gemba : dcrit le lieu o se passe laction. Se rendre sur le terrain : pour louvrier, cest aller dans les ateliers, les lignes de production, pour le commercial, cest se rendre chez les clients. Gembutsu : concerne la vrication, le contrle des diffrentes pices, les objets indispensables pour le travail. Gouvernance TI : concerne lensemble des processus lis au systme dinformation, en interne et en externe lentreprise. Elle fait partie de la politique et de la stratgie de lentreprise. Hoshin Kanri (ou Policy deployment) : mthode de management de la qualit qui permet daller jusquau bout de lobjectif, en prenant en compte les situations passes, prsentes et futures. Indicateur de performance (KPI) : mesure souvent destine la hirarchie.
Groupe Eyrolles
Glossaire
355
Jidoka : mot japonais qui veut dire autonomation, cest--dire que la machine est capable de sarrter toute seule si un dysfonctionnement arrive, sans intervention humaine. Juste--Temps : produire un bien, un service, au bon moment, avec la bonne quantit, et livrer cette production au bon moment la bonne personne, au bon endroit et au moindre cot. Kaizen : philosophie (origine japonaise) sur lamlioration continue au sein de lentreprise. (Beaucoup de mthodes, de modles sont issus du Kaizen. Exemple : Hoshin, Juste--Temps, Kanban, 5M, 5S, 5P, Andon, Poka-Yoke). Kanban : systme dtiquettes qui permet de grer les ux de production. Lean : mthode damlioration continue, trs employe dans le milieu industriel, visant rduire le gaspillage et optimiser les ux lis la production. Lean ofce : Lean appliqu aux tches administratives ayant pour principal avantage de rduire les temps de traitement des dossiers (facturation). Matrise de la qualit : management de la qualit fond sur la conformit de lensemble des exigences propres la qualit. Management : Activits coordonnes pour orienter et contrler un organisme (Dnition ISO 9001:2000). Matrice des responsabilits : correspond au RACI (Responsible, Accountable, Consulted, Informed). Maturit : tat dune structure, dune organisation, dun processus qui a obtenu un certain niveau de matrise pour une ou plusieurs activits. Muda (les gaspillages) : gaspillage tous les niveaux de lentreprise. Les 7 Muda sont : productions excessives, attentes, transports et manutentions inutiles, usinages inutiles, stocks, mouvements inutiles, productions. Niveau : mesure la progression dun processus, dun service et/ou dune personne.
Groupe Eyrolles
Objectif qualit : Ce qui est recherch ou vis, relatif la qualit. (Dnition ISO 9001:2000). Opration externe (voir SMED) : opration pouvant tre mene sans le moindre risque (accident, interruption, perte de temps) durant lutilisation de la machine.
356
Annexes
Opration interne (voir SMED) : opration ne pouvant tre effectue que lorsque la machine est arrte. Organisme certicateur : Organisme, tierce partie, grant un systme de certication de produits (processus ou services) (Dnition norme NF EN 45011). Poka-Yoke : systme anti-erreur, prsent sur les machines, dont lobjectif est de limiter les erreurs (emplacement des pices). Politique qualit : Orientations et intentions gnrales dun organisme relatives la qualit telles quelles sont ofciellement formules par la direction (Dnition ISO 9001:2000). Procdure : manire spcie deffectuer une activit ou un processus. Processus : ensemble dactivits corrles ou interactives qui transforment des lments dentre en lments de sortie (Dnition ISO 9001: 2000). Qualication : Processus ou son rsultat permettant de dmontrer la capacit satisfaire des exigences. La qualication professionnelle concerne gnralement les personnes ou les entreprises (Dnition ISO 9001:2000). Qualit : Aptitude dun ensemble de caractristiques intrinsques satisfaire des exigences. Le terme qualit peut tre utilis avec des qualicatifs tels que mdiocre, bon ou excellent (Dnition ISO 9001: 2000). Quick Response Quality Control (QRQC) : mthode de traitement rapide (sans perte de temps) des problmes sur les lieux o ils sont apparus. Request For Change (RFC) : demande de changement. Return On Investment (ROI) ou Return On Invested Capital (ROIC) : retour sur investissement ou taux de rendement du capital investi. Shingo Price : le Shingo Prize for Manufacturing a t cr en 1988 en lhonneur de Shigeo Shingo. Le prix promeut le World Class Manufacturing et reconnat les socits ayant atteint un haut niveau de satisfaction client et de rsultats conomiques. Single Minute Exchange of Die (SMED) : rduction du temps de changement pour les sries en cours de production. Modle qui est utilis dans lindustrie.
Groupe Eyrolles
Glossaire
357
Systme de management de la qualit : Ensemble dlments corrls ou interactifs permettant dtablir une politique et des objectifs en matire de qualit et datteindre ces objectifs (Dnition ISO 9001:2000). Total Cost of Ownership (TCO) ou cot total de possession : ensemble des cots concernant la possession dun lment de conguration (informatique) de son achat son obsolescence. Toyota Production System (TPS) ou Toyota Seisan Houchiki en japonais : systme de management de la qualit, initialement mis en place et dvelopp par le groupe Toyota, et ax sur la qualit des produits, la satisfaction du client, lamlioration continue. Traabilit : systme qui permet de suivre lensemble des tapes dun lment ou dune information durant toute sa vie dans lentreprise, y compris les tapes de transformation (de son entre sa sortie). Valeur ajoute : rsultat dun traitement qui permet dapporter un gain ou un bnce sur les livrables, dans le but de rpondre aux attentes du march. Value Stream Mapping (VMS) ou Material and Information Flow Analysis (MIFA) : outil de cartographie du groupe Toyota, indispensable pour une bonne gestion des ux de matire et dinformation.
Groupe Eyrolles
Bibliographie
GNRALITS
AFNOR, Les rfrentiels qualit. La voie de lexcellence, AFNOR, 1997. Balantzian G., Le plan de gouvernance du SI, Dunod, 2006. Caseau Y., Performance du systme dinformation, Dunod 01 Informatique, 2007. Club URBA-EA, Urbanisme des SI et gouvernance, Dunod, 2006. Conti T., Lautodiagnostic de lentreprise, ditions JVDS, 1998. Froman B., Du manuel qualit au manuel de management : loutil stratgique, AFNOR, 2007. Froman B., Gourdon G., Dictionnaire de la qualit, AFNOR, 2003. Georgel F., IT gouvernance, Dunod, 2006. Leroux B., Paumier J., La gouvernance de lvolution du SI, Lavoisier, 2006. Prigord M., Fournier J.-P., Dictionnaire de la qualit, AFNOR, 1993. Shoji S., Jouslin de Noray B., Morel M., Noy D., La conception lcoute du march, Insep ditions, 1996. Sidi J., Otter M., Hanaud L., Guide des certications SI. Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM, Dunod 01 Informatique, 2006. Teneau G., La rsistance au changement organisationnel. Perspectives sociocognitives, lHarmattan, 2005.
Groupe Eyrolles
360
Sgot J., Gasquet C., Assurer le passage la norme ISO 9001 version 2000, AFNOR, 2001. Stora, Qualit totale, ditions dOrganisation, 1986. Sussland W., Le manager, la qualit et les normes ISO, Presses Polytechniques et Universitaires Romandes, 1995.
Bibliographie
361
Todorov B., ISO 9000. Une force de management, Morin, 2000. Ziane E., Matrise de la qualit totale. Outils de la matrise statistique des processus, Herms, 1993.
Audit
Bon J. V., ISO/IEC 20000 : a pocket guide, Van Haren Publishing, 2006. Joing J.-L., Auditer lthique et la qualit. Pour un dveloppement durable ! AFNOR, 2003. Jonquires M., Russir les audits Qualit et Environnement. La norme ISO 19011, AFNOR, 2003. Jonquires M., Manuel de laudit des systmes de management lusage des auditeurs et des audits, AFNOR, 2006. Mitonneau H., Russir laudit qualit, AFNOR, 2001.
Responsabilit entreprise
AFNOR, Qualit et systmes de management, AFNOR, 2005. Faucher S., Systme intgr de management. Qualit Scurit Environnement, AFNOR, 2006. Froman B., Gey J.-M., Laurans B., Qualit et environnement, AFNOR, 2003. Froman B., Gey J.-M., Bonnifet F., Qualit, scurit, environnement. Construire un systme de management intgr, AFNOR, 2007. Madoz J.-P., thique professionnelle, AFNOR, 2007. Pribre B., Le guide de la scurit au travail ! Les outils du responsable, AFNOR, 2008. Vaute L., Grevche M.-P., Certication ISO 14001, les 10 piges viter, AFNOR, 2005.
Risques
Groupe Eyrolles
Kerebel P., Mise en uvre dun contrle interne efcace via un ERP, AFNOR, 2007. Locketz J. S., Wold G. H, Practical Guide to SAS 70 Engagements, John Wiley & Sons, 2008.
362
Louisot J.-P., Gestion des risques, AFNOR, 2005. Louisot J.-P., Gaultier-Gaillard S., Diagnostic des risques. Identier, analyser et cartographier les vulnrabilits, AFNOR, 2007. Vaute L., Grevche M.-P., Certication ISO 14001, les 10 piges viter, AFNOR, 2005. Welytok J. G., Sarbanes-Oxley for Dummies, For Dummies, 2008.
Scurit
Bennasar M., Champenois A., Arnould P., Rivat T., Ballenghien Y., Manager la scurit du SI, Dunod 01 Informatique, 2007. Cal S., Touitou P., La scurit informatique, rponses techniques, organisationnelles et juridiques, Hermes Lavoisier, 2007. Fernandez-Toro A., Management de la scurit de linformation : implmentation ISO 27001, Eyrolles, 2007. Lamre J.-M., La scurit informatique. Approche mthodologique, Dunod, 2007. Linlaud D., Scurit de linformation. laboration et gestion de la politique de lentreprise suivant lISO 17799, AFNOR, 2003.
Logiciels
ADELI, ISO 9001 et dveloppement du logiciel, AFNOR, 1996. Gray L., Guidebook to IEEE/EIA 12207 Software Life Cycle Processes, Abella Corp. Martin J.-P., Qualit du logiciel et systme qualit, Masson, 1997. Wallmller E., SPI Software Process Improvement mit CMMI und ISO 15504, Hanser, 2006.
Bibliographie
363
Chamfrault T., Durand C., ITIL et la gestion des services, Dunod, 2006. Chrissis M. B., Konrad R., Shru S., CMMI Guide des bonnes pratiques, Campus Press, 2008. Dumont C., ITIL pour un service informatique optimal, Eyrolles, 2007. Gey J.-M., Courdeau D., Pratiquer le management de la sant et de la scurit au travail. Matriser et mettre en uvre lOHSAS 18001, AFNOR, 2007. Hall T. J., The Quality Systems Manual : The Denitive Guide to the Iso 9000 Family and Tickit, John Wiley & Sons, 1995. Harris S., CISSP All-in-one Exam Guide, McGraw Hill/Osborne Media, 2007. Lamnabhi M., valuer avec CMMI, AFNOR, 2008. Noirault C., ITIL (version 3), ENI, 2008. ORourke C., Fishman N., Selkow W., Enterprise Architecture Using the Zachman Framework, Course Technology, 2003. Phillips J., CAPM/PMP Project Management Certication : Exam Guide, McGraw Hill/Osborne Media, 2007. Pinet C., 10 cls pour la gestion des services. De lITIL ISO 20000, AFNOR, 2007. PMI, Management de projet. Un rfrentiel de connaissances, AFNOR, 2001. Pultorak D., MOF, Van Haren Publishing, 2005. Richards K., Agile Project Management : Running Prince2 Projects with DSDM, Keith Richards Consulting, 2007. Shiba S., Le management par perce. Mthode HOSHIN, Insep Consulting, 2007. Shiba S., Graham A., Walden D., TQM : 4 rvolutions du management, Dunod, 2003. Sidi J., Otter M., Hanaud L., Guide des certications SI, Dunod 01 Informatique, 2006.
Groupe Eyrolles
Teneau G., ITIL, Mise en place dun centre de service, Oboulo.com, 2007. Tudor D. J., Tudor I. J., DSDM Student Workbook, Galatea Training Services, 2002. Tuinenga P. W., SPICE, Dunod, 1997.
364
Van Bon J. V., Coul J. C. (de) (sous la direction de), Van der Veen A. (sous la direction de), IT Services Procurement Based on ISPL, Van Haren Publishing, 2005. Verdoux S., Iribarne P., Prix, modle & dmarches EFQM, AFNOR, 2005.
Bibliographie
365
Sekine K., Sugiura K., Carillon J.-P., Kanban. Gestion de production stock zro, Hommes et Techniques, 1983. Sharma A., Moody P., La transformation LeanSigma, Maxima, 2002. Shingo S., Le systme Poka-Yoke, ditions dOrganisation, 1987. Shingo S., SMED, une rvolution en gestion de production, ditions dOrganisation, 1987. Suzaki K., Produire Juste temps. Les sources de la productivit industrielle japonaise, Masson, 2000. Womack J., Jones D., Systme Lean, Pensez lentreprise au plus juste, Village Mondial, 2007.
Pande P. S., Neuman R. P., Cavanagh R. R., The Six Sigma way, McGraw Hill, 2000. Porter M. E., Competitive strategy, Free Press, 1985. Prax J.-Y., Le manuel du knowledge management, Dunod, 2007. Vandeville P., Audit qualit - scurit - environnement, AFNOR, 2003.
Index
Numriques
3C 298 5 forces 303 5P 301 5S 299, 346 7S 305, 346
C
CERT (Computer Emergency Response Team) 261 Certification 20 Chane ~ de la performance 291 ~ de la valeur 287, 346 CHSCT (Comit dhygine, de scurit et des conditions de travail) 23 CISSP (Certified Information System Security Professional) 109 CMM (Capability Maturity Model) 43, 111, 219, 345, 349, 352 CMMI (Capability Maturity Model Integration) 30, 111, 133 COBIT (Control Objectives for Information and related Technology) 87, 119, 133, 345 COSO (Committee Of Sponsoring Organizations of the treadway commission) 100 CRAMM 223, 346, 349
A
Accrditation 20 ~ COFRAC (Comit franais daccrditation) 35 AMDEC (Analyse des modes de dfaillance, de leurs effets et de leur criticit) 194, 197, 345, 349 Andon 244 ASL (Bibliothque de services dapplication) 105106
B
Benchmark 216 BiSL (Bibliothque de services dinformation daffaires) 106 BP (Base Practices) 66, 219, 349 BPM (Business Processus Management) 203 BS ~ 15000 61 ~ 7799 73, 345 ~ 8800 23 BSC (Balanced Scorecard) 209, 346, 349
D
DSDM (Dynamic Systems Development Method) 123, 126
Groupe Eyrolles
E
EBIOS (Expression des besoins et identification des objectifs de scurit) 225, 346, 349
368
EFQM (European Foundation for Quality Management) 127, 182, 345, 350 eSCM-CL 133, 139 eSCM-SP 133, 139 Euromthode 141142
G
GP (Generic Practices) 66, 219, 350
H
Hoshin 229
I
IEEE (Institute of Electrical and Electronics Engineers) 16 iKM 252 ILO-OHSAS 2001 71 ISC2 (International Information Systems Security Certification Consortium) 109 Ishikawa 283 ISO ~ 10005 39 ~ 10006 37 ~ 10007 39 ~ 14000 29, 52, 59, 94 ~ 14001 48, 51, 57, 71, 163, 263 ~ 14010 59 ~ 14011 59 ~ 14012 59 ~ 15408 226 ~ 17799 73, 226 ~ 19011 57 ~ 27000 79, 84 ~ 27003 76 ~ 27004 76 ~ 27007 77 ~ 27799 77 ~ 38500 85
~ 9000 2, 27, 29, 43, 59, 9495, 197, 349 ~ 9001 27, 31, 35, 43, 52, 57, 59, 73, 76, 84, 128, 130, 163, 167, 179, 182, 263 ~ 9002 27, 31 ~ 9003 27, 31 ~ 9004 43, 59, 177 ISO/DIS 31000 81, 84 ISO/IEC ~ 12207 43, 45 ~ 13335 76 ~ 15504 53, 175 ~ 20000 35, 61, 79, 87 ~ 21827 65 ~ 27001 7374, 76, 79, 263 ~ 27002 75, 7779 ~ 27005 7576, 79 ~ 27006 77 ISO/IEC FDIS 27011 77 ISO/WD 26000 69, 72 ISPL (Information Services Procurement Library) 142 ISSEA (International Systems Security Engineering Association) 65 ITBPM 233, 350 ITIL (Information Technology Infrastructure Library) 30, 4546, 63, 79, 87, 133, 139, 143, 149, 152, 155, 174, 263, 345, 347, 350 ITSMF (Information Technology Infrastructure Service & Management Forum) 143
J
Juste--Temps 237, 254
K
Kaizen 241, 263, 299, 301, 346 Kanban 244 Knowledge Management 247
Groupe Eyrolles
Index
369
L
Lean 241, 253, 263 Loi Sarbanes-Oxley (SOX) 75, 84, 89, 99, 345
P
PCIE (Passeport de comptences informatique europen) 165166 PDCA (Plan-Do-Check-Act) 32, 35, 63, 76, 78, 153, 204, 212, 244, 263, 351 PEST 315 PMBOK (Project Management Body of Knowledge) 167 PMI (Project Management Institute) 167 PMP (Project Management Professional) 167 Poka-Yoke 244 PRINCE 2 (PRojects IN Controlled Environments) 169, 174 Principe de Pareto 317, 346 PROMPT 169
M
Matrice ~ ABC 311 ~ Atouts/Attraits 307 ~ Croissance/Part de march 310 ~ Importance/Urgence 311 MEHARI (Mthode harmonise danalyse de risques) 259, 346, 350 Mind Mapping 281 Modle des carts de la qualit de service 293 MOF (Microsoft Operations Framework) 157, 345, 350 MSP 346 MSP-SPC 313
Q
QQQOCP (qui, quoi, quand, o, comment, pourquoi) 187
N
Norme de management 18 RACI 319
R S
SA 8000 9394, 97, 351 SAI (Social Accountability International) 93 SAS 70 84, 89, 91, 100, 345 SCAMPI (Standard CMMI Appraisal Method for Process Improvement) 111 SCE (Software Capability Evaluation) 111 SCM (Supply Chain Management) 291 SD 21000 131 SEI (Software Engineering Institute) 111, 351
O
OCTAVE 261, 346, 351 OHSAS 25, 161, 351 OIT (Organisation internationale du travail) 71 Organisme de normalisation ~ AFNOR (Association franaise de normalisation) 19 ~ BSI (British Standards Institution) 61 ~ CEN (Comit europen de normalisation) 17, 19 ~ ISO (International Organization for Standardization) 16, 20
Groupe Eyrolles
370
SIPOC 323 Six Sigma 267 SME (Systme de management de lenvironnement) 49, 51, 58 SMED (Single Minute Exchange of Die) 244, 321, 346, 351 SMQ (Systme de management de la qualit) 32, 58 SMSI (Systme de management de la scurit de linformation) 73 SPICE (Software Process Improvement and Capability dEtermination) 43, 53, 175176, 345 SQE (Systme de la qualit de lentreprise) 35 SSE-CMM 65 SWOT 325
T
TCO (Total Cost of Ownership) 271 TDBSSI (Tableau de bord de scurit des systmes dinformation) 275, 346, 352 TICKIT 179 TPM (Total Productive Maintenance) 244, 327, 346 TPS (Toyota Productive System) 241 TQM (Total Quality Management) 181, 183, 345, 352
V
VSM (Value Stream Mapping) 255
Z
Zachman 187
Compos par Sandrine Rnier N dditeur : 3899 Dpt lgal : aot 2009