Vous êtes sur la page 1sur 3

2.

La mthode PDCA appele aussi Roue de Deming


La mthode PDCA (Plan, Do, Check, Act) issue de lISO 9000 est galement appele roue de lamlioration de
la qualit
ou roue de Deming , du nom de W. Edwards DEMING, statisticien et philosophe amricain, inventeur des
principes
de la qualit et de Walter Andrew Shewhart Statisticien amricain, inventeur de la roue de Deming.
Le principe propose de matriser et damliorer un processus par lutilisation dun cycle continu en quatre
tapes visant
rduire le besoin de corrections. Cette mthode dmontre aussi que les bonnes pratiques doivent tre
mises en
oeuvre, documentes, appliques et amliores dans le temps.
Elle comporte les tapes suivantes :
l PLAN (planifier) Cette
phase dfinit lobjectif principal qui consiste identifier et prciser les besoins du
matre douvrage. Elle effectue linventaire des moyens ncessaires sa ralisation, son cot et son planning.
l DO (raliser, dployer) Cest
la partie oprationnelle de la mthode. Elle comporte :
l lallocation de ressources en personnes, temps et budget,
l la rdaction de la documentation,
l la formation du personnel concern,
l la gestion du risque,
l lexcution des tches.
l CHECK (mesurer et contrler) Cest
ici que les oprations ralises prcdemment sont vrifies pour
quelles correspondent aux besoins exprims, dans les dlais et les cots prciss la premire tape. Elle
comprend :
l Une valuation partir de ce qui a dj t implment dans dautres environnements.
l Un contrle global des rsultats produits.
l Un audit de lenvironnement du systme de gestion de la scurit du systme dinformation, soit un
audit annuel, sur la base de documents et de traces dvnements produits par les outils de
supervision.
l ACT (amliorer, agir) Cette
tape recherche les amliorations apporter au projet global de changement.
Des mesures sont values partir des bilans ou des constatations releves lors de la phase de vrification.
Des actions possibles sont labores selon les cas :
l Passage la phase de planification : si de nouveaux risques ou modifications ont t identifis.
l Passage la phase dexcution : si la phase de vrification en montre le besoin.
l Aprs la constatation de non conformit, des actions correctives ou prventives sont dployes.
Cette mthode, utilise dans la nouvelle version de ITIL (V3) et dans la mise en place dun systme de
gestion de la

scurit informatique, permet de raliser des changements progressifs et continus partir dun point ou
objectif de dpart. Celuicipeut tre llment du systme dinformation qui a t dfini, aprs un tat des
lieux, comme le plus
critique ou le plus urgent traiter ou encore le plus facile mettre en oeuvre.
Elle est, loppos des changements brutaux ou pris dans lurgence, toujours dlicate mettre en oeuvre et
parfois
source de dysfonctionnements.
3. La norme ISO 20000
Cette norme, dcompose en ISO 20001,ISO 20002, sappuie sur les bonnes pratiques ITIL (Information
Technology Infrastructure Library) et comprend un ensemble de bonnes pratiques en matire de gestion des
services informatiques. Elle prend comme principe la roue de Deming ou PDCA (PlanDoCheckAct)
et sinscrit dans un processus de formalisation de normes de qualit (ISO 9000) ou de scurit des systmes
dinformation (ISO 27001). Il sagit dun systme de gestion complmentaire avec une architecture identique
compos dun guide de bonnes pratiques (ISO200002). Ce systme complte la norme ISO 20000-1.
4. La norme ISO 27001 et le systme de gestion de la scurit informatique
La srie des normes ISO 27000 est compose des lments suivants :
ISO 27000 Vocabulaire et dfinitions. ISO 27001 La norme principale des besoins en systme de gestion de la
scurit de linformation, plus connue sous la forme BS77992.
Elle correspond au principe de certification des organisations. ISO 27002 (connue sous la forme ISO 17799)
Il sagit de la description des bonnes pratiques dcrivant les principaux objectifs de contrle de lensemble
de la scurit de linformation.ISO 27003 Comprend le guide dimplmentation dtaill relatif ladoption
de la srie complte de la norme ISO 27000. ISO 27004 Contient la norme qui dfinit les principes
dvaluation de ce qui a t implment dans le cadre de la gestion de la
scurit de linformation pour mesurer lefficacit du systme de gestion de la scurit mis en place.
ISO 27005
Contient la norme de gestion du risque dans le cadre de la scurit de linformation. Il remplace la norme BS
77993.
Lobjectif de cette norme consiste tablir un systme de gestion de la scurit de linformation, cestdire
dfinir et
identifier tous les actifs, mettre en place toutes les mesures adquates pour protger les donnes de
lentreprise. Elle
donne une ide sur les bonnes pratiques utiliser par une approche base sur des procdures et des
processus.
Elle constitue un bon moyen dorganiser et de structurer la politique de scurit informatique dans
lentreprise. Elle
formalise :
l lamlioration continue,
l les audits internes,
l lapprciation des risques,
l le traitement des incidents,
l les indicateurs.
Les domaines et normes associs
La mise en oeuvre de solutions de protection et de scurit requiert de prendre des rfrences par rapport des
normes ou des prconisations.
1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library)
ITIL se compose dun ensemble de livres qui liste, condense et prsente les meilleures pratiques utiliser dans le
cadre de lensemble des services informatiques ddis une entreprise. Elle se dcline en plusieurs versions depuis
ses origines. La plus rcente est la version N3.
La mthodologie dcrite en version 2 est compose des processus suivants :
Service Support Support
des Services, il sagit de la gestion oprationnelle des services. Il comprend les thmes
suivants :
l Centre de Services (Service Desk)

l Gestion des Incidents (Incident Management)


l Gestion des Problmes (Problem Management)
l Gestion des Configurations (Configuration Management)
l Gestion des Changements (Change Management)
l Gestion des Mises en Production (Release Management)
Service Delivery Fourniture
des Services, cet ensemble de processus concerne les aspects contractuels et
lamlioration des services long terme :
l Gestion des Niveaux de Service (Service Level Management)
l Gestion des Capacits (Capacity Management)
l Gestion Financire des Services de lInformation (Financial Management for IT Services)
l Gestion de la Disponibilit (Availability Management)
l Gestion de la Continuit des Services de lInformation (IT Service Continuity Management)
La version 3 sinscrit dans un domaine plus large et comprend les processus suivants :
Stratgie des Services (Service Strategy)
l Dfinition Stratgique (Strategy Generation)
l Gestion financire des services (Financial Management)
l Gestion de la demande (Demand Management)
l Gestion du portefeuille des services (Service Portfolio Management)
Conception de Service (Service Design)
l Gestion du catalogue des services (Service Catalogue Management)
l Gestion des niveaux de service (Service Level Management)
l Gestion des fournisseurs (Supplier Management)
l Gestion de capacit (Capacity Management)
l Gestion de la disponibilit (Availability Management)
l Gestion de la continuit de service (IT Service Continuity Management)
l Gestion de la scurit (Information Security Management)
Transition des Services (Service Transition)
l Transition Planning and Support
l Gestion des Changements (Change Management)
l Gestion des Actifs et des Configurations (Service Asset and Configuration Management)
l Gestion des Mises en Production et Dploiements (Release and Deployment Management)
l Gestion des tests et validation (Validation and Testing Management)
l valuation
l Gestion de Connaissance (Knowledge Management)
Exploitation des Services (Service Operation)
l Gestion des vnements (Event Management)
l Gestion des incidents (Incident Management)
l Gestion des problmes (Problem Management)
l Excution des requtes (Request Fulfilment)
l Gestion des accs (Access Management)
Amlioration continue de Service (Continual Service Improvement)
Il sappuie sur les processus suivants :
l valuation de la qualit de service
l valuation des processus mis en place
l Dveloppement des initiatives damlioration des services et des processus
l Surveillance des initiatives damlioration, mesures de correction
Dans loptique de cet ouvrage, les processus suivants en lien avec la scurit informatique peuvent tre utiliss dans
le cadre de la gestion de systmes dans une PME :
l La gestion des configurations.
l La gestion de la disponibilit.
l La gestion des applications Elle
traite du cycle de dveloppement de ces applications.
l La gestion de la scurit Elle
comporte les aspects de scurit, de manire transversale, avec les autres
processus.
-