Vous êtes sur la page 1sur 383

Gilles Teneau | Jean-Guy Ahanda

Guide comment

des normes
et rfrentiels

17/07/09 11:21

Vous souhaitez optimiser les cots et les dlais dans votre entreprise
tout en offrant une bonne qualit de service ? Les normes, rfrentiels,
mthodes et modles (NRMM) vont vous y aider !
Cet ouvrage vous en propose une synthse facile dutilisation et pratique.
Il vous apportera des rponses claires et prcises, et les nombreuses annexes
vous permettront dapprofondir vos recherches. Vritable livre de rfrence, ce
guide comment est destin autant aux nophytes quaux plus expriments.
7

Quatre grands thmes centraliss dans un mme ouvrage, avec des


explications simples et des exemples sur les normes, rfrentiels,
mthodes et modles.

Les tendances avec les nouvelles normes (ISO 20000:2010, ISO 38500)
et les nouveaux rfrentiels (P-CMM, EFQM-SD 21000, CoBit V4.1).

Une vision gnrale des sujets selon une mme logique : lhistorique,
le concept, lapplication et le dire dexpert.

barbarycourte.com | Illustration : istockphoto.com

Jean-Guy AHANDA est consultant senior en direction de projet et spcialiste


en qualit pour lindustrie et les services. Diplm en management industriel et
systmes logistiques de lcole des Mines ParisTech et en normalisation qualit,
certification de lUTC, il intervient auprs des grands groupes.

Gilles TENEAU est responsable du ple ITIL au sein de SOGETI. Doctorant en


science de gestion, il est charg de cours au CNAM. Il crit galement des articles et
ouvrages de management et possde une longue exprience du conseil en stratgie
auprs de grandes entreprises.

Ont particip cet ouvrage :


Michel BERTEAU, Expert et Auditeur Scurit en SI Christophe DENIS, Spcialiste CMMI Alexandre ENGEL,
Master Black Belt Six Sigma Gad KOSKAS, Auditeur ISO 20000, Consultant et formateur ITIL Sylvain LABORDE,
Lead Auditeur ISO 27002 Hugues MOLET, Directeur du Mastre management industriel Mines Paristech Benot
NELATON, Responsable Performance Industrielle Michel RAQUIN, Prsident du club des pilotes de processus,
Peter SULLIVAN, Directeur qualit industrielle Pierre THORY, Coditeur du standard ISO/IEC 20000-1 (AFNOR).

Code diteur : G54388


ISBN : 978-2-212-54388-9

www.jgaconsulting.com

54388_teneau_206b.indd 1

170 x 240 20,6mm

ditions dOrganisation
Groupe Eyrolles
61, bd Saint-Germain
75240 Paris cedex 05
www.editions-organisation.com
www.editions-eyrolles.com

Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en


effet expressment la photocopie usage collectif sans autorisation
des ayants droit. Or, cette pratique sest gnralise notamment dans
lenseignement, provoquant une baisse brutale des achats de livres,
au point que la possibilit mme pour les auteurs de crer des
uvres nouvelles et de les faire diter correctement est aujourdhui
menace. En application de la loi du 11 mars 1957, il est interdit de
reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support
que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du
Droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Groupe Eyrolles, 2009
ISBN : 978-2-212-54388-9

Remerciements

Nous tenons remercier tout particulirement nos familles respectives


pour les nombreuses heures de patience, de conseil et de soutien tout
au long de notre travail.
Nous remercions galement lensemble des personnes qui ont fortement
contribu la parution de louvrage :
Dominique Briot, spcialiste en approche systmique, auteur de
louvrage Manager par lapproche systmique aux ditions dOrganisation.
Hugues Molet, professeur lcole nationale suprieure des mines
de Paris, pour sa contribution dans la ralisation de la prface de
notre ouvrage.
Benot Nelaton, responsable industrialisation, pour sa prcieuse aide
dans lamlioration et la relecture de louvrage, et pour sa participation en tant que dire dexpert pour le chapitre Lean.
Michel Berteau, consultant senior, auditeur certifi ISO 27001, pour
ce qui concerne ISO 27001 et son dire dexpert .
Sylvain Laborde, certifi BS 7799, auditeur certifi ISO 27001, pour sa
contribution la rdaction des normes ISO 27002 27007.
Gad Koskas, consultant manager, auditeur ISO 20000 et formateur
ITIL V2, V3, pour la rdaction du chapitre de la norme ISO 20000.

Groupe Eyrolles

Michel Raquin, prsident du Club des pilotes de processus (C2P) pour


sa contribution pour le chapitre BPM.
Alexandre Engel, manager Black Belt, pour sa contribution en tant
que dire dexpert pour le chapitre Six Sigma.

Guide comment des normes et rfrentiels

Christophe Denis, ingnieur logiciel, spcialiste CMMI, pour sa contribution en tant que dire dexpert pour les chapitres ISO/IEC 15504
et ISO/IEC 12207.
Peter Sullivan, manager Quality pour sa contribution en tant que
dire dexpert pour le chapitre TICKIT.
Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ;
directeur de Sextant Solutions Informatiques ; matre de confrences
associ luniversit dEvry ; prsident de la Commission nationale
ingnierie et qualit des logiciels et systmes (AFNOR).
Marguerite Cardoso, ditrice chez Eyrolles, qui nous a fait confiance.

Groupe Eyrolles

VI

Sommaire

Remerciements ..................................................................................
Prface ................................................................................................
Avant-propos ......................................................................................
Introduction .......................................................................................

V
1
5
9

Partie 1

Groupe Eyrolles

LES NORMES
Dfinition ............................................................................................
Historique.......................................................................................
Dfinition simplifie ......................................................................
quoi sert une norme ?......................................................................
Une norme est en relation avec un domaine dactivit ........................
Les organismes de normalisation .........................................................
quoi sert un organisme de normalisation ? ..............................
Pourquoi des organismes de normalisation ?...............................
Accrditation et certification ...............................................................
Liste des normes analyses dans cet ouvrage .....................................

16
16
17
17
17
19
19
19
20
20

CHAPITRE 1 BS 8800 ...................................................................

23

CHAPITRE 2 ISO 9000 .................................................................

27

CHAPITRE 3 ISO 9001:2000 .......................................................

31

CHAPITRE 4 ISO 10006:2003 .....................................................

37

CHAPITRE 5 ISO/IEC 12207:2008 .............................................

43

CHAPITRE 6 ISO 14001:2004 .....................................................

47

CHAPITRE 7 ISO/IEC 15504 .......................................................

53

VIII

Guide comment des normes et rfrentiels

CHAPITRE 8 ISO 19011 ...............................................................

57

CHAPITRE 9 ISO/IEC 20000 .......................................................

61

CHAPITRE 10 ISO/IEC 21827:2002 ..........................................

65

CHAPITRE 11 ISO/WD 26000 ....................................................

69

CHAPITRE 12 ISO 27000 .............................................................

73

CHAPITRE 13 ISO/DIS 31000 ....................................................

81

CHAPITRE 14 ISO 38500:2008 ...................................................

85

CHAPITRE 15 SAS 70 ...................................................................

89

CHAPITRE 16 SA 8000 .................................................................

93

CHAPITRE 17 SOX ........................................................................

99

Partie 2

Dfinition ............................................................................................
Quest-ce quun rfrentiel ?..........................................................
Quest-ce quun rfrentiel de certification ?................................
Liste des rfrentiels analyss dans cet ouvrage..........................

102
102
102
103

CHAPITRE 1 ASL ...........................................................................

105

CHAPITRE 2 CISSP .......................................................................

109

CHAPITRE 3 CMM et CMMI ........................................................

111

CHAPITRE 4 COBIT ......................................................................

119

CHAPITRE 5 DSDM.......................................................................

123

CHAPITRE 6 EFQM .......................................................................

127

CHAPITRE 7 eSCM ........................................................................

133

CHAPITRE 8 ISPL (Euromthode) ............................................

141

CHAPITRE 9 ITIL V2 .....................................................................

143

Groupe Eyrolles

LES RFRENTIELS

Sommaire

IX

CHAPITRE 10 ITIL V3 ..................................................................

149

CHAPITRE 11 MOF .......................................................................

157

CHAPITRE 12 OHSAS ..................................................................

161

CHAPITRE 13 PCIE.......................................................................

165

CHAPITRE 14 PMP .......................................................................

167

CHAPITRE 15 PRINCE2 ...............................................................

169

CHAPITRE 16 SPICE ....................................................................

175

CHAPITRE 17 TICKIT ..................................................................

179

CHAPITRE 18 TQM.......................................................................

181

CHAPITRE 19 Zachman ..............................................................

187

Partie 3

Groupe Eyrolles

LES MTHODES
Dfinition ............................................................................................
Gnralits sur les mthodes ........................................................
Liste des mthodes analyses dans cet ouvrage..........................

194
194
195

CHAPITRE 1 AMDEC ....................................................................

197

CHAPITRE 2 BPM..........................................................................

203

CHAPITRE 3 BSC ...........................................................................

209

CHAPITRE 4 Benchmark ............................................................

215

CHAPITRE 5 BP-GP ......................................................................

219

CHAPITRE 6 CRAMM ...................................................................

223

CHAPITRE 7 EBIOS ......................................................................

225

CHAPITRE 8 Hoshin ....................................................................

229

CHAPITRE 9 ITBPM ......................................................................

233

Guide comment des normes et rfrentiels

CHAPITRE 10 Juste--Temps .....................................................

237

CHAPITRE 11 Kaizen ...................................................................

241

CHAPITRE 12 Knowledge Management .................................

247

CHAPITRE 13 Lean .......................................................................

253

CHAPITRE 14 MEHARI ................................................................

259

CHAPITRE 15 OCTAVE/OCTAVE-S ...........................................

261

CHAPITRE 16 PDCA (roue de Deming) ..................................

263

CHAPITRE 17 Six Sigma .............................................................

267

CHAPITRE 18 TCO........................................................................

271

CHAPITRE 19 TDBSSI ..................................................................

275

Partie 4

Dfinition ............................................................................................
Liste des modles analyss dans cet ouvrage ..............................

278
279

CHAPITRE 1 Cartes mentales ....................................................

281

CHAPITRE 2 Ishikawa .................................................................

283

CHAPITRE 3 Chane de valeur ..................................................

287

CHAPITRE 4 Chane de la performance .................................

291

CHAPITRE 5 Modle des carts de la qualit


de service ...............................................................

293

CHAPITRE 6 Les 3C ou le triangle stratgique .....................

297

CHAPITRE 7 Les 5S .......................................................................

299

CHAPITRE 8 Les 5P ......................................................................

301

CHAPITRE 9 Les 5 forces ............................................................

303

Groupe Eyrolles

LES MODLES

Sommaire

XI

CHAPITRE 10 Les 7S ....................................................................

305

CHAPITRE 11 Matrice Atouts/Attraits ....................................

307

CHAPITRE 12 Matrice Croissance/Part de march .............

309

CHAPITRE 13 Matrice Importance/Urgence ........................

311

CHAPITRE 14 MSP-SPC ...............................................................

313

CHAPITRE 15 PEST ......................................................................

315

CHAPITRE 16 Principe de Pareto ou loi des 80/20 .............

317

CHAPITRE 17 RACI ......................................................................

319

CHAPITRE 18 SMED ....................................................................

321

CHAPITRE 19 SIPOC ou les relations client-fournisseur ...

323

CHAPITRE 20 SWOT ....................................................................

325

CHAPITRE 21 TPM .......................................................................

327

Conclusion .........................................................................................

331

Groupe Eyrolles

ANNEXES
ANNEXE 1

Cartographie des NRMM ....................................

339

ANNEXE 2

Les nouveauts normes et rfrentiels ..........

343

ANNEXE 3

Sites Internet .........................................................

345

ANNEXE 4

Organismes de certification .............................

347

ANNEXE 5

Acronymes ............................................................

349

ANNEXE 6

Glossaire ................................................................

353

Bibliographie ......................................................................................
Index ..................................................................................................

359
367

Prface
Prface

Dans lenvironnement concurrentiel actuel, les entreprises recherchent


plus que jamais raliser des objectifs stratgiques, tactiques et oprationnels. Il peut sagir de croissance sous forme de fusion, rachat Il
peut galement sagir damliorer la productivit, interne ou externe,
sur la chane logistique, ou de faon plus pragmatique de chercher
survivre ; pour aider rester dans la course, les activits de la technologie de linformation (TI) deviennent indispensables.
Ces objectifs seront atteints grce la mise en uvre des outils du management stratgique, de la gestion industrielle et de la logistique, et cela
quel que soit le secteur dactivit, industrie ou service.
Les auteurs de cet ouvrage proposent des rponses dans des domaines
varis pour mettre en uvre ces outils. Il ne sagit pas de donner une
solution unique et dcisive mais dapporter quelques cls prsentes
selon une typologie NRMM1.
Lorsque lon parle de normes, rfrentiels, mthodes et modles, on est
enclin considrer que leur mise en uvre et leur utilisation ne sont
lies qu certaines directions fonctionnelles : qualit, mthodes, maintenance, tudes Et presque toujours, on se rfre au secteur industriel.

Groupe Eyrolles

Mais cette vision est restrictive ; les NRMM englobent la totalit des
fonctions et des acteurs et, de plus en plus, on assiste lappropriation
des NRMM par les entreprises du tertiaire, et plus prcisment celles des
services, des prestataires logisticiens et distributeurs, des entreprises
SSII, des cabinets de conseil, des oprateurs en systmes dinformation,
en tlcommunications
titre personnel, je me sens trs directement concern par lapplication
de ces outils pour plusieurs raisons.
1. Normes, Rfrentiels, Mthodes, Modles.

Guide comment des normes et rfrentiels

Jai t responsable dune PME, il y a plusieurs annes. Le danger dans


une telle structure est de penser que votre situation est spcifique et
que les outils appliqus dans les grandes entreprises ne vous apporteront quune aide bien limite. En ralit, les outils NRMM sont tout fait
adaptables nimporte quelle structure.
titre dexemple, on a longtemps pens que la mise en place dune
norme ISO 9000 ntait quun amoncellement de documents, et que
ceux-ci ne concernaient que de grandes structures qui pouvaient se permettre de les confectionner et de les rassembler.
Lexprience a montr quintelligemment conues et mises en place
de telles normes pouvaient tre relativement souples et adaptables,
conduire des amliorations significatives.
La mise en uvre dun audit de flux ou dun changement rapide de fabrication nest pas lapanage de grandes socits et, quelle que soit sa taille,
chaque entreprise peut trouver dans les NRMM matire progresser.
En qualit de professeur au sein de lcole des mines ParisTech et directeur du 3e cycle pour le mastre spcialis Management Industriel et
Systmes Logistiques , je suis confront une difficult pdagogique.
Bien que lapprentissage thorique des NRMM ne soit pas si complexe,
il arrive aux tudiants de considrer ces outils comme vidents, sinon
triviaux, parce que la difficult nest pas dans lapprentissage de ces
NRMM mais dans leur mise en uvre.
Or, celle-ci ne peut intervenir qu la suite de la partie acadmique. ce
moment-l, les tudiants ralisent la complexit et la nature des difficults dimplmentation des NRMM, ainsi que limportance primordiale du
facteur humain dans leur mise en uvre.

Lenjeu le plus important nest pas seulement de connatre ces outils


mais de les mettre en place ; tout converge alors vers limplication du
personnel. Un thme rcurrent avec un dcalage important et omniprsent entre les potentialits thoriques des outils NRMM quels quils
soient, et leur efficacit relle en termes de productivit.
Cet cart est li la comprhension par les acteurs de ces outils, et
lintrt qui leur est port dans leur application et constante amlioration.
La mise en place dune norme ISO peut constituer une corve sans

Groupe Eyrolles

Le constat intressant aujourdhui est lafflux de sujets proposs par les


industriels, dont les solutions reposent sur la mise en uvre rflchie
des NRMM.

Prface

valeur ajoute, ou bien, au contraire, devenir un vecteur de progrs. Tout


dpendra de la faon dont cette norme est comprise, notamment en termes de source continuelle de progrs.
Le danger est grand de considrer une norme comme une entit fige ;
lapplication de celle-ci sera une russite lorsque lon ne cherchera pas
uniquement la respecter mais dpasser les exigences requises.
Une autre de mes activits actuelles concerne la responsabilit de la
Revue franaise de gestion industrielle, revue qui relate des expriences
concrtes de praticiens, de consultants et duniversitaires dans le monde
industriel et des services.
Depuis plusieurs annes, je suis tmoin dun intrt nouveau et accru
envers les tmoignages prsents sur la mise en uvre doutils NRMM.
Autre volution intressante, la mise en uvre de ces outils sapplique
de plus en plus au monde des services : on assiste une appropriation
de dmarches autrefois rserves lindustrie dans des univers qui ny
taient pas familiers, en particulier ceux de la logistique et toutes les
activits de services.
La valeur principale de cet ouvrage est dapporter aux lecteurs une
vision simple et rapide de la plupart des NRMM, tout en offrant la possibilit de mieux cerner lensemble des thmes prsents.
Le public potentiel est large : il peut sagir dtudiants, de professionnels,
denseignants, que ceux-ci aient dj une bonne connaissance de ces
outils ou quils les dcouvrent.
Grce cet ouvrage, ces outils sont prsents et positionns dans leur contexte selon la typologie NRMM propose ; limportance du facteur humain
dans leur mise en uvre et leur efficacit est juste titre trs prsente.
Cet ouvrage est un livre pratique : il peut servir de recueil, de dictionnaire, de rfrence. Il sagit dun ouvrage dont tous les acteurs des entreprises industrielles et de services pourront trs utilement profiter.

Groupe Eyrolles

Hugues Molet
Professeur lcole des mines ParisTech.
Rdacteur en chef de la Revue franaise de gestion industrielle.
Auteur de nombreux ouvrages dont La Gestion de production,
Herms, 1989, Une nouvelle gestion industrielle, Herms, 1993,
Systme de production et de logistique, Lavoisier, 2006.

Avant-propos

Avant-propos

Le panel qui existe en matire de norme, de rfrentiel, de mthode et


de modle est relativement large ; notre choix porte sur le management
de la qualit, travers diffrents domaines dactivit, comme le systme
dinformation, lorganisation, la supply chain, et cela quel que soit le
cur de mtier de lentreprise.
Tout dabord, il faut se poser la question : sans les NRMM, comment
mon organisation (service, dpartement, direction) fonctionnerait-elle ?
Des rgles sont tablies en interne comme en externe de lentreprise ;
lavantage davoir des NRMM permet danticiper des problmes, de mieux
comprendre les enjeux et la stratgie de lentreprise, ainsi que le march
conomique. Pour la direction gnrale, les NRMM sont des outils indispensables ; avoir la matrise de ces outils est un vecteur de russite pour
lentreprise face la concurrence.

LES NRMM EN PLUSIEURS TAPES


Ltape 1 : Normes
Il sagit de ce qui est incontournable (rglement, ce que dit la loi, voire
dans certains cas ce quelle impose).
Ltape 2 : Rfrentiels

Groupe Eyrolles

Il sagit du choix de lentreprise, quel est le rfrentiel le plus adapt


son activit et sa stratgie, avec la cl une certification.
Ltape 3 : Mthodes
Il sagit de toutes les bonnes solutions qui vont permettre lentreprise
datteindre son objectif (qualit, cot, dlai, services) et autres (fusion,
rachat, joint-venture).

Guide comment des normes et rfrentiels

Ltape 4 : Modles
Il sagit doutils, connus et reconnus des professionnels ; les modles
sont indispensables et complmentaires aux mthodes.
Avant dinitialiser les NRMM dans lentreprise, la dimension humaine est
prendre en compte par rapport lchelle temps, cest--dire avant,
pendant et aprs :
avant : concerne la sensibilisation de tout le personnel et se traduit
par un vritable plan de communication, formation, sminaire. Une
mobilisation du personnel est organiser ;
pendant : ne pas cesser de communiquer auprs des quipes, les
impliquer, avec pour objectif lappropriation des NRMM dans sa totalit ; toujours penser communiquer auprs du personnel sur lavancement, les rsultats de la mise en place des NRMM ; fliciter et
reconnatre les succs comme savoir reconnatre les checs ;
aprs : concerne les volutions, les nouveauts, la veille technologique et organisationnelle, structure quil faut mettre en place et maintenir afin de prserver toute lefficience qui existe autour des NRMM.
Grce aux NRMM lentreprise donne la preuve quelle est organise,
normalise, qualifie, certifie on lui dcerne un package de conformit , poids stratgique face la concurrence et aux nouveaux marchs. Sans les NRMM lenjeu est difficile.
Il ne faut pas voir les NRMM comme quelque chose de compliqu, de
lourd, de pnible utiliser, de non convivial, dastreignant, de rbarbatif mais il faut les voir davantage comme un vecteur de succs pour
lentreprise, qui doit permettre aux collaborateurs doptimiser, damliorer
la qualit de leurs activits tout en dgageant de vritables gains :
Gains pour lentreprise

panouissement de la personne
(tre utile).

Temps, cot, qualit de service.

Reconnaissance de son travail.

Position de leader sur le march/image


de marque (rputation).

Satisfaction personnelle.

Conqute de nouveaux marchs.

volutions internes ou externes.

Rachats, fusions, partenariats,


joint-ventures.

Augmentations de salaire, primes

Groupe Eyrolles

Gains pour le personnel

Avant-propos

Groupe Eyrolles

Cet ouvrage a pour vocation de prsenter les NRMM de manire simple.


Lapproche NRMM permet dtablir des rgles de fonctionnement, voire
des rgles stratgiques. De nos jours, travailler sans rgles est dangereux car beaucoup de choses sont standardises, normalises, rfrences, que ce soit les services, les fabrications, les changes, les flux, les
produits

Introduction

Introduction

Lobjectif de cet ouvrage est de prsenter, de manire simple et comprhensible, les vastes domaines que sont les normes, les rfrentiels, les
mthodes et les modles, qui semblent complexes pour les non-initis,
pour les activits de la technologie de linformation et, plus particulirement, le systme dinformation. Cet ouvrage permettra au lecteur dacqurir un ensemble de bases essentielles (smantique, normatif, rfrentiel,
mthodique, modlisme, stratgique) pour matriser et mettre en place
une approche NRMM ; nous dsignons par cette appellation les normes,
rfrentiels, mthodes, modles. Depuis plusieurs annes, le monde professionnel a assist son mergence dans de nombreux domaines dactivit, dont les systmes dinformation.
Pour beaucoup, quand on parle de NRMM, un amalgame confus entre
les termes est souvent fait. Cest vrai quil est difficile de faire la distinction entre une norme et un rfrentiel, entre une mthode et un modle ;
les frontires sont souvent confondues. Grce cet ouvrage, la distinction sera clairement faite entre une norme et un rfrentiel, et entre une
mthode et un modle.

Groupe Eyrolles

Les normes ou les rfrentiels ont des numros de versions par exemple, COBIT V4.1, ITIL V3 ou ISO/IEC 27001 , alors que les mthodes et
les modles nen possdent pas. Les normes sont des exigences, vous
devez faire ceci , alors que les rfrentiels sont des recommandations,
il serait bien de faire comme ceci .
Les mthodes et les modles sont des outils qui servent aux rfrentiels
ou aux normes. Par exemple, la mthode PDCA est utilise par le rfrentiel eSCM. Le modle de la chane de valeur est utilis par le rfrentiel ITIL V3. Les mthodes Marion et Mehari sont utilises par la norme
ISO/IEC 27001. Les modles sont des outils simples tandis que les
mthodes sont des outils complexes. Certaines mthodes peuvent se suffirent elles-mmes, cest le cas pour le modle Six Sigma.

10

Guide comment des normes et rfrentiels

Le tableau ci-dessous permettra davoir une meilleure comprhension


de ce que lon dsigne par NRMM :
NRMM

NORME

RFRENTIEL

Dfinition

Document de rfrence sur un sujet ou


un domaine donn en accord avec la
rglementation franaise ou trangre
(norme europenne, norme internationale).

ISO 9001:2000

Certification de lentreprise dans bien


des cas.

SA 8000

Standard ( best practice du mtier)


reconnu par des professionnels du domaine,
et qui se rfre souvent une norme.

ITIL V2, V3

Certification des personnes dans bien


des cas.
MTHODE

MODLE

Exemples

ISO 14001:2004
ISO/IEC 27001

COBIT
CMMI
Zachman

Ensemble de dmarches formalises


selon des principes, dans le but dacqurir
un savoir-faire conforme aux objectifs
attendus.

AMDEC

Utilisation de la mthode travers


lentreprise ou une partie de lentreprise.

Six Sigma

Outil qui, grce ses caractristiques,


ses qualits, son utilisation, peut servir de
rfrence limitation ou la reproduction.

Ishikawa

Application du modle pour un domaine


ou une activit spcifique de lentreprise.

BSC
Kaizen

Chane de la valeur
5S
SWOT

Le fournisseur le producteur (services, produits) le client


final le march.

Groupe Eyrolles

Les entreprises, les administrations nationales ou internationales, les


organisations sappuient sur des normes, des rfrentiels, des mthodes
et des modles, dans lobjectif de rester comptitives. La matrise des
NRMM reprsente un atout important, voire stratgique, pour toutes. La
qualit, le cot, le dlai et le respect de lenvironnement sont des critres
importants et incontournables pour lensemble des acteurs qui appartiennent la chane logistique normale :

Introduction

11

POURQUOI UN TEL OUVRAGE ? CE QUIL APPORTE


Lide dun tel ouvrage est dapporter au lecteur une vision gnrale,
mais aussi dtaille, sur les diffrents sujets qui sont lis aux NRMM. La
vision gnrale a pour objectif doffrir un premier niveau de connaissance macroscopique. Ce niveau de connaissance gnral concerne les
objectifs, les contraintes, les diffrentes mises en uvre associes aux
NRMM. Il permet galement davoir des repres clairs avec des exemples, des tmoignages et des pistes dinvestigation. Pour ce qui est de
la vision plus dtaille, notre ouvrage offre la possibilit au lecteur
dinvestiguer sur un sujet particulier, grce notamment une mise disposition de rfrences douvrages spcialiss sur un des thmes NRMM,
des adresses de sites Internet
De plus, nous avons demand plusieurs experts de tmoigner sur des
domaines particuliers afin de pouvoir bnficier dans un mme ouvrage
de plusieurs dire dexpert .
Cet ouvrage est une vritable base de connaissance. Il permet dapporter des rponses aux interrogations que lon se pose sur les NRMM. Si le
lecteur veut approfondir un thme particulier, il lui est possible dapprofondir sa recherche grce aux autres vecteurs dinformation qui existent
dans louvrage (adresses Internet, bibliographies).
Cet ouvrage peut galement tre utilis comme un dictionnaire ou
comme un guide, comme un recueil consultable tout instant pour les
tudiants et professionnels.

QUI SADRESSE CET OUVRAGE ?


Cet ouvrage sadresse aux tudiants, salaris, chefs dentreprise des secteurs industriel ou tertiaire, ainsi qu toute personne intresse par ce
domaine en pleine mutation.

Groupe Eyrolles

Pour les tudiants en technologie de linformation (TI), en organisation,


en management, en stratgie, quelle que soit leur formation, il pourra
tre un partenaire utile.
Pour les professionnels des domaines de lindustrie et des services, quils
soient directeur informatique, directeur de la stratgie, directeur qualit,
responsable tudes, responsable production, ingnieur, consultant, chef
de projet, auditeur, la richesse de ses donnes sera prcieuse.

12

Guide comment des normes et rfrentiels

destination des chercheurs, enseignants, il apportera les premires


rponses aux interrogations sur les NRMM.
Pour les seniors dsirant approfondir leurs connaissances en matire de
NRMM, lapproche gnraliste de louvrage permettra de sapproprier
de nouvelles connaissances de manire simple et rapide.

LA STRUCTURE DE LOUVRAGE
La premire partie concerne les normes ; il sagit dune introduction la
normalisation en gnral. Un grand nombre de normes sont dcrites,
une dfinition simple est donne dans chaque cas, la gense des normes est prsente avec les domaines dapplication, les diffrents secteurs dactivit qui sont concerns par ces normes. Sans rentrer dans
un dtail superflu, cette premire partie permet dacqurir un premier
niveau de connaissances ncessaire et suffisant sur les normes actuelles.
La deuxime partie prsente les diffrents rfrentiels qui existent dans
les services des domaines TI et organisationnel. Elle permet au lecteur
de commencer se familiariser avec lutilisation que lon en fait dans le
monde professionnel.
La troisime partie traite des mthodes ; laccent est mis sur les mthodes employes dans le secteur des services, et plus particulirement
dans les systmes dinformation. Les modes demploi sont prsents
ainsi que la dmarche suivre pour mettre en place une mthode.
La quatrime partie concerne les modles ; il sagit de modles dits
daction, trs oprationnels, pour beaucoup dentre eux des modles de
rfrence, souvent utiliss et toujours dactualit. Ils se rpartissent en
quatre familles spcifiques qui sont :
la stratgie (exemple : PEST) ;
lorganisation (exemple : la chane de la performance) ;
le changement (exemple : les 7S) ;

On retrouve lensemble des quatre familles dans le monde des systmes


dinformation.
La dernire partie comprend la conclusion ainsi que les nombreuses
annexes riches et complmentaires, comme les relations qui existent

Groupe Eyrolles

la gestion des hommes (exemple : RACI).

Introduction

13

entre les normes et les rfrentiels ou entre les mthodes et les modles, reprsentes sous forme de cartographie. Un tableau rcapitulatif
est prsent (vision des nouveauts). Les adresses des diffrents sites
Internet qui existent sur les NRMM, la liste des organismes de certification, les abrviations et le vocabulaire ainsi que la bibliographie sont
consultables en fin douvrage pour une lecture facilite. Enfin le lecteur
pourra saider dun index pour rechercher un terme spcifique dans
louvrage.

Groupe Eyrolles

Nous vous souhaitons une trs bonne lecture.

Les normes

Partie 1
LES NORMES
SANS NORME, TOUT EST POSSIBLE

16

Les normes

DFINITION
Historique
Depuis de nombreuses annes, les industriels ont travaill sans avoir de
vritables rgles de travail, dans les bureaux dtudes, dans les services
de conception, dans les services de dveloppement, de fabrication et de
production. Chacun travaillait suivant sa logique, son bon sens, son
habitude, pour un mme secteur dactivit, voire dans une mme entreprise, et on arrivait avoir des produits totalement diffrents, en restant
sur la mme ligne de production, avec la mme matire premire, les
mmes programmes, les mmes oprateurs, sans volont, ni dsir de
rechercher la diffrenciation mais par le fait dune absence totale de
rgles de travail. Alors que faire ?
Cette situation sest arrte, suite une relle prise de conscience de la
part des industriels, et cest ce moment-l que des groupes dindustriels se sont rencontrs afin de dfinir et de formaliser des rgles de
bonnes pratiques partager entre eux. Cette forte demande de la part
des grands industriels davoir une vritable standardisation sur les produits, les services et les biens, domaine par domaine, a permis par la
mme occasion de voir natre un ensemble dinstitutions, dans un seul
but : celui de mettre en place des instances de standardisation, ou plus
exactement des institutions professionnelles de normalisation nationales, europennes et internationales.
Les institutions de normalisation sont apparues aux tats-Unis au dbut
des annes 1900. Une des premires institutions est lAmerican Institute
of Electrical Engineers (aujourdhui lIEEE, Institute of Electrical and
Electronics Engineers).
La premire norme tre approuve est amricaine ; elle a vu le jour en
1916 dans lAmerican Standard Safety Code. Il sagit dune norme qui
traite de la protection des yeux et de la tte des ouvriers du monde
industriel.

LInternational Organization for Standardization ISO est apparue aprsguerre (1947) ; vingt-cinq pays la composent, et plus prcisment les
institutions professionnelles des pays. LISO est base Genve (Suisse)
et regroupe lensemble des normes internationales.

Groupe Eyrolles

Larme amricaine a t la principale grande administration formaliser un ensemble de normes en crant le Military Standard.

Les normes

17

Dfinition simplifie
Une norme est une directive qui permet de dfinir un standard pour un
produit, un service, un bien, destination des professionnels et du
grand public.
Dfinition officielle : Document tabli par consensus et approuv par
un organisme reconnu, qui fournit, pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des
activits ou leurs rsultats garantissant un niveau dordre optimal dans
un contexte donn. (Source : lISO et IEC).
En franais on utilise le mot norme , alors que dans les pays anglosaxons on utilise le mot standard .

QUOI SERT UNE NORME ?


La norme est labore, dfinie, officialise et publie par un organisme
de normalisation. Elle a pour but de dfinir des directives, des rgles
suivre afin de concevoir, produire un service, un produit, un bien qui
soit conforme aux attentes du march (consommateurs). Elle doit prendre en compte les aspects qui sont lis la scurit et lenvironnement.
La norme est proche de la directive rglementaire ; ce titre elle doit
tre suivie par les entreprises qui sont concernes par son utilisation, et
cela quel que soit le pays ou le type dentreprise.
Pour un mme domaine dactivit, mais dans des pays diffrents, les
entreprises utiliseront la mme norme, le mme contenu, hormis la langue. Cela dit, certains pays ne suivent pas toujours les normes (pas
dorganisme de normalisation dans le pays, contraintes techniques, budgtaires), ce qui implique que les produits, les biens, les services issus
de certains pays manquent de directives en matire de scurit et de
mesures environnementales.

Groupe Eyrolles

UNE NORME EST EN RELATION AVEC UN DOMAINE DACTIVIT


chaque domaine, il est possible dassocier une norme ; cette distinction permet aux professionnels de cibler prcisment leurs besoins.
Pour le domaine de la mesure, de la volumtrie, du poids, des units on utilisera les normes fondamentales (chantillonnage). Institution concerne : le Bureau national de mtrologie (BNM).

18

Les normes

Pour le domaine de la conception, llaboration de produit spcifique, cest--dire tout ce qui demande un certain dosage, de la prcision, un respect des mesures on utilisera les normes spcifiques
(trs proches des bonnes pratiques de lartisanat).
Pour le domaine de la rsistance, de la fatigue, de leffort, de la pression, de lusure cest--dire des produits comme les ceintures de
scurit, la rsistance dune route lusure des pneus des vhicules,
la rsistance dun lastique on utilisera les normes danalyses et
dessais. Institution concerne : le Laboratoire national de mtrologie
et dessais (LNE).
Pour le domaine de la qualit, de lenvironnement, des nouvelles technologies, cest--dire le management de la qualit ISO 9001:2000, le
management environnemental ISO 14001:2004, ou pour le systme
dinformation ISO 20000, on utilisera les normes dites de management.
Les normes de management sont les normes les plus connues de lISO.
Notre ouvrage concerne les normes de management qui sappliquent
lensemble des services des entreprises.
Que lon souhaite tre certifi ISO 9001:2000 ou ISO 20000, ISO 14001:
2004, il sagit bien de normes de management. Cette dernire concerne
toute lentreprise ; son primtre va jusquaux partenaires, fournisseurs,
sous-traitants.
Il y a plus de dix ans, certifier son entreprise faisait partie des priorits
de la direction. La certification a ouvert des portes : se positionner sur
un march, pouvoir rpondre aux appels doffres. Elle est vite devenue
une condition obligatoire en termes de conqute de nouveaux marchs
pour les entreprises.

Avec la prise de conscience des problmes environnementaux, la norme


ISO 14001:2004 commence prendre beaucoup dimportance auprs
des entreprises. Malheureusement, le nombre dentreprises certifies
nest pas aussi important que celui des entreprises certifies ISO 9001:
2000.

Groupe Eyrolles

Les certifications ISO 9001:1994 ou ISO 9002:1994 avaient le vent en


poupe. Avant, on parlait de systme dassurance qualit ; maintenant,
depuis les annes 2000, il sagit de la certification ISO 9001:2000 qui la
remplace, et on parle de systme de management de la qualit. Cette
norme doit rpondre un ensemble dexigences.

Les normes

19

On associe de plus en plus la norme ISO 14001:2004 au dveloppement


durable.
Dans bien des cas les normes sont labores par des groupes dexperts ;
cependant, il arrive quune norme soit ralise par une seule personne,
voire deux. Souvent, les personnes veulent protger leur travail (la
norme) par le droit de la proprit industrielle ; cest le mme principe
pour un inventeur qui dpose une marque, un brevet, un logo la personne fait appel aux services de lInstitut national de la proprit industrielle (INPI). Cet aspect protection, on le retrouve dans beaucoup de
normes, les normes CEN, cest--dire les normes europennes, ou les
normes ISO internationales. Il faut savoir que les normes sont payantes.

LES ORGANISMES DE NORMALISATION


quoi sert un organisme de normalisation ?
Un organisme de normalisation sert fixer des rgles de fonctionnement par rapport :
llaboration des normes par domaines, par secteurs dactivit
(groupes dexperts qui se runissent) ;
la gestion des normes obsoltes ;
la rdaction et la publication des normes ;
la commercialisation des normes ;
au plan de communication auprs des professionnels ;
la gestion des bases de donnes des normes ;
aux associations, organismes professionnels (France et autres pays).

Groupe Eyrolles

Pourquoi des organismes de normalisation ?


La normalisation a pour objet de fournir des documents de rfrence
comportant des solutions des problmes techniques et commerciaux
concernant les produits, les biens et les services qui se posent de faon
rpte dans des relations entre partenaires conomiques, scientifiques,
techniques et sociaux. (Dcret n 84-74, 26 janvier 1984)
En France lorganisme de normalisation est lAFNOR. Il est plac sous
tutelle du ministre de lIndustrie. Il est soumis la rglementation franaise ; celle-ci dfinit la normalisation dans son ensemble.

20

Les normes

Quelques exemples dorganismes de normalisation :


Organismes internationaux

Organismes nationaux

ISO : International Organization


for Standardization

AFNOR : Association franaise


de normalisation

CEI : Commission lectrotechnique


internationale

ANSI : American National Standards


Institute
ASTM International : American Society
for Testing and Material
BSI : British Standards Institute

CEN : Comit europen


de normalisation

DIN : Deutsches Institut fr Normung


JSA : Japanese Standards Association
BN : Bureau de normalisation, organisme
officiel belge de normalisation, qui a
succd lIBN, lInstitut belge de
normalisation, le 1er dcembre 2006

ACCRDITATION ET CERTIFICATION
Le COFRAC (Comit franais daccrditation) a pour objectif daccrditer
les organismes de certification (AFAQ, LRQA, BVQI), ainsi que les
laboratoires dessais, de tests, dchantillonnages.

Normes

Dfinition

Chapitre

BS 8800

Gestion de la sant et de la scurit au travail

ISO 8402:1994

Management par la qualit et assurance


de la qualit

ISO 9000

Systme de management de la qualit

ISO 9001:2000

tape vers une gestion de la qualit totale

ISO 9004:2000

Management de la qualit, lignes directrices


pour lamlioration des performances

ISO 10005:2005

Dveloppement, acceptation, application


et rvision de plans qualit

4
/

Groupe Eyrolles

LISTE DES NORMES ANALYSES DANS CET OUVRAGE

Les normes

Groupe Eyrolles

Normes

Dfinition

Chapitre

ISO 10006:2003

Donner des conseils sur le management


de la qualit dans les projets

ISO 10007:2003

Recommandations pour lutilisation


de la gestion de la configuration

ISO 10011

Lignes directrices pour laudit des systmes


qualit

ISO/IEC 12207:2008

Typologie des processus logiciels

ISO/IEC 13335

Gestion de la scurit

12

ISO 14001:2004

Systmes de management environnemental

ISO/IEC 15504

Management des processus logiciels


et valuation de leur amlioration

ISO 19011

Lignes directrices pour laudit


environnemental et qualit

ISO/IEC 20000

Norme pour les organisations qui fournissent


des services, processus daudit

ISO/IEC 21827:2002

Approcher la scurit dans une organisation


comme une entit bien dfinie

10

ISO/WD 26000

Porte sur la responsabilit socitale


des organisations

11

ISO/IEC 27001

Mise en uvre dun systme


de management de la scurit
de linformation

12

ISO/DIS 31000

Lignes directrices pour la mise en uvre


efficace du management du risque

13

ISO/IEC 38500:2008

Gouvernance des technologies


de linformation par lentreprise

14

SAS 70

Contrle interne et externalisation

15

SA 8000

Donner aux organisations les moyens


dtre socialement responsables

16

SOX

Mettre en uvre un contrle interne


sappuyant sur un cadre conceptuel

17

21

Chapitre 1

BS 8800

HISTORIQUE
La norme BS 8800 est une norme anglaise, produite en 1996, labore
par un groupe de travail compos dorganisations professionnelles,
reprsentatives de divers secteurs industriels et dadministrations, pour
le compte du BSI, organisme de normalisation anglais.
Les entreprises commencent prendre en considration laspect humain,
cest--dire veillent ce que lindividu, dans son activit professionnelle
de tous les jours, ne subisse pas daccident physique. ce titre, la norme
BS 8800 met laccent sur le domaine prventif, cest--dire faire diminuer
fortement, voire faire disparatre, les accidents en entreprise. Grce la
norme BS 8800, lentreprise prend conscience que les femmes et les
hommes doivent travailler dans un cadre scuris. Les termes scurit et
hygine font partie de la vie courante des entreprises via le Comit
dhygine, de scurit et des conditions de travail (CHSCT). La norme
BS 8800 permet de dvelopper laspect environnemental (moins de
dchets) et, cet effet, elle sappuiera sur la norme de management de
lenvironnement ISO 14001:2004.

Groupe Eyrolles

DFINITION
Il sagit dun modle de management normatif. Lobjectif de la norme
BS 8800 est de proposer un modle de management dont lobjet est
clairement mentionn : protger les employs dont la sant et la scurit pourraient tre affectes par les activits de lentreprise. La norme
BS 8800 propose des orientations dorganisation et de mise en place de
structure de gestion de la sant et de la scurit au travail (SST).

24

Les normes

APPLICATION
RETENIR
La norme BS 8800 est une norme pour les secteurs primaires et secondaires,
qui peuvent connatre des avantages dvelopper la norme de management de la sant et de la scurit au travail. Il sagit des secteurs dont les
risques pour les employs au travail sont connus. Le ministre du Travail
publie rgulirement des donnes ce sujet : le nombre daccidents, les
accidents sans ou avec arrt de travail sont des indicateurs de rfrence.

La norme concerne certaines activits du secteur tertiaire pour lesquelles


le management de la sant et de la scurit au travail nest pas dnu
dintrt : entreprises de transport, hpitaux, restaurants et htellerie,
socits dintrim, socits forte activit commerciale incluant une
quipe de commerciaux ayant des dplacements quotidiens ou de fret
avec manutention de colis.

Quels enjeux pour quelles finalits ?


Se faire connatre
La mise en application des orientations de la norme BS 8800 permet aux
entreprises de faire savoir quelles portent une attention particulire la
sant et la scurit de leurs employs et de toutes les personnes intervenant au sein de leur tablissement. Les interlocuteurs intresss et/ou
impliqus dans le systme de management de la SST sont tout autant les
employs que les actionnaires.
Renforcer la responsabilit de lemployeur
Lemployeur doit sengager durablement, et mettre les moyens en
uvre pour prserver la sant et la scurit des employs et de toutes
les personnes prsentes sur le site.

Mettre en place un systme de management de la sant et de la scurit


au travail, cest impliquer fortement les employs sur un sujet qui les
concerne en premier lieu : leur sant et leur scurit, individuellement
et collectivement.

Groupe Eyrolles

Impliquer les employs

BS 8800

25

Une responsabilit partage


Faire vivre, voluer et maintenir le systme de management de la SST
concerne chacun.
Se faire reconnatre
La norme BS 8800 est utilise pour la certification par des organismes
tiers.

Une volont de la direction : la communication


Communiquer en interne
Le plan de communication interne repose sur la manire dont la direction va vhiculer le projet de management SST au sein de lentreprise,
les ressources, les organisations, les rgles respecter en prenant en
compte le cadre rglementaire.
Communiquer en externe
Le plan de communication est ncessaire, car il faut supprimer toute
mauvaise comprhension de la part des parties externes sur le sujet du
management de la SST : cest ce qui explique que le systme de management peut, lui aussi, subir des dysfonctionnements par rapport aux
rgles de fonctionnement de lapplication.

Structure de la norme BS 8800


La norme BS 8800 a une ossature similaire au rfrentiel OHSAS 18001.
Elle propose le mme cheminement pour la mise en uvre et le fonctionnement du management de la sant et de la scurit au travail.

Groupe Eyrolles

Dire dexpert
Les tendances en matire de gestion de la scurit et de la sant au travail
ont t ralises par le BIT, do lILO-OSH 2001, lors de lanne 2001.
On constate une volont grandissante de la part des salaris de devenir
des acteurs majeurs dans la vie des structures interentreprises. Cette
volont sexplique simplement par lamlioration des conditions de travail. Disposer dun environnement de travail scuris, propre, grce aux
structures internes qui veillent cette garantie de service, est important
pour tous dans lentreprise.
LILO-OSH 2001 est beaucoup plus utilis et jour que la norme BS 8800.

Chapitre 2

ISO 9000

HISTORIQUE
La norme ISO 9000 a pour objectif de simplifier et de structurer les
grands principes de normalisation concernant la qualit des services, des
produits, des biens. Elle permet aussi de prsenter le rle et le poids que
joue la documentation travers le systme dassurance qualit.
La norme ISO 9000 a pour principe didentifier les diffrences concernant les exigences des normes pour les services, les processus, les biens,
les produits. Elle fournit des conseils sur le choix et lutilisation des normes internationales issues du domaine ISO 9000 associ au management
de la qualit.
Avant les annes 2000, le march conomique avait des critres de
slection bien prcis ; un des critres de slection a t la certification
ISO 9001, ou 9002, ou 9003 pour les grandes comme pour les petites
entreprises. De nombreuses socits ont voulu se faire certifier, mais le
parcours nest pas toujours simple. La certification ISO 9001, 9002 ou
9003 est vite devenue une tape obligatoire pour les entreprises. Sans
certification, lentreprise avait beaucoup de difficults se positionner
par rapport la concurrence pour les rponses un appel doffres.
Les trois normes ISO 9000 certifiables avant les annes 2000 taient :

Groupe Eyrolles

ISO 9001 pour la conception, le dveloppement, la production, linstallation et les prestations associes ;
ISO 9002 pour la production, linstallation et les prestations associes ;
ISO 9003 pour le contrle et les essais finaux.
Certains certificats avaient plus de valeur que dautres aux yeux des donneurs dordre, ce qui a permis de faire une slection parmi les entreprises

28

Les normes

certifies. Une grande partie des certificats concernaient le systme dassurance qualit ISO 9002.
Pour lensemble des trois normes ISO 9000, il fallait prouver lorganisme certificateur que ce que lon avait crit dans les procdures correspondait bien ce que lon faisait. Le mot preuve avait toute son
importance. tre en mesure de pouvoir tracer le parcours dun produit,
dun bien, dun service au sein de lentreprise, ds son arrive sa sortie,
fait partie des exigences de la norme.
Aujourdhui les trois normes IS0 9001, 9002, 9003 sont remplaces par la
norme ISO 9001:2000.
On ne parle plus de systme dassurance qualit, mais de management
de la qualit. Il sagit de matriser et doptimiser les processus et de satisfaire le client tout en mettant en place des actions damlioration continue. Les processus permettent de vhiculer une relle sensibilisation du
client au sein de lentreprise. La norme ISO 9001:2000 ne couvre pas
tout, malheureusement ; cest le cas pour les aspects touchant la scurit au travail et la protection de lenvironnement. Il faudra attendre
deux futures normes, lISO 31000 qui sera publie en septembre 2009 et
lISO 26000 en octobre 2010.

DFINITION
Aptitude dun ensemble de caractristiques intrinsques satisfaire des
exigences clients.
Normes

ISO 8402:1994

Dfinition

Management par la qualit et assurance de la qualit Vocabulaire.

ISO 9000

Famille de normes en rapport avec la gestion de la qualit dites


et publies par lOrganisation internationale de normalisation (ISO).

ISO 9000-1

Normes pour le management par la qualit et lassurance de la


qualit Partie 1 : lignes directrices pour leur slection et utilisation.

ISO 9000-2

Normes pour le management de la qualit et lassurance de


la qualit Partie 2 : Lignes directrices gnriques pour lapplication
de lISO 9001, lISO 9002 et lISO 9003.
/

Groupe Eyrolles

Permet de poser les bases gnrales employes dans la famille


ISO 9000 afin dliminer toute incomprhension au sein de
lentreprise et vis--vis des acteurs externes lentreprise.

ISO 9000

Normes

29

Dfinition

ISO 9000-3

Normes pour le management de la qualit et lassurance de


la qualit Partie 3 : Lignes directrices pour lapplication de
lISO 9001:1994 au dveloppement, la mise disposition,
linstallation et la maintenance de logiciel.

ISO 9000-4

Normes pour le management de la qualit et lassurance de


la qualit Partie 4 : Guide de gestion du programme de sret
de fonctionnement.

ISO 9001

Systmes Qualit Modle pour lassurance de la qualit en


conception, dveloppement, production, installation et prestations
associes.

ISO 9002

Systmes qualit Modle pour lassurance de la qualit


en production, installation et prestations associes.

ISO 9003

Systmes qualit Modle pour lassurance de la qualit


en contrle et essais finals.

Ces trois dernires normes (ISO 9001, ISO 9002, ISO 9003) ont t remplaces
par la norme ISO 9001 V 2000.
ISO 9004-1

Management par la qualit et lments de systme qualit


Partie 1 : Lignes directrices.

ISO 9004-2

Management par la qualit et lments de systme qualit


Partie 2 : Lignes directrices pour les services.

ISO 9004-3

Management par la qualit et lments de systme qualit


Partie 3 : Lignes directrices pour les produits issus de processus
caractre continu.

ISO 9004-4

Management de la qualit et lments de systme qualit


Partie 4 : Lignes directrices pour lamlioration de la qualit.
Source : fonde sur www.iso.org/iso/fr/iso_catalogue/catalogue

APPLICATION

Groupe Eyrolles

Les normes ISO 9000 et ISO 14000


Mettre en application la norme ISO 9000 ou la norme ISO 14000
demande le mme effort, ainsi quune forte mobilisation de la part du
personnel de lentreprise. LISO 9001:2000 concerne le management de
la qualit, lISO 14001:2004 traite du management environnemental. Par
ailleurs, on parle de plus en plus de QSE (Qualit, Scurit, Environnement).

30

Les normes

Il faut savoir que les normes ISO 9000 et ISO 14000 ont permis la mise en
place dautres normes, comme ISO/TS 16949 qui concerne le monde de
lautomobile, les donneurs dordre et leurs quipementiers ; cest le cas
aussi pour la norme EN 9100 qui est propre au secteur de laronautique.
Dans tous les cas, la mise en application des normes ISO 9000 et
ISO 14000 repose sur une approche projet, avec un chef de projet, des
correspondants ou des relais qui se trouvent dans les diffrents dpartements, directions, divisions.
RETENIR
LISO 9000:2000 comprend un ensemble de normes :
ISO 9000:2000 qui correspond au systme de management de la qualit
(principes essentiels et vocabulaire) ;
ISO 9001:2000 qui correspond au systme de management de la qualit
(les exigences) certifiable ;
ISO 9004:2000 qui correspond au systme de management de la qualit
(lignes directrices pour lamlioration des performances) ;
ISO19011 qui correspond aux lignes directrices pour laudit environnemental et laudit qualit.

Dire dexpert

Groupe Eyrolles

ISO 9000 fait partie des standards, mais, dans les domaines IT, le standard ISO 9000 ne suffit pas, dautres rfrentiels sont ncessaires : par
exemple, si le domaine concern est plus organisationnel, alors ITIL sera
mis en place ; si le domaine concern est plus applicatif, alors on utilisera
CMMI.

Chapitre 3

ISO 9001:2000

HISTORIQUE
Depuis 1994-1995, lISO 9000 est compose de trois normes ; ltendue
du primtre des trois normes concerne tous les domaines dactivit de
lentreprise :
ISO 9001 avait pour vocation de couvrir dans lentreprise : la conception, le dveloppement, la production, linstallation, et enfin les prestations associes ;
ISO 9002 avait pour vocation de couvrir la production, linstallation
et les prestations associes, sans conception ni dveloppement ;
ISO 9003 avait pour vocation de ne couvrir que le contrle et les
essais finaux.
partir des annes 2000, les trois normes ISO 9001, 9002, 9003 ont
disparu ; elles ont t remplaces par une seule et unique norme, la
norme ISO 9001:2000 qui est le management de la qualit.

DFINITION

Groupe Eyrolles

RETENIR
La norme ISO 9001:2000 est un rfrentiel certifiable par une tierce partie
(organisme neutre qui a la charge de vrifier que les dispositions prises par
lentreprise sont conformes aux exigences de la norme. Exemples dorganismes : AFAQ, LRQA, BVQI).

32

Les normes

La norme ISO 9001:2000 repose sur huit principes incontournables pour


lentreprise :
lcoute totale du client ;
la volont dtre leadership (la direction) ;
la relle implication de tout le personnel la dmarche de management de la qualit ;
lapproche processus tous les niveaux de lentreprise ;
le management par approche systme pour lensemble des dirigeants
de lentreprise ;
lamlioration continue ou permanente pour les femmes et les hommes
de lentreprise, ainsi que pour les acteurs externes (partenaires) ;
lapproche dite factuelle pour la prise de dcision, avec les avis de
chacun ;
la relation mutuellement bnfique avec les fournisseurs, dans un
climat de partenariat et de confiance.

APPLICATION
La norme ISO 9001:2000
Huit chapitres dfinissent les exigences ; la norme ISO 9001:2000 est le
rfrentiel unique qui va conduire la certification du systme de
management de la qualit (SMQ).
RETENIR

le domaine dapplication ;
la rfrence normative ;
les termes et dfinitions ;
les systmes de management de la qualit ;
la responsabilit de la direction ;
le management des ressources ;
la ralisation du produit ;
les mesures, lanalyse et lamlioration.

La norme ISO 9001:2000 sinscrit dans une dmarche damlioration continue qui est le PDCA souvent dcrit au travers de la roue de Deming.

Groupe Eyrolles

Les huit chapitres importants de la norme ISO 9001:2000 sont :

ISO 9001:2000

Responsabilit
de la direction

Clients

Management
des ressources

Clients

Mesures,
analyses et
amlioration

Ralisation
du produit

Exigences
lment dentre

Satisfaction

Produit
lment de sortie

Le manuel qualit

Les processus, les fiches


des processus

Les procdures

Les modes opratoires


Les notes dinstructions

Les enregistrements

Le systme documentaire

Groupe Eyrolles

33

Types et contenu des exigences


Les responsabilits de la direction, et son implication :
couter le client de manire permanente ;
dfinir une politique qualit pour lensemble de lentreprise ;

34

Les normes

mettre en place des objectifs qualit mesurables et ralisables ;


fixer les actions pour atteindre les objectifs et sy tenir ;
dsigner un responsable qualit pour lensemble de lentreprise ;
tenir des revues de direction mensuelles ou trimestrielles ;
mettre en place des plans daction pour amliorer les processus.
Les exigences par rapport aux ressources :
identifier et donner les ressources ncessaires pour concevoir le produit, le service attendu par rapport aux attentes du SMQ et du rfrentiel (norme) ;
identifier et nommer les ressources humaines comptentes, former le
personnel ;
mettre en place les infrastructures (quipements, moyens, machines) ;
choisir lenvironnement de travail.
Les exigences par rapport llaboration du service ou du produit :
identifier les processus qui prennent en compte les attentes des
clients ;
identifier et mettre en place les processus de commercialisation, de
conception, dachat, de production, de contrle dexpdition et de
service aprs-vente ;
dfinir et grer lensemble des processus qui participent la conception du produit, du service conforme.
Les exigences par rapport aux suivis et mesures, analyses, et actions
damlioration :
mesurer de manire permanente la satisfaction des clients ;
raliser rgulirement des audits internes ;
analyser les donnes pour mener bien les actions damlioration ;
planifier et mener les actions correctives en cas de problmes ;

La certification
Les audits de certification ou de renouvellement sont raliss par des organismes indpendants de lentreprise (certifiable). Celle-ci fait la dmarche

Groupe Eyrolles

planifier et mener les actions prventives pour viter de nouveaux


problmes potentiels.

ISO 9001:2000

35

auprs dun organisme habilit accrdit pour raliser un audit en


vue dtre certifie, si et seulement si elle rpond aux exigences de la
norme.
Les organismes franais de certification sont accrdits par le COFRAC.
Il existe plus de quinze organismes de certification en systme de management de la qualit qui suivent le rfrentiel ISO 9001:2000.
La premire anne, la dure du certificat est de trois ans, puis tous les
deux ans, le certificat doit tre renouvel (par un nouvel audit).
RETENIR
Il existe galement le SQE (Systme de la qualit de lentreprise) qui inclut
la norme 14001 environnementale.

Dire dexpert

Groupe Eyrolles

La norme ISO 9001:2000 a encore de beaux jours devant elle ; cependant, nous constatons quun rapprochement commence se faire entre
lISO 9001:2000 et la dmarche PDCA, ainsi quavec les nouvelles normes
telles que ISO/IEC 20000, qui sinspirent fortement de lISO 9001:2000.
Alors pourquoi pas, dici quelques annes, avoir une norme gnrique et
globale qui serait le regroupement de lISO 9001:2000, lISO/IEC 20000,
lISO 14001:2004, et dautres normes ?

Chapitre 4

ISO 10006:2003

HISTORIQUE
Cest en 1997 que la norme ISO 10006 est apparue. Elle rassemble lensemble des organismes nationaux en matire de normalisation. En 2003,
une nouvelle version est disponible, il sagit de lISO 10006:2003, qui est
une norme internationale.

DFINITION
Le but de la norme est de donner des conseils dans la conduite de la gestion de la qualit au sein des projets. Manager un projet demande de la
mthode, de lorganisation. LISO 10006:2003 apporte cet ensemble dlments, plus une relle valeur ajoute en termes de point de contrle,
qualit des livrables, respect du calendrier.
Les normes daudit et dassurance qualit
Normes

Dfinition

ISO 10011-1

Lignes directrices pour laudit des systmes qualit Partie1 : Audit.

Groupe Eyrolles

Principes de bases pour mener bien un audit du systme qualit,


contrler le niveau de comptence de lentreprise se rapprocher de
la cible en matire de qualit. Norme qui concerne lentreprise
et les audits externes auprs des sous-traitants (fournisseurs)
de lentreprise.
ISO 10011-2

Lignes directrices pour laudit des systmes qualit Partie 2 :


Critres de qualification pour les auditeurs de systmes qualit.
Assistance et accompagnement sur les activits lies la comptence
des personnes ; exemple, plan de formation, matrise de son activit,
dans le but didentifier de futurs auditeurs internes.
/

38

Les normes

Normes

ISO 10011-3

Dfinition

Lignes directrices pour laudit des systmes qualit Partie 3 :


Gestion des programmes daudit.
Principes directeurs pour la gestion du plan daudit du systme
qualit.

ISO 10012-1

Exigences dassurance de la qualit des quipements de mesure


Partie 1 : Confirmation mtrologique de lquipement de mesure.
Principes directeurs dun systme dtalonnage afin de garantir
la vracit des mesures ralises.

ISO 10012-2

Assurance de la qualit des quipements de mesure Partie 2 :


Lignes directrices pour la matrise des processus de mesure.
Principes directeurs complmentaires sur la gestion statistique
des processus. Dans le but de rpondre aux attentes de la partie 1.

ISO 10013

Lignes directrices pour llaboration des manuels qualit.


Principes directeurs pour la dfinition et la mise en place de la gestion
des manuels qualit conformment aux objectifs et attentes de
lentreprise.

APPLICATION
Elle est utilise par les chefs de projet, les organisateurs, qui sont dj
dans une dmarche ISO 9000 ; sa capacit permet de sappliquer diffrents types de projets. Il faut voir la norme ISO 10006:2003 comme un
soutien la mise en place de la norme ISO 9000 ; lapport de la norme
ISO 10006:2003 sur lensemble des processus identifis dans lISO 9000
est important.
Les deux points de la norme ISO 10006:2003 :
lensemble des processus organisationnels et fonctionnels qui sont
lis au projet. Il sagit de lorganisation au sein du projet ;

La norme ISO 10006:2003 permet dapprhender, de comprendre ce que


reprsente la qualit travers les processus de management de projet.
Nous avons donc deux approches : la premire est la qualit dans les
processus de management de projet (ISO 10006:2003), et la seconde est
la qualit dans les livrables en provenance des processus (ISO 9004).

Groupe Eyrolles

les rsultats des processus, ou plus prcisment les livrables du projet ; les livrables peuvent tre des services, des biens, des produits.

ISO 10006:2003

39

ce titre, la norme ISO 10006:2003 fait rfrence aux normes ISO


9001:2000 pour les aspects qualit, optimisation des processus, et pour
toute la partie satisfaction client qui, elle aussi, repose sur des processus,
comme nous lavons expliqu ci-dessus. La norme ISO 9004 concerne la
qualit des livrables (produits, biens et services).

Normes ISO 10005:2005 et ISO 10007:2003


Les entreprises qui utilisent la norme ISO 10005:2005 ont dj des processus en service et souhaitent amliorer la qualit de leurs livrables ;
cet effet, elles travaillent sur la partie conception, ralisation du produit.
La norme est alors indispensable, car elle met disposition un ensemble
dlments importants pour lentreprise : plan directeur, revue de projet
suivi du plan qualit, aide la dcision Il ny a pas de prrequis pour
lutilisation de la norme ISO 10005:2005, lentreprise ne recherche pas
daccrditation, ni de certification, mais juste une aide dans le suivi des
ralisations des produits (livrables).
La gestion des configurations au sein des entreprises requiert un ensemble de recommandations ; la norme ISO 10007:2003 rpond cette
attente. Un des prrequis est de connatre le vocabulaire et les grands
principes de la norme ISO 9001:2000.
La norme ISO 10007:2000 concerne les produits, les services durant leur
cycle de vie (de la naissance la mort) ; elle vient en support au produit. Les rles et responsabilits des acteurs sont prendre en compte
avant de commencer la gestion des configurations ; cette identification
permet de les grer tous les niveaux.

Groupe Eyrolles

La gestion des configurations demande un suivi rigoureux pour tout ce


qui concerne les nouveauts, les changements, les volutions, les suppressions. Le suivi comprend lenregistrement des mouvements ; ce
titre la traabilit des oprations est primordiale.
La gestion des configurations comprend lensemble des composants
la fois fonctionnels et physiques dun livrable, qui peut tre un produit,
un service ou un bien. Tout comme la norme ISO 10005:2000, la norme
ISO 10007:2003 na pas dobligation de rsultat (obtenir la certification).

40

Les normes

Apprhender les exigences de la norme projet


La qualit de projet permet de garantir la fiabilit des donnes et de
sassurer que les processus sont valids et respects, selon la norme ISO
10006:2003.
Le cycle des flux de linformation
Les processus sont dans beaucoup de cas des enchanements dactivit :
linformation entrante est traite, transforme en information sortante,
avec une plus-value aprs chaque tape. Cette information sortante est
appele livrable (produit, bien, service) ; ce livrable peut devenir son
tour une information entrante pour dautres processus.
CIBLE ATTEINDRE
Atteindre les objectifs dun projet demande un suivi et des tches particulires : la ralisation et la tenue dun planning, llaboration de processus organisationnels et fonctionnels, la mise en place de point de contrle,
la gestion des risques, le suivi du budget, des ressources, la gestion des partenaires.

Il existe des points communs entre la norme ISO 9001:2000 et la norme


ISO 10006:20003, il sagit :
de la prise en considration des orientations clients, grce aux tudes
de march, sondages, tendances ;
du volontariat de la part de lensemble du personnel de lentreprise,
sa sensibilisation et son implication suivre les directives dcrites
dans la norme ; ce qui demande une large communication auprs des
quipes. Cette communication a pour but de faire ressortir les avantages et bnfices que peut apporter la norme.
Gnraliser lapproche processus travers lentreprise

La documentation est importante ; il faut tre en mesure de pouvoir


grer correctement le systme documentaire. Se donner les moyens en
ressources (hommes), en outils, et bien entendu en organisation (processus).

Groupe Eyrolles

Avoir une philosophie du toujours mieux faire : lamlioration continue rpond cette demande, et concerne chacun au sein de lentreprise.

ISO 10006:2003

Processus

Processus lis aux contenus


Notion qualitative

41

Objectif

Prsentation des diffrents produits associs


au projet, avec leurs spcifications,
les mthodes de suivis et de mesures.
On parle de qualit du produit.

Processus lis aux dlais


Notion qualitative et quantitative

Suivi de lavancement du projet dans


le respect du planning annonc (les activits
sont suivies, contrles).
On parle de qualit des processus et dlais
(chelle de temps, chiffres).

Processus lis aux cots

Respect du budget, anticipation des cots.

Notion quantitative

On parle de cots, de chiffres.

Processus lis aux ressources

Prvoir et grer efficacement la


problmatique de ressources sur un projet
(personnes, matriels, logiciels).

Notion qualitative

On parle de qualit (problme,


identification).
Processus lis au personnel
Notion qualitative

Atteindre un niveau defficience au sein


des quipes.
On parle de qualit (les bonnes personnes).

Processus lis la communication


Notion qualitative et quantitative

Centraliser et diffuser la mme information


tout le monde et au mme moment
(flash, newsletter, plan de communication
autour du projet, prsentation,
avancement).
On parle de qualit et de dlais.

Processus lis aux risques


Notion qualitative et quantitative

Minimiser les risques sur le projet durant tout


le cycle de vie du projet.
On parle de qualit et de quantit (nombre
dimpacts).

Processus lis aux achats


Groupe Eyrolles

Notion qualitative et quantitative

Il sagit des entres de matriels, de


ressources, de prestationsqui dpendent
des achats, en relation bien entendu avec
le projet.
On parle de qualit des produits, et
du nombre dachats de matires premires.

Les normes

Dire dexpert
La norme ISO 10006:2003 fait rfrence aux concepts de la norme ISO
9001 :2000 qui traite du management de la qualit, spcifiquement pour
les conseils en management de la qualit pour lensemble des activits
de gestion de projet.

Groupe Eyrolles

42

Chapitre 5

ISO/IEC 12207:2008

HISTORIQUE
La norme ISO/IEC 12207:2008 a t labore par le comit technique
JTC 1 de lISO/IEC et sa publication date de 1995. Lintroduction en 1987
de la norme ISO 9001, issue de lindustrie mcanique, a rapidement
t suivie de dveloppements prenant en compte la spcificit des activits informatiques (ISO 9000-3). Paralllement ont t dveloppes des
dmarches fondes sur une analyse des processus logiciels (ISO/IEC
12207:2008, TICKIT), ainsi que celles reposant sur une valuation de
laptitude ou valuation de la maturit (CMM, ISO 9004-4), la mthodologie SPICE reprsentant en quelque sorte une synthse russie de ces diffrentes orientations.

DFINITION
RETENIR
La norme ISO/IEC 12207:2008 permet de situer les principaux critres pour
lensemble des processus, tout au long du cycle de vie des logiciels, et cela
dune manire gnrale avec les premiers processus, les processus organisationnels, les processus de maintenance et de support. La norme ISO/IEC
12207:2008 prsente un type de processus.

Groupe Eyrolles

La norme ISO/IEC 12207 sapplique :


lactivit des entreprises qui achtent des logiciels et qui sont spcialises dans le domaine du dveloppement des logiciels spcifiques ;
des missions de prestations axes sur les logiciels ;

44

Les normes

Systme qualit

ISO 9001
ISO 9000-3

volution
de maturit

Typologie
des processus

12
ISO

CM

20

ISO 15504
SPICE

des activits dexploitation et de maintenance des logiciels ;


la gestion du traitement de linformation et de la vie du logiciel.
Grce la norme, une slection est faite sur les diffrents processus, sur
lensemble des tches ainsi que sur les nombreuses activits qui sont
menes pour les projets, avec une forte dominante pour les projets plus
spcifiques que les autres.
Il est recommand de mettre en place un plan damlioration continue
pour les processus, quil soit interne ou externe lentreprise, et cela
concernant les produits logiciels quelles que soient les phases davancement des activits de dveloppement et de maintenance.

La norme ISO/IEC 12207:2008 dfinit une architecture des processus requis


mais ne spcifie pas les dtails dimplantation ou dexcution des activits
et des tches qui sont incluses dans les processus. Elle ne prescrit pas le nom,
le format, et de faon explicite le contenu des documents produire, et ne
prescrit ni modle de cycle de vie ni mthodologie de dveloppement.

Groupe Eyrolles

DANGER

ISO/IEC 12207:2008

45

APPLICATION
Processus

Processus
de base

Objectif

Acquisition pour lorganisme lui-mme.


Activits du fournisseur.
Dveloppement du logiciel.
Exploitation du systme informatique et des services associs.
Maintenance du logiciel.

Les processus
support

Documentation du logiciel et de son cycle de vie.


Gestion de configuration.
Assurance qualit avec les revues, audit et vrification.
Vrification.
Validation.
Revue conjointe.
Audit pour la vrification de la conformit aux exigences.
Rsolution de problmes et de non-conformits en cours
de dveloppement et lexploitation.

Les processus
organisationnels

Management de toutes les activits, y compris la gestion de projet.


Infrastructure ncessaire un processus.
Pilotage et amlioration du cycle de vie.
Formation du personnel.

Groupe Eyrolles

Dire dexpert1
La norme ISO/IEC 12207:2008 et le service de production
informatique
Concentre dabord sur le dveloppement logiciel, la norme ISO/IEC
12207:2008 contient quelques pratiques lies lexploitation du logiciel.
Dans les processus de base exploitation et fourniture , il est prcis
que lexploitation du logiciel doit fournir un service aux utilisateurs. Cest
le rle du charg dexploitation, et ce dernier doit galement assurer
lassistance aux utilisateurs. La maintenance selon ISO/IEC 12207:2008,
est galement le processus charg de traiter les dfauts et les non-conformits. Les processus de gestion de configuration, dinfrastructure et de
rsolution de problmes ont de fortes similitudes avec les processus ITIL.

1. Christophe Denis, ingnieur logiciel, spcialiste CMMI.

46

Les normes

Nous pouvons retenir ce stade que les processus lmentaires, quils


soient des processus oprationnels ou de support, ont une vocation
identique entre ISO/IEC 12207:2008 et lITIL.
Les objectifs et les cadres daction sont, quant eux, diffrents :
les phases de conception, de dveloppement, de test et mise en
place des logiciels sont le livrable du service de production par rapport ce que dit la norme ISI/IEC 12207:2008 ;
le rfrentiel ITIL place la production au cur de loffre de service. Les
rapports qui existent entre le service de dveloppement et le service
de production sont des rapports de fournisseur (service dveloppement) client (service production) ; ce titre, le service de production
est seul dire si tel logiciel est en conformit avec les attentes (service
production) ;

Groupe Eyrolles

ce mode dorganisation rvolutionne un peu les anciens principes ; en


agissant ainsi, il est plus facile de faire la distinction entre les tapes
de fourniture et de support de service et les tapes lies au dveloppement.

Chapitre 6

ISO 14001:2004

HISTORIQUE
Une politique internationale concernant la protection de lenvironnement a t initie et dveloppe depuis le dbut des annes 1970.
Quelques dates cls :
en 1972 Stockholm, cration dune lgislation internationale de
lenvironnement ;
en 1992 Rio de Janeiro, lors du Sommet de la Terre, le dveloppement durable est approuv et reconnu par tous les acteurs ;
en 1997 Kyoto, il sagit dun vritable protocole daccord sur le
changement climatique entre les plus grandes puissances industrielles du monde.

Groupe Eyrolles

Types de normes

Dfinition

ISO 14001:2004

Dcrit les exigences ou les niveaux atteindre.


Norme spcifique au management environnemental.

ISO 14004

Dcrit les directives dlaboration du systme de


management environnemental. Norme axe sur le conseil.

ISO 14010

Grandes directives et grands principes de laudit


environnemental.

ISO 14011

Process de mise en uvre dune campagne daudit


du systme de management environnemental.

ISO 14012

Identification et choix des facteurs de qualification


des auditeurs.

48

Les normes

DFINITION
La norme ISO 14001:2004 Systmes de management
environnemental
Spcifications et lignes directrices en application depuis octobre 1996
proposent un processus de gestion de lenvironnement dans et par lentreprise.
CIBLE ATTEINDRE
Lobjectif premier de la norme ISO 14001:2004 est de proposer un concept
dorganisation pour dployer la stratgie environnementale tous les
niveaux de lentreprise et de linscrire dans la dure.
Il est primordial de garder lesprit que les objectifs de protection de
lenvironnement et de prvention de la pollution ne doivent pas fragiliser
ou mettre en pril les besoins socioconomiques de lentreprise dans son
contexte local et global.

Le contenu de la norme 14001:2004


Elle est compose de 20 chapitres :
politique ;
planification ;
aspects environnementaux ;
exigences lgales aux autres exigences ;
objectifs et cibles ;
programmes de management environnemental ;
mise en uvre et fonctionnement ;
structure et responsabilits ;
formation, sensibilisation et comptences ;
communication ;
matrise des documents ;
matrise oprationnelle ;
prvention des situations durgence ;
contrle et actions correctives ;

Groupe Eyrolles

documentation du systme de management environnemental ;

ISO 14001:2004

49

surveillance et mesurage ;
non-conformit et action corrective et prventive ;
enregistrements ;
audit du systme de management environnemental ;
revue de direction.

APPLICATION
Lquipe
Avant de lancer un projet ISO 14001:2004, il convient de dfinir lquipe
qui assurera sa dfinition et sa mise en uvre dans lentreprise.

Responsable du Systme de management


de lenvironnement (SME)
Il est le responsable au sens ISO 14001:2004 de la mise en place et du
maintien du systme, ainsi que du reporting auprs de la direction. Cest
en gnral le responsable environnement du site qui a t form la
norme ISO 14001:2004. Il est possible que cette fonction soit assure
par le responsable qualit si la fonction environnement est peu dveloppe. Cependant, il est prfrable pour une bonne vie du SME que le
responsable de ce dernier assure galement la fonction oprationnelle
environnement dans lentreprise, et par consquent de sparer les rles
et les responsabilits.

Direction et encadrement
Le management doit tre moteur et engag dans la mise en uvre dun
SME ISO 14001:2004. Il simplique pour le lancement du projet, la dfinition de la politique, lallocation des budgets correspondants et la participation aux revues de la direction.
Groupe Eyrolles

STRATGIQUE
La participation de la direction est extrmement importante pour motiver
lensemble du personnel, sassurer que le SME sinsre bien dans les objectifs stratgiques de lentreprise, allouer lensemble des ressources permettant le bon avancement du projet.

50

Les normes

RETENIR
Il est fortement souhaitable que lensemble du personnel reoive, avant sa
mise contribution, une sensibilisation environnementale, de faon mettre en perspective les efforts raliser par rapport aux problmes environnementaux globaux.

Analyse environnementale
Cette phase est un pralable important pour le SME. Elle consiste tablir
une image synthtique et exhaustive de la situation environnementale de
lentreprise, comprenant notamment la description des activits de lentreprise et de son environnement, les performances environnementales, les
impacts significatifs des activits et la position des parties intresses.
Cette analyse servira de base pour llaboration de divers lments du
SME :
politique ;
programmes environnementaux ;
procdures

Estimation de la mise en place dune dmarche


ISO 14001:2004
Les dlais dpendent de la taille de lentreprise et des moyens affects
au projet ISO 14001:2004. On peut compter une dure denviron un ou
deux ans, dcompose comme suit :
Initialisation : un mois.
Analyse environnementale : deux quatre mois.
Dfinition du SME : quatre six mois.
Mise en uvre du SME : deux six mois.
Audit et certification : trois six mois.

la rglementation et les normes ;


le manuel ;
la politique qui prsente les principes et les engagements de la direction, la participation du personnel, les objectifs ;

Groupe Eyrolles

Les lments fondamentaux sont :

ISO 14001:2004

51

le programme de management de lenvironnement qui planifie les


objectifs et les cibles ;
les procdures du systme, chacune rpondant la squence quiquoi-comment ;
les instructions techniques ;
les registres et documents techniques des donnes lies lenvironnement.

La matrise documentaire
La gestion documentaire et le manuel environnemental consistent tre
en mesure de savoir prcisment :

o retrouver un document ;
qui peut le rdiger, le rviser, ventuellement le valider ;
o doivent tre placs les exemplaires pour lutilisation ;
comment retirer les documents prims ;
quels documents prims conserver en archives.

Le SME est un outil vivant qui volue avec les besoins de ltablissement. Il faut le tenir jour en procdant priodiquement la rvision
des documents pour vrifier sils restent adapts.

Dire dexpert

Groupe Eyrolles

Le retour dexprience montre qu long terme la mise en place dun systme ISO 14001:2004 est gnratrice de gains pour lentreprise, notamment lis :
la diminution des charges environnementales suite la mise en uvre
de programmes dconomies et de valorisation (eau, dchets) ;
au renforcement de la position commerciale.

Pour raliser un diagnostic de lexistant en matire denvironnement au


sein de ltablissement, il est ncessaire didentifier toutes les tches,
tous les documents, rapports et enregistrements ayant trait la gestion
de lenvironnement :
le qui fait quoi : affectation des rles et des responsabilits, y
compris ceux qui sont informels, tches dvolues ;
le quoi est o : o sont localiss les dossiers ? que recle chacun
deux ?

52

Les normes

En ce qui concerne la matrise documentaire du SME, il faut transcrire,


inscrire, dcrire le systme de management environnemental mis en
place. Cest le rle du scribe. La norme ISO 9001:2000 introduit un certain
nombre de principes nouveaux par rapport la version 1994 ; ce qui la
rapproche encore dans sa structure de la norme ISO 14001:2004. Laudit
est un outil daide pour la direction, le contrle et le respect de la mise en
pratique des directives et des exigences demandes par la norme et par
les organismes certificateurs, en rapport aux contextes lis lenvironnement et la qualit.
Laudit permet de faire des valuations, et cela nimporte quel niveau
de lentreprise et sur nimporte laquelle de ses activits.

Principe damlioration continue


Ce point est mis en valeur dans la version 2000. Cest un lment galement trs important de la norme ISO 14000 ; il demande une organisation forte de la part de la direction en organisant des revues de suivi,
des points davancement par rapport aux plannings, des livrables de
qualit, tout en respectant les objectifs fixs par lentreprise.

Approche processus
Ce quil ressort de cette approche est une orientation davantage procdures mtiers autour du systme qualit. Cela peut galement permettre davoir un systme avec des procdures abordant en mme temps les
aspects qualit et les aspects environnement.

Rle de la direction

Groupe Eyrolles

Lengagement de la direction est renforc dans la version 2000. Une


revue de direction est prvue comme dans la norme ISO 14000. Elle
peut tre ralise selon les mmes principes dans les deux systmes de
management.

Chapitre 7

ISO/IEC 15504

HISTORIQUE
Cest en 1993 quun programme de travail a t ralis concernant une
norme ISO associe un plan de dveloppement ; le rsultat de ce travail fut le standard du domaine pour les activits de dveloppement.
Derrire cette norme se cache le Software Process Improvement and
Capability Determination (SPICE).

DFINITION
Le niveau de maturit des organisations de lentreprise se mesure. travers lensemble des mesures, on retrouve les procds des activits de
production de logiciel. La norme ISO/IEC 15504 permet didentifier les
risques et les faiblesses issus des activits de production de logiciel,
avec pour but de sinscrire dans une dmarche damlioration continue
la fois pour les processus et pour les activits de production (logiciel).
RETENIR

Groupe Eyrolles

ISO/IEC 15504 dtermine la maturit dune organisation de production de


logiciel selon six niveaux, de 0 5 par ordre croissant de maturit.

54

Les normes

Niveau

Concepts structurels
et organisationnels

Statut

Non en service

Mise en application difficile.

Ralis de manire implicite


sans formalisme

Mise en place doprations identifies.

Gestion de lavancement

Gestion des jalons, priorisation


des activits et suivi de leur ralisation.

Matrise du primtre

Organisation des process, pilotage


et gnralisation aux activits.

Gestion des mesures


et des chiffres

Dfinition, choix des indicateurs


pertinents, faciles suivre et contrler.

Amlioration continue

Optimisation de lorganisation,
des processus, de manire permanente
afin de rechercher la performance.

APPLICATION
Pour mettre en application la norme ISO/IEC 15504, il est demand
davoir une organisation rceptive et sensible aux dmarches damlioration continue ; cela concerne toutes les activits de la production de
logiciel comme le respect du planning, la gestion de projet, les relations
avec les fournisseurs, le suivi des contrats de maintenance, de support.
La norme ISO/IEC est dcoupe en deux domaines :
le premier relve plus des activits qui dfinissent les processus ;
le second concerne les critres qui permettent dlaborer et dexploiter les processus ; la gestion des processus dfinit les aptitudes et il y
a diffrents niveaux daptitude.
Structure gnrique dun plan qualit CMM/ISO/IEC 15504
Contenu

1
Prsentation de la page
de garde

Prsentation des grandes lignes du projet, le ou


les documents associs, les principaux acteurs, le cycle
de vie du document avec les rgles de nommage ainsi
que la traabilit des diffrentes rvisions du document.

2
Introduction au contexte
dutilisation du plan

Introduction aux directives de lassurance qualit


en rapport aux contrats et aux diffrentes tches
lis au projet.

Groupe Eyrolles

Structure

ISO/IEC 15504

Structure

55

Contenu

3
Macro-planning et
domaine dapplication

Description des interventions des prestataires,


sous-traitant sur le projet de manire macroscopique.

4
Rle et responsabilit
de lassurance qualit

Prsentation des directives en matire dassurance


qualit et de son garant sur le projet, prsentation
des procdures et des processus associs son activit
sur le projet.
Prsentation de la dmarche suivre en cas de
non-respect du plan dassurance qualit sur le projet.
Transmission de linformation aux acteurs au mme
moment et avec le mme niveau (formalise par
des comptes rendus).

5
Contrle et gestion
de lexcution du plan

Prsentation des points de contrle des tapes ou


des jalons du projet, ainsi que le dtail des diffrentes
actions de contrle.

6
Rgle documentaire
et documents applicables
et de rfrence

Ensemble des documents employs durant le projet,


documents qualit et autres documents plus
fonctionnels propres la solution informatique
en place.

7
Terminologie
et dfinition

Smantique des noms communs aux projets et


aux documents associs, dfinition de certains termes,
connus de tous.

8
Les cinq exigences,
risques et contraintes
du projet

Exigences stratgiques (orientation direction).


Exigences fonctionnelles (orientation mtiers).
Exigences technologiques (orientation outil).
Exigences organisationnelles (orientation structurelle
et humaine).
Exigences de contraintes (orientation gestion
des risques).

Groupe Eyrolles

9
Relation organisation
et communication
du projet

Rle et responsabilits des acteurs sur le projet, ainsi


que leur niveau dimplication et de relation hirarchique
sur le projet.
Description du plan de communication.
Prcision des plans ventuels de formation pour certains
acteurs dans le cadre de la russite du projet.
/

56

Les normes

Structure

10
Suivi de projet
et dingnierie

Contenu

Descriptif des tapes offrant une vision des activits


dans leur ensemble et de tout ce qui permet de voir
la continuit et lavancement du projet.
Indication aussi des exigences qualit relatives
aux acteurs externes (sous-traitants) lentreprise.

11
Gestion des modifications
et des configurations

Gestion des modifications suite des demandes


dvolution ou des non-conformits.

12
Duplication, scurit,
transfert

Prsentation des conditions de duplication, de copie


du logiciel, ainsi que les processus associs la gestion
de la scurit de la solution (application).

Gestion des configurations gnralement lie


la gestion des modifications.

Dire dexpert1
Le processus logiciel est en constante volution, ce qui demande une
amlioration continue des processus.
Connatre le niveau de maturit des processus logiciels se traduit par un
tat des lieux ou une analyse de lexistant. Ltat des lieux prend en
compte les processus de lactivit, ainsi que les livrables associs aux
activits. Les rfrentiels tels que CMM, CMMI se sont fortement inspirs de la norme ISO/IEC 15504 pour ce qui concerne les volutions.

Un grand nombre dentreprises utilisent la norme ISO/IEC 15504 comme


rfrentiel car, pour beaucoup dentre elles, la norme ISO/IEC 15504 est
un rel vecteur damlioration pour lensemble de leurs processus logiciels. La mise en place de la norme ISO/IEC 15504 au sein de leur organisation leur fournit lassurance de rduire significativement le nombre
de risques et de pouvoir dgager de rels bnfices.

1. Christophe Denis, ingnieur logiciel, spcialiste CMMI.

Groupe Eyrolles

Il est possible de se procurer cette norme internationale ISO/IEC 15504


auprs des organismes nationaux (achat de normes).

Chapitre 8

ISO 19011

HISTORIQUE
La norme ISO 19011 est parue en fin danne 2002, elle a pour objectif
de prsenter les lignes directrices pour laudit des systmes en correspondance avec le management de la qualit et le management environnemental.

DFINITION
La norme ISO 19011 a pour vocation dapporter son aide lensemble des
organismes utilisateurs concernant lamlioration et loptimisation des systmes de management, dans deux domaines : la qualit et lenvironnement. LISO a la volont de mettre en place un seul et unique programme
daudit. Ce programme daudit concernera la fois lISO 9001:2000 pour
le management de la qualit et lISO 14001:2004 pour le management de
lenvironnement. Cette orientation permettra doptimiser les cots pour
les entreprises (une seule campagne daudit).

Groupe Eyrolles

RETENIR
La conduite daudit, quelle soit interne ou externe, repose sur la norme
ISO 19011 car celle-ci a lavantage de donner les lignes directrices pour les
campagnes daudit du management de la qualit ISO 9001:2000 et du
management environnemental ISO 14001:2004. Les auditeurs, les organismes de certification, daccrditation, de normalisation, sont concerns par
cette norme.

58

Les normes

APPLICATION
Pour lentreprise qui est audite, une organisation est mettre en place.
Le directeur qualit environnement est garant de lorganisation interne
de la campagne daudit. Il dsigne lensemble des personnes qui seront
audites (ISO 9001:2000 et ISO 14001:2004) ; dans bien des cas, quelle
que soit la norme audite, les personnes audites sont les mmes.
Les auditeurs (organismes de certification) doivent bien comprendre le
contexte des entreprises audites et faire la distinction entre les exigences que demandent les normes ISO 9001:2000 et ISO 14001:2004.
Pour mettre en application la norme ISO 19011, lidal est dtre dans un
contexte bimodal, cest--dire la fois dans une dmarche de systme de
management environnemental (SME) et dans une dmarche de systme
de management qualit (SMQ). Pour beaucoup dentreprises qui ont les
deux systmes de management en place, avoir une seule campagne
daudit est une bonne chose plusieurs niveaux :
un seul audit (temps plus court) ;
un seul cot (diminution des cots, investissement moins lourd) ;
une seule contribution quipe auditeur, personnel audit (optimisation des quipes).
Sadapter au contexte conomique des entreprises, du march, est facteur de russite : cest ainsi que la norme ISO 19011 est apprcie de
tous.
Pour mener bien une campagne daudit, les auditeurs doivent tre
qualifis, le programme daudit ainsi que la conduite de laudit doivent
tre conformes aux attentes des organismes certificateurs.

Groupe Eyrolles

Le march conomique demande aux entreprises de pouvoir sadapter


rapidement aux changements et aux volutions concernant les systmes
de management de la qualit et de lenvironnement ; lISO 19011 joue
un rle important en conseillant et en prsentant les bonnes pratiques
suivre. Le programme daudit est un lment important, il fixe le niveau
daudit (audits groupes ou audits individuels).

ISO 19011

59

Dire dexpert
Le fil conducteur des audits internes pour le management de la qualit et
le management de lenvironnement est dfini dans la norme ISO 19011.
Elle remplace les sries ISO 9000 (qualit) et ISO 14000 (environnement),
ainsi que la srie des normes ISO 10011-1, lISO 10011-2 et lISO 10011-3
de la famille ISO 9000, et les normes denvironnement ISO 14010, ISO
14011, ISO 14012 de la famille ISO 14000. La norme ISO 19011 est un
complment de la norme ISO de la srie 9000 qui comprend les normes
ISO 9000, ISO 9001 et ISO 9004. Ces sries ont t rvises et publies
en dcembre 2000.

LES NOUVEAUTS
Une rvision de la norme ISO 19011 a t dcide fin 2007 par lISO/TC 176/
SC3 groupe de travail dexperts. Cette rvision concerne deux lments :

Groupe Eyrolles

la rduction du champ daction de la norme aux audits internes et audits


externes ;
la gnralisation de la norme ISO 19011 lensemble des autres systmes
de management, en plus du systme de management de la qualit et du
systme de management de lenvironnement.

Chapitre 9

ISO/IEC 200001

HISTORIQUE
La BS 15000 est la toute premire des normes en matire de gestion de
services informatiques qui soit devenue internationale ; cest la British
Standards Institution (BSI) qui a particip activement son volution.
Pour les activits dinfogrance, prestation de services, la norme BSI
15000 permet de dfinir lensemble des spcifications indispensables
pour sassurer que le service sera bien rendu auprs du client.
La documentation a une place importante dans la norme ; elle permet
didentifier les points de vigilance que lentreprise se doit de suivre, et
cela en relation avec les objectifs attendus et annoncs par lorganisation
en place.
En 2005, la BS 15000 a donn naissance lISO/IEC 20000 qui se compose de deux parties :
une norme dexigences ISO/IEC 20000-1:2005, ce sont les spcifications ;
une norme de recommandations ISO/IEC 20000-2:2005 ; il sagit du
Code de bonnes pratiques.

DFINITION
Groupe Eyrolles

RETENIR
LISO/IEC 20000 est une norme pour les organisations qui fournissent des
services.

1. Avec la contribution de Gad Koskas, consultant manager, auditeur ISO 20000 et


formateur ITIL V2, V3.

62

Les normes

Une certaine dontologie et un haut niveau de comptence des acteurs


sont garantis par le processus de certification des personnes et des
entreprises.
La certification dorganisation ISO/IEC 20000 est ralise par AFAQ/
AFNOR ; dautres organismes peuvent certifier les entreprises.
Remarque : la certification de produit nest pas reconnue.

APPLICATION
Les processus de lISO/IEC 20000
Rpondre aux diffrentes attentes des clients demande aux entreprises
de travailler en mode processus, ce que la norme ISO/IEC 20000 prconise fortement. Le mode de fonctionnement, dit pertinent, repose sur de
nombreuses activits interactives. La norme ISO/IEC 20000 sinspire fortement du rfrentiel ITIL V3 et de la norme ISO 9001:2000, qui ont
comme point commun le management par les processus, la satisfaction
client et lamlioration continue.

PROCESSUS DE LA FOURNITURE DES SERVICES


Gestion des niveaux de service
Rapports sur le service

Gestion de la continuit
Gestion de la disponibilit

PROCESSUS
DE CONTRLE
Gestion des configurations

PROCESSUS DES MISES


EN PRODUCTION
Gestion des mises
en production

Gestions des changements

PROCESSUS
DES RSOLUTIONS
Gestion des incidents

Gestion de la scurit des SI


Budgtisation et comptabilit
des services IT

PROCESSUS
DE GESTION
DES RELATIONS
Gestion des relations
commerciales
Gestion des fournisseurs

Gestion des problmes

Nouveaux processus dans ISO 20000

Matrice IEC/IS0 20000


Source : OGC, anne 2005.

Groupe Eyrolles

Gestion de la capacit

ISO/IEC 20000

63

Les processus concerns par la norme


Il sagit de lensemble des processus ITIL qui sont inclus dans la norme
ISO/IEC 20000, avec quelques ajouts comme le service reporting, la gestion des fournisseurs et la gestion des relations commerciales.
Laxe de la norme ISO/IEC 20000 est bien les processus et non les fonctions, do labsence du service desk.
La norme est dcoupe en deux parties :
les spcifications, cest--dire lensemble des rgles de conformit sur
lesquelles lorganisation doit se faire certifier ;
le code de pratiques, soit des recommandations pour la mise en
place de la gestion des services dans le cadre dune organisation. La
partie recommandations utilise le mot devrait (should).

Dire dexpert
La norme ISO/IEC 20000 a le double avantage de pouvoir proposer la
fois une base daccrditation et de certification pour les centres de production informatique.
Il faut bien voir que la norme ISO/IEC 20000 est organise en lots :
PDCA des services ;
support de service ;
fourniture de service ;
relation pour les services TI.
La notion de management de la qualit de service volue vers le management de service. Il faut voir le service comme une relle activit avec ses
clients, son business, son environnement TI, ses marchs. Les exigences
relatives ISO/IEC 20000 sont numrotes de 1 10. Pour quune organisation soit certifie ISO/IEC 20000 lensemble des exigences demande
tre vrifi.

La nouvelle norme ISO/IEC 20000:20101

Groupe Eyrolles

Le standard ISO/IEC 20000-1 a t publi en novembre 2005 partir de


la norme BS 15000, linitiative du British Standard. Cette norme a t
1. Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ; directeur
gnral de Sextant Solutions Informatiques ; matre de confrences associ luniversit dEvry ; prsident de la Commission nationale ingnierie et qualit des
logiciels et systmes (AFNOR).

64

Les normes

Groupe Eyrolles

conue initialement pour permettre la certification des organisations


anglaises qui se sont engages dans la mise en uvre du rfrentiel
ITIL V2, pour lequel les certificats ne sont dlivrs quaux individus.
Depuis 2007, des travaux sont engags pour amliorer le standard ISO/
IEC 20000-1 : lintgration de la partie conception des services dans les
exigences, la cohrence avec le standard ISO 9001:2008, la prise en
compte de certains concepts issus dITIL V3 (en toute indpendance de
lOGC, propritaire dITIL) sont parmi les premiers axes damlioration.
ISO/IEC 20000-1 est amen devenir un standard particulirement
reconnu, au mme titre que ISO 9001, car il sadapte tous les services
et pas seulement aux services informatiques. Or la part des services
reprsentera terme prs de 70 % du PNB mondial, ce qui est dj pratiquement le cas pour les pays les plus dvelopps. Les premires analyses que jai pu raliser, notamment dans les secteurs du tourisme et des
services hospitaliers, se sont rvles particulirement concluantes. Les
membres du groupe de travail international sur la srie de standards
ISO/IEC 20000 en ont totalement conscience et cest pourquoi la version
prochaine, prvue pour 2010, aura supprim dans ses exigences toute
rfrence linformatique pour proposer un ensemble dexigences destines aux fournisseurs de services. ISO 20000-1 est un Systme de Management de Services (SMS) en cohrence avec ISO 9001:2008 (SMQ).

Chapitre 10

ISO/IEC 21827:2002

HISTORIQUE
Comme ce fut le cas pour beaucoup de normes, pour pallier un manque
de repres, une absence de modle, de standard en termes de scurit
informatique, un groupe dexperts parmi de grandes socits amricaines se mit au travail. En 1993, ces experts travaillrent sur un modle, le
SSE-CMM.
En 2002, lISSEA (International Systems Security Engineering Association,
qui est ddie lavancement des systmes de scurit) a ralis de
nombreux changements partir du modle initial : le modle est devenu
une norme qui sappelle ISO/IEC 21827:2002, puis il y a eu des volutions sur la norme et une nouvelle version est apparue ; il sagit de la
norme ISO/IEC 21827:2003.

DFINITION

Groupe Eyrolles

La scurit informatique concerne toute lentreprise. Elle sinscrit dans


une dmarche processus, on la retrouve partout : les informations en
entre, les informations traiter, les informations en sortie, elle sinscrit
galement dans une dmarche damlioration continue, elle se remet
rgulirement en question afin de progresser.
Grce son organisation la SSE-CMM sest vite adapte au monde de
lentreprise.

66

Les normes

APPLICATION
La mise en pratique de la norme SSE-CMM dans lentreprise repose
sur une approche globale qui est divise en deux parties : la premire
concerne le domaine, o lon trouvera les pratiques de base (BP), et la
seconde concerne ladaptabilit, o lon trouvera la pratique gnrique
(GP) avec les aspects de planification et de ralisation des pratiques de
base.
Pour avoir une optimisation parfaite, les processus doivent tre mesurs.
Cette mesure se fonde sur cinq valeurs, la plus grande valeur correspondant au chiffre 5 et la plus petite au chiffre 0 :
la valeur 5 correspond une amlioration continue de la part du
processus ;
la valeur 4 correspond au contrle qualit du processus et des livrables du processus ;
la valeur 3 correspond la standardisation des processus ;
la valeur 2 correspond au plan daction des oprations et au suivi des
actions ;
la valeur 1 correspond aux tches ralises au travers des processus ;
la valeur 0 correspond aux tches ou activits non ralises, tout est
faire.
La norme SSE-CMM a une approche transverse. Elle prend en compte
trois critres importants qui sont le risque, lassurance et lingnierie :
pour le risque, on considrera le produit des trois facteurs suivants :
les menaces le degr de vulnrabilit les impacts. En matire de
scurit, la gestion du risque est incontournable, elle est demande
systmatiquement dans les projets ;

pour lingnierie, on considrera les aspects de pilotage autour de la


scurit, ladministration, la surveillance, la coordination des tches
On constate que lingnierie demande une gestion de suivi de la
scurit ; il est facile de comparer lingnierie la production, voire
lexploitation (pilotage) dun systme informatique.

Groupe Eyrolles

pour lassurance, on considrera tout ce qui concerne le besoin de se


faire assurer : un service, un bien, un produit, un systme Afin
dtre prventif, on prvoit de se couvrir avant un sinistre (identifi
ou non identifi) ;

ISO/IEC 21827:2002

67

Dire dexpert
La norme ISO/IEC 21827:2002 permet de faire prendre conscience au
DSI de limportance que reprsentent les processus. Les cinq niveaux
de maturit ont vu le jour avec le SSE-CMM ; dailleurs, on retrouvera
par la suite les cinq niveaux dans CMMI. Les aspects vulnrabilits sont
au cur de la norme. La norme permet dassocier un processus une
activit (ressource), afin de suivre comme il se doit lavancement des
oprations dans le domaine de la scurit du systme dinformation.

LES NOUVEAUTS

Groupe Eyrolles

Depuis 2001-2002 le SSE-CMM nest plus ou peu utilis, CMMI ayant pris le
relais avec CMMI 1.0 (Capability Maturity Model Integrated). Cependant,
on retrouve dans CMMI les bases de SEE-CMM.

Chapitre 11

ISO/WD 26000

HISTORIQUE
La norme ISO/WD 26000 est une nouvelle norme. Elle concerne tout le
primtre de la responsabilit socitale. Un groupe dexperts travaille
sur cette future norme, son objectif tant de livrer une norme utilisable
auprs des entreprises et des professionnels dici la fin de lanne 2010.
La norme regroupera un ensemble de bonnes pratiques et servira ainsi
de guide. En effet, donner des directives en termes de responsabilit
socitale est chose difficile, chaque entreprise ayant sa faon de fonctionner et sa propre culture.

DFINITION
Elle concerne la partie responsabilit socitale des entreprises, et plus
prcisment celle des organisations en place dans les entreprises, les
ONG

Groupe Eyrolles

La norme ISO/WD 26000 a pour objectif de dfinir et de clarifier la


notion de responsabilit socitale et de la rendre accessible tout type
dorganisation (entreprises, collectivits territoriales, associations),
quelle que soit sa taille ou sa localisation, en fournissant des principes
directeurs partags, repres pour laction.
Il convient que la norme soit vraiment un guide auprs des entreprises
et des professionnels :
elle ne doit pas imposer une directive particulire ;
elle doit aider les entreprises sidentifier, se positionner, la fois au
niveau culturel et au niveau conomique ;

70

Les normes

elle doit sassurer de sa complmentarit par rapport aux autres normes internationales, aux autres conventions ;
en aucun cas elle ne remplace les directives de la direction de lentreprise.
Une appropriation en termes de smantique est faire au sein de lentreprise sous la forme dun plan de communication ou dun sminaire car,
pour beaucoup, la responsabilit socitale reste encore obscure.

ISO/WD 26000 et son contenu


Lintroduction permet davoir la fois une vision gnrale de la norme
et sa gense.
Le domaine dapplication a pour vocation de prsenter le primtre de
la norme et les grandes directives.
La notion de vocabulaire est importante, les dfinitions constituant les
bases essentielles dune parfaite comprhension de la norme. ce titre,
un support aura toute son importance (livre blanc, plaquette de sensibilisation, glossaire).
La responsabilit socitale des entreprises concerne lorganisation
interne de lentreprise. Il existe un questionnaire destination des organisations hirarchiques et fonctionnelles de lentreprise, qui a pour
objectif dapporter des rponses sur des sujets centraux en rapport avec
sa responsabilit socitale (politique, communication interne et externe,
bilan, rapports dactivit de lentreprise).
Dans la responsabilit socitale, on trouve deux annexes importantes
qui sont :
les accords internationaux et les diffrentes institutions en rapport
avec la responsabilit socitale ;
les rfrences pour la mise en uvre de la responsabilit socitale.

APPLICATION
Pour une mise en application, il faut capitaliser sur ce qui existe dj.
Cest le cas pour certaines normes qui auront un rle jouer dans llaboration de la norme ISO/WD 26000. Il sagit de deux normes qui sont

Groupe Eyrolles

Le dernier point concerne la bibliographie.

ISO/WD 26000

71

la norme ISO 9001:2000 pour lengagement de la direction, principalement


pour son rle de leader dans la conduite de la dmarche globale damlioration continue au sein de lentreprise, et de la norme ISO 14001:2004
pour les engagements environnementaux et les activits de dveloppement durable de lentreprise.
Ces deux normes comportent des normes issues de lOrganisation internationale du travail (OIT) ainsi que des rfrentiels comme ILO-OHSAS 2001
qui traitent de la gestion de la scurit et de la sant au travail. La norme
ISO/WD 26000 ne sera pas sujette une certification.

ISO
9001
ISO
14001

ISO
9004
ISO
14004

Qualit

Environnement

Systme de
management
de lentreprise
Socit

ILO-OHSAS
2001

HSS

Stratgie et
politique de
lentreprise

conomie
Durable
Environnement

SA
8000

AA
1000

Social/
Socital

EFQM

Excellence

ISO 26000

SD 21000 Guide pour la prise en compte du dveloppement


durable dans la stratgie et le management de lentreprise

Les rfrentiels pour lentreprise

Groupe Eyrolles

Les principes de base concernant lISO/WD 26000


LISO/WD 26000 est une norme qui est porte par la direction de lentreprise, ce qui permet celle-ci dtre la fois le sponsor et le pilote pour
laccompagnement de la mise en place de la norme (ISO/WD 26000).
Le primtre de la norme nest pas restrictif au primtre de lentreprise.
La norme permet de rpondre aux requtes des organisations, des associations, en demandant aux entreprises de respecter lenvironnement,

72

Les normes

de mettre en place une politique de dveloppement durable, de chasser


le gaspillage, de se proccuper du bien-tre de leur personnel, de prendre soin de leur environnement local, grce aux liens qui existent entre
la norme ISO/WD 26000 et la norme ISO 14001:2004.

Dire dexpert
La norme internationale ISO/WD 26000, dite sur la responsabilit
socitale des entreprises, va bientt tre publie. Peaufine depuis des
annes par les experts de 54 pays cette norme sera dcerne aux entreprises citoyennes engages dans le dveloppement durable. Protection
des consommateurs, conomies dnergie, vigilance sur le droit du travail, lutte contre la pollution, les ingalits sociales et la corruption, engagement de ne jamais succomber la seule recherche du profit maximal,
etc., bref, toujours davantage de droits de lhomme, et toujours moins de
gaz effet de serre (GES) : trs tendance lISO/WD 26000 sera bourre
de bonnes intentions comment ne pas applaudir. Ds 2009, exigez-la
de votre picier, de votre garagiste, de votre bureau de tabac Ils
ne devraient pas avoir trop de mal lobtenir, sachant que cette norme,
avalise par le Bureau international du travail et les Nations unies,
contiendra des lignes directrices et non pas des exigences . Une
dclaration de bonnes intentions pour plus tard devrait donc suffire
loctroi du prcieux label. Attendons-nous le voir affich jusque sur les
chemines des usines les plus fumantes, voire imprim sur les T-shirts des
travailleurs esclaves, en Extrme-Orient ou ailleurs. Ct franais (
lAFNOR) on se rjouit et on dclare sans rire que, grce cette prochaine nouvelle norme, la responsabilit socitale est sur le point de
franchir une nouvelle tape.

Groupe Eyrolles

Source : Journal du dveloppement durable.

Chapitre 12

ISO 27000

HISTORIQUE
En 1995 la BSI (British Standards Institution) publie un document compos de dix grands chapitres et contenant une centaine de recommandations scuritaires sous le dnominatif de norme BS 7799. En 1998, la
BSI adjoint une seconde partie, dnomme BS 7799-2, qui prcise les
exigences de mise en uvre dun Systme de management de la scurit de linformation (SMSI).
En 2000, suite au succs rencontr par la norme BS 7799 dans le monde
entier, lISO ladopte, tout en y ajoutant quelques mesures de scurit supplmentaires, en la renommant ISO 17799. LISO nintgrant pas la notion
de SMSI, lISO 17799 reste un rfrentiel de bonnes pratiques. En 2002, la
BSI publie une seconde version de la BS 7799-2 qui devient BS 7799-2:
2002. Puis, en juin 2005, lISO remanie et enrichit de nouvelles mesures de
scurit lISO/IEC 17799, qui sera renomme en 2007 ISO 27002.
En octobre 2005, en sinspirant de lISO 9001:2000 et en spcifiant les
exigences de mise en uvre dun SMSI, lISO adopte dfinitivement,
aprs quelques modifications, la BS 7799-2 sous le dnominatif dISO/
IEC 27001:2005. De toutes les normes de la srie ISO 27000, seule la
norme ISO/IEC 27001 est certifiable.

Groupe Eyrolles

DFINITION
RETENIR
La norme ISO/IEC 27001:2005, publie le 15 octobre 2005, prsente sous
les titres Technologies de linformation , Techniques de scurit ,
Systmes de gestion de scurit de linformation , Exigences , fournit

74

Les normes

au travers dune approche oriente processus, un modle de gestion de la


scurit de linformation communment appel SMSI (Systme de management de la scurit de linformation) ou SGSI (Systme de gestion de la
scurit de linformation).

Du point de vue de Sylvain Laborde1, grer un SMSI, cest apporter les


garanties sur la capacit de lentreprise matriser les cots et les priorits en matire dinvestissements et dorientations budgtaires au regard
des enjeux business et des risques. La gestion dun SMSI permet de
garantir la justesse des investissements de scurit. Il permet de mobiliser tous les acteurs de lentreprise autour dun projet commun par lequel
chacun, de lutilisateur final ladministrateur systme jusqu la direction gnrale, prend sa part de responsabilit dans ltablissement (responsable de la scurit des systmes dinformation), la mise en uvre, le
contrle (auditeurs) ou lamlioration continue de la scurit. Limplication de tous les acteurs sobtiendra par lengagement de la direction
gnrale de lentreprise qui saffirmera de manire claire et visible dans
la dmarche par une mise disposition des ressources humaines et
financires. Le SMSI permet ainsi au RSSI de sortir du mode ractif pour
aboutir un mode de gestionnaire de la scurit et des risques.
La norme sarticule donc autour dexigences gnrales pour la mise en
uvre du systme et dannexes, dont lannexe A prsente les objectifs
et mesures de scurit de lISO/IEC 17799:2005. Cette norme permet
une entreprise de certifier son systme de management, et non pas de
garantir un niveau de scurit 100 % (ce qui nexiste pas). Un dbat
fait rage actuellement sur lutilit de se faire certifier. Ma vision est que
les arguments mercantiles et marketing prsents pour une certification
sont un faux dbat et que la certification est surtout la concrtisation
dune dmarche continue de gestion de la scurit de linformation : le
cur de la norme est donc bien le systme de gestion.

La prospective porte sur la dclinaison des exigences gnrales


(articles 4 8) de la norme ISO/IEC 27001:2005 en nouvelles normes.
titre dexemple, larticle 4 prsentant notamment les exigences relatives
1. Sylvain Laborde, certifi BS 7799, auditeur certifi ISO 27001.

Groupe Eyrolles

Prospective

ISO 27000

75

lapprciation, lanalyse et le traitement des risques est devenu lISO/


IEC 27005:2008.

ISO 27007
Guide de
lauditeur

ISO 27006
Exigences pour
les organismes de
certification

ISO 27005
Management
des risques

ISO 27000
Prsentation
et vocabulaire

ISO 2700X

ISO 27004
Indicateurs

ISO 27001
Exigences pour
le SMSI

ISO 27002
Bonnes pratiques
de scurit

ISO 27003
Guide
dimplmentation

LISO/IEC 27002:2005
Elle remplace depuis le 15 juin 2005 lISO/IEC 17799:2005.

Groupe Eyrolles

Les articles 5 15 de la norme, organiss autour de 39 objectifs de scurit, constituent un recueil de bonnes pratiques organisationnelles et
techniques, communment appeles mesures de scurit. Toutes ne
sont pas pertinentes dans le contexte dune entreprise mais sont slectionner en sortie dune analyse de risques pour rduire les risques pour
lesquels la direction gnrale a dtermin quils sont inacceptables et
doivent donc tre rduits. Les articles et mesures de scurit seront intgrs au sein dune dclaration dapplicabilit (DdA) dans le cadre dune
dmarche de mise en uvre dun SMSI.
Cette norme sert galement de support aux audits scurit de linformation (dits audits flashs) pratiqus en audits externes par de nombreuses
socits de services ou en audits internes par les directions daudit et
directions dinspection gnrale.
Sans vouloir lafficher, de nombreuses entreprises, par ailleurs soumises aux rglementations Ble II, Sarbanes-Oxley Act ou Payment Card

76

Les normes

Industry, appliquent dj partiellement les bonnes pratiques de lISO


27002. Ces entreprises peuvent donc valuer le cot du reste faire
vers le management de la scurit de linformation ISO/IEC 27001.

LISO 27003
La norme, qui devrait voir le jour en septembre 2009, encourage ladoption dune approche processus sappuyant sur le modle de Deming qui
nest pas propre la norme mais que lon retrouve en support dautres
mthodologies telles que lISO 9001 ou 14001. Ce modle de gestion permet lentreprise de grer et de piloter son systme de management selon
les phases P pour planifier, D pour dployer, C pour contrler et
A pour amliorer.

LISO 27004
LISO 27004, en cours de dveloppement, est un guide qui fournit des
conseils pour le dveloppement dun programme de mesures et de contrles et la formalisation dindicateurs permettant de mesurer lefficience
dun SMSI. Il interagit avec les phases Check et Act de la mthode
PDCA de lISO 27003.

LISO/IEC 27005:2008
LISO/IEC 27005:2008 correspond aux exigences gnrales 4.2.1 c
4.2.1 f et 4.2.3 d de lISO/IEC 27001. Cette norme intgre le vocabulaire
du risque dj dvelopp dans lISO 73 et lISO/IEC 13335. Ce standard
international, publi en juin 2008, fournit des directives pour le management du risque en proposant un vocabulaire de rfrence et un cadre
de dmarche en support lISO/IEC 27001.

La dmarche saligne selon la mthode de gestion PDCA adopte par la


norme ISO/IEC 27001. La norme nimpose donc pas une mthodologie
danalyse de risques, dont le choix reste du ressort de lentreprise. Nanmoins, il est probable que les entreprises franaises et cabinets de conseil
embarrasss par des mthodologies danalyse de risques ou dexpression

Groupe Eyrolles

Le process de management du risque sarticule autour de ltablissement


du contexte (clause 7), de lvaluation du risque (clause 8), du traitement
du risque (clause 9), de lacceptation du risque (clause 10), de la communication (clause 11) et de la mesure et rvision du risque (clause 12).

ISO 27000

77

des besoins de scurit juges lourdes Mehari dvelopp par le Club


de la scurit de linformation franais (Clusif) ou Ebios dvelopp par la
Direction centrale de la scurit des systmes dinformation (DCSSI)
trouveront dans la norme le moyen de dvelopper des outils plus
lgers adapts des exigences Time to Market par exemple, de prise en
compte des exigences de scurit dans les nouveaux projets ou dveloppements, domaine souvent nglig.

LISO/IEC 27006:2007
Le standard, officiellement publi depuis le 13 fvrier 2007, sadresse aux
organismes certificateurs (LSTI, AFNOR, BVQI) de SMSI et fournit un
guide et des exigences pour laccrditation des auditeurs certifiant des
SMSI. Ce standard est un complment aux exigences dfinies dans la
norme ISO/IEC 17021, et se substitue la norme EA 7/03.

LISO 27007
La norme, dont la date prvisionnelle de publication est fixe en
avril 2010, constituera le guide daudit du SMSI.

Dclinaisons sectorielles
Depuis peu, on constate une appropriation sectorielle des normes de
cette famille, notamment pour le secteur de la sant et des tlcoms.
Cela montre un intrt grandissant pour cette famille. Parmi ces appropriations on peut citer :
lISO 27799:2008 : cette norme, qui a vu le jour le 12 juin 2008, adresse,
sur la base de lISO/IEC 27002, les spcificits du secteur de la sant ;

Groupe Eyrolles

lISO/IEC FDIS 27011:2008 : cette norme tablit les principes et constitue un guide pour linitialisation, limplmentation, le maintien et
lamlioration de la gestion de la scurit de linformation pour le
monde des services de tlcommunications (oprateur tlcom,
hbergeurs de services) en se fondant sur lISO/IEC 27002.
En implmentant lISO/IEC 27011:2008, les oprateurs de tlcommunications, en interne comme vis--vis des autorits comptentes (Autorit
de rgulation des tlcoms ART) :
seront capables dassurer la confidentialit, lintgrit et la disponibilit des infrastructures de services ;

78

Les normes

adopteront des processus de scurit collaboratifs et des niveaux de


contrle permettant la rduction des risques pour un secteur qui est
souvent la cible privilgie des attaques ;
favoriseront une meilleure transparence et confiance dans la relation
publique.

APPLICATION
Le projet de mise en place du SMSI est un projet transversal si le service
informatique est de fait concern, puisque linformation est devenue
essentiellement informatique. Suivant le primtre dfini, plusieurs directions (directions mtier) peuvent tre impactes et en premier la DRH.
Le projet concerne galement toute lchelle hirarchique de lorganisme.
La russite du projet dpend essentiellement de limplication de toutes
les personnes concernes dans lentreprise, de la direction gnrale au
plus bas de lchelle. Si laccompagnement par un consultant peut savrer ncessaire, la dmarche consistant faire faire par des prestataires
nayant aucune connaissance de lentreprise est voue lchec.
RETENIR
Quelle que soit lapproche retenue, squentielle ou mode projet, il est
essentiel de prendre en compte les trois contraintes suivantes :

La phase Plan , qui revient fixer les objectifs du SMSI, est compose
de quatre grandes tapes : dfinition du primtre et de la politique,
apprciation des risques, traitement du risque, slection des mesures de
scurit. Cette dernire tape sappuie sur lannexe A qui contient une
liste de 133 mesures de scurit, classes en 11 chapitres. Mais ce nest
quune liste, limplmenteur doit y slectionner des mesures une fois
lapprciation des risques effectue et rechercher les conseils de mise en
uvre dans lISO/IEC 27002. Une fois les mesures slectionnes, un
tableau rcapitulatif reprenant les 133 mesures de lannexe A sera constitu en spcifiant les mesures retenues et celles cartes.

Groupe Eyrolles

respecter les exigences de la norme ;


respecter la mthode PDCA ;
sassurer en permanence de la cohrence entre les objectifs et les mesures de scurit.

ISO 27000

79

La phase Do du SMSI comprendra les tapes suivantes : planification


du traitement des risques, gnration dindicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, dtection et raction aux incidents.
La norme impose de mettre en place des moyens de contrle du SMSI ;
cest la phase Check , qui sappuiera sur des audits internes planifis,
un contrle interne permanent, des revues.
Lors des audits, contrles et revues, si des carts sont constats par rapport aux objectifs du SMSI, la phase Act permettra de mener des
actions correctives, des actions prventives et des actions damlioration.

Groupe Eyrolles

Dire dexpert1
Selon Michel Berteau, la mise en uvre de la norme ISO/IEC 27001 est
un projet fdrateur.
Cest un projet transversal, et ne pas en tenir compte peut vouer le projet lchec. En revanche, limplmentation dun SMSI est la garantie de
ladoption de bonnes pratiques, de laugmentation de la fiabilit, et la certification par un organisme indpendant assurera lapport de la confiance
des parties prenantes de lentreprise (clients, fournisseurs, actionnaires,
banques, autorits, etc.) et bien souvent qui dit confiance dit business.
Lavantage de la norme ISO/IEC 27001 pour le traitement du risque est
quelle laisse lentreprise le libre choix de son outil danalyse de risques,
lISO/IEC 27005 ne restera quun guide. En revanche, quelle que soit la
mthode utilise, le cahier des charges de la norme en ce domaine reste
trs strict. La srie ISO 27000 est en cours de finalisation, et elle fait
lunanimit au niveau international. Cette norme commence intresser
de plus en plus dentrepreneurs franais, non seulement par son caractre normatif mais galement parce quelle savre complmentaire dun
autre rfrentiel qui connat un engouement important en France, ITIL.
LISO a publi en 2005 la norme ISO/IEC 20000 qui permet de faire certifier les processus informatiques et qui est une dclinaison dITIL V3
avec mise en uvre dun SMSI, ce qui a retenu lattention de bon nombre
de directions informatiques. Par ailleurs, lISO/IEC 20000 recommandant
de sappuyer sur lISO/IEC 27002 pour le processus gestion de la scurit de linformation, les DSI sont de plus en plus tentes par une mutualisation des deux normes.

1. Michel Berteau, consultant senior, auditeur certifi ISO 27001.

Chapitre 13

ISO/DIS 31000

HISTORIQUE
Il sagit de la future norme ISO/DIS 31000 sur le management du risque.
STRATGIQUE
Grer le risque reprsente pour les entreprises et les organismes une vritable dmarche danticipation ; pour que cela soit efficace, il faut respecter
les exigences de la norme.
Les opportunits seront au rendez-vous pour les bons lves. La future
norme ISO/DIS 31000, qui va prendre de limportance dans les annes
venir, prsente les diffrents risques possibles : risque au travail, risque sur
lenvironnement, risque sur la scurit

Groupe Eyrolles

Tout le monde est concern par la gestion des risques, cela dans
nimporte quel cas de figure, que ce soit en pratiquant une activit physique (extrme comme un saut en parachute, ou pas), ou en prenant
lavion. Souvent, nous faisons une analyse rapide de la situation et des
risques possibles par rapport aux bnfices ; une valuation est faite et,
partir de celle-ci, une dcision est prise. Par rapport cette prise de
dcision, aucun formalisme nest mis en place.
Quand il sagit dune entreprise grande ou moyenne, dun gouvernement, de plusieurs pays la gestion des risques est toujours utilise.
Elle repose sur un processus ; grce la gestion des risques, les dcideurs peuvent choisir la solution qui offrira le plus de gains et le moins
de risques.

82

Les normes

LES NOUVEAUTS
La norme ISO 31000 sera publie en septembre 2009.

DFINITION
Le management des risques concerne les entreprises et leurs organisations ; la norme doit prendre en considration les autres normes ISO.
Elle est apparue en tant que proposition de norme en juin 2005, linitiative du Japon. Comme beaucoup de nouvelles normes, son objectif
principal est de servir de guide auprs des entreprises. Il ny a pas de
critres de taille, de poids conomique ou de domaine dactivit pour
que lentreprise puisse utiliser la norme et bnficier de tous ses bienfaits.
Implicitement, il faudra prvoir une gestion de management des
risques ; lentreprise devra nommer un responsable, si ce nest pas dj
fait. Il sagit dune activit comme une autre, la diffrence que sil
nexiste pas de responsable pour le management des risques, lentreprise est vulnrable tout moment : avant, durant, et aprs le risque.
Sans plan de reprise, sans sauvegarde, il est toujours difficile de repartir
rapidement.
La partie maintenance du processus de management des risques est
prendre en compte, des volutions seront prvoir, des ajustements
seront mettre en place et, comme pour beaucoup de processus, des
mesures devront tre effectues.
Elle porte comme nom provisoire principes et lignes directrices pour
la mise en place dun processus de management des risques .

Les grands principes de la norme ISO/DIS 31000


Le management du risque repose sur une structure :
il permet de faire remonter les incertitudes et leurs causes afin dy
apporter une explication et une rponse ;
il est orient direction ;
il permet de prendre des dcisions qui savrent ncessaires en
matire de risque ;

Groupe Eyrolles

il centralise les preuves qui sont pour lui indispensables ;

ISO/DIS 31000

83

il prend en considration laspect humain ainsi que le comportement


des personnes dans lentreprise ;
il a pour objectif de crer une plus-value ;
il incite la rflexion et amne une prise de conscience des femmes
et des hommes de lentreprise par rapport au risque professionnel ;
il prend en compte lorganisation de lentreprise et lensemble de son
primtre dintervention ;
il est connu de tous, et permet de prendre en compte et de grer les
volutions de manire rapide.

APPLICATION
Le management des risques se gre comme un vritable projet.
Le primtre est large ; il touche lentreprise et les diffrentes directions.
Il touche galement les activits, institutions, associations en dehors de
lentreprise. Une fois le primtre identifi, il est plus facile de se fixer
les objectifs atteindre.
Ltape suivante concerne les risques que lentreprise devra prendre en
compte et cela partir de la source du risque, jusqu son rsultat
(dgts, pertes). Un ensemble de questions est pos : pourquoi cela
peut-il arriver ? Quels sont les endroits risques ? quelles priodes ? Il faut aussi que tout le monde comprenne le risque. Classer les
risques, leur donner un poids, une importance, une priorit, est une
ncessit.

Groupe Eyrolles

La prochaine tape consiste prendre du recul par rapport au risque, et


commencer comprendre le risque, son cycle de vie, les interactions
avec les autres risques qui sont directement ou indirectement rattachs
au risque principal, le niveau de rcurrence ; il faut faire le diagnostic
du risque.
On arrive alors la qualification du risque par lui-mme ; cet effet, il
faut avoir une base de connaissance des risques qui permet davoir des
repres en termes dvaluation. Cette valuation permettra de prendre
les bonnes dcisions pour limiter les risques dans limmdiat et pour le
futur.
Ltape suivante est la correction du risque, un plan daction est dcid,
lentreprise est daccord, une validation a t faite, et aprs avoir corrig

84

Les normes

le risque, on va suivre un programme de surveillance afin dtre vigilant


pour que le risque ne se reproduise plus. Un peu comme pour la norme
ISO 9001:2000, on se doit de revoir, ractualiser le programme de surveillance qui fait partie intgrante du processus de management des
risques.
La dernire tape est la communication et la consultation ; il ne faut pas
les oublier, car elles permettent de renforcer lesprit de groupe, dchanger, de partager les actions, informations qui dcoulent du processus de
management des risques.

Mise en place de la situation

Classement des risques

Expertise des risques


Contrle
et suivi
Estimation des risques

Information
et prise de
connaissance

Exploitation des risques

La norme ISO/DIS 31000 sintgrera parfaitement avec Sarbanes-Oxley


(SOX) et SAS 70. De mme, elle pourra trouver appui avec le rfrentiel COBIT. Une tendance devrait voir le jour rapidement ; le primtre
du management du risque sera rapidement dpass, dautres primtres
entreront en ligne de compte. Nous retrouverons des liens importants
avec la norme ISO 27000 et la scurit, ainsi quavec la nouvelle norme
qualit ISO 9001:2008.

Groupe Eyrolles

Dire dexpert

Chapitre 14

ISO 38500:2008

HISTORIQUE
LES NOUVEAUTS
La norme ISO 38500:2008 est aligne sur le concept de la gouvernance
dentreprise. Ce terme est issu du rapport Cadbury, publi en 1992 concernant les aspects financiers de la gouvernance dentreprise.

LISO a publi en 2008 la nouvelle norme ISO 38500:2008 qui prsente


le rsultat du consensus international sur le sujet de la gouvernance du
systme dinformation.
Tout le monde sait quune entreprise sans informatique est une entreprise moribonde, avec une dure de vie relativement courte. Linformatique dans lentreprise est indispensable, voire vitale ; quil sagisse
dune petite ou grande entreprise, elles ont toutes un accs Internet,
aux applications, aux logiciels.

Groupe Eyrolles

Grce la nouvelle norme ISO 38500:2008, il sera possible de suivre


des directives communes en matire de systme dinformation. Depuis
peu, on parle de plan de gouvernance informatique ; la stratgie et le
budget sont concerns. Lorganisation des entreprises repose sur un certain formalisme, des rgles de fonctionnement sont dployes auprs
des organisations fonctionnelles.
Les directions gnrales savent limportance et le poids que reprsente
le systme dinformation, qui se traduit par la prsence de la DSI au sein
du directoire de beaucoup de grandes entreprises.
La direction gnrale a pour objectif la matrise du management et de la
stratgie, lorganisation de lentreprise, laugmentation ou la diminution

86

Les normes

du nombre de salaris, le contrle des finances, la gestion du budget,


linvestissement dans la R&D auxquels sajoutent les relations de partenariat avec les fournisseurs, les changes avec les associations, les
parrainages avec les institutions et les aides aux collectivits locales ;
tous ces lments font partie de la gouvernance de lentreprise.
Tout dpend de linformatique : la finance, le budget, la communication, les changes, les flux dinformations tous les domaines utilisent
les moyens informatiques. Le facteur commun est bien linformatique,
do limportance davoir une gouvernance du systme dinformation au
sein du directoire de lentreprise.
Les ouvrages et les publications sur le domaine de la gouvernance informatique sont nombreux. Que lon soit dans le milieu universitaire (la
Sloan School of Management amricaine, la Cranfield University de Londres, lUniversity of Antwerp Management School dAnvers), au sein
des institutions professionnelles telles que lIT Governance Institute, ou
en rapport avec les rfrentiels professionnels comme COBIT 4.1, Valid,
ITIL V3, on constate que la gouvernance du systme dinformation
prend de plus en plus dimportance.
La nouvelle norme ISO 38500 sinscrit dans la continuit dune gouvernance de lentreprise dj bien installe. Dans beaucoup dentreprises,
les budgets des systmes dinformation sont de plus en plus importants
et les lignes budgtaires sont prises en compte dans le plan de gouvernance du systme dinformation ; alors quil y a quelques annes elles
dpendaient encore de la direction financire.

DFINITION
STRATGIQUE

La norme repose sur six principes importants qui sont :


la responsabilit du personnel de lentreprise ;
la stratgie mise en place dans lentreprise ;

Groupe Eyrolles

Organisation stratgique qui a pour objectif de dfinir, prvoir, aider


lentreprise prendre des dcisions et faire des choix en matire de systme dinformation. Elle repose sur un plan de gouvernance du systme
dinformation, avec des rgles de fonctionnement, une smantique, et des
acteurs responsables au sein de lentreprise.

ISO 38500:2008

87

lacquisition des moyens, de la connaissance, des bonnes pratiques ;


lexcution des tches, des oprations, des projets ;
la conformit des processus organisationnels par rapport au standard
dfini et aux attentes de la direction ;
le comportement humain du personnel de lentreprise.
Lapplication de la norme auprs des entreprises a pour but de les aider
mieux grer leurs dpenses informatiques, matriser leur budget et
leur cot, aider la direction gnrale dfinir les futures orientations
stratgiques en matire de systme dinformation.

APPLICATION
Elle sapplique tous types dentreprises, quelle que soit leur activit
(mtier) et quelle que soit leur taille.
Elle permet de mieux valuer les projets dinvestissement informatique
ainsi que les capacits oprationnelles de leur organisation.
Elle a pour vocation daider les directions dentreprise cerner et raliser leurs engagements dordre lgal, rglementaire et dontologique,
relatifs lutilisation des services TI.

Dire dexpert
La norme 38500:2008 ne va pas lencontre des rfrentiels COBIT,
ITIL ou de la norme ISO/IEC 20000, car il nexiste pas de modle de
processus des services informatiques que lon retrouve dans la norme
ISO 38500 :2008.

Groupe Eyrolles

Les rfrentiels dans leurs nouvelles versions, tels COBIT 4.1 et ITIL V3,
ont une orientation gouvernance dentreprise.

Chapitre 15

SAS 70

HISTORIQUE
SAS 70 a t dveloppe par lInstitut amricain de certification public
(American Institute of Certified Public Accountants, AICPA). Cest une
norme de conformit avec les normes de contrle interne et audit financier, de type Sarbanes-Oxley. En 1974 apparait SAS 3, qui consistait en
laudit et lvaluation du contrle interne. Puis en 1982, avec SAS 44, on
sest intress au contrle des services organisationnels. Ce nest quen
avril 1992 quapparat SAS 70, pour laudit des services organisationnels.
En mai 2001 parat SAS 94, portant sur leffet des technologies de linformation sur le rle donn aux auditeurs au niveau du contrle interne
lors dun audit financier.

Groupe Eyrolles

DFINITION
Le contrle interne et linfogrance ou lexternalisation sont les deux
sujets principaux de la norme SAS 70. Sa premire orientation concerne
le domaine du service, par la suite elle stendra aux autres domaines.
Cest une norme cre par lAmerican Institute of Certified Public
Accountants (AICPA) pour llaboration des mthodes auprs des organismes habilits prendre en charge la fois les contrles internes et
les audits financiers des entreprises. Les tiers (organismes de certification) sont mme de mener des audits indpendants et deffectuer des
contrles des processus en place dans les entreprises.
La norme SAS 70 comporte deux niveaux (type I et type II) et est rpute au niveau international, particulirement en tant qulment de
conformit Sarbanes-Oxley. Elle a un champ daction relativement

90

Les normes

large ; elle traite lensemble des contrles qui assurent la qualit des services rendus aux clients.
On constate de plus en plus que les entreprises veulent se spcialiser
sur leur cur de mtier, ce qui produit des effets dexternalisation de
leurs activits auprs des sous-traitants (facilities management). Il peut
sagir dune externalisation mineure, cest--dire la reprise dune partie
de lactivit dune entreprise par un infogrant, ou dune externalisation
majeure, cest--dire la reprise de toute une activit dune entreprise par
un infogrant.
La norme SAS 70 intervient au niveau des infogrants ; le client est en
mesure de lui demander de suivre et dappliquer les exigences de la
norme.
DANGER
Le fait de vouloir externaliser une activit, un service, auprs dun soustraitant (infogrant), demande de la part de lentreprise un contrle rgulier de son sous-traitant. Lentreprise doit veiller ce quil garantisse un
contrle identique, ou presque identique, celui quelle faisait avant de
dcider dexternaliser son activit car, tout moment, il faut quelle puisse
rendre des comptes (rglementation franaise, rglementation internationale, direction gnrale des impts).

Quand une entreprise dcide de sous-traiter une activit, elle doit mettre en place des contrles sur les processus de son futur prestataire de
services ; ces rapports (contrles) serviront en cas daudits.

La norme SAS 70 est devenue une rfrence pour les prestataires de services. Les processus de contrle des prestataires sont connus des
clients, rien ne doit tre cach, cela fait partie des relations clients et
fournisseurs. Elle apporte la preuve que le prestataire de services matrise la gestion des cots. Les entreprises clientes utilisent de manire
slective la norme SAS 70 vis--vis de leurs prestataires de services, car
pour elles il sagit dun critre de slection.
La norme concerne lensemble des organismes de services rendant une
prestation en rapport avec la gestion des cots/financire de leurs clients.
La liste est vaste, cela va du dpositaire au centre de traitement informatique.

Groupe Eyrolles

APPLICATION

SAS 70

91

La norme SAS 70 permet de mettre en place, ct client comme ct


prestataire, une mme approche et un mme suivi des activits.
Pour le prestataire (en cas dinfogrant) :
tre capable de montrer son client que lon matrise le processus de
contrle interne, et de lui prsenter le suivi des activits, le droulement du processus, les livrables associs ;
montrer au client que lon matrise son (propre) processus de contrle
interne (cest rassurant pour le client), et tre transparent (critre de
confiance) : Je sais ce quil faut faire (car je le fais chez moi et pour
moi), Je sais ce que vous attendez (car vos attentes sont semblables
aux miennes) ;
bnficier, en cas daudit client, des rsultats de celui-ci pour samliorer ; on est toujours dans lamlioration continue.
Pour le client :
disposer du rapport de contrle du prestataire permet de mieux
connatre quelles sont les mthodes mises en place ct prestataire ;
faire voluer son processus de contrle interne par rapport au prestataire ;
choisir le prestataire en fonction de son niveau de comptence en
matire de matrise du contrle interne (activits du prestataire) ;
aider la slection du choix du prestataire peut devenir un prrequis.

Dire dexpert

Groupe Eyrolles

Selon Olivier Mauduit, associ chez Deloitte, si la pratique de SAS 70


est encore peu rpandue en France et en Europe, elle tend saccentuer
fortement pour rpondre aux exigences rglementaires. Si actuellement
tre SAS 70 est dj un atout lors des appels doffres pour les prestataires, il sera clairement dici quelques annes un standard incontournable
et donc un facteur cl de succs pour celui qui en disposera.

Chapitre 16

SA 8000

HISTORIQUE
La norme SA 8000 est ne aux tats-Unis la fin de lanne 1997. Cest
le Social Accountability International (SAI) qui est linitiative de son
dveloppement auprs des entreprises. La volont du SAI est de certifier
les entreprises (SA 8000) et de pouvoir accrditer les organismes de certification qui sont habilits auditer les entreprises en rapport aux exigences de la norme SA 8000.
Deux orientations sont prises par le SAI, la norme SA 8000 restant le vecteur central de ces deux orientations : grer les certifications SA 8000 et
accrditer les organismes de certification habilits conduire des campagnes daudits auprs des entreprises.
Une estimation en 2008 a t faite concernant le nombre dindustries utilisatrices de la norme SA 8000 dans le monde : elles sont plus de mille
deux cents lutiliser.

DFINITION
Les organisations, grce au SAI, sont devenues des organisations responsables au niveau social :

Groupe Eyrolles

en rassemblant des parties prenantes pour mettre au point des normes


tablies sur un consensus ;
en accrditant des organismes qualifis pour vrifier leur mise en
uvre ;
en promouvant la comprhension et en encourageant la mise en place
de telles normes au niveau mondial.

94

Les normes

Conseil de surveillance
SAI sest dot dun conseil de surveillance (advisory board) compos
dexperts issus des syndicats de travailleurs, du monde des affaires et
des Organisations non gouvernementales (ONG). Ces experts couvrent
une large palette de domaines : droits de lhomme, travail des enfants,
droit du travail, socits dinvestissement socialement responsables,
mais aussi techniques daudit et management de vastes chanes dapprovisionnement.

Devenir membre
Pour devenir membre du SAI, il faut reconnatre la validit de la norme
SA 8000, dclarer publiquement sa volont de lappliquer puis de la
mettre en uvre, et se faire certifier Il faut aussi sengager rendre
public un rapport annuel. Les membres du SAI sont de deux types : les
entreprises de vente au dtail et les fabricants ou fournisseurs.

APPLICATION
RETENIR
La structure gnrale de la norme SA 8000 sinspire des normes ISO 9000 et
ISO 14000 relatives au management de la qualit et au management environnemental.

Le plan gnral de la norme


Le plan gnral de la norme comprend quatre parties :
Objectif et porte.
lments normatifs et leur interprtation.
Dfinitions.

Un investissement important en termes dengagements vis--vis de la


loi, des institutions lgislatives, est demand aux entreprises qui souhaitent suivre la norme SA 8000. Cet investissement sinscrit dans le temps,
durant toute la vie de lactivit de lentreprise. La norme SA 8000
concerne lensemble du personnel, les personnes qui travaillent dans
lentreprise, cest--dire lensemble des lments qui sont en rapport

Groupe Eyrolles

Exigences de responsabilit sociale.

SA 8000

95

avec le travail (Code du travail) et le droit des personnes. Lentreprise


qui dcide de suivre la norme doit sassurer galement que ses partenaires respectent au mieux la norme SA 8000 ; il sagit presque dun code
de dontologie o dthique de lentreprise.
Lentreprise se doit dtre vigilante auprs des diffrents partenaires ;
elle est en mesure de demander des preuves sur lauthenticit de la
mise en place et du respect de la norme SA 8000 (chez les partenaires).
Les principes cls de la norme sont :
la sant et la scurit ;
le respect des droits du personnel constituer des syndicats ;
la main-duvre force ;
linterdiction de discrimination ;
la rmunration ;
lusage des pratiques disciplinaires ;
la dure du temps de travail ;
le travail des enfants ;
la mise en place dun service de management qui respecte les points
numrs ci-dessus, ainsi que la surveillance de la fidlit des fournisseurs de services suivre ces principes.

Le systme de management
Dans la partie relative au systme de management de la SA 8000, on
trouve des exigences classiques dans les normes ISO 9000 et 14000 :
politique ;
revue de management ;
reprsentants de lentreprise ;
planification et mise en uvre ;

Groupe Eyrolles

contrle des fournisseurs ;


rponse aux interrogations et prise de mesures correctives ;
communication externe ;
accs pour vrification ;
dossiers.

96

Les normes

Rvision de la norme
SAI met la norme SA 8000 en accs libre sur son site Web et sollicite des
remarques et suggestions en vue dune ventuelle rvision.

La certification SA 8000
SAI entend contrler toute la chane de certification et, cet effet, veut
accrditer les auditeurs et les organismes certificateurs.
SAI a prpar un guide lusage des auditeurs et des organismes voulant
obtenir la certification pour aider les entreprises mettre en uvre la
norme permettant dutiliser des mthodes de vrification sur la conformit. Ce guide sappelle Guidance Document .
Lentreprise qui veut se faire certifier en SA 8000 passera par les quatre
phases classiques :
Prparation. Dans cette phase, lentreprise se procure la norme,
nomme un responsable de la mise niveau et effectue une valuation initiale de la situation afin didentifier les carts par rapport la
norme.
Mise niveau. Lentreprise comble les carts, tablit les procdures
ncessaires et prpare les enregistrements.
Audit de certification initial. Aprs un ventuel audit blanc, un
organisme certificateur accrdit effectue laudit initial et dlivre un
certificat valable pour une dure de trois ans.
Audits de suivi. intervalles dfinis, gnralement six mois ou un
an, lorganisme certificateur effectue des audits de suivi, afin de valider ou non le maintien du certificat.

Le systme mis en place par SAI prvoit une accrditation pralable des
organismes certificateurs qui seront ainsi habilits effectuer les audits
tierce partie et dlivrer les certificats. Ce processus daccrditation
inclut un audit de la politique, des procdures et de la documentation de
lorganisme, et des audits de surveillance. Pour tre accrdit SA 8000,
un organisme doit tre en conformit avec le guide ISO/CEI 62 et avec le
SAI Guideline.

Groupe Eyrolles

Accrditation des organismes certificateurs

SA 8000

97

DANGER
Laudit selon la SA 8000 prsente quelques difficults majeures, qui sont en
fait repres dans les critres daccrditation.

Dire dexpert

Groupe Eyrolles

Il y a plusieurs types daudits de certification initiaux. Aprs un ventuel


audit blanc, un organisme certificateur accrdit ralise laudit initial et
dlivre un certificat valable, en gnral, trois ans.
Seuls les organismes certificateurs accrdits seront habilits effectuer
les audits tierce partie et dlivrer les certificats.
Ce processus daccrditation inclut un audit de la politique, des procdures et de la documentation de lorganisme et des audits de surveillance.
Il est certain que cette norme rejoindra la nouvelle norme ISO 26000
de responsabilit sociale des entreprises.

Chapitre 17

SOX

HISTORIQUE
Aux tats-Unis dans les annes 2000, les lois concernant la comptabilit
et le suivi financier des entreprises avaient connu de grandes irrgularits dans leurs rsultats ; le systme devait tre revu et contrl de
manire optimale. La loi Sarbanes-Oxley a ainsi t promulgue afin de
stopper lhmorragie financire et comptable de certaines grandes entreprises amricaines.
RETENIR

Groupe Eyrolles

Cest en 2002 que la loi Sarbanes-Oxley (ou SOX) est apparue suite aux
nombreux scandales financiers des tats-Unis (lentreprise Enron par exemple). La loi oblige lensemble des entreprises cotes en Bourse aux tatsUnis diffuser auprs de la Commission amricaine toutes les oprations de
Bourse concernant les comptes certifis et signs par les dirigeants des
entreprises. Il sagit bien dune prise de responsabilit de la part du dirigeant ; il est le seul responsable devant la loi en cas de litiges. Il faut savoir
que prs de 1 350 groupes europens sont sujets cette obligation (existence dintrts aux tats-Unis pour ces grands groupes europens). Les
comptes publis et diffuss permettent la loi de connatre pnalement les
responsables. Pour que la loi Sarbanes-Oxley soit correctement suivie, des
auditeurs sont nomms auprs des entreprises ; leur statut dindpendants
leur permet de rester neutres et dtre incorruptibles face aux nombreuses
malversations financires de la part de certains dirigeants dentreprise.

DFINITION
Depuis fin juillet 2002 de nouvelles obligations sont apparues pour les
entreprises. Au plus haut niveau de lentreprise, une organisation de contrle et de responsabilit est mise en place par le conseil dadministration

100

Les normes

et par la direction gnrale. Une implication personnelle est demande ;


le prsident ou le directeur gnral ainsi que le directeur financier ont
le devoir de valider et de signer les comptes de lentreprise pour prserver un ct impartial et incorruptible (dans la rdaction des rapports,
des audits). Le conseil dadministration nomme un administrateur qui
est indpendant du comit daudit ; il a pour mission de raliser les rapports daudit quand cela est ncessaire, et de participer au jugement des
personnes physiques dans les affaires de corruption.
En cas de fraudes, dinformations mensongres cest la suppression
du parachute dor pour certains dirigeants, laquelle sajoute celle
dautres avantages comme la prime lintressement, limpossibilit de
faire des emprunts auprs de lentreprise, lannulation de mandat social

APPLICATION
La loi Sarbanes-Oxley, pour tre efficace, va devoir sappuyer sur des
contrles internes au sein de lentreprise. En termes dorganisation, la
norme SAS 70 permettra dapporter son exprience sur le sujet, grce
une traabilit des activits lies au contrle interne ; elle apportera
plus de transparence sur les activits de contrle interne, les processus
financiers de lentreprise.
Proche de la norme SAS 70, il existe une dmarche dite COSO (Committee Of Sponsoring Organizations of the treadway commission) qui, elle
aussi, a pour vocation de contrler les processus internes lis directement ou indirectement au cot de lentreprise.

La loi Sarbanes-Oxley concerne de plus en plus dentreprises. Le primtre est trs large, condition dtre prsent sur les marchs boursiers
amricains. Cela amne une interrogation : le monde de la finance tant
complexe et les enjeux trs importants, une telle loi devrait peut-tre
ouvrir des portes auprs des autres places boursires mondiales (Londres,
Paris, Tokyo, Shanghai) avec une instance de contrle mondiale.
Les grands groupes cots en Bourse aux tats-Unis sans tre amricains
sont obligs dtre en rgle avec la loi Sarbanes-Oxley, et donc de suivre
les recommandations, de mettre en place ou de renforcer une structure
de contrle interne des cots financiers de lentreprise et de leurs filiales,
mme si elles ne sont pas physiquement bases aux tats-Unis.

Groupe Eyrolles

Dire dexpert

Les rfrentiels

Partie 2
LES RFRENTIELS
SANS RFRENTIEL, TOUT EST POSSIBLE AUSSI

102

Les rfrentiels

DFINITION
Inventaire dactivits ou de comptences ncessaires lexercice de ces
activits.

Quest-ce quun rfrentiel ?


Les rfrences dun systme dinformation intgr dans des bases de
donnes forment ce que lon appelle un rfrentiel . Il peut sagir :
de donnes dont les applications ont besoin pour fonctionner, et qui
sont stockes dans une base de donnes spcifique appele donnes de rfrence . Exemple : les annuaires de lorganisation, mais
aussi lensemble des applications mtier dune entreprise, les quipements. Rcemment, nous parlons de rfrentiel documentaire, base
de donnes intgrant la documentation, les procdures, les modes
opratoires, etc. ;
dinformations utilises pour faire voluer une application.
Le rfrentiel reprsente llment central dun systme dinformation.
RETENIR
Ds que le rfrentiel a une diffusion large, on parle de standard ;
ensuite dans le langage courant on parle de standard de facto (standard
de fait).

Quest-ce quun rfrentiel de certification ?


Un rfrentiel est un ensemble de recommandations qui composent un
produit industriel, ou un processus, ou un service. Un rfrentiel est labor au pralable par une organisation runissant un ensemble dexperts.
Un rfrentiel peut saider dune norme, ou devenir une norme. Nous
avons lexemple du rfrentiel ITIL qui sest dclin en la norme ISO
20000.
les rfrentiels de certification des hommes, tel ITIL ;
les rfrentiels de certification des organisations, tels CMMI, COBIT,
EFQM.

Groupe Eyrolles

Les rfrentiels de certification peuvent tre de deux types :

Les rfrentiels

103

Un rfrentiel de certification comporte :


les mthodes de mesure, danalyse, de test ou dvaluation ;
les engagements pris par les prestataires ;
la nature et le mode de prsentation des informations considres
comme essentielles ;
les caractristiques retenues pour dcrire les produits ou les services ;
les modalits des contrles auxquels procde lorganisme certificateur ;
les rles et les responsabilits attribus aux personnes en charge du
rfrentiel ;
un ensemble de processus, organiss en structure, en stratgie et en
gestion des hommes.

Liste des rfrentiels analyss dans cet ouvrage

Groupe Eyrolles

Rfrentiel

Dfinition

Chapitre

ASL

Gestion de ladministration dinformation daffaires

CISSP

Certification de la scurit du systme dinformation


professionnel

CMM et CMMI

Mthode dvaluation et damlioration


de la maturit des processus TI

COBIT

Dmarche de gouvernance pour les systmes


dinformation

DSDM

Gestion de projet Agile sur les relations entre


le mtier et le dveloppement

EFQM

Fondation europenne de la gestion de la qualit,


prix EFQM

eSCM

Qualit de service en matire doutsourcing (entre


client et infogrant)

ISPL

Relation entre client et fournisseurs concepts


et terminologie, orientation MOA

ITIL V2

Ensemble de bonnes pratiques permettant


doptimiser la qualit de services des DSI

ITIL V3

Une orientation satisfaction des services business


(vision cycle de vie des services)

10
/

Les rfrentiels

Rfrentiel

Dfinition

Chapitre

MOF

Version ITIL adapte lenvironnement Microsoft

11

OHSAS

Management de la scurit lie la sant


et la scurit au travail

12

PCIE

Passeport de comptences informatiques europen

13

PMP

Les bonnes pratiques en matire de management


de projet

14

PRINCE2

Gestion de projet fond autour des processus

15

SPICE

Pratiques importantes des projets de dveloppement


ou de maintenance logiciel

16

TICKIT

Systme de management de la qualit appliqu


la conception doutils informatiques

17

TQM

Management total de la qualit

18

ZACHMAN

Reprsentation de larchitecture systme


dune entreprise sous deux dimensions

19

Groupe Eyrolles

104

Chapitre 1

ASL

HISTORIQUE
ASL (Application Information System) a t dvelopp la fin des
annes 1990 afin dassurer la gestion, le management, la maintenance et
le support des applications. ASL 2 est sorti en Hollande le 19 mai 2009,
sa traduction en langue anglaise est prvue lautomne 2009. Aucune
traduction franaise nest prvue dans limmdiat.

DFINITION
RETENIR

Groupe Eyrolles

Le but de la bibliothque de services dapplication (ASL) est le dveloppement professionnel dadministration dapplication, en offrant un cadre
dans lequel ces processus sont complmentaires les uns par rapport aux
autres. Le cadre sert aussi pour catgoriser au mieux les pratiques qui ont
t dveloppes. En plus du cadre, ASL contient un glossaire uniforme. En
utilisant la terminologie contenue dans ce glossaire, les parties concernes
par la gestion dapplications sont dans une meilleure position pour communiquer lune avec lautre.

Beaucoup dorganisations deviennent de plus en plus dpendantes de


leur systme informatique pour ce qui est des processus primaires. Par
consquent, le rle dadministration dinformation daffaires devient plus
important ; il traduit des demandes dutilisateurs dans les spcifications
fonctionnelles (recommandations). Ladministration dinformation dtermine lavenir des systmes informatiques pertinents. Elle garantit quil y
a un alignement optimal entre les systmes informatiques et les processus daffaires, tant maintenant que dans lavenir. Ce champ dopration
est celui que nous pouvons le mieux dsigner sous le terme renseignements provisioning .

106

Les rfrentiels

Dans une telle situation, un client devra indiquer que les demandes de
sa propre organisation sont des informations qui font partie de ladministration ; elles garantissent lobtention des services externes. Il sagit
de la responsabilit finale de la fonction dadministration dinformation
daffaires.
Pour fournir le soutien aux organisations dans lamlioration de leur administration dinformation daffaires, un modle de processus de domaine
public est disponible : il sagit de la bibliothque de services dinformation
daffaires (BiSL). La BiSL dcrit les processus primaires, cest une fonction
dadministration dinformation daffaires au niveau de la stratgie, du
management et des oprations. Concernant lamlioration des processus,
il est recommand dutiliser le rfrentiel ITIL ; il assure lentretien des
processus dadministration, surtout appliqus dans le champ dinfrastructure technique. La bibliothque de services dapplication (ASL) est de plus
en plus utilise pour amliorer ladministration dapplication.

Processus

Objectif

Cycle du management
organisationnel

Dveloppement dune perspective future de la structure


du service TI, et traduction de cette perspective dans les
politiques vises linnovation de la structure du service TI.

Cycle du management
applicatif

Dveloppement dune stratgie long terme pour


les applications diffrentes.

Processus
de management

Contrle collectif de processus excutoires pour les services


et les applications. Processus nourris par le niveau dcision/
contrle et oprationnel. Vision du futur trs prsente.

Maintenance

Optimisation de lutilisation dapplications existantes au sein


des processus oprationnels. Emploi des ressources
minimales et limitation de la refonte des processus
oprationnels.

Processus
de communication

Administration de changement : mcanisme pour


linventaire et la gestion des priorits.
Distribution : contrle et distribution dapplication.

Amlioration
et rnovation

Modification des applications en prenant en compte


les nouvelles exigences des changements survenant dans
ou lextrieur de lorganisation. Changements importants
prsents aux modles de donnes, au logiciel et
la documentation.

Groupe Eyrolles

APPLICATION

ASL

Systme
de dcision

Services

Applications

Cycle
du management
organisationnel

Cycle
du management
applicatif

Systme
de contrle

Systme
oprationnel

Processus de management

Amlioration
et rnovation

Maintenance

Groupe Eyrolles

Processus
de communication

107

Chapitre 2

CISSP

HISTORIQUE
CISSP (Certified Information System Security Professional) a t dvelopp par lInternational Information Systems Security Certification
Consortium (ISC2). Cest une certification reconnue dans le monde, par
lensemble des experts en scurit. Le but de CISSP est de contrler,
dvaluer et de reconnatre lensemble des comptences des diffrents
experts, en assurant la continuit de leur formation. La certification
CISSP a t cre en 1995. Son dveloppement sest accru de faon sensible depuis cinq ans pour atteindre plus de 35 000 CISSP dans 104 pays
ce jour. Depuis janvier 2005, lexamen du CISSP est en franais.
CISSP au niveau international demande une comprhension des
concepts la fois franais et amricain, et ainsi dtablir une correspondance entre les diffrentes langues.

DFINITION
RETENIR
2

LISC dfinit une aptitude gnrale dans la connaissance en scurit. Tout


le savoir-faire reprsente une base de connaissances la disposition des
experts pour leurs activits de tous les jours.

Groupe Eyrolles

Lintrt de la certification CISSP est de mesurer son niveau de comptence


tant au niveau des analyses des risques que des connaissances techniques.

Le programme de la certification ISC2 dtermine dix domaines :


contrle daccs ;
scurit applicative ;

110

Les rfrentiels

continuit des oprations et plan de reprise en cas de sinistre ;


scurit des dveloppements dapplications et des systmes de
cryptographie ;
scurit de linformation et gestion du risque ;
loi, investigations et thique ;
scurit des oprations ;
scurit physique ;
modle de scurit informatique ;
scurit des tlcommunications et des rseaux.

APPLICATION
tre CISSP nest pas une chose simple, il faut remplir certaines conditions :
prouver que lon a quatre ans dexprience de la scurit ;
correspondre un code thique et rpondre un ensemble de questions relatives son parcours personnel ;
passer un QCM de 250 questions ;
faire valider les informations fournies par un tiers.
Comme pour tout rfrentiel, un audit de temps autre peut tre effectu afin de vrifier les connaissances.

Groupe Eyrolles

Une fois la certification acquise, il faut maintenir leffort et obtenir un


nombre de points dfinis par priode de trois ans, dans le but de garder
un haut niveau de comptences.

Chapitre 3

CMM et CMMI

HISTORIQUE
La conception de CMM (Capability Maturity Model) a t ralise par
Watts Humphrey, ingnieur du DoD (Department of Defense) amricain
afin dtre en mesure de donner des informations concrtes aux problmes de la qualit suite des pannes de logiciels. Ds 1986, le DoD
finana le Software Engineering Institute (SEI) afin de dvelopper un
modle de maturation des entreprises au regard de la qualit logiciel.
Luniversit Carnegie Mellon, situe aux tats-Unis, a t choisie pour
lhberger.
Voici les grandes dates de lhistoire du CMM :
1987, cadre de rfrence ;
1988, le SEI publie la mthode SCE (Software Capability Evaluation) ;
1990, le SEI publie la mthode SPA (Software Process Assessment) ;
1991, publication de la version 1.0 du SW-CMM (Capability Maturity
Model for Software), totalement arrte en 2005 ;
1993, CMM version 1.1 plus connu sous labrviation SEI-CMM ;
1994, mthode CBA IPI ;
1998, CMM version 2.0 draft C arrt ;

Groupe Eyrolles

2001, lancement de CMMI version 1.0 (Capability Maturity Model


Integrated), vision largie au systme dinformation ;
2002, CMMI version 1.1 accompagn des mthodes dvaluation
SCAMPI (Standard CMMI Appraisal Method for Process Improvement) ;
2006, parution de la version 1.2 du CMMI.

112

Les rfrentiels

Rapports avec les autres normes et/ou rfrentiels


Norme et/ou rfrentiel

Rapport

SW-CMM

CMMI est lhritier de SW-CMM (daprs Richard


Basque, CMMI, Dunod, 2004).

ISO/IEC 15504

CMMI est parent dISO 9001:2000 et est quivalent


ISO/IEC 15504 (SPICE). Il comporte le cycle de vie
dfini par la norme ISO/IEC 12207:2008.

PMBOK
(Guide to the Project
Management Body
of Knowledge)

Mis au point par le Project Management Institute


(PMI), est contrairement CMMI une mthode
de conduite de projet. Les deux guides pourraient
converger utilement.

SA-CMM

Mis au point par le SEI, concerne la gestion


des achats. Il sera vraisemblablement intgr
dans la version 2.0 de CMMI.

ICMM
(Integrated Capability
Maturity Model)

quivaut lensemble form par CMMI


et SA-CMM.

SCAMPI

Conu par le SEI, sert valuer la maturit


dune entreprise en regard de CMMI.

CMMI

Le CMM a donn naissance au CMMI qui concerne


les aspects systmes des dveloppements.

P-CMM

Sapplique la gestion du personnel et est en voie


de dveloppement.

DFINITION
RETENIR

Il peut tre utilis deux fins distinctes :


lvaluation par rapport une rfrence en vue de comparaison ;
lvaluation dun cart en vue de la dfinition dactions damlioration vers des objectifs.

Groupe Eyrolles

Cest un modle dvaluation et damlioration de la maturit des process


logiciels et technologiques fond sur lexprience, prenant en compte la
dynamique volutive. Il sagit dune rfrence par rapport laquelle va
tre mesur lcart de maturit.

CMM et CMMI

113

Il est structur en processus cls qui dfinissent des activits mettre en


uvre ainsi que des dispositions prendre.
Indiquent

Niveaux de maturit

Capacit du processus

Contiennent
Atteignent

Secteurs cls du processus

Buts

Organiss par
Sadressent

Caractristiques communes

Excution
institutionnalisation

Contiennent
Dcrivent

Pratiques cls

Activits
infrastructure

APPLICATION
Le modle CMM est fond sur une chelle progressive de cinq niveaux
de maturit (initial, reproductible, dfini, gr, optimis). Le niveau de
maturit dune organisation est dtermin par lexamen de ses pratiques
et procdures de gestion.
5
Optimis
4
Gr
3
Dfini

Groupe Eyrolles

2
Reproductible
1
Initial
Source : schma selon le SEI.

114

Les rfrentiels

Niveau 1 : Initial
Les procdures, les fonctions, les modes opratoires, les processus sont
mal dfinis.

Entre

Initial

Sortie

Ce qui caractrise ce niveau :


une production avec une qualit alatoire ;
une population de pionniers, de hros ;
une succession de crises non prvues ;
pas denseignement tir des difficults ou des erreurs ;
un va-et-vient du savoir-faire.

Niveau 2 : Reproductible
ce niveau, les processus sont crits globalement ; il y a une utilisation
de rfrentiels et de standards.

Entre

Sortie

Reproductible

lexistence dune discipline dans lorganisation de la production, bien


que des variations subsistent encore dune entit lautre ;
lexistence de plans, de prvisions avec des estimations plus fiables
et des actions correctives ;

Groupe Eyrolles

Ce qui caractrise ce niveau :

CMM et CMMI

115

pas de compromis sur la qualit, et une vie au quotidien beaucoup plus facile.

Niveau 3 : Dfini
Les processus sont dfinis et documents, il y a existence de modes
opratoires.

Entre

Sortie

Dfini

Ce qui caractrise ce niveau :


une capacit quivalente entre les diffrentes entits qui constituent
la production informatique ;
des risques dcroissants car il y a une cohrence et une communication entre les diffrentes entits ;
une capitalisation systmatique (enseignements tirs), une rutilisation du savoir-faire, une prvention.

Niveau 4 : Gr
Les processus sont dfinis, ils sont galement bien documents, quantifis et mesurs. Les actions sont aussi clairement dfinies, ainsi que les
rles et les responsabilits de chacun.

Groupe Eyrolles

Entre

Sortie

Gr

116

Les rfrentiels

Ce qui caractrise ce niveau :


des mtriques/indicateurs mis en place et exploits ;
des retours dexprience possibles car les processus sont cohrents
(les comparaisons ont un sens) ;
un programme qualit ;
une valuation des impacts lis aux volutions des processus.

Niveau 5 : Optimis
Les processus sont matriss, leurs interfaces sont identifies, les donnes de lentreprise sont utilises pour lamlioration continue de
lensemble des services. La documentation est claire, et lexprience est
capitalise.

Entre

Sortie

Optimis

Ce qui caractrise ce niveau :


lamlioration continue des processus ;
la gestion des changements ;
Groupe Eyrolles

la performance individuelle et collective suivie.

CMM et CMMI

117

Dire dexpert
Lorsque lon souhaite mettre en uvre un projet CMMI,
par quoi devons-nous commencer ?
Comme pour tout projet de mise en uvre dun rfrentiel, il ny a pas
spcifiquement de bon moment pour commencer. Il est toutefois de
meilleur augure de dbuter un tel projet avant une crise. Si lentreprise
attend la crise pour mettre en uvre un projet CMMI, les risques peuvent se trouver accrus et le danger de commettre des erreurs dans la
mise en place du projet est plus grand. Le mieux pour lentreprise qui
veut tre efficace et/ou efficiente est de commencer le plus tt possible,
lorsque tous les acteurs seront prts suivre, grer, prendre le temps
ncessaire la russite du futur projet.

Parmi les rfrentiels existants, deux prdominent,


CMMI et ITIL ; les deux sont-ils complmentaires ou
antinomiques ?
Ils sont assez complmentaires. Avec CMMI, ce sont les tudes qui sont
essentiellement impactes, tandis que, dans le cas de ITIL, le service
impliqu est la production. Nonobstant, avec les nouvelles versions de
CMMI, la production est impacte, et avec la version 3 de ITIL, nous
nous trouvons au centre mme de toute la stratgie de lentreprise.
CMMI doit rester au cur des applications en ce qui concerne la qualit
dintgration logicielle.
Des liens avec ISO 20000 sont-ils envisageables ?
La mise en place de CMMI est de suivre un ensemble de recommandations afin dlaborer un modle de maturit sur cinq niveaux. Cette
chelle est applicable une bonne qualit rfrentielle. De son ct,
ISO 20000 est aussi oriente vers une analyse de maturit de lentreprise, mais ici, au contraire de CMMI, cest lorganisation de lentreprise
qui est en cause.

Groupe Eyrolles

Source : Armand Gauthier Consultant Q-Labs,


Journal du Net du 18 septembre 2006.

Chapitre 4

COBIT

HISTORIQUE
Le rfrentiel COBIT (Control Objectives for Information and related
Technology) dfinit les contrles, les pratiques et les processus informatiques formels devant tre mis en place, ainsi que les rsultats minimaux
quils sont censs gnrer. Il a t dvelopp en 1996 par lISACA (Information Systems Audit and Control Association), relay en France par
lAFAI (Association franaise de laudit et du conseil informatiques).

DFINITION
Le rfrentiel COBIT est reprsent dans un cube, cela permet de lutiliser
suivant plusieurs perspectives :
qualitatif : qui comprend des aspects de cots et de dlais ;
fiduciaire : qui comprend les aspects fiduciaires, lefficacit et lefficience des oprations, le respect des lois et rglements, ainsi que la
fiabilit de linformation ;
scurit : qui comporte lui-mme trois composantes, la confidentialit,
lintgrit et la disponibilit.

APPLICATION
Groupe Eyrolles

Ces trois perspectives sont dclines selon sept critres :


efficacit : faire correspondre au but souhait les moyens mis en
uvre ;
efficience : le surplus de qualit amen par lefficacit ;
confidentialit : les informations ne sont pas divulgues ;

120

Les rfrentiels

Critres dinformation

Scurit

Technologies

Applications

Processus

Personnel

Processus IT

Domaines

Donnes

Fiduciaire

Installations

Qualit

Activits

Ressources IT

Source : Delvaux Conseil.

intgrit : tre certain que les donnes personnelles soient respectes ;


disponibilit : retrouver parfaitement linformation change ;
conformit : ressemble parfaitement au projet dfini ;
fiabilit de linformation : sur quoi lon peut compter sans se tromper.

Les ressources
Elles sont au nombre de cinq :
les applications programmes et manuelles ;
les moyens technologiques ;
les installations ;
les personnes (formation, comptence, capacit).

Groupe Eyrolles

les donnes structures et non structures ;

COBIT

121

Les processus
Des activits formant un ensemble de processus lis des objectifs de
contrle mobilisent les ressources. Les processus sont regroups en
quatre domaines.
Planification et organisation
Ce domaine couvre la stratgie et les tactiques qui concernent la direction gnrale et la direction du systme dinformation (DSI). Ils doivent
officialiser lidentification des moyens permettant linformatique de
contribuer le plus efficacement possible la ralisation des objectifs
commerciaux de lentreprise et renforcer sa position sur le march.
Acquisition et installation
Ce domaine concerne la ralisation de la stratgie informatique. La DSI
pilote la mission au sein de lentreprise ; il y a identification, acquisition,
dveloppement et installation des solutions informatiques, et intgration
de celles-ci dans les processus commerciaux.
Livraison et support
Ce domaine concerne la livraison des prestations informatiques exiges.
La direction de linformation pilote, la DRH et les services scurit participent (formation).
Surveillance
Ce domaine permet au management dvaluer la qualit et la conformit des processus informatiques aux exigences de contrle, ce qui fait
appel aux quipes daudits pour des campagnes daudits organisationnels, techniques et qualit.
LES NOUVEAUTS

Groupe Eyrolles

Commercialisation du COBIT V4.1 le 25 mars 2008. Il est accompagn dun


cdrom contenant une version numrique en couleur. La prsentation de
la version franaise est strictement identique la version originale.
Cette nouvelle version donne de meilleures dfinitions des principaux
concepts. Exemple : lobjectif de contrle volue vers une pratique de
management. Plusieurs objectifs de contrle ont t regroups dans le but
dune meilleure cohrence de lensemble.

Les rfrentiels

Dire dexpert
Principales diffrences avec COBIT V4
Les contrles applicatifs ont t retravaills afin de les rendre plus efficaces. Il en rsulte une liste de 6 contrles applicatifs au lieu des 18 de
COBIT 4.0 avec des dtails additionnels provenant des pratiques de
contrle COBIT, 2e version.
La liste des objectifs mtiers et informatiques de lannexe I a t amliore sur la base dun nouveau regard rsultant des travaux de recherche
mens par lcole de management de luniversit dAnvers (Belgique).
Le domaine S est devenu SE , pour Surveiller et valuer .
Le contenu des objectifs de contrle a t clarifi et recentr, la mise
jour du cadre de rfrence de COBIT a significativement modifi les
objectifs de contrle.
Des entres et des sorties ont t ajoutes pour illustrer ce dont les
processus ont besoin (entres) et ce qui est en principe attendu deux
(sorties).
Les activits et les responsabilits qui y sont associes ont galement
t prsentes. Les entres et les objectifs activits remplacent
les facteurs critiques de succs de COBIT 3e dition. Les mtriques
sont dsormais fondes sur une dclinaison cohrente dobjectifs
mtier, informatique, processus et activit .
Les ensembles de mtriques de COBIT 3e dition ont aussi t rviss
et amliors pour les rendre plus reprsentatifs et plus mesurables.
AFAI, Cobit 4.1, volutions, 25 mars 2008, PricewaterhouseCoopers.

Groupe Eyrolles

122

Chapitre 5

DSDM

HISTORIQUE
DSDM (Dynamic Systems Development Method) est un rfrentiel de
gestion de projet de la catgorie des mthodes agiles. DSDM a t dvelopp en Grande-Bretagne ds 1994. Depuis 1996, ce rfrentiel est diffus dans le monde.

DFINITION
Les neuf principes fondamentaux de DSDM :
Une forte implication de lensemble des clients internes (utilisateurs).
Une relle autonomie de la part des quipes DSDM pour des prises
de dcisions, des choix raliser.
Le produit, le bien, le service, est exploitable et utilisable le plus souvent possible.
La conformit aux attentes des directions mtiers est primordiale.
Une volution par thme permettra de trouver la solution.
Les changements, les volutions durant llaboration sont rversibles.
Les rapports permettent de faire ressortir les besoins initiaux.

Groupe Eyrolles

Le cycle de vie est jalonn de tests.


Un esprit dquipe est indispensable entre les contributeurs, les utilisateurs.

124

Les rfrentiels

APPLICATION
tude
de faisabilit

tude
de business

Modle
fonctionnel
itratif

Mise
en uvre

Conception
et ralisation
itratives

tude de faisabilit
Lobjectif de cette tape est de dcider sil est propice dexcuter le projet en question. On estime les cots, la valeur ajoute souhaite. Dans
cette tape, on fournit un rapport de faisabilit et un plan global de
dveloppement . On dploie de temps autre un prototype dont
lobjectif est dtablir la faisabilit technique.

Cette partie sert lexposition des spcifications. On dcrit les fonctionnalits que lapplication permet en les priorisant dans un livrable
dnomm Dfinition du domaine industriel , mais galement quels
types de personnes sont intresss par lapplication, de manire les
impliquer. On analyse aussi larchitecture du systme dans un document
nomm Dfinition de larchitecture systme . Puis, en tenant compte
du plan global de dveloppement, est ralis un Plan global de prototypage .

Groupe Eyrolles

tude business

DSDM

125

RETENIR
DSDM est une mthode agile dont lutilisation se fonde sur les relations
entre le mtier et le dveloppement.

Diffrents types de rles sont dfinis par DSDM :


le visionnaire dveloppe la vision ;
le sponsor est la personne qui veut et achte le produit ;
lambassadeur se trouve face aux utilisateurs et les reprsente ;
le conseiller dlivre de lexpertise mtier et rpond aux demandes de
lambassadeur.
La toute dernire version de DSDM, la V4, apporte un cadre plus centr
sur les besoins de lentreprise. Cette version nest actuellement pas disponible en franais, mais lancienne version, la V3, existe en langue franaise et peut tre tlcharge.

Ce quil y a de nouveau dans DSDM version 4


Il existe plusieurs petites modifications dans le guide. Ci-dessous vous
trouverez quelques diffrences avec la version 3 :
le cycle de vie est largi pour inclure des phases de prprojet et
daprs-projet ;
la description de chaque phase inclut des conseils pratiques ;
un processus pour des projets de maintenance est inclus ;
chaque description de rle est largie avec des conseils pratiques,
ainsi quune vue personnalise des activits raliser durant le cycle
de vie.
Source : www.dsdmfrance.com,
site franais du rfrentiel DSDM.

Les bnfices du rfrentiel DSDM


Groupe Eyrolles

De manire gnrale :
une productivit thorique qui devient 2,5 fois suprieure un dveloppement traditionnel en cascade ;
des dveloppements inutiles que lon supprime, et le respect des
livraisons dans les dlais et cots plus objectifs ;

126

Les rfrentiels

la livraison des fonctions mtier qui apporte de la valeur ajoute de


faon rapide travers le temps ;
une mthode qui a fait ses preuves en Grande-Bretagne ;
la conduite de projet type rupture par rapport aux autres approches traditionnelles, avec pour objectifs de gagner en productivit et
daugmenter la satisfaction des clients finaux.
Il sagit dun rfrentiel qui est en continuelle volution. Le champ
dapplication du rfrentiel DSDM ne se limite pas au monde TI. Il a
pour objectif dapporter des solutions viables aux diffrentes problmatiques que peuvent vivre les entreprises, et cela dans un dlai le plus
court possible. DSDM concerne un nouveau concept, le systme dentreprise , qui englobe les personnes, les processus, les structures et la
technologie.
Les principaux domaines dans lesquels le rfrentiel DSDM a dmontr
son efficacit sont :
le prototypage du processus de lentreprise ;
la gestion des changements au sein de lentreprise ;
la nouvelle culture dentreprise.

Lapproche qualit
Le rfrentiel DSDM rpond aux critres de qualit de services quattend
lutilisateur. Il est en conformit avec les objectifs de lentreprise. Dans
certains environnements, les activits lies la qualit sont perues
comme tant trs onreuses (parfois mme comme un mal ncessaire),
car elles accroissent les tches administratives et engendrent des frais
supplmentaires. Dans un projet DSDM, lensemble des activits doit
concourir llaboration dun livrable qui est le produit final ; cest pourquoi la conception de produits intermdiaires, qui augmente considrablement le nombre dinspections ncessaires, nest pas recommande.

Limiter les contrles intermdiaires, faire un effort sur les spcifications,


avoir un processus de dveloppement adaptable et modulable.

Groupe Eyrolles

Ce quil convient de faire

Chapitre 6

EFQM

HISTORIQUE
LEuropean Foundation for Quality Management (EFQM) a t cre en
1988 par 14 multinationales avec laide de la Commission europenne.

DFINITION
RETENIR
Le but que se donne lEFQM est de promouvoir un rel cadre mthodologique dans lamlioration des processus qualit.

facteurs

produits
Impact
sur le
personnel

Management des
comptences
(RH)
Vision
stratgique

Objectifs
&
Leadership

Management
des savoirs
(KM)

Projets
&
Processus

Groupe Eyrolles

Investissements,
ressources,
partenariat

Impact
sur les
clients

Performance
mesure

Impact sur
lenvironnement

valuation permanente

Source : EFQM.

128

Les rfrentiels

Les huit principes de base :


Orientation et rsultats.
Orientation clients.
Leadership.
Management par les processus.
Dveloppement et implication du personnel.
Apprentissage, amlioration et innovation.
Dveloppement des partenaires.
Responsabilit sociale et socitale.
Ils sont compatibles avec les processus du management de la qualit
ISO 9001:2000.

Les domaines applicables


Ce rfrentiel sapplique toute entit qui souhaite amliorer ses pratiques de management en les orientant exclusivement vers les rsultats.
Les conditions de succs sont :
lengagement de la direction ;
lauto-valuation des performances sur des domaines cibls ;
le benchmarking ;
la construction de son propre modle.
Les limites et les difficults sont :
le ROI qui est difficilement chiffrable (miser sur du long terme) ;
ne pas faire dauto-valuation des plans daction ;

Groupe Eyrolles

valuer les mthodes sans faire de rapprochement entre les entits.

EFQM

129

APPLICATION
La carte des principes et leurs critres de cotation
Principe

Orientation
et rsultats

Exigences

tablir la politique, la stratgie, les objectifs et les cibles.


Collecter et analyser les rsultats de manire quilibre.
Dvelopper les activits de veille.

Orientation clients

couter, comprendre et intgrer les besoins et les attentes


des clients.
Dvelopper la fidlisation et la conqute des clients partir
de leurs attentes.
Comprendre, mesurer et amliorer la satisfaction.
Anticiper les besoins futurs.
Identifier et comprendre les besoins de toutes les parties
intresses.

Leadership

tablir une direction et des finalits claires pour


lorganisation.
Dfinir des valeurs, une thique et une culture lies
aux finalits.
Favoriser limplication et la reconnaissance.
Anticiper et soutenir les changements.

Management
par les processus

Concevoir les produits et services comme les rsultats


de processus transverses.
Dcliner la stratgie et les objectifs travers le systme
de processus.
Amliorer les processus en fonction des besoins des parties
prenantes.
Anticiper les risques lis aux processus.

Groupe Eyrolles

Dveloppement
et implication
du personnel

Dvelopper les comptences et le potentiel des individus


et des quipes.
Dvelopper la participation du personnel aux activits
damlioration.
Impliquer et reconnatre les individus.
Soutenir les personnes dans la mise en uvre
des changements.

130

Les rfrentiels

Principe

Apprentissage,
amlioration
et innovation

Exigences

Chercher amliorer de manire systmatique et dans


tous les domaines.
Identifier, hirarchiser et piloter les actions.
Soutenir les dispositifs dapprentissage et de partage
des bonnes pratiques.
Favoriser linnovation et les comparaisons de pratiques,
en interne et en externe.

Dveloppement
des partenaires

Dvelopper un rseau de partenaires.


Construire des relations durables et fondes sur
des bnfices mutuels.
Partager la connaissance et travailler en commun.
Piloter les partenariats par la valeur et raliser
les ajustements ncessaires.

Responsabilit sociale
et socitale

Dvelopper lthique en interne et en externe, et la culture


de responsabilit.
Respecter et aller au-del de la rglementation.
Promouvoir des relations de confiance avec
les reprsentants de la socit.
Anticiper les risques lis lactivit.

Pour chacun des huit principes, une cotation est tablie :


5 : Lentreprise est excellente.
4 : Lentreprise est trs bonne.
3 : Lentreprise nest pas experte, mais elle reste bonne.
2 : Lentreprise nest pas trs performante.
1 : Lentreprise nest pas performante.
0 : Lentreprise est vraiment derrire les autres, tout est faire.

Il sagit dune valuation versus audit en comparaison avec lISO 9001:2000


(source : Prix, Modle & dmarches EFQM, Patrick Iribarne, Stphane Verdoux, AFNOR, 2005).

Groupe Eyrolles

Nature de lvaluation

EFQM

ISO 9001

131

EFQM

Identifier des exigences.

Identifier des hypothses de travail.

Les intituls commencent par :


Lorganisme doit .

Les intituls commencent par :


Ceci peut impliquer .

Servir de rfrence pour mesurer


un cart.

Servir de modle pour une comparaison.

Rassembler tous les standards applicables


toute relation contractuelle
client/fournisseur.

Rassembler les meilleures pratiques en


vue damliorer les rsultats importants
pour lorganisation.

Focaliser sur le systme de management


qualit et atteindre lobjectif qualit.

Focaliser sur le systme dentreprise


des rsultats cls globaux.

Dire dexpert
Qui peut prtendre au prix EFQM ? Toutes les entreprises si elles le
souhaitent ; il sagit dune dmarche volontaire .
Tous les ans, une entreprise est sacre la premire entreprise en termes
de dmarche EFQM et remporte le prix EFQM.
Les entreprises sinscrivent lEFQM pour concourir au prix EFQM.

Groupe Eyrolles

La notion de dveloppement durable nest pas encore tout fait matrise par les entreprises, lEFQM et les Nations unies travaillent en ce sens.
En complment, lEFQM se rapproche du guide SD 21000 qui concerne
la responsabilit socitale des entreprises (droits de lhomme, environnement).

Chapitre 7

eSCM

HISTORIQUE
Laxe client-fournisseur est mis en valeur. Les entreprises soucieuses de
faire reconnatre la qualit des services quelles fournissent sont de plus
en plus nombreuses adopter des rfrentiels de certification. Preuve
en est, les succs grandissants dITIL, de CMMI, de COBIT Tous ces
modles ont une caractristique commune, celle dvaluer des activits
issues de processus mtiers. LInformation Technology Services Qualification Center (ITSqc) du Carnegie Mellon a coordonn le dveloppement de leSCM-SP. La version 2 deSCM-SP a t publie en avril 2004.
Pour eSCM-CL, la version 1.1 a t publie en 2006.
Cration de lassociation internationale AeSCM en 2006.
LES NOUVEAUTS
Fin 2007, leSCM a vu le jour en France au travers de lassociation franaise
AeSCM.

DFINITION

Groupe Eyrolles

Parmi les nombreux concepts dvelopps dans le rfrentiel eSCM, trois


lments sont importants : la gestion des contrats, la gestion des fournisseurs et la gestion du sourcing.

Gestion des contrats


En conjonction avec la gestion des niveaux de services (Service Level
Management).

134

Les rfrentiels

En sassurant que les accords et les contrats sont aligns aux besoins
dfinis dans les Services Level Agrement ou SLAs.
Une tierce partie est responsable de la fourniture de biens ou de services qui sont ncessaires la fourniture de services des TI. Exemples de
sous-traitants : revendeurs de matriel et de logiciels, fournisseurs de
rseau et de tlcoms et organisations dexternalisation, contrat et
chane de sous-traitance.
Une base de donnes ou un document structur sert grer les contrats
de sous-traitance tout au long de leur cycle de vie. Cette base contient
les attributs cls de tous les contrats avec les sous-traitants, et doit faire
partie du systme de gestion des connaissances du service.

Gestion des fournisseurs


La gestion des fournisseurs ou SM (Supplier Management) est le processus consistant grer les fournitures et les services, afin dobtenir une
qualit de service sans discontinuit et dassurer la valeur des investissements.
Les activits cls sont :
identifier les besoins mtier et prparer les dossiers mtier ;
valuer et recruter de nouveaux fournisseurs ;
tablir les nouveaux contrats.
Les types de fournisseurs de services sont au nombre de trois :
interne, gnralement des fonctions mtier intgres lunit mtier
quelles servent ;
finance, technologies de linformation, ressources humaines, logistique, ne faisant pas partie du cur de mtier mais rassembls dans
une unit de services partags ;

Gestion du sourcing
La notion de sourcing est lun des concepts forts dvelopps par le
Carnegie Mellon au sujet du rfrentiel eSCM. Ci-dessous quelques formes de sourcing.

Groupe Eyrolles

externe, les clients peuvent avoir recours des fournisseurs externes,


fourniture de connexions WAN, support matriel.

eSCM

135

Internalisation (insourcing)

Utilisation de ressources internes dans


la conception, le dveloppement, la transition,
etc., de services nouveaux, modifis ou rviss.

Externalisation (outsourcing)

Recours un fournisseur externe pour grer


les services des TI.

Co-sourcing

Combinaison dinternalisation
et dexternalisation.

Partenariat

Relation dans laquelle deux organisations


collaborent troitement pour atteindre des buts
communs ou des avantages mutuels.

Externalisation des processus


mtier-BPO

Relocalisation de fonctions mtier entires,


gnralement sur un site moins coteux.

Fourniture de services logiciels

Services informatiques partags (applications


la demande) assurs par un fournisseur
de services logiciels.

Externalisation des processus


de connaissance (KPO)

Va plus loin que lexternalisation des processus


mtier, car elle inclut les processus de domaine
et lexpertise mtier.

RETENIR
LeSCM a t conu en deux volets : lun est destin au fournisseur, leSCMSP (SP pour Service Provider), lautre au client, leSCM-CL (CL pour Client).

eSCM-SP (une solution pour le sourcing)

Groupe Eyrolles

Type de capacit

Dfinition

Gestion des connaissances

Se situe au niveau de linformation et de


la connaissance des systmes documentaires.
Ds lors, lensemble des collaborateurs a un accs
facile la connaissance.

Gestion des hommes

Se situe au niveau du management et de


la motivation du personnel dlivrer les services,
en tenant compte de la comprhension et
du ressenti au plan des comptences dont
lorganisation a besoin.
/

136

Les rfrentiels

Type de capacit

Dfinition

Gestion de la performance

Se situe au niveau de la gestion de la performance


du fournisseur, et assure au client les besoins
en capacit.

Gestion des relations

Se situe au niveau de la relation et des changes


avec les parties prenantes (partenaires,
fournisseurs) dans la dlivrance et lassurance
de la qualit des services.

Gestion des technologies

Identifie activement la gestion des droits et


la disponibilit assurer le service des technologies
de linfrastructure.

Gestion des risques

Inclut le management des risques associ avec


la scurit, la confidentialit, linfrastructure
technologique et la gestion de la continuit.

Contrats

Se situe au niveau de la gestion des processus qui


sont supports par les besoins des clients et analyss
par eux. Cela permet de ngocier un accord formel,
dcrivant comment lorganisation supporte ces
recommandations.

Conception des services


et des dploiements

Se situe au niveau du transfert dexigences du client


et de la nature du dploiement du fournisseur.

Dlivrance des services

Se situe au niveau de lamlioration continue


des services.

Transfert du service

Se situe au niveau du transfert des comptences


entre le fournisseur et le client, ou un autre
fournisseur de service. Lobjectif est dassurer
une continuit de service pendant la phase de
transition.

LeSCM-SP est un rfrentiel de 84 capacits, structur sur trois dimensions :


le cycle de vie du service ;
le niveau daptitude.
Le cycle de vie couvre quatre phases : linitialisation, la livraison, la clture, lon going.

Groupe Eyrolles

les domaines daptitude ;

137

eSCM

Une pratique ne peut tre associe qu :


1 phase de cycle de vie
1 domaine daptitude
1 niveau daptitude
Elle se positionne dans lespace par rapport ces trois dimensions :

Clture
5
niveaux
daptitude

On Going

Cycle
de
vie

Livraison

Initialisation

10 domaines daptitude
Source : site bms.info

eSCM-CL (un complment dans la relation client)

Groupe Eyrolles

Type de capacit

Objectif

Gestion de la stratgie
du sourcing

Utiliser les ressources internes ou externes.

Gestion de la gouvernance

Grer la stratgie, la structure et les hommes.

Gestion des relations

Assurer un change constructif avec les clients.

Gestion de la valeur

Raliser le cycle de vie de lentreprise, aligner la TI


sur les services clients et mtiers.

Gestion du changement
organisationnel

Comprendre le flux ncessaire et volutif


du changement.

Gestion des hommes

Souvrir la valeur humaine, lthique dentreprise,


se parfaire dans la responsabilit sociale
des entreprises.

Gestion des connaissances

Mettre en place une gestion centralise de


lensemble de la documentation de lentreprise.
/

138

Les rfrentiels

Type de capacit

Objectif

Gestion des technologies

Matriser lvolution technologique et utiliser


ses bienfaits.

Gestion des risques

Mettre en uvre une cellule apte surveiller


les risques de toute nature.

Sept capacits spcifiques en ce qui concerne le sourcing :


Capacit lie au sourcing

Objectif

Analyse des opportunits


du sourcing

Analyse fonctionnelle des oprations courantes


de lorganisation.

Approche du sourcing

Selon le type dexigence dfini par le client, choisir


les approches de sourcing.

Planification du sourcing

La faon dimplmenter, de mesurer et de planifier


les actions lies au sourcing.

valuation du service fourni

Aide pour les fournisseurs dans leur capacit


crer de la valeur, des bnfices dans la dlivrance
des services.

Accord sur le sourcing

Ngociation des termes et des engagements de type


contrat de service, SLA, etc.

Transfert de service

Transfert des ressources entre le client et


le fournisseur afin de mettre en place un plan
de transition, didentifier les difficults, de faire
travailler les quipes ensemble, de faire connatre
la documentation, dassurer le niveau de service
requis par le client.

Gestion du service
de sourcing

Sassure que les exigences souhaites par le client


sont respectes au regard du fournisseur.

LeSCM-SP et leSCM-CL ont tabli cinq niveaux daptitude qui rpondent un besoin damlioration de service :
Niveau 1 : Fournir les services.
Niveau 2 : Rpondre systmatiquement aux besoins.

Groupe Eyrolles

Le cycle de vie adress par leSCM-CL tend chacune de ses capacits


aux capacits de leSCM-SP. Il adresse les activits de sourcing au niveau
de lorganisation cliente.

eSCM

139

Niveau 3 : Traiter la performance organisationnelle.


Niveau 4 : Amliorer proactivement la valeur.
Niveau 5 : Maintenir lexcellence.

APPLICATION
La certification
La finalit du programme de certification est de fournir une manire fiable, objective et crdible pour mesurer le degr de conformit de tout
fournisseur avec les pratiques de leSCM-SP et eSCM-CL. LITSqc assure
la formation des valuateurs. La certification est valide pendant deux
ans. Le certificat apporte la preuve que lorganisme est conforme aux
exigences de leSCM-SP pour un niveau daptitude spcifique sur des
services identifis. La liste de tous les organismes certifis est disponible
sur le site de lITSqc.
Source : fonde sur Carnegie Mellon, documentation ITSQC,
The eSourcing Capability Models.

Dire dexpert

Groupe Eyrolles

Pourquoi sintresser leSCM, quels sont les enjeux ? LeSCM est


orient essentiellement vers le sourcing. Afin dy rpondre, les concepteurs de leSCM du Carnegie Mellon ont ralis une grille sous trois
perspectives. Chacune des dimensions indique des pratiques clairement
identifies et bien documentes. Ce rfrentiel possde deux grands
axes, lun tourn vers le fournisseur, lautre vers le client. La qualit de
service, lefficacit attendue est demande tant au fournisseur de service quau client dans ses changes avec le fournisseur. LeSCM-SP nest
pas en conflit avec les autres rfrentiels tels que ITIL ou encore le
CMMI, au contraire, leSCM est une combinaison de ITIL, de CMMI et
de COBIT. LeSCM apporte galement une analyse de maturit, ct
client avec leSCM-CL et ct fournisseur avec leSCM-SP, pouvant permettre lorganisation de recevoir une certification.

Chapitre 8

ISPL (Euromthode)

HISTORIQUE
Euromthode est un rfrentiel qui date de 1990. Euromthode propose
un rfrentiel commun harmonisant les relations de contrats entre les
clients et les fournisseurs.
Le projet Euromthode offre de dynamiser le march europen des
systmes dinformation. Ce rfrentiel dote les acteurs dune culture
commune afin de favoriser lefficacit dans leurs changes techniques et
commerciaux.
La vise dEuromthode nest pas de remplacer les mthodes existantes
de type Merise, SDMS, mais de mettre en place et de rpandre un rfrentiel dont lobjectif est la gestion des phases dadaptation dun systme dinformation (de type appel doffres, slection des fournisseurs,
acceptation des plans davancement, recette, dploiement). Euromthode a de trs fortes ressemblances avec le rfrentiel ITIL.
En 1995, la Commission centrale des marchs (CCM) cre une antenne
franaise, dont le rle est daider la mise en uvre du rfrentiel Euromthode en France.

Groupe Eyrolles

DFINITION
Euromthode est un ensemble de concepts. Parmi les chapitres, citons :
le rfrentiel de relations entre les clients et les fournisseurs et lexpression des besoins en prenant en compte les besoins futurs au regard de
lexistant. Euromthode tient compte dune analyse objective de la ralit,
tant de la complexit que des facteurs de risques composant un projet.

142

Les rfrentiels

RETENIR
Un lment essentiel dans la prise en compte dEuromthode est la notion
de cycle de vie par des points de contrle validant et supervisant les processus raliss.

Euromthode est un cadre de rfrence et une bonne mthode dexpression des besoins. Il est utile pour les matres douvrage et est un bon produit, diffus au bon moment, avec une bonne documentation. De plus,
il a reu un accueil trs positif des enseignants.
Mais son existence est encore trs peu connue dans la profession, le
terme Euromthode est ambigu (rfrentiel ou mthode) et le terme
Euro soppose, de faon rductrice, Mondial . Les cibles et objectifs ne sont pas trs clairs et la mthode de travail est peu adapte une
rapide mise en pratique, sans compter quil y a un manque cruel de guides pratiques. Enfin, les dmarches de normalisation sont longues et il
y a peu ou pas de promotion des travaux.

APPLICATION
Ds 2000, Euromthode change de nom pour devenir ISPL (Information
Services Procurement Library) ; il sagit dun ensemble de bonnes pratiques lies aux projets. ISPL propose des guides spcialiss, issus dEuromthode.
ISPL se dfinit comme :
un rfrentiel de bonnes pratiques ;
un ensemble de phrases courtes, faciles retenir pour la gestion de
projet ;
un groupe dexperts qui peuvent schanger des informations, afin
de permettre les dveloppements ultrieurs dISPL ;

Groupe Eyrolles

un rfrentiel maintenu par une organisation pouvant former et certifier.

Chapitre 9

ITIL V2

HISTORIQUE
ITIL : Information Technology Infrastructure Library
Selon lOffice of Government Commerce (OGC), ITIL est une collection
de livres (les spcialistes ITIL parlent de librairie) qui recense, synthtise
et dtaille les meilleures pratiques dans la fourniture, la gestion et la dlivrance des services informatiques. Le projet initial est prsent en 1986
la direction du CCTA (depuis repris par lOGC) et entrane la cration
dun groupe dutilisateurs (IT Infrastructure Management Forum) qui
deviendra lInformation Technology Infrastructure Service & Management Forum (ITSMF). Les consultants lorigine du projet ont ensuite
diffus la mthode dans les diffrents pays o ils sont passs.
RETENIR
Lide initiale tait de dfinir un rfrentiel pour recenser et cataloguer les
meilleures pratiques en matire de gestion de production informatique.

Dix livres ont t dits sur cinq ans. Le premier livre dit en 1989 a
t le Service Level Management. La deuxime version de la collection
de livres ITIL a t lance en 2000 avec la fusion des dix livres prcdemment dits en deux livres.

Groupe Eyrolles

ITSMF
LITSMF est le groupe mondial des utilisateurs. LITSMF France a t cr
en 2003. Une confrence annuelle regroupe les personnes intresses
par ce rfrentiel et fait le point (exposs, ateliers) sur lvolution,
limplantation et la pratique dITIL.

144

Les rfrentiels

Les certifications
Les pratiques ITIL font lobjet de formations sanctionnes par des examens. Les certifications sont valides par le Netherlands Examination
Institute (EXIN), lInformation Systems Examinations Board (ISEB) et
lAPMG (APM Group).
Niveau de base, ITIL Foundation : concerne ceux qui sintressent
ITIL. Vue gnrale et lments essentiels de la gestion des services
IT.
Niveau de praticien, ITIL Practitioner : pour ceux pratiquant la gestion des services IT. Prrequis : 2/3 annes dexprience en gestion
du processus en question.
Niveau de gestionnaire, ITIL Service Manager : concerne ceux qui
implmentent les processus. Certificat de gestion des services IT. Prrequis : 2/3 annes dexprience en gestion des services TI.
Source : www.itsmf.fr
(site de lassociation franaise des utilisateurs ITIL).

DFINITION
Noyau de la mthode ITIL
Les deux documents Support des services et Dlivrance des services dtaillent les processus et leurs interactions partir de cas
concrets de production informatique. La mthode introduit un vocabulaire commun (incident, problme, changement, mais aussi contrat de
service, continuit, disponibilit) lensemble des professions de la production informatique.

Une orientation client dans les limites de ce qui peut tre justifi par
son mtier : lutilisateur est au centre des proccupations de la direction informatique. Les besoins concrets sont dcrits dans des contrats
de services. Lide force est que cest lutilisateur qui juge et qui sait
ce dont il a besoin.
Un cycle de vie : lensemble du cycle de vie de linfrastructure est
couvert de la conception la mise en uvre et la gestion quotidienne. Exemple : lors du dploiement dune nouvelle application, il

Groupe Eyrolles

Quels objectifs ?

ITIL V2

145

faut prvoir la formation des oprateurs du service desk afin quils


puissent rpondre aux appels relatifs cette application.
Une approche processus : la production informatique est vue comme
un ensemble de processus visant rendre aux utilisateurs les services
dfinis dans les engagements de niveaux de services.
Une amlioration continue : la satisfaction du client passe par une
remise en cause permanente des acquis. Cest la mise en application
de la boucle qualit (roue de Deming).

APPLICATION
Soutien des services (service support)
Le soutien des services se concentre sur les oprations au quotidien et
sur le support aux services lis aux technologies de linformation.

Groupe Eyrolles

Processus

Objectif

Gestion des incidents


(Incident Management)

Grer tous les incidents de bout en bout et


permettre de restaurer le service oprationnel
le plus vite possible.

Gestion des problmes


(Problem Management)

Prvenir et minimiser limpact sur les mtiers


des incidents rcurrents dinfrastructure
informatique.

Gestion des changements


(Change Management)

Utiliser des mthodes et des procdures


standardises pour faire et fiabiliser
les changements autoriss.

Gestion des mises en production


(Release Management)

Sassurer que tous les aspects techniques ont t


analyss avant la mise en place.

Gestion des configurations


(Configurations Management)

Avoir une image la plus complte et la plus jour


possible de la configuration globale (matriels,
logiciels).

Fourniture des services (service delivery)


Elle concerne la planification et lamlioration long terme de la fourniture des services lis aux technologies de linformation.

146

Les rfrentiels

Processus

Objectifs

Gestion des niveaux de service


(Service Level Management)

Proposer un catalogue de services.

Gestion de la capacit
(Capacity Management)

Prvoir les besoins futurs en capacit et en


performance dans les dlais et les cots prvus.

Offrir un niveau de service en adquation avec


les accords (SLA) ; faire voluer cycliquement
ce niveau de qualit; veiller la rentabilit.

Surveiller et mesurer tous les composants de


linfrastructure actuelle.
Gestion de la disponibilit
(Availability Management)

Aprs dtermination des besoins, sengager sur


leur respect dans le cadre des niveaux de service.

Gestion de la continuit
(IT Service Continuity
Management)

Sassurer que les services TI peuvent tre remis


oprationnels dans les meilleurs dlais aprs
une catastrophe.

Gestion financire
(Financial Management
for IT services)

Calculer et exposer le cot global effectif


des services fournis et permettre la refacturation
(calcul du TCO).

Clients

Stratgie et relation client

Centre de services

Gestion des
niveaux de
services

Soutien des services

Fourniture des services

Gestion des incidents


Gestion des problmes
Gestion des changements
Gestion des mises
en production
Gestion des configurations

Gestion des niveaux


de services
Gestion de la capacit
Gestion de la disponibilit
Gestion de la continuit
Gestion de la scurit
Gestion financire

Gestion des oprations

Gestion des oprations

Gestion des rseaux


et des serveurs

Gestion des applications


et des bases de donnes

Fournisseurs (externes/internes)
Source : OGC.

Groupe Eyrolles

Gestion des postes de travail

ITIL V2

147

Dire dexpert
Donner un sens son projet ITIL
Alignement des bonnes pratiques ITIL sur les besoins de lentreprise.
Partir des attentes du business, des objectifs stratgiques de lentreprise.
Adapter le processus la culture dj en place, ou la culture au processus souhait.
Justifier la valeur apporte auprs du client dun processus, dune
tche, dun contrle, dune interaction.

Considrer limplmentation de ITIL comme un projet


denvergure
Planifier limplmentation des processus sur le long terme.
Estimer les moyens humains, technologiques et financiers en consquence.
Ne pas ngliger linvestissement ncessaire au risque dobtenir un
retour infrieur aux attentes.

Groupe Eyrolles

Prparer son organisation ITIL


Prparer lorganisation, par une information pertinente, lapport des
processus, au travers dune bonne comprhension des enjeux de ITIL.
Sensibiliser le management et les acteurs du projet ITIL aux concepts
et enjeux.
Former les acteurs concerns aux fondamentaux de ITIL afin quils en
acquirent le vocabulaire et les grands principes de fonctionnement.
Former les propritaires et les gestionnaires de processus la pratique,
au travers de sessions approfondies et orientes mise en uvre .

Chapitre 10

ITIL V3

HISTORIQUE
En dcembre 2005, lOffice public britannique du commerce (OGC) a
annonc la mise disposition la fin de lanne 2006 dune version 3
de la librairie ITIL. 40 pays ont contribu la conception dITIL V3.
La version franaise dITIL V2 est constitue de deux ouvrages, qui sont
le support des services et la dlivrance des services . ITIL V3 est
compos de cinq ouvrages : Service Strategy, Service Design, Service
Transition, Service Operation, Continual Service Improvement. Un
ouvrage dintroduction est en complment des cinq core books. Cet ouvrage, en langue anglaise, a t traduit en franais par une quipe
dexperts.

Les lacunes de la version 2


La version 2 prsente quelques lacunes :
La gestion des incidents utilisateurs et des incidents dexploitation est
lie au mme processus.
Il ny a pas de gestion des connaissances.
La gestion des assets nest pas reconnue.
La version ne sintresse quau service de la production.
Groupe Eyrolles

La vision est oriente IT.


Il ny a aucune responsabilit en termes de service.

150

Les rfrentiels

DFINITION
Le cycle de vie au centre de la dmarche
Livre 1 : Stratgie des Services
La stratgie des services rpond aux besoins en IT exprims par les utilisateurs. Elle va analyser les diffrents besoins (leur faisabilit, leurs
cots, leurs impacts stratgiques pour lentreprise).
Livre 2 : Conception des Services
La conception des services va prendre en considration les besoins qui
auront t retenus par le livre Stratgie des Services . Ces besoins vont
intgrer un Catalogue de Services . Le livre Conception des Services
va mettre en uvre les tudes ncessaires afin de rpondre aux cahiers
des charges :

quelles capacits technologiques ;


quel niveau de disponibilit ;
comment sera gre la relation avec les fournisseurs ;
quels seront les impacts ;
comment aborder la scurit.

Livre 3 : Transition des Services


Lorsque les besoins ont t analyss par les tudes, ils sont proposs au
livre Transition des Services . Ce dernier sera charg dtudier le changement et de rpondre la mise en production des services. Les diffrentes TI mises en uvre seront intgres dans une CMDB (gestion des
configurations).

Ds que les services sont mis en production, le livre Exploitation des


Services se chargera dassurer le bon maintien de la qualit des services
rendre au client. Il assurera une bonne gestion des incidents utilisateurs, des vnements (alertes), ainsi que des problmes. Le lien entre les
utilisateurs et le livre Exploitation des Services passera par la fonction
Centre de Services .
Livre 5 : Amlioration Continue des Services
La bonne vie du service souhait pralablement par lutilisateur sera suivie tout au long de son cycle de vie par le livre Amlioration Continue

Groupe Eyrolles

Livre 4 : Exploitation des Services

ITIL V3

151

des Services . Au travers de ce service et du suivi de celui-ci, lutilisateur


mettra de nouveaux souhaits afin de rpondre la stratgie de lentreprise et la satisfaction de ses clients. Ces nouveaux besoins seront pris
en charge par le livre Stratgie des Services .

Les livres de la version 3


Stratgie des Services (Service Strategy)
Ce volume indique comment le SI est align sur la stratgie de lentreprise, ou comment la TI apporte de la valeur lentreprise. Ce document est destination des DSI et de la DG. Il met laccent sur laspect
financier, sur ce quil faut mettre pour justifier dun ROI.
Conception des Services (Service Design)
Dans ce livre, on dtermine comment concevoir un service afin quil
soit implmentable dans le SI. On y retrouve le processus o lon dfinit
le SLA qui existait en V2.
Transition des Services (Service Transition)
Ce service dcrit la gestion des changements, des mises en production
et des configurations. Cest le moyen de vrifier que tout est bien document (gestion des connaissances) avant de passer en production. La
gestion des configurations V2 a t complte dans la V3 par la gestion
des assets.
Exploitation des Services (Service Operation)
Ce livre concerne les activits quotidiennes. On y retrouve les deux processus de la gestion des incidents et des problmes. Toutefois le processus
de gestion des incidents de la V2 a t dcoup en plusieurs processus
(vnements, demandes, accs).

Les nouveauts dITIL version 3

Groupe Eyrolles

Les principales nouveauts de la version 3 dITIL sont :


Introduction de la notion de cycle de vie de la gestion des services,
avec une focalisation sur la qualit des services TI et sur les services
TI de bout en bout .
Organisation oriente service de telle sorte que les efforts fournis
aillent vers le client et lutilisateur, plutt que vers la technologie.

152

Les rfrentiels

Prise de conscience par les responsables de projet de limportance


dITIL.
Transformer de plus en plus les DSI en organisateur de mtier .
Recentrage trs fort autour du mtier de lentreprise, source de profits
et de diffrenciations. Lalignement sur le mtier est synonyme defficacit.
LES NOUVEAUTS
Quelques processus supplmentaires
noter que la version 3 nest pas une rvolution du rfrentiel ITIL mais
une volution. En effet, les processus existant en V2 sont bien prsents
dans cette version et sintgrent au cycle de vie des services dfinis dans les
cinq livres :

la gestion des besoins (identifier lensemble des besoins utilisateurs) ;


la gestion du portefeuille (catalogue des services actuels et en prvision) ;
la gestion des fournisseurs (gestion de la relation clients/fournisseurs) ;
la gestion des connaissances (maximiser lutilisation des connaissances).

Publications complmentaires aux cinq livres


Le schma ci-dessous reprsente les interfaces entre ITIL, les normes et
les rfrentiels.
Noyau
Mthodes de
t
Re
ee
gouvernance
s
nc es
a
sta pec
c
s
s
n
i
nd t d
e
a t
n
ar es
Amlioration
continue
n p
ds
Co om
c

ITIL

on
ati
ior

con

Op

u
tin

itio

s
ran

Am

Ai

de

COBIT

Stratgie

on
tin
ue

EFQM

Modle

PRINCE2TM

ISO 9001
v2008
ISO 27001

ISO 14001

de

pi

a
sr

SOX

Am
li
o

ns
ratio

eptio

in

Ga

ud

e
Qualifications

Source : OGC.

Groupe Eyrolles

Conc

rat
ion
c

our
ion p nt
duct
e
Intro anagem
le m

PMBOK

Do
de main
xpe es
rtis
e

Six Sigma

ISO 20000
s
de
tu cas
de

eSCM

Adap
tabil
it

CMMI

ITIL V3

153

APPLICATION
ITIL V3 Amlioration continue des Services
(Continual Service Improvement)
Ce livre est fond sur la roue de Deming (PDCA ou Plan-Do-CheckAct : planification, ralisation et mise en uvre, contrle, nouvelles
dcisions damlioration).
STRATGIQUE
Un cycle en quatre phases ou roue de Deming (Planifier-Raliser-VrifierAgir) pour la gestion des processus attribue Edward Deming.
Planifier : concevoir ou rviser les processus qui soutiennent les services
des technologies de linformation.
Raliser : mettre en uvre le plan et grer les processus.
Vrifier : mesurer les processus et les services des IT, les comparer avec les
objectifs et produire un reporting.
Agir : planifier et mettre en uvre les changements afin damliorer les
processus.

Le livre prsente le modle de tout processus damlioration permanente en sept tapes :


Dfinir ce quil faudrait mesurer.
Dfinir ce quil est possible de mesurer aujourdhui.
Collecter les donnes de base.
Traiter les donnes collectes pour crer les informations sur les indicateurs de performance.
Analyser les informations cres.
Restituer et diffuser les informations selon les cibles (tableaux de
bord).
Implanter les actions correctives.

Groupe Eyrolles

Le livre prsente des aspects de lamlioration permanente :


les rapports et tableaux de bord sur les services ;
le mesurage des services (prise de mesure et collecte des donnes de
base) ;
le retour sur investissement des amliorations ;

154

Les rfrentiels

les questions spcifiques dues limplication des organisations


mtiers dans lamlioration permanente des services ;
la gestion des niveaux de service et lamlioration permanente des
services.
RETENIR
Les ides cls suivantes sont un guide pour mesurer les services :

valuation de la valeur ajoute des services par des mtriques ;


dveloppement de points de rfrence pour les mesures ;
dveloppement de la maturit des valuations ;
dsignation pour favoriser un niveau de qualit.

Portefeuille des services

Catalogue des services


Service pipeline
Services existants
Services nouveaux ou en prvision

Stratgie
des services

Conception
des services

Transition
des
services

Exploitation des services

Amlioration continue des services


SLM
Clients
(besoins)

SCM

Services
retirs

QS
Rutilisable
Non utilisable
En sommeil

Fournisseurs
Clients

Vision stratgique des services

Sur ce schma, nous reprsentons le cycle de vie de lamlioration des


services. Le client met un besoin qui sera pris en charge par le service
stratgie.
Ce besoin peut tre :
lamlioration dune application mtier ;
lintgration dune nouvelle fonction ;

Groupe Eyrolles

Source : OGC.

ITIL V3

155

un dfaut rencontr au sein dune application systme ou mtier ;


un souhait dvolution mis par la direction de lentreprise.
Quelle que soit lorigine de la demande, une expression de besoin sera
remise au niveau de la Conception des Services . Cette expression de
besoin prend en charge la possibilit, le cot et la faisabilit du projet.
Aprs la ralisation des nouveauts, mises jour et amliorations envisage, la Transition des Services se chargera de mettre en production
la ralisation du changement. Une tude concernant le changement et
son implication au sein des mtiers de lentreprise doit tre apporte.
Les niveaux de services correspondant la demande sont tudis et
intgrs (Service Level Management SLM).
Une Qualit de Service , de maintien, de support doit tre prvue (QS),
gnralement source de cration de nouveaux indicateurs. Lensemble
sintgrera dans une gestion de la chane logistique (SCM).
LExploitation des Services se chargera dassurer les ventuels dysfonctionnements.
Cette chane de valeur sera suivie au travers de lAmlioration Continue des Services (pilotage, tableau de bord, rles et responsabilits).
Lintgralit des nouveaux services apports aux utilisateurs se situe au
niveau du service pipeline ; ce service est galement charg des prvisions . Les services dj existants sont nomms au service catalogue .
Ainsi par la coordination du service pipeline et du service catalogue , nous avons lensemble des services SI disponibles au sein des
mtiers de lentreprise. Ils forment le service portfolio . Les services qui
ne sont plus utiliss sont soit dans une position rutilisable , soit non
utilisable , ou en sommeil . Ce principe permet davoir un catalogue
de services toujours jour des informations ncessaires lentreprise.

Groupe Eyrolles

Dire dexpert
Avec ITIL V3, nous vrifions que ce qui a t mis en place en termes de
services est ralis. Cela doit tre fait sur le plan oprationnel mais
aussi tout au long du cycle de vie du service et au niveau de la valeur
mtier. Un systme de mesure et de reporting est mis en place. La V3
prconise de matriser le cycle de vie des services, de ltude dopportunit jusqu la production.

156

Les rfrentiels

ITIL permet de fournir un systme de management (comprenant les


politiques dentreprise) et une structure permettant de grer et de mettre en uvre efficacement tous les services. Lorganisation et le pilotage
par les processus deviennent un gisement damlioration de la performance.

DANGER
Les difficults rencontres par les entreprises selon les avis des clients :

lorganisation des TI passe trop de temps sur la rsolution des incidents ;


il y a beaucoup trop dincidents majeurs sur les infrastructures des TI ;
les projets dvolution des infrastructures sont mal grs ;
lorganisation des TI matrise mal toutes les mises en production ;
les budgets informatiques ne sont pas bien matriss ;
les investissements informatiques ne sont pas justifis.

Avantages de ITIL pour les entreprises


Les avantages sont principalement lis aux nouveauts de la version 3 :
Une volution des DSI qui endosseront un rle dorganisateurs de
mtier .
Un recentrage trs fort autour du mtier de lentreprise, source de
profits et de diffrenciations. Lalignement sur le mtier est synonyme
defficacit.
Une prise de conscience collective du poids de linformation et tout
particulirement de la TI.
Une organisation oriente service de telle sorte que les efforts fournis
aillent vers le client et lutilisateur, plutt que vers la technologie.
La volont de mettre en place une approche industrielle dans un
milieu o la maturit et la culture ne sont pas totalement appropries. Lindustrialisation signifie efficience ou productivit.

Groupe Eyrolles

Une capacit apprhender, comprendre et matriser le fonctionnement oprationnel. La connaissance et la rptition des actes oprationnels sont des acquis et correspondent la culture dentreprise.

Chapitre 11

MOF

HISTORIQUE
MOF (Microsoft Operations Framework) est un rfrentiel conu par
Microsoft. Cest un ensemble de bonnes pratiques (best practices) servant
la ralisation des processus, des procdures, des modes opratoires,
des rles et des responsabilits attachs chaque processus ou activit
dun processus. La structure MOF vient du rfrentiel de bonnes pratiques ITIL en adjoignant les particularits de la plateforme Microsoft.
La structure MOF :
offre des enseignements proportionnels au style de dploiement, de
planification et dvaluation de gestion des processus oprationnels
informatiques en soutien aux solutions de services stratgiques ;
fait rfrence des rles ; ce qui signifie que plusieurs rles peuvent tre assigns une personne ;
est un modle gnrique ; il est donc fondamental dajuster bon nombre des recommandations pour lutilisation dans votre organisation.

DFINITION
RETENIR

Groupe Eyrolles

MOF est une adaptation et une extension par Microsoft de la mthode ITIL
limplmentation et au support de ses produits en exploitation.

MOF nest pas une mthodologie, cest un regroupement :


de principes et de modles dvelopps par Microsoft ;
de bonnes pratiques.

158

Les rfrentiels

MOF repose sur trois modles :


le process model ;
le team model ;
le risk model.
RLE

RLE

Gestion des contrats de service

Gestion des changements


Gestion des releases

Gestion financire et budgtaire


Gestion de la continuit de service

REVUE

Gestion des configurations

Gestion de la disponibilit
Gestion de la performance
et des capacits

Administration systme
OPTIMISER

CHANGER

Gestion de la scurit

Gestion des ressources

REVUE

REVUE
Supervision et contrle

Hot line / Help desk

SUPPORTER

EXPLOITER

Stockage
Ordonnancement/
Lancement

Gestion des incidents


Gestion des problmes

Impression Entres/Sorties

REVUE

Gestion rseau
Gestion Directory
et Autorisations
RLE

RLE

Les six rles dfinis par MOF


Rle

Release et
configuration

Contenu

Grer la relation entre les tudes techniques et fonctionnelles


et la production.

Grer la configuration.
Infrastructure

Dfinir et planifier les besoins dvolution des infrastructures.


Dfinir le partage des ressources.
Optimiser les ressources existantes.

Groupe Eyrolles

Grer les changements et lintgration en production


des volutions.

MOF

Rle

Support

159

Contenu

Fournir aux utilisateurs, aux clients, un point de contact unique


et de support.
Sassurer que les incidents sont traits de bout en bout.
Suivre les contrats et les engagements de service.

Opration

Planifier et suivre lexploitation.


Administrer le systme et les infrastructures.

Scurit

Dfinir et mettre en uvre la politique de scurit.


Assurer la scurit des donnes au quotidien.

Partenaires

Dfinir les contrats de service.


valuer la qualit de service.
Entretenir la relation avec les clients et les fournisseurs.

APPLICATION
MOF dcrit des rles et responsabilits pour chaque tape des processus, il permet de sassurer que le processus est excut tel quil est
document.
Par exemple, un gestionnaire dincidents assure quun incident sera
rsolu dans les dlais spcifis.
Il faut :

Groupe Eyrolles

documenter et publier le processus ;


dfinir les indicateurs cls de performance ou KPI pour valuer le
processus ;
amliorer leffectivit et lefficacit du processus ;
veiller ce que le personnel concern soit suffisamment form.

Chapitre 12

OHSAS

HISTORIQUE
Le British Standards Institution (BSI organisme de normalisation britannique), en collaboration avec un ensemble de consultants et dorganismes de normalisation en environnement, est lorigine du rfrentiel.

DFINITION
RETENIR
Cest un systme de management de la scurit avec deux objectifs majeurs : mettre en place une organisation pour contrler les risques lis la
sant et la scurit au travail tout en sassurant que les risques sont
rduits pour les employs et les parties externes employes.

Les secteurs viss concerns sont les entreprises, les tablissements, les
usines, les institutions, les associations publiques ou prives.
Les activits vises sont les produits, les services de lorganisation.
LES NOUVEAUTS

Groupe Eyrolles

LOHSAS 18001 a t revu en juillet 2007 et devient la norme BS OHSAS


18001:2007. Au 1er juillet 2009, lOHSAS 18001:1999 disparat au profit de
la norme BS OHSAS 18001:2007.

162

Les rfrentiels

APPLICATION
Les cinq grandes phases du rfrentiel
Amlioration continue

1
Revue de direction

Politique de la sant et
de la scurit du travail

5
2

Contrle et actions correctives


Mesure de la performance et surveillance
Accidents, incidents,
actions correctives prventives
Audit, enregistrement et
management des enregistrements

Planification
Identification des dangers
et contrle des risques
Exigences lgales et autres
exigences
Objectifs et programme
de management de la SST

3
Mise en uvre et fonctionnement
Structure et responsabilit
Formation
Sensibilisation, comptences
Consultation et communication, documentation
Contrle des documents et des donnes
Matrise oprationnelle
Prvention et rponse aux prventions durgences

Rfrentiel OHSAS 18001

Rsultats
daudits
Indicateurs de
surveillance et de mesure

Fiches dcart
tats davancement
du programme

Revue de direction OHSAS 18001

Groupe Eyrolles

Revue de direction

OHSAS

163

Dire dexpert
OHSAS 18002 : systmes de management de la sant et de la scurit
au travail. Lignes directrices pour la mise en uvre de lOHSAS 18001
(version 2000).

Ce passage dun rfrentiel (recommandation dun ensemble de bonnes


pratiques) une norme (un ensemble dexigences) signifie que lOHSAS
18001 devient, avec la norme BS OHSAS 18001:2007, une vritable
norme nationale britannique (British Standard pour BS) correspondant
au management de la sant et de la scurit. Elle attribue les exigences
permettant aux entreprises de contrler leurs risques en sant et scurit
au travail (SST) et damliorer leurs performances.
LOHSAS a t amliore et complte dans sa nouvelle version, cest
une volution du rfrentiel, mais en rien une rvolution. Lun des
objectifs tait de rendre cette nouvelle norme compatible avec les normes de la srie ISO 900X et ISO 1400X.
Les principales volutions entre BS OHSAS 18001:2007 et OHSAS 18001:
1999 :
la BS OHSAS 18001 devient une norme, et plus un rfrentiel ;
des dfinitions ont t revues et dautres (nouvelles) ont t ajoutes ;
une amlioration qualitative avec la norme ISO 9001:2000 ;
une amlioration significative de la responsabilit sociale des entreprises au regard de la sant des personnes avec la norme ISO 14001:
2004 ;
de nouvelles exigences ont t ajoutes pour la consultation ;
la sant prend une place privilgie.

Groupe Eyrolles

Les entreprises dj certifies par le rfrentiel OHSAS 18001:1999 ont


une priode dune dure de deux ans pour effectuer la mise jour avec
la nouvelle norme BS OHSAS 18001 :2007. La priode de transition
prendra fin le 1er juillet 2009. Les entreprises qui souhaitent obtenir la
certification de la norme BS OHSAS 18001 peuvent tre aides par la
norme OHSAS 18002:2000, consistant en lignes directrices pour la mise
en uvre de la norme OHSAS 18001.

Chapitre 13

PCIE

HISTORIQUE
Dans les entreprises modernes, lutilisation de la micro-informatique et
des outils bureautiques de type traitement de texte, base de donnes et
tableur sont choses courantes. La certification PCIE (Passeport de comptences informatique europen), mise en place en 1997 par le Conseil
europen des associations de professionnels des technologies de linformation (CEPIS), permet aux salaris et aux tudiants de valider leurs
acquis en comptences informatiques.

DFINITION
La certification PCIE comprend deux niveaux de validation, rpartis sur
un ensemble de sept modules.
Les deux niveaux de validation sont :
le PCIE standard comprenant le passage de quatre modules au
choix ;
le PCIE complet pour lequel il faut obtenir la totalit des sept modules.
Les sept modules se dfinissent ainsi :

Groupe Eyrolles

les connaissances gnrales du poste de travail et de son environnement ;


la gestion documentaire, tre apte retrouver une information ;
la ralisation dun tableau ;
lutilisation dune base de donnes ;
lutilisation dun traitement de texte ;

166

Les rfrentiels

lutilisation du Web, la recherche, la navigation ;


lutilisation dune messagerie.

Dire dexpert
Au 31 mars 2004, 3 672 000 candidats ont pass 13,2 millions de tests
PCIE dans 135 pays et en 32 langues. En France, 170 000 tests ont t
effectus depuis 2002 , prcise Olivier Goulas, le responsable marketing
et commercial dEuro-Aptitudes, la socit charge de dlivrer lagrment
aux centres de formation franais.
De manire gnrale, et paradoxale, il est difficile dtablir un bilan sur
lutilisation du PCIE. Les informations sont dans chaque organisme de
formation et nous navons pas encore mis en place de systme de
reporting.

Groupe Eyrolles

Source : Journal du Net du 27 fvrier 2004,


Olivier Goulas de EuroAptitudes.

Chapitre 14

PMP

HISTORIQUE
Project Management Professional (PMP) est un guide des bonnes pratiques en management de projets. Cette certification est rpandue dans le
monde entier. Elle permet davoir une bonne gestion des hommes, des
cots, des dlais et de la technologie. La profession de chef de projet
avec la certification PMP reconnat le rle et la fonction du chef de projet. Cette certification est dcerne par le Project Management Institute
(PMI), organisme amricain fond en 1969. Cette certification est tellement rpandue aux tats-Unis quelle est trs souvent demande lors
des recrutements de chefs de projet.

DFINITION
RETENIR
La certification PMI donne la possibilit dacqurir laccrditation de Project Management Professional (PMP). Cette certification est trs respecte. Ce programme denseignement professionnel a reu laccrditation
ISO 9001:2000.

Groupe Eyrolles

Les avantages pour lentreprise

Les avantages pour la personne

Utilisation dun corpus reconnu,


le PMBOK (Project Management Body
of Knowledge).

Augmente la valeur de la personne


au sein de son entreprise.

Aide au dveloppement des employs


en fournissant un cadre solide.

Avancement de carrire.
/

168

Les rfrentiels

Les avantages pour lentreprise

Les avantages pour la personne

Validation des comptences projet.

Apporte de nouvelles opportunits


demploi.

Rfrentiel unique de validation


de projet.

Permet une reconnaissance


professionnelle.

APPLICATION
La qualification, comme toute certification, nest pas aise. Il faut prouver ses comptences en gestion de projet et prsenter les projets sur lesquels la personne souhaitant obtenir le PMP a travaill. Un instructeur
(PMI) vous indiquera si vous tes apte vous prsenter lexamen de
certification et, si vous passez avec succs les diffrentes preuves de
lexamen, vous devenez PMP.

Groupe Eyrolles

Il existe de nombreuses aides pour se prparer lexamen de certification : soit lintress intgre un centre de prparation dans le but de suivre le cursus amenant au PMP, soit il peut se prparer en saidant dune
importante documentation et se procurer les supports de prparation
lexamen de certification PMP du PMI en conformit avec le nouveau
PMBOK Guide 3e dition.

Chapitre 15

PRINCE2

HISTORIQUE
Simpact Systems Ltd cre en 1977 une mthode de gestion de projet
baptise PROMPT. Le rfrentiel se fonde sur lvaluation continue du
projet au regard du rsultat souhait. Le concept est lamlioration continue du service. Deux ans plus tard, en 1979, PROMPT est adopt par
le Royaume-Uni comme norme dutilisation pour les projets TI. En 1989,
PROMPT est remplac par PRINCE (PRojects IN Controlled Environments projets dans des environnements contrls). En 1996, PRINCE2
voit le jour : cette nouvelle version est plus flexible et sadapte tous
types de projet quelle que soit son envergure. LOGC (Organisation
gouvernementale du commerce) est propritaire tant de PRINCE2 que
de ITIL.

DFINITION

Groupe Eyrolles

Le rfrentiel PRINCE2 est dfini comme suit :


Un projet est une couche fonctionnelle ajoute au sein dune organisation informatique.
Un projet ne peut senvisager uniquement comme un projet technique, o lon demande aux acteurs dappliquer de nouveaux procds dorganisation.
Un projet tient plus dun changement stratgique dune entreprise
que dun projet dinfrastructure.
Concevoir des processus dorganisation nest pas simplement un jeu
de Lego . Le risque majeur est de raliser une immense documentation de processus stocke dans une armoire et de ne jamais russir
sa mise en application, son exploitation.

170

Les rfrentiels

Le niveau de dtail des tches, leur squence, ne se rduit pas une


modlisation indpendante du contexte o elle sapplique.

PROCESSUS
PRINCE est divis en huit processus. Chaque processus est dsign par
une abrviation :
(SU) laborer un projet (EP)
(IP) Initialiser un projet (IP)
(DP) Diriger un projet (DP)
(CS) Contrler une squence (CS)
(MP) Grer la livraison des produits (LP)
(SB) Grer les limites de squences (LS)
(CP) Clore un projet (CP)
(PL) Planifier (PL)

Gestion dun projet dentreprise

Diriger un projet (DP)

Dmarrer
un projet (SU)

Initialiser
un projet (IP)

Contrler
une tape (CS)

Grer les
frontires
dtapes
(SB)

Clturer
un projet
(CP)

Grer la livraison
du produit (MP)

Planifier (PL)

Source : PRINCE2.

Groupe Eyrolles

Commande
du projet

PRINCE2

171

Les huit processus sont regroups en quatre phases :


Dmarrage (SU)
Initialisation (IP)
Excution (CS, MP, SB)
Clture (CP)
PRINCE2 est form de huit composants qui sont utiliss par les diffrents
processus. Ces composants donnent la description remplir afin quun
projet soit men bien. Processus, composants et phases comportent
trois aspects techniques : la planification fonde sur les produits, la technique de contrle qualit, et la technique de contrle de changements.

Certification
Il existe deux types de certification PRINCE2 :
PRINCE2 Fondamental, vrifiant si une personne possde les connaissances spcifiques la gestion dun projet selon PRINCE2 ;
PRINCE2 Praticien, garantissant la matrise dune gestion de projet
selon PRINCE2.

APPLICATION
tape 1 : (SU) laborer un projet (EP)
Dcision GO NOGO en termes dutilit
Processus dans lequel le projet est dfini et o lon examine sil est utile.
En pratique, cest une phase courte et rigoureuse o le responsable du
projet collabore intensivement avec le commanditaire. Le projet est
command officiellement et le responsable dtermine alors la composition et lorganisation du projet.
(SU1) Nommer lexcutif et le chef de projet (EP1)

Groupe Eyrolles

(SU2) Composer lquipe de gestion du projet (EP2)


(SU3) Nommer lquipe de gestion du projet (EP3)
(SU4) Prparer lexpos du projet (EP4)
(SU5) Dfinir lapproche du projet (EP5)
(SU6) Planifier la squence dinitialisation (EP6)

172

Les rfrentiels

tape 2 : (IP) Initialiser le projet (IP)


Gains attendus, chances
Processus obligatoire dans tout projet PRINCE2, il sagit dune rflexion
qui permet de donner de solides bases au projet avant dagir. On y dtermine les rsultats escompts, le planning, les tches et les responsabilits
de chacun. Ltape la plus importante de ce processus est le document
dinitialisation de projet (PID/DIP).

(IP1)
(IP2)
(IP3)
(IP4)
(IP5)
(IP6)

Planifier la qualit (IP1)


Planifier le projet (IP2)
Affiner le cas daffaire et les risques (IP3)
Crer les contrles du projet (IP4)
Crer les dossiers du projet (IP5)
Assembler le document dinitialisation du projet [DIP] (IP6)

tape 3 : (DP) Diriger un projet (DP)


Les grandes phases

(DP1) Autoriser lInitialisation (DP1)


(DP2) Autoriser un projet (DP2)
(DP3) Autoriser un plan de squence ou un plan dexception (DP3)
(DP4) Donner des directives appropries (DP4)
(DP5) Confirmer la clture du projet (DP5)

tape 4 : (CS) Contrler une squence (CS)

(CS1)
(CS2)
(CS3)
(CS4)
(CS5)
(CS6)
(CS7)
(CS8)
(CS9)

Autoriser un lot de travaux (CS1)


valuer la progression (CS2)
Collecter les incidences de projet (CS3)
Analyser les incidences de projet (CS4)
Examiner ltat de la squence (CS5)
Rapporter les points cls (CS6)
Mener des actions correctives (CS7)
Rfrer des incidences de projet (CS8)
Rceptionner un lot de travaux achev (CS9)

Groupe Eyrolles

Gestion des risques, incidents

PRINCE2

173

tape 5 : (MP) Grer la livraison des produits (LP)


Ordonnancement, logistique
(MP1) Accepter un lot de travaux (LP1)
(MP2) Excuter un lot de travaux (LP2)
(MP3) - Livrer un lot de travaux (LP3)

tape 6 : (SB) Grer les limites de squences (LS)


Capacit
(SB1) Planifier une squence (LS1)
(SB2) Mettre jour le plan de projet (LS2)
(SB3) Mettre jour le Cas dAffaire (LS3)
(SB4) Mettre jour le recueil des risques (LS4)
(SB5) Rapporter une fin de squence (LS5)
(SB6) Produire un plan dexception (LS6)

tape 7 : (CP) Clore un projet (CP)


Fin de projet
(CP1) Prparer la fin du projet (CP1)
(CP2) Identifier les actions de suivi (CP2)
(CP3) valuer le projet (CP3)

tape 8 : (PL) Planifier un projet (PL)


Planning et jalons
(PL1) Concevoir le plan (PL1)
(PL2) Dfinir et analyser les produits (PL2)
(PL3) Identifier les activits et les dpendances (PL3)
(PL4) Estimer (PL4)
Groupe Eyrolles

(PL5) Ordonnancer (PL5)


(PL6) Analyser les risques (PL6)
(PL7) Finaliser un plan (PL7)
Source : fonde sur OGC PRINCE2.

Les rfrentiels

Dire dexpert
Les contributions de PRINCE2
Suivant PRINCE2, un projet possde un dmarrage, un milieu et une fin
structurs, tablis et planifis. PRINCE2 expose une suite de processus
couvrant toutes les activits indispensables la ralisation dun projet, du
dpart la clture. PRINCE2 est un langage universel pour les clients, les
fournisseurs, les utilisateurs et linformatique ; cette osmose aide les participants du projet cooprer ensemble selon des lignes communes.
PRINCE2 est une approche processus de la gestion du projet ; comme
toute approche de ce type, cela permet de dfinir et de mettre en place
les rles et les responsabilits de chacun. Un ensemble de contrle correspondant au processus permet de structurer la vie du projet. Le rfrentiel PRINCE2 prsente comment un projet peut tre divis et gr
par tapes, ce qui permet de faire appel aux ressources uniquement lorsque cela devient ncessaire. Il sassocie parfaitement avec ITIL : les deux
rfrentiels ont en commun lorganisme daccrditation (APMG) et partagent un certain nombre de points.

Groupe Eyrolles

174

Chapitre 16

SPICE

HISTORIQUE
Dans la ligne du modle CMM dautres sont apparus, dont le modle
ISO SPICE en 1993. Le modle ISO SPICE (Software Process Improvement and Capability dEtermination) fait lobjet de la norme internationale
ISO/IEC 15504 qui fournit une approche structure pour lvaluation de
processus logiciel pour le compte dune organisation, dans les buts suivants :
comprendre la situation de ses propres processus pour lamlioration
de processus ;
dterminer ladquation de ses propres processus par rapport une
exigence ;
dterminer ladquation des processus dune autre organisation pour
un contrat.

DFINITION
Cest un modle deux dimensions et, pour valuer le niveau daptitude
de chacun des processus, le modle dfinit deux types dindicateurs :

Groupe Eyrolles

les indicateurs de ralisation de processus ou dimension processus.


Pour chacun des processus, des pratiques de base sont identifies
ainsi que des produits du travail en entre et en sortie ;
les indicateurs daptitude de processus ou dimension daptitude.
Pour chacun des niveaux daptitude, des pratiques de management
sont identifies ainsi que des caractristiques de ralisation, de ressources et dinfrastructure.

176

Les rfrentiels

Le modle est constitu de six niveaux daptitude :


Niveau 0, Incomplet : les pratiques de base ne sont pas mises en
uvre ou le processus natteint que partiellement ses objectifs.
Niveau 1, Ralis : les pratiques de base sont ralises et le processus atteint ses objectifs.
Niveau 2, Gr : les activits du processus et les produits issus de ces
processus sont grs.
Niveau 3, tabli : les activits du processus sont effectues selon un
processus standard dfini au niveau de lorganisation.
Niveau 4, Prvisible : le droulement du processus et ses performances sont mesurs.
Niveau 5, En optimisation : le processus standard est en amlioration
continue en fonction des objectifs de lorganisation.
Il se dcrit en neuf documents :
Introduction aux concepts fondamentaux.
Modle de gestion de lingnierie des processus.
Processus dvaluation du niveau daptitude.
Guide de conduite de lvaluation.
Modle dvaluation, guide des indicateurs, outils.
Guide pour la qualification des valuateurs.
Guide de mise en uvre de lamlioration des processus.
Guide de dtermination des aptitudes des fournisseurs.
Dictionnaire, vocabulaire et terminologie.

APPLICATION
La mise en application de SPICE est effectue lorsque lon veut faire une
valuation de son niveau de maturit des processus logiciels.
la dimension processus ;
la dimension aptitude.
Il faut se rfrer au guide pour lutilisation du rfrentiel ISO/SPICE en
amlioration de processus, qui reprend lensemble des points dvelopps

Groupe Eyrolles

Deux dimensions entrent en ligne de compte :

SPICE

177

dans la norme ISO 9004-4 de 1993 concernant la gestion de lamlioration de la qualit. Une approche structure et par cycles est prsente
afin de conduire un programme damlioration.
Les diffrentes tapes explicites dans le guide concernent :
lanalyse de lexistant de la stratgie de lentreprise et lexamen de
ses besoins ;
linitialisation de la dmarche damlioration ;
la prparation et la ralisation de lvaluation initiale des processus ;
llaboration dun plan daction pour lamlioration, fond principalement sur une analyse des rsultats de lvaluation ;
llaboration de la mise en uvre et le suivi du plan daction ;
lanalyse puis la gnralisation des pratiques issues des actions
damlioration.
Lvaluation de processus fait donc partie de lune des tapes cls du
cycle damlioration car elle permet dune part le diagnostic initial et,
dautre part, la mesure de laccroissement daptitude, aprs la mise en
uvre des actions damlioration.

Processus

Identification
des changements

Identification
de ladquation

valuation
Conduit

Groupe Eyrolles

Amlioration continue
des processus

Conduit

Peut permettre

Choix daptitude
prendre

Structure du rfrentiel SPICE par processus


Source : site Wikipdia.

Chapitre 17

TICKIT

HISTORIQUE
Cest dans les annes 1990 que le rfrentiel TICKIT a vu le jour en
Grande-Bretagne. Le rfrentiel a t modifi afin dtre compatible avec
lISO 9001:2000, pour une prise en compte des exigences de la norme
ISO 9001:2000 dans le monde du logiciel.

DFINITION
Il sagit dun rfrentiel de systme de management de la qualit appliqu la conception doutils informatiques.

APPLICATION
TICKIT est compos de trois documents principaux qui sont :
le guide du client ;
le guide du fournisseur ;
le guide de lauditeur.

Groupe Eyrolles

TICKIT permet de saligner sur les normes ISO 9001:2000 et ISO 9003:
1994.
La certification TICKIT permet lentreprise de prouver que les processus
en matire de systme de management appliqu la conception doutils
informatiques sont matriss et que les audits logiciels sont raliss.

180

Les rfrentiels

Le guide du client
Ce guide permet de suivre et dexpliquer le rle que peut jouer le client
dans le processus appliqu la conception de loutil informatique, ou
plus exactement dans un projet de dveloppement (logiciel), expliquer
comment le client peut contribuer la qualit des livrables qui reprsentent les produits et services. Le guide est appliqu avant, durant, et
aprs un projet de dveloppement.

Le guide du fournisseur
Ce guide permet de dcrire lensemble des informations de lorganisation mise en place afin dassurer une qualit de service dans lutilisation
des procdures TICKIT. Le guide est appliqu avant, durant, et aprs un
projet de dveloppement.

Le guide de lauditeur
Ce guide permet aux auditeurs de conduire leurs audits en se fondant
sur lensemble des procdures TICKIT en place. Le guide est appliqu
tout au long du cycle de vie dun projet de dveloppement.

Dire dexpert1

1. Peter Sullivan, manager Quality.

Groupe Eyrolles

Une nouvelle version 5.5 du guide TICKIT est en service. Celle-ci


comprend un guide informatique fond sur la gestion du systme. Rfrence PD0020:2002 . Une version de TICKIT internationale est disponible.

Chapitre 18

TQM

HISTORIQUE
Il existe une dfinition institutionnelle du TQM selon lISO 8402/1994 qui
en fait un mode de management dun organisme, centr sur la qualit,
fond sur la participation de tous ses membres et visant au succs long
terme par la satisfaction du client et des avantages pour tous les membres de lorganisation et pour la socit .

DFINITION
La norme ISO/DIS 9000:2000 voque le management total de la qualit
(TQM Total Quality Management).
RETENIR
Le management de la qualit est ainsi dfini : Activits coordonnes permettant dorienter et de contrler un organisme en matire de qualit ;
Le management total de la qualit (TQM) est un management de la qualit qui sappuie sur tout le personnel de lorganisme. Le TQM implique
galement toutes les parties intresses.

Groupe Eyrolles

Les modles dits dexcellence


Depuis quelques annes sont apparus des modles dits dexcellence,
visant montrer quun organisme conforme un tel modle serait
parmi les meilleurs en matire de management en gnral, et de management de la qualit en particulier. Ces modles sont peu nombreux et
donnent lieu des valuations sur une chelle de 1 000 points et des
rcompenses.

182

Les rfrentiels

Les principaux modles dexcellence :


le modle dexcellence europen de lEFQM (European Foundation
for Quality Management), qui sert de base lattribution du prix europen de la qualit ;
le modle amricain du Malcolm Baldrige National Quality Award,
qui sert de base lattribution du prix amricain de la qualit ;
le modle japonais du prix Deming, qui sert de base lattribution
du prix japonais de la qualit.
En plus, certains grands groupes mondiaux ont adapt ces modles
leurs besoins ; cest le cas par exemple du modle SEMCE de AT&T.

Une progression vers lexcellence


Le systme des normes ISO 9001:2000 et les modles dexcellence se
positionnent sur une chelle de progression.

Les bnfices du TQM


On peut se demander pourquoi il est ncessaire de documenter le lien
entre le management de la qualit totale (TQM) et les rsultats financiers.
Aprs tout, le TQM a t lun des plus brillants modles dentreprise des
quinze dernires annes, largement adopt par de nombreuses entreprises. Nest-ce pas suffisant pour dmontrer sa valeur ?
DANGER

Critres de choix des entreprises utilisant efficacement


le TQM
Mettre en place le TQM signifie que les principes cls (la satisfaction du
client, limplication des salaris et lamlioration constante) sont bien
accepts, appliqus et dploys au sein de lentreprise.

Groupe Eyrolles

Le TQM est la cible de critiques croissantes de nombreux gourous des affaires, indiquant quil engendre de ternes effets conomiques. On pouvait lire
dans un numro de Business Week ce commentaire sur le TQM : Quest-ce
qui est aussi mort quun rocher ? Sans surprise, cest le TQM. Cette approche, qui vise liminer les erreurs qui augmentent les cots et rduisent la
satisfaction du client, a promis plus quelle ne pouvait donner et a donn
naissance de petites bureaucraties charges de la mettre en uvre.

TQM

183

Un examen des nombreux critres des prix qualit confirme que les
concepts cls et les valeurs mis en avant sont ceux qui sont largement
considrs comme tant les bases dune mise en place efficace du TQM.
Les prix sont attribus aprs que les candidats sont passs au travers
dun processus dvaluation plusieurs niveaux, o ils sont jugs par
des experts internes ou externes.
Un processus rigoureux est appliqu pour assurer que les gagnants
mettent en place efficacement le TQM. De nombreux organismes qui
attribuent des prix sont des clients qui ont dvelopp des systmes de
prix qualit, pour leurs fournisseurs. Ceux-ci incluent les principaux
constructeurs automobiles amricains et de nombreuses entreprises
industrielles qui ont gagn le prix Malcolm Baldrige. Les organismes qui
attribuent des prix comprennent aussi des organisations indpendantes,
comme lInstitut national des normes et technologies (National Institute
of Standards and Technology) qui gre le prix Malcolm Baldrige , et
de nombreux tats des tats-Unis.

APPLICATION
La performance est examine sur deux priodes de cinq ans.
La premire priode (mise en place) commence six ans avant et finit un
an avant que les gagnants obtiennent leur premier prix qualit. Cest
pendant cette priode que les gagnants mettent en place le TQM. Pour
fournir une perspective quilibre sur les bnfices nets du TQM, il est
important destimer la magnitude de ces cots.

Groupe Eyrolles

La seconde priode (aprs la mise en place) commence un an avant et


finit quatre ans aprs que les gagnants ont remport leur premier prix
qualit. Il est clair que les gagnants ont mis en place de faon effective
le TQM ds quils obtiennent leur premier prix qualit. Comme il faut
de six neuf mois aux organismes qui attribuent les prix pour valuer
et certifier lefficacit de la mise en place du TQM, les auteurs de ltude
ont fait lhypothse que la mise en place du TQM chez les gagnants tait
effective environ un an avant lobtention du prix pour la premire fois.

Indicateurs financiers de mesure


La premire mesure de performance repre est le pourcentage dvolution du rsultat dexploitation, qui correspond aux ventes nettes moins

184

Les rfrentiels

les cots de production et les dpenses de vente et dadministration. Cet


indicateur mesure le profit gnr par les oprations dexploitation avant
les intrts et les taxes. Par consquent, il nest pas affect par la
mthode de financement, par tout gain ou perte provenant de la vente
dactifs, par le Code des impts, qui ont tous peu voir avec le TQM.
Le rsultat dexploitation est influenc par lvolution du taux de croissance et/ou de la productivit. Afin de comprendre les causes dvolution du rsultat dexploitation, les mesures suivantes sont aussi suivies :
Mesures de la croissance

Mesures de la productivit

Pourcentage dvolution des ventes.

Pourcentage dvolution de la marge


sur chiffre daffaires.

Pourcentage dvolution des actifs.

Pourcentage dvolution du profit


sur actifs.

Pourcentage dvolution du nombre


de salaris.

Repres de comparaison
Pour fournir un repre pour la performance des gagnants du prix, un
chantillon dentreprises de contrle a t dtermin. Les rsultats sont
donns pendant la priode de mise en place du TQM. De nombreux
managers croient que le TQM est moins bnfique aux petites entreprises, car elles ne sont pas en mesure de faire face aux cots levs de
mise en place ; ce qui nest pas toujours le cas.

Dire dexpert
Le TQM est un bon investissement, il agit sur le long terme et satisfait aux
attentes ralistes.
Source : Petite histoire de la qualit dite par le ministre de lIndustrie.

Groupe Eyrolles

Les organismes qui attribuent les prix utilisent diffrents rfrentiels


pour valuer lamlioration de la qualit et galement pour examiner les
candidatures. Par consquent, diffrents prix peuvent tre indicatifs de
diffrents niveaux de maturit dans les mises en place du TQM. On
considre le fait davoir obtenu un prix indpendant (par exemple le
prix Baldrige ou les prix dtat de qualit) comme un indicateur dun
TQM plus mature que celui reconnu par un prix fournisseur.

Groupe Eyrolles

(Japon)

Malcolm Baldrige
National Quality
Award
(tats-Unis)

Prix franais
de la Qualit

European Quality
Award

(France)

(Europe)

Historique

En 1951, par la JUSE*


partir des travaux
de E. Deming.

En 1987, par la loi


100-107
gouvernement
R. Reagan.

En 1992, par le
ministre de lIndustrie
et le Mouvement
franais de la qualit.

En 1991, par lEuropean


Foundation for Quality
Management (EFQM).

Priodicit

Une fois par an


en novembre (mois de
la qualit) au Japon.

Une fois par an en


octobre (mois de
la qualit) la MaisonBlanche.

Une fois par an


au printemps.

Une fois par an


en octobre.

Les rgionaux : de
novembre dcembre.
Le national :
au printemps.

Amliorer les
entreprises amricaines
(faire face la menace
japonaise).

Amliorer le niveau de
la qualit des PME/PMI
franaises.

Promouvoir et stimuler
la qualit totale avec
un rfrentiel
dautovaluation.

But de lpreuve

Vrifier que lentreprise


fonctionne bien dans
un mode PDCA.

Lentreprise doit prouver


par son management
quelle est dans une
dmarche qualit et
conomique.

Permettre aux PME-PMI


de tester leurs niveaux
de qualit.

Juger de la performance
de lentreprise en
tudiant de trs prs
les moyens mis en
uvre ainsi que
les rsultats obtenus.
/

185

Amliorer le niveau des


entreprises japonaises
tous les niveaux sur
le principe du PDCA
de E. Deming.

TQM

Objectif

Une vision densemble sur les diffrents prix

Prix

Deming Application
Prize

Admission

Ouvert toutes
les entreprises, mme
trangres, depuis
1988.
Trois catgories : PME
et PMI, grands groupes,
entreprises trangres.

(tats-Unis)

Prix franais
de la Qualit

European Quality
Award

(France)

(Europe)

Les entreprises doivent


avoir les siges sociaux
aux USA ; filiales si
50 % de leffectif est
aux USA.

Entreprises de moins
de 500 employs.

Entreprises, filiales,
divisions dont 50 %
des effectifs est en
Europe, et tre membre
de lEFQM.

Temps de prparation

5 10 recours un
expert japonais agr
par la fondation
Deming.

Variable suivant
la maturit de
lentreprise (2 ou 3 ans).

Variable suivant
la maturit de
lentreprise (1 ou 2 ans)
avant le prix rgional.

Entre 3 et 5 ans.

Nombre de laurats

4 8 par an.

70 par an.

500 rgional/1 par an.

15 par an.

Nombre de gagnants

4 8 par an.

2 par an.

47 national/1 par an.

1 par an.

Notation

700 1 000 points.

Plus de 700 points

Plus de 700 points.

Plus de 700 points.

Rcompense

Titre honorifique
au Japon. Crmonie
retransmise
la tlvision.

Titre honorifique,
avec la participation
du prsident de
la Rpublique.

Trophe, logo spcifique


pour lentreprise.

Prix reconnu dans


le monde des
entreprises.

*JUSE : Union of Japanese Scientists and Engineers.

Groupe Eyrolles

Les rfrentiels

(Japon)

Malcolm Baldrige
National Quality
Award

186

Prix

Deming Application
Prize

Chapitre 19

Zachman

HISTORIQUE
Le rfrentiel Zachman a t mis au point en 1987 par un ingnieur
dIBM, John Zachman. Il propose une matrice permettant de se reprsenter larchitecture dun systme dinformation dune entreprise. Le
concept est quune entreprise est un ensemble darchitectures qui peut
tre dcompos selon plusieurs points de vue, des niveaux varis.
RETENIR
Le rfrentiel Zachman est une matrice deux dimensions reprsentant
lentreprise :
une dimension horizontale contenant six types de groupes, utilisant six
types de modles. Le haut du schma reprsente la partie conceptuelle,
tandis que la partie basse est plus concrte.
une dimension verticale tablie sur un ensemble de questions, six interrogations, fond sur le modle de question du Qui, quoi, quand, o,
comment, pourquoi, plus connu sous le nom de QQQOCP.

DFINITION
La dimension horizontale les points de vue

Groupe Eyrolles

Porte (contextuelle)
Le point de vue du planificateur. Cette ligne dcrit les modles, larchitecture et les reprsentations qui correspondent aux limites de lorganisation
concerne.

188

Les rfrentiels

Modle mtier (conceptuel)


Le point de vue du propritaire. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les propritaires des process
mtier. Elle se concentre sur les utilisations habituelles dun produit.
Modle systme (logique)
Le point de vue du concepteur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les ingnieurs, architectes et toutes
les personnes qui doivent arbitrer entre les besoins et ce quil est techniquement possible de faire.
Modle de technologie (physique)
Le point de vue du constructeur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les techniciens, les ingnieurs
et les contractants qui modlisent et crent les produits.
Reprsentation dtaille (hors contexte)
Le point de vue des sous-traitants. Cette partie dcrit les diffrents lments inclus dans le produit final. Pour les dveloppeurs de logiciels,
cette partie correspond lintgration de module ou de composant en
provenance de lextrieur.
Le fonctionnement de lentreprise
Cette partie reprsente la relle mise en uvre des lments, cest lexistant dans toute sa complexit. Chaque vision est dfinie par plusieurs
questions. Ces six questions rsument les questions que se posent frquemment les personnes lorsquelles essaient de comprendre.
Source : fonde sur Zachman.

La dimension verticale les questionnements


Cest la composition du produit. Dans le cas dun logiciel, il sagit des
donnes. Zachman propose, pour chaque colonne, un modle dillustration.
Le modle est : Objet Relation Objet.

Groupe Eyrolles

Le Quoi ? (Donnes) En quoi est-ce fait ?

Zachman

189

Le Comment ? (Fonctions) Comment a fonctionne ?


Cette colonne correspond au fonctionnement et la transformation du
produit.
Le modle est : Processus Entre/Sortie Processus.
Le O ? (Rseau) O sont les lments les uns par rapport aux autres ?
Cette colonne sintresse lemplacement et aux connexions du produit.
Le modle est : Nud Lien Nud.
Le Qui ? (Personnel) Qui fait quoi ?
Cette colonne correspond au personnel, aux manuels, aux procdures
qui leur sont utiles pour faire leurs tches.
Le modle est : Acteur Tche Acteur.
Le Quand ? (Temps) Quand se produisent les choses ?
Cette colonne concerne les cycles de vie, les dures et les programmes
qui sont utiliss pour contrler lactivit.
Le modle est : vnement Cycle vnement.
Le Pourquoi ? (Motivation) Pourquoi les vnements arrivent-ils ?
Cette colonne correspond aux objectifs, plans et rgles qui guident lorganisation.
Le modle est : Finalit Moyens Finalit.
Source : fonde sur Zachman.

APPLICATION

Groupe Eyrolles

Chaque partie de la matrice Zachman expose une architecture, une reprsentation dune organisation. Chacune de ces parties peut tre dcrite
indpendamment des autres, nanmoins chaque partie a des interactions
avec les autres lments de la matrice.
Cette matrice permet de saisir la description de larchitecture dune entreprise. Elle met en relief les lments importants de la stratgie et permet
de comprendre quelles sont les interfaces existantes dans les diffrentes
couches de lorganisation. Une approche utilisant la mthode BPM (Business Process Management) est un complment intressant dans la vision
et la reprsentation de lentreprise.

Donnes
Quoi ?

Activits
Comment ?

Emplacement
O ?

Personnel
Qui ?

Temps
Quand ?

Motivation
Pourquoi ?

Liste des
lments
importants
pour lactivit

Liste des
processus
excuts par
lactivit

Liste des lieux


o est exerce
lactivit

Liste des
organisations
importantes
pour lactivit

Liste des
vnements
significatifs
pour le mtier

Liste des
objectifs mtiers
stratgiques

Modle mtier
(conceptuel)

Modle de
donnes
conceptuelles

Modle
mtier

Modle
logistique

Modle
hirarchique

Modle
temporel

Modle
dobjectifs

Modle de
donnes
logiques

Architecture
de programmes

Architecture SI
distribue

Interface
homme/
document

Structure
de traitement

Modle de rgle
mtier

Modle de
donnes
physiques

Modlisation
des systmes
(fonction
informatique)

Architecture
technologique

Matrice
organisation/
processus

Structure
de contrle

Modlisation
des rgles

Reprsentation
dtaille (hors
contexte)

Dfinition
des donnes

Programmes

Architecture
rseau

Architecture
de scurit

Dfinition
du calendrier

Spcification
des rgles

Le
fonctionnement
rl de
lentreprise

Donnes mtier
relles

Code du
programme

Rseau
physique rel

Organisation
mtier relle

Planning

Stratgie relle

Modle systme
(logique)

Modle de
technologie
(physique)

Groupe Eyrolles

Les rfrentiels

Porte
(contextuelle)
Planificateur

190

Le cadre
Zachman

Zachman

191

Dire dexpert
Un cadre adapt la structuration du rfrentiel
dentreprise
La structuration dun rfrentiel processus suppose une approche selon
deux dimensions : le prisme danalyse et le niveau de dtail.
Le prisme dfinit langle selon lequel on dcrit, et correspond aux colonnes du modle de Zachman ; le niveau de dtail correspond globalement
aux lignes.
Quand on se place un niveau macro, le modle est forcment orient
mtier et se veut indpendant des outils et technologies mis en uvre.
Toute cartographie se trouve donc ncessairement au croisement de ces
deux axes, un mme modle ne pouvant traduire tous les prismes et
tous les niveaux de dtail. De ce point de vue, le modle de Zachman
rpond ce besoin dorganisation du rfrentiel dans lequel tout modle
doit pouvoir se situer clairement au sein du damier.

Groupe Eyrolles

Source : bpms.info, Guillaume Decalf, du 4 avril 2008.

Les mthodes

Partie 3
LES MTHODES
SANS MTHODE, LE RISQUE AUGMENTE

194

Les mthodes

DFINITION
RETENIR
Capitalisation dun savoir-faire qui est standardis ; cette standardisation
est reprsente sous forme de dmarche, et a pour but de rpondre aux
attentes organisationnelles, fonctionnelles, techniques, stratgiques, scuritaires
Ex : La mthode scientifique. Ensemble des principes de base dun secteur,
dune activit spcifique connue.

Gnralits sur les mthodes


Les mthodes sont :
un ensemble de dmarches ncessaires matriser, afin datteindre
lobjectif fix initialement ;
un raisonnement logique, une analyse de lexistant, un constat, un
rapport, un plan daction, une capitalisation du savoir-faire.
Approches rflchies :
ensemble de procdures, de process (exemple de procdures dassemblage, pour un vhicule, un avion) ;
rglements, lois de comportement (Code de la route).

Son utilisation concerne diffrents sujets. Exemple : mthode danalyse


de la valeur, mthode AMDEC, mthode danalyse du risque Dans
bien des cas, grce la mthode employe, on cherchera rduire ou
prvenir un risque, une erreur, cela pour la partie prproduction ou
service. On cherchera aussi loptimisation de lorganisation, des processus, de tous les acteurs de lentreprise ; dans la plupart des cas, les critres cots, qualit, dlais et services sont associs.
La mthode est une aide pour les entreprises ; on peut faire la comparaison avec le savoir-faire (savoir-faire maison), il sagit dune approche
terrain.

Groupe Eyrolles

Le mot mthode dans le domaine professionnel a vu le jour dans les


entreprises industrielles, plus prcisment dans les bureaux dtudes et
dans les services dits mthodes . Il ny a pas que dans lindustrie que
les mthodes sont utilises ; dans les entreprises du tertiaire (services), le mot mthode est connu et utilis dans les directions qualit,
organisation, marketing, financire et TI.

Les mthodes

195

Liste des mthodes analyses dans cet ouvrage

Groupe Eyrolles

Mthodes

Dfinition

Chapitre

AMDEC

Analyse des modes de dfaillance, de leurs effets


et de leur criticit

BPM

Business Processus Management

BSC

Balanced Scorecard

BENCHMARK

Comparaison entre ce qui se fait dans lentreprise


et dans les autres entreprises

BP-GP

Pratiques de base et pratiques gnrales

CRAMM

Processus dvaluation tape par tape (physique,


matriels, logiciels, hommes)

EBIOS

Expression des besoins et identification des objectifs


de scurit (risques)

HOSHIN

Direction pour optimiser les objectifs prioritaires

ITBPM

IT Baseline Protection Model

JAT

Juste--temps (optimisation du systme logistique)

10

KAIZEN

Amlioration continue au sein de lentreprise

11

KM

Knowledge Management (base de connaissance,


de partage, dinnovation)

12

LEAN

Amlioration continue (chasse aux gaspillages)

13

MEHARI

Mthode permettant lanalyse des risques

14

OCTAVE

Operationally Critical Threat, Asset, and Vulnerability


Evaluation

15

PDCA

Amlioration continue (roue de Deming)


Plan-Do-Check-Act

16

SIX SIGMA

Chantier qualit, avec pour objectif de dgager


des gains importants et rapidement

17

TCO

Total Cost of Ownership (cot de possession)

18

TDBSSI

Tableau de bord des systmes de scurit


informatiques

19

Chapitre 1

AMDEC

HISTORIQUE
LAMDEC est ne dune prolongation de lanalyse fonctionnelle (ellemme une des bases de lanalyse de la valeur). Cest larme amricaine
qui est linitiative du dveloppement de lAMDEC. La rfrence militaire MIL-P-1629, intitule Procdures pour lAnalyse des Modes de
Dfaillance, de leurs Effets et de leur Criticit date du 9 novembre 1949.
CIBLE ATTEINDRE
Il sagit dune mthode dvaluation fonde sur les dfaillances dun process, dun produit ou dun service et qui permet didentifier le niveau de
fiabilit dudit process, produit ou service.

En 1988, lISO labore et publie une famille de normes ; il sagissait de


la srie des normes ISO 9000. Il faut savoir que le systme qualit des
quipementiers du monde de lautomobile, qui est le QS 9000, est trs
proche de la norme ISO 9000. Avec QS 9000, lutilisation de lAMDEC
fait partie des mthodes qui sont utilises par les quipementiers pour
leur planification qualit des procds, connue sous le sigle APQP.

Groupe Eyrolles

DFINITION
Il sagit dun process rgulier qui a pour objectif didentifier diffrentes
dfaillances, et qui permet de les traiter avant quelles narrivent, dans le
but de les supprimer en rduisant les risques associs.

198

Les mthodes

Le but de lAMDEC
Matriser les risques grce une tude des dfaillances possibles dun
systme, dun produit ou dun service, en imaginant tous les scnarii
possibles, en sappuyant sur une analyse des risques et de leurs consquences sur lutilisateur final avec pour principal but llimination ou la
rduction des pannes ayant les consquences les plus importantes sur
le systme, le produit ou le service.

Les diffrentes AMDEC


AMDEC Concept : systme non dfini dans ses dtails (non fig)
mais dont on connat les fonctions attendues.
AMDEC : systme dfini dans ses moindres dtails, les pices constituantes sont connues (plans) mais leur dfinition peut encore tre
modifie grce aux conclusions de lAMDEC.
AMDEC Process : enchanement de tches techniques et mcaniques, qui conduisent la fabrication dun produit et sont rassembles dans un synoptique.
AMDEC Moyen : machine ou outil gnrant une ou plusieurs tches.

APPLICATION
Les fournisseurs doivent utiliser lAMDEC dans la planification qualit
du procd et dans le dveloppement de leurs plans de contrle.
LAutomotive Industry Action Group (AIAG) et lAmerican Society for
Quality Control (ASQC) mettent les standards AMDEC en fvrier 1993.
Le travail en quipe est essentiel pour identifier les lments AMDEC.
Lquipe multidisciplinaire devrait tre constitue de personnes bien
informes avec un expert, le bureau dtudes, le fabricant et la qualit.

AMDEC
Il sagit dune anomalie qui empche le systme de fonctionner correctement. Par exemple, la photocopie est illisible.

Groupe Eyrolles

Mode de dfaillance

AMDEC

199

Effet
Il sagit de la consquence de la dfaillance pour lutilisateur du systme. Par exemple, la lecture de la feuille est impossible.
Criticit
Elle dtermine limportance relative de la dfaillance au sein du systme. Elle dpend de trois critres :
la gravit de leffet pour lutilisateur ;
la frquence dapparition de la dfaillance, par exemple la photocopieuse a trs souvent des problmes avec son bac de papier A4 ;
le risque de non-dtection, par exemple je nai pas relu les ditions
papier avant la prsentation.

Les grandes tapes de lAMDEC


Voici les grandes tapes de lAMDEC :
Lanalyse fonctionnelle : dfinit les limites du systme tudi. Tout ce
qui est en dehors du systme sera considr comme tant conforme
lors de lanalyse.
Recherche des fonctions principales du produit : fonctions pour lesquelles le produit a t conu.
Recherche des fonctions contraintes du produit : contraintes auxquelles le produit doit rpondre (normes environnementales, rsistance mcanique).
Recherche des dfaillances : identification prcise des causes de la
dfaillance. Par exemple : la mauvaise lasticit du matriau a
entran la dformation des contacts lors du transport.

Groupe Eyrolles

Cotation selon les critres AMDEC : on attribue un niveau de criticit


chaque dfaillance. Cela sert hirarchiser les diffrents modes de
dfaillance. Les actions les plus critiques doivent faire lobjet dactions
prventives.
Chacun de ces trois critres (gravit, frquence, dtection) fait lobjet
dune note dautant plus leve que le critre est dfavorable.

200

Les mthodes

Gravit pour le client

Sans effet sur le produit et son utilisation Non dtectable par le client.

Anomalie dtectable mais ne remettant pas en cause la conformit


la spcification Dtectable par le client.

10

Le produit nest plus conforme la spcification, llment dfectueux


continue remplir sa fonction Le client est mcontent.

15

Rupture de la fonction. La scurit RAS Le client est mcontent, retour


produit.

20

Rupture de la fonction qui entrane un problme de scurit.

F
(note)

Frquence

Le cas ne peut pas se prsenter.

Le cas ne sest jamais rencontr sur un produit de conception similaire.

10

Ce cas ne sest jamais rencontr sur un produit similaire mais sest


dj prsent sur un produit de conception diffrente.

15

Le cas sest dj prsent sur un produit similaire.

20

Incident rptitif que lon ne matrise pas.

D
(note)

Dtection par lentreprise

On dtecte le dfaut 100 % Impossibilit dassemblage.

Les oprations de contrle ne laissent que peu de chances au produit


dfaillant dtre livr au client % de dtection son maximum.

10

Les oprations actuelles ne permettent pas une bonne dtection


des dfauts Contrle mais pas de bonne dtection.

15

Les oprations de contrle se limitent un contrle subjectif, risque


de ne pas tout voir Contrle subjectif qui dpend de lindividu.

20

Aucune dtection du dfaut possible.

La criticit est dtermine en multipliant les trois notes prcdentes


entre elles :
GFD

Groupe Eyrolles

G
(note)

AMDEC

201

Le rsultat permet de dterminer le seuil de criticit = niveau de priorit


de risque (NPR). Pour hirarchiser les NPR, dont les causes de dfaillance, un diagramme est ralis. Il permet de prsenter les risques de
dfaillance dtects au cours de cette tape.

Dire dexpert
Les forces de lAMDEC
Travail de groupe (quipe de 4 8 personnes).
Acquisition dune bonne comprhension du produit par tous les
membres de lquipe.
Capitalisation de lexprience pour les futures tudes.
Planification et jalonnement de projet vis--vis des actions correctives.
tre un indicateur de fiabilit prvisionnelle.

Les limites de lAMDEC


LAMDEC a quelques limites :
peut tre lourd mettre en place pour des systmes complexes
(conseil : dcomposer en sous-systmes) ;
repose beaucoup sur lexprience passe, il faut avoir du recul sur la
vie des produits ; peut tre complmentaire avec des outils comme
le brainstorming, larbre de dfaillances ;
les cotations sont soumises la libre interprtation des intervenants.
Plus les intervenants sont nombreux et de secteurs varis, et plus les
cotations sont raisonnes.
LAMDEC permet la matrise des risques par la prvention :

Groupe Eyrolles

une meilleure comprhension des causes et de leur importance ;


une intervention sur le produit en avance de phase avant quil ne soit
trop tard (la frquence) ;
une mise en place des contrles en production des tapes judicieuses afin dviter de livrer des produits dfectueux (la dtection) ;
une anticipation des problmes et une prvision des actions correctives (la gravit).

Chapitre 2

BPM

HISTORIQUE
Le Business Processus Management (BPM) existe depuis prs de
vingt ans ; son principe est n avec le concept de workflow au dbut des
annes 1980. Toutefois, la notion de processus date daprs-guerre, avec
les tudes amricaines inspires des techniques de qualit japonaises.
Edward Deming est lun des dignes reprsentants de cette poque. BPM
concerne beaucoup dentreprises qui utilisent des processus.

DFINITION
BPM permet de matriser la comprhension des processus, de les organiser, voire de les planifier et galement de les mesurer, dans une vision
de performance pour lentreprise.
La mthode BPM sinscrit dans lamlioration continue des services et
des produits que ralise et fournit lentreprise et, cette fin, sappuie sur
un ensemble de processus mtiers.

APPLICATION

Groupe Eyrolles

RETENIR
La mise en application de BPM nest pas toujours facile ; elle repose sur une
forte sensibilisation des quipes afin davoir une vritable appropriation
de la mthode par les mmes quipes, car qui dit processus dit obligatoirement organisation. La conduite du changement est importante dans la
mise en place de BPM.

204

Les mthodes

Pour les entreprises qui sont dans des contextes en pleine mouvance,
par exemple en cas de fusion, dachat, dacquisition de nouvelles socits, ou dans un contexte environnemental comme la mondialisation et
le respect des rglements internationaux, cela demande une vision
cohrente des informations et des organisations (processus), en dveloppant agilit/ractivit et modularit.
On voit bien que la vision stratgique et la vision terrain sont trs lies.
La mise en place de BPM dans lentreprise exige le suivi dun ensemble
de rgles ou dtapes. Lensemble des rgles est proche de la mthode
du PDCA, do limportance de lamlioration continue au sein de la
mthode BPM.
Le schma ci-dessous permet de prsenter les grandes tapes du BPM
dans lentreprise.
LENTREPRISE ET LES PROCESSUS MTIERS

Comprendre Analyser
Analyse
des
acteurs

Analyse
des
processus

Mesurer
Mesures

Analyser
Analyse

Modliser
Amlioration
continue

Amliorer
Amlioration
des
processus

LES FEMMES ET LES HOMMES DE LENTREPRISE

La force de BPM est de pouvoir laborer et traiter lensemble du cycle


de vie des processus mtiers :
modlisation ;
excution ;
contrle ;
analyse ;

Groupe Eyrolles

identification ;

BPM

205

optimisation ;
simulation.
Il est possible de modliser les interdpendances qui existent entre les
personnes, les applications informatiques et les informations. Une automatisation de ces interdpendances est faire, ainsi quune coordination
des processus oprationnels, et cela du dbut la fin du processus ; ne
plus penser domaines spcifiques ou activits compartimentes, mais
avoir une vision transverse. Trs proche des grands principes de la qualit, lapplication de BPM doit permettre damliorer et doptimiser lensemble des processus et surtout les processus les plus stratgiques
pour lentreprise.
Exemple : les processus qui permettent de dgager une relle plusvalue par rapport aux concurrents. Cela fait partie du niveau dagilit de
lentreprise.
Lentreprise devra sappuyer sur des solutions TI, et plus exactement sur
des offres (logiciel). Les offres sont de plusieurs natures, avec des produits aux fonctionnalits diverses et varies, issues de technologies de
domaines diffrents comme lintgration, la gestion documentaire, le
workflow, la modlisation, les applications dites intgres.
DANGER
Il est conseill de faire une analyse de lexistant des processus organisationnels avant de faire lacquisition du futur outil.

Groupe Eyrolles

Le march conomique est en constante volution (OPA, joint-ventures).


Dans les entreprises, quand on parle dorganisation, dans beaucoup de
cas, les processus mtiers sont revoir, optimiser, supprimer, remplacer
BPM est dans une phase de forte consolidation. Le march conomique
autour de BPM est toujours en phase de croissance et dvolution. Les
acteurs du middleware et de lintgration applicative interviennent vivement sur de nouvelles propositions afin de renforcer la partie gestion des
interactions humaines et la gestion documentaire.

Ce quapporte BPM lentreprise


Les gains directs ou indirects de BPM pour lentreprise sont de diffrentes natures. Au niveau des services ou des dpartements, les mtiers

206

Les mthodes

sont dcoups en modules, ce qui permet davoir une bonne vision de


lorganisation ; chaque mtier est identifi, on en connat le primtre
daction, le qui fait quoi est connu de tous. Il est alors plus facile de
proposer des amliorations et cela demande une optimisation des processus.
Pour tre efficace, BPM est prsent au sein du systme dinformation.
Celui-ci a besoin dune organisation autour des processus, puisquil est le
garant de la circulation des flux dinformations, quel que soit le service
concern de lentreprise (finance, comptabilit, achats, ventes, commandes).
La complexit du systme dinformation demande une parfaite comprhension de la gestion des flux (les entrants, les sortants), et une bonne
vision des processus qui sont lis lorganisation de lentreprise.
BPM conduit naturellement le systme dinformation sorienter vers
des amliorations, des volutions majeures en termes dautomatisation,
dindustrialisation des tches que ralisent les femmes et les hommes de
lentreprise.

Dire dexpert
Lentreprise qui souhaite se lancer dans la mise en place dune dmarche
BPM devra avant tout analyser son existant, identifier les points forts et
les faiblesses de son organisation, le nombre de processus oprationnels, les principaux acteurs Ensuite, en accord avec la direction, elle
sera en mesure de mieux cibler son besoin ; il ne faut surtout pas partir
trop vite sans connatre parfaitement son organisation et les processus
associs.

cet effet, quatre facteurs importants sont prendre en compte :


le
le
le
le

facteur
facteur
facteur
facteur

analytique ;
culturel de lentreprise ;
TI de lentreprise ;
humain, quil ne faut pas oublier.

La mthode de management par les processus a encore de belles annes


venir ; dici une dizaine dannes, BPM sera indispensable pour les
entreprises.

Groupe Eyrolles

BPM

207

PILOTAGE PAR LES PROCESSUS1


Lapproche processus consiste focaliser, pour mieux rpondre aux
demandes de chaque client de lentreprise, sur la chane des diffrentes
contributions que chaque entit de lentreprise ou de ses sous-traitants
doit apporter. Cette manire transversale de prendre en compte les
diffrentes composantes de la fabrication et de la dlivrance du
produit ou du service attendu permet de remettre le client au centre des
proccupations de lentreprise et, de ce fait, de lui apporter des rponses plus adaptes, plus ajustes.
Cette approche nest pas nouvelle. En effet, les organisateurs ou les
informaticiens, par exemple, sintressent depuis longtemps formaliser
les flux dinformations, que ce soit pour construire les applications ou
organiser lentreprise.
Diffrents facteurs conduisent aujourdhui lui donner une nouvelle
dimension :
les organisations se sont cloisonnes (perte de vision globale) ;
le nombre croissant des processus (accroissement du besoin de
matrise) ;
lexigence accrue des clients (produit appropri et personnalis) ;
la prennisation des savoirs (dpart de nombreux acteurs en
connaissance) ;
les fortes contraintes financires (besoin de matriser les budgets de
dveloppement informatique) ;

Groupe Eyrolles

lexistence de nouveaux outils qui offrent des possibilits nouvelles


(cartographie simulation restitution).
Ces quelques lments de diagnostic montrent quau sein des entreprise,
il y a une perte de vision globale et une diminution de la capacit
rpondre aux attentes des clients. Ils impliquent, en consquence, quil
faut remettre le client au centre des proccupations, en matrisant de
bout en bout les lments concourant sa satisfaction. Cest ce que permet une approche processus. Cest la raison pour laquelle, depuis quelques annes, des entreprises se soucient de recenser leurs processus, de
les dcrire, et de les mettre en pilotage.
1. Michel Raquin, prsident du Club des pilotes de processus (C2P), ancien directeur de lorganisation au Crdit Lyonnais.

208

Les mthodes

Le pilotage par les processus ncessite une implication forte de la direction gnrale, la nomination dun pilote de processus pour chaque sousensemble ou domaine, la dtermination dobjectifs par domaine de
processus en lien avec la stratgie de lentreprise et la conduite dactions
damlioration ou de reconstruction des processus. On met en place une
vritable organisation matricielle qui ncessite une large coopration
entre les pilotes de processus et les responsables marchs/mtiers. Cest
lensemble de lentreprise qui est mise sous tension.

Groupe Eyrolles

Enfin, le pilotage par les processus nest quun moyen pour atteindre les
objectifs et non une fin en soi.

Chapitre 3

BSC

HISTORIQUE
En 1992 apparat pour la premire fois le terme Balanced Scorecard
dans la Harvard Business Review. Les initiateurs du concept BSC sont
Robert S. Kaplan et David P. Norton. Par la suite, ils ont ralis un bestseller intitul The Balanced Scorecard.

DFINITION
Il faut savoir que le concept du tableau de bord existe depuis plus de
vingt ans, faire le lien entre les chiffres (financiers) et les mesures ou les
valeurs lies lactivit de lentreprise na jamais t ralis auparavant, et
cela de manire officielle. Mettre en relation une organisation, des processus, par rapport des mesures financires, organisationnelles, qualitatives
(clients), ressources humaines (formations), avec comme fil dAriane la
stratgie de lentreprise, nest pas chose facile. Les besoins des directions
gnrales voluent, de nouvelles informations sont prendre en compte,
exploiter : le Balanced Scorecard rpond entirement ces exigences.

Groupe Eyrolles

RETENIR
Les activits budgtaires et financires ne sont plus les seules informations
pertinentes que lon va retrouver dans les tableaux de bord ; les nouvelles
gnrations des tableaux de bord permettent de mesurer la performance
et lefficience de lentreprise en relation avec les directives stratgiques de
celle-ci.

BSC permet toutes les directions, dont les directions plus oprationnelles, de remonter des informations pertinentes sur lentreprise pour la

210

Les mthodes

direction. Nous lavons dit, les besoins voluent trs vite, il faut donc tre
trs ractif. Savoir ce que pense prcisment le client (le client final) est
essentiel, et le droit lerreur nest pas admissible, la fois par rapport
la concurrence et au march conomique (les clients, les associations de
consommateurs). Cest ainsi que les directions se doivent de matriser
lensemble des processus de leur entreprise et de savoir interprter les
mesures, les chiffres, toutes les donnes quelles centralisent.
Balanced Scorecard identifie quatre axes importants pour le management de la stratgie au sein de lentreprise ; cela est li un nouveau
mode de management, le management participatif, qui est plus individualiste, fond sur les rsultats.
Un des principes de la mthode BSC repose sur le fait que le salaire du
manager se calcule partir des rsultats de sa performance et cela par
rapport aux quatre axes de la dmarche (finance, processus internes,
clients, apprentissage/formation).

APPLICATION
Tableaux de bord
Lapplication de la mthode BSC suppose prcisment de connatre la
volont de la direction gnrale. Il faut que celle-ci comprenne bien
que la mise en place de la mthode exige de la rigueur, de la persvrance, une nouvelle organisation, de nouvelles responsabilits et des
prises de dcision communes : il sagit pour lentreprise de changer sa
stratgie, et BSC permet deffectuer cet accompagnement.
laxe financier : les bnfices raliser, les rductions des cots, les
retours sur investissements, la recherche de solutions moins coteuses, les nouveaux partenaires, une prsentation des rsultats auprs
des actionnaires pour les dcisions, la confiance conserver
laxe processus interne : tous les processus qui permettent doffrir un
service de qualit auprs des clients finaux, les processus dits cls de
lentreprise ;
laxe client : les actions menes par le marketing, la force de vente,
le service aprs-vente, les rsultats des enqutes de satisfaction
auprs des clients ; en fait, tout ce qui va fidliser les clients et en
apporter de nouveaux ;

Groupe Eyrolles

Quatre axes essentiels sont prendre en compte :

BSC

211

laxe apprentissage/formation interne/organisation : les comptences, les connaissances, la matire grise de lentreprise, les formations
de nouveaux produits, la formation la qualit tous les niveaux
de lentreprise, la rvision des processus, loptimisation des processus et le systme dinformation, qui devra voluer lui aussi.
Il faudra nommer des responsables ou propritaires de processus pour
ces quatre axes essentiels et responsabiliser les acteurs oprationnels
sur les rsultats attendus, les objectifs fixer

Client

Finances

Carte
stratgique

Processus
internes

Apprentissage
organisationnel
Source : Norton et Kaplan, The Balanced Scorecard.

Le point central du systme est la carte stratgique : Chaque mesure


slectionne pour le Balanced Scorecard doit tre un lment dune
chane de relation de cause effet exprimant lorientation stratgique de
lentreprise. (Robert S. Kaplan, David P. Norton, Le tableau de bord
prospectif, ditions dOrganisation, 2003).

Groupe Eyrolles

La mise en place dune mthode BSC et les diffrentes phases


Voici les diffrentes phases de la mise en place dune mthode BSC :
Identifier lexpression de besoins de la direction.
Avoir une vision hlicoptre.
Prciser la vision trois ans.

212

Les mthodes

Identifier les facteurs cls de succs.


Dfinir avec eux quatre priorits en relation avec :
la finance ;
les clients ;
les processus internes ;
lapprentissage organisationnel.
Dfinir des indicateurs pertinents pour les quatre priorits.
Nommer des pilotes processus/indicateurs (volontariat).
Mesurer, comparer les rsultats par rapport aux objectifs fixs
(atteints, drives) et proposer un plan daction afin de recadrer les
rsultats cycle PDCA.
Construire le tableau de bord avec les indicateurs cls.
Communiquer tout au long de la mise en place de la mthode (direction, cadres).

La vision hlicoptre

Qui sont les


fournisseurs ?

Quels sont nos


savoir-faire cls ?

Qui sont les


partenaires ?

Qui sont nos


clients cls ?
Quels sont les changements
cls en cours dans
les trois ans venir ?
Qui sont
les autres
acteurs ?

Attention, ce type de dmarche sinscrit dans le temps (il faut compter


en moyenne douze mois pour avoir des rsultats sur lensemble des
quatre axes).

Groupe Eyrolles

Qui sont les


comptiteurs
cls ?

BSC

213

Dire dexpert
Les avantages du BSC

Groupe Eyrolles

Les quatre axes essentiels de la mthode BSC se traduisent par des indicateurs qui ont pour principale mission dapporter une vision terrain (oprationnel) et stratgique (nouveau march, achat, fusion, joint-venture)
sur la situation prsente, mais permettent galement de dgager des tendances pour le futur.
Exemple : des dcisions sont prendre pour les aspects processus
internes (formation prvoir), il sagit bien daction courte dure
dans le temps, alors que pour laxe clients (prochaine campagne publicitaire, offre commerciale) il faut la prparer et prvoir le budget. Il faut
se poser des questions : doit-on fidliser les clients actuels ? Doit-on
souvrir de nouveaux clients ?
Il sagit dune vritable mthode de management pour la direction gnrale.

Chapitre 4

Benchmark

HISTORIQUE
Le benchmarking est apparu aux tats-Unis. Il fut utilis par Rank Xerox
dans les annes 1980 pour amliorer son cycle de commandes. Cette
socit se serait compare non dautres fabricants de copieurs, mais
au vendeur de vtements par correspondance L.L.Bean.
Le benchmarking est un outil de management qui consiste analyser la
place dun organisme dans son contexte conomique puis trouver des
exemples dabord galer puis dpasser pour atteindre un niveau
dexcellence dans toutes les composantes de son activit. Cette mthode est apprcie des entreprises ; elle sinscrit dans une dmarche de
progrs.

DFINITION
Le benchmarking est souvent compar au processus car, comme le processus, il a pour fonction dapporter en sortie une relle plus-value dans
le traitement des informations.

Groupe Eyrolles

Le benchmarker
Le benchmarker est la personne qui pilote un projet, il met en uvre le
benchmarking. Celui-ci pouvant sappliquer au management de tous les
secteurs dune entreprise (flux financiers, ressources humaines, matrise
de lenvironnement et de la qualit), la fonction principale du benchmarker pourra tre diffrente selon la partie du management gnral.

216

Les mthodes

Le benchmark
Pour certains, le benchmark est un objectif, mais selon la dfinition cidessous, cest un repre qui doit dboucher sur des objectifs. The American Heritage Dictionary of the English Language donne une dfinition
plus large du benchmark :
RETENIR
Benchmark Un standard par rapport auquel quelque chose peut tre
mesur ou valu : linflation est une grave remise en cause dides conomiques et de benchmarks apparemment tablis.

APPLICATION
Au plus haut niveau
Lorsque la direction constate que tel ou tel organisme externe russit
mieux sadapter un des lments quelle sest fixs dans ses objectifs
(par exemple, la ractivit la conjoncture), il est de son intrt quelle
puisse comprendre les raisons dune telle diffrence. Elle le choisira
comme organisme phare . Le benchmarking lui fournira les lments
pour stalonner par rapport lui. Lorganisme phare clairera la voie
que la direction devra prendre pour devenir plus innovante, plus efficace, plus efficiente, en un mot plus performante.

Au niveau des processus


Le benchmarking orient processus compare des systmes identiques,
quel que soit le secteur dactivit : le traitement dune commande, dune
facturation, par exemple. Ce type de benchmarking peut tre celui qui
offre la meilleure rentabilit, mais cest celui qui est le plus difficile
faire accepter car il change les manires de faire, les habitudes, et parfois
mme touche la culture de lentreprise. Il peut aussi tre trs diffrent
de ce qui se pratique gnralement dans la profession, voire innovant.

Performances et cots
Lorganisme peut galement sinquiter de la performance de ses produits auprs du client et des cots quils induisent. Cette interrogation
peut intervenir tous les stades de la vie du produit.

Groupe Eyrolles

Nos produits sont-ils les meilleurs ?

Benchmark

217

Phase de conception
la conception, le benchmarking permettra de valider le cahier des
charges. cet effet, dautres outils sont utilisables. Aprs lanalyse fonctionnelle de plusieurs produits concurrents ou similaires et lattribution
de notes pondres, une analyse de la valeur pourra tre dclenche. Il
sera ainsi possible de concevoir, ds lorigine, le produit le mieux
adapt au march vis.
Phase dindustrialisation
Lors de lindustrialisation, la comparaison des projets avant investissement avec des ralisations relles (visites) ou supposes mises en
uvre pour des produits concurrents, similaires ou transposables, est
souvent un benchmarking utile.
Phase de production
En production, le benchmarking permet de comparer tous les aspects
des produits de lentreprise ce qui se fait de mieux sur le march. Par
exemple, notre logiciel de gestion documentaire est-il aussi convivial
que le logiciel achet pour le service contrle ?
Benchmarking et management
Il est important que le benchmarking devienne partie intgrante du processus de management utilis par lquipe dencadrement pour prendre
ses dcisions. Il est par exemple ais de demander, lorsque les actions
viennent en discussion, de se fonder sur les rsultats dun benchmarking.
Benchmarking et conception
Ce point a dj t abord pour la conception des produits. Il en va de
mme lors de la cration dune nouvelle activit, dun nouveau service.
Concevoir du neuf sans savoir situer lexistant, cest dj concevoir du
dpass.

Groupe Eyrolles

Benchmarking et analyse de la valeur


Le processus analyse de la valeur utilise la dmarche intellectuelle du
benchmarking en comparant non seulement des solutions existantes
internes ou externes dans des domaines compltement trangers, mais
aussi des projets et des solutions qui ne vivent que dans limagination
des crateurs.

218

Les mthodes

Benchmarking et reengineering
Le reengineering est un processus visant essentiellement les processus
oprationnels. Le benchmarking peut y avoir sa place condition de
bien dfinir les benchmarks qui seront soit des sous-processus, soit des
lments de la rimplantation. Il peut faire jaillir des ides dans lquipe,
surtout si elle prend comme rfrence des entreprises dautres secteurs.
Benchmarking et fournisseurs
Il est ncessaire dinclure les fournisseurs dans la chane des processus
afin que le produit quils livrent soit, lui aussi, optimal. Le benchmarking
peut remettre en cause le stade de fourniture, les critres de rception,
voire certains processus internes du fournisseur. Il peut ainsi apparatre
plus performant que le stockage soit report chez le fournisseur et quil
organise lui-mme des transports vers les clients.
Benchmarking et systmes de management de la qualit
Lobjectif essentiel des systmes de management de la qualit est de
satisfaire les exigences des clients, ce qui implique de collecter des informations qui serviront de base ltablissement des normes. Le benchmarking peut participer lamlioration du systme de management de
la qualit en intgrant tous les stades depuis llaboration jusqu la mise
en place.
RETENIR

Groupe Eyrolles

Le benchmarking est un processus de comparaison entre des ralisations


de lorganisme analys et celles dun organisme interne ou externe oprant dune faon juge plus performante, que ce dernier soit ou non dans
le mme contexte. Comme tout processus, le benchmarking doit lui-mme
faire lobjet de remises en cause frquentes.

Chapitre 5

BP-GP

HISTORIQUE
Cest en 1996 que la premire version du modle BP-GP est arrive ;
ensuite, la mthode dvaluation est apparue en 1997. Cette mthode
provient de SSE-CMM.

DFINITION
RETENIR
Mthode qui permet de dfinir la frontire entre les projets/organisation
et la scurit. BP correspond aux pratiques de bases et GP correspond aux
pratiques dites gnrales.

Concernant les pratiques de base (BP), elles sont au nombre de 129 et


sont dcomposes en 22 processus spcifiques, ce qui est consquent.
Processus traitant de lorganisation et de la gestion de projet (origine
SSE-CMM) :
garantir un service de qualit tout au long de la mise en application
de la mthode ;

Groupe Eyrolles

suivre et dfinir des plans daction et les mener pour les aspects de
configuration et pour les risques du projet ;
laborer des plans daction pour le technique ;
vrifier si les actions sont ralises pour le technique ;
identifier et laborer les processus organisationnels ;
optimiser les processus organisationnels ;

220

Les mthodes

suivre dans leur ralisation les diffrentes volutions et changements


concernant les produits, les biens et les services ;
sassurer que le support ralise ce que lon attend de lui ;
assurer une vritable rversibilit.
Comme toute gestion de projet, on retrouve des jalons tels que la gestion
des risques, le contrle qualit, le transfert de comptences mais certains jalons sont absents tels le plan de communication, qui est important
dans la gestion de projet, les bilans de projet, la gestion documentaire.
Les autres processus, qui traitent de la scurit informatique, sont :
vrifier ladquation des contre-mesures ;
estimer et peser les impacts ;
valuer les risques ;
mesurer les menaces ;
apprcier la vulnrabilit ;
piloter les aspects scurit ;
identifier les besoins en termes dassurance ;
vrifier ltat davancement des actions ;
remonter des informations ;
contrler et dcider des actions de scurit.

APPLICATION
La mise en application des pratiques gnrales (GP) concerne les 22 processus des pratiques de base (BP).
tat

Amlioration permanente.

Ralisation d'audits, de suivi, d'inspection (qualit).

Utilisation commune (tout le monde).

Organisation projet (calendrier et suivi d'avancement).

Ralisation.

Pas de ralisation (point mort).

Groupe Eyrolles

Niveau de maturit

BP-GP

221

Les six niveaux de maturit sont dtermins : non ralis, ralis, planifi
et suivi, standardis, contrl qualitativement, en amlioration constante ;
toutes les pratiques dites courantes sont ainsi trouves et dfinies.

Dire dexpert

Groupe Eyrolles

Plus une entreprise connat, gre et contrle un processus, plus le niveau


de maturit de ce processus scurit sera lev.

Chapitre 6

CRAMM

HISTORIQUE
Cest le gouvernement britannique qui est lorigine de la mthode
CRAMM ; elle est apparue en 1987. Au dpart, elle concernait les administrations, puis elle sest oriente vers les entreprises du secteur priv. Elle
a subi de nombreuses rvisions, sa dernire version tant la version 5. Le
service de scurit du gouvernement britannique est propritaire de la
mthode.

DFINITION
CIBLE ATTEINDRE
Lutilisation de la mthode CRAMM nest pas spcifique une infrastructure informatique ou technologie informatique particulire, elle peut
sappliquer lensemble des systmes informatiques, que lon soit en phase
de mise en place, dvolution ou de changement du systme dinformation.

Groupe Eyrolles

La mthode CRAMM prend en compte cinq aspects :


laudit (audit faire avant et audit faire aprs) ;
limplmentation, cest--dire instaurer la mthode au sein dune organisation ;
la vulnrabilit, cest--dire rechercher les maillons faibles quil
faut renforcer ;
les menaces, les risques ;
lexistant dans lequel il sagit de prvoir o, quand et comment un
incident, un problme, une catastrophe, pourrait se produire dans un
futur proche.

224

Les mthodes

APPLICATION
Mettre en application la mthode CRAMM demande de faire des points
de contrle phase aprs phase, aussi bien pour les activits mtiers que
pour les activits organisationnelles.
On prend en compte le lieu de travail des personnes, les bureaux, les
entrepts, ainsi que les composants informatiques, comme lensemble
des logiciels et progiciels quutilise un service ; lautre composant informatique concerne les crans, les imprimantes, le mainframe.
La mthode CRAMM doit connatre lexistant du parc informatique ; le
meilleur moyen est de faire un inventaire la fois matriel et logiciel du
systme dinformation. Un chiffrage est effectu pour toute la partie
matrielle ; et pour la partie logicielle, on raisonne en termes dimpact
business, dindisponibilits, de pertes de donnes il sagit de la prise
de connaissance de lexistant et de son valuation.
Aprs cette prise de connaissance et cette valuation, il sera possible
dattribuer chaque problme un scnario. Lide pour le systme dinformation est de connatre lavance lensemble des problmes possibles, et
de voir et danticiper ce qui peut se passer et ce qui peut tre fait. ce
niveau, il sagit de lvaluation des menaces et des vulnrabilits.
Lavantage de la mthode CRAMM est quelle dispose de sa bote
outils, qui est constitue de 300 contre-mesures qui sont organises en
70 groupes spcifiques. En fonction du risque, il sera dcid via loutil
de mettre en place ou non une contre-mesure. Il sagit de la slection
des contre-mesures.

Dire dexpert

Groupe Eyrolles

Il existe diffrentes dclinaisons de la mthode (ex : CRAMM Express et


CRAMM Expert) qui sont toutes accompagnes dun outil.

Chapitre 7

EBIOS

HISTORIQUE
En 1995, la mthode EBIOS (Expression des besoins et identification des
objectifs de scurit), dorigine franaise, est cre par la DCSSI (Direction centrale de la scurit des systmes dinformation). La mthode
EBIOS concerne toutes les entreprises quelle que soit leur taille.

DFINITION
RETENIR
Lanalyse des risques est au centre de la mthode EBIOS. La phase principale concerne la mthode danalyse de lexistant ; la phase finale permet
didentifier toutes les exigences de scurit fonctionnelles.

Une mthode doit tre simple dutilisation et conviviale ; EBIOS sinscrit


dans cette logique car il sagit dun guide qui est dcoup en cinq phases. Or, qui dit guide dit conseils souvent pratiques, trs oprationnels.
De plus, il est possible de trouver le guide sur le site Internet de la
DCSSI.

Groupe Eyrolles

Les grands principes de la mthode EBIOS


Analyser lexistant (activits, processus, livrables qui doivent tre protgs). De cette analyse, il faut regarder les risques et les ventuelles
failles de linfrastructure du systme informatique (architectures techniques et fonctionnelles).

226

Les mthodes

partir des diffrentes analyses, il sera possible de faire une synthse et


de proposer un plan daction afin de rduire les risques. Pour aider
synthtiser les rsultats, la DCSSI propose un logiciel gratuit et un
ensemble de documents (rapports) qui font office de livrables pour
les diffrentes directions de lentreprise (direction gnrale, direction du
systme informatique et de lorganisation, direction de la scurit, direction financire).
Pour les activits traitant des donnes classes dfense , le document
ou rapport issu de loutil de la DCSSI est indispensable. La mthode
EBIOS a toute son importance en matire de gestion des risques au sein
des entreprises franaises.

APPLICATION
Un des points forts de cette mthode est quelle a t pense de faon
tre autonome, cest--dire quelle na besoin pour entrer en application que dun petit groupe de personnes comptentes et volontaires, en
interne lentreprise ; elle na pas besoin daide ou dassistance extrieure (prestation dexperts en scurit informatique). Son rle sera de
conduire la mthode au sein de lentreprise.
Attention, cela ne veut pas dire non plus que le petit groupe projet
(interne) doit travailler tout seul dans son coin non, au contraire, un
grand nombre de services, voire tous les services de lentreprise, sont
concerns. La communication est au rendez-vous bien entendu.
Comme il sagit dune dmarche projet, il faut quelques prrequis qui
ont la mme smantique pour tous, les mmes dfinitions, les mmes
orientations.
La gestion des risques est importante dans la mthode EBIOS ; son but
est dapporter toute laide ncessaire et indispensable pour laborer des
mesures de scurit fonctionnelles et techniques quil faudra mettre en
place dans lentreprise autour du systme informatique.

EBIOS nest pas une mthode ferme, elle est complmentaire des normes
internationales comme la norme ISO 17799 et la norme ISO/IEC 15408 qui
concerne les critres communs ; cette position lui donne toute son importance vis--vis des entreprises.

Groupe Eyrolles

RETENIR

EBIOS

227

Les cinq phases de la mthode


N

tape

Prise de connaissance
et tude de la situation

Descriptif de ltape

Primtre tudier.
tude de lorganisation.
tude de lorganisation cible.
Identification de lensemble des composants
de la cible.

Objectif souhait et
dfinition des besoins
en termes de scurit

Formalisme du besoin.
laboration des documents propres
aux besoins.
Rcapitulatif de lensemble des besoins
de scurit.

Analyses et tude
des menaces

Investigation et analyse.
Analyse des sources des risques et des menaces.
Analyse des faiblesses.
Synthse et standardisation des menaces.

Cadrage des besoins


et dfinition des besoins
de scurit

Relations menaces, besoins.


Rapprochement des menaces par rapport
aux besoins et aux attentes.
Standardisation des attentes et objectifs en
termes de scurit.
Dcisions des seuils minimes en termes
de scurit.

Choix des exigences


et dcisions dactions du
respect des engagements
de scurit

Choix et dcision des exigences de scurit.


Dcisions sur les engagements de scurit
fonctionnelles.
Dcisions sur les engagements de scurit
dassurance.

Groupe Eyrolles

Dire dexpert
Trs complte, la mthode peut tre acclre par lutilisation des diverses listes et bases de connaissance ; tout en restant exhaustive et flexible,
la mthode prcise elle-mme les points pouvant tre modifis, suivant
les caractristiques de lorganisation tudie.

Chapitre 8

Hoshin

HISTORIQUE
La mthode Hoshin est originaire du Japon. Elle est apparue fin 1960.
Les grandes entreprises japonaises ont contribu fortement son dveloppement. Cette mthode est galement appele le management par
perce ; elle fait partie des autres mthodes du management de la qualit totale.

DFINITION
RETENIR
Il sagit de progrs important et stratgique pour lentreprise, progrs
quelle doit mener afin datteindre les objectifs majeurs. La mthode
Hoshin doit tre vue comme une action volontaire, qui va de lavant et qui
recherche lamlioration permanente.

Les objectifs

Groupe Eyrolles

La direction a un rle important jouer, cest elle qui donne les orientations et dfinit ainsi pour lentreprise la stratgie de demain.
La mthode Hoshin permet de positionner la direction gnrale de
lentreprise au cur de la mthode, en sensibilisant le personnel sur le
chemin suivre en matire de qualit totale.
Trois points importants ressortent :
tre en mesure de dgager les rsultats antrieurs, le pass ;

230

Les mthodes

saisir la situation actuelle ; on soccupe du prsent, on regarde les


contraintes, les risques, les opportunits par rapport aux clients, au
march conomique ;
comprendre la vision future avec les objectifs prvus.
Lide est de faire ressortir lensemble des bonnes ides et bonnes pratiques des annes coules, avec pour point de repre la satisfaction
client.
En regroupant les trois situations, il est possible de faire sortir les plans
daction court et moyen terme sur ce quil faut entreprendre pour
samliorer et se dvelopper de manire sereine et pertinente dans un
futur proche.
Hoshin peut tre utilise pour diffrentes choses : lanalyse et la rflexion
sur les processus amliorer, la gestion des problmes et les rclamations
clients. Lavantage de cette mthode est quelle est facilement gnralisable diverses activits.
Si la mthode Hoshin est employe dans lindustrie, elle pourrait trs
bien tre utilise dans les services car elle fait partie de la dmarche
Kaizen ; elle est par consquent facilement adaptable, quel que soit le
domaine dactivit de lentreprise.
Comme beaucoup de mthodes japonaises, le volontariat a un rle
important jouer ; le personnel doit tre force de proposition sur son
lieu de travail, chacun dapporter sa pierre la construction de ldifice qui nest que la mise en uvre de la qualit totale au sein de
lentreprise.
STRATGIQUE
La mthode Hoshin est la fois un outil stratgique pour la direction gnrale, et un outil la porte des quipes oprationnelles.

La mise en application de la mthode Hoshin demande une analyse


pousse des actions passes et prsentes, et des objectifs futurs. La
direction synthtise les trois analyses et prsente les actions damlioration qui seront entreprises conformment au planning.

Groupe Eyrolles

APPLICATION

Hoshin

231

La communication est importante. La direction doit tre moteur en la


matire en sensibilisant les quipes, en prsentant un planning, les
jalons, les objectifs attendus. Elle doit tre la fois le sponsor et le leader
dans une telle dmarche. Elle doit encourager les quipes, les rcompenser, mais savoir aussi les recadrer en cas de drives.
Lide est de prendre en compte les donnes des actions passes, des
actions actuelles, et de faire apparatre la tendance pour btir la solution
de demain. Cette mthode sinscrit dans un cycle damlioration continue et sinspire fortement de la roue de Deming, avec le PDCA :
PLAN
PRVOIR

DO
FAIRE

CHECK
VRIFIER

ACT
RAGIR

DANGER
Comme toute mthode, il est prfrable de commencer simplement, et
davancer tape par tape. Il ne faut pas aller trop vite, mais faire des points
davancement rguliers. La direction a un rle important, elle doit montrer
son engagement permanent.

Dire dexpert
Deux acteurs sont importants pour la russite de la mise en place de la
mthode Hoshin :
la direction gnrale, par sa prsence continuelle, sa position de leader, sa capacit mobiliser les quipes, et sa vision du futur ;
lensemble du personnel, par une appropriation de la mthode, une
comprhension des enjeux ; chacun, son niveau, est indispensable.

Groupe Eyrolles

Une constante contribution des quipes et de la direction est ncessaire ;


dans ce cas, la mthode aura toutes les chances de rpondre aux attentes
de la direction.

Chapitre 9

ITBPM

HISTORIQUE
Cest par le bureau allemand pour la scurit informatique que la
mthode ITBPM est apparue dans le monde des entreprises. Ce bureau
a pour principale mission de donner des conseils, voire des recommandations, par rapport des situations relles vcues par certaines entreprises. On retrouve les mmes objectifs entre le bureau allemand et son
homologue franais, la DCSSI.

DFINITION
ITBPM prsente une liste de recommandations qui sont en rapport avec
diffrents systmes dinformation ; chaque systme comprend son
infrastructure, son organisation, son personnel. Cette approche permet
davoir une vision globale des diffrents cas de figures possibles.
Lensemble des recommandations doit permettre davoir un niveau de
scurit suffisant pour les systmes dinformation de lentreprise qui ont
besoin dun niveau de scurit normal. Diffrentes mesures de scurit
peuvent tre mises en place, par exemple pour le domaine organisationnel, personnel, technique, architecture standard.

Groupe Eyrolles

APPLICATION
La mthode ITBPM comporte des tables de correspondance entre les diffrentes menaces qui existent en termes dintrusions, de vandalisme et
leurs contre-mesures associes.

234

Les mthodes

Processus de scurit :
Politique de scurit du SI.
Management de la scurit du SI.

Cration dun concept de scurit.

Implmentation des mesures oublies dans les domaines


architecturaux organisationnel, personnel, technologique
et calendaire :
Permet davoir conscience de la scurit du SI.
Constitue un entranement concernant la scurit du SI.

Maintenance des oprations constantes.

Vision du processus de scurit

Un tableau les rcapitule :


Modules

Menaces

Contre-mesures

Modules prsents travers


les organisations de lentreprise

Dysfonctionnement au
sein de lorganisation

Indicateurs

Modules lis ltablissement,


aux liaisons rseaux

Situation difficile

Indicateurs

Modules lis la communication


tels que le tlphone, le fax

Dysfonctionnement

Indicateurs

Machines autonomes sans


connexions

Faute humaine

Anomalie technique

Vandalisme

Indicateurs pour tous


les cas de figures

Matriels, machines de
transmission (modems,
routeurs)
Les autres machines

Groupe Eyrolles

Machines connectes

ITBPM

235

Dire dexpert
Un des grands avantages de lITBPM est doffrir un guide (gratuit) au
grand public et aux professionnels de la scurit informatique, actualis
tous les six mois : volutions, rajouts
Le site offre dautres avantages, comme pouvoir changer sur des thmes
spcifiques ou gnraux concernant la scurit des systmes dinformation.

Le guide met en uvre une dmarche rapide proposant des solutions


techniques dtailles et rgulirement mises jour.

Groupe Eyrolles

Nanmoins, il apparat ncessaire de mener une vritable analyse de risques de scurit des systmes dinformation pour tout systme dont les
enjeux de scurit sont importants. Il serait envisageable dintgrer les
mesures de scurit de lITBPM dans les bases de connaissance de la
mthode EBIOS, et dadopter lapproche baseline pour des systmes
dinformation ne ncessitant pas un niveau de maturit lev. Par
ailleurs, il pourrait tre utile denrichir loutillage de lITBPM par une
dmarche globale de gestion des risques telle que EBIOS.

Chapitre 10

Juste--Temps

HISTORIQUE
La mthode du Juste--Temps est originaire du Japon ; cest suite des
contraintes de stockage de marchandises (entrept) quelle a t mise
en place. Son nom explique bien ce que lon attend delle. En anglais
on parle de JIT ou Just-in-Time.
Produire un bien, un produit et le livrer en peu de temps reprsente
bien la philosophie du Juste--Temps.
Cette mthode est fortement utilise dans le secteur industriel et commence se dployer dans le secteur du service.

DFINITION
Le Juste--Temps a pour objectif de produire le bon produit, au bon
moment, et de le livrer la bonne personne au bon moment et au
moindre cot.
RETENIR

Groupe Eyrolles

Le Juste--Temps concerne un large primtre : du fournisseur de matire


premire (en amont) jusquau client final (en aval). Tous les acteurs de la
chane de valeur sont concerns.

Les secteurs dactivit o le Juste--Temps est en place depuis de nombreuses annes sont lindustrie automobile, lindustrie des composants
lectroniques, llectromnager et la grande distribution.

238

Les mthodes

Le Juste--Temps parle de flux tir et de flux tendu :


flux tir : tout part dune demande du client. Cest le mode de fonctionnement des constructeurs automobiles, la commande du client
tant le point de dpart de la production (usine de fabrication) ;
flux tendu : produire trs vite en minimisant le temps de passage
entre les chanes de production.
Il est difficile de parler de Juste--Temps sans parler du Kanban. Le
Kanban veut dire tiquette . Par rapport notre mthode, prenons un
exemple : dans un magasin de pices de rechange, le magasinier est responsable de la gestion de son stock. Dans les rayons, on trouvera des vis
(dun certain calibre, dune certaine rfrence) dans des botes ; quand
une des botes se vide et quelle arrive un seuil critique (nombre de vis
disponibles dans la bote, soit 150), alors un voyant rouge sallume en
dessous de la bote concerne ; le seuil de 150 vis est un seuil dalerte ou
critique. Ici, le Kanban est matrialis par la couleur des voyants : vert,
tout est normal, rouge, il faut prvoir du stock, de la production. Le
magasinier, ce moment-l, sait quil doit faire un approvisionnement.
Il faut retenir que la demande vient de laval, cest--dire dans notre cas,
du client. Le client fait une demande, il faut lhonorer, cest--dire produire bien sr par rapport cette demande, et prendre en compte ltat
du stock :
combien de vis sont en stock ?
le stock de scurit a-t-il t dpass ?

APPLICATION
Mettre en place une mthode Juste--Temps demande de solides connaissances en management industriel ; il faut bien connatre lensemble des
partenaires qui travaillent avec lentreprise, leur organisation de production, leurs limites, leurs capacits.

Groupe Eyrolles

Un autre terme qui fait partie du primtre du Juste--Temps est le zro


stock, cest--dire que lon cherche rduire au minimum les stocks
(encours). La rduction des stocks entrane une rduction des cots,
cest--dire moins de frais, de matire premire, de gaspillage, dencombrement physique, de surface au sol (loyer), de surveillance, de gardiennage un ensemble dlments qui reprsentent des frais directs
ou indirects pour lentreprise.

Juste--Temps

239

Il est recommand de sintresser aux clients en termes dattentes, dorganisation daccueil des nouveaux produits livrs chez eux, de capacit
de rception et de stockage, afin de ne pas devoir repartir avec la marchandise livre pour manque de place.
Faire une analyse de lexistant est primordial : savoir ce que lon peut
faire, quelles sont ses limites en termes de machines, capacits, personnels et ses moyens, outils et processus en place, personnels forms,
systme dinformation Suite cette analyse, voir les carts qui existent
entre la situation actuelle et la cible atteindre, et les combler :
en laborant un plan daction, un calendrier, et en choisissant des
sites pilotes avec des clients pilotes quand cela est possible ;
en traitant des aspects amont (fournisseurs, partenaires, leurs organisations, capacits machines) pour la matire premire ;
en traitant des aspects internes (capacits machines, cadences,
ordonnancement, personnels, organisations, systme dinformation,
code-barres, RFID, stockage, logistique interne) ;
en traitant des aspects aval et externes (capacits camions, chauffeurs, flotte, autres partenaires, entrepts de stockage, livraison chez
le client).
Beaucoup dlments sont prendre en compte dans une dmarche
Juste--Temps.

Dire dexpert

Groupe Eyrolles

Le Juste--Temps demande de la ngociation avec les services internes


de lentreprise, les partenaires (livraisons si sous-traiter) et le client
final.
Les organisations (partenaires, client, entreprises) sont concernes et
sont donc impactes dans leur mode de fonctionnement.
Qui dit Juste--Temps dit livraison nationale ou internationale. Dans ce
dernier cas tout spcialement, dautres critres sont prendre en
considration : types de transport (air, mer, rail, route) et douanes.

Chapitre 11

Kaizen

HISTORIQUE
1946 (Japon) : Taiichi Ohno et Shigeo Shingeo sont les pres du systme de production, le Toyota Productive System (TPS). Cest dans les
usines Toyota que le TPS a vu le jour. Quelques lments du TPS : le
Juste--Temps, la rduction du gaspillage, le systme flux tir.
1986 (Japon) : Masaaki Imai, consultant de renom au pays du SoleilLevant, fait connatre lOccident le concept Kaizen ou plus prcisment la philosophie Kaizen dans le cadre du TPS. Il fonde le Kaizen Institute. Il intervient auprs de grands groupes comme Renault, HP
1993 (Royaume-Uni) : le mot Kaizen entre dans le New Shorter Oxford
English Dictionary.

Quelques grands noms


Taiichi Ohno (1912-1990), Japonais, est linitiateur du TPS, le systme de
production de Toyota, connu dans les grandes industries (mthodes
Juste--Temps, Kaizen).
Edward Deming (1900-1993), Amricain, est linitiateur et lambassadeur
de la roue de Deming appele le PDCA.
Masaaki Imai, Japonais, est le fondateur du Kaizen Institute, et du concept de la qualit totale.
Groupe Eyrolles

James P. Womack, Amricain, est lorigine du Lean Enterprise.

DFINITION
Kaizen : Kai = changement, Zen = meilleur, bon.

242

Les mthodes

RETENIR
Kaizen : amlioration continue, progrs permanent.

La logique client
Cest lesprit de groupe qui fait la diffrence !
Les moyens

Les objectifs

Procdures
Travail

Amlioration

Satisfaction du client
interne ou externe

valuation

Le travail est organis en processus autour de lamlioration continue :


matrise globale de lenchanement des tches jusquau client ;
amlioration permanente lcoute du client (interne et externe) ;
visibilit de la contribution de chacun la performance globale.

Thorie
Le Kaizen est une philosophie. Dans un monde qui bouge, avec des
clients exigeants et une concurrence froce, on doit sadapter rapidement. Mais comment sadapter ? Le Kaizen permet de rpondre la
question en prenant en compte trois lments :
les concepts (la faon de penser) ;
les systmes (la manire de travailler) ;

Le Kaizen est une stratgie oriente client. Pourquoi vouloir amliorer


son quotidien (personnel et professionnel) ? Pour se satisfaire et pour
satisfaire le client. Une amlioration qui napporterait pas la satisfaction
du client est inutile. La question quil faut se poser est la suivante : en
quoi le changement va-t-il augmenter la satisfaction de mes clients ?

Groupe Eyrolles

les outils (la manire de rsoudre des problmes).

Kaizen

243

Le Kaizen concerne les personnes, et la culture dentreprise quil semploie changer.

APPLICATION
Le Kaizen doit tre port par la hirarchie. Lencadrement doit montrer
le chemin ; ce titre, son implication en tant que leader est primordiale.
RETENIR
Trois lettres retenir plus une nouvelle : Q C D S
Q pour qualit, C pour cot, D pour dlai et S pour service.

QUALIT

Service

COT

DLAI

Nous lavons dit, le Kaizen est une philosophie, et qui dit philosophie
dit tat desprit. Les ides ci-dessous correspondent ltat desprit du
Kaizen :

Groupe Eyrolles

samliorer de faon continue na pas de limite ;


savoir se remettre en question ;
trouver des ides et mettre en pratique ses ides ;
se fixer des objectifs ralisables avec des gains raisonnables ;
apporter la correction dans limmdiat et ne pas la remettre au lendemain ;
utiliser les 5 pourquoi , ou identifier la cause et la rsoudre ;
appliquer immdiatement les plans dactions damlioration ;
chercher et identifier des ides en cas de problme ;
capitaliser sur dix ides au lieu dattendre une ide pertinente ;
tester et ensuite dcider.

244

Les mthodes

Les principes gnraux du Kaizen


Le Kaizen rassemble de nombreuses dmarches de progrs, gnralement utilises dans les services de production et les industries. Parmi
elles, 5S, SMED, Poka-Yoke, Kanban, Andon, TPM que lon rencontre
plus souvent au sein des directions de production :
Andon : systme qui permet davertir les quipes de supervision en
cas de problme sur une ligne de production. Le technicien sur la
ligne en question dclenche le signal ;
Poka-Yoke : dispositif permettant dviter les erreurs ;
Cercles de qualit : apportent une amlioration dans lactivit dun
service. Les membres du cercle viennent de mtiers diffrents, le
volontariat est au rendez-vous.

Mettre en place une dmarche Kaizen


Pour mettre en place une dmarche Kaizen, il faut :

Sensibiliser la hirarchie.
Former la hirarchie.
Communiquer auprs de lensemble du personnel.
Organiser des sminaires de formation auprs des cadres et de la
matrise.
Organiser des groupes de travail auprs des employs, techniciens,
ouvriers.
Prvoir une priode dobservation et faire un premier bilan.
Sinscrire dans un cycle PDCA.
Avancer pas--pas dans les actions.
Reconnatre leffort et le rcompenser.

Les avantages du Kaizen


La mthode Kaizen prsente des avantages :
Il nest pas ncessaire de voir grand au dbut, traiter un petit sujet.
Mise en place non onreuse.

Groupe Eyrolles

Le Kaizen permet de se remettre en question de manire permanente,


afin de rechercher lamlioration continue travers son travail et dans
sa vie personnelle.

Kaizen

245

Amliore et facilite le travail dquipe.


Utilisation doutils simples de rsolution de problmes.

Dire dexpert

Groupe Eyrolles

Le Kaizen est une capitalisation de bonnes pratiques qui reposent sur du


bon sens, du formalisme et surtout une implication de toute lentreprise,
en commenant par la direction gnrale, qui doit montrer lexemple.
Tout le personnel est impliqu, des plans de formation sont organiss,
des ateliers spcifiques sont mis en place, des leaders sont nomms au
sein des dpartements et des services.
Il ne sagit pas dune mthode big-bang, ou type lectrochoc ; avec le
Kaizen, on sinscrit dans la dure, tape par tape on consolide, on
samliore, on dveloppe le champ daction aux autres services, dpartements, voire aux partenaires, et on compte beaucoup sur la prise de
conscience des personnes.

Chapitre 12

Knowledge Management

HISTORIQUE
Cest dans les annes 1990 quest mentionn le nom de Knowledge
Management (KM) dans les revues spcialises, aux tats-Unis. Concomitamment apparat la notion de veille technologique.

DFINITION
Il sagit dune bote outils qui permet chacun au sein de lentreprise de
bnficier des bonnes pratiques, du savoir-faire, et cela de manire simple. On pourrait comparer le KM une vritable base de connaissances.
Dfinition oprationnelle : mettre disposition linformation auprs du
demandeur (personne), et linstant le plus propice pour lui sans
demande formelle de sa part.
STRATGIQUE
Dfinition stratgique
La plus-value du KM est de capitaliser et de prenniser les connaissances de
chacun en matire de service, de bien, de processus, et de structure organisationnelle de lentreprise.

Groupe Eyrolles

Concept
Les principaux concepts de KM sont :
Le KM doit rpondre aux enjeux stratgiques de lentreprise.
Le KM est mis en uvre travers une large panoplie de mthodes et
doutils.

248

Les mthodes

Le KM est facilit par les organisations et un mode de management


appropris.
La ractivit fait la diffrence !
Les moyens

Connaissances

Comptences

Les objectifs

Processus et procdures

Satisfaction du client
interne ou externe

Travail

Ressources
Amlioration

valuation

Management prvisionnel

Anticipation

Le KM doit permettre lanticipation des volutions des attentes des


clients :
matrise des connaissances et des comptences appliques au processus ;
matrise de lensemble des flux dinformation internes et externes ;
reconnaissance de la comptence humaine ;
rponse aux besoins du client et dveloppement dune vritable
pdagogie sur le client.

Les objectifs
Dfinition

Optimiser les processus

Rduire les cots et dlais, amliorer la qualit et


la productivit en rutilisant la connaissance existante
et en vitant de rpter les erreurs dj commises.

Amliorer la dcision

Faire des choix et dcider de manire intelligente


en ayant pris connaissance des diffrentes propositions
au pralable.
/

Groupe Eyrolles

Objectif

Knowledge Management

Objectif

249

Dfinition

Valoriser et prenniser
les comptences

Chercher et trouver les meilleures comptences qui


seront complmentaires les unes aux autres et les faire
partager, tout en assurant une certaine capitalisation
des acquis.

Innover

Faire merger les ides nouvelles par fertilisation croise,


les transformer en projet industriel et russir la mise sur
le march.

Qui est concern ?


Tout le personnel de lentreprise : bonnes pratiques, savoir-faire, informations pertinentes faire partager.
Les experts : changes des informations sur les tests, les nouvelles versions, les salons, sminaires, dune mme entreprise ou entre diffrentes
entreprises.
Des groupes dutilisateurs : partage de leur niveau de connaissances sur
les nouvelles volutions, les astuces des produits

APPLICATION
La dmarche KM repose sur trois tapes pour mettre en place un dispositif prenne de partage des bonnes pratiques :
tape 1 : constitution dun premier rfrentiel de bonnes pratiques
terrain structur selon les contextes dutilisation (masse critique) ;
tape 2 : mise en uvre doutils permettant une utilisation et un
enrichissement des bonnes pratiques par les principaux acteurs ;

Groupe Eyrolles

tape 3 : cration et animation dun dispositif prenne encourageant


les acteurs utiliser et promouvoir la dmarche. Cette tape a pour
objectif de faire vivre la base de connaissances ; cela demande des
outils adapts selon le contexte et une relle implication des acteurs
la bonne utilisation de la mthode.
Dans tous les cas de figure, il faut commencer la dmarche avec une
vision raliste et optimiste car des efforts seront demands aux diffrents
acteurs.

250

Les mthodes

Les outils du portail


Le schma ci-dessous donne une bonne vision des diffrents outils possibles et de leurs associations tout au long du cycle de vie du KM.

Annuaires
dexpertise

E-learning
Conception
de dispositifs
pdagogiques

Qui fait quoi


Qui sait quoi ?

Portail
Capitalisation
Recueil des
connaissances
dun expert
ou groupe
projet

Communauts
de pratiques
Partage
des pratiques
Cartographie
Reprage des
connaissances
et comptences
appliques aux
processus

Innovation,
SPL

Annuaire dexpertise

Exemple : Dsol, mais je ne moccupe pas de cela, je ne sais pas qui


est expert sur le sujet.
Communaut de pratiques
Espace dchanges, capitalisation sur ce qui marche bien, les piges
viter.

Groupe Eyrolles

Il permet didentifier les diffrents experts en relation avec leur domaine


de comptences.

Knowledge Management

251

Cartographie
Identification des connaissances et des comptences stratgiques et
importantes pour lentreprise en rapport aux processus. Vision simple et
rapide des points cruciaux pour lentreprise.
Capitalisation
Centralisation des savoir-faire des experts par domaine dactivit. Chaque expert est garant de sa base de connaissances.
E-Learning
Principe dautoformation, auto-valuation pour un domaine de connaissance particulier, la disposition de lensemble du personnel de lentreprise. Lide principale est bien de pouvoir partager auprs de toutes les
connaissances, avec pour but davoir en retour suggestions et propositions damlioration de la part des lves (personnel en formation).
Avant

Comment ?

Un relatif isolement
des collaborateurs.

Les bonnes pratiques


sont partages entre
les services.

Une mthode pour recueillir,


structurer et formaliser
les bonnes pratiques.

Peu de mise en
commun des
pratiques entre les
commerciaux.

Gain de temps et
ractivit accrue.

Une mise en place doutils


simples et efficaces de partage
des bonnes pratiques.

Intgration longue
des nouveaux
embauchs.

Un dispositif pour
acclrer lintgration.

Une dmarche
daccompagnement centre
sur les rsultats, le transfert
de savoir-faire, la prennit
du partage.

Circulation de
linformation souvent
descendante.
Groupe Eyrolles

Aprs

Une reconnaissance
des comptences
du terrain.
Un outil de
management
commercial,
stratgique.

Un accompagnement par
des consultants experts.

252

Les mthodes

KM 2.0
LES NOUVEAUTS
La mthode KM volue : on commence voir apparatre le Web 2.0 qui,
par sa structure Web, permet davoir un champ daction beaucoup plus
large que le KM standard.
Le KM 2.0 sinscrit dans une mthode participative ; toute personne faisant
partie dune entreprise, dune association, dune institution est en mesure
dtre un acteur actif dans les relations qui existent autour de la mthode
KM 2.0.
Les rseaux ouverts permettent dchanger, de partager, de crer, de vhiculer toutes les nouvelles connaissances, et ce, malgr les diverses entits
oprationnelles qui existent au sein des entreprises.

Il commence apparatre les iKM qui ne sont que les KM 2.0 vision
Internet.

Groupe Eyrolles

Exemples de iKM : les Web smantiques (internes ou externes lentreprise), les blogs, les wikis (base de connaissances), les systmes de networking, les rseaux dexperts, les rseaux sociaux, les environnements
virtuels

Chapitre 13

Lean

HISTORIQUE
Initialement mise en place au Japon par Taiichi Ohno de chez Toyota,
la mthode Lean permet lentreprise dtre plus proche des clients et,
comme le Kaizen, de rduire toutes les sources de gaspillage. De nos
jours, le Lean est utilis dans lindustrie et commence se dvelopper
dans le secteur des services.
J. Womack et D. Jones, tous deux fondateurs et prsident du LEI (Lean
Enterprise Institute), sont devenus les promoteurs de la mthode travers le monde.
RETENIR
Lean concerne les domaines de la planification stratgique oprationnelle,
la conception, la production et la logistique dlai court.

DFINITION

Groupe Eyrolles

La mthode Lean sarticule autour de cinq critres importants qui sont :

la valeur ou couter la voix du client ;


cartographier les flux ;
tirer les flux ;
rsoudre les problmes ;
rechercher la perfection.

254

Les mthodes

APPLICATION
Un des prrequis est davoir de bonnes connaissances en matire de
management industriel, car dans beaucoup de cas il sagit dactivits de
ce secteur. Mettre en application la mthode Lean reprsente beaucoup
de travail, elle sinscrit dans le temps et la gestion des flux est importante ; il faut savoir identifier les points critiques, la perte de temps,
rduire les priodes dattente trop longues des produits sur la chane, le
manque de place pour les encours, le surplus de stocks tampons
Il sagit bien dune organisation au sein des ateliers, ou des lignes de
production ; il faut chercher optimiser, fluidifier le trafic des flux.
Laspect humain est aussi concern : tout le monde est impliqu, les
bonnes ides sont les bienvenues, et il faut savoir se remettre en question. Les quipes de production doivent se responsabiliser ; un des
moyens est laffichage des rsultats, sous forme de tableaux, par ligne
de production sur le nombre dheures-hommes, et dheures-machines,
afin doccuper au maximum les lignes de production. Cela fait partie du
management visuel. Cet outil a deux effets : le premier est la recherche
de la motivation des quipes, le second est le challenge entre les diffrentes quipes.
Identifier le nombre de rebuts par ligne de production, chasser le gaspillage, rduire les stocks sont les activits fortes du Lean.
Les prestataires sont concerns par la mthode Lean ; ils doivent tre en
mesure de pouvoir sadapter et, eux aussi, de participer la dmarche.
La mise en application de Lean concerne non seulement lentreprise qui
progresse, mais aussi les partenaires. Il sagit dun vritable effet de
masse. La dmarche permet dobtenir des gains importants (production)
si elle est mene de manire intelligente.
La troisime gnration Lean a vu le jour vers 2000. Aujourdhui, Lean,
qui, comme son prdcesseur Juste--Temps, identifie et chasse le gaspillage (Muda), comprend cinq tapes.

Comme le supply chain management, Lean commence par le client


final. Quels sont ses besoins et attentes ? Toutes les actions par la suite
sont dfinies et excutes la lumire de cette voix du client qui
comprend les clients intermdiaires et le client final.

Groupe Eyrolles

tape 1 : couter la voix du client

Lean

255

1
couter la voix du client

2
Rsoudre
les
problmes

Se perfectionner

Cartographier
les flux
des valeurs

Tirer lensemble des flux

tape 2 : cartographier les flux (Value Stream Mapping VSM)


La deuxime tape consiste cartographier un flux majeur qui aura t
choisi daprs la voix du client, afin didentifier les gaspillages en termes
de stocks, de dlais et de non-qualit.
Les quatre tapes de la mthode de cartographie des flux :

dfinition de la cible ;
ralisation de la carte actuelle ;
ralisation de la carte future ;
plan daction et implmentation.

Groupe Eyrolles

tape 3 : tirer les flux


Aprs la cartographie du flux actuel puis du flux amlior, ce qui mettra
en vidence les Kaizen ou petites amliorations ncessaires pour passer
de lun lautre, les tapes 3 et 4 de Lean correspondent au Juste-Temps pour tirer la production et la qualit totale pour rsoudre les
problmes ainsi mis en vidence, cachs jusquici par les stocks.

256

Les mthodes

tape 4 : rsoudre les problmes de non-qualit


Le concept de qualit va de pair avec Lean. Au-del de la simple conformit de produits aux spcifications, un processus de qualit totale fera
son produit avec le strict minimum de ressources.
Lean sapplique bien davantage que la production, ce qui peut constituer un avantage concurrentiel pour lentreprise qui y va la premire !
Par exemple, Lean Supply Chain Management cherche liminer les
gaspillages entre les maillons de la chane logistique, tandis que Lean
Production focalise sur les processus lintrieur du maillon usine ou
entreprise .

tape 5 : perfectionner
La cinquime tape de Lean correspond la tension des flux, un (Kanban) de moins la fois, pour rduire graduellement les stocks, cette
protection temporaire et coteuse du gaspillage sous-jacente laquelle
Lean veut sattaquer.
LES NOUVEAUTS
Lean prend de plus en plus dimportance, les entreprises se rendant compte
des bienfaits de la mthode ; il est facile de transposer la mthode dans les
services car on y retrouve des similitudes avec le secteur industriel : gestion
des flux, rsolution de problme, chasse aux gaspillages, partenaires fiables, recherche de la perfection

Dire dexpert1

1. Benot Nelaton, responsable industrialisation.

Groupe Eyrolles

Lean na pas rponse tout mais la mthode permet dapporter des


rponses et des solutions beaucoup de problmes. Il faut que les personnes soient sensibilises la dmarche, quelles comprennent les
enjeux de la direction et que, si lentreprise travaille mieux, celle-ci ralisera des gains qui auront certainement des rpercussions directes ou
indirectes sur leurs conditions de travail.

Lean

257

Relation Lean-Kaizen
La mthode Kaizen est plus ancienne que la mthode Lean. La mthode
Lean est trs oriente production, industrie (manufacturing), bien quelle
commence smanciper vers les services, alors que la mthode Kaizen
concerne toute lentreprise, elle fait partie de sa culture ; les deux mthodes sont complmentaires. Des rapprochements verront peut-tre le jour
dans quelques annes.

Les plus de la cartographie des flux (VSM)


La cartographie des flux (VSM) est un outil puissant qui permet davoir
une reprsentation visuelle des flux de matires et dinformations. Elle
permet de dtecter les gaspillages, davoir une vision systme et de se
centrer sur une perspective client. Suite une analyse VSM, une vritable feuille de route pour les changements peut tre tablie.

Groupe Eyrolles

Identifier les lieux o se produisent les gaspillages, avoir des priorits


en termes dactions damlioration continue (rduction des dlais, des
encours et des stocks), instaurer un vocabulaire commun grce des
groupes de travail, Lean permet dapporter la mme vision des choses
aux diffrents acteurs.

Chapitre 14

MEHARI

HISTORIQUE
Parmi les mthodes danalyse des risques, la mthode MEHARI
(Mthode harmonise danalyse de risques) est dorigine franaise ; cest
le Clusif qui la fait connatre. Il sagit dune association de professionnels spcialiss dans le domaine de la scurit informatique. MEHARI
est une fusion de deux autres mthodes.
RETENIR
Les deux mthodes sont MELISA, qui concerne la dfense (les armes quel
que soit le corps), et la mthode MARION, qui, au dbut, avait pour principaux clients les banques et les assurances, et par la suite dautres secteurs
comme lautomobile.

DFINITION
La mthode MEHARI apporte des conseils et fait rfrence un ensemble
dexemples dutilisation de la mthode dans des milieux professionnels.

Groupe Eyrolles

Pour mener bien cette mthode, un pilote doit tre nomm par la DSI.
Un des grands avantages de la mthode est que le Clusif met disposition sur son site un ensemble de bonnes pratiques et doutils.

APPLICATION
La mise en application de la mthode demande de la rigueur et une
bonne connaissance des organisations, car la scurit informatique touche
lensemble des utilisateurs et pas seulement les quipes de la DSI.

260

Les mthodes

Il faut galement savoir mener des campagnes daudits. cette fin, la


mthode apporte les bases ncessaires, grce plusieurs guides qui
sont lanalyse de risques, laudit des services de scurit, lidentification
et le classement des ressources sensibles, llaboration des objectifs de
scurit.
Lide est de constituer des bases solides de connaissances (sur les audits,
les services de scurit, les risques). En phase initiale, il faut identifier et
laborer le plan stratgique de scurit (PSS) ; cest la vision globale de la
scurit informatique au sein de lentreprise. Il est dcid au niveau de la
direction gnrale et concerne la validation des budgets, les ressources
ncessaires affrentes, les volutions en termes dinfrastructures, la salle
blanche, les sites externaliser Le plan oprationnel de scurit spcifique (POS) concerne un site spcifique, son organisation, les lments
mettre en place pour celui-ci. Le plan oprationnel dentreprise (POE)
permet dalimenter le tableau de bord via les indicateurs.

Dire dexpert

Groupe Eyrolles

La scurit de linformation est importante, les projets qui sont sans


prise de responsabilits de la part de la direction gnrale sont souvent
vous lchec ; il faut, comme pour les dmarches de certification ISO,
une implication forte de la direction. On assiste depuis peu une vritable prise de conscience de la part des directions gnrales grer les
risques lis aux problmes du systme dinformation.
Les mthodes voluent, elles fusionnent, elles se transforment. La mthode MEHARI en fait partie.

Chapitre 15

OCTAVE/OCTAVE-S

HISTORIQUE
Lapparition dOCTAVE remonte lanne 1999. Cette mthode est dorigine amricaine, linitiative du Computer Emergency Response Team
(CERT), centre dexpertise sur les incidents touchant la scurit du
systme dinformation.
Cette premire mthode concerne les entreprises, et a pour objectif dtre
utilise au sein des entreprises avec la version 2.0 en 2001. En 2003, une
version spciale PME a t ralise, il sagit de la version OCTAVE-S.

DFINITION
La mthode OCTAVE demande tre conduite par un groupe dacteurs :
dun ct, des utilisateurs, gnralement des key users (utilisateurs connaissant bien le SI et les applications associes, ainsi que le domaine
dactivit/mtier), de lautre ct, des reprsentants de la direction du
systme dinformation.

APPLICATION

Groupe Eyrolles

La mthode OCTAVE propose un catalogue dans lequel on trouve un


ensemble de bonnes pratiques en relation avec les diffrentes activits.
La mise en application de la mthode OCTAVE se dcompose en trois
tapes :
lorganisation : identifier les activits informatiques stratgiques pour
lentreprise et voir quelles seraient leurs principales menaces ;

262

Les mthodes

la technique ou plus prcisment la technologie : composants dinfrastructures, degrs de vulnrabilit composants, sur site, hors site.
Une expertise est ralise afin de bien identifier les points critiques
de linfrastructure informatique ;
le dveloppement de la stratgie : cette tape permet de faire une
synthse des diffrents rsultats des tapes prcdentes. Suite une
analyse dtaille des risques, un plan de protection est labor et mis
en place.
Aprs ces trois tapes, des livrables sont produire, le plan daction est
raliser court terme, pour toute lorganisation autour du systme
dinformation, et le plan de gestion des risques de TI est excuter.

OCTAVE-S
Concernant la mthode OCTAVE-S, cest--dire spcialement conue
pour les PME-PMI, si la dmarche est la mme on retrouve les mmes
organisations , elle na pas la mme ampleur, et concerne moins de
personnes avec des quipes plus rduites.

Dire dexpert

Groupe Eyrolles

Lavantage dOCTAVE et dOCTAVE-S est que cette mthode accompagne les entreprises et offre un vritable service (guide, outils, conseils et
exemples) lensemble des clients.

Chapitre 16

PDCA (roue de Deming)

HISTORIQUE
Dans les annes 1950, Deming prsente une nouvelle mthode damlioration continue auprs du comit directeur de Keidaren, mthode plus
connue sous le nom de PDCA. Shewhart est lorigine de la mthode.
Cest au Japon que Deming intervient.

DFINITION
PDCA est une mthode damlioration continue. Elle a pour but damliorer les processus, les produits et les services. Elle concerne tous les
domaines de lentreprise. Elle est complmentaire aux dmarches Kaizen,
Lean et aux normes et rfrentiels ISO 9001:2000, ISO 14001:2004, ISO/
IEC 27001, ITIL V3

APPLICATION
La mise en application de la mthode PDCA est souvent reprsente par
la roue de Deming qui est structure en quatre tapes :
la premire lettre est le P de Plan, planifier : tablir le plan daction
et fixer des jalons sur un calendrier connu de tous (les acteurs) ;
Groupe Eyrolles

la deuxime lettre est le D de Do, faire : passer laction, raliser ;


la troisime lettre est le C de Check, vrifier : vrifier ce qui a t fait
pour sassurer que tout est correct ;
la quatrime lettre est le A de Act, ajuster : ajuster, voire corriger pour
samliorer.

264

Les mthodes

Prparer
Plan

P
Agir
Act

Faire
Do

Vrifier
Check

tape

tape 1

Contenu

Identifier le problme.
Construire un groupe de travail.
Formaliser le problme (outils QQOQCCP).
Mesurer la situation actuelle grce la dfinition dindicateurs
reprsentatifs du problme.

tape 2

Trouver les causes racines :


rechercher les causes (brainstorming, PS/TB, diagramme dIshikawa) ;
hirarchiser les causes (vote pondr) ;
valider les causes principales (diagramme de Pareto).

tape 3

Choisir des solutions optimales :


rechercher les solutions (brainstorming) ;
slectionner les solutions (analyse multicritres).

tape 4

Mettre en uvre la solution retenue :


dfinir la zone dexprimentation ;
rdiger un plan daction ;
raliser toutes les actions dfinies.
/

Groupe Eyrolles

Dfinir lobjectif.

PDCA (roue de Deming)

tape

265

Contenu

tape 5

Mesurer les rsultats des solutions mises en place, et les comparer


la situation initiale.

tape 6

Formaliser les solutions, et dans certains cas, mettre en place


des systmes anti-erreur.
Gnraliser les solutions si possible.
Valoriser le groupe de travail et les personnes ayant mis en uvre
les actions.

Dire dexpert
On parle souvent de cycle PDCA, cette mthode est trs utilise en
entreprise. Elle demande une implication du personnel et de la hirarchie.

RETENIR
Un grand avantage de cette mthode est la mise en place de type projet :
il est possible de travailler avec un service ou un dpartement la fois ;
on ralise un pilote (un service en particulier), un bilan est fait, on recadre certaines choses, et on gnralise auprs des autres services ;
le PDCA est par dfinition sans fin, car il sagit damlioration continue,
ltape suivante est le Kaizen.

La roue de Deming est toujours trs utilise et elle le sera encore ; des
volutions sont constates par rapport au dbut ; elle se rapproche de
plus en plus de la qualit totale ou du Kaizen. Il faut bien comprendre
que cette roue na rien de statique, tout au contraire, elle est en mouvement, en mouvement vers lamlioration continue.

volution de la roue de Deming


RETENIR

Groupe Eyrolles

P et D permettent de prparer et de mettre en uvre les plans daction ; ils


sont en perptuel mouvement alors que C et A sont dans une phase de
capitalisation, de communication sur les efforts fournis et les rsultats
obtenus, tout en prparant les futures tapes de lamlioration continue.

P : Planifier ou ractualiser les processus.


D : Mettre en place le plan daction et grer les processus.

266

Les mthodes

C : Mesurer les efforts, les processus, les services et faire une comparaison avec les objectifs viss.

Prparer
Plan

Faire
Do

Kaizen
D

P
Agir
Act

Vrifier
Check

A
Niveau damlioration
mise en place

Amlioration stabilise

chelle de temps

Algeria-Educ.com

Groupe Eyrolles

Niveau de maturit

A : Grer les changements afin damliorer les processus.

Chapitre 17

Six Sigma

HISTORIQUE
La dmarche Six Sigma est apparue dans les annes 1980 ; le groupe
Motorola est devenu le pionner en la matire.
RETENIR
Lobjectif principal du groupe et des entreprises utilisatrices de cette
mthode est dobtenir trs rapidement des gains (quick wins) mesurables,
cest--dire financiers, en menant des ateliers cibls.

DFINITION
Six Sigma est une mthode utile pour optimiser les processus ; elle
concerne la fois loprationnel (production) et les autres grandes activits de lentreprise.
Les processus de lentreprise sont au centre de la mthode. Les processus de production et de qualit de services livrs auprs des clients sont
des processus majeurs pour Six Sigma.

Groupe Eyrolles

Tableau rcapitulatif de correspondance des

Dfauts par million

Qualit (%)

308,537

69,2 %

66,807

93,3 %

6,210

99,4 %

233

99,98 %

3,4

99,9997 %

268

Les mthodes

LSL (limite basse)

USL (limite suprieure)

Nombre dunits produites

Moyenne

Distribution
normale

Dfauts

6 Sigma

Dfauts

Procd non 6 Sigma = USL-LSL < 6 Sigma, dfauts > 3,4 dfauts par million
Procd 6 Sigma = USL-LSL > 6 Sigma, dfauts < 3,4 dfauts par million

Reprsentation graphique

APPLICATION

Dfinir les besoins clients


Cette tape doit tre mene en troite collaboration avec les quipes
commerciales et marketing ; il est aussi possible de travailler les processus internes, avec des approches clients internes.

Groupe Eyrolles

Mettre en place Six Sigma demande une connaissance de la mthode,


car lobjectif est de pouvoir gnrer des gains rapides : quick wins. La
mthode Six Sigma est dcoupe en cinq phases et, comme beaucoup
de mthodes, elle doit tre conduite comme un vritable projet, avec des
comits de pilotage, des revues de direction, des jalons, des livrables

Six Sigma

269

Que veut mon client ? Comment puis-je le satisfaire ? Comment puisje optimiser mes processus afin de rpondre au besoin du client ?
Quel est mon niveau de performance ?
Analyser les sondages, les mesures de satisfaction, car elles sont
importantes pour une meilleure connaissance de la qualit perue de
mes services auprs de mon client.
Capitaliser et faire voluer les informations concernant les incidents,
les problmes lis au fonctionnement des processus et dfinir les pistes de progrs associes.
Comment faire lanalyse des dysfonctionnements, des problmes ?
Faire un tat des lieux des problmes en cours, identifier les causes,
les origines.
Chercher des pistes de progrs, pour samliorer et avoir des processus Six Sigma optimiss.
Vrifier si les mesures et les plans daction sont bien suivis, maintenir
et accompagner lamlioration.

Les niveaux de comptence


Une dmarche Six Sigma ncessite la mise en place de trois niveaux de
comptences :
le green belt qui correspond au rle danimateur ;
le black belt qui correspond lexpert ; son rle sapparente un
chef de projet Six Sigma ;
le champion qui correspond au sponsor ; il est le manager de la
dmarche Six Sigma.

Groupe Eyrolles

Pour les grandes entreprises, le nombre de personnes ayant acquis le


niveau black belt devrait tre de 0,2 0,4 % du total du personnel, le
niveau green belt, de 2 4 %, sans oublier la direction, le niveau champion, qui devrait dpasser 4 %. Ils doivent imprativement tre forms
afin de prendre conscience des enjeux et de fournir les appuis indispensables la mise en uvre de la mthode.
Pour une entreprise de 10 000 salaris, environ 400 personnes sont
impliques.

270

Les mthodes

Dire dexpert1
Bnfices et prennits apports par Six Sigma

1. Alexandre Engel, manager Black Belt.

Groupe Eyrolles

Pour arriver des rsultats de projet tels que Cest la premire fois
que je vois un projet ralis en si peu de temps (cinq mois) qui montre
aussi rapidement des rsultats concluants et qui ne sarrte jamais
(responsable dun dpartement oprationnel), il faut que la mthode de
gestion de projet soit robuste et pragmatique.
La mthode Six Sigma est une premire tape lamlioration continue ;
toute lentreprise doit tre en accord avec cette dmarche.
Le facteur humain est trs important, surtout dans des grandes entreprises dans le secteur du service. Loprationnel ne va plus subir les
changements imposs par son management, il va les provoquer en
dmontrant que ces ides vont dans le sens stratgique de lentreprise
(ou direction). Les ides damlioration vont venir du terrain et non plus
exclusivement du management. Les problmes deviennent des opportunits damlioration tout niveau hirarchique de lentreprise.
Pour arriver ce niveau de culture damlioration continue dentreprise,
il faut du temps pour toucher lensemble des acteurs de lentreprise,
en commenant par le directeur gnral. Il faut investir dans des acteurs
du changement, experts en la mthode, qui vont, leur tour, former des
acteurs du changement via des formations et/ou la ralisation de projets
et ainsi de suite.

Chapitre 18

TCO

HISTORIQUE
Ce principe a t labor en 1988 par le Gartner Group ; depuis, il est
appliqu par beaucoup de directions informatiques. Cest la fois
un lment comptable et une information importante pour le budget
informatique, qui est li aux utilisateurs. Combien nous cote cette
infrastructure ? Cest la question que posent les clients (internes) leur
DSI.

DFINITION
Il sagit du cot total dun systme, cest--dire lensemble des cots
dachat dun matriel ou dun logiciel (entretien, maintenance, formation des quipes).

APPLICATION

Groupe Eyrolles

Gnralement, le suivi budgtaire est ralis par le service comptable


ou la direction administrative et financire (DAF), toutefois, les DSI veulent et doivent matriser leurs cots de fonctionnement, dacquisition
afin de pouvoir refacturer leurs clients (internes). TCO (Total Cost of
Ownership) permet davoir une vision globale des cots lis au systme
dinformation.

Les domaines qui sont concerns par le TCO


Pour la DSI, le cot dun logiciel ou dun matriel est facile identifier
et quantifier, mais ce nest pas le cas concernant dautres lments.

272

Les mthodes

Le paramtrage, linstallation, la mise disposition dapplications reprsentent un cot difficilement quantifiable, car ils comportent beaucoup
dinconnues : lassistance aux utilisateurs quand lapplication ne fonctionne plus, la gestion des nouvelles versions, lassistance technique
un ensemble de frais est alors engag soit par rapport linfrastructure
en place, soit par rapport aux services offerts pour les clients, et prendre en compte. Ces activits sont difficilement chiffrables (sauf sil existe
un contrat, un SLA), certains utilisateurs finaux, pour des raisons dorganisation, dcident davoir un correspondant informatique au sein de
leur service, ce qui engendre une forte hausse des cots de fonctionnement lis au TCO.
Le dernier cot concerne le rseau, quil soit LAN (local) ou WAN (distant) ; ce niveau, les cots de liaisons sont facilement quantifiables.
Tableau rcapitulatif du TCO par domaine
pour un ordinateur de bureau
Domaine

% du cot total
dun ordinateur

Capital matriel et logiciel

19 %

Administration

10 %

Support technique

11 %

Utilisateurs finaux

35 %

Rseau

25 %

Total

100 %

Les facteurs qui influencent le TCO


Pour les personnes : la formation des utilisateurs et des informaticiens.
Pour les technologies : les dploiements des technologies qui automatisent les processus.
Pour les processus : lautomatisation et lindustrialisation des processus.

Groupe Eyrolles

Les principaux facteurs influenant le TCO sont :

TCO

273

Gestion du TCO

Analyse du TCO

Mise en place des bases


Renouvellement tous les 9 mois
Mesurer les rsultats et
valider les processus

Analyse des actifs (enqute)


Analyse du cot moyen industriel
Enqute, audit, qualit sur cots survenus
Analyse des cots et comparaison

Amlioration de la TCO
Choisir les techniques
et pratiques damlioration
Exemple ROI, valeur
Choisir les meilleures solutions

Cycle de vie du TCO


Source : Gartner Group.

Les bnfices attendus sont :

la fiabilit et la transparence des cots ;


des budgets et prvisions ralistes ;
une prise de dcision facilite ;
lamlioration du contrle des dpenses ;
lamlioration des performances et de la productivit ;
lamlioration de la satisfaction client ;
la diminution des risques ;
laugmentation de la valeur ajoute.

Groupe Eyrolles

Dire dexpert
Dans le cas de figure dinfogrance, dhbergement ou de mutualisation,
laspect TCO est voir plus finement avec lensemble des partenaires ;
gnralement le contrat prcise et valide les dcisions prises.
Une estimation a t faite par le Gartner Group, sur la rpartition du
cot de possession dun dploiement dapplication sur un poste de travail.
Source : Gartner Group.

274

Les mthodes

Capital

Administration

19%

10%

Support
11%

Utilisateur
Rseau

35%

25%

Groupe Eyrolles

Source : Gartner Group.

Chapitre 19

TDBSSI

HISTORIQUE
En fvrier 2004, en France, la Direction centrale de la scurit des systmes dinformation (DCSSI) publie llaboration des tableaux de bord SSI
(TDBSSI), il sagit dun vritable guide pour les directions de la scurit
de linformation. Les tableaux de bord des entreprises en matire de
scurit informatique ne suivent aucun formalisme, ne reposent sur
aucun standard. Le guide TDBSSI prsente et explique une dmarche,
ainsi que des outils facilement utilisables par les entreprises.

DFINITION
Le tableau de bord scurit des systmes dinformation (TDBSSI) permet
lensemble des membres dune direction informatique, ainsi quaux
membres du personnel du service, de bnficier dune vision gnrale et
synthtique de la situation qui existe en matire de scurit, et ce quel
que soit le domaine : oprationnel, technique ou tudes (audits, avertissements, alertes et plans daction associs).

Groupe Eyrolles

APPLICATION
Le guide comporte la fois un exemple dapplication et un ensemble de
fiches daide, qui constituent un prcieux gain de temps et une assistance tout au long de la mise en place de la dmarche et de lavancement du projet.
Un grand nombre de dmarches doivent tre menes comme un vritable projet, et TDBSSI nchappe pas la rgle : il y a cinq grandes tapes
qui sont dveloppes dans le tableau ci-aprs.

276

Les mthodes

Un ensemble de familles dindicateurs pourra tre ralis en relation avec


les objectifs de la scurit ; cest le cas pour le niveau stratgique, le
niveau fonctionnel et le niveau oprationnel. Il serait possible de prendre
en compte dautres niveaux comme les niveaux financier, juridique
Une grande partie des donnes initiales proviennent des dispositifs de
scurisation, comme les firewalls, les antivirus

Les cinq grandes tapes de la mthode TDBSSI


tape

Prrequis

Dfinition

Capitaliser la pertinence des informations.


Recueillir les informations, les donnes traiter.

Mise en place du projet


Tableaux de bord SSI

Communiquer auprs des diffrents acteurs.

laboration des tableaux


de bord SSI

Construire les tableaux de bord SSI en prenant


en compte les donnes identifies.

Exploitation des tableaux


de bord SSI

Mise en uvre des tableaux de bord SSI.

volution et amlioration
des tableaux de bord SSI

Suivi des tableaux de bord SSI et suivi des modifications


apportes aux tableaux de bord SSI.

Identifier les acteurs afin de mettre en place les groupes


de travail.

Source : www.ssi.gouv.fr/fr/confiance/documents/methodes/
tdbssi-section1-methodologie-2004-02-05.pdf

Dire dexpert

Groupe Eyrolles

Les objectifs de scurit sont en rapport avec les mesures et indicateurs


qui seront en place au sein de lentreprise, au niveau de la direction
(aspects stratgiques), des mtiers (aspects fonctionnels), de la ralisation et de la production (aspects oprationnels). Les tableaux de bord
ont pour but de donner aux directions la situation, les tendances sur la
qualit de service dun dpartement, dune direction. Il sagit bien dun
outil stratgique. Le contenu, la forme, le circuit de validation sont des
critres importants pour les dcideurs.

Les modles

Partie 4
LES MODLES
SANS MODLE,
LE TRAVAIL EST PLUS DIFFICILE

278

Les modles

DFINITION
Faire rfrence un modle et se reprsenter une copie dans ses caractristiques particulires, ses qualits intrinsques, au regard dune rfrence
reproductive. Le modle est ce quoi lon se rfre, cest une base premire dans la rflexion. Le modle est lorganigramme de la pense, cest
la reprsentation dune ide, un concept que lon souhaite raliser.
Le terme modle, lorigine, est emprunt de litalien modello ; cest un
diminutif de modus, en dautres termes, mesure . Cest un exemple
imiter, une figure que lon recompose, une vision de limaginaire qui
prend forme. Limage est la mesure de la vision. Lutilisation moderne
du concept vient avec larrive des travaux des cybernticiens et, rapidement, on retrouve cette ide dans les diffrentes sciences humaines
(sociologie, conomie, linguistique structurale). De nos jours, nous
parlons de modlisation dun processus, cest--dire dessiner, simplifier
des lments dun ensemble complexe.
Le modle, cest larchtype de notre ralit. Il reprsente lexpression de
nos images internes. Par des exemples, un ensemble de formules cohrentes, des gabarits, lide est pose sur la feuille. Au dpart, une esquisse,
un dessin, juste le contour dune expression qui deviendra ralit.
La force dun modle se trouve dans la possibilit de donner une
rponse heureuse une question quun individu se pose. Parmi les nombreux choix possibles dun modle, il en existe un qui correspond tout
fait la question que lon se pose. Les reprsentations de tableaux, les
images qui jaillissent des potes, les symboles universels sont une ralit
pour tout individu avide de comprhension et de mise en uvre de ralisations cratives.
Dans cette dernire partie, notre souci est dorienter le lecteur sur la
comprhension stratgique des entreprises. Dans ce but, nous rpondons certaines questions :

lors de la cration dun modle organisationnel, comment faire pour


que les concurrents ne semparent pas du modle ?
comment dployer un tel modle, par qui, et sur quel primtre ?
lorsque le modle est dfini, fait-il rfrence une mthode, un rfrentiel ou une norme ?

Groupe Eyrolles

si lentreprise veut des profits durables, alors quel modle de cration faut-il utiliser ?

Les modles

279

doit-on crer des modles particuliers lentreprise, de type gnrique, ou alors est-il prfrable dutiliser les modles courants de la
stratgie dentreprise ?
comment savoir si un modle correspondra au devenir de lentreprise ?
Les modles sont lorigine des outils daide la dcision qui datent
des annes 1960 ; lun des plus connus et des plus utiliss est lanalyse
SWOT qui indique dans une matrice les forces et les faiblesses dun projet, dun service, ainsi que les opportunits et les menaces.
Certains modles se sont rendus clbres, tels ceux proposs ci-dessous :
H. Igor Ansoff, le fondateur du management stratgique ;
M. E. Porter, le positionnement stratgique et lavantage concurrentiel ;
J. B. Barney, lavantage concurrentiel soutenable ;
le Boston Consulting Group (BCG), la consultance stratgique.
Les modles sont nombreux, nous avons d faire un choix drastique
parmi les dizaines de modles existants. Nous avons souhait garder
une simplicit dans nos crits et un apport complmentaire dans la
comprhension des NRMM. Les lecteurs souhaitant aller plus loin dans
la connaissance des modles pourront se rfrer la bibliographie.
Cette partie ne comporte pas de dire dexpert , la plupart de ces
modles ntant pas utiliss seuls mais en complment de mthodes, de
rfrentiels ou de normes. Nous trouvons essentiellement les experts au
sein des normes, des rfrentiels et de certaines mthodes ; le qualificatif dexpert tant engendr par une certification, un diplme, une accrditation, une reconnaissance de la spcialit. Aucune certification nest
dlivre pour les modles.

Liste des modles analyss dans cet ouvrage

Groupe Eyrolles

Modle

Dfinition

Chapitre

Cartes mentales

Principe de limagination et de lassociation


dides et dimages

Ishikawa

Identifier les causes possibles dun effet


constat

Chane de valeur

Diagnostic de lavantage concurrentiel

3
/

Les modles

Modle

Dfinition

Chapitre

Chane de
la performance

Mise en place et dploiement de la stratgie


de lentreprise

Modle des carts


de la qualit de service

Utilis pour le management de la qualit,


stratgique et oprationnel

Les 3C ou le triangle
stratgique

La dimension des segments pour le client,


des fonctions pour lentreprise, et des
facteurs de comptitivit pour la concurrence

Les 5S

Cinq critres importants qui sont le dbarras,


le rangement, le nettoyage, lordre et
la rigueur

Les 5P

Trouver la cause premire dun problme

Les 5 forces

Fond sur cinq forces, dont le jeu contraint


celui de lentreprise

Les 7S

Comprendre la dynamique dune


organisation ou se fixer les buts pour
un programme de changement

10

Matrice Atouts/
Attraits

Atouts et attraits de chacun des segments


de lentreprise

11

Matrice Croissance/
Part de march

Modle pour classifier et valuer


des produits

12

Matrice Importance/
Urgence

Modle de classement selon le degr


durgence ainsi que le degr dimportance

13

MSP/SPC

Dfinir les causes fondamentales


responsables des dispersions

14

PEST

Prsentation des facteurs denvironnement

15

Principe de Pareto
ou loi des 80/20

Analyse qui permet de classer les causes


dun dysfonctionnement, dun problme

16

RACI

Identifier les intervenants pour la ralisation


dune tche

17

SMED

Appliqu dans le cadre de changements


de fabrication

18

SIPOC ou les relations


client-fournisseur

lments permettant danalyser la relation


client-fournisseur

19

SWOT

Analyse les forces, faiblesses, opportunits


et menaces

20

TPM

volution des mthodes de maintenance

21

Groupe Eyrolles

280

Chapitre 1

Cartes mentales

HISTORIQUE
Le Mind Mapping a t ralis dans le courant des annes 1970 par Tony
Buzan. Son sens littral en franais signifie reprsenter une carte de
pense . Notre cerveau fonctionne par lassociation de mots cls. Lutilisation de ces associations en schma est plus aise quune reprsentation textuelle. Chaque lment de la carte mentale est une ide cl ; de
cette ide jaillit un nouvel lment, et ainsi de suite.

DFINITION
Les hmisphres du cerveau
Tony Buzan, dans son ouvrage Une tte bien faite, a mis en vidence
que les individus prfrent utiliser lhmisphre gauche du cerveau, l
o se trouve le calcul rationnel, les lments logiques notre interprtation, la source du langage. Lautre hmisphre, le droit, appartient la
crativit, lesprit de synthse.

Groupe Eyrolles

Ds lors, en stimulant lhmisphre droit de notre cerveau, nous pouvons le faire fonctionner plus aisment avec notre hmisphre gauche.
Les cartes mentales ont donc pour principe dassocier limagination, la
cration, avec lassociation des ides.

Construction dune carte mentale


Trois lments sont constitutifs dune carte :
llment central, reprsentant le sujet essentiel, la cause premire ;

282

Les modles

les branches, qui partent de cet lment rassemblant les ides principales ;
les petites branches, jaillissant des principales, illustrant la raison existante des grosses branches.
Plus les ides sont nombreuses et varies, et plus le nombre de niveau
de branches est important.

Quels sont les bnfices des Mind Maps ?


Lorsque la carte est dessine, sa structure en forme daraigne permet
de faire surgir avec force les ides principales, ces dernires ntant plus
embues par le texte. Le grand intrt de ce type de modle est son utilisation des fins damliorations et dajouts de nouvelles donnes.
Le dictionnaire Larousse prcise quen philosophie la reprsentation est
ce par quoi un objet est prsent lesprit, et quen psychologie cest une
perception, une image mentale dont le contenu se rapporte un objet,
une situation, une scne du monde dans lequel vit le sujet. La reprsentation est laction de rendre sensible quelque chose au moyen dune
figure, dun symbole, dun signe.

APPLICATION
De nombreuses applications sont envisageables :
pendant une runion, en relevant lensemble des lments qui constituent les buts et les objectifs de celle-ci ;

Groupe Eyrolles

lors dun entretien, en notant les mots cls, les associations de mots ;
dans une confrence, en relevant chaque lment essentiel du discours ;
pendant une conversation tlphonique, en prenant en note rapidement lessentiel de la conversation.

Chapitre 2

Ishikawa

HISTORIQUE
Kaoru Ishikawa (1915-1989), dorigine japonaise, est lun des premiers
thoriciens pour la gestion de la qualit. On lui doit notamment le diagramme de causes et effets, qui est un outil fondamental pour assister
les cercles de qualit.

DFINITION
Le diagramme dIshikawa, ou plus communment appel arte de
poisson , est un modle permettant didentifier les causes possibles dun
effet peru et, par consquent, de mettre en place les solutions remdiant aux causes releves.
RETENIR
Ce modle est reprsent sous la forme dune arte de poisson, do son
surnom ; des flches dfinissant les effets viennent se greffer sur le corps
central de larte.

APPLICATION
Groupe Eyrolles

Se poser en priorit la question suivante : quel est leffet souhait par


rapport la cause premire ?

284

Les modles

Pour ce faire :
lister les causes premires, celles qui sont susceptibles de concerner
le problme, et noter lensemble de ces ides ;
par le brainstorming, qui consiste faire jaillir toutes les ides relevant dun sujet spcifique, approfondir la globalit de la question ;
classer toutes les causes par famille.
Lune des principales questions sur le rsultat souhait dun tel modle
est de rpondre la question : Sur quels types de causes je peux agir ?

Ralisation du diagramme causes-effets


Pour raliser un diagramme causes-effets, il faut :
reprer le problme identifi ou lobjectif dsir par lutilisation dune
flche montante ;
rechercher les causes possibles et les classer en sappuyant, par
exemple, sur les 5M, causes lies la matire, au milieu, au moyen,
la main-duvre, la mthode ;
tracer des flches secondaires en tenant compte des familles secondaires qui auront t identifies au pralable ;
M1

M2

Effet

M3

M4

M5

tenir compte de lensemble des causes qui sont potentielles et les


identifier sur des mini-flches ;
parmi les causes potentielles, se demander quelle est la source du
problme identifi ; il restera vrifier, analyser, et corriger la cause.

Groupe Eyrolles

Source : Kaoru Ishikawa, La Gestion de la qualit.

Ishikawa

M1

285

M2

Effet

M3

M4

M5

Groupe Eyrolles

Source : Kaoru Ishikawa, La Gestion de la qualit.

Chapitre 3

Chane de valeur

HISTORIQUE
La chane de valeur, concept dvelopp lorigine par Michael Porter
dans le milieu des annes 1980, dcompose lactivit de lentreprise en
fonctions : direction, logistique, production, commerciale, marketing, etc.
La performance de lentreprise peut tre value avec la chane de valeur.
Cette chane peut galement se trouver tendue un secteur particulier
dactivit conomique.
Dans cette notion, nous avons lide de client et de fournisseur ; rendre
au client un ensemble de services sans que celui-ci en subisse les cots
et les risques. Lorganisation en fonctions stratgiques oriente les dcisions prises au regard des clients. Les activits de lentreprise sont
porteuses davantages concurrentiels en termes de diversification, de
distinction, de cots ; ainsi, elles sont porteuses de cration de valeur
pour le client.

DFINITION
RETENIR

Groupe Eyrolles

Lanalyse de la chane de valeur est un outil indispensable pour faire un


diagnostic de lavantage concurrentiel.

288

Les modles

Ltude de la chane de valeur dcoupe lentreprise en activits stratgiquement importantes. Aprs avoir effectu cette tude, lentreprise est
apte choisir une stratgie spcifique chaque produit.

APPLICATION
M. Porter distingue neuf catgories gnriques dactivits :
Logistique interne : accueil, classement, rangement et affectation des
moyens de production indispensables au produit.
Logistique externe : rcolte, stockage, archivage et attribution des produits aux clients.
Production : transformation des moyens en but, comprenant la rparation des machines, le contrle de la qualit.
Commercialisation : activits lies la fourniture des moyens par lesquels les clients achtent un produit et sont incits le faire.
Services : activits associes la fourniture dun service tendant
accrotre ou maintenir la valeur du produit.
Approvisionnement : situ en amont de la production dans le cycle
dexploitation de lentreprise, son rle est de satisfaire les besoins
en fournitures et services des autres fonctions de lentreprise au meilleur cot et dans le respect des quantits, de la qualit et des dlais
exprims.
Recherche et dveloppement : Changement introduit sciemment
dans lconomie par un agent quelconque et ayant pour but et rsultat une utilisation plus efficiente ou plus satisfaisante des ressources.
(Encyclopedia Universalis)

Infrastructure de lentreprise : reprsente par la fonction direction.


Le rle du dirigeant est de choisir les buts de lentreprise. Les membres du conseil dadministration, du directoire, du comit dexcution, du conseil de surveillance, et toutes les personnes susceptibles
dexercer une influence sur la stratgie de lentreprise peuvent intgrer cette fonction.

Groupe Eyrolles

Gestion du personnel : fonction apparue avec les tudes de Elton


Mayo, au dbut du sicle ; ni Fayol ni Taylor ny font rfrence.
Aujourdhui, la gestion du personnel et limportance quon y accorde
sont une valeur ajoute pour lentreprise.

289

Chane de valeur

Activits de soutien

Infrastructure de lentreprise

AR

GE

Gestion des ressources humaines


Dveloppement technologique, R & D
Approvisionnements
Logistique
interne

Production

Logistique
externe

GE

Commercialisation
et vente

Services

AR

Activits principales

Groupe Eyrolles

Source : M. Porter, LAvantage concurrentiel.

Chapitre 4

Chane de la performance

HISTORIQUE
La Supply Chain Management (SCM), ou gestion de la chane logistique,
sintresse aux processus cls de la fabrication, la planification, au
suivi de la production, lexcution et au contrle de la performance.
Lors de son apparition en France, la gestion de la chane logistique tait
principalement centre sur la fonction excution (fabrication, entrepts,
transport logistique).

DFINITION
Lentreprise permet de dfinir et didentifier un ensemble de domaines
de performances propres son activit :
les ressources humaines ;
les processus internes ;
les relations clients ;
les finances.
RETENIR

Groupe Eyrolles

En suivant le modle de la chane de la performance, lentreprise labore


et explicite son modle type de performance, tout dabord par rapport la
vision intuitive quelle sen fait, puis en vrifiant les rsultats statistiques
des corrlations prsumes.

Un des grands avantages de lentreprise est de mettre en uvre une


vision dite totale et commune des facteurs cls de la performance, en
gnral au sein de lentreprise.

292

Les modles

APPLICATION
Le modle est indispensable pour lanalyse, laudit et le diagnostic de
fonctionnement, le management par les objectifs. Il sert la mise en
place et au dploiement de la stratgie de lentreprise.
DANGER
Attention, le modle de performance est propre chaque entreprise ; afin
dtre efficace, il est conseill quil soit construit par les services oprationnels, fonctionnels, en se fondant sur lexprience des femmes et des hommes de lentreprise.

CA

Image
positive

Rentabilit

Rcurrence
des affaires

Satisfaction
des clients

Cots

Efficacit du
processus achats

Qualit

Comptences
du personnel

Satisfaction
du personnel

Formation

Recrutement

Suggestion
du personnel

Groupe Eyrolles

Schma de la chane de la performance

Chapitre 5

Modle des carts


de la qualit de service

HISTORIQUE
En 1985, Parasuraman, Zeithaml et Berry ont dfini le modle le plus
reconnu pour lvaluation de la qualit du service et de la satisfaction de
la clientle. Ils lont appel le modle des carts de la qualit de service.

DFINITION
Ce modle est utilis pour la gestion de la qualit, le management stratgique et oprationnel.

Modle de la qualit
Service attendu
Service attendu de la part du client, il sagit dune attente mesurable :
fonction de la diffrence entre les attentes du client et sa perception du
service offert. La satisfaction du client est plus grande lorsquil peroit
quon lui offre un bon service, quand ses attentes sont compatibles avec
le service que lorganisation peut fournir.

Groupe Eyrolles

Service reu
Service reu de lentreprise, destination du client, il sagit dune prestation mesurable : fonction de nombreux facteurs externes qui chappent la volont du fournisseur de service.

294

Les modles

Dlivrance du service
Dlivrance du service par lentreprise au client, il sagit dun engagement du fournisseur : fonction de plusieurs facteurs externes comme
lhumeur gnrale du client, qui sont indpendants de la volont de la
direction, des communications tablies avec le client. Si la prestation du
service nest pas conforme aux informations fournies au client, cela
affecte la satisfaction de la clientle.
Offre de service
Offre de service de lentreprise aux clients, engagement contractuel :
fonction des plans dicts concernant la prestation du service, de la ralit de laccueil dont les ressources limites et dautres facteurs influent
sur la capacit doffrir le service. Si les plans de prestation du service ne
concordent pas dans les faits avec la prestation, un cart se creuse et
peut provoquer linsatisfaction du client.
Perception des attentes des clients par le fournisseur
Mesures, sondages : fonction de divers facteurs indpendants de la
volont des gestionnaires, de la perception des attentes du client par
lorganisation. Si les facteurs externes exercent une contrainte sur la planification du service, il est impossible de respecter les attentes du client.
Communication externe avec les clients
Par le fournisseur, fidlisation, prospection : fonction de la tradition,
danecdotes, de lexprience personnelle des attentes de la clientle. Si
les attentes du client sont coupes de ses attentes relles, toute la
chane de la prestation aboutit une moins grande satisfaction.

APPLICATION

lcart entre le service attendu par le client et la perception par


lentreprise des attentes de ce dernier : cart de connaissance (2) ;
lcart entre la perception par lentreprise des attentes des clients et
sa traduction en une offre de service avec ses caractristiques et ses
spcifications : cart de conception du service (3) ;

Groupe Eyrolles

Lcart qui existe entre le service reu, tel que le client le peroit, et le service attendu par ce client, rfrence 1 , est dtermin par quatre carts
dits lmentaires qui sont :

Modle des carts de la qualit de service

295

lcart entre loffre de service dfinie et la ralit du service qui est


vraiment dlivr : cart de mise en uvre (4) ;
lcart entre la ralit du service dlivr et les messages qui circulent
par les communications externes destines la clientle : cart de
communication (5).
Service attendu
Client

Service reu

Dlivrance du service
4

Entreprise

Communication
externe avec
les clients

Offre de service
3

Perception des attentes


des clients

1 Qualit de service globale


2 Qualit de la connaissance des attentes des clients
3 Qualit de la conception de loffre de service
4 Qualit de la mise en uvre de loffre de service

Groupe Eyrolles

5 Qualit de la communication sur le service

Chapitre 6

Les 3C ou le triangle stratgique

HISTORIQUE
Le triangle stratgique a t cr par Kenichi Ohmae (n en 1943) ; cest
lun des plus grands spcialistes mondiaux de stratgie conomique des
entreprises.

DFINITION
RETENIR
Trois critres sont prendre en compte pour laborer une stratgie
dentreprise : lentreprise, la concurrence et le client. Sans ces trois critres
il ny a pas de stratgie. Ces critres sont coupls avec des primtres bien
spcifiques : le primtre fonctionnel pour lentreprise, le primtre comptition pour la concurrence, et le primtre niche ou segment de march
pour le client.

Groupe Eyrolles

Au sein de lentreprise, lensemble des pistes de progrs apporte un


niveau de maturit sur les performances et sur lesprit de comptition
qui existe au sein des services face la concurrence ; cela concerne les
aspects qualitatif, de service, de prix, de rputation, dimage de marque.
La stratgie prend en compte la vision du march par sa segmentation
et, bien entendu, les futures attentes et besoins des clients.

APPLICATION
La stratgie qui va faire la diffrence est celle que lentreprise utilisera
par rapport ses concurrents, en employant ses ressources internes afin

298

Les modles

de rpondre et de satisfaire aux besoins des clients. Pour mener bien


les 3C, il faut avoir un bon niveau de dcision stratgique de la structure
pour que celui-ci puisse agir la fois sur la segmentation, loptimisation
des ressources internes et les diffrents facteurs de comptitivit.

Les clients
Val

eur

eur

Val

Lentreprise

Cots

Les
concurrents

Groupe Eyrolles

Schma des 3C ou le triangle stratgique

Chapitre 7

Les 5S

HISTORIQUE
Le modle 5S a vu le jour au Japon dans les annes 1947-1950. Cr par
le japonais Takashi Osada, il sinscrit dans la dmarche Kaizen et, gnralement, fait partie de ses outils.

DFINITION
RETENIR
Le modle 5S repose sur cinq critres importants qui sont le dbarras, le
rangement, le nettoyage, lordre et la rigueur. Llimination du gaspillage
est le vecteur commun aux cinq critres.

Le modle 5S vise donner un oprateur une meilleure matrise de


son environnement de travail.

APPLICATION

Groupe Eyrolles

Lappellation 5S tire son origine de la premire lettre de chacune


des cinq oprations conduire dans le cadre de cette technique de
management.

Seiri (se sparer de linutile)


Cette opration vise trier ce qui est strictement ncessaire et qui doit
tre gard en se sparant du reste. Elle touche la fois aux objets matriels et immatriels qui environnent ou conditionnent les mthodes de

300

Les modles

travail (normes, rgles, documentation). Elle lutte contre le penchant


bien naturel qui consiste accumuler.

Seiton (mettre de lordre dans ses affaires)


Cette opration consiste amnager au mieux les moyens ncessaires
en rduisant les gestes inutiles et les pertes de temps. Une place pour
chaque chose, chaque chose sa place.

Seiso (nettoyer)
Cette opration, valable surtout en milieu industriel, assure la propret
du poste de travail en luttant contre la poussire, la salet, les chutes de
matriaux, les fuites dhuile. Lentretien des sols et de machines y prend
une importance toute particulire. Le nettoyage devient loccasion et le
moyen dinspection des machines pour dtecter les anomalies et les
usures prmatures.

Seiketsu (rendre vident)


Cette opration dfinit les rgles par lesquelles le poste de travail restera
dbarrass des objets inutiles, rang et nettoy (repres visuels, notamment). Elle consolide les trois oprations prcdentes.

Shitsuke (amlioration continue)


Cette opration est du ressort hirarchique. Elle se fixe pour but le
maintien des bonnes habitudes, en soutenant et encourageant le personnel adhrer aux rgles.

Conditions de russite
Elles consistent en une adhsion active de la direction la dmarche,
puis en la participation de chaque collaborateur.

STRATGIQUE
Les 5S sont utilises dans les milieux industriels, mais le secteur des services
commence sy prter ; le syndrome du bureau net y est pour quelque
chose

Groupe Eyrolles

Des audits sont raliss de manire rgulire afin de voir (preuves, photos, consignes), vrifier, contrler si la dmarche est bien utilise.

Chapitre 8

Les 5P

HISTORIQUE
Le modle des 5P ou des 5 pourquoi , tout comme le modle des 5S,
est apparu dans les annes 1947-1950 au Japon. Il sinscrit dans la
dmarche Kaizen, et fait partie de son panel doutils.

DFINITION
Le modle 5P permet de trouver la cause premire dun problme. Il
repose sur un questionnaire que lon appelle les 5P, les 5 pourquoi ,
ou les 5W.
CIBLE ATTEINDRE
Trouver la cause premire (origine) dun problme.

APPLICATION

Groupe Eyrolles

Le modle 5P sapplique de la faon suivante :


Identifier un problme traiter (complexe de prfrence).
Identifier les principaux acteurs (experts, clients internes, fournisseurs dans certains cas) qui seront dans le groupe de travail.
Recenser lensemble des preuves et les centraliser pour travailler
avec le groupe.
Durant la runion, questionner cinq reprises les diffrents acteurs
concerns par le problme.
Btir avec le groupe les diffrentes sources de rponses obtenues
suite aux 5 pourquoi , questions poses.

302

Les modles

Identifier et valider lorigine ou les origines du problme dans le cas


dun problme complexe.
Proposer un plan dactions pour la rsolution du problme ; attention, cela peut demander un peu de temps (contrat revoir, modification dun programme de production, traitement informatique).
Il est important de travailler plusieurs sur les rsolutions de problmes.

Exemple de mise en place dune dmarche 5P


pour un problme industriel
Vous tes dans un atelier de production et voyez un ouvrier qui verse
du sable par terre. Vous lui dites :
Pourquoi rpandez-vous du sable par terre ?
Parce que cest dangereux

Pourquoi cest dangereux ?


Parce que cest glissant

Pourquoi cest glissant ?


Parce quil y a de lhuile

Pourquoi y a-t-il de lhuile par terre ?


Je crois que cest une fuite de la machine

Vous lui demandez douvrir la machine et voyez que le joint est dfectueux. Vous lui prcisez alors quil vaut mieux changer le joint afin
darrter la fuite une fois pour toutes, et que cela vitera ainsi dutiliser
du sable.
Bravo ! Vous tes arriv la cause (origine) du problme.

Groupe Eyrolles

Pourquoi y a-t-il une fuite sur cette machine ?


Cela doit venir du joint dhuile

Chapitre 9

Les 5 forces

HISTORIQUE
Le modle des 5 forces a t dvelopp par lconomiste Michael Porter
en 1979.

DFINITION
Le modle synthtise les facteurs influant sur la performance dune
entreprise par cinq forces : le pouvoir de ngociation des clients, le
pouvoir de ngociation des fournisseurs, la menace des nouveaux
entrants, la menace des produits de substitution et lintensit de la concurrence du secteur.

Les 5 forces
Les clients
Les clients ont la possibilit dinfluencer les cots de vente, mais aussi la
qualit de production et les dlais de livraison des produits finis.
Les fournisseurs

Groupe Eyrolles

La gestion des fournisseurs ou supplier management (SM) est le processus consistant grer les fournitures et les services afin dobtenir une
qualit de service sans discontinuit, et dassurer la valeur des investissements.
Les nouveaux entrants
Un secteur attractif est porteur de nouveaux concurrents. Lentreprise
face ces rivaux doit ragir par la mise en place de barrires pour les

304

Les modles

nouveaux prtendants. Une nouvelle entreprise doit payer un lourd tribut afin de stablir sur le secteur.
Les produits de substitution
Ces produits sont une alternative loffre principale ; gnralement, ils
rpondent une demande semblable. Exemple : une entreprise de produits laitiers peut proposer la vente des biscuits au lait.
La concurrence
Sur un secteur identique, les entreprises se livrent une comptition
afin de survivre ou damliorer leur statut.

APPLICATION
CIBLE ATTEINDRE
Le modle des 5 forces est utilis pour laborer une analyse stratgique
externe.

Dautres forces peuvent venir enrichir les 5 forces principales ; dautres


acteurs comme les institutions publiques, les administrations, les collectivits locales
Nouveaux
entrants

Concurrents
du secteur

Produits
de substitution

Les clients

Groupe Eyrolles

Les fournisseurs

Chapitre 10

Les 7S

HISTORIQUE
Ce modle date de la fin des annes 1970, Richard Pascale et Anthony
Athos stant demand les raisons de la russite des entreprises japonaises. peu prs la mme poque, Tom Peter et Robert Waterman, dans
leur clbre ouvrage Le Prix de lexcellence, staient pos la mme question. Ds lors, ces quatre auteurs ont travaill la mise en place de ce
modle, appel les 7S, repris depuis par lentreprise de conseil McKinsey.

DFINITION
Ce modle des 7S aide saisir la dynamique dune organisation, qui
permet dorienter globalement et efficacement les objectifs des raisons
du changement.

APPLICATION
Le modle est compos de 7 lments, dont tous les termes anglais
commencent par un S :

Groupe Eyrolles

Shared value : Les valeurs partages de lentreprise, qui sont au centre


du modle. Cet lment est en interaction avec les 6 autres concepts
dtermins dans le modle des 7S.
Strategy : La stratgie de lentreprise (rpondre aux buts avec des
moyens).
Skills : Le savoir-faire (lutilisation des connaissances).
Staff : Le personnel (lutilisation des comptences).

306

Les modles

Style : Le style ou la manire du personnel dirigeant de se comporter


dans la ralisation des buts de lentreprise.
Systems : Le systme indique le comment de la ralisation dune
tche au travers dun ensemble de procdures, de modes opratoires, de tches distinctives.
Structure : La structure qui rvle lagencement des diffrentes sections de lentreprise, et la faon dont elles interagissent les unes par
rapport aux autres.

Structure

Stratgie

Systme
Valeurs
partages

Savoir-faire

Style
Personnel
(staff)

Groupe Eyrolles

Source : R. H. Waterman, Jr.Thomas, The 7 framework.

Chapitre 11

Matrice Atouts/Attraits

HISTORIQUE
Le modle de la matrice Atouts/Attraits doit sa conception James OI.
McKinsey en 1926 ; il sagit dun outil daide la dcision.

DFINITION
Cette matrice permet de savoir si lentreprise possde suffisamment
datouts pour rpondre un march o les attraits sont levs pour les
clients.

APPLICATION
Ce modle est reprsent dans une matrice o, gnralement, les
Atouts sont en abscisse et les Attraits en ordonne. Attrait comme
Atout sont spars en faible , moyen et fort ; ce qui permet de
positionner la stratgie de lentreprise sur lventuelle prise de dcision.

Attraits

Fort
Moyen

Groupe Eyrolles

Faible
Faible

Moyen

Fort

Atouts
Source : Kenichi Ohmae, Le Gnie du stratge, Dunod, 1992.

Chapitre 12

Matrice Croissance/
Part de march

HISTORIQUE
Lvaluation et la classification des produits se font en utilisant le
modle danalyse du Boston Consulting Group (BCG), qui porte le nom
de Growth Share Matrix. Le modle a t mis au point au cours des
annes 1970 par le BCG. Les produits sont reprsents dans une matrice
comme celle reprsente ci-dessous.
Taux de croissance
du march

Forte

Vedette

Dilemme

Faible

Vache
lait

Poids
mort

Groupe Eyrolles

Part du march
relative
Forte

Faible

310

Les modles

DFINITION
Quand une entreprise prend une dcision stratgique en rapport avec le
segment de march, elle doit sassurer de deux lments : la croissance
du march et la part quelle y dtient.
RETENIR
Le modle matrice Croissance/Part de march permet de croiser les deux
aspects. Sur laxe du taux de croissance, la valeur mdiane correspond au
taux du march qui est concern. Laxe Part de march indique le rapport en volume au principal concurrent.

Il y a quatre types de positions :


les vedettes ou les stars, produits leaders dans un march croissance rapide ;
les vaches lait, produits leaders dans un march faible croissance ;
les dilemmes, produits peu comptitifs sur un march croissance
rapide et forte ;
les poids morts, produits peu comptitifs sur un march croissance
faible.
Le lien qui existe avec le cycle de vie est le suivant : les vedettes deviennent des vaches lait qui deviennent des poids morts. Il faut savoir que
plus la croissance est rapide, plus les besoins de liquidits sont forts et
importants, plus la position de la concurrence est bonne, plus elle
gnre des liquidits.
Les entreprises ont donc intrt rentabiliser et traire les vaches
lait pour investir dans les vedettes ou les dilemmes qui peuvent devenir
des leaders, et abandonner peu peu les autres dilemmes et les poids
morts.

Ce modle permet dvaluer des stratgies, des dcisions stratgiques.

Groupe Eyrolles

APPLICATION

Chapitre 13

Matrice Importance/
Urgence

HISTORIQUE
Cette matrice est galement connue sous le nom de matrice ABC. Pour
rsoudre les problmes de surcharge de travail, D. Eisenhower (18901969), commandant en chef des forces allies en Europe, a mis au point
la matrice Importance/Urgence.

DFINITION
RETENIR
Les activits peuvent se classer la fois selon leur degr durgence et leur
degr dimportance.

Groupe Eyrolles

Le critre urgence est primordial ; il permet de grer les priorits, car


de nombreuses erreurs et dysfonctionnements existent, des confusions
ont lieu entre limportance et lurgence, ce qui rend difficile lordonnancement des priorits.
Une organisation est prconise afin de faire prvaloir le critre importance ; cela demande un traitement spcifique : il faut prendre suffisamment de temps pour traiter les activits dites importantes et urgentes,
puis traiter les autres activits non urgentes.
La matrice est utilise par le management oprationnel.

312

Les modles

APPLICATION
Sur une matrice, lurgence est indique en abscisse et limportance
en ordonne. Chaque lment, urgence ou importance , est divis
en deux parties, faible ou fort . Ds lors, nous avons :
Priorit
Priorit
Priorit
Priorit

1
2
3
4

:
:
:
:

Tche
Tche
Tche
Tche

importante et urgente.
importante mais pas urgente.
urgente mais pas importante.
non urgente et non importante.

Importance

Forte

Faible

4
Urgence

Forte

Faible

Groupe Eyrolles

Chapitre 14

MSP-SPC

HISTORIQUE
La Matrise statistique des procds (MSP) ou Statistical Process Control
(SPC) date du milieu des annes 1920 grce Walter A. Shewart, ingnieur la Western Electric, qui fut le premier travailler sur les techniques statistiques de contrle de la qualit des produits finis. Il a eu
comme lve Edwards Deming, le fondateur de la clbre roue (PDCA).
MSP est un modle fond sur lanalyse statistique ; cet outil permet de
matriser la production.

DFINITION
RETENIR
MSP-SPC a une approche culturelle concernant la comprhension des
notions dintervalles de tolrance et une approche plus technique concernant les outils.

Groupe Eyrolles

Tous les procds ne sont pas capables de reproduire exactement le mme


produit (rglage de la machine, humidit, chaleur).

Le MSP-SPC utilise le modle 5M ; il sagit dun outil qui permet de distinguer les cinq lments principaux qui sont la base des dispersions
possibles lors dun procd industriel. Le 5M a pour objectif de travailler sur les cinq causes fondamentales responsables des diffrentes
dispersions (non-qualit) : machine, main-duvre, matire, mthodes,
milieu.
Beaucoup de variations, souvent alatoires, dune caractristique suivent une courbe dite en cloche.

314

Les modles

On distingue deux types de causes :


les causes communes : il sagit de nombreuses sources de variations
qui sont difficilement matrisables et qui sont prsentes dans diffrents procds. Ces causes communes forment la variabilit intrinsque du procd, cette variabilit suivant souvent la loi de Gauss ;
les causes spciales : il sagit de dispersions identifiables, irrgulires,
instables, imprvisibles. Cela ncessite une intervention sur le procd ; heureusement, ces dispersions sont limites. Par exemple, la
machine est drgle suite lusure dun outil.

APPLICATION
tape 1
But : connatre la variabilit naturelle du procd.
Comment : raliser une carte de contrle sans limite.
Aller ltape 2.
tape 2
But : fixer les limites des variations gnres par les causes communes.
Comment : en utilisant la moyenne des variations observes en 1 ou 4.
Aller ltape 3.
tape 3
But : prvenir lapparition des causes spciales, dcouvrir les actions
susceptibles damliorer la capabilit du procd.
Comment : dtecter sur les cartes les variations de rglage et de capabilit.
Aller ltape 4.
tape 4
But : amliorer la capabilit du procd.
Groupe Eyrolles

Comment : en rsolvant les problmes mis en vidence par ltape 2.

Chapitre 15

PEST

HISTORIQUE
Le modle PEST est apparu dans les annes 1960 aux tats-Unis, il est
aussi appel lanalyse PEST. Il concerne quatre grandes activits : la
politique, la technologie, le social et lconomie ; activits qui ont des
impacts directs sur le fonctionnement des entreprises. Le modle sest
rapidement rpandu en Europe et, de nos jours, il est mondialement
connu.

DFINITION
RETENIR
Les impacts sur le fonctionnement de lentreprise, les performances de
lentreprise ainsi que tous les facteurs lis lenvironnement sont prsents dans le modle PEST.

Il sagit des facteurs :


politiques (P) : orientations politiques, actions des pouvoirs publics
conomiques (E) : inflation, conjoncture, chmage, taux de change

Groupe Eyrolles

sociaux (S) : comportements ou attentes des clients et des salaris


technologiques (T) : volution des technologies, des produits et services, des mthodes de travail
Les facteurs types, nationaux, march conomique, mondialisation
sont galement pris en compte.

316

Les modles

APPLICATION
Les relations entre lentreprise et lenvironnement sont analyses au travers du modle PEST : les changements, les volutions, le tout avec une
vision futuriste par rapport aux objectifs de lentreprise.
Des rapprochements sont possibles entre des critres environnementaux et les expertises sur les futures menaces. Les critres lis aux changements sont associs au domaine de lenvironnement.
Des rapprochements sont possibles aussi concernant le positionnement
de lentreprise par rapport aux concurrents.
Facteurs
politiques

Entreprise

Facteurs
conomiques

Facteurs
sociaux

Groupe Eyrolles

Facteurs
technologiques

Chapitre 16

Principe de Pareto
ou loi des 80/20

HISTORIQUE
Cest lconomiste Vilfredo Pareto qui a dcouvert ce phnomne de
distribution ingale, en analysant la rpartition des diffrentes richesses
dans plusieurs pays des priodes diffrentes. Le qualiticien Juran a t
un fervent promoteur de cette analyse.

DFINITION
Le principe de Pareto est une analyse qui permet de classer les causes
dun dysfonctionnement, dun problme, dun incident ou dune situation, par ordre dcroissant. Dans de nombreux domaines, une forte proportion des rsultats est due une petite proportion des ressources ou
des causes. Par exemple, 20 % des fonctions dun tlphone portable
correspondent 80 % de son utilisation.

APPLICATION

Groupe Eyrolles

Cet outil est utilis pour dfinir des priorits et des stratgies daction
qui correspondent aux managements stratgique, oprationnel et de la
performance (qualit).

Les modles

20 %

80 %

Ressources
Causes

Rsultats
Effets

Groupe Eyrolles

318

Chapitre 17

RACI

HISTORIQUE
Il ny a pas de date spcifique, ce quil faut retenir est que cette mthode
est utilise depuis longtemps dans la gestion de projets, en gnral, les
plans daction. Elle est employe de manire rgulire dans la rpartition
des tches ou des activits.

DFINITION
RETENIR
Mthode dorganisation qui a pour but didentifier les intervenants pour
la ralisation dune tche. Souvent le qui fait quoi est utilis.

R = Responsable, A = Approbation, C = Consultation, I = Information


Responsable : cest la personne qui ralise la tche ou laction. Il
peut y avoir plusieurs personnes qui ralisent la tche.
Approbation : il y a toujours un seul approbateur de la tche. Il doit
donner un retour sur lavancement de la tche.
Consultation : la consultation est faite par les participants.

Groupe Eyrolles

Information : ce sont les personnes qui doivent tre informes.

APPLICATION
Lutilisation du modle RACI permet didentifier le qui fait quoi . Il est
souvent employ sous forme de matrice.

320

Les modles

Direction
qualit

Direction
support

Direction
projet

Sous-traitant

Dfinir le pilote

Mettre en place le pilote

Former les utilisateurs


du site pilote

R/A

Dployer la solution
PDCA sur le site pilote

R/A

Observer le site pilote

R/A

Bilan du dploiement
du site pilote

R/A

Activits

Groupe Eyrolles

Acteurs

Chapitre 18

SMED

HISTORIQUE
Aprs la Seconde Guerre mondiale, le modle SMED a t dvelopp
par Shigeo Shingo pour le compte de lentreprise Toyota, son employeur.

DFINITION
RETENIR
Le modle SMED (Single Minute Exchange of Die) est un modle dorganisation visant rduire les temps de changement des outillages.

La dure des changements des outillages sur les lignes de fabrication a


pour consquence la taille minimale des lots lancs en production.
Rduire ces temps entrane une vritable optimisation du cot global de
revient des produits fabriqus. Single Minute signifie un temps infrieur
dix minutes.

APPLICATION

Groupe Eyrolles

Les quatre tapes du modle SMED sont les suivantes :


faire linventaire de toutes les tches raliser pour effectuer le changement ;
raliser en temps masqu toutes les tches externes ;
rduire les temps internes (temps attribu larrt des machines) par
des actions cibles damlioration ;
rduire la charge des temps externes (pendant le fonctionnement
des machines).

322

Les modles

Lobjectif est de diminuer le temps de mise en train (MET), cest--dire


la partie consacre au rglage de la machine.

Groupe Eyrolles

Les effets bnfiques que le SMED engendre sont nombreux : une forte
augmentation de la flexibilit globale des quipements ou des lignes de
fabrication, une grande diminution des temps de dfilement

Chapitre 19

SIPOC ou les relations


client-fournisseur

HISTORIQUE
Le SIPOC est n en mme temps que le Six Sigma dans les annes 19801990 aux tats-Unis.

DFINITION
Le sigle SIPOC correspond aux cinq lments permettant danalyser la
relation client-fournisseur :
Supplier (sous-traitant ou fournisseur) : la personne ou le groupe de
personnes qui fournit linformation, le produit, ou toute autre ressource indispensable au bon fonctionnement du processus.
Input (entres) : ce qui est apport par le sous-traitant ou le fournisseur.
Processus : ce qui concerne le processus, cest--dire la bote noire.
Output (sorties) : le produit final du processus.
Customer (client) : la personne, le groupe de personnes ou le processus qui reoit le produit final.

Groupe Eyrolles

La qualit dun service est lcart qui existe entre le service reu, tel que
le client le peroit, et le service attendu par ce client.

APPLICATION
Il sagit dun des outils de la mthode Six Sigma.

324

Les modles

CIBLE ATTEINDRE
Le modle SIPOC permet de clarifier correctement le primtre des processus. Il identifie un ensemble dlments (les acteurs, les fournisseurs, les
clients, les quipes). Cet outil est utilis pour le management du changement et le management de projet.

Input
Entres

Processus
(processus)

Output
Sorties

Customer
(client)

Groupe Eyrolles

Supplier
(fournisseur)

Chapitre 20

SWOT

HISTORIQUE
Cest au dbut des annes 1950 que la rflexion sur un modle stratgique a vu le jour. Il faudra attendre dix ans, pour quen 1960 Albert
Humphrey en fasse un modle.

DFINITION
Lacronyme SWOT signifie : Strengths (forces), Weaknesses (faiblesses),
Opportunities (opportunits), Threats (menaces).

APPLICATION

Groupe Eyrolles

La russite dune entreprise dpend de la faon dont elle gre lensemble de ses ressources internes, sources de forces et de faiblesses, en
relation directement avec son environnement, sources dopportunits et
de menaces.
Un des objectifs du modle SWOT est dviter de passer ct lors dun
diagnostic en analysant uniquement les points faibles. Le modle SWOT
doit, bien entendu, tre en mesure dintgrer une part dite subjective,
voire pragmatique (le modle est ouvert). Une force pour certains un
moment peut devenir une faiblesse un autre moment et pour dautres.
Des menaces peuvent tre transformes en opportunits (cela fait partie
de ltat de lart du management). Le modle permet de donner une
vision rapide et synthtique de la situation dans laquelle se trouve
lentreprise.

326

Les modles

lments
internes

lments
externes

lments
positifs

Forces

Opportunits

lments
ngatifs

Faiblesses

Menaces

Groupe Eyrolles

Le modle SWOT est employ dans plusieurs cas : pour ltude dune
organisation, dune entreprise, dun processus, dun dpartement, dun
service, dun planning stratgique et dcisionnel.

Chapitre 21

TPM

HISTORIQUE
Le modle TPM a vu le jour dans les annes 1970, au Japon.

DFINITION
Le sigle TPM signifie Total Productive Maintenance ; il sagit de lvolution des mthodes de maintenance :
Total : concerne tout le monde.
Productive : assurer et garantir la maintenance, tout en perturbant le
moins possible la production.
Maintenance : maintenir en bon tat et bon usage, nettoyer, rparer.
Le but de la TPM est darriver zro accident, zro panne, zro dfaut.
Les indicateurs cls de la TPM sont :
le taux de rendement conomique (TRE) = U/Temps total ;
le taux de rendement global (TRG) = U/P ;

Groupe Eyrolles

le taux de rendement synthtique (TRS) = U/R.


TRS prend en compte la disponibilit, la performance et la qualit
qui affecte le rendement de la machine.
Le TRS est souvent utilis dans le milieu industriel ; cest le produit de
trois indicateurs : Taux de marge brut Taux net de fonctionnement
Taux de qualit.

328

Les modles

P = temps douverture

R = temps requis

F = temps de fonctionnement

E = temps net

U = temps
utile

Arrts planifis

Pannes, pertes

Perte
cadence

Nonqualit

Temps total = Temps thorique de fonctionnement maximum (24 h/jour).


P = Temps total Fermeture, soit lamplitude de travail pour une machine/un atelier.
R = Temps dit brut de fonctionnement.
F = Temps de fonctionnement avec n alas venant gner la production.
E = Temps de fonctionnement cart de cadence.
U = Temps net Perte de qualit.

Il est demand avec la TPM que les diffrents acteurs (utilisateurs de


machine, pilote, oprateur) puissent tre mme de pouvoir intervenir
un premier niveau sur leur environnement pour les aspects maintenance.
Dans de nombreux domaines, le ct autonomie permet de responsabiliser les personnes et de filtrer les vrais problmes des autres.

APPLICATION
La mise en application de la TPM seffectue en plusieurs tapes. La premire tape concerne limplication de la direction : elle a le devoir de
montrer lensemble du personnel que la TPM a toute son importance
au sein de lentreprise. La direction se doit de faire connatre et de porter
la TPM auprs de lensemble du personnel et plus particulirement
auprs des dpartements et des services de production.

Groupe Eyrolles

Le sponsor

TPM

329

Le meilleur moyen pour cela est didentifier et de lister le nombre de


pannes machine sur un mois, les dlais dintervention et de rparation
que doivent assurer, dans bien des cas, lunique quipe de maintenance
de lentreprise. Dautres critres peuvent venir sinscrire dans cette
tude, comme la disponibilit des pices de rechange.

Les enjeux
Une fois que cette tude est ralise, la deuxime tape consiste, pour la
direction et plus particulirement les responsables de production, dfinir et fixer des objectifs atteignables damlioration. Cest partir de l
que la TPM rentre en jeu, elle permet de rduire les pannes machine, les
arrts de chanes de production intempestifs, bref les pertes de temps et
dargent. Quelques mois aprs avoir mis en application la TPM, les pannes machine sont sous contrle et de vritables bnfices apparaissent :
de nouvelles connaissances pour le personnel, des gains de productivit,
moins darrts machine, une meilleure matrise de lenvironnement de
travail Toutes les amliorations lies la productivit apportent directement ou indirectement des bnfices financiers lentreprise.

Les acteurs
La troisime tape concerne la motivation des quipes oprationnelles.
Afin que celles-ci sapproprient rellement la TPM, il est conseill de
nommer un ou plusieurs pilotes par quipe, recevant une formation plus
approfondie sur la TPM et ayant pour rle de former les autres membres
de son quipe la TPM.

Lacclrateur

Groupe Eyrolles

La quatrime tape consiste sappuyer sur les 5S, car ces derniers
sinscrivent tout fait dans une dmarche TPM. Par exemple, le rangement des pices, de son poste de travail, le nettoyage de sa machine ou
de son robot vitent davoir un ensemble de dysfonctionnements, perturbations sur les lignes de production, les 5S sont dvelopps plus en
dtail dans notre ouvrage.

Lorganisation
La cinquime tape concerne les ressources dont doivent disposer les
quipes de production qui devront faire de la maintenance de premier

330

Les modles

niveau dans le cadre de la TPM. Il faudra en effet prvoir quelques pices de rechange, outils, moteurs disposition sur place, prs des
lignes de production, afin de pouvoir intervenir rapidement, en interrompant le moins possible la production.
Un mini-stock de pices ou doutils disposition des quipes TPM sera
rang dans une armoire ou un coffre spcifique. Il ne sagit en aucun
cas de crer des stocks tampons un peu partout dans lusine. Il existe
gnralement un magasin de pices de rechange, localis un endroit
prcis de lusine.

Lintervention
La TPM demandant une grande autonomie de la part des quipes de
maintenance de premier niveau, la sixime tape porte sur ce point.
Cela se traduit par des consignes, des procdures et des process entre
les quipes. Les comptences et les astuces mtiers sont partages, une
vritable polyvalence mtiers est ralise entre les quipes. Laspect
visuel est trs important : des repres de couleur sur les machines,
comme un trait rouge pour indiquer le niveau minimum dhuile sur une
machine, permettent aux quipes de production ou de maintenance
dintervenir pour effectuer des oprations de maintenance prventives
(avant un incident) ou correctives (suite un incident).

Lamlioration
La septime et dernire tape de la TPM concerne la dmarche damlioration continue. Le premier niveau de maintenance est important mais
certaines quipes souhaitent aller plus loin, on parle alors de deuxime
niveau de maintenance. Les activits seront alors plus spcifiques, voire
plus pointues lors des interventions sur les machines, robots On se
rapproche de lexpertise.

Pour mettre en place la TPM dans une entreprise, il faut compter entre
cinq et huit mois selon la taille de lentreprise, des dpartements et des
services de production ; cela demande de linvestissement en temps et
en hommes mais, trs rapidement, des amliorations oprationnelles et
organisationnelles apparaissent.

Groupe Eyrolles

Le calendrier

Conclusion

Nous esprons maintenant que le monde des NRMM est beaucoup plus
comprhensible pour vous et que des portes se sont enfin ouvertes. Un
des objectifs de louvrage est dapporter aux lecteurs une vision globale
des NRMM. Nous vous demandons de faire un rapprochement avec
votre propre exprience ; comme dans beaucoup de domaines, sa propre exprience professionnelle acquise en entreprise permet de mieux
comprendre limportance des NRMM dans le monde professionnel.
Cela dit, la richesse de cet ouvrage est de permettre aux non-initis
dacqurir des bases lmentaires de manire rapide et simple. Les
NRMM peuvent tre utilises de manire globale, face aux besoins
dune norme, dun rfrentiel, de plusieurs mthodes et modles, ou de
manire modulable ; dans ce cas, il est alors possible de nutiliser que la
partie mthode ou modle dont on a besoin.
Cet ouvrage doit vous servir de guide ; il prsente un rel avantage en
vous proposant un large choix de mthodes et de modles. Pour une
lecture plus facile, nous vous dconseillons de lire cet ouvrage du dbut
la fin, mais de lire en priorit ce dont vous avez besoin.
Un autre avantage est que chacun puisse se reconnatre et se retrouver ;
cet ouvrage concerne toutes les directions :
direction gnrale (exemple : BSC) ;
direction financire (exemple : Sarbanes-Oxley) ;
direction du marketing (exemple : benchmarking) ;

Groupe Eyrolles

direction du SI (exemples : ITIL V3, CMMI) ;


direction RH (exemple : OHSAS) ;
direction mthodes & qualit (exemples : PDCA, Kaizen) ;
direction industrielle (exemples : Six Sigma, Lean, 5S) ;
direction logistique (exemple : JAT) ;

332

Les modles

direction commerciale (exemple : 5F) ;


direction achats (exemple : TCO).
Le rle de la direction gnrale est de montrer le chemin suivre pour
lentreprise ; NRMM apporte connaissances et mthodes auprs des
femmes et des hommes de lentreprise, et cela quel que soit le service,
le dpartement, ou la direction.

CLIENTS ET FOURNISSEURS
DIRECTION DE LENTREPRISE
1

NORMES

RFRENTIEL

MTHODES

MODLES

Femmes et hommes
de lentreprise

Le personnel

March conomique national et international

Le personnel
Sans ladhsion des femmes et des hommes de lentreprise, malgr les
NRMM, la partie est perdue davance. Toute la stratgie NRMM repose

Groupe Eyrolles

Aprs la suite logique de la prsentation des tapes 1 (les normes),


2 (les rfrentiels), 3 (les mthodes), 4 (les modles), nous arrivons aux
deux dernires tapes qui sont les tapes 5 (les femmes et les hommes
de lentreprise) et 6 (le march conomique) dcrites ci-dessous.

Conclusion

333

sur limplication du personnel ; on a souvent tendance loublier. Nous


attirons votre attention sur cette tape 5, qui est cruciale pour la bonne
mise en uvre, lutilisation et loptimisation des NRMM au sein de
lentreprise. Nous prendrons limage du cur qui est assez reprsentative. Il faut bien comprendre que les femmes et les hommes de lentreprise reprsentent le cur de lentreprise et, sans cur, personne ne
peut vivre, mme si lentreprise a les meilleurs outils ; ainsi, sans limplication du personnel rien nest possible. On pense souvent que tout est
acquis, tout va se passer facilement, alors que ce nest pas toujours le
cas.
Mettre en place les NRMM au sein de son entreprise met en jeu de nombreux facteurs : la stratgie, lorganisation, la communication, la formation tous les niveaux hirarchiques de lentreprise sont impliqus.

Groupe Eyrolles

Il sagit dune rvolution organisationnelle, structurelle et culturelle


pour lentreprise, et afin dviter des problmes, complications et autres,
le passage dun ancien rgime un nouveau rgime requiert un travail
important de prparation car la culture dentreprise est remise en cause.
En rgle gnrale, quand on annonce aux personnes quelles vont
devoir effectuer de nouvelles activits, suivre une nouvelle organisation elles sont sur leurs gardes : cest humain, nous avons nos habitudes, nous matrisons ce que nous faisons, nous pensons connatre tout
le primtre de nos activits, et tout coup, sur une dcision de la
direction, nous devons revoir notre mode de travail et de fonctionnement. ce moment-l, plusieurs questions nous viennent lesprit : et
pour moi, quest-ce que cela va avoir comme effet ? Que vais-je devoir
faire ? Serai-je la hauteur ?
Cest alors que nous passons par diffrentes phases de comportement :
la peur, lincomprhension, la remise en cause de ses comptences, le
manque de savoir, la crainte de ne pas tre la hauteur, le refus Pour
certaines personnes, cela a leffet inverse : nouveau challenge, dcouverte pour dautres, il y aura de la rsistance, de la reconnaissance.
Tous les cas de figure sont possibles. Nous vous prsentons deux schmas reprsentatifs du comportement humain face aux changements
dans un contexte professionnel.
Le premier schma reprsente la courbe du changement chez lindividu.

334

Les modles

Attitude face aux changements


INFORMATION
ET ATTENTE

APPROPRIATION
ET ALLIANCE

Temps

RFLEXION
ET PRISE DE
CONSCIENCE

OPPOSITION
ET RSISTANCE

La courbe du changement

Afin de rduire et de limiter ltape opposition/rsistance, une bonne


communication est faire auprs de lensemble du personnel de lentreprise.
Le second schma reprsente ltape de rflexion, de changement et
dappropriation ; il sagit de toutes nos actions afin de transformer le
changement en solution doptimisation pour notre activit professionnelle.

couter

Comprendre

crire

Appliquer

Contrler

Communiquer

Capitaliser

Amliorer

La peur du changement, avec son cycle de remise en question

Groupe Eyrolles

Corriger

Conclusion

335

La direction se doit de travailler en troite collaboration avec lensemble


du personnel ; il faut que tout le personnel se retrouve dans le choix fait
par la direction. Cela saccompagne par un changement plus ou moins
fort des mentalits et de la culture de lentreprise ; il faut que le personnel passe dun tat statique et passif (rsistance, opposition) un tat
actif et volontaire (participation, suggestion damlioration).

Le march conomique
La vision globale permet de mieux comprendre limportance des NRMM
dans lorganisation et la stratgie des entreprises.
Le march conomique est national (europen) et international (mondial). Les acteurs des marchs nationaux et internationaux utilisent les
NRMM.
On constate que chaque domaine a son propre NRMM, et que des
mutualisations se font :
production (ITIL V3, Prince 2, ISPL, ISO 20000, PDCA, COBIT, CMMI,
e-SCM) ;
industrie (Kaizen, Lean) ;
environnement (ISO 9000, ISO 14000, ISO 26000) ;
audit (ISO 20000, CMMI, ISO 19011) ;
tudes (CMMI, SPICE, ISO 15504, ISO 12207) ;
scurit (ISO 15408, ISO 27000, ITIL V3) ;
risques (SOX, COBIT, ISO 31000).

Groupe Eyrolles

Dans beaucoup dentreprises nationales et internationales, les organisations, les institutions, les administrations sappuient sur des normes, des
rfrentiels, des mthodes et des modles pour rester dans la course.
Nous esprons que cet ouvrage vous a plu et vous est utile dans votre
vie professionnelle, dans vos tudes ou dans vos recherches de tous les
jours. Un dernier conseil : il ne faut pas tout apprendre, les symboles
sont l pour vous simplifier la lecture et la comprhension, mais savoir
que vous disposez dun ensemble dinformations dans un seul et mme
ouvrage est important.
Merci de votre confiance et bientt.

ANNEXES

Annexe 1

Groupe Eyrolles

Cartographie des NRMM

Risques
ISO 20000

COBIT
ITIL

eSCM

CMMI

SPICE

ISPL

ISO 15504
ISO 19501
COSO

BOOTSTRAP

IPD-CMM

PRINCE 2

SSE-CMM
SW-CMM

SA-CMM
ISO 21827

BILL

PROMPT

ZACHMAN

TRILLIUM

tudes

Production
ISO 18044

ISO 25000

ISO 10006

ISO 10005

HAS

ISO 9126

ASL
ISO 31000

TICKIT
ISO 17799

ISO 13335

ISO 10007

EFQM
ISO 8402

BS7799

ISO 27000

ISO 9001
/2000

PMP
ISO 9004

TQM
BS 8800

PMBOK

ISO 10011
ISO 15408

SA 8000

ISO 26000

DSDM

ITSEC
CISSP

Groupe Eyrolles

ISO 19011

OHSAS

Scurit
LGENDE

Qualit
Normes

PMI

Rfrentiels

ISO 38500
ISO 14001

PCIE

Projet

Annexes

SOX

MOF

340

SAS 70

NORMES ET RFRENTIELS

ISO 38500

Groupe Eyrolles

chelle
dinfrences

PCDA

Matrice
defficience

KAIZEN
Cartes
mentales

Chane de profit
dans les services

5S

Matrice
Croissance

Matrice
Importance/
Urgence
5P

Matrice
Importance/
Performance

Matrice
Atouts/
Attraits

TDBSSI

Matrice
constante

BSC

5F

5S

Chane de
valeurs

Chane
de la
performance

7S

TPM
SMED

HOSHIN

TCO

8P

Stratgie
TDBSSI

JusteTemps

MSP/SPC
LEAN

SWOT
KNOWLEDGE
MANAGEMENT

5P

SIX SIGMA

PEST
3C

ISHIKAWA
AMDEC

BENCHMARK

KAIZEN
PDCA
Six Sigma
Lean

MTHODES ET MODLES

Services

Production

RACI
BPM
OCTAVE

5P

BP-GP

JUSTETEMPS

BENCHMARK

Modle
des carts
de la qualit
de service

CRAMM
MEHARI
MARION
EBIOS

ISHIKAWA

Qualit
Mthodes

Modles

Projet

341

Processus
analyse des problmes
et prise de dcisions

ITBPM

LGENDE

SIPOC
KNOWLEDGE
MANAGEMENT

5S

PSSI

Scurit

HOSHIN

Cartographie des NRMM

BP-GP
PARETO

Annexe 2

Les nouveauts normes


et rfrentiels

LES NORMES
Rfrence de la norme

Publication

ISO 9001:2008

15 novembre 2008

ISO/IEC 20000:2010

2010

ISO 26000

11

Octobre 2010

ISO 27003

12

Septembre 2009

ISO 27004

12

2008

ISO 27005

12

Juin 2008

ISO 27006

12

Fvrier 2007

IS0 31000:2009

13

Septembre 2009

ISO/IEC 38500:2008

14

Avril 2008

Rfrence de la norme

ISO 19011
Rfrence de la norme

SSE-CMM
Groupe Eyrolles

Chapitre

Chapitre

Rvision

2011

Chapitre

10

Abandon

2008

344

Annexes

LES RFRENTIELS
Intitul du rfrentiel

P- CMM
Intitul du rfrentiel

Chapitre

Publication

Novembre 2008

Chapitre

Rvision

COBIT V4.1

Mars 2008

ITIL V3

10

Fin 2007

BS OHSAS 18001:2007

12

Juillet 2009

BS OHSAS 18002:2000

12

2008

TICKIT V5.5

17

2007-2008

Intitul de lassociation

AeSCM (Association
franaise des utilisateurs
de leSCM)

Chapitre

Cration

Fin 2007

Groupe Eyrolles

N.B. Les tableaux ci-dessus prennent en compte les publications ou


rvisions lies aux normes et rfrentiels depuis juillet 2007.

Annexe 3

Sites Internet

PARTIE 1 LES NORMES


AFNOR : http://www.afnor.fr
BS 7799 : http://www.bsi-global.com
ISO : http://www.iso.ch
SAS 70 : http://www.guideinformatique.com/definition-2274.htm
SOX : http://www.guideinformatique.com/definition-sarbanes_
oxley_act-1579.htm

PARTIE 2 LES RFRENTIELS


COBIT Site de lISACA : http://www.isaca.org
EFQM : http://www.afnor.org/efqm
ITIL : http://www.itil-itsm-world.com ou http://www.ogc.gov.uk
MOF : http://www.microsoft.com/technet/itsolutions/cits/mo/mof/
default.mspx
SPICE : http://www.sqi.gu.edu.au/spice/ et
http://www.isospice.com
SSE-CMM : http://www.sse-cmm.org
TQM : http://www.qualite.velay.greta.fr/tqm

Groupe Eyrolles

ZACHMAN : http://www.journaldunet.com/solutions/acteurs

PARTIE 3 LES MTHODES


AMDEC : http://www.cyber.uhp-nancy.fr/demos/MAIN-003/chap_
deux/index

346

Annexes

BSC : http://www.balancedscorecard.org
CRAMM : http://www.cramm.com
EBIOS Site de la DCSSI : http://www.ssi.gouv.fr/fr/confiance/
ebios.html
Kaizen : http://www.kaizen.com
MEHARI Site du Clusif : http://www.clusif.asso.fr/fr/production/
mehari/
OCTAVE/OCTAVE-S : http://www.cert.org/octave/
TDBSSI : http://www.ssi.gouv.fr/fr/confiance/tdbssi.html

PARTIE 4 LES MODLES


Chane de la valeur : http://fr.wikipedia.org/wiki/Chane_de_valeur
5S : http://fr.wikipedia.org/wiki/5S
7S : http://www.bwatt.eu/index.php
MSP : http://fr.wikipedia.org/wiki/Matrise_statistique_des_procds
PARETO : http://membres.lycos.fr/hconline/pareto.htm
SMED : http://www.cyber.uhp-nancy.fr/demos/PROD-001/smed/
index.html
TPM : http://membres.lycos.fr/hconline/maintenance/tpm_fr

Groupe Eyrolles

Annexe 4

Organismes de certification

AB Certification.
AFAQ : Association franaise pour lassurance de la qualit.
AOQC Moody France.
APMG : Certifications ITIL.
Bureau Veritas Certification : le Bureau Veritas Quality International est
devenu le Bureau Veritas Certification depuis le 20 septembre 2006.
COFRAC : Comit franais daccrditation.
DEKRA Intertek Certification SAS.
DNV Certification France : Det Norske Veritas Certification France.
EXIN : Certifications ITIL.
LRQA : Lloyds Register Quality Assurance.
SGS-ICS SA : Socit gnrale de surveillance International
Certification Service.

Groupe Eyrolles

UTAC : Union technique de lautomobile du motocycle et du cycle.

Annexe 5

Acronymes

AFAQ : Association franaise dassurance qualit


AFNOR : Association franaise de normalisation
AIAG : Automotive Industry Action Group
AMDEC : Analyse des mthodes de dfaillance, de leurs effets,
et de leur criticit
BP : Base Practices
BS : British Standard
BSC : Balanced Scorecard
BSI : British Standard Institute
BVQI : organisme certificateur ISO 9000 V 2000
CC : Critres communs
CCTA : Central Computer and Telecommunications Agency
CLUSIF : Club de la scurit des systmes dinformation franais
CMM : Capability Maturity Model
COBIT : Control OBjectives for Information and related Technology
COFRAC : Comit franais daccrditation
Groupe Eyrolles

CRAMM : CCTA Risk Analysis and Management Method


DCSSI : Direction centrale de la scurit des systmes dinformation
EAL : Evaluation Assurance Level
EBIOS : Expression des besoins et identification des objectifs de scurit

350

Annexes

EFQM : European Foundation for Quality Management


FEROS : Fiche dexpression rationnelle des objectifs de scurit
des systmes dinformation
FDA : Food and Drug Administration
GMITS : Guidelines for the Management of Information Technology
Security
GP : Generic Practices
HACCP : Hazard Analysis Critical Control Point
IA-CMM : INFOSEC Assurance Capability Maturity Model
IETF : Internet Engineering Task Force
ISACA : Information Systems Audit and Control Association
ISMS : Information Security Management System
ISO : International Organization for Standardization
ISSEA : International Systems Security Engineering Association
ITBPM : Information Technology Baseline Protection Manual
ITIL : IT Infrastructure Library
ITSEC : Information Technology Security Evaluation Criteria
ITSM : IT Service Management Forum
KM : Knowledge Management
KPI : Key Performance Indicator
LRQA : Lloyds Register Quality Assurance
MARION : Mthodologie danalyse de risques informatiques
oriente par niveaux

MELISA : Mthode dvaluation de la vulnrabilit des systmes


dinformation
MFQ : Mouvement franais pour la qualit
MOF : Microsoft Operations Framework

Groupe Eyrolles

MEHARI : Mthode harmonise danalyse de risques

Acronymes

MSP : Matrise statistique des processus


NIST : National Institute of Standards and Technology
NSA : National Security Agency
OCDE : Organisation de coopration et de dveloppement
conomiques
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability
Evaluation
OGC : Office of Government Commerce
OHSAS 1801 : Occupational Health and Safety Assessment Series
OMS : Organisation mondiale de la sant
PDCA : Plan-Do-Check-Act
POE : Plan oprationnel dentreprise
PSI : Politique de scurit interne
PSS : Plan stratgique de scurit
PSSI : Politique de scurit des systmes dinformation
QCD : Qualit, cot, dlai
QQOQCCP : Qui quoi o quand comment combien pourquoi
QRQC : Quick Response Quality Control
RFC : Request For Change
ROI : Return On Investment ou ROIC : Return On Invested Capital
SA 8000 : Social Accountability International
SCM : Supply Chain Management
SE-CMM : Systems Engineering and software CMM
SEI : Software Engineering Institute
Groupe Eyrolles

SI : Systme dinformation
SLA : Service Level Agreement
SME : Systme de management environnemental
SMED : Single Minute Exchange of Die

351

352

Annexes

SOA : Architecture oriente services


SSE-CMM : Systems Security Engineering-Capability Maturity Model
SSIC : Scurit des systmes de linformation et de la communication
SST : Sant scurit au travail
ST : Security Target
TCO : Total Cost of Ownership
TDBSSI : Tableaux de bord de scurit des systmes dinformation
TI : Technologie de linformation

Groupe Eyrolles

TQM : Total Quality Management

Annexe 6

Glossaire

5M : modle qualit qui permet de rsoudre un problme. Il existe


dautres noms comme arte de poisson, diagramme dIshikawa.
5 Pourquoi : modle du Kaizen qui permet de trouver la cause dun problme en posant la question pourquoi cinq fois.
5S : modle qualit, originaire du Japon, issu du Kaizen, qui permet
dtablir des rgles organisationnelles au sein de son travail afin de dgager une relle plus-value. Le premier S , sieri, signifie dbarrasser linutile, le deuxime S , seiton, veut dire ranger, le troisime S , seiso,
se traduit par nettoyer, le quatrime S , seiketsu, a comme sens ordonner et le cinquime S , shitsuke, veut dire rigueur.
Agilit : tre capable de sadapter trs vite aux nouveaux environnements.
Andon : systme qui permet dtre inform quand un technicien a un
problme sur sa ligne de production.
Architecture oriente service (SOA) : architecture qui repose sur un
ensemble de services transverses.
Asset : ressources (personnes, matriels).

Groupe Eyrolles

Assurance de la qualit : position du management renforcer lesprit de


confiance des quipes en matire de dmarche qualit.
Audit : enqute et contrle du respect par lentreprise de lensemble des
exigences dune norme ou dune directive rglementaire. Laudit peut
tre interne (auditeurs de lentreprise) ou externe par une tierce partie
(organisme de certification). Laudit est conduit par des auditeurs habilits et certifis dans la plupart des cas (audit de certification pour la qualit, lenvironnement, audit de scurit, audit financier).

354

Annexes

Autonomation : systme automatique darrt dune machine en cas de


problme ou de dysfonctionnement technique, lors de son fonctionnement.
Best practices : activits ou processus dont le succs a t dmontr et
qui sont utiliss par de nombreuses organisations (exemples : ITIL V2,
V3, COBIT).
Cercle de qualit : ensemble de personnes qui se runissent rgulirement afin de traiter un problme qui est en rapport avec leurs activits
professionnelles.
Certification : activit qui permet de prouver quune entreprise, une institution, une structure conomique, une personne a les comptences et
les connaissances ncessaires pour appliquer et pour faire appliquer
lensemble des exigences dune norme dans son domaine professionnel
(suite un audit, un examen).
Exigences : ce que demande une norme, une directive, en termes de mise
en place des personnes au sein des entreprises.
Flux tendu : en production, livraison sans perte de temps, sans temps
mort, en rduisant les encours ; zro stockage.
Flux tir : production qui attend une demande du client avant de
produire ; la demande vient de laval. Par exemple, avoir une commande
avant de produire.
Gemba : dcrit le lieu o se passe laction. Se rendre sur le terrain : pour
louvrier, cest aller dans les ateliers, les lignes de production, pour le
commercial, cest se rendre chez les clients.
Gembutsu : concerne la vrification, le contrle des diffrentes pices,
les objets indispensables pour le travail.

Hoshin Kanri (ou Policy deployment) : mthode de management de la


qualit qui permet daller jusquau bout de lobjectif, en prenant en
compte les situations passes, prsentes et futures.
Indicateur de performance (KPI) : mesure souvent destine la hirarchie.

Groupe Eyrolles

Gouvernance TI : concerne lensemble des processus lis au systme


dinformation, en interne et en externe lentreprise. Elle fait partie de
la politique et de la stratgie de lentreprise.

Glossaire

355

Jidoka : mot japonais qui veut dire autonomation, cest--dire que la


machine est capable de sarrter toute seule si un dysfonctionnement
arrive, sans intervention humaine.
Juste--Temps : produire un bien, un service, au bon moment, avec la
bonne quantit, et livrer cette production au bon moment la bonne
personne, au bon endroit et au moindre cot.
Kaizen : philosophie (origine japonaise) sur lamlioration continue au
sein de lentreprise. (Beaucoup de mthodes, de modles sont issus du
Kaizen. Exemple : Hoshin, Juste--Temps, Kanban, 5M, 5S, 5P, Andon,
Poka-Yoke).
Kanban : systme dtiquettes qui permet de grer les flux de production.
Lean : mthode damlioration continue, trs employe dans le milieu
industriel, visant rduire le gaspillage et optimiser les flux lis la
production.
Lean office : Lean appliqu aux tches administratives ayant pour principal
avantage de rduire les temps de traitement des dossiers (facturation).
Matrise de la qualit : management de la qualit fond sur la conformit
de lensemble des exigences propres la qualit.
Management : Activits coordonnes pour orienter et contrler un
organisme (Dfinition ISO 9001:2000).
Matrice des responsabilits : correspond au RACI (Responsible, Accountable, Consulted, Informed).
Maturit : tat dune structure, dune organisation, dun processus qui a
obtenu un certain niveau de matrise pour une ou plusieurs activits.
Muda (les gaspillages) : gaspillage tous les niveaux de lentreprise. Les
7 Muda sont : productions excessives, attentes, transports et manutentions inutiles, usinages inutiles, stocks, mouvements inutiles, productions.

Groupe Eyrolles

Niveau : mesure la progression dun processus, dun service et/ou dune


personne.
Objectif qualit : Ce qui est recherch ou vis, relatif la qualit.
(Dfinition ISO 9001:2000).
Opration externe (voir SMED) : opration pouvant tre mene sans le
moindre risque (accident, interruption, perte de temps) durant lutilisation de la machine.

356

Annexes

Opration interne (voir SMED) : opration ne pouvant tre effectue


que lorsque la machine est arrte.
Organisme certificateur : Organisme, tierce partie, grant un systme
de certification de produits (processus ou services) (Dfinition norme
NF EN 45011).
Poka-Yoke : systme anti-erreur, prsent sur les machines, dont lobjectif
est de limiter les erreurs (emplacement des pices).
Politique qualit : Orientations et intentions gnrales dun organisme
relatives la qualit telles quelles sont officiellement formules par la
direction (Dfinition ISO 9001:2000).
Procdure : manire spcifie deffectuer une activit ou un processus.
Processus : ensemble dactivits corrles ou interactives qui transforment des lments dentre en lments de sortie (Dfinition ISO 9001:
2000).
Qualification : Processus ou son rsultat permettant de dmontrer
la capacit satisfaire des exigences. La qualification professionnelle
concerne gnralement les personnes ou les entreprises (Dfinition
ISO 9001:2000).
Qualit : Aptitude dun ensemble de caractristiques intrinsques
satisfaire des exigences. Le terme qualit peut tre utilis avec des
qualificatifs tels que mdiocre, bon ou excellent (Dfinition ISO 9001:
2000).
Quick Response Quality Control (QRQC) : mthode de traitement rapide
(sans perte de temps) des problmes sur les lieux o ils sont apparus.
Request For Change (RFC) : demande de changement.

Shingo Price : le Shingo Prize for Manufacturing a t cr en 1988 en


lhonneur de Shigeo Shingo. Le prix promeut le World Class Manufacturing et reconnat les socits ayant atteint un haut niveau de satisfaction
client et de rsultats conomiques.
Single Minute Exchange of Die (SMED) : rduction du temps de changement pour les sries en cours de production. Modle qui est utilis dans
lindustrie.

Groupe Eyrolles

Return On Investment (ROI) ou Return On Invested Capital (ROIC) :


retour sur investissement ou taux de rendement du capital investi.

Glossaire

357

Systme de management de la qualit : Ensemble dlments corrls ou


interactifs permettant dtablir une politique et des objectifs en matire
de qualit et datteindre ces objectifs (Dfinition ISO 9001:2000).
Total Cost of Ownership (TCO) ou cot total de possession : ensemble
des cots concernant la possession dun lment de configuration
(informatique) de son achat son obsolescence.
Toyota Production System (TPS) ou Toyota Seisan Houchiki en japonais :
systme de management de la qualit, initialement mis en place et
dvelopp par le groupe Toyota, et ax sur la qualit des produits, la
satisfaction du client, lamlioration continue.
Traabilit : systme qui permet de suivre lensemble des tapes dun
lment ou dune information durant toute sa vie dans lentreprise, y
compris les tapes de transformation (de son entre sa sortie).
Valeur ajoute : rsultat dun traitement qui permet dapporter un gain
ou un bnfice sur les livrables, dans le but de rpondre aux attentes du
march.

Groupe Eyrolles

Value Stream Mapping (VMS) ou Material and Information Flow Analysis


(MIFA) : outil de cartographie du groupe Toyota, indispensable pour
une bonne gestion des flux de matire et dinformation.

Bibliographie

GNRALITS
AFNOR, Les rfrentiels qualit. La voie de lexcellence, AFNOR, 1997.
Balantzian G., Le plan de gouvernance du SI, Dunod, 2006.
Caseau Y., Performance du systme dinformation, Dunod 01 Informatique, 2007.
Club URBA-EA, Urbanisme des SI et gouvernance, Dunod, 2006.
Conti T., Lautodiagnostic de lentreprise, ditions JVDS, 1998.
Froman B., Du manuel qualit au manuel de management : loutil stratgique, AFNOR, 2007.
Froman B., Gourdon G., Dictionnaire de la qualit, AFNOR, 2003.
Georgel F., IT gouvernance, Dunod, 2006.
Leroux B., Paumier J., La gouvernance de lvolution du SI, Lavoisier,
2006.
Prigord M., Fournier J.-P., Dictionnaire de la qualit, AFNOR, 1993.
Shoji S., Jouslin de Noray B., Morel M., Noy D., La conception
lcoute du march, Insep ditions, 1996.
Sidi J., Otter M., Hanaud L., Guide des certifications SI. Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM, Dunod 01 Informatique,
2006.

Groupe Eyrolles

Teneau G., La rsistance au changement organisationnel. Perspectives


sociocognitives, lHarmattan, 2005.

360

Guide comment des normes et rfrentiels

PARTIE 1 LES NORMES


Qualit
AFAQ, Guide de lecture des normes ISO 9001, 9002, 9003 lusage des
PME/PMI, AFAQ, 1995.
AFNOR, La certification qualit lusage des TPE-PME-PMI. Guide de
lecture de la norme ISO 9001:2000, AFNOR, 2003.
Baruche J.-P., La qualit du service dans lentreprise, ditions dOrganisation, 1992.
Blanc D., Sant et social. LISO 9001 votre porte, AFNOR, 2008.
Buch Jensen P., Montoya V., Guide dinterprtation des normes ISO 9000,
AFNOR, 2002.
Deming E., Quality, Productivity and Competitive Position, Massachusetts Institute of Technology, 1982.
Gogue J.-M., Fey R., La matrise de la qualit, Economica, 1999.
Hosotani K., Les 20 lois de la qualit, lexprience japonaise au service
de votre entreprise, Dunod, 1994.
Juran J.-M., Gestion de la qualit, AFNOR, 1989.
Krebs G., Ressources humaines. Nouvelles pratiques selon lISO 9001,
AFNOR, 2007.
Lamprecht James L., ISO 9000. Se prparer la certification, AFNOR,
2002.
Lyonnet P., Les outils de la qualit totale, Lavoisier, 1991.
Mathieu S., Comprendre les normes ISO 9000 version 2000, AFNOR,
2002.
Monteil B., Alexandre G., Ryon P., Cercles de qualit et de progrs, ditions dOrganisation, 1989.
Sgot J., Gasquet C., Assurer le passage la norme ISO 9001 version
2000, AFNOR, 2001.
Stora, Qualit totale, ditions dOrganisation, 1986.
Sussland W., Le manager, la qualit et les normes ISO, Presses Polytechniques et Universitaires Romandes, 1995.

Groupe Eyrolles

Pinet C., 10 cls pour russir sa certification ISO 9001, AFNOR, 2006.

Bibliographie

361

Todorov B., ISO 9000. Une force de management, Morin, 2000.


Ziane E., Matrise de la qualit totale. Outils de la matrise statistique des
processus, Herms, 1993.

Audit
Bon J. V., ISO/IEC 20000 : a pocket guide, Van Haren Publishing, 2006.
Joing J.-L., Auditer lthique et la qualit. Pour un dveloppement durable !
AFNOR, 2003.
Jonquires M., Russir les audits Qualit et Environnement. La norme
ISO 19011, AFNOR, 2003.
Jonquires M., Manuel de laudit des systmes de management lusage
des auditeurs et des audits, AFNOR, 2006.
Mitonneau H., Russir laudit qualit, AFNOR, 2001.

Responsabilit entreprise
AFNOR, Qualit et systmes de management, AFNOR, 2005.
Faucher S., Systme intgr de management. Qualit Scurit Environnement, AFNOR, 2006.
Froman B., Gey J.-M., Laurans B., Qualit et environnement, AFNOR,
2003.
Froman B., Gey J.-M., Bonnifet F., Qualit, scurit, environnement.
Construire un systme de management intgr, AFNOR, 2007.
Madoz J.-P., thique professionnelle, AFNOR, 2007.
Pribre B., Le guide de la scurit au travail ! Les outils du responsable,
AFNOR, 2008.
Vaute L., Grevche M.-P., Certification ISO 14001, les 10 piges viter,
AFNOR, 2005.

Groupe Eyrolles

Risques
Kerebel P., Mise en uvre dun contrle interne efficace via un ERP,
AFNOR, 2007.
Locketz J. S., Wold G. H, Practical Guide to SAS 70 Engagements, John
Wiley & Sons, 2008.

362

Guide comment des normes et rfrentiels

Louisot J.-P., Gestion des risques, AFNOR, 2005.


Louisot J.-P., Gaultier-Gaillard S., Diagnostic des risques. Identifier, analyser et cartographier les vulnrabilits, AFNOR, 2007.
Vaute L., Grevche M.-P., Certification ISO 14001, les 10 piges viter,
AFNOR, 2005.
Welytok J. G., Sarbanes-Oxley for Dummies, For Dummies, 2008.

Scurit
Bennasar M., Champenois A., Arnould P., Rivat T., Ballenghien Y., Manager la scurit du SI, Dunod 01 Informatique, 2007.
Cal S., Touitou P., La scurit informatique, rponses techniques, organisationnelles et juridiques, Hermes Lavoisier, 2007.
Fernandez-Toro A., Management de la scurit de linformation : implmentation ISO 27001, Eyrolles, 2007.
Lamre J.-M., La scurit informatique. Approche mthodologique, Dunod,
2007.
Linlaud D., Scurit de linformation. laboration et gestion de la politique
de lentreprise suivant lISO 17799, AFNOR, 2003.

Logiciels
ADELI, ISO 9001 et dveloppement du logiciel, AFNOR, 1996.
Gray L., Guidebook to IEEE/EIA 12207 Software Life Cycle Processes,
Abella Corp.
Martin J.-P., Qualit du logiciel et systme qualit, Masson, 1997.
Wallmller E., SPI Software Process Improvement mit CMMI und ISO
15504, Hanser, 2006.

PARTIE 2 LES RFRENTIELS

AFITEP, Le management de projet. Principes et pratique, AFNOR, 1998.


Basque R., CMMI, un itinraire flch vers le Capability Maturity Model
Integration Version 1.2, Dunod, 2006.
Bentley C., Prince 2 Quality Management, Handbook, 2001.

Groupe Eyrolles

AFAI, COBIT, Gouvernance, contrle et audit de linformation et des


technologies associes, AFAI, 2002. (cdrom)

Bibliographie

363

Chamfrault T., Durand C., ITIL et la gestion des services, Dunod, 2006.
Chrissis M. B., Konrad R., Shru S., CMMI Guide des bonnes pratiques,
Campus Press, 2008.
Dumont C., ITIL pour un service informatique optimal, Eyrolles, 2007.
Gey J.-M., Courdeau D., Pratiquer le management de la sant et de la
scurit au travail. Matriser et mettre en uvre lOHSAS 18001, AFNOR,
2007.
Hall T. J., The Quality Systems Manual : The Definitive Guide to the Iso
9000 Family and Tickit, John Wiley & Sons, 1995.
Harris S., CISSP All-in-one Exam Guide, McGraw Hill/Osborne Media,
2007.
Lamnabhi M., valuer avec CMMI, AFNOR, 2008.
Noirault C., ITIL (version 3), ENI, 2008.
ORourke C., Fishman N., Selkow W., Enterprise Architecture Using the
Zachman Framework, Course Technology, 2003.
Phillips J., CAPM/PMP Project Management Certification : Exam Guide,
McGraw Hill/Osborne Media, 2007.
Pinet C., 10 cls pour la gestion des services. De lITIL ISO 20000,
AFNOR, 2007.
PMI, Management de projet. Un rfrentiel de connaissances, AFNOR,
2001.
Pultorak D., MOF, Van Haren Publishing, 2005.
Richards K., Agile Project Management : Running Prince2 Projects with
DSDM, Keith Richards Consulting, 2007.
Shiba S., Le management par perce. Mthode HOSHIN, Insep Consulting, 2007.
Shiba S., Graham A., Walden D., TQM : 4 rvolutions du management,
Dunod, 2003.

Groupe Eyrolles

Sidi J., Otter M., Hanaud L., Guide des certifications SI, Dunod 01 Informatique, 2006.
Teneau G., ITIL, Mise en place dun centre de service, Oboulo.com, 2007.
Tudor D. J., Tudor I. J., DSDM Student Workbook, Galatea Training Services, 2002.
Tuinenga P. W., SPICE, Dunod, 1997.

364

Guide comment des normes et rfrentiels

Van Bon J. V., Coul J. C. (de) (sous la direction de), Van der Veen A.
(sous la direction de), IT Services Procurement Based on ISPL, Van Haren
Publishing, 2005.
Verdoux S., Iribarne P., Prix, modle & dmarches EFQM, AFNOR, 2005.

PARTIE 3 LES MTHODES


AFNOR, Processus management : Tome 1, Identifier et mettre en place ;
Tome 2, Manager une politique qualit ; Tome 3, valuer, matriser et
amliorer, AFNOR, 2008.
Arnould P., Renaud J., Juste--temps. Approches modernes, concepts et
outils damlioration, AFNOR, 2002.
Carillon J.-P., Le Juste--temps dans la gestion industrielle, Hommes et
Techniques, 2008.
Caseau Y., Urbanisation et BPM, Dunod, 2005.
Faucher J., Pratique de lAMDEC. Assurez la qualit et la sret de fonctionnement de vos produits, quipements et procds, Dunod, 2004.
Gitlow H. et S., Le guide Deming pour la qualit et la comptitivit,
AFNOR Gestion, 1991.
Hermel L., Achard P., Le Benchmarking, AFNOR, 2007.
Landy G, AMDEC Guide pratique, AFNOR, 2007.
Masaaki I., Kaizen, La cl de la comptitivit japonaise, Eyrolles, 1992.
Molet H., Comment matriser sa productivit, Presses de lcole des
mines, 1988.
Monden Y., Toyota Production System, An Integrated Approach to JustIn-Time, Inst of Industrial Engineers, 1993.
Mondon C., Supply Chain Management en PMI. Le chanon manquant,
AFNOR, 2005.
Ohno T., Lesprit Toyota, Masson, 1997.
Rosenberg D., Metzen H., Le Lean Management, ditions dOrganisation,
1994.
Schonberger R., Moisy C., Comment appliquer les techniques de gestion
japonaises, ditions de lEntreprise, 1983.

Groupe Eyrolles

Prax J.-Y., Le guide du knowledge management, Dunod, 2000.

Bibliographie

365

Sekine K., Sugiura K., Carillon J.-P., Kanban. Gestion de production


stock zro, Hommes et Techniques, 1983.
Sharma A., Moody P., La transformation LeanSigma, Maxima, 2002.
Shingo S., Le systme Poka-Yoke, ditions dOrganisation, 1987.
Shingo S., SMED, une rvolution en gestion de production, ditions
dOrganisation, 1987.
Suzaki K., Produire Juste temps. Les sources de la productivit industrielle japonaise, Masson, 2000.
Womack J., Jones D., Systme Lean, Pensez lentreprise au plus juste, Village Mondial, 2007.

PARTIE 4 LES MODLES


Blake R. R., Mouton J. S., Devillers A., Les deux dimensions du management, ditions dOrganisation, 1980.
Eckes G., Objectif Six Sigma, Village Mondial, 2001.
George M. L., Lean Six Sigma pour les services, Maxima, 2005.
Heskett J. L., Sasser W. E. Jr, Schlesinger A., The service profit chain, Free
Press, 1997.
Ishikawa K., La gestion de la qualit, Dunod, 2006.
Kaplan R., Norton D., The Balanced ScoreCard Measure that drives
performances , Harward Business Review, 1992.
Kepner C. H., Tregoe B. B., Le nouveau manager rationnel, Interditions,
1999.
Koch R., The 80/20 principle, Brealey Nicholas Publishing, 2007.
Kotter J. P., Leading change, Harvard Business School Press, 1996.
Masaaki I., Gemba Kaizen, JV & DS, 1997.
Masaaki I., KAIZEN, la cl de la comptitivit japonaise, Eyrolles, 1992

Groupe Eyrolles

Osada T., Les 5S. Premire pratique de la qualit totale, Dunod, 1993.
Pande P. S., Neuman R. P., Cavanagh R. R., The Six Sigma way, McGraw
Hill, 2000.
Porter M. E., Competitive strategy, Free Press, 1985.
Prax J.-Y., Le manuel du knowledge management, Dunod, 2007.
Vandeville P., Audit qualit - scurit - environnement, AFNOR, 2003.

Index

Numriques
3C 298
5 forces 303
5P 301
5S 299, 346
7S 305, 346

A
Accrditation 20
~ COFRAC (Comit franais
daccrditation) 35
AMDEC (Analyse des modes
de dfaillance, de leurs effets
et de leur criticit) 194, 197, 345,
349
Andon 244
ASL (Bibliothque de services
dapplication) 105106

Groupe Eyrolles

B
Benchmark 216
BiSL (Bibliothque de services
dinformation daffaires) 106
BP (Base Practices) 66, 219, 349
BPM (Business Processus
Management) 203
BS
~ 15000 61
~ 7799 73, 345
~ 8800 23
BSC (Balanced Scorecard) 209, 346,
349

C
CERT (Computer Emergency
Response Team) 261
Certification 20
Chane
~ de la performance 291
~ de la valeur 287, 346
CHSCT (Comit dhygine,
de scurit et des conditions
de travail) 23
CISSP (Certified Information System
Security Professional) 109
CMM (Capability Maturity Model)
43, 111, 219, 345, 349, 352
CMMI (Capability Maturity Model
Integration) 30, 111, 133
COBIT (Control Objectives
for Information and related
Technology) 87, 119, 133, 345
COSO (Committee Of Sponsoring
Organizations of the treadway
commission) 100
CRAMM 223, 346, 349

D
DSDM (Dynamic Systems
Development Method) 123, 126

E
EBIOS (Expression des besoins
et identification des objectifs
de scurit) 225, 346, 349

Guide comment des normes et rfrentiels

EFQM (European Foundation


for Quality Management) 127,
182, 345, 350
eSCM-CL 133, 139
eSCM-SP 133, 139
Euromthode 141142

G
GP (Generic Practices) 66, 219,
350

H
Hoshin 229

I
IEEE (Institute of Electrical
and Electronics Engineers) 16
iKM 252
ILO-OHSAS 2001 71
ISC2 (International Information
Systems Security Certification
Consortium) 109
Ishikawa 283
ISO
~ 10005 39
~ 10006 37
~ 10007 39
~ 14000 29, 52, 59, 94
~ 14001 48, 51, 57, 71, 163, 263
~ 14010 59
~ 14011 59
~ 14012 59
~ 15408 226
~ 17799 73, 226
~ 19011 57
~ 27000 79, 84
~ 27003 76
~ 27004 76
~ 27007 77
~ 27799 77
~ 38500 85

~ 9000 2, 27, 29, 43, 59, 9495,


197, 349
~ 9001 27, 31, 35, 43, 52, 57, 59,
73, 76, 84, 128, 130, 163, 167,
179, 182, 263
~ 9002 27, 31
~ 9003 27, 31
~ 9004 43, 59, 177
ISO/DIS 31000 81, 84
ISO/IEC
~ 12207 43, 45
~ 13335 76
~ 15504 53, 175
~ 20000 35, 61, 79, 87
~ 21827 65
~ 27001 7374, 76, 79, 263
~ 27002 75, 7779
~ 27005 7576, 79
~ 27006 77
ISO/IEC FDIS 27011 77
ISO/WD 26000 69, 72
ISPL (Information Services
Procurement Library) 142
ISSEA (International Systems
Security Engineering
Association) 65
ITBPM 233, 350
ITIL (Information Technology
Infrastructure Library) 30, 4546,
63, 79, 87, 133, 139, 143, 149, 152,
155, 174, 263, 345, 347, 350
ITSMF (Information Technology
Infrastructure Service &
Management Forum) 143

J
Juste--Temps 237, 254

K
Kaizen 241, 263, 299, 301, 346
Kanban 244
Knowledge Management 247

Groupe Eyrolles

368

Index

L
Lean 241, 253, 263
Loi Sarbanes-Oxley (SOX) 75, 84,
89, 99, 345

M
Matrice
~ ABC 311
~ Atouts/Attraits 307
~ Croissance/Part de march 310
~ Importance/Urgence 311
MEHARI (Mthode harmonise
danalyse de risques) 259, 346,
350
Mind Mapping 281
Modle des carts de la qualit
de service 293
MOF (Microsoft Operations
Framework) 157, 345, 350
MSP 346
MSP-SPC 313

P
PCIE (Passeport de comptences
informatique europen) 165166
PDCA (Plan-Do-Check-Act) 32, 35,
63, 76, 78, 153, 204, 212, 244, 263,
351
PEST 315
PMBOK (Project Management Body
of Knowledge) 167
PMI (Project Management
Institute) 167
PMP (Project Management
Professional) 167
Poka-Yoke 244
PRINCE 2 (PRojects IN Controlled
Environments) 169, 174
Principe de Pareto 317, 346
PROMPT 169

Q
QQQOCP (qui, quoi, quand, o,
comment, pourquoi) 187

N
Norme de management 18

Groupe Eyrolles

O
OCTAVE 261, 346, 351
OHSAS 25, 161, 351
OIT (Organisation internationale
du travail) 71
Organisme de normalisation
~ AFNOR (Association franaise
de normalisation) 19
~ BSI (British Standards
Institution) 61
~ CEN (Comit europen
de normalisation) 17, 19
~ ISO (International Organization
for Standardization) 16, 20

369

RACI 319

S
SA 8000 9394, 97, 351
SAI (Social Accountability
International) 93
SAS 70 84, 89, 91, 100, 345
SCAMPI (Standard CMMI
Appraisal Method for Process
Improvement) 111
SCE (Software Capability
Evaluation) 111
SCM (Supply Chain
Management) 291
SD 21000 131
SEI (Software Engineering
Institute) 111, 351

370

Guide comment des normes et rfrentiels

SIPOC 323
Six Sigma 267
SME (Systme de management
de lenvironnement) 49, 51, 58
SMED (Single Minute Exchange
of Die) 244, 321, 346, 351
SMQ (Systme de management
de la qualit) 32, 58
SMSI (Systme de management
de la scurit de linformation) 73
SPICE (Software Process
Improvement and Capability
dEtermination) 43, 53, 175176,
345
SQE (Systme de la qualit
de lentreprise) 35
SSE-CMM 65
SWOT 325

T
TCO (Total Cost of Ownership) 271
TDBSSI (Tableau de bord
de scurit des systmes
dinformation) 275, 346, 352
TICKIT 179
TPM (Total Productive
Maintenance) 244, 327, 346
TPS (Toyota Productive System) 241
TQM (Total Quality Management)
181, 183, 345, 352

V
VSM (Value Stream Mapping) 255

Z
Zachman 187

Compos par Sandrine Rnier


N dditeur : 3899
Dpt lgal : aot 2009

Vous aimerez peut-être aussi