Référentiels SI Qualité

2ème partie : Mise en œuvre des référentiels COBIT et ITIL

PRONETWORLD
Michel MARTINET
14 Impasse des Ecureuils
33120 ARCACHON
France
Tel : +33 (0) 614 324 135
www.pronetworld.fr 3 décembre 2017
michel.martinet@pronetworld.fr version 1.0
INTRODUCTION
Objectifs
Présentation les grandes lignes de mise en œuvre des référentiels COBIT et ITIL
Aperçu des conditions et étapes de mise en œuvre

Thèmes traités
Définition d’une cible
Appui sur les axes prioritaires de pilotage et d'organisation du SI dans un contexte de qualité
de services et d'amélioration continue
Organisation et planification de la démarche
Illustration des apports des best practices propres à chaque référentiel et identification de
leur contribution aux objectifs d'évolution de l'organisation des SI
Supports de mise en œuvre : ressources,référentiels, documentation, outils de suivi
Recommandations et esquisse d'un plan d'action

Déroulement pédagogique
Exposé/Echanges
Illustration retours d’expérience

03/12/2017 2
 COBIT

03/12/2017 3
INTRODUCTION
A qui s’adresse COBIT et comment?

Cadres dirigeants

Directions opérationnelles

Contrôleurs, auditeurs, RSI

03/12/2017 4
Définition d’une cible SI
Orientation métier

03/12/2017 5
Définition d’une cible SI
Les 7 critères d’information métier de COBIT

03/12/2017 6
Définition d’une cible SI
Orientations informatiques : architecture d’entreprise
Définition des objectifs des SI et de
l’architecture d’entreprise pour les SI

03/12/2017 7
Définition d’une cible SI
Orientations informatiques : ressources

03/12/2017 8
Définition d’une cible SI
Orientations informatiques : ressources (Exemples)

Capacité technologique

Applications
système de planification des
ressources de l’entreprise
Information

Infrastructure
Assistance secteur opérationnel
Personnes

Ex : chaîne d’approvisionnement

Créer le résultat escompté

03/12/2017 Ex : augmentation des ventes 9

Définition d’une cible
Orientations processus de COBIT: domaines de responsabilité

Monitoring (M)
Planification et Organisation (PO)

03/12/2017 Acquisition et Installation (AI 10

ou AMP)
Distribution et support (DS)
Définition d’une cible
Synthèse COBIT

CADRE DE REFERENCE ET OUTILS

BONNES PRATIQUES

APPROCHE PROCESSUS

03/12/2017 11
Organisation et planification de la démarche
Gouvernance SI via COBIT : les étapes

Analyse des processus

Identification des forces et faiblesses

Axes d’amélioration

Plan d’action

Mesure des résultats

03/12/2017 12
Organisation et planification de la démarche
Gouvernance SI via COBIT : comment démarrer ?
EXEMPLE : CAS D’ETUDE
Interrogations de la DSI
- Comment choisir le système d’information le mieux adapté à l’organisation ?
- Comment mettre en place ce système d’information ?
- Comment vérifier que ce qu’on a mis en place correspond à ce qui était attendu ?
- Comment vérifier périodiquement que le système d’information correspond toujours aux besoins, puisqu’au fil de
l’eau l’organisation évolue ?
Etat des lieux
Documentation, procédure, suivi/indicateur peu ou mal formalisés
Manque de consignes, difficultés de prise en main, lors de l’arrivée d’un nouveau collaborateur
Mauvaise image du SI auprès des utilisateurs, sans savoir argumenter le pourquoi
Intérêt de l’audit COBIT
Mesurer ce qui donne lieu à des insatisfactions côté utilisateurs
Identifier et prioriser les processus COBIT à traiter pour chacun des domaines : (Planification/organisation,
Acquisition/Installation, Support/Mise en place, Surveillance)
Rapport d’analyse sur les points forts et points faibles
Identification de ce qu’il faut travailler pour améliorer le SI

Enclenchement d’une démarche récurrente

Identification d’un plan d’action pluriannuel/Cadrage avec le schéma directeur
Planification et organisation d’ateliers de réflexions sur des pistes d’amélioration
Définition d’un budget , d’un reporting et de moyens de contrôle
03/12/2017
Révision 13
annuelle lors de la définition du budget de fonctionnement et d’investissement sur le SI l’année suivante
Organisation et planification de la démarche
Gouvernance SI via COBIT : comment utiliser le référentiel ?
Exemple : suite à l’audit, il s’avère que mon processus actuel de gestion
des projets informatiques, ne répond pa pleinement aux attentes : retards,
manque de visibilité, ressources insuffisantes, …

Processus P010 : « Gérer les programmes et les projets » comprend

14 pratiques de gestion, dont par exemple la 8ème :
PO10.08 Planifier les projets.

Établir et maintenir un plan de projet intégré formel et approuvé

(couvrant les ressources des unités d’affaires et des Technologies
Informatique) pour guider la réalisation et le contrôle du projet tout au
long de la vie de celui-ci. La portée des projets devrait être clairement
définie et en lien avec l’établissement ou l’amélioration des capacités
d’affaires.

03/12/2017 14
Organisation et planification de la démarche
Gouvernance SI via COBIT : comment identifier les processus
faibles?
Exemple : DS4: Assurer la continuité du service (plan de secours)

Etablir un questionnaire
Avez-vous établi quelque chose qui défini les rôles, les responsabilités, la méthodologie de gestion des risques
à adopter, les règles et les structures pour documenter le plan de secours ?
Avez-vous un guide d'utilisation du plan de secours ?
Avez-vous un moyen de revenir en arrière si vous avez rencontré un incident grave dans votre SI ? (recharger
une image par exemple)
Avez-vous des procédures pour sauvegarder et reconstruire tout ou partie du SI ?
Avez-vous des procédures de contrôle de changement afin de s'assurer de la mise à jour du plan de secours?
Afin d'avoir un plan de secours efficace, avez-vous des procédures de tests de ce plan ?
Réalisez-vous des entrainements réguliers en suivant les procédures définies afin de lutter efficacement contre
des incidents ou des désastres ?

Noter chaque question

Non applicable ou non géré par la partie interviewée : 0 point
Rien est définit sur le point abordé (non applicable) : 0 point
Quelques allusions mais rien de formalisé : 0.3 point
La demande est formalisée mais non assimilé/maitrisé : 0.7 point
La demande est formalisée et assimilée par les acteurs : 1 point

Faire une moyenne pour chaque processus audité

03/12/2017 15
Supports de mise en œuvre

Cobit dit quoi faire mais pas comment.

Vous avez les axes de travail, à vous de mettre en œuvre le contenu.

03/12/2017 16
Supports de mise en œuvre
Recommandations
se faire accompagner,
dédier une ressource interne,
Ressources confier cette tâche au service qualité,
…
Communiquer en interne : « Implementation Tool » : sensibilisation COBIT

Référentiels

Documentation

Outils de suivi Site ISACA : « Control objectives » : contrôles par processus

« Management guidelines » : Balanced Scorecard
« Audit Guidelines » : évaluation COBIT
03/12/2017 17
Supports de mise en œuvre
Contexte d’amélioration continue : gouvernance

03/12/2017 18
 ITIL

03/12/2017 19
Définition d’une cible
Axes prioritaires de pilotage du SI : services selon ITIL

Les principales questions à se poser

Comment organiser le système d’information ?

Comment améliorer l’efficacité du système d’information ?

Comment réduire les risques ?

Comment augmenter la qualité des services informatiques ?

03/12/2017 20
Définition d’une cible
Un objectif d’amélioration continue

Opportunités
d’amélioration

Contrats de services
(SLA)

Implantation activités
d’amélioration
Optimisation coûts

Usage des méthodes

de management

03/12/2017 21
Organisation et planification de la démarche
Services SI : construire le socle ITIL
1ère étape : mise en place d’une CMBD

1. Elle vous aidera à homogénéiser votre parc.

• Réduction des sources de problèmes
• Sur quel type de machine intervenir en priorité,
• Ordres de renouvellement,
• Mettre à jour et au même niveau vos versions
logicielles,

2. En recoupant avec les analyses, il sera possible de

profiler incidents et problèmes.
Par exemple, l’incident A intervient presque
exclusivement sur les logiciels B en version X.
Il sera facile d’en conclure qu’une mise à jour du logiciel
B s’impose ou qu’un contact avec l’éditeur est nécessaire
pour fixer le problème.

03/12/2017 22
Organisation et planification de la démarche
Services SI : construire le socle ITIL
2ème étape : mise en place d’un guichet unique

1. Consigner les demandes ans le cadre des

analyses
Si, au détour d’un couloir un membre de l’équipe
informatique est interpelé pour intervenir sur un
incident et que ceci se reproduit plusieurs fois… il
ne consignera pas les incidents, tout simplement.
2. Mettre en place un système d’escalade.
• Centre de tri.
• Premier niveau: résoudre les problèmes par
téléphone et/ou prise en main à distance.
• Deuxième niveau : envoi sur place,
remontée vers autre service

3. Eliminer la dissolution et la multiplication

des demandes.
Certains utilisateurs n’hésitent pas à appeler
plusieurs personnes en cas de problème ou pour
une quelconque demande.
Et, lorsqu’il y a le feu, le service informatique
peine souvent à communiquer correctement en
son sein.
03/12/2017 1 demandeur = 1 unique point de demande. 23
Organisation et planification de la démarche
Services SI : construire le socle ITIL
3ème étape : fiches d’incidents et de résolution

1. Préparez vos fiches d’incidents.

Pour chaque appel, vous devez remplir une fiche d’incident :
nom de l’appelant, service, tel, date, heure d’appel, type
d’incident (matériel, logiciel), nature de l’incident
(description), etc.

2. Attachez une fiche résolution à la fiche incident (c’est

automatique dans les logiciels).
Il s’agit là de décrire comment l’incident a été solutionné.

03/12/2017 24
Organisation et planification de la démarche
Services SI : construire le socle ITIL
4ème étape : analyses

Base incident Fiches

BUTS

1. Améliorez vos processus

Répertorier les incidents 2. Eliminez les sources de problèmes

Créer des groupes
3. Simulez SLA au niveau du service informatique

Gestion des problèmes

03/12/2017 25
Organisation et planification de la démarche
Services SI : définir les niveaux de service (SLA)
Concept

Besoins du client
Critères d’évaluation
Service minimal
Relation client
Pragmatisme

Contrat informatique

03/12/2017 26
Organisation et planification de la démarche
Services SI : définir les niveaux de service (SLA)
Contenu

03/12/2017 27
Organisation et planification de la démarche
Amélioration continue des services : cycle de vie applicatif

03/12/2017 28