Guide Des Certifications SI DUNOD

Guide des
MANAGEMENT des SYSTÈMES D’INFORMATION
certifications SI
Comparatif, analyse et tendances
ITIL, CobiT, ISO 27001, eSCM...
Martine Otter, Jacqueline Sidi, Laurent Hanaud

Préface de Jean-Pierre Corniou
2e édition
GUIDE DES
CERTIFICATIONS SI
ITIL, CobiT, ISO 27001, eSCM...
ITIL et la gestion des services
Méthodes, mise en œuvre
et bonnes pratiques
Thierry Chamfrault, Claude Durand
336 pages
Dunod, 2006
CMMI 1.2
Réussir son parcours
avec le modèle IDEAL
et la méthode SCAMPI
Richard Basque
208 pages
Dunod, 2009
Toutes les marques citées dans cet ouvrage sont des marques déposées
par leurs propriétaires respectifs :
CGEIT™, CISA®,CISM®,CISSP®, CBK®, CMMISM, CobiT®, (ISC)2®, ISACA®, ITGI®,

ITIL®, M_o_R®, PMP®, PRINCE marque déposée de I OGC, MSP™, PRINCE2™, Six
sigma (Six Sigma est une marque déposée de la société Motorola, Inc), « Black Belt »
et « Champion » sont des marques de service de la société « Sigma Consultants, L.L.C. »,
CMM®, SAS®, SSE-CMM®, SW-CMM®, SCAMPISM, WebTrust®, Systrust®
et SusTrust™.
Illustration de couverture :
Mountain lake © Dmitry Pichugin - Fotolia.com
© Dunod, Paris, 2006, 2009

ISBN 978-2-10-054182-9
Préface
Le développement de la gouvernance des systèmes d’information est devenu une

exigence incontournable dans les entreprises, tant le bon fonctionnement des systèmes
d’information et leur évolution raisonnée à travers l’innovation fonctionnelle et
technologique revêtent un caractère critique au cœur de la performance.
Or la gouvernance impose une discipline collective fondée sur le partage d’outils
d’analyse, de décision et d’action. Longtemps, la rigueur de la transparence s’est arrêtée
aux portes de l’informatique pour d’obscures raisons de technicité et de langage qui
ont soustrait les questions informatiques aux règles de contrôle courantes dans toutes
les fonctions de l’entreprise. Cette situation n’est évidemment plus acceptable. Les
DSI l’ont compris et ont engagé une véritable rupture.
La construction d’une vision stratégique des relations entre la finalité de l’entreprise
et les systèmes d’information est devenue une constante des préoccupations des DSI.
La gouvernance vise à répondre à une vive demande de clarification des relations entre
les acteurs, et de transparence des décisions. Ce souci émane bien sûr des directions
générales qui souhaitent être rassurées quant à la bonne exploitation des ressources
de l’entreprise dans les technologies de l’information. Les directions utilisatrices et
les informaticiens en attendent également les conditions d’un dialogue serein sur
l’évaluation des performances et la recherche d’une meilleure efficacité. Enfin, les
régulateurs publics ont compris les enjeux de la transparence des systèmes et ne cessent
de hausser leur niveau d’exigence.
Aussi la gouvernance des systèmes d’information est de mieux en mieux acclimatée
en France et les efforts conjoints du Cigref et de l’AFAI réunis au sein de l’Institut de la
gouvernance des systèmes d’information contribuent activement à en faire reconnaître
les enjeux et les outils.
Toutefois, si la gouvernance des systèmes d’information est désormais reconnue
pour apporter une réponse crédible au double défi de l’innovation et de la robustesse,
il faut être capable d’en déployer les outils de façon efficace et accessible pour tous les
acteurs de l’entreprise.
VI Guide des certifications SI
Les objectifs de la gouvernance sont clairs. Le cadre de référence doit permettre de

garantir simultanément :
• une meilleure évaluation de la performance des SI,
• une gestion des ressources des SI plus efficace,
• une gestion des risques plus pertinente,
• une amélioration de la valeur des services de l’entreprise par le biais de ses SI,
• une meilleure adéquation des SI à la stratégie de l’entreprise.
Compte tenu de la diversité des métiers de l’informatique, de leurs rythmes

d’évolution différents, des degrés de maturité entre différents pays, il n’existe pas
un cadre unique de référence, mais de multiples outils entre lesquels il peut paraître
difficile de faire un choix pertinent, chacun ayant ses propriétés, mais l’ensemble
laissant aussi apparaître des lacunes et des redondances.
Ce Guide des certifications répond parfaitement à cette attente : comprendre les
normes et référentiels, disposer d’informations claires et précises sur les conditions
de mise en œuvre. C’est un guide, donc un document pratique et lisible, construit
sous forme de fiches construites sur le même plan : présentation, documentation, mise
en œuvre, retour d’expérience. C’est un outil de référence qui permet aux DSI, mais
aussi aux directions générales et aux acteurs du contrôle, de comprendre aisément les
objectifs associés à chaque outil à travers un panorama exhaustif.
Appliquer à l’informatique dans l’ensemble de ses composantes des règles de
bonne gestion et de transparence donne confiance aux acteurs de l’entreprise sur
la pertinence des objectifs et sur l’adaptation des moyens engagés à ces objectifs. La
gouvernance permet d’apporter une réponse instrumentée sur la stratégie informatique,
les investissements, la qualité de service, la gestion des projets, la maîtrise des risques,
la qualité de formation et la motivation des personnels, la politique d’achats et la
performance des fournisseurs... Ce guide permet d’instaurer un dialogue fécond au sein
des équipes pour proposer une politique de gouvernance qui définisse clairement les
objectifs à travers une sélection pertinente d’outils.
La gouvernance des systèmes d’information met un terme à une tradition d’opacité
de l’informatique et permet d’en faire une ressource connue, maîtrisée et respectée. Le
Guide des certifications SI en est désormais un outil incontournable.
Jean-Pierre C ORNIOU
Ancien président du Cigref
Directeur général adjoint de Sia Conseil
Table des matières
Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII
Première partie – Étude des dispositifs
Chapitre 1 – Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1 Quelques définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Choisir son dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Chapitre 2 – Méta-modèle d’analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1 Présentation du modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1 Référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.2 Contenu du référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.3 Modèle d’évaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2 Acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3 Présentation des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Chapitre 3 – AFITEP-CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Chapitre 4 – AFITEP-CGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Chapitre 5 – Certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

VIII Guide des certifications SI
Chapitre 6 – CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Chapitre 7 – CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Chapitre 8 – CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Chapitre 9 – EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Chapitre 10 – eSCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Chapitre 11 – HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Chapitre 12 – ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Chapitre 13 – ISO 15408 Critères Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Chapitre 14 – ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Chapitre 15 – ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Chapitre 16 – ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Chapitre 17 – ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Chapitre 18 – ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Chapitre 19 – ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Chapitre 20 – MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Chapitre 21 – PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Chapitre 22 – PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Chapitre 23 – PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Chapitre 24 – Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Chapitre 25 – SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Chapitre 26 – Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Table des matières IX
Chapitre 27 – SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Chapitre 28 – Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Chapitre 29 – TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Deuxième partie – Analyses et perspectives
Chapitre 30 – Regard sur la certification de personnes . . . . . . . . . . . . . . . . . . . . . . . . . 183

30.1 Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
30.2 Utilisabilité à court terme ou employabilité par alternance ? . . . . . . . . . . . . . . . . . 184
30.3 Problématique de langue ou de culture ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
30.4 Pour quel niveau d’expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
30.5 Et comment optimiser cette expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Chapitre 31 – Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

31.1 Choix du dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
31.2 Concurrence ou complémentarité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Chapitre 32 – Regard sur la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

32.1 Sécurité ou sécurités ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
32.2 Produits certifiés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
32.3 Sécurité des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
32.4 Sécurité financière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
32.5 Justification des compétences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
32.6 Risque professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
32.7 Processus et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
32.8 Organisation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Chapitre 33 – Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

33.1 Certification du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
33.2 Reconnaissance et relation contractuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
X Guide des certifications SI
Chapitre 34 – Regard sur le législatif et le réglementaire . . . . . . . . . . . . . . . . . . . . . . . 209

34.1 Catégories de textes applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
34.1.1 Règlements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
34.1.2 Normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
34.1.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
34.2 Réglementations applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
34.2.1 Bâle II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
34.2.2 Solvabilité II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
34.2.3 CRBF n 97-02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
◦
213
34.2.4 Référentiel de sécurité du chèque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
34.3 Quelques lois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
34.3.1 Loi informatique et libertés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
34.3.2 Loi pour la confiance dans l’économie numérique . . . . . . . . . . . . . . . . . . . . . . . . . 214
34.3.3 Loi de sécurité financière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
34.3.4 Internet et droit d’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
34.3.5 Le législatif américain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Chapitre 35 – Cartographies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

35.1 Positionnement des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
35.2 TickIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
35.3 Relations entre les dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
35.3.1 Influence de l’ISO 9001 sur les autres référentiels . . . . . . . . . . . . . . . . . . . . . . . . . 222
35.3.2 HAS, ISO 9001 et certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
35.3.3 ISO 15504 et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
35.3.5 EFQM et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
35.3.6 ITIL et EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
35.3.7 Référentiels en management de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM . . . . . . . . . . . . . . . . . . . . . . . 225
35.3.9 Critères communs et ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
35.4 Portée des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Table des matières XI
Chapitre 36 – Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

36.1 Bénéfices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
36.1.1 Bénéfices externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
36.1.2 Bénéfices internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
36.2 Charges de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
36.2.1 Charge de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
36.2.2 Charge d’évaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
36.3 Mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
36.4 Processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
36.4.1 Vision « Système de management de l’ISO 9000 » . . . . . . . . . . . . . . . . . . . . . . . . 232
36.4.2 Vision de la HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
36.4.3 Vision Ingénierie du logiciel de l’ISO 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
36.4.4 Vision du SEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
36.4.5 Vision du PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
36.4.6 Vision PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
36.4.7 Vision ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
36.4.8 Vision Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
36.4.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
36.5 Accréditation des organismes de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
36.6 Formation des auditeurs et évaluateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Chapitre 37 – Gouvernance et responsabilité sociale de l’entreprise . . . . . . . . . . . . . 239

37.1 Gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
37.2 Émergence de la responsabilité sociale de l’entreprise . . . . . . . . . . . . . . . . . . . . . . . 240
37.3 Responsabilité sociale et système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
37.4 Référentiels pour la responsabilité sociale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
37.4.1 Multiplicité des référentiels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
37.4.2 Bientôt l’ISO 26000 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Avant-propos
« Comment faire reconnaître la qualité de son travail pour conserver ses clients et gagner de
nouvelles parts de marché ? », s’interrogent les entreprises et leurs collaborateurs. Cette
simple question appelle de nombreuses réponses, mais soulève de nouvelles questions :
Comment choisir le dispositif de certification adapté à son besoin ? Comment obtenir
et conserver cette reconnaissance ? Et quel investissement pour quel résultat ? Ces
questions posées dans la première édition du guide restent d’actualité, le panorama
des certifications s’étant depuis enrichi de nouveaux dispositifs et de nouvelles
réglementations.
La certification est une procédure destinée à faire reconnaître par un organisme la
conformité à des exigences dans le but de donner confiance à des tiers. Dans les années
1970, les compilateurs de langages de programmation étaient certifiés par rapport aux
normes les définissant. La certification de personnes est apparue dans les années 1980
avec celle des chefs de projet. La fin des années 1980 et le début des années 1990
voient émerger de nombreux dispositifs de reconnaissance dont les plus connus sont
l’ISO 9001, le prix qualité EFQM et le CMM.
Qu’il s’agisse de certifier un système de management, des personnes, un produit fini,
un processus de production ou des services, le choix d’un système de reconnaissance
n’est pas simple. Pour y répondre, nous avons étudié 27 dispositifs de reconnaissance
utilisés en France, afin d’en tirer des analyses et des tendances.
Le paysage foisonnant de la certification appliquée au domaine des systèmes
d’information en France s’est enrichi et complexifié depuis la parution de la première
édition de ce guide, parue en 2006. Notre ambition, dans cette deuxième édition,
est d’en présenter un panorama actualisé et complété, mais restant volontairement
synthétique.
Motivés par le développement durable, la bonne gouvernance ou l’excellence, tous
les responsables soucieux de l’efficience et de la reconnaissance de leur entreprise
trouveront ici des points de repère pour s’orienter sereinement dans le labyrinthe
des référentiels. Cette étude s’adresse principalement aux responsables de systèmes
d’information, de systèmes de management de la qualité ou de systèmes de mana-
gement de la sécurité. Les directeurs des ressources humaines et les responsables de
XIV Guide des certifications SI
formation scolaire, universitaire ou professionnelle seront intéressés par les aspects de

certification de personnes. Enfin, les consultants y trouveront un large panorama de
dispositifs sur lesquels ils pourront appuyer leurs recommandations.
Nous nous sommes concentrés sur des dispositifs applicables à l’ensemble des
secteurs d’activité ou à quelques secteurs spécifiques couvrant les domaines des
entreprises, des services, des produits et des personnes. Comme l’exhaustivité est
impossible, compte tenu de l’explosion du nombre de dispositifs, nous avons retenu
ceux d’entre eux qui avaient déjà une certaine notoriété ainsi que ceux qui, à notre
avis, allaient obtenir une renommée significative dans les toutes prochaines années.
Enfin, nous avons analysé plus finement les dispositifs qui :
• peuvent avoir un impact dans le domaine des systèmes d’information, sans
toutefois obligatoirement s’y limiter ;
• donnent en France lieu à une reconnaissance du niveau atteint ;
• peuvent être utilisés dans le cadre d’un plan de progrès.
Les dispositifs sont décrits à l’aide de fiches standardisées. Ces fiches sont classées
selon l’ordre alphabétique du nom du dispositif.
Ces dispositifs, décrits dans la première partie, sont :
• la certification en direction de projet de l’AFITEP (chapitre 3) ;
• la certification en gestion de projet de l’AFITEP (chapitre 4) ;
• la certification de services (chapitre 5) ;
• la certification de personnes CISSP, applicable aux experts en sécurité (cha-
pitre 6) ;
• l’évaluation CMMI qui concerne tous les processus d’ingénierie du logiciel et
des systèmes (chapitre 7) ;
• la démarche CobiT qui concerne la gouvernance des systèmes d’information,
avec les certifications de personnes CISA et CISM (chapitre 8) ;
• la reconnaissance de l’excellence avec en particulier le prix européen de la
qualité EFQM (chapitre 9) ;
• la certification eSCM, composée du volet eSCM-SP qui s’adresse aux fournis-
seurs de services et du volet eSCM-CL qui formule les exigences côté client
(chapitre 10) ;
• la certification HAS spécifique aux établissements de santé français (cha-
pitre 11) ;
• la certification ISO 9001 pour les systèmes de management de la qualité
(chapitre 12) ;
• l’évaluation de la sécurité des technologies de l’information selon l’ISO 15408,
plus généralement désignée sous l’appellation Critères communs (chapitre 13) ;
• l’évaluation de processus à partir de la norme ISO 15504 (chapitre 14) ;
• la certification ISO 20000 en matière de gestion de services (chapitre 15) ;
• la certification de progiciels sur la base de la norme ISO 25051, anciennement
ISO 12119 (chapitre 16) ;
Avant-propos XV
• la certification ISO 27001 relative au système de management de la sécurité

(chapitre 17) ;
• la certification ITIL pour les managers de services informatiques (chapitre 18) ;
• l’évaluation ITSEC sur la sécurité des systèmes informatiques (chapitre 19) ;
• la certification MSP pour les directeurs de programme (chapitre 20) ;
• la certification PCIE sur les compétences bureautiques (chapitre 21) ;
• les certifications issues du PMBOK pour les directeurs de programme, chefs de
projet et leurs assistants (chapitre 22) ;
• la certification PRINCE2 pour les chefs de projet (chapitre 23) ;
• la conformité aux exigences de la loi Sarbanes-Oxley relative au reporting
financier des entreprises (chapitre 24) ;
• l’évaluation SAS 70 pour le contrôle interne des services (chapitre 25) ;
• la certification des acteurs Six Sigma pour la maîtrise des processus (cha-
pitre 26) ;
• l’évaluation SSE-CMM du processus d’ingénierie de la sécurité (chapitre 27) ;
• la certification de Testeur de logiciels, ISTQB, pour les professionnels de
l’ingénierie du logiciel (chapitre 28) ;
• la certification TL 9000, complément à l’ISO 9001 spécifique au secteur des
télécommunications (chapitre 29).
Les fiches relatives à l’évaluation SW-CMM qui est remplacée par CMMI, à
Trillium qui est obsolète et à TickIT qui est peu utilisée ont été supprimées. Nous
avons, en revanche, introduit la certification MSP, complété le dispositif eSCM et
introduit Tickit Plus dans les cartographies du chapitre 35.
Chaque fiche descriptive suit un plan en quatre points : présentation, documenta-
tion, mise en œuvre, retour d’expérience. Le lecteur trouvera ici les moyens de
s’approprier les systèmes de reconnaissance existants, puis de bâtir le sien, spécifique
au contexte particulier de son marché ou de son entreprise, en intégrant ses objectifs
stratégiques et en respectant son système de valeur.
La seconde partie analyse les informations recueillies. Elle fournit ainsi des regards
spécifiques sur la certification de personnes, le management de projet, la sécurité,
le service ainsi que le législatif. Nous poursuivons par des cartographies et des
analyses détaillées. Nous concluons en étudiant les impacts de la gouvernance et
de la responsabilité sociale de l’entreprise sur les dispositifs de certification.
Les acronymes et les organismes cités, les références bibliographiques, ainsi qu’une
liste de sites Internet et un index concluent ce Guide des certifications SI.
À l’exception des normes, tous les documents cités en italique dans le texte sont
repris dans les références bibliographiques.
XVI Guide des certifications SI
Remerciements
Ce guide n’aurait pas existé sans la contribution des experts des différents dispositifs.
C’est pourquoi les auteurs tiennent à remercier tous ceux qui ont consacré une
partie de leur temps pour assurer la qualité et l’exactitude du contenu, qu’il s’agisse
de contributeurs, de personnes qui nous ont fait partager leur expérience ou de
re-lecteurs :
François B AUDRAZ de FBA Conseil ; Christophe B EUCHARD de Kereval ;
Hendrik C EULEMANS d’Infogovernance ; Thierry C HAMFRAULT d’itSMF France ;
Anne C OAT de SEKOIA ; Didier C OGNET de Capgemini Sud ; Philippe C ROIX de
Peregrine Systems ; Alain D ONJON de Capgemini Consulting ; Georgette D UBAIN
de Thales ; Alain F EREY d’IBM Global Services ; Frédéric F RADET de Johnson
Controls Automotive Electronics ; Patrick G EAI du Groupe La Poste ; Allan G EEKIE
de Capgemini UK ; Éric G LACE de Telindus ; John H IGHAM de Pmguru ; Bernard
H OMÈS du Comité français des tests de logiciels ; Pierre J OURDAN de Catalog-e-til ;
Mathilde L AMBERT de QRP Management Methods International ; Robert L EMAY
de Numeral Advance ; Martine M INY de l’AFITEP ; Dominique M OISAND d’ASK
Conseil et d’AFAI ; Antoine N ARDÈZE d’Alcyonix France ; Sophie R OBERT de
BNP Paribas Personal Finance ; Francis R ONEZ d’Axios Systems ; Jean-Christophe
R OUZOUL de Sopra Group ; Bruno R UBY de Bouygues Telecom ; Kamel S EHRI de
SELESTA ; Jean-Martin S IMON de Qualium ; Olivier T EITGEN d’AFNOR ; Gilles
T ROUESSIN d’Oppida ; Marc VANDENBERGHE de Belgacom.
Des membres d’ADELI ont activement participé à la relecture de ce guide :
Dominique B ERGEROT, Alain C OULON et Jacky VATHONNE qu’ils en soient
remerciés.
PREMIÈRE PARTIE
Étude
des dispositifs
« Comment faire reconnaître la qualité de nos produits et services », s’interrogent les

entreprises.
« Comment faire reconnaître la qualité de notre travail », renchérissent leurs collabo-
rateurs.
Dans l’éventail des dispositifs de reconnaissance, anciens, récents, émergents,
comment choisir celui qui sera le plus approprié à son contexte ?
Tout d’abord, il convenait de définir ce qu’est un dispositif de reconnaissance.
Ensuite, face au nombre de dispositifs existants et à leur complexité, nous avons dû
renoncer à l’exhaustivité et sélectionner les dispositifs à décrire répondant aux besoins
du marché français.
Dernier volet de notre méthodologie, la description de chaque dispositif sélec-
tionné a fait l’objet d’un plan-type, nous permettant de nous livrer ensuite à des
analyses comparatives.
1
Dispositifs
de reconnaissance
Comment choisir un dispositif de certification ? En fait, il s’agit non pas de choisir

le dispositif unique miracle, mais plutôt de sélectionner un ensemble de dispositifs
complémentaires répondant chacun à un besoin spécifique.
Ainsi, la réponse à cette question viendra naturellement de l’analyse détaillée des
différents dispositifs. Mais avant d’aller plus loin, il nous a semblé nécessaire de définir
la terminologie utilisée.
1.1 QUELQUES DÉFINITIONS

Dispositif
Nous avons utilisé le terme dispositif dans l’avant-propos, mais de quoi s’agit-il
exactement ?
Pour illustrer cette notion, prenons l’exemple d’un skipper. Pour participer à une
course en mer, il doit réunir plusieurs éléments :
• le code de navigation en mer et le descriptif du déroulement de la course : nous
appelons cela le référentiel ;
• son bateau ainsi que tous les éléments nécessaires à la course et à sa survie en
mer : ce sont les outils ;
• le règlement de la course qui définit les règles d’attribution des trophées : c’est
le modèle d’évaluation.
4 Chapitre 1. Dispositifs de reconnaissance
L’ensemble de ces trois éléments constitue le dispositif. Le descriptif du déroule-

ment de la course peut être inclus dans son règlement, alors que le code de navigation
en mer ne l’est pas. On peut ainsi avoir des ensembles disjoints.
Dans le contexte de cet ouvrage, le terme dispositif désigne globalement l’ensemble
des éléments associés au couple : référentiel – modèle d’évaluation (figure 1.1). Nous
parlerons par exemple du dispositif de certification ISO 9001 qui comprend la
norme ISO 9001 comme référentiel, l’audit comme type d’évaluation et les normes
complémentaires ISO 9000 et ISO 90003 comme outils. Selon les dispositifs, le
modèle d’évaluation peut faire partie du référentiel en totalité, partiellement, ou
encore lui être complètement externe.
Figure 1.1 — Dispositif de reconnaissance
Le référentiel est un document d’exigences ou de recommandations que l’entreprise

a retenu, puis éventuellement adapté pour répondre à ses besoins stratégiques ; il peut
s’agir d’un document d’origine externe (par exemple ISO 9001) ou interne (référentiel
de certification de services rédigé par l’entreprise pour ses besoins). Les exigences
contenues dans le référentiel servent de base aux opérations d’évaluation conduisant
à une reconnaissance.
Le modèle sert à l’évaluation et, pour éviter toute ambiguïté, nous utiliserons
l’expression modèle d’évaluation. Modèle d’évaluation et référentiel sont intimement
liés puisque l’évaluation se fait par rapport à un référentiel donné.
Audit – évaluation
À notre connaissance, aucune définition claire de l’évaluation ne permet de faire
une distinction formelle entre ces deux termes. Le résultat d’un audit, comme celui
d’un examen, est binaire (conformité ou non-conformité, diplôme attribué ou non).
Celui d’une évaluation peut se présenter sous la forme d’une mesure sur une échelle
définie, par exemple dans le cas de l’utilisation d’un modèle d’aptitude à représentation
continue comme dans le CMMI ou l’ISO 15504.
1.2 Choisir son dispositif 5
Il existe trois sortes d’audits :

• l’audit tierce partie réalisé par un organisme indépendant de celui qui est évalué,
par exemple l’audit de certification dans le cadre d’une démarche ISO 9001 ou
ISO 14001 ;
• l’audit seconde partie réalisé par un client ou à sa demande, pour évaluer son
fournisseur ;
• l’audit première partie, ou auto-évaluation, réalisé par l’entreprise ; il s’agit alors
d’une auto-déclaration – ce cas n’est pas traité dans l’ouvrage bien que la mise
en œuvre de tout dispositif devrait commencer par une auto-évaluation comme
cela est recommandé dans le fascicule FD X50-186 – Lignes directrices pour la
mise en place d’un processus d’auto-évaluation1.
Reconnaissance
La reconnaissance peut prendre différentes formes telles qu’un certificat de conformité
à un référentiel, un diplôme, un prix, un diagnostic, un label, une autorisation
d’exercer.
Cette reconnaissance peut être obtenue de différentes façons :
• de manière binaire et exclusive, tout ou rien, avoir ou non une attestation ;
• par un positionnement sur une échelle de valeurs, par exemple un nombre de
points obtenus sur un questionnaire d’évaluation de type prix qualité, un profil
de compétence comme les niveaux d’aptitude.
Attestation
Le terme attestation est générique. Il désigne indifféremment un certificat, une marque,
un diagnostic d’aptitude ou de maturité, un prix ou simplement un rapport.
1.2 CHOISIR SON DISPOSITIF

Dans un souci d’efficacité, les entreprises cherchent à affiner leur choix de dispositifs
avant de les intégrer dans leurs différents systèmes de management. Pour comprendre
ce mouvement, nous avons étudié les dispositifs de reconnaissance, accessibles aux
entreprises et aux individus, en nous préoccupant de leur complémentarité et de leurs
interactions.
Selon que nous nous intéressons au produit, au service, au processus, à une
entreprise ou à une personne, il faut choisir le dispositif qui répond le mieux à nos
besoins actuels sans pénaliser nos besoins futurs. En la matière, le dispositif idéal
serait l’attestation qui nous ouvrirait toutes les portes, répondrait à tous nos besoins
1. À l’exception des normes, tous les documents cités en italique dans le texte sont repris dans les
références bibliographiques.
6 Chapitre 1. Dispositifs de reconnaissance
en matière de qualité, de sécurité, d’environnement. Quelles solutions pouvons-nous

envisager ?
En fait, il y a l’embarras du choix. C’est en se posant les bonnes questions
qu’une solution va s’esquisser d’autant plus facilement qu’il n’y a pas vraiment
d’incompatibilité entre les différents dispositifs, mais seulement la nécessité d’un
ajustement et d’une homogénéisation. Il faut donc définir son besoin réel, s’agit-il :
• d’entreprendre une démarche d’amélioration purement interne ?
• de rassurer ses clients et ses actionnaires ? Dans ce cas, l’objectivité d’un
organisme tiers est-elle nécessaire ?
• de convaincre un client spécifique dans sa démarche de sélection de fournis-
seurs ?
• de se mettre en conformité avec une réglementation ?
• d’évaluer l’entreprise, le personnel, les produits ou les services ?
2
Méta-modèle d’analyse
2.1 PRÉSENTATION DU MODÈLE
La comparaison des dispositifs de reconnaissance nécessite une clarification des

concepts. La définition d’un méta-modèle permet d’ordonner les différentes notions.
En effet, au-delà d’un simple exercice de style, la modélisation, en imposant des
contraintes formelles, soulève des questions que l’on ne peut éluder.
Lorsqu’on souhaite modéliser les dispositifs de reconnaissance, une première
question se pose : de quoi parlons-nous ?
Nous avons tenté de modéliser le système complet avec ses multiples acteurs et
leurs inter-relations complexes. Dans la figure 2.1, nous présentons le méta-modèle
issu de cette réflexion. Comme tout modèle, le résultat est fonction des objectifs
choisis et peut justement servir de base à des discussions fructueuses entre experts et à
la production de variantes.
Nous commenterons ce schéma en prenant comme exemple le dispositif de
reconnaissance le plus répandu, celui de la certification des systèmes de management
de la qualité : l’ISO 9001.
8 Chapitre 2. Méta-modèle d’analyse
Figure 2.1 — Méta-modèle
2.1.1 Référentiel
Au cœur du dispositif de reconnaissance, nous trouvons un texte ou un ensemble de
textes fondateurs que nous désignerons par le terme de référentiel. Il peut s’agir de
textes normatifs ou législatifs aussi bien que de textes d’origine privée issus du monde
industriel. Cet ensemble de documents peut être caractérisé par un nom, une version,
une date de création.
Dans le cas du dispositif ISO 9001, il s’agit de la norme ISO 9001, version 2000,
publiée en décembre 2000. Faisant fi des différences d’interprétation dues soit à la
traduction, soit à l’adaptation à un secteur d’activité ou à un pays particulier, nous
reconnaissons à l’ISO 9001 une existence universelle.
Le référentiel peut être lié à d’autres documents qui lui servent de guide d’appli-
cation pour un domaine plus ou moins restreint. Le texte fondateur lui-même est
généralement assez concis et peut nécessiter des interprétations. Ainsi, la lecture
de la norme ISO 9001 n’est possible que précédée ou accompagnée de celle de
l’ISO 9000 qui apporte les principes et les définitions utiles à sa compréhension.
Dans la recherche de l’amélioration des performances, nous nous inspirons des bonnes
pratiques recommandées dans l’ISO 9004 ou de celles d’un standard sectoriel mieux
adapté à notre métier, tel que l’ISO 90003.
Lorsque le référentiel est lui-même un texte législatif, il faudra le lire à la lumière
de la jurisprudence issue de son application.
Parmi les autres caractéristiques du référentiel, nous avons noté sa langue et les
domaines d’activités auquel il se rapporte : le référentiel peut être rédigé en une ou
plusieurs langues et s’appliquer à un ou plusieurs domaines d’activités. Ainsi l’ISO 9001
2.1 Présentation du modèle 9
est un référentiel générique qui peut être mis en œuvre dans tous les domaines. D’autres
référentiels concernent des domaines particuliers dont les limites sont plus ou moins
bien définies.
2.1.2 Contenu du référentiel

Ce qui fonde le référentiel en tant que tel, c’est son contenu. Pour simplifier, nous
avons considéré qu’un référentiel se composait d’un ensemble de règles qui peuvent
être soit des exigences, soit des recommandations.
On distingue ces deux catégories en fonction du verbe utilisé dans le document :
« l’organisme doit » de l’ISO 9001 s’oppose au « il convient que » de l’ISO 9004.
L’ISO 9001 spécifie des exigences et l’ISO 9004 les complète par des recommandations.
Seul le respect des exigences est vérifié lors de l’audit qui conditionne la certification.
Les exigences et les recommandations s’appliquent à un élément qui peut être
une personne, un produit ou une activité menée au sein d’une entité qui peut être
une entreprise ou seulement une de ses parties. Chacun de ces éléments, tels que
la personne, le produit ou l’activité, peut éventuellement se décomposer en sous-
éléments auxquels s’appliquent des règles particulières. La personne ne se décomposant
pas physiquement, les règles portent sur les différents rôles qu’elle peut jouer dans
l’entreprise. Même lorsqu’il s’agit d’une orientation concernant la personne, le produit
ou l’activité, un référentiel peut combiner ces différents types d’exigences.
Pour reprendre notre exemple, les exigences de l’ISO 9001 s’appliquent au système
de management de la qualité de l’entreprise dans sa globalité. Prises individuellement,
les exigences peuvent ne concerner que certains processus ou activités, tels la
conception ou les achats. D’autres exigences s’appliquent directement le produit :
les éléments de sortie doivent vérifier certaines conditions, le produit doit être
préservé. D’autres enfin sont relatives aux personnes qui doivent avoir les compétences
nécessaires à la réalisation des tâches qui leur sont affectées.
2.1.3 Modèle d’évaluation

Pour devenir dispositif de reconnaissance, le référentiel doit être accompagné d’un
modèle d’évaluation qui indique la façon dont le référentiel est pris en compte dans
un processus d’évaluation et qui en précise les règles.
Un référentiel donné peut être utilisé avec différents modèles d’évaluation, tel le
SSE-CMM qui peut, suivant le contexte, être employé avec le modèle d’évaluation
défini dans l’ISO 15504 ou avec le SCAMPI.
Même un modèle d’évaluation peut être associé à différents référentiels, comme le
SCAMPI utilisé avec le SW-CMM, le CMMI ou le SSE-CMM.
Le modèle d’évaluation peut se présenter sous différentes formes : audit, diagnostic,
évaluation ou examen suivant le type d’organisation retenue.
2.2 ACTEURS
Le nombre de types d’acteurs impliqués dans le système de reconnaissance de la qualité
est important.
Tout d’abord, au cœur du système, nous trouvons deux acteurs. Selon le dispositif,
il s’agit de personnes morales ou physiques. Le premier acteur choisit et applique un
référentiel. Ce référentiel comporte un modèle d’évaluation qui donne confiance au
second acteur, le client. Il y a deux choix à effectuer : le choix des exigences qui vont
être appliquées (le référentiel) et le choix du modèle d’évaluation.
L’entreprise doit ensuite faire le choix d’un troisième acteur : l’organisme de
certification. Par exemple pour l’ISO 9001, il en existe plusieurs qui sont théorique-
ment équivalents bien que concurrents. Dans le cas des certifications de personnes,
l’individu choisit à la fois le référentiel d’exigences et le modèle d’évaluation, dans un
cadre strict imposé par son employeur ou dans une démarche personnelle de gestion
de son parcours professionnel pour améliorer son niveau d’employabilité.
Parmi les acteurs du système de reconnaissance, nous trouvons également le
propriétaire du référentiel, son distributeur par exemple AFNOR en France pour
les normes ISO, le formateur qui transmet la connaissance, le contrôleur, l’organisme
qui attribue l’attestation, l’organisme accréditeur, sans oublier les consultants et les
entreprises de conseil.
Le propriétaire du référentiel, généralement son créateur, est parfois un organisme
de normalisation tel que l’ISO, mais il peut aussi s’agir d’une entreprise dans le cas d’un
référentiel de services, d’un institut universitaire comme le SEI ou d’une association
professionnelle comme l’IPMA.
Le contrôleur qui vérifie l’application des exigences peut être un auditeur, un
évaluateur ou un examinateur.
La personne morale ou physique, généralement un organisme de certification
attribue l’attestation au vu du rapport d’évaluation ; il peut être ou non accrédité.
L’organisme accréditeur est garant de la valeur de l’attestation accordée en donnant
son label à l’organisme de certification. Souvent national, cet organisme permet, par le
jeu d’accords de reconnaissance mutuelle, de faire bénéficier les organismes accrédités
d’une portée internationale.
2.3 PRÉSENTATION DES DISPOSITIFS

Les particularités des dispositifs étudiés apparaîtront à la lumière de ce méta-modèle.
Ainsi nous remarquerons l’existence de dispositifs sans référentiel en matière de
management de projet, ainsi que des liens multiples entre dispositifs : par exemple
entre ITIL et ISO 20000, ou encore entre CobiT, SAS 70 et Sarbanes-Oxley.
Dans la suite de cet ouvrage, la présentation de chaque dispositif est introduite par
un schéma simplifié (figure 2.2) qui synthétise les principaux éléments. À gauche du
référentiel, cœur du dispositif, nous trouverons des éléments directement descriptifs.
2.3 Présentation des dispositifs 11
D’abord le secteur économique de l’entreprise ou de l’individu qui utilise le

référentiel lorsqu’il ne s’applique que de manière sectorielle. Si le référentiel est
d’application générique, ce champ indiquera Tous secteurs.
Le propriétaire du référentiel peut être un organisme de normalisation tel que
AFNOR, ISO, IEEE ou BSI. Il peut s’agir aussi d’une association, d’un organisme privé
ou gouvernemental, comme l’AFITEP, le SEI, l’OGC. La diffusion du référentiel est
effectuée soit directement par son propriétaire, soit par des intermédiaires spécialisés
ou des librairies techniques.
La portée du référentiel indique la nature des règles qu’il contient et dont les
mentions peuvent être les suivantes : le produit, l’activité ou les personnes. Certains
référentiels ne s’intéressent qu’au produit, d’autres uniquement à l’activité et les plus
exigeants possèdent les trois types de règles.
En fonction du type de reconnaissance, le référentiel peut servir à une auto-
évaluation, à une évaluation tierce partie qui conduira à une certification ou à une
évaluation seconde partie entre un client et un fournisseur indépendamment de
l’existence d’un contrat.
Au-dessus du nom du référentiel, figure l’indication de son domaine d’application.
Il peut s’agir, suivant le cas, de management de projet, de qualité, de sécurité des
systèmes d’information, de processus de systèmes d’information, de processus logiciel,
d’ingénierie du logiciel, d’ingénierie système, de production informatique, de dévelop-
pement et sécurité de système informatisé, de poste de travail informatique, de sécurité
des informations financières, ou encore de services sous-traités. Même, et surtout si
certains de ces termes semblent synonymes à première vue, cette énumération est
révélatrice des points de vue complémentaires adoptés par les différents dispositifs.
Figure 2.2 — Schéma standard de présentation d’un dispositif
Sur la figure 2.2, à droite du référentiel, se trouvent les éléments descriptifs du

processus d’évaluation.
Tout d’abord l’objet de la reconnaissance. Ce peut être une personne physique

reconnue pour ses capacités, connaissances et expérience dans un certain domaine.
Ce peut être une personne morale reconnue suivant le cas pour :
• la mise en œuvre d’un système de management de la qualité, d’un système de
management de la sécurité, d’un service, d’un ou plusieurs processus ;
• la conformité ou le niveau de sécurité d’un produit ou d’un système ;
• ses dispositifs de contrôle interne.
Le type de reconnaissance peut être une certification, un diagnostic d’aptitude ou

de maturité, un prix ou un simple rapport qui a une durée de validité définie ou non.
Le type d’évaluation peut correspondre à un examen passé en français ou en anglais,
associé ou non à une évaluation d’expérience, à un audit seconde ou tierce partie ou
encore à une auto-évaluation.
Une évaluation peut déboucher sur un ou différents niveaux d’attestation dont la
sélection se fait, soit en amont de l’évaluation lors du dépôt de dossier, soit en aval
en fonction du résultat obtenu. Le dispositif peut avoir une portée qui est souvent
internationale, mais peut être limitée à la France ou à l’Europe.
Enfin, la méthode d’évaluation et son propriétaire sont indiqués lorsque ces
informations sont définies.
Sans reprendre la totalité des informations présentes sur le méta-modèle, le schéma
simplifié de la figure 2.2 offre ainsi une vue suffisamment complète du dispositif.
3
AFITEP-CDP
Le dispositif AFITEP-CDP permet à une personne physique d’obtenir une certification

en matière de management de projet.
Figure 3.1 — Dispositif CDP de l’AFITEP
Présentation
La Certification en direction de projet (CDP) a pour objet de faire reconnaître une
compétence de type managérial fondée sur une expérience d’animation d’équipe et
d’arbitrage dans le but de mener à son terme un projet : c’est-à-dire une opération à
14 Chapitre 3. AFITEP-CDP
caractère spécifique et unique dont les objectifs, la durée et le coût sont préalablement
définis.
Cette certification est réalisée par l’Association francophone de management de
projet (AFITEP), représentant officiel de l’IPMA (International Project Management
Association) en France. En 1985, l’IPMA a développé un programme de certification
international à quatre niveaux. Ses membres sont des associations nationales qui
appliquent le dispositif de l’IPMA dans leur pays respectif avec leur langue.
Les règles de l’IPMA sont énoncées dans l’IPMA Competence Baseline (Guide
IPMA de compétences). Leur application s’effectue dans chaque pays par la forma-
lisation d’un guide national de compétences. En France, il s’agit du Référentiel de
compétences en management de projet de l’AFITEP.
Ce référentiel décrit les connaissances, l’expérience et le comportement attendus
des chefs de projet. Il reprend l’ensemble des éléments décrits dans l’IPMA Competence
Baseline pour évaluer les compétences en management de projet. La version 2006,
troisième version du référentiel, a été remaniée dans sa structure et comporte
46 éléments, répartis en trois domaines :
• les compétences techniques (20 éléments)
• les compétences contextuelles (11 éléments)
• les compétences comportementales (15 éléments)
Le management de projet consiste à planifier, organiser, suivre et maîtriser tous les

aspects d’un projet. Le cycle de développement du projet peut différer selon la branche
d’activité et le type de projet.
Des métriques sont définies dans l’élément de connaissances Mesure des perfor-
mances du Référentiel de compétences en management de projet. Le calcul et l’évaluation
de l’avancement du projet reposent sur l’analyse de la valeur acquise.
Documentation
Le Référentiel de compétences en management de projet est librement téléchargeable sur le
site de l’AFITEP ainsi que d’autres documents comme un formulaire d’auto-évaluation
et de positionnement, des notes explicatives, etc.
La version 2006 de l’IPMA Competence Baseline est rédigée en anglais. L’AFITEP
l’a traduite en français et enrichie en particulier des références normatives françaises
(cf. corpus normatif AFNOR en management de projet) dans la version disponible
en 2009 de son référentiel. Ces deux référentiels sont librement téléchargeables
respectivement sur le site de l’IPMA ou sur celui de l’AFITEP.
Mise en œuvre
L’IPMA fédère 45 associations nationales à travers le monde, ce qui représente plus de
25 000 membres. À la fin de l’année 2007, environ 73 000 personnes avaient obtenu
un certificat. On note une forte croissance du nombre de certifiés depuis 2002. La
prévision pour 2008 est d’environ 88 000 certifiés dans le monde.
AFITEP-CDP 15
L’IPMA a établi des accords de coopération avec l’ICEC (International Cost

Engineering Council), l’AIPM (Australian Institute of Project Management) et le PMI
(Project Management Institute).
L’AFITEP dispose d’une vingtaine de centres d’examens en France et à l’étranger
(Maroc, Émirats Arabes Unis, Algérie). Il y a quatre sessions programmées par an pour
le premier niveau (niveau D) de l’IPMA ; les dates des sessions de certification de
niveaux C, B et A sont définies en fonction des besoins.
L’IPMA « accorde une très haute priorité aux aptitudes personnelles nécessaires à la
fonction de chef de projet dans l’évaluation des individus pour leur accorder la certification »
C’est pourquoi, le dispositif propose un système d’évaluation du comportement des
personnes.
Ce programme, décrit dans la figure 3.2, a été conçu pour évaluer non seulement
le savoir, le savoir-faire et l’expérience du candidat, mais également son savoir-être.
Figure 3.2 — Certification IPMA

Source : référentiel de compétences en management de projet de l’AFITEP.
Ce référentiel est unique : il sert indifféremment à la certification des quatre

niveaux de l’IPMA ; c’est pourquoi, en plus des critères d’évaluation, on y trouve les
valeurs cibles attendues pour chaque critère et à chaque niveau. Les critères portent
sur les éléments suivants :
• capacités générales ;
• principes du management de projet ;
• compétences organisationnelles et sociales ;
• méthodes et procédures ;
• management général ;
• comportement personnel et l’impression générale donnée par le candidat.
16 Chapitre 3. AFITEP-CDP
Ce sont des experts en management de projet qui évaluent les candidats. Ces
évaluateurs ont eux-mêmes un niveau de certification au moins égal à celui auquel
postule le candidat et, parmi eux, il y a toujours un expert du secteur d’activité
du candidat. L’entretien individuel tient une grande importance dans la décision
d’attribution ou non du certificat.
La certification AFITEP-CDP est accordée pour une période de cinq ans suscep-
tible d’être prorogée sur dossier.
La commission de certification de l’AFITEP accepte le PMP (Project Management
Professional) du PMI comme équivalence du niveau D de l’IPMA.
Retour d’expérience
Martine M INY, présidente de l’AFITEP, déclare :
« De plus en plus d’entreprises choisissent la Certification en Direction de Projet,
d’une part parce qu’elle est personnalisée au contexte local, d’autre part, parce qu’elle
est reconnue au niveau international dans plus de 45 pays (dont la Chine, l’Inde
et la Russie), enfin parce qu’elle permet d’évaluer les compétences du candidat au
regard de la complexité des projets menés. Les entreprises apprécient le fait que le
référentiel soit structurant pour les compétences, mais n’impose aucune exigence
en matière de modes opératoires ou d’organisation. La certification de compétences
individuelles en direction de projet devient donc un élément clé de la reconnaissance
du professionnalisme des chefs de projet. C’est aussi un vecteur d’amélioration du
niveau de maturité du management de projet dans les organismes, la capacité à mener
à bien les projets étant aujourd’hui indispensable à la pérennité des entreprises.
Le candidat a, par ailleurs, la possibilité d’adhérer à l’AFITEP et de participer ainsi
à une communauté de chefs de projet qui publie une revue, organise des réunions et
des conférences et lui apporte ainsi une actualisation régulière de ses connaissances ».
Grâce à son processus d’accréditation, ce dispositif s’adapte très bien aux environ-
nements culturels nationaux tout en maintenant une cohérence globale au niveau
international. Il permet la reconnaissance d’un certificat national dans 45 pays.
Un des atouts de ce dispositif pour l’employeur est constitué par le modèle
d’évaluation ; il ne se limite pas aux connaissances en management de projet, mais
évalue aussi les compétences et la dimension comportementale.
Pour le candidat, la certification par niveau lui permet de se situer en fonction de
la responsabilité qu’il exerce.
En revanche, le référentiel ne peut être utilisé par le candidat comme un recueil
de bonnes pratiques : il s’agit plutôt d’une grille d’analyse de compétences. Toutefois,
il peut servir d’outil pour les responsables de ressources humaines, afin d’évaluer
un candidat lors d’un recrutement ou servir aux chefs de projets pour détecter des
potentiels en interne.
4
AFITEP-CGP
Le dispositif AFITEP-CGP permet à une personne physique d’obtenir une certification

en matière de management de projet.
Figure 4.1 — Dispositif CGP de l’AFITEP
Présentation
L’objectif de la Certification en gestion de projet (CGP) est d’apporter l’assurance que
les titulaires sont des professionnels qualifiés en maîtrise de projet et en particulier
18 Chapitre 4. AFITEP-CGP
dans les domaines de l’estimation, de la coûtenance (ingénierie des coûts) et de la

planification.
Coordonnée par l’ICEC (International Cost Engineering Council), cette certification
existe dans 43 pays. Elle présente une particularité : l’ICEC ne disposant pas de
son programme de certification, elle encourage le développement de programmes de
certification et de coopération entre les organisations membres. Ses membres sont des
associations qui doivent répondre à des critères d’acceptation pour être accréditées ;
ces critères sont documentés dans un guide définissant les exigences du processus
d’accréditation.
Il n’existe donc pas de référentiel unique. Chaque association développe son
référentiel en conformité avec les standards et normes en vigueur dans son pays et le
déclare à l’ICEC qui ne fait que le reconnaître.
L’ICEC a également conclu des protocoles d’accord avec différents organismes
dont l’IPMA (International Project Management Association).
En France, l’ICEC est représentée par l’Association francophone de management
de projet (AFITEP) sur la base du référentiel FD X50-107 – Management de projet –
Certification du personnel en maîtrise de projet. Ce document définit les compétences
requises par les candidats et détaille dans son annexe les thèmes couverts par cette
certification :
• connaissances générales ;
• connaissances en planification opérationnelle ;
• connaissances en évaluation et en estimation ;
• connaissances en maîtrise des coûts (ou coûtenance).
Documentation
Disponible auprès d’AFNOR, le référentiel FD X50-107 s’appuie sur l’ensemble des
documents AFNOR de la série X50 et en particulier les FD X50-115 (management de
projet-présentation générale), 118 (recommandations pour le management d’un projet), 137
(management des délais) et 138 (management des coûts).
De plus, en France, l’AFITEP publie des ouvrages de référence sur le management
de projet sous la forme de documents de synthèse ou de revue.
Mise en œuvre
Toute personne titulaire de la CGP obtient ipso facto le certificat international de
l’ICEC reconnu dans 46 pays. et détenu par 30 000 membres.
Il existe une vingtaine de centres d’examens en France et à l’étranger (Maroc,
Émirats Arabes Unis, Algérie). Le calendrier des sessions d’examens est défini annuel-
lement et est disponible sur le site web de l’AFITEP. Les dates des soutenances de
mémoire sont définies en fonction des besoins.
Pour se présenter à la certification CGP, le prérequis est l’obtention du certificat
Assistant de Projet Certifié (IPMA niveau D) qui atteste de connaissances générales sur
les projets.
AFITEP-CGP 19
Délivrées sans limitation de durée, viennent ensuite trois qualifications de spécia-

lité :
• la qualification en planification ;
• la qualification en coûtenance ;
• la qualification en estimation.
Ensuite, le candidat présente un mémoire sur un sujet de son choix relatif à son
expérience en gestion de projet qu’il soutient devant un jury de professionnels. Si le
mémoire est accepté et si le candidat est éligible (il faut justifier de trois à sept ans
d’expérience en fonction du niveau de formation après le bac), la CGP est accordée
pour une période de cinq ans susceptible d’être prorogée sur dossier.
Martine M INY, présidente de l’AFITEP, apporte sa vision :
« L’obtention de la CGP donne au candidat la reconnaissance d’une spécialisation
dans trois domaines et celle d’un métier. Cette certification prend tout son sens avec
l’importance croissante de la fonction de Project Management Office (un bureau des
projets qui assure le support, le suivi et un contrôle général d’un ensemble de projets).
Elle devient le garant de la qualité des projets et de l’application des bonnes pratiques
et méthodes de chaque entreprise ».
Tout comme pour l’IPMA, la force de l’ICEC réside dans le fait que le modèle
d’évaluation ne se réfère pas uniquement aux connaissances en matière de gestion de
projet, mais aussi à l’évaluation de l’expérience.
En revanche, le fait qu’il n’y ait pas de corpus de connaissances peut paraître
déroutant. Cependant, cette latitude donne une certaine souplesse au dispositif et lui
permet de tenir compte des spécificités de chaque secteur d’activité.
5
Certification de services
Le dispositif de certification de services permet à une entreprise d’obtenir une

certification en matière de qualité de services.
Figure 5.1 — Dispositif de certification de services
Présentation
La certification de services est régie par la Loi n◦ 94-442 du 3 juin 1994 et le Décret
n◦ 97-298 du 27 mars 1997 qui stipulent des exigences en termes de structuration de
la démarche.
22 Chapitre 5. Certification de services
Ce type de certification vise à contrôler un niveau de service fourni au client

final par rapport à un ensemble d’exigences (caractéristiques et modalités de contrôle)
décrites dans un référentiel de certification de services. Il s’agit d’un document technique
établissant les caractéristiques d’un produit ou d’un service ; ce document définit
également les modalités de contrôle de la conformité du produit ou du service.
La certification de services fait reconnaître le niveau de qualité qu’une entreprise
définit et s’engage à respecter vis-à-vis de ses clients.
Cette démarche est applicable quel que soit le secteur économique. Elle s’applique
à toute activité de service qu’elle soit destinée aux entreprises ou aux consommateurs.
Le référentiel peut être normatif ou privé. Un référentiel privé est défini soit
localement par une entreprise pour ses besoins, soit collectivement, par exemple par
un groupement ou par une association professionnelle. Chaque nouveau référentiel de
certification de services fait l’objet d’une mention au Journal officiel de la République
française et est contrôlé par un organisme habilité (accrédité ou ayant déposé un
dossier auprès de l’autorité administrative).
On peut citer des certifications de services très différentes qui concernent le
domaine des systèmes d’information, par exemple :
• référentiel privé : la téléphonie mobile développée par Orange France en 2002 ;
• référentiels collectifs : transactions commerciales électroniques développées par
Webcert en 1999 ou Sauvegarde à distance de données numériques élaboré par
le Club de la sécurité des systèmes d’information du Languedoc-Roussillon en
2001.
Le référentiel peut aussi être normatif lorsqu’une norme spécifie les exigences
permettant de définir, de cibler et de mesurer la qualité de service. C’est par exemple
le cas dans le domaine du transport public de voyageurs.
Le référentiel de certification est rédigé en se plaçant du point de vue du client
sous forme d’engagements de service documentés (figure 5.2). Il doit entre autres :
• clarifier le résultat attendu, c’est-à-dire le contenu du service fourni ;
• définir un niveau de qualité de service en termes de performances à atteindre ;
• définir les engagements de l’entreprise vis-à-vis de ses clients.
Les textes de loi qui régissent la certification de services n’imposent rien en matière
de dispositifs ou de moyens à mettre en œuvre par l’entreprise candidate. De ce fait,
celle-ci reste libre de la nature et du niveau de performance des engagements qu’elle
prend vis-à-vis de ses clients. Il existe toutefois une restriction : représenté par les
associations de consommateurs, le client doit valider ces engagements de service sans
quoi la démarche de certification est arrêtée.
La mise en œuvre de cette démarche permet de rendre visible la performance des
services rendus par une entreprise à ses clients. Elle marque le passage d’une culture
tournée vers l’interne à une culture orientée vers la satisfaction des clients.
Les métriques sont spécifiques à chaque référentiel. Elles y sont définies.
Certification de services 23
Figure 5.2 — Démarche de certification de services
Documentation
Les textes de loi sont accessibles sur le site de Legifrance.
Les référentiels de certification de services normatifs sont disponibles auprès
d’AFNOR ; les référentiels privés (personnel ou collectif) sont déposés au Journal
officiel de la République française.
Mise en œuvre
Cette démarche s’applique dans le cadre du droit français.
Des efforts de communication et de promotion sont fournis par les organismes
certificateurs ainsi que par certaines associations de consommateurs ; ces dernières
voient dans ce mode de reconnaissance un signe de performance de l’entreprise
certifiée et donc de garantie pour le client.
La certification de services est un outil qui se répand car, dans une démarche
d’amélioration reconnue par un certificat, elle permet aux entreprises ou à des secteurs
d’activité de s’engager de manière ciblée sur le service à rendre. Elle s’étend en France :
la reconnaissance en 2004 par la Haute autorité de santé (HAS) de l’intérêt de ce
type de certification en est une preuve.
La certification de services de certaines lignes d’autobus et de métro de la RATP
constitue un exemple de mise en œuvre de cette démarche dont l’effet est visible
par tous les Parisiens. En février 2003, pour la première fois hors de France, une
certification de services a été délivrée à une société belge, la Société des trans-
ports intercommunaux de Bruxelles. Le référentiel utilisé est la norme européenne
NF 13816 relative au transport public de voyageurs.
Dans le domaine du e-commerce, il s’agit par exemple d’informer l’utilisateur final

de la valeur réelle des outils capables de garantir réellement la sécurité, la confiance
et la qualité du service. Pour cela plusieurs certifications de ce type coexistent en
France : Webcert d’AFAQ, Elite Site Label de la société Sysqua contient 148 critères
de certification et Qualicert de la société SGS qui se développe aussi à l’étranger.
La mise en œuvre de cette démarche implique soit de rédiger un référentiel
spécifique à son domaine, soit d’en utiliser un déjà existant.
Il faut aussi former les opérationnels afin de leur faire connaître et de leur apprendre
à atteindre en permanence le niveau de performance attendu des engagements de
service auxquels ils contribuent.
Essentiellement française, cette certification est réalisée par un organisme de
certification délivrant l’attestation sous la forme d’une marque (logo) qui lui est propre.
Pour réaliser une évaluation, différentes méthodes de contrôle peuvent être mises en
œuvre comme :
• l’enquête de satisfaction client ;
• la méthode dite du client mystère qui est une enquête réalisée sur le terrain par
un auditeur ne se faisant pas reconnaître et agissant comme un client ;
• la collecte automatique de mesures ;
• l’audit de terrain effectué par une tierce partie.
Lorsque des standards de contrôle existent, les méthodes de contrôle du référentiel

de certification peuvent s’y référer ; par exemple les standards du W3C/WAI (Web
Accessibility Initiative) pour l’accessibilité des sites web.
Pour obtenir un service certifié, le processus comprend soit l’élaboration d’un
référentiel suivi de sa publication, soit le choix de ce référentiel, puis son déploiement
opérationnel et enfin l’audit de certification (figure 5.3).
L’élaboration d’un référentiel privé peut prendre de huit à douze mois et mobiliser
une trentaine de personnes. Il faut compter ensuite environ neuf mois pour le
déploiement opérationnel jusqu’à la certification. Et enfin, trois semaines pour l’audit
de certification avec une équipe de dix auditeurs.
Certification de services 25
Figure 5.3 — Déroulement du processus
Un consultant d’une société de conseil commente :
« La certification de services peut venir en complément d’une certification d’entreprise
de type ISO 9000. Cette double approche est déjà mise en œuvre dans des entreprises
comme la RATP. Dans les petites structures, la certification ISO 9001 est parfois
abandonnée au profit de la certification de services.
Parmi les motivations qui différencient ce dispositif d’une certification ISO 9001, il
y a la possibilité de définir son référentiel, d’utiliser un référentiel focalisé sur une
plus-value à fournir au client et sur la capacité d’une entreprise à obtenir des résultats
constants visibles par le client.
Par rapport aux exigences de l’ISO 9001, une autre différence réside dans l’identifi-
cation pour chaque engagement de service, d’un responsable qui rapporte directement
au comité de direction sur le respect, sur l’évolution de l’engagement qu’il pilote et sur
les moyens et actions qu’il met en œuvre.
Bien utilisée, la certification peut être un atout majeur au service des entreprises et
des clients. Elle permet tant aux entreprises qu’aux clients d’atteindre leurs objectifs
et de valoriser les services offerts par la confiance qu’elle donne au client.
Pour l’entreprise, il s’agit d’une démarche orientée vers la quête d’un résultat
précisément défini, mesurable et qui apporte un plus au client. L’utilisation de ce
dispositif permet d’améliorer l’image de l’entreprise et de promouvoir de nouveaux
services. La démarche est innovante : elle est source de différenciation et d’amélio-
ration permanente, surtout lorsque l’entreprise participe à la création du référentiel.
Comme tout projet d’entreprise, elle permet la mobilisation du personnel autour
d’objectifs concrets et une qualité de service homogène. De plus, avec ce type de
certification, l’entreprise peut communiquer sur les critères explicites du service objet
de la certification.
Pour le client, utiliser un service certifié garantit que ce service dispose effectivement
des caractéristiques définies dans le référentiel et qu’elles sont contrôlées de manière
récurrente. La certification de services atteste du respect des promesses faites aux
clients du service.
Toutefois, il est important, avant de se lancer dans une telle démarche, de prendre
en compte le fait que cette démarche est encore peu connue. Il s’agit d’une initiative
française, sans équivalent véritable à l’étranger. Ceci implique qu’il n’est pas toujours
possible de faire reconnaître son certificat à l’étranger. Notons toutefois que dans le
domaine du service appliqué à l’Internet, qui par nature a une vocation mondiale,
il existe des équivalences européennes pour les certifications françaises par le biais
de l’European cooperation for Accreditation (EA). Ce type de montage nécessite
toutefois de la part de l’organisme certificateur une expertise particulière, car des
instances européennes doivent être consultées, par exemple les associations de
consommateurs ».
On s’aperçoit que l’approche et l’interprétation de la démarche varient selon les
organismes certificateurs. Le choix de l’organisme est donc important.
Lorsque la certification recherchée n’existe pas, il ne faut pas sous-estimer la
difficulté de rédaction du référentiel privé. Celui-ci doit être à la fois lisible et
compréhensible par l’entreprise, le client et l’auditeur externe.
6
CISSP
Le dispositif CISSP permet à une personne physique d’obtenir une certification en

matière de sécurité de systèmes d’information.
Figure 6.1 — Dispositif CISSP
Présentation
La Certification pour professionnel de la sécurité des systèmes d’information (CISSP,
Certified Information Systems Security Professional) est une certification internationale
d’origine américaine dont la finalité est la validation des connaissances généralistes
28 Chapitre 6. CISSP
en matière de sécurité de l’information. Elle permet d’une part aux dirigeants et

décideurs de s’assurer des compétences de leur personnel sécurité et de sélectionner
les consultants extérieurs, et d’autre part aux auditeurs et responsables de la sécurité
de valider leur expertise et d’augmenter leur employabilité.
Créée en 1995 et développée par l’(ISC)2 (International Information Systems Security
Certification Consortium), dont Auditware est le membre français, cette certification
vise plusieurs objectifs :
• maintenir et faire évoluer le tronc commun de connaissances en sécurité (CBK,
Common Body of Knowledge for Information Security) ;
• faire certifier les professionnels selon le CBK ;
• organiser la formation et la certification des professionnels de la sécurité ;
• assurer le suivi du niveau de qualification des personnes certifiées.
L’examen du CISSP porte sur les 10 chapitres suivants :

• systèmes et méthodologies de contrôle d’accès ;
• sécurité des télécommunications et des réseaux ;
• pratiques de gestion de la sécurité ;
• sécurité des développements d’applications et de systèmes ;
• cryptographie ;
• architecture et modèles de sécurité ;
• sécurité des opérations ;
• continuité des opérations et plan de reprise en cas de désastre ;
• loi, investigations et éthique ;
• sécurité physique.
En outre, il existe trois spécialisations CISSP, qui peuvent s’obtenir après avoir été
certifié CISSP :
• CISSP-ISSAP (Information Systems Security Architecture Professional), pour les
spécialistes en architecture ;
• CISSP-ISSEP (Information Systems Security Engineering Professional), pour les
spécialistes en ingénierie ;
• CISSP-ISSMP (Information Systems Security Management Professional), pour les
spécialistes en management.
Documentation
Le CBK est disponible à l’achat. Ce document de plus de 1 000 pages, rédigé en
anglais, porte le nom d’Official (ISC)2 Guide to the CISSP Exam. Il est disponible dans
les librairies techniques.
Le CBK évolue presque tous les ans.
Il n’est pas traduit en français car la connaissance de l’anglais écrit est considérée
comme incontournable dans le domaine de la sécurité informatique. Toutefois les cours
CISSP 29
sont dispensés en français en France par Auditware et CA (Computer Associates) ;

l’examen peut également se dérouler en français.
Mise en œuvre
La certification CISSP permet d’évaluer les connaissances du candidat, tant sur les
activités d’audit de systèmes d’information et d’analyse des risques que sur les aspects
techniques de la sécurité des systèmes d’information. Elle s’adresse en particulier aux
experts en sécurité et aux responsables de la sécurité des systèmes d’information.
Cette certification existe depuis 1995. Son développement s’est accru de façon
sensible depuis 2001, en s’étendant dans 104 pays. Le nombre de personnes certifiées
est passé de 8 000 à près de 65 000 fin 2008, soit plus de 60 % en 3 ans, dont près de
700 personnes certifiées en France, soit une augmentation de 350 % en 3 ans.
En novembre 2005, Microsoft Corp. a annoncé que les certifications (ISC)2
seraient incluses dans le programme de certification de ses ingénieurs. Un autre signe
de la notoriété internationale du CISSP est la présence en librairie d’un CISSP for
Dummies, version originale de la collection Pour les nuls.
En mars 2007, la certification CISSP a été formellement approuvée par le Dépar-
tement de la Défense des États-Unis d’Amérique (US Department of Defense), à la
fois dans leurs catégories « Information Assurance Technical (IAT) » et « Information
Assurance Management (IAM) », aux niveaux les plus élevés.
Pour obtenir la certification, il faut réussir l’examen et justifier d’au moins cinq
ans de pratique de la sécurité des systèmes d’information. Il porte sur 250 questions à
choix multiple (QCM) et dure 6 heures. Afin de faire évoluer l’examen, les réponses
à 25 des questions ne sont pas prises en compte dans la notation, elles servent à tester
les évolutions de l’examen. Pour réussir l’examen, il faut obtenir 700 points sur un
maximum de 1 000. Pour garder la certification, il faut s’engager à consacrer au moins
120 heures de formation continue (CPE, Continuing Professional Education) sur trois
ans pour maintenir sa compétence.
Depuis février 2005, l’examen du CISSP peut être passé en langue française, mais
nécessite toutefois de bien comprendre les concepts américains. Les questions en
anglais restent disponibles lors de l’examen.
Auditware et CA sont les deux seuls centres de formation agréés en France par
l’(ISC)2 . Les instructeurs sont certifiés CISSP, accrédités par l’(ISC)2 et sont bilingues
français et anglais.
En juin 2004, le programme CISSP a obtenu l’accréditation ISO 17024.
Un responsable de la sécurité des systèmes d’information témoigne :
« Je travaille dans la filiale française d’une compagnie américaine, la certification
y est fortement recommandée si l’on veut occuper un poste de responsable de la
sécurité dans le département informatique. Je ne serais pas surpris que cela devienne
bientôt obligatoire. J’avoue n’avoir pas réussi l’examen à la première tentative, mais
30 Chapitre 6. CISSP
la langue constituait un réel obstacle du fait que les questions en français n’étaient pas
disponibles à l’époque. Mon management a vraiment insisté pour que je persévère pour
réussir cette certification, et j’ai compris que c’était mon intérêt. Cette certification ne
prétend pas que ses détenteurs sont de véritables experts très pointus, par contre elle
garantit un ensemble de connaissances indispensables pour un généraliste confronté à
des problématiques de la sécurité des systèmes d’information.
Bien qu’étant responsable de la sécurité dans le département informatique de mon
entreprise depuis 1998, la formation nécessaire à la préparation de l’examen m’a
permis de compléter mes connaissances. Je suis certifié CISSP depuis 2001.
La certification m’a apporté une reconnaissance au sein de ma compagnie. De
plus, cela me permet d’avoir un crédit de temps et de budget pour maintenir ma
certification, c’est-à-dire l’obtention de 120 heures de CPE tous les trois ans. Assister
aux événements qui permettent de maintenir la certification me permet de rencontrer
des personnes qui occupent des fonctions analogues dans d’autres entreprises : c’est
une opportunité de partages d’expériences ».
Un point fort de ce dispositif provient des bonnes pratiques destinées aux pro-
fessionnels de terrain, couvrant aussi bien les domaines techniques que l’analyse
de risques et l’audit des systèmes, dans une optique de gouvernance des systèmes
d’information.
Pour paraphraser la formule des commissaires aux comptes, la certification CISSP
apporte aux tiers (dirigeants, décideurs, organisations institutionnelles, administra-
tion) « l’assurance raisonnable » que le titulaire de la certification a fait la preuve de sa
compétence dans le domaine.
Un autre point fort de cette certification est la fréquence de ses examens. En
France, trois sessions se sont tenues au premier semestre 2008, alors qu’il n’y a que
deux sessions par an pour l’obtention du CISA (Certified Information System Auditor)
ou du CISM (Certified Information Security Manager).
En revanche, bien que l’examen puisse se dérouler en français, la principale
faiblesse de ce dispositif est la difficulté de compréhension de certains concepts, due à
la différence entre les cultures américaine et française.
7
CMMI
Le CMMI (Capability Maturity Model Integration) se décompose en trois recueils de

bonnes pratiques pour l’amélioration continue de processus et permet également à une
entreprise d’obtenir un diagnostic d’aptitude ou de maturité de ses processus. Il s’agit
du CMMI-DEV pour les processus de développement et de maintenance de produits,
le CMMI-SVC, pour les processus de service et le CMMI-ACQ pour les processus
d’acquisition.
Figure 7.1 — Modèle CMMI

32 Chapitre 7. CMMI
Présentation
Le CMMI concerne tous les processus liés aux affaires et aux projets, de l’acquisition
au service rendu en passant par le développement et la préparation de la production
en série. Toutefois, il ne concerne pas les fonctions administratives non directement
liées aux processus opérationnels comme la direction financière. En revanche, le
CMMI s’intéresse aux processus de support du management (fournis par la direction
des ressources humaines, la direction commerciale, ou encore la direction des systèmes
d’information), afin de s’assurer que les processus métiers disposent bien des moyens
et ressources nécessaires.
Le CMMI s’intéresse à la qualité des processus de management et d’ingénierie
d’une entreprise, et donc globalement à sa maturité.
Le CMMI a été organisé sous forme de constellations, un ensemble de composants
CMMI regroupant un modèle, sa formation et sa méthode d’évaluation.
Il existe trois constellations :
• la constellation développement (CMMI-DEV, développement de produits
et intégration système) définit un référentiel de bonnes pratiques pour une
démarche d’amélioration de gestion et de réalisation des projets et d’ingénierie
système ;
• la constellation services (CMMI-SVC, services informatiques, infogérance ou
tierce maintenance, mais aussi de tous services professionnels, voire personnels,
non liés à l’informatique) définit un référentiel de bonnes pratiques compatibles
avec ITIL et l’ISO 20000 pour la fourniture d’un service ;
• la constellation acquisition (CMMI-ACQ, externalisation, outsourcing, off-
shore) définit un référentiel de bonnes pratiques de gestion de la relation avec
le fournisseur, depuis sa sélection jusqu’au suivi de l’exécution de sa mission en
passant par la rédaction des contrats et la mise en place d’indicateurs permettant
de détecter les éventuelles dérives.
La particularité des constellations est de proposer un noyau commun. Ainsi,

16 domaines de processus sont communs à toutes les constellations. On retrouve
ainsi dans le modèle étagé :
Pour le niveau 2 Discipliné :
• gestion des exigences,
• planification de projet,
• surveillance et contrôle de projet,
• mesure et analyse,
• assurance qualité processus et produit,
• gestion de configuration.
Pour le niveau 3 Ajusté :

• focalisation sur le processus organisationnel,
• définition du processus organisationnel,
CMMI 33
• formation organisationnelle,
• gestion de projet intégrée,
• gestion des risques,
• analyse et prise de décision,
Pour le niveau 4 Géré quantitativement :

• performance du processus organisationnel,
• gestion de projet quantitative.
Pour le niveau 5 En optimisation :

• innovation et déploiement organisationnels,
• analyse causale et résolution de problèmes.
Le CMMI-DEV a été publié le 25 août 2006. C’est la constellation la plus ancienne,

celle sur laquelle il y a le plus de retours d’expérience.
Le CMMI-DEV (Capability Maturity Model Integration) apporte une solution com-
plète et intégrée pour les activités de développement et de maintenance appliquées
aux produits. Il concerne les pratiques qui couvrent le cycle de vie du produit, de sa
conception à sa livraison et à sa maintenance.
La création du CMMI-DEV a été coordonnée par le SEI (Software Engineering
Institute) de l’université Carnegie Mellon aux États-Unis avec un groupe d’environ
30 industriels et des représentants de clients.
Plusieurs modèles préexistants sont à la source de la conception du CMMI-DEV :
• en matière de logiciel, le SW-CMM – Capability Maturity Model for Software ;
• en matière de système, le SE-CMM – Systems Engineering Capability Model qui a
été produit par un groupement d’industriels sous la référence EIA/IS 731 ;
• en matière d’intégration, l’IPD-CMM – Integrated Product Development CMM
qui n’a pas été finalisé, mais dont la version 0.98 est cependant disponible sur le
site du SEI ;
• en matière d’acquisition, le SA-CMM – Software Acquisition Capability Maturity
Model.
Ces modèles d’origine ne sont plus aujourd’hui maintenus et sont remplacés par le
CMMI-DEV.
De plus, la compatibilité avec l’ISO 15504 est assurée par la prise en compte des
exigences de cette norme en matière de modèle d’évaluation de processus.
Deux représentations sont proposées, figure 7.2, une par niveau de maturité (étagée)
et une autre dite continue par profil d’aptitude qui assure la compatibilité avec
l’ISO 15504.
Le référentiel n’impose aucun indicateur particulier, mais il exige que l’entreprise
définisse des indicateurs de management et de performance avec les métriques
associées.
34 Chapitre 7. CMMI
Figure 7.2 — Deux représentations du CMMI1
Documentation
Tous les documents relatifs à ce dispositif sont rédigés en anglais et accessibles
gratuitement sur le site du SEI :
• le CMMI for Acquisition (CMMI-ACQ) ;
• le CMMI for Acquisition (CMMI-ACQ) Primer qui définit les bases des bonnes
pratiques d’acquisition ;
• le CMMI for Development (CMMI-DEV) ;
• le CMMI for Service (CMMI-SVC) ;
• l’ARC – Appraisal Requirements for CMMI qui définit les exigences applicables
à une méthode d’évaluation ;
• le SCAMPI – Standard CMMI Appraisal Method for Process Improvement qui
décrit la méthode d’évaluation du SEI conforme à l’ARC et donne des indica-
tions sur la charge de travail nécessaire pour réaliser les évaluations.
Depuis juin 2008, la version traduction en français du CMMI-DEV v1.2, est

disponible (CMMI 1.2 - Guide des bonnes pratiques pour l’amélioration des processus, 2e
édition, Pearson Éducation France, ISBN 978-2-7440-7304-5). Il s’agit de la traduction
officielle, approuvée par le SEI.
Il existe également une traduction du CMMI-DEV en japonais et une en chinois
traditionnel.
Par ailleurs, des livres en français sont publiés en particulier chez Dunod, dont
CMMI 1.2 L’aide-mémoire – Les domaines de processus du CMMI-DEV par Richard
Basque publié en octobre 2008.
CMMI 35
La documentation du CMMI est jugée suffisante pour le mettre en œuvre. Néan-

moins, une formation permet plus facilement d’en comprendre l’esprit et donc de
naviguer dans la documentation très bien faite et complète.
La documentation de la méthode d’évaluation (ARC et SCAMPI) est entièrement
et gratuitement disponible sur le site du SEI.
Mise en œuvre
À mi-2008, des évaluations CMMI en provenance de 63 pays ont été réalisées dont
les résultats ont été transmis au SEI1 . L’Asie vient en tête du nombre de résultats
transmis au SEI pour enregistrement avec 1593, puis l’Amérique du Nord avec 1187,
ensuite l’Europe avec 457, l’Amérique du Sud avec 243, puis l’Afrique avec 42 et
enfin l’Océanie avec 31. En France, on compte 125 évaluations se répartissant en 4
de niveau 1, 75 de niveau 2, 38 de niveau 3, 1 de niveau 4 et 2 de niveau 5. L’Inde
avec 158 organisations de niveau 5 est suivie par les États-Unis qui en ont 118.
À mi-2008, 3 553 évaluations CMMI avaient été réalisées sur une période de
76 mois dans les cinq continents dont 70 % dans des sociétés non américaines. La
répartition par niveau de maturité, montre que la majorité des évaluations (V1.2) se
situent au niveau 4 (44 %) et 3 (32 %). Les organismes concernés sont en majorité
les sociétés commerciales avec 73 % d’évaluations, alors que les sous-traitants des
marchés publics américains en réalisent 22 % et les marchés publics américains
5 %. Ce déploiement très rapide du CMMI sur l’ensemble des pays industrialisés
est supérieur à celui du CMM. Outre les pays traditionnellement matures, on voit
aujourd’hui une véritable explosion de l’utilisation du CMMI en Chine, Inde, Espagne,
Argentine, Brésil et Malaisie.
En France, le CMMI-DEV est utilisé dans des secteurs d’activités variés tels
que l’aérospatial, les télécommunications, les banques, les assurances, les services,
l’automobile, mais aussi dans le secteur public (DGI, DGA, MAP...).
L’application du référentiel nécessite un accompagnement : formation au dispositif,
définition de nouvelles pratiques, accompagnement du changement, suivi de l’avan-
cement, vérification périodique de processus, etc. Ces actions sont le plus souvent
coordonnées par une équipe de support interne.
La charge de mise en œuvre du CMMI dépend du niveau de maturité de l’entre-
prise au tout début de sa démarche d’amélioration. Néanmoins, le SEI fournit des
statistiques issues de l’ensemble des évaluations qui ont été enregistrées. Ces données
facilitent le chiffrage et la planification de la démarche.
La durée de la phase de mise en œuvre du CMMI-DEV est en moyenne de 18
à 24 mois pour l’obtention du niveau 2, ainsi que pour le passage du niveau 2 au
niveau 3.
L’évaluation CMMI est effectuée par des équipes formées à la méthode d’évaluation
SCAMPI du SEI, et conduite par un évaluateur en chef (Lead Appraiser) formé et
autorisé par le SEI.
1. Source : rapport septembre 2008 www.sei.cmu.edu/appraisal-program/profile/profile.html.

36 Chapitre 7. CMMI
Depuis le 1er janvier 2006, SCAMPI est la seule méthode d’évaluation reconnue
par le SEI pour tous ses modèles de maturité. La limite de validité d’un niveau est
aujourd’hui de 3 ans, on peut penser qu’à l’avenir il faille un audit de suivi tous les
ans (comme dans ISO 9001). Si on publie le résultat d’une évaluation SCAMPI hors
de l’entreprise, le Lead Appraiser doit maintenant être externe au périmètre évalué, il
n’est plus possible de s’auto évaluer et proclamer les résultats.
Le SEI a conclu un accord avec certaines sociétés de service pour accompagner le
déploiement du CMMI par la diffusion de formations et la réalisation d’évaluations :
ce sont les Partenaires du SEI (SEI Partners). La liste de ces sociétés partenaires figure
sur le site du SEI.
La mise en œuvre du CMMI est formellement contrôlée par le SEI par l’inter-
médiaire des Partenaires du SEI et des agréments d’un évaluateur en chef, le Lead
Appraiser. L’évaluateur en chef doit être enregistré auprès d’un partenaire du SEI,
partenaire qui doit avoir la licence de distribution des produits CMMI. Les évaluateurs
en chef doivent également être autorisés par le SEI au terme d’un cursus de formation
et d’expérience fixé par le SEI. C’est un agrément difficile à obtenir (une quinzaine
de personnes en France sont aujourd’hui référencées en tant que SCAMPI Lead
Appraiser), qui coûte environ 80 000 $ et qui peut demander de 2 à 3 ans, délai
nécessaire pour suivre les diverses formations, obtenir l’expérience de mise en œuvre
requise et faire valider l’agrément lors d’un SCAMPI sous observation du SEI.
Tableau 7.1 — Formation des évaluateurs CMMI

Pour devenir évaluateur, il faut : Pour devenir Lead Appraiser, il faut :
– pouvoir justifier d’une certaine expérience (en
– être formé au CMMI (Introduction to
particulier, avoir participé à des SCAMPI en tant que
CMMI) ;
membre d’équipe) ;
– être formé à la méthode d’évaluation – appartenir à une société Partenaires du SEI ou travailler
SCAMPI par un Lead Appraiser. pour l’une d’elles ;
– être formé au CMMI (formations « Introduction to
CMMI » et « Intermediate CMMI ») et à la méthode
d’évaluation SCAMPI par le SEI ;
– être observé lors de la 1re évaluation ;
– être accepté par le SEI, suite à cette observation.
Pour être autorisé relativement à une constellation (DEV, ACQ ou SVC), il est de plus requis d’avoir
suivi la formation correspondante et d’avoir une expérience significative dans ce domaine
Le programme de formation au CMMI et à son modèle d’évaluation est très

précisément décrit sur le site du SEI, il est résumé dans le tableau 7.1.
Il n’y a pas de délivrance de certificat par un organisme accrédité. Seules sont
reconnues conformes les évaluations conduites par un Lead Appraiser qui fournit
un diagnostic indiquant le niveau de maturité atteint. Ensuite, si et seulement si
l’entreprise évaluée le demande, ce résultat est publié sur le site du SEI dans la List of
Published SCAMPI Appraisal Results. Les résultats ont tous la même valeur qu’ils soient
publiés ou non. À partir de la version 1.2, leur validité est limitée à trois ans.
CMMI 37
Antoine N ARDÈZE, directeur d’Alcyonix France, instructeur et évaluateur CMMI et
CMMI en France depuis plus de 12 ans a répondu à nos questions :
ADELI : « Est-ce que le CMMI-DEV remplace d’autres standards ou modèles ? »
Antoine N ARDÈZE : « Non. Le CMMI-DEV est devenu le “ modèle de fait ” pour
le développement et la maintenance d’un produit ; il s’articule bien, en particulier,
avec ITIL, CobiT, ISO 15504, ISO 9001, mais aussi avec les standards comme
le “ DO-178 ”. Les entreprises disposent aujourd’hui d’un ensemble de modèles
dans lesquels elles peuvent aller puiser les bonnes pratiques qui leur sont utiles. À
chacun d’identifier les modèles qui correspondent à ses besoins. Le CMMI-DEV
permet en outre d’intégrer ces modèles dans une approche cohérente. Cependant, le
CMMI-DEV ne résout pas tous les problèmes. Il n’apporte pas ou peu de réponses
relativement à la technologie, au commerce, aux finances, aux ressources humaines...
mais il permet d’en intégrer une grande partie dans un processus cohérent. »
ADELI : « Quel sera le retour sur investissement ? »
Antoine N ARDÈZE : « Si l’investissement est identifiable a priori le bénéfice l’est
beaucoup moins, généralement par manque de maturité : avant d’utiliser des mesures,
il faut d’abord savoir mesurer (quoi, quand, comment, pourquoi...) !
Cependant, des bénéfices (tangibles ou intangibles) sont observés par les organisations
qui ont mis en place une démarche d’amélioration continue et qui l’ont maintenue dans
la durée. Quelques publications sur les ROI obtenus sont disponibles (voir en parti-
culier http://www.sei.cmu.edu/publications/documents/06.reports/06tr004.html qui
indique un ROI de 4:1). De fait, les utilisateurs du CMMI-DEV obtiennent des
retours positifs sur la productivité, les délais, les coûts et les taux de défaut dès que les
processus concernés sont relativement stabilisés et matures.
ADELI : « Peut-on se passer du CMMI-DEV ? »
Antoine N ARDÈZE : « Avez-vous déjà essayé de conduire une voiture sans volant,
sans accélérateur et sans frein ? En fait, il n’y a pas d’alternative : la maîtrise de
l’amélioration de processus est indispensable car les processus évoluent naturellement
et régulièrement ; on ne peut pas imaginer survivre très longtemps si l’on ne se dote
pas de moyens pour piloter cette amélioration en l’alignant sur les besoins et objectifs
business ».
Georgette D UBAIN, responsable du programme d’amélioration CMMI de Thales

déclare :
« Il est certain que la mise en place d’une démarche CMMI ne peut pas et ne doit pas
être engagée à la légère. Elle doit correspondre à une décision managériale du plus
haut niveau, avec une forte volonté de la Direction, un pilotage serré des actions et un
suivi des résultats, faute de quoi la résistance au changement bloquera l’amélioration
escomptée.
L’investissement nécessaire dépend très fortement du nombre de personnes concernées
par la démarche, du nombre de disciplines couvertes, du nombre de sites géographiques,
de l’hétérogénéité des affaires et des pratiques, et surtout de la maturité initiale.
Cet investissement sera très rapidement compensé par une meilleure maîtrise des
processus entraînant un gain de productivité.
38 Chapitre 7. CMMI
Les bénéfices attendus sont principalement la maîtrise et la réduction des coûts et

des délais, l’amélioration de la productivité, la maîtrise de la qualité, la maîtrise des
grands programmes, mais également l’affichage d’un niveau de maturité vis-à-vis
des tiers (clients, actionnaires), offrant un meilleur positionnement par rapport à la
concurrence.
Le CMMI a été jugé pertinent pour conduire la démarche d’amélioration dans toutes
les unités du groupe Thales ».
Sophie R OBERT, directrice des études de BNP Paribas Personal Finance, société
du groupe BNP Paribas, déclare :
« BNP Paribas Personal Finance a choisi de s’appuyer sur le CMMI-DEV dès
1998 (CMM à l’époque) pour maintenir un processus qualité fort, initié dès le
début des années 1990 lors de la refonte totale du système d’information Immobilier.
Parallèlement, dès 2001, ITIL a été retenu pour optimiser les processus de production
informatique. Nos objectifs étaient avant tout Business (qualité, délais, coûts,
réactivité).
La mise en œuvre s’est traduite par la consolidation de nos acquis, renforcée d’actions
d’améliorations opportunistes et concourantes à la mise en place d’un processus logiciel
fort. Il est important d’être vigilant sur le fait que le modèle CMMI-DEV n’est pas
à appliquer “ à la lettre ” mais “ dans l’esprit ”. Le projet d’amélioration continue
est conduit par environ deux équivalents temps pleins, qui s’appuient sur les retours
d’expérience (internes ou externes), les mesures et les suggestions des opérationnels
pour proposer des adaptations des processus et des organisations, qui sont décidées
par l’équipe dirigeante.
Nous avons retenu un rythme d’évaluation officielle tous les 36 mois, qui correspond
à la fois à notre volonté de continuité et à la nécessité de fédérer l’organisation autour
de l’amélioration continue.
Couplés à une focalisation sur l’Architecture du SI, à une organisation optimisée et
bien sûr aux hommes qui les conduisent, nos processus logiciels ont permis d’améliorer
significativement notre efficacité opérationnelle, puisque nous mesurons en 2008 une
efficacité 2 à 3 fois plus grande qu’en 2003 selon les secteurs.
L’impact de la mise en œuvre de CMMI-DEV a été excellent, dans le sens où il
s’est révélé comme un véritable guide, pour l’atteinte de meilleurs résultats et la
reconnaissance d’un niveau de professionnalisme incontesté ».
D’une manière générale, les bénéfices attendus de la mise en œuvre du CMMI

concernent l’amélioration de la maturité des pratiques sur les affaires et les projets,
une atteinte plus sûre des objectifs stratégiques et une meilleure maîtrise des coûts et
délais.
La grande force de ce dispositif est la présentation de concepts multidisciplinaires
dépassant le domaine étroit du développement de logiciel et applicable dans des
contextes non informatiques. Un dispositif cohérent est maintenant utilisable. La
terminologie est donc unique pour tous les domaines, ce qui permet de réduire les
coûts de formation et d’évaluation.
CMMI 39
Ce dispositif a été développé par des industriels pour des industriels, il est donc
adapté à leurs besoins. Ce développement s’est fait en prenant en compte les dix
années d’expérience du SW-CMM (software CMM) : en particulier, il est plus
facilement applicable aux petites et moyennes entreprises que le SW-CMM.
La compatibilité du CMMI avec la norme ISO 15504 fournit une passerelle à ceux
qui veulent utiliser ces deux modèles.
Une contrainte freine la réalisation d’une évaluation officielle : l’obligation de
transmettre le résultat de l’évaluation au SEI en intégrant la présentation finale, avec
les paramètres de l’évaluation, les constats synthétisés des forces et faiblesses par
processus et la cotation. Ce frein relève du souci de confidentialité des entreprises
françaises qui ne souhaitent pas forcément donner, à un organisme américain, une
grande visibilité sur leurs forces et faiblesses.
Il faut également noter que le vocabulaire doit être adapté au contexte et à la
culture de chaque entreprise.
8
CobiT
Le référentiel CobiT sert de cadre pour la certification d’une personne physique en

matière d’audit, de sécurité ou de gouvernance des systèmes d’information.
Figure 8.1 — Dispositif CobiT
Présentation
Comprendre et gérer les opportunités et les risques liés aux systèmes d’information, tel
est l’objectif de la gouvernance des technologies de l’information. Elle conditionne au
plus haut niveau l’efficacité de la gouvernance de l’entreprise.
42 Chapitre 8. CobiT
L’ISACA (Information Systems Audit and Control Association) a développé le CobiT

(Objectifs de contrôle pour l’information et les technologies associées) à partir de
1994, en tant que modèle de référence pour l’audit des systèmes d’information.
L’ISACA, association internationale d’auditeurs représentée en France depuis 1982
par l’Association française de l’audit et du conseil informatiques (AFAI), a été créée
en 1967. Elle compte aujourd’hui plus de 85 000 membres individuels répartis dans
plus de 160 pays qui occupent des postes liés au traitement de l’information, tels
que directeurs des systèmes d’information, auditeurs internes et externes, consultants,
formateurs ou encore professionnels de la sécurité.
Au début des années 2000, l’ISACA a pris en compte la préoccupation de la
Corporate governance portée par le COSO (Committee of Sponsoring Organizations of the
Treadway Commission). Le COSO a pour but d’améliorer la qualité des informations
financières fournies par les entreprises du secteur privé à travers l’éthique, le contrôle
interne et la gouvernance d’entreprise. Cette orientation stratégique s’est traduite en
1998 par la création de l’ITGI (Information Technology Governance Institute), qui a
pour vocation la conduite de projets de recherche dans le domaine de la gouvernance
des systèmes d’information.
Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts mondiaux.
Elles sont très orientées vers le contrôle, au sens maîtrise pour la réalisation des objec-
tifs, et moins vers l’exécution. Elles ont pour but d’aider à optimiser les investissements
informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles
se référer pour évaluer le bon fonctionnement des systèmes. CobiT est en permanence
tenu à jour et harmonisé avec d’autres cadres de référence faisant autorité.
CobiT répond à plusieurs préoccupations complémentaires concernant les systèmes
d’information :
• offrir un référentiel unique au contrôle interne, aux auditeurs internes ainsi qu’à
l’inspection en relation avec la DSI et les tiers externes ;
• offrir un cadre d’investigation pour les auditeurs externes, les actionnaires, les
commissaires aux comptes ;
• couvrir la préoccupation de la gouvernance des systèmes d’information et du
management des risques ;
• intégrer les référentiels de la DSI (ISO 27001, CMMI, ITIL) dans un souci de
gouvernance des systèmes d’information.
CobiT aide les dirigeants à évaluer les risques et à contrôler les investissements
dans un environnement informatique souvent imprévisible. Il permet ainsi de vérifier
que la gouvernance des systèmes d’information est cohérente avec celle de l’entreprise :
on parle alors d’alignement stratégique.
Il fournit aux directions opérationnelles, utilisatrices de l’informatique, des garan-
ties sur la sécurité et les contrôles des services informatiques internes ou sous-traités.
Les auditeurs peuvent l’utiliser pour justifier leur opinion et conseiller les dirigeants
sur les contrôles internes à mettre en œuvre.
CobiT 43
Enfin, auditeurs et informaticiens peuvent utiliser CobiT pour évaluer le niveau

de gouvernance des systèmes d’information de l’entreprise.
CobiT repose sur une approche processus assez fine qui subdivise le système
d’information en 34 processus répartis en quatre domaines fonctionnels :
• planification et organisation ;
• acquisition et mise en place ;
• distribution et support ;
• surveillance et évaluation.
La quatrième édition de CobiT est venue remplacer en 2005 la troisième édition

qui datait de 2000. Elle a été traduite en français en 2006 par l’AFAI.
Les principales évolutions de la version 4 sont :
• une volonté de mettre au premier plan la gouvernance des systèmes d’informa-
tion devant l’orientation traditionnellement tournée vers l’audit ;
• une démarche résolument orientée vers l’action, plus que vers le contrôle ;
• une volonté de rapprochement des autres référentiels complémentaires que sont
CMMI, ITIL et ISO 27001 en matière de système d’information et du référentiel
COSO en matière de gouvernance d’entreprise.
Cette version 4 comprend six fascicules :

• Synthèse ;
• Cadre de référence (les 34 processus) ;
• Noyau, lui-même décomposé en deux sous-parties :
– les objectifs de contrôle (associés aux 34 processus, ils sont passés de 318
dans la V3 à 220 dans la V4, les objectifs génériques ayant été remontés dans
le cadre de référence),
– le Guide de management,
• Annexes ;
• Guide de mise en œuvre de la gouvernance des TI qui reprend les outils de mise
en œuvre de la V3 ;
• Guide d’audit des Systèmes d’information.
Le Guide de Management de CobiT V4 propose :

• une description de chacun des 34 processus, précisant les entrées/sorties et les
liens avec les autres processus ;
• une matrice de responsabilité détaillée pour les activités de chacun des proces-
sus ;
• des objectifs et des métriques revus dans une perspective orientée métier
comprenant des indicateurs de management pour vérifier que les objectifs sont
atteints, ainsi que des indicateurs de performance pour s’assurer que la qualité
des dispositifs en place y contribuent ;
• un dispositif d’évaluation des processus par rapport aux pratiques clés de gestion ;
• un modèle de maturité de chaque processus permettant d’en apprécier le niveau
sur une échelle de 0 (inexistant) à 5 (optimisé), sur la base de six critères de
maturité :
– conscience et communication,
– règles, standards et procédures,
– outils et automatisation,
– compétences et expertises,
– responsabilité et charge,
– fixation et mesure des objectifs.
Indicateurs et métriques sont au cœur de CobiT. Ils ont été revus dans la V4, pour
être plus orientés métiers et de faire mieux apparaître la relation entre les objectifs
d’un processus et les résultats obtenus.
L’utilisation d’indicateurs identiques par des sociétés différentes utilisant CobiT
devrait permettre à chacun de se situer dans l’échelle des bonnes pratiques. Le modèle
de maturité fournit de plus une mesure synthétique, mais pas forcément comparable à
celle d’autres entreprises si elle est réalisée sous forme d’auto-évaluation.
Enfin, dans le même ordre d’idée, la structuration des processus et l’affinement des
indicateurs devrait conduire à des comparaisons interentreprises plus systématiques.
De nouvelles extensions à CobiT : Val IT, Risk-IT

Publié en 2006, Val IT vient compléter CobiT en traitant de la création de valeur
pour l’entreprise via les investissements technologiques, fournissant ainsi un cadre de
référence plus complet de la gouvernance des systèmes d’information. Le référentiel
Val IT porte sur la gestion des investissements, des portefeuilles de programmes et de
projets, ainsi que sur la gouvernance de la valeur.
En effet, les projets de transformation de l’entreprise et de ses processus comportent
de plus en plus souvent une composante informatique significative. Les directions
générales exigent de plus en plus de transparence sur les apports des projets et
souhaitent pouvoir étayer leurs décisions et arbitrer ou réviser les choix effectués.
Dès lors que les demandes existent, en matière de projets, il convient de se poser
quelques bonnes questions :
• les investissements informatiques consentis sont-ils réellement générateurs de
valeur pour l’entreprise ;
• et ce, à un coût acceptable ;
• et à un niveau de risque maîtrisé ?
La réponse à ces questions est dans la mise en œuvre de processus et de bonnes

pratiques qui vont les épauler. Val IT comprend trois parties :
• un cadre de référence pour obtenir une réelle valeur des investissements
informatiques ;
CobiT 45
• la description du rôle clé du « business case » ;

• un retour d’expérience réel.
Val IT distingue trois axes de gouvernance des projets systèmes d’information :

• la gouvernance de la valeur (GV) : ou comment s’organiser pour piloter,
maîtriser les projets, décider de leur poursuite et savoir, en toute connaissance
de cause d’où vient la valeur pour l’entreprise et comment la valoriser ;
• la gestion de portefeuille (GP), ou comment organiser les projets élémentaires
pour obtenir une vision exploitable des projets lancés ou en cours, et se donner
les moyens de piloter le portefeuille de projets ;
• la gestion des investissements (GI), qui relève d’une analyse des projets élémen-
taires et de construction de programmes qui les englobent, et s’appuie sur une
logique de démonstration de la valeur créée, au travers de l’outil fondamental
qu’est le « business case ».
Risk IT, le volet maîtrise des risques du dispositif CobiT, est en cours de mise au
point et devrait paraître fin 2009 dans sa version définitive. Il apportera une vision
étendue du risque informatique, dépassant celle du risque sécurité, abordé par d’autres
référentiels.
Documentation
L’AFAI a traduit et publié CobiT V4 en français en 2006, ainsi que Val IT en 2007.
La première version en ligne de CobiT a été développée en 2003 pour la version
V3. Personnalisable par l’utilisateur, elle permet des comparaisons internes ou avec
d’autres entreprises. Son utilisation repose sur un principe de licence annuelle.
CobiT Quickstart, version allégée de CobiT destinée aux petites et moyennes
entreprises ou aux entreprises pour lesquelles l’informatique est moins stratégique a
été mise à jour à la fin de l’année 2005. Elle répond aux critiques de lourdeur qui ont
pu être adressées à CobiT V3 dans sa version complète. Il s’agit d’un sous-ensemble
de CobiT qui n’inclut que les objectifs les plus critiques.
Dans son livre blanc IT Control Objectives for Sarbanes-Oxley, l’ITGI a décliné les
exigences sur le système d’information de la loi Sarbanes-Oxley. On y rappelle en
introduction que, depuis 2003 pour se conformer à COSO, les entreprises doivent
adopter un référentiel de contrôle qui s’étend aux systèmes d’information. Dans cette
publication, on trouve une grille de correspondance entre CobiT et les cinq axes de
contrôle de COSO, ainsi qu’une grille détaillée des objectifs de contrôle de CobiT
applicables à Sarbanes-Oxley.
Enfin, l’ISACA et l’ITGI mettent à jour en permanence une documentation très
riche autour de CobiT qui reflète le succès de ce référentiel et le souci d’en faire une
sorte d’intégrateur de la gouvernance des systèmes d’information. Citons en particulier
les grilles de correspondance (mapping) entre CobiT et les autres référentiels (CMMI,
ISO 27001, ITIL, PMBOK, Prince2), l’utilisation de CobiT dans le contexte de la loi
Sarbanes-Oxley ou des audits de progiciels de gestion intégré.
Une grande partie de ces documentations est consultable en ligne sur le site de
l’ISACA ou disponible auprès de l’AFAI.
Mise en œuvre
La notoriété de CobiT et celle de Val IT sont en croissance constante auprès du
secteur public, des entreprises financières, industrielles ou de services.
En France, les formations et les ventes d’ouvrages sur CobiT ont sérieusement
progressé ces dernières années. La croissance lente qui prévalait avant 2004 était
essentiellement le fait des auditeurs. Depuis lors, deux phénomènes peuvent expliquer
le succès de CobiT : la déclinaison locale de loi Sarbanes-Oxley avec les nouvelles
normes comptables internationales IFRS (International Financial Reporting Standards)
et la Loi de sécurité financière (LSF) d’une part et d’autre part l’émergence du concept
de gouvernance des systèmes d’information.
La généralisation de CobiT comme référentiel pour l’application de la loi Sarbanes-
Oxley est en partie source de sa notoriété grandissante. Les grands cabinets d’audit
internationaux l’ont systématiquement adopté ainsi que les services d’audit et de
contrôle interne.
Ramener CobiT à une dimension de contrôle serait toutefois ignorer le chemin
parcouru entre le point de départ (l’audit) et la couverture actuelle qui inclut la
gouvernance des systèmes d’information. Ainsi, l’AFAI a suivi l’exemple de l’ISACA
en créant en 2004 l’Institut de la gouvernance des systèmes d’information (IGSI),
association à parité avec le Club informatique des grandes entreprises françaises
(CIGREF). Cette association organise un symposium annuel au mois de mai sur la
gouvernance des systèmes d’information.
Il n’existe pas de dispositif de reconnaissance officiel lié à la mise en œuvre de
CobiT. Dans la mesure où ce référentiel sert de guide à l’évaluation de la conformité à
des lois comme Sarbanes-Oxley, IFRS ou LSF, voire à des principes de gouvernance
comme COSO, la question de la conformité à CobiT ne se pose pas en tant que telle.
L’ISACA a institué une évaluation des personnes par rapport à une base de
connaissance dont le cœur est constitué de CobiT et de Val IT. Les certifications
internationales CISA (Certified Information System Auditor), CISM (Certified Informa-
tion Security Manager), CGEIT (Certified in the Governance of Enterprise Information
Technology) sont délivrées par l’ISACA. Ces certifications individuelles, attachées à
la personne physique qui les obtient, sont en cohérence à la fois avec les principes de
l’audit ou de la gouvernance et en phase avec CobiT. Il ne s’agit pas pour autant de
certifications CobiT stricto sensu, contrairement à ce qui existe pour le CMMI ou pour
ITIL par exemple.
L’adhésion au code d’éthique de l’ISACA et à sa politique de formation continue
est un pré requis à l’obtention des certificats.
CobiT 47
La certification CISA
La certification CISA sanctionne la réussite à un examen organisé par l’ISACA et la
validation de cinq années d’expérience dans le domaine de compétences de l’audit
informatique.
L’examen couvre tous les domaines de l’audit des systèmes d’information, des
aspects techniques aux aspects organisationnels :
• le processus d’audit des systèmes d’information ;
• la planification, l’organisation et la gestion des systèmes d’information ;
• l’infrastructure technique et la gestion opérationnelle ;
• la protection des actifs informatiques ;
• les plans de secours et de continuité d’activité ;
• la gestion des risques ;
• la gestion des incidents.
L’examen est organisé tous les ans en juin et en décembre, sous forme d’un QCM
de 200 questions à traiter en 4 heures, disponible en 11 langues dont le français. Le
candidat doit s’engager à respecter les standards d’audit de systèmes d’information de
l’ISACA. La réussite à l’examen est conditionnée par un taux minimum de 75 % de
bonnes réponses. Il existe 160 centres de test dans le monde dont plusieurs en Europe :
Paris, Bruxelles, Anvers, Luxembourg et Zurich.
L’AFAI propose en France des formations préparatoires à cet examen. Une fois
obtenu, le certificat doit être confirmé tous les ans en justifiant de 20 heures de
formation continue et de 120 heures tous les trois ans.
La certification CISA est devenue un préalable pour le recrutement, voire la
promotion, d’auditeurs informatiques dans certaines grandes entreprises et cabinets
d’audit internationaux. En 2007, on comptait plus de 55 000 professionnels titulaires
du CISA dans le monde depuis sa création en 1978. Environ 150 candidats par an en
France se présentent à l’examen avec un taux de réussite de 50 %.
La certification CISM
La certification CISM, lancée en 2003, s’adresse principalement aux responsables
de la sécurité des systèmes d’information et aux consultants en sécurité, mais aussi
aux gestionnaires de risques et directeurs informatiques, désireux de démontrer leurs
expériences et compétences en la matière.
L’examen couvre les thèmes :
• de la gouvernance de la sécurité ;
• de la gestion des risques ;
• des schémas directeurs de la sécurité de l’information ;
• de la gestion de la sécurité ;
• de la gestion des incidents.
L’examen est organisé tous les ans en juin et en décembre, suivant des principes
identiques à celui du CISA, et peut être passé en anglais, japonais, coréen ou espagnol.
En 2007, on comptait plus de 7 000 professionnels certifiés dans plus de 80 pays.
Une fois obtenu, le certificat doit être confirmé tous les ans en justifiant de
20 heures de formation continue et de 120 heures tous les trois ans.
L’AFAI propose également pour préparer la certification CISM une formation sur
la sécurité en général et la sécurité des réseaux dont Internet.
La certification CGEIT
La certification CGEIT, dont le premier examen s’est déroulé en décembre 2008,
permet désormais de reconnaître les connaissances en matière de principes de
gouvernance du système d’information et la capacité des professionnels à appliquer les
bonnes pratiques correspondantes. Ces principes de gouvernance sont principalement
fondés sur les travaux de l’ITGI et comprennent les six domaines suivants :
• le cadre de référence de la gouvernance du système d’information ;
• l’alignement stratégique ;
• la fourniture de valeur ;
• la gestion des ressources ;
• la mesure de la performance du système d’information.
Dominique M OISAND, président-directeur général de la société ASK Conseil et
vice-président de l’AFAI apporte son témoignage :
« Quel est le rôle d’un référentiel ? Garantir la mise en œuvre de bonnes pratiques
validées sur une base significative est sans doute la réponse la plus courante : la
certification va dans ce sens.
Avec CobiT, ce qui est au premier plan, c’est la communication entre des acteurs
très hétérogènes : actionnaires, commissaires aux comptes, auditeurs, opérationnels
métiers, directeurs, contrôleurs de gestion et informaticiens. Chacun d’eux va se
retrouver autour de quelques processus parmi les 34 décrits dans CobiT. Certains
trouveront cette maille descriptive trop large et auront besoin de l’affiner en entrant
dans des référentiels complémentaires spécialisés (CMMI, ISO 27001, ITIL, etc.)
ou dans un niveau de détail plus poussé (conformité avec la loi Sarbanes-Oxley ou
IFRS).
Avec la représentation des tableaux de bord équilibrés (BSC, Balanced ScoreCards),
CobiT offre une vision commune de la gouvernance des systèmes d’information qui
dépasse le strict aspect financier pour devenir un outil de pilotage stratégique.
En résumé, CobiT est un référentiel fédérateur parce qu’il se situe à un bon
niveau de maille pour être suffisamment pertinent pour tous, tout en intégrant les
principes fondateurs de l’ISO 9000 (vision par processus, amélioration continue), du
benchmarking ou des référentiels techniques (modèles de maturité). Il peut servir de
CobiT 49
base à la mise sur pied d’un pilotage unique et à la création d’un vocabulaire commun
à tous, pour la gouvernance des systèmes d’information ».
Hendrik C EULEMANS, dirigeant de la société InfoGovernance, consultant et
formateur dans plus de trente pays sur quatre continents, affirme sa confiance dans
CobiT :
« La progression de l’adaptation dans le monde de CobiT et de Val IT pour
améliorer la gouvernance des SI, sera d’avantage stimulée par la crise économique
que nous connaissons actuellement. Dans ce nouveau monde futur, les responsables
d’organisations devront d’avantage pouvoir donner l’assurance raisonnable qu’ils
connaissent leurs risques et les maîtrisent suffisamment. Pour ce faire, ils auront
davantage besoins de professionnels confirmés pour les aider à développer et tester un
cadre de contrôle, adapté aux nouvelles exigences et fondé sur les bonnes pratiques
crédibles à l’international.
Ces certifications crédibilisent et motivent les professionnels. Aujourd’hui, ces
certifications sont un critère de recrutement et de promotion dans le monde entier.
De plus, les certifiés adhèrent à une communauté d’intérêt mutuel, véritable lieu
d’échanges et de dialogues.
L’obtention des certificats apporte une preuve tangible d’une véritable progression de
carrière : en effet, la réussite à l’examen, fondée sur l’expérience du terrain, indique
une expérience solide couplée à une véritable expertise en management, ou en audit,
de la maîtrise de l’information et des systèmes d’information ».
Avantage ou inconvénient ? Le caractère polyvalent de CobiT est indéniable, à
la fois utilisable pour l’évaluation des risques, classé dans les référentiels de sécurité,
d’audit et dans les outils dédiés à la mise en œuvre de la loi Sarbanes-Oxley.
En contrepartie de cette polyvalence, CobiT a la réputation d’une certaine
lourdeur, ce qui a justifié le lancement d’une version allégée CobiT Quickstart pour les
petites et moyennes entreprises.
En matière d’audit, la reproductibilité des rapports est le premier avantage de
CobiT. En utilisant CobiT, deux auditeurs certifiés CISA devraient produire des
rapports semblables. La diffusion internationale du référentiel est appréciée par les
groupes multinationaux.
L’ISACA fait l’objet depuis septembre 2005 d’une accréditation conforme à la
norme ISO 17024 pour les certifications de personnes CISA et CISM. La certification
CGEIT devra probablement se conformer à cette norme.
Un point fort de CobiT, dans sa version V4, est la volonté de compatibilité
avec d’autres référentiels incontournables, tels qu’ITIL, CMMI ou encore les normes
ISO 27001 et ISO 27002, qui s’appuient tous sur une approche processus.
9
EFQM
Le dispositif EFQM permet à une entreprise de faire reconnaître l’excellence de son

système de management.
Figure 9.1 — Dispositif EFQM
Présentation
L’EFQM (European Foundation for Quality Management) a été créée en 1988 par les
présidents de 14 entreprises européennes (Bosch, BT, Bull, Ciba-Geigy, Dassault,
Electrolux, Fiat, KLM, Nestlé, Olivetti, Philips, Renault, Sulzer, Volkswagen) avec
52 Chapitre 9. EFQM
le soutien de la Commission européenne. Basée à Bruxelles, cette fondation s’est

fixé la mission de promouvoir en Europe un système de management fondé sur les
concepts de la qualité totale. Cette fondation compte aujourd’hui plus de 700 membres
répartis dans l’ensemble des pays européens. Depuis janvier 2004, AFAQ-Afnor est
l’organisme représentatif français de l’EFQM.
Les premiers prix ont été attribués en 1992, sur la base du modèle EFQM version
1991. La version la plus récente date de 2003. Elle est traduite en français.
Il existe d’autres dispositifs de prix qualité :
• le Prix Deming, géré par le W. Edwards Deming Institute, créé en 1951 au Japon ;
• le Malcolm Baldrige National Quality Award, géré par le National Institute for
Sciences and Technology (NIST), créé en 1987 aux États-Unis ;
• le Prix français de la qualité, lancé en 1992 par le Ministère de l’industrie et
géré à l’origine par le Mouvement français pour la qualité (MFQ) et aujourd’hui
par la Fédération des associations régionales du MFQ (FAR-MFQ).
Le dispositif EFQM a pour objectif l’amélioration continue de l’entreprise vers

l’excellence et sa reconnaissance au travers de plusieurs dispositifs : prix européen de
la qualité, reconnaissance européenne de la maîtrise de l’excellence, reconnaissance
européenne de l’engagement vers l’excellence.
Le modèle EFQM se compose de neuf critères, les cinq premiers sont des facteurs
d’excellence et les quatre suivants des mesures de performance. Ils sont ensuite
découpés en sous-critères :
• le leadership : comment, par leur exemplarité, le comportement et les actions
des instances dirigeantes visent à promouvoir une culture d’excellence dans
l’entreprise (cinq sous-critères) ;
• la politique et la stratégie : comment l’entreprise les définit, les met en œuvre et
les revoit (quatre sous-critères) ;
• la gestion du personnel : comment l’entreprise motive, gère les compétences et
l’écoute de ses collaborateurs (cinq sous-critères) ;
• les ressources : comment l’entreprise gère ses ressources et ses partenariats (cinq
sous-critères) ;
• les processus : comment l’entreprise s’assure que ses processus servent bien sa
politique et sa stratégie et qu’ils sont bien définis en tenant compte des retours
de ses clients (cinq sous-critères) ;
• la satisfaction des clients : comment l’entreprise y contribue et la mesure (deux
sous-critères) ;
• la satisfaction du personnel : comment l’entreprise y contribue et la mesure (deux
sous-critères) ;
• l’intégration à la vie de la collectivité, quelquefois dénommée responsabilité sociale :
comment l’entreprise y contribue et mesure la satisfaction de la collectivité
(deux sous-critères) ;
• les résultats opérationnels : comment l’entreprise contribue à l’atteinte de ses
objectifs commerciaux et mesure ses performances (deux sous-critères).
EFQM 53
Documentation
Un ensemble d’ouvrages existe et est disponible à la librairie EFQM d’AFAQ Afnor.
La documentation est disponible auprès de l’EFQM en différentes langues.
Un EFQM Starter Kit est vendu par l’EFQM pour faciliter le démarrage de la
démarche.
Mise en œuvre
Mettre en œuvre l’EFQM est une démarche managériale d’amélioration permanente
qui est de plus en plus utilisée pour réaliser les auto-évaluations de système de
management afin d’en identifier les points forts et de dégager des axes d’amélioration.
Ce dispositif est multisectoriel et s’applique à la totalité de l’entreprise, à tous
ses processus, tous ses acteurs et toutes ses interfaces tant internes qu’externes. Il
s’applique à l’évaluation du niveau d’excellence d’une entreprise.
Le modèle EFQM est utilisé par plus de 30 000 entreprises en Europe en tant
qu’outil d’auto-évaluation. En dehors des adhérents EFQM, il est cependant difficile
de savoir qui pratique l’auto-évaluation et donc de connaître la diffusion effective de
ce dispositif en Europe.
L’Union européenne a choisi le modèle EFQM d’excellence comme la référence
pour le secteur public. En mai 2000, elle a adopté un outil dérivé du modèle EFQM
d’excellence qui sert à améliorer le fonctionnement des administrations. Cet outil
existe en 16 langues. En France, il se nomme Cadre d’auto-évaluation des fonctions
publiques. Il s’agit d’un outil d’auto-évaluation qui a deux vocations :
• être un outil pédagogique propre à promouvoir la culture du management de la
qualité ;
• être une référence d’évaluation commune pour pouvoir faire des comparaisons
entre les administrations des pays européens.
En 2004, un prix européen EFQM – Collectivités locales et territoriales a été mis

en place, avec le support de Cisco Systems, HP et CGE & Y. Ce dispositif est destiné
à récompenser les villes, communautés urbaines, communautés d’agglomérations,
structures départementales et régionales (Conseils généraux et régionaux) pour la
mise en place d’une organisation performante et la maîtrise des nouvelles technologies
de l’information.
Le dispositif repose sur l’évaluation d’indicateurs correspondant aux neuf critères
du modèle EFQM et à 32 sous-critères permettant de calculer une note globale.
Des formations sont recommandées. Deux types de formation existent : formation
à l’évaluation et formation à l’auto-évaluation. Il existe des formations délivrant un
certificat de connaissance du référentiel et de capacité à la réalisation d’évaluations.
L’EFQM fournit un registre de consultants et fournisseurs de formation et délivre des
licences permettant de donner des formations qualifiantes à l’évaluation EFQM.
54 Chapitre 9. EFQM
Auto-évaluation
Dans le cadre d’une auto-évaluation, la mise en œuvre du modèle EFQM peut rester
strictement interne à l’entreprise. Elle est alors réalisée à partir des critères et sous-
critères définis dans le modèle d’évaluation auxquels des points sont attribués.
Reconnaissances de l’excellence
Le prix européen de la qualité
Le prix européen de la qualité implique la présentation à une échéance donnée d’un
dossier de 75 pages maximum qui sera noté en fonction de quatre axes :
• résultats ;
• approche ;
• déploiement ;
• évaluation et revue.
Si la note est supérieure à une valeur définie par le jury (plus de 500 points sur
1 000), des visites de sites par des évaluateurs sont alors organisées pour vérifier
de manière indépendante le contenu du rapport et évaluer la mise en œuvre. Les
évaluateurs rédigent un rapport soumis au jury qui effectue le choix final.
Le dossier peut être présenté dans l’une des cinq catégories suivantes :
• Grandes entreprises ou entités indépendantes (business units), constituant à elles
seules un centre de profit, ayant un niveau d’activité suffisamment important
(plus de 250 employés et plus de 50 % du chiffre d’affaires hors du groupe) ;
• Entités opérationnelles, constituant un centre de coût, avec un niveau d’activité
important (plus de 250 employés, mais moins de 50 % du chiffre d’affaires hors
du groupe) ;
• Secteur public ;
• Petites et moyennes entreprises, filiales d’une grande entreprise, fonctionnant
comme un centre de profit indépendant (plus de 50 % du chiffre d’affaires réalisé
en dehors du groupe, moins de 250 employés) ;
• Les petites et moyennes entreprises indépendantes (chiffre d’affaires de moins
de 40 millions d’euros et résultat de moins de 27 millions d’euros).
Dans chacune des cinq catégories précédentes, le prix annuel est décerné par le
jury selon trois niveaux de classement :
• Award Winners, avec un gagnant par catégorie ;
• Special Price Winners, décerné pour une orientation particulière de l’entreprise,
par exemple pour la gestion du personnel ou l’orientation résultats opération-
nels ;
• Finalistes, pour les entreprises qui prouvent un degré suffisamment élevé d’excel-
lence dans le management de leur qualité et la mise en œuvre d’un processus
d’amélioration continue.
EFQM 55
Depuis sa création en 1992, 23 pays sont au moins classés parmi les finalistes. C’est
le Royaume uni qui rafle le plus de Awards (16), la Turquie vient ensuite avec 7, puis
l’Allemagne avec 3 et la France avec 2 en 1995 et 1999 ; en ce qui concerne les Special
Price Winners, la France vient après le Royaume Uni (25), la Turquie et l’Espagne (15),
l’Allemagne (14), la Grèce (6), l’Italie et le Danemark (5) puis la France, la Hongrie
et la Suisse (3). La France a fait partie dix fois des finalistes.
Certificat de reconnaissance pour l’excellence

Ce certificat s’adresse aux entreprises pratiquant l’auto-évaluation à l’aide du modèle
complet de l’EFQM.
La soumission peut se dérouler de différentes façons : ce peut être un dossier de
51 pages maximum, suivi d’une visite de sites ou une évaluation complète sur site par
une équipe d’évaluateurs. Cela permet d’identifier de manière indépendante les forces
et axes d’amélioration de l’entreprise et de fournir une notation de chaque sous-critère.
Cette reconnaissance est attribuée à partir de l’obtention d’un total de 400 points
sur 1 000.
Certificat d’engagement pour l’excellence

Il s’adresse aux entreprises qui commencent à s’engager sur la route de l’excellence.
L’obtention de ce certificat se fait en deux étapes :
• effectuer une auto-évaluation et en déduire une liste d’axes d’amélioration ;
• fournir à un validateur la preuve que les actions ciblant les axes d’amélioration
ont été déployées. Pour cela des documents sont produits, des entretiens sont
tenus et une visite sur site de deux jours a lieu.
Un communiqué de presse d’AFAQ de janvier 2006 indique :
« L’EFQM et une équipe internationale d’universitaires de Leicester (Grande-
Bretagne) viennent de publier une étude sur la performance financière des sociétés
européennes répondant aux principes fondamentaux du modèle d’excellence EFQM.
Cette analyse de la performance financière de 220 sociétés sur une période de
11 années met en évidence la valeur économique des démarches d’excellence EFQM.
L’étude se base sur la comparaison de 120 sociétés lauréates d’un prix Qualité et
Excellence EFQM par rapport à un panel de 100 entreprises semblables par leurs
tailles et secteurs d’activités, sur des critères spécifiques de performance financière.
Les résultats montrent que les entreprises ayant obtenu une reconnaissance EFQM
affichent une croissance plus importante que celles du panel test. En effet, ce type
de démarche de recherche de l’Excellence a des impacts très positifs sur la valeur
de leurs actions, leurs ventes, leurs indicateurs “ investissements/actifs ” et “ inves-
tissements/ventes ”, leurs actifs et la réduction de leurs dépenses. Notamment, les
résultats de cette étude illustrent que la mise en place des huit principes fondamentaux
du modèle EFQM génère une augmentation des ventes de 77 % en moyenne et une
valeur de l’action en hausse de 36 % par rapport aux autres entreprises.
56 Chapitre 9. EFQM
Les résultats de cette étude apportent la preuve aux entreprises qui envisagent de
mettre en place une démarche EFQM, que les bénéfices structurels et économiques
attendus sont réels avec un niveau tel qu’ils leur permettront de se distinguer sur leur
marché face à la concurrence et vis-à-vis de leurs partenaires »1 .
Parmi les bénéfices attendus de l’application du modèle EFQM, on peut citer
la connaissance des processus de l’entreprise, l’amélioration de la performance des
activités, la comparaison aux bonnes pratiques des entreprises et la reconnaissance du
niveau atteint en interne ou en externe.
L’adhésion à l’EFQM permet à l’entreprise de partager avec d’autres entreprises
des retours d’expérience. Les bonnes pratiques des gagnants du prix européen de la
qualité sont diffusées à l’ensemble des entreprises membres de l’EFQM via une base
de données. L’entreprise membre d’EFQM a le sentiment d’appartenir à un groupe
élitiste d’entreprises engagées dans l’excellence.
La mise en œuvre du modèle EFQM permet de constituer un véritable outil
managérial. Il englobe et dépasse les exigences de la norme ISO 9001 pour laquelle
il fournit des voies d’amélioration pour les prochaines révisions. Il prend en compte
non seulement le client, mais aussi les différentes parties prenantes (actionnaires,
personnel, environnement) ; il fait progresser l’entreprise vers l’excellence dans le
cadre d’une démarche d’auto-évaluation qui identifie clairement les points forts et les
axes d’amélioration potentiels.
En revanche, même si le référentiel a été traduit en français : la langue de base reste
l’anglais au sein de l’EFQM, en particulier le rapport de soumission doit être rédigé
en anglais. Certains concepts, par exemple le leadership, fort élégamment traduit au
Journal Officiel par conductorat, peuvent parfois poser un problème de compréhension
dans les entreprises de culture française.
Le système de pondération des neuf critères du modèle, excluant toute personnali-
sation, peut être parfois considéré comme une faiblesse du système car jugé trop rigide
par certains. Il s’agit toutefois d’une condition essentielle pour un véritable exercice
de comparaison interentreprises.
1. Source : www.afaq.org
10
eSCM
L’eSCM est un double dispositif permettant :

• à un prestataire, de faire certifier la manière dont il rend un service externe.
• au client, de faire certifier son aptitude à assurer que ce service externe, acheté
par ses soins, est bien en phase avec ses objectifs stratégiques métiers et sera
capable de faire face au développement de ses activités.
Figure 10.1 — Dispositif eSCM

58 Chapitre 10. eSCM
Présentation
Pour illustrer l’importance croissante prise par l’activité de service dans les dispositifs
de certification, nous présentons l’eSCM (eSourcing Capability Model). Ce modèle
repose sur le concept d’eSourcing. L’eSourcing (pour IT-enabled sourcing) correspond à
tout service pour lequel les technologies de l’information représentent une composante
clef dans la livraison de ce dernier. Concrètement y est identifié tout service contenu
dans le périmètre englobant à la fois les processus métiers et les technologies de
l’information. De fait, sont compris dans « l’eSourcing », aussi bien les services
d’infogérance que certains processus métiers tels que les ressources humaines, les
achats, le back-office ou la Finance. Le référentiel est conçu pour permettre :
• aux prestataires de pouvoir s’évaluer et se différencier entre eux sur le marché ;
• aux clients d’évaluer le service rendu à partir des niveaux d’aptitude définis par
le système de certification.
L’eSCM a été développé par l’ITSqc (Information Technology Services Qualification

Center), un institut du Carnegie Mellon University.
Ce dispositif se décline en deux parties :
• l’une est à l’intention des prestataires de services (Service Providers), c’est
l’eSCM-SP ;
• l’autre concerne les clients de ces services, c’est l’eSCM-CL.
L’eSCM-SP (for Service Providers)

La finalité de l’eSCM-SP est de donner à des prestataires de services externes
(eSourcing) les moyens d’évaluer la qualité du service qu’ils rendent et leur aptitude
à l’améliorer. Ce référentiel est conçu pour permettre d’une part aux prestataires de
s’évaluer et de se comparer, et d’autre part aux clients d’évaluer le service rendu selon
des niveaux d’aptitude prédéfinis.
L’ITSqc Research Consortium a coordonné le développement de l’eSCM-SP
avec une équipe dont les membres sont issus de Carnegie Mellon University, IBM
Global Services, EDS, Accenture, Satyam Computer Services ltd. et plus récemment
de Computer Associates, Deloitte, DBA Engineering, Hewlett-Packard (HP) et
Wachovia Financial. La première version date de 2001. La version 2.01 a été publiée
en décembre 2006 et complétée en avril 2008 par une description détaillée des 84
pratiques.
L’eSCM-SP a été conçu dans une optique de compatibilité avec des référentiels
majeurs dont BS 15000 (devenue depuis ISO 20000), CobiT, CMMI, ISO 9001.
L’eSCM-SP est un modèle structuré en trois dimensions : le cycle de vie du
sourcing, les domaines d’aptitude regroupant des pratiques sur lesquelles reposent
le service et le niveau d’aptitude associé à chaque pratique (figure 10.2).
eSCM 59
Une pratique ne peut être associée qu’à : - 1 phase de cycle de vie

- 1 domaine d’aptitude
- 1 niveau d’aptitude
Elle se positionne dans l’espace par rapport à ces trois dimensions.
5 niveaux d’aptitude
Réversibilité
Pratiques Cycle
Fourniture
permanentes de
vie
Démarrage
10 domaines d’aptitude
Figure 10.2 — Les trois dimensions de l’eSCM-SP
Le cycle de vie comprend trois phases : le démarrage, la fourniture et la réversibilité,

auxquelles s’ajoutent les pratiques permanentes de l’organisation ou ongoing. Le
démarrage contient des pratiques spécifiques qui permettent au fournisseur de se
mettre d’accord sur les conditions requises avec son client, de concevoir puis d’assurer
la prise en charge du service. La fourniture regroupe les pratiques chargées de fournir un
service conforme aux engagements pris. La phase de réversibilité clôt le contrat lorsque
celui-ci n’est pas reconduit : c’est le transfert des ressources et des responsabilités soit
vers le client soit vers un autre fournisseur. Les pratiques permanentes sont celles qui
s’appliquent tout au long du contrat.
Le référentiel comporte 84 pratiques réparties sur 10 domaines d’aptitude.
Les pratiques liées au démarrage, à la fourniture et à la réversibilité sont traitées
dans quatre domaines d’aptitude :
• la contractualisation ;
• la conception et le déploiement du service ;
• la fourniture du service ;
• le transfert du service.
Les pratiques permanentes sont réparties dans les six autres domaines :
• la gestion de la connaissance ;
• la gestion des ressources humaines ;
• la gestion de la performance ;
• la gestion des relations ;
• la gestion de la technologie ;
• la gestion des risques.
Chaque pratique est matérialisée dans le référentiel sous forme d’une fiche
comprenant un descriptif et un ensemble d’activités regroupant les tâches à exécuter
par l’entreprise. Le descriptif documente la finalité et les bénéfices attendus par le

fournisseur et les clients. Chaque pratique est associée à une étape du cycle de vie :
elle représente un ensemble d’activités permettant à l’entreprise d’être certifiée à un
niveau donné.
L’eSCM-SP a établi cinq niveaux d’aptitude qui matérialisent une trajectoire
d’amélioration de service. Cela va de la fourniture du service sans bonne pratique
particulière (niveau 1) au maintien de l’excellence (niveau 5).
L’originalité de ce dispositif repose sur les points suivants :
• les pratiques se répartissent uniquement dans les niveaux 2 à 4 et aucune dans
le niveau 5 :
– niveau 2 : 48 pratiques ;
– niveau 3 : 26 pratiques ;
– niveau 4 : 10 pratiques.
• il est acceptable pour obtenir la certification de mettre en œuvre une pratique
sans celles de niveaux inférieurs mais cela uniquement pour répondre à un
objectif ponctuel à court terme ; toutefois, l’atteinte d’un niveau nécessite
normalement la mise en œuvre des pratiques de niveaux inférieurs ;
• l’atteinte du niveau 5 nécessite la mise en œuvre et la reconnaissance effective
de toutes les pratiques par deux évaluations consécutives.
L’eSCM-CL (for Client organizations)

L’eSCM-CL a été conçu comme un guide permettant aux organisations clientes
de mesurer et d’améliorer leur aptitude à évaluer le service rendu. L’idée clef des
concepteurs a été de faire en sorte que cette mesure d’aptitude ne porte pas uniquement
sur la prestation en elle-même mais plutôt sur le système organisationnel qui supporte
la dite prestation, et ce tout au long du cycle de vie du service (eSourcing).
L’eSCM-CL a été développé par l’ITSqc Research Consortium, parmi lesquels on
retrouve les membres qui ont participé à l’élaboration du volet fournisseur (eSCM-SP)
auxquels se sont joints d’autres membres de type organisation client tel que Phoenix
Health Systems, Wachovia Financial, Boeing, BP, L’Oréal, General Motors, etc.
L’eSCM-CL est structuré sur le même principe que l’eSCM-SP.
eSCM 61
5 niveaux d’aptitude
Réversibilité
Pratiques Fourniture
Cycle
permanentes de
Démarrage
vie
Analyse
17 domaines d’aptitude
Figure 10.3 — Les trois dimensions de l’eSCM-CL
Dans le volet client, le cycle de vie couvre 5 phases, soit une de plus que l’eSCM-SP,
celle de l’analyse. L’analyse est une phase spécifique au client. En effet il appartient à
ce dernier de définir sa stratégie et dans le cadre de celle-ci, d’identifier les activités
pouvant être traitées à l’extérieur. La finalité des pratiques contenues dans cette phase,
est de s’assurer que l’organisation cliente dispose bien des informations nécessaires à
une prise de décision fondée sur une bonne compréhension de son fonctionnement
opérationnel, pour identifier les services, fonctions et processus qui peuvent être
fournis en externe, puis de définir l’approche planifiée qui en résulte.
Le volet CL comporte 95 pratiques réparties sur 17 domaines d’aptitude.
Dans les quatre premières phases du cycle de vie, les pratiques portent sur la
réception de service. Nous pouvons alors parler de « service reçu » en opposition
au « service émis » qui lui appartient au fournisseur. L’encadrement du service reçu
repose sur des activités propres au client. Ces dernières constituent le « Sourcing ».
Les pratiques sont traitées dans huit domaines d’aptitude :
• l’étude d’opportunité du sourcing ;
• l’approche de sourcing ;
• la planification du sourcing ;
• l’évaluation des prestataires ;
• la contractualisation ;
• le transfert du service ;
• la gestion des services sourcés ;
• la réversibilité.
Les pratiques permanentes sont réparties dans les neuf autres domaines :
• la gestion de la stratégie de sourcing ;
• la gestion de la gouvernance ;
• la gestion des relations ;
• la gestion de la valeur ;
• la gestion des connaissances ;
• la gestion des ressources humaines ;

• la gestion des changements organisationnels ;
• la gestion de la technologie.
Le volet client reprend du volet fournisseur :

• le descriptif des pratiques matérialisé sur le même modèle de fiche ;
• l’évaluation de l’amélioration de service qui s’établit sur le même principe que
celui de l’eSCM-SP soit cinq niveaux. Toutefois, une différence réside dans la
répartition des pratiques par niveaux. cette dernière s’établissant comme suit :
– niveau 2 : 58 pratiques,
– niveau 3 : 29 pratiques,
– niveau 4 : 8 pratiques.
Figure 10.4 — Les activités du « Sourcing »
De par son contenu et sa démarche, l’eSCM-CL repositionne profondément le

rôle du client. Celui-ci évolue avec son environnement, son marché, ses actionnaires,
ce qui l’amène à adapter ses objectifs stratégiques. Par ricochet, les accords avec les
fournisseurs se modifient. Par conséquent la prestation ne peut jamais être dans un
état figé. Elle évolue régulièrement pour répondre aux décisions stratégiques.
eSCM 63
Ce mouvement nécessite la mise en place d’une activité propre aux organisations

clientes. C’est le « Sourcing », et l’eSCM n’en définit que les bonnes pratiques.
Documentation
La documentation de ce dispositif est librement téléchargeable en anglais sur le site
de l’ITSqc. Elle comporte :
Le référentiel de l’eSCM-SP – The sourcing Capability Model for service Providers :
• The eSCM-SP V2 : Model Overview ;
• The eSCM-SP V2 : Practice detail.
Le référentiel de l’eSCM-CL – The sourcing Capability Model for client organiza-

tions :
• The eSCM-CL V1.1 : Model Overview ;
• The eSCM-CL V1.1 : Practice detail.
D’autres documents existent : pour décrire le système de mesure et pour fournir des
comparaisons avec chaque référentiel avec lequel le dispositif se veut compatible.
Notons aussi, qu’en France, l’Association Française pour la Promotion des Bonnes
Pratiques de Sourcing (Ae-SCM) a édité deux guides de poche en français.
Mise en œuvre
L’ITSqc a défini dans le référentiel les conditions et l’organisation de la certification.
Quatre méthodes sont proposées qui vont de la mini auto-évaluation à l’évaluation
complète réalisée par un évaluateur agréé par l’ITSqc. C’est l’ITSqc Certification Board
qui émet ou non le certificat d’aptitude pour une durée de deux ans. On trouve sur
le site de l’ITSqc les coordonnées des sociétés certifiées, des évaluateurs agréés et des
sociétés fournissant du conseil.
Les premières entreprises certifiées eSCM-SP l’ont été tout d’abord en Corée du
Sud et en Inde. Puis le phénomène s’est étendu à l’Argentine, le Brésil, les États-Unis
et la Tchéquie. Elles incluent IBM, Accenture, Satyam, Infosys et sont toutes au
niveau 3 ou 4 voire 5. Le site de l’ITSqc en donne la liste.
Par contre il n’existe pas encore d’organismes clients certifiés eSCM-CL.
Et en France ? L’Association française pour la Promotion des Bonnes Pratiques de
Sourcing (Ae-SCM) a été créée en 2007. Elle est reconnue officiellement par l’ITSqc.
Elle a organisé les premières formations eSCM à Paris et a publié plusieurs documents
dont les deux guides de poche précités.
En France, nous ne disposons pas encore aujourd’hui de retour d’expérience formel
sur ce dispositif. Néanmoins la branche Courrier de La Poste s’est engagée dans
cette démarche obligeant son fournisseur principal à se conformer à ce modèle. Nous
attendons les premiers résultats avec impatience.
L’intérêt de l’eSCM réside dans sa démarche structurante pour cerner les attentes
qu’un client doit formuler vis-à-vis de ses fournisseurs et inversement. Il n’entre pas
en conflit avec d’autres référentiels tels que CMMI ou ITIL puisqu’il s’appuie sur leurs
acquis.
L’originalité de l’eSCM est qu’il s’agit d’un dispositif à deux volets centré sur la
relation entre un client et ses fournisseurs. Chaque volet donne lieu à une certification.
La nouveauté est qu’à travers l’eSCM-CL le client va chercher à donner confiance au
prestataire. Ce n’est plus seulement le prestataire qui cherche à donner confiance à
son client. La relation client – fournisseur devient symétrique.
Ce référentiel est complexe. Comment s’y retrouver entre les niveaux de cer-
tification portant sur différents services ? Faut-il faire coïncider l’eSCM-SP avec
l’eSCM-CL ? Si oui, comment le faire ? La démarche est-elle adaptée aux petites
et moyennes entreprises ?
Compte tenu du sérieux du Carnegie Mellon, de son expérience dans le CMMI,
du support des grands opérateurs de l’infogérance, de l’exhaustivité du référentiel et
des premières applications à l’étranger, nous pouvons nous attendre au succès de ce
dispositif dans l’hexagone.
11
HAS
Le dispositif de la Haute autorité de santé permet à un établissement de santé français

d’obtenir une certification pour son système de management de la qualité et de la
sécurité des systèmes de santé.
Figure 11.1 — Dispositif HAS
Présentation
La Haute autorité de santé (HAS) est un organisme public indépendant à caractère
scientifique, créé dans le cadre de la Loi du 13 août 2004 relative à l’assurance-maladie.
66 Chapitre 11. HAS
Elle est chargée, entre autres, de mettre en œuvre la certification (anciennement

appelée accréditation) des établissements de santé et reprend les missions de l’Agence
nationale d’accréditation et d’évaluation en santé (ANAES).
La Loi du 13 août 2004 remplace le terme accréditation précédemment utilisé par
l’ANAES par celui de certification, en définissant cette dernière comme une procédure
d’évaluation externe à un établissement de santé, effectuée par des professionnels
indépendants de l’établissement de santé et de ses organismes de tutelle, et concernant
l’ensemble de son fonctionnement et de ses pratiques. Elle a été introduite au sein du
système de santé français par l’Ordonnance n◦ 96-346 du 24 avril 1996 portant sur la
réforme hospitalière et précisée par le Décret n◦ 97-311 du 7 avril 1997.
La certification s’applique à tous les établissements de santé publics ou privés. Elle
concerne également les groupements de coopération sanitaire entre établissements de
santé, les syndicats interhospitaliers détenteurs d’une autorisation d’activité ainsi que
les réseaux de santé et les installations de clinique esthétique.
La certification est une procédure d’évaluation externe, indépendante de l’éta-
blissement de santé et de ses organismes de tutelle, effectuée par des professionnels,
concernant l’ensemble de son fonctionnement et de ses pratiques. Elle apprécie non
seulement le système de management de la qualité, mais également des aspects spécifiés
de l’organisation des soins et les démarches d’évaluation des pratiques professionnelles.
La certification s’applique à l’établissement de santé au sens juridique du terme
ainsi qu’aux activités de l’établissement de santé qui participent directement ou
indirectement à la prise en charge du patient. Elle concerne donc l’ensemble des
structures et des secteurs d’activité.
Les années 1999 à 2002 sont considérées comme une période d’expérimentation et
d’innovation avec la première version du Manuel d’accréditation de l’ANAES en 1999
(V1). Entre 2002 et 2004, une période d’industrialisation de la procédure s’est conclue
par la publication de la seconde version du Manuel d’accréditation aboutissant à
une deuxième procédure d’accréditation en septembre 2004 (V2). Aujourd’hui, c’est
l’édition 2007 du Manuel de certification des établissements de santé et guide de cotation
qui s’applique. La prochaine procédure (V3) est prévue pour 2010.
Avec cette deuxième procédure, la certification mesure le niveau de qualité et de
sécurité des soins et apprécie la dynamique d’amélioration continue de la qualité et
du service médical rendu. Elle porte une attention particulière aux résultats obtenus,
aux modalités d’organisation et au niveau d’engagement du management.
Le référentiel actuel, le Manuel de certification des établissements de santé et guide de
cotation est organisé en deux chapitres, 44 références et 138 critères complétés par des
cartouches explicatifs.
L’évaluation de l’établissement de santé se fait sur la base de critères pour lesquels
des éléments d’appréciation sont mentionnés sur la même page permettant de coter la
conformité par rapport au critère (cotation d’A à D).
HAS 67
Figurent ainsi :
• des précisions sur le libellé du critère ;
• une série non exhaustive d’éléments d’appréciation de la conformité au critère
à rechercher par les experts visiteurs ;
• une liste indicative de documents à consulter ;
• des propositions de personnes-ressources à rencontrer.
Sur 44 références, quatre concernent le système d’information. Elles sont réparties

en six critères comme indiqué dans le tableau 11.1.
Tableau 11.1 — Les références relatives au SI
Chapitre 1 : Politique et qualité du management
Référence 4 : La politique du système d’information et du dossier du patient.

La politique du système d’information est définie en cohérence
Critère 4.a
avec les orientations stratégiques de l’établissement.
Chapitre 2 : Ressources transversales
Référence 7 : La politique d’optimisation des ressources et des moyens.

Critère 7.a L’établissement met en œuvre un dispositif permettant la maîtrise des coûts.
Référence 18 : Le système d’information.

Le système d’information est organisé pour faciliter la prise en charge des
Critère 18.a
patients.
Critère 18.b Une identification fiable et unique du patient est assurée.
Critère 18.c La sécurité du système d’information est assurée.
Chapitre 4 : Évaluations et dynamiques d’amélioration
Référence 44 : L’évaluation des politiques et du management.

Critère 44.c Une évaluation du système d’information est mise en œuvre.
Le Manuel d’accréditation formule des exigences sur la mise en place d’indicateurs

sans donner de précisions sur ces indicateurs. Ces indicateurs portent sur tous les
domaines traités. Ils doivent permettre de piloter les différentes actions de la politique
d’amélioration continue de la qualité et de la sécurité.
À noter que la HAS s’est engagée dans le développement d’indicateurs de qualité.
Depuis 2008, les établissements doivent transmettre annuellement à la HAS un
ensemble de données qui lui permettent de calculer les indicateurs et de suivre leur
évolution. Des indicateurs ont été expérimentés en 2007 et appliqués fin 2008 aux
établissements de médecine, chirurgie et obstétrique. Ce recueil sera progressivement
élargi à d’autres indicateurs de pratiques cliniques.
À partir de 2010, d’autres indicateurs de type clinique ou organisationnel seront
mis en œuvre, de manière à permettre une évaluation quantitative des grands champs
68 Chapitre 11. HAS
d’activité des établissements, complétant ou se substituant aux données jusqu’ici

analysées par les experts visiteurs dans le cadre des versions 1 et 2 de la certification.
Documentation
La documentation relative au système de certification donne des informations sur l’or-
ganisation à mettre en place et la procédure à respecter ainsi que des recommandations
sur les formations souhaitables.
Une documentation complète est téléchargeable gratuitement sur le site de la
HAS. On y trouve entre autres les documents suivants :
• Guide « Préparer et conduire votre démarche de certification version 2007 » -
mise à jour septembre 2008, 5 juillet 2008 ;
• Recommandations de bonne pratique : Attribution du label HAS, 28 mai 2008 ;
• Manuel de certification des établissements de santé et guide de cotation, 4 juin
2007.
Mise en œuvre
Le dispositif concerne près de 3 000 établissements de santé en France.
Au cours de la période 2000-20061, 100 % des établissements de santé (2 890) ont
reçu une visite de certification selon la première procédure. Entre 2006 et 2008, 50 %
des établissements de santé (1 413) ont reçu une visite de certification selon la seconde
procédure. Les décisions de certifications se répartissent en 51 % de certification, 44 %
de certification avec suivi et 5 % de certification conditionnelle.
Spécifique aux établissements de santé, ce dispositif n’est pas utilisé dans d’autres
secteurs. La certification est rendue obligatoire par l’Ordonnance de 1996, mais n’en
demeure pas moins une initiative volontaire. C’est à l’établissement qu’il revient de
s’inscrire dans cette démarche fondée sur des principes de responsabilité, de dialogue
et d’échanges.
La mise en œuvre de cette démarche rend indispensable la création d’une cellule
qualité dans les établissements de santé. Elle nécessite une charge de travail variable
selon la taille de l’établissement : de une à trois personnes à temps plein et 200 à
1 000 jours hommes étalés sur une durée moyenne de deux ans.
Le processus d’évaluation est défini en détail dans la Décision du 14 mai 2008 du
Collège de la HAS adoptant la procédure de certification des établissements de santé
parue au Journal Officiel le 1er août 2008.
La HAS publie sur son site tous les rapports de certifications, les additifs aux
rapports de certification ainsi que les commentaires éventuels des établissements.
La cotation des critères comporte quatre niveaux selon une double échelle
(tableau 11.2) similaire à celle de l’EFQM.
1. Source : http://www.has-sante.fr/portail/upload/docs/application/pdf/chiffres_cles_fev_08.pdf
HAS 69
Tableau 11.2 — Les échelles de cotation de la HAS
Échelle analytique Échelle spatio-temporelle

Tous les éléments d’appréciation Partout et/ou tout le temps
Dans la plupart des secteurs et/ou la
La plupart des éléments d’appréciation
plupart du temps
Dans quelques secteurs et/ou
Quelques éléments d’appréciation
quelquefois
Trop peu d’éléments significatifs
Nulle part et/ou jamais
d’appréciation
Quatre décisions sont envisageables : certification, certification avec suivi, certifi-

cation conditionnelle ou non-certification.
Dans le cas d’une certification, la durée est fixée à quatre ans avant une nouvelle
visite de certification. Des axes d’amélioration peuvent toutefois être recommandés à
l’établissement.
Une certification avec suivi est valable au maximum quatre ans, avec exigence d’un
suivi à échéance déterminée par un rapport écrit ou une visite ciblée sur des points
identifiés dans le rapport.
La certification conditionnelle est valable pour une durée inférieure à quatre ans,
avec prolongation de la certification conditionnée par la satisfaction du suivi réalisé à
échéance déterminée sur des points identifiés dans le rapport.
Une certification conditionnelle suivie d’une visite ciblée infructueuse, témoi-
gnant ainsi d’une carence grave du management de l’établissement, peut conduire à
prononcer une non-certification.
Le rapport des experts visiteurs est établi à partir des résultats de l’auto-évaluation
réalisée par l’établissement, des documents consultés et étudiés dans l’établissement
et des constats effectués par les experts visiteurs sur le(s) site(s) visité(s).
Pour réaliser les évaluations, la HAS recrute et forme ses experts visiteurs selon un
programme spécifique ; ils sont tous des professionnels de santé, médecins, soignants
ou gestionnaires. La méthode d’évaluation est définie dans le Guide d’aide à la cotation,
incluse dans le référentiel et librement disponible ; ce n’était pas le cas avec la première
procédure, la méthode d’évaluation était alors réservée aux experts visiteurs.
Des experts, spécialistes de ce dispositif existent en France. Certains diplômes
universitaires comme la Qualité en santé traitent de ce sujet.
Un consultant dans le domaine de la santé, collaborateur d’un grand cabinet de
conseil, témoigne :
« Sans le caractère obligatoire de cette démarche, les établissements de santé, confron-
tés à des problèmes de plus en plus nombreux, comme la surcharge de travail, la
70 Chapitre 11. HAS
mise en œuvre de la tarification, l’application des 35 heures, la pénurie de personnel

soignant et médical, n’auraient sans doute pas pu investir en temps et charge de travail
dans une démarche qualité.
En matière de système d’information, les bénéfices de la mise en œuvre du dispositif
portent sur :
– l’appréciation objective et indépendante de la situation d’un établissement de santé ;
– une organisation des établissements de santé mieux adaptée ;
– la mise en œuvre d’une dynamique d’amélioration continue de la qualité ;
– l’information des patients ;
– le renforcement de leur confiance.
Globalement, la démarche a été perçue comme transversale, structurante et pédago-
gique. À l’issue de quatre années de mise en œuvre, il apparaît que les établissements
souhaitent une meilleure approche de leur spécificité, les usagers plus de lisibilité et les
pouvoirs publics un meilleur éclairage.
Ces souhaits ont été intégrés dans la construction de la certification version 2 ».
Ce système de certification, établi par des professionnels de santé à partir d’expé-
riences françaises et étrangères, est en principe très bien adapté à sa finalité.
Le Rapport d’activité 2004 du collège d’accréditation de la HAS relève que la
certification a fourni un levier aux acteurs des politiques qualité dans les établissements
de santé pour structurer et pour formaliser ces démarches.
La seconde procédure reconnaissant la complémentarité de systèmes de reconnais-
sances externes de la qualité permettra aux établissements de santé de progresser,
ne serait-ce qu’en mettant en œuvre la certification ISO 9001 dans les services
informatiques en complément des exigences du référentiel de certification de la
HAS. De plus, la certification de services fait également partie des dispositifs de
reconnaissances externes de la qualité reconnus par la HAS.
Les limites du dispositif proviennent essentiellement de son aspect franco-français.
12
ISO 9001
Le dispositif ISO 9001 permet à une entreprise d’obtenir une certification pour son
système de management de la qualité.
Figure 12.1 — Dispositif ISO 9001
Présentation
On ne présente plus l’ISO 9001, le référentiel de certification le plus connu. Il faut
cependant rappeler que l’objectif de ce référentiel a beaucoup évolué avec ses quatre
versions successives de 1987, 1994, 2000, puis 2008. À l’origine, la version 1987
72 Chapitre 12. ISO 9001
répondait essentiellement aux besoins de clients industriels soucieux de contrôler

la qualité des produits de leurs fournisseurs. Couvrant le cycle de vie complet d’un
produit ou service, la norme ISO 9001 était alors accompagnée de deux petites sœurs,
l’ISO 9002 qui ne s’intéressait qu’au développement et à la production et l’ISO 9003
qui ne traitait que des contrôles finaux après fabrication.
Dès 1991, la famille ISO 9000 comprenait également une norme spécialisée pour le
domaine du développement de logiciel : l’ISO 9000-3, révisée sous le nom ISO 90003.
La série ISO 9000 fut victime de son succès. Les certifications reposant sur les
normes 9002 et surtout 9003 perdaient de leur valeur. La course au certificat pouvant
se transformer en véritable bachotage faisait oublier l’objectif premier de la mise en
place d’un système qualité, c’est-à-dire l’amélioration permanente et la satisfaction du
client.
On a même pu constater que le certificat n’empêchait pas les entreprises de
fabriquer des produits non conformes aux besoins du client ! D’un autre côté, la
concurrence des grands prix de la qualité, tel celui de l’EFQM reposant sur les principes
de la qualité totale et de l’auto-évaluation commençait à faire une ombre sérieuse aux
ISO 9000 taxées d’une certaine médiocrité.
Une simplification et une évolution vers l’excellence s’imposaient. Amorcé dès
1994 ce changement de point de vue s’est concrétisé dans l’ISO 9001 version 2000 et
s’est amplifié depuis.
Chaque norme ISO est revue en principe tous les cinq ans pour s’assurer qu’elle
reste conforme à l’état de l’art. La révision ISO 9000:2000 fut l’occasion d’une refonte
complète, retour à la fois à l’esprit initial du management de la qualité et simplification
des systèmes trop procéduriers. Le long processus de révision, mené par le Comité
technique 176 de l’ISO (TC 176 : Management et assurance de la qualité), a abouti à
la publication de trois normes complémentaires :
• ISO 9000 pour la partie principes (inspirés de ceux de la qualité totale) et
vocabulaire ;
• ISO 9001 pour le référentiel d’exigences servant de support à la certification ;
• ISO 9004 pour les recommandations de mise en œuvre et l’auto-évaluation.
Le maître mot de ce nouveau référentiel était et demeure l’approche processus qui

met l’accent sur l’efficacité des activités et le principe d’amélioration permanente au
service de l’atteinte d’objectifs mesurables.
Qu’en est-il début 2009 ? La famille ISO 9000 s’est enrichie d’un ensemble de
normes associées permettant de répondre aux exigences de l’ISO 9001 sur les différents
points particuliers qui y sont développés.
L’ISO a publié en 2005 une nouvelle édition de la norme ISO 9000 qui définit
le vocabulaire et décrit les principes des systèmes de management de la qualité.
Cette nouvelle édition vient préciser et enrichir les définitions afin de les aligner
sur des documents plus récents de la famille ISO 9000. Parmi les mots explicités, nous
citerons : expert technique, exigence, compétence, contrat, auditeur, équipe d’audit,
plan d’audit et champ de l’audit.
ISO 9001 73
La version 2008 de l’ISO 9001, publiée officiellement le 15 novembre 2008

n’introduit pas de nouvelles exigences mais, suite aux retours d’expérience de ces
huit dernières années d’application, elle apporte des clarifications aux exigences de
la version 2000. Elle met les points sur les i sur un certain nombre de sujets, en
soulignant par exemple l’importance de prendre en considération le produit ou service
et pas seulement le système de management de la qualité de l’organisme. Un éclairage
supplémentaire est apporté sur la maîtrise des processus externalisés, dont la nécessité
s’est accrue face aux pratiques d’offshore. La notion de risque y est également introduite
de façon encore timide.
Une nouvelle édition de la norme ISO 9004 devrait être publiée courant 2009,
avec pour vocation d’aider les équipes de direction à améliorer les performances de
l’entreprise et de ses processus. Une révision cohérente des normes ISO 9001 et ISO
14001 est prévue pour 2012.
Le certificat ISO 9001 porte sur le système de management de la qualité de tout
ou partie d’une entreprise.
Les exigences formulées portent essentiellement sur l’identification et la maîtrise
des processus dans une perspective d’amélioration continue. Elles représentent un
noyau restreint commun à tous les secteurs d’activité et à tous les domaines d’action.
Elles laissent à l’entreprise une grande latitude d’interprétation, en particulier dans le
choix et la définition des processus. La présentation d’une cartographie des processus
est recommandée, mais elle n’est pas une obligation.
On notera que, depuis la version 2000, la norme n’exige plus que six procédures
documentées obligatoires relatives aux chapitres maîtrise des documents, maîtrise des
enregistrements, audit interne, maîtrise du produit non conforme, action corrective
et action préventive. On n’en conclura pas que ces six procédures suffisent à décrire le
système qualité de l’entreprise, car au-delà de l’incontournable manuel qualité et des
enregistrements assurant la traçabilité de mise en œuvre, il faudra prévoir l’ensemble
des « documents nécessaires à l’organisme pour assurer la planification, le fonctionnement
et la maîtrise efficaces de ses processus ».
Des exigences portant sur le produit sont également présentes dans la norme :
le produit doit être vérifié et validé ; il est en particulier soumis à des exigences de
conformité et de traçabilité.
Des exigences particulières portent également sur les personnes. Elles concernent
l’attribution des responsabilités, les compétences et la formation.
En matière de mesures, les exigences portent naturellement à la fois sur les
processus et les résultats de l’exécution de ces processus. La démarche d’amélioration
nécessite la mise en place :
• d’indicateurs de management des processus ;
• de mesures des caractéristiques du produit afin de vérifier que les exigences
relatives au produit sont satisfaites ;
• et de mesures de la satisfaction du client.
Aucune directive précise n’est donnée sur le choix de ces indicateurs qui dépendent
des objectifs de l’entreprise.
Documentation
La norme ISO 9001:2008 est disponible en France auprès d’Afnor. Sa compréhension
nécessite la lecture préliminaire de la norme ISO 9000:2005 (principes et vocabu-
laire).
La lecture des normes de soutien qui accompagnent la série ISO 9000 est également
recommandée :
• ISO 10001 : Code de conduite des organismes ;
• ISO 10002 : Traitement des réclamations ;
• ISO 10003 : Résolution externe des conflits ;
• ISO 10004 : Surveillance et mesure de la satisfaction client ;
• ISO 10005 : Plans qualité ;
• ISO 10006 : Management de la qualité dans les projets ;
• ISO 10007 : Gestion de la configuration ;
• ISO 10012 : Exigences pour les processus et les équipements de mesure ;
• ISO 10013 : Documentation des SMQ ;
• ISO 10014 : Management des effets économiques de la qualité ;
• ISO 10015 : Formation ;
• ISO 10017 : Techniques statistiques relatives à l’ISO 9001 : 2000 ;
• ISO 10018 : Implication du personnel et compétences ;
• ISO 10019 : Sélection de consultants en systèmes de management de la qualité
et pour l’utilisation de leurs services ;
• ISO 19011 : Audit des systèmes de management.
Les exigences relatives à chacun des processus génériques de l’ISO 9001 font de
plus l’objet de fascicules documentaires (FD), publiés par l’Afnor. Citons :
• FD X 50-127 : Conception et développement ;
• FD X 50-128 : Achats ;
• FD X 50-171 : Indicateurs et tableaux de bord ;
• FD X 50-172 : Enquête de satisfaction client ;
• FD X 50-174 : Évaluation de l’efficacité d’un SMQ ;
• FD X 50-176 : Management des processus ;
• FD X 50-179 : Identification des exigences client ;
• FD X 50-183 : Management des ressources humaines ;
• FD X 50-185 : Management de l’information ;
• FD X 50-186 : Processus d’auto-évaluation ;
• FD X 50-189 : Intégration des systèmes ;
• FD X 50-190 : Capitalisation d’expérience ;
ISO 9001 75
• FD X 50-193 : Relations mutuelles bénéfiques ;

• FD X 50-195 : Management des organismes.
Mise en œuvre
L’ISO 9001 est applicable à toute activité, quel que soit le type de produit ou service ;
mais dans certains domaines sectoriels, elle se révèle insuffisante du fait de sa trop
grande généralité.
L’ISO 9001 est mondialement reconnue : une étude réalisée par l’ISO à la fin de
l’année 2007 dénombrait 951 486 certificats attribués dans 175 pays, ce qui correspond
à une augmentation de 91 % par rapport à 2003. Ces chiffres sont globalement en
augmentation permanente, sauf en Amérique du Nord, en Australie et en Nouvelle-
Zélande où l’on constate une baisse sensible.
Tableau 12.1 — Certificats ISO 9001 à la fin de l’année 2007
Région Nombre de certificats Pourcentage

Europe 431 479 45,35 %
Asie 345 428 36,30 %
Amérique du Nord 47 600 5,00 %
Afrique et Extrême-Orient 78 910 8,29 %
Australie et Nouvelle-Zélande 8 715 0,92 %
Amérique du Sud et Amérique Centrale 39 354 4,14 %
La répartition géographique des certificats à la fin de l’année 2007 (tableau 12.1)

traduit encore un phénomène majoritairement européen accompagné d’un déve-
loppement en croissance dans les pays asiatiques. Les dix premiers pays détenteurs
de certificats étaient à cette date : la Chine, l’Italie, le Japon, l’Espagne, l’Inde,
l’Allemagne, les États-Unis, le Royaume-Uni, la France, les Pays-Bas. La France est
en perte de vitesse avec 22 000 certificats à fin 2007, contre 45 000 en Allemagne.
Le nombre de certificats aux États-Unis serait également en régression, revenant à
fin 2007 à son niveau de 2004. Il semble que le marché de la certification ait atteint
sa maturité dans plusieurs régions du monde industrialisé et aussi que les entreprises
nord-américaines et européennes se soient mises dans une situation d’attente avant
l’arrivée de la version 2008.
Parmi les contraintes qu’implique la mise en place de l’ISO 9001 dans une
entreprise, on cite toujours la maîtrise documentaire, même si cette exigence a été
allégée dans la version 2000. Le délai de mise en œuvre incompressible reste estimé à
18 mois et elle doit s’appuyer sur une volonté forte de la direction.
En termes d’organisation, la désignation d’un responsable qualité rattaché à la
direction et disposant d’un pouvoir et d’une autorité suffisante, est indispensable,
ainsi que la mise en place d’une fonction d’audit interne. La version 2008 précise
que le représentant de la Direction doit faire partie de l’encadrement de l’organisme.
Un accompagnement de la démarche par des formations est fort utile. De nombreux

cabinets de conseil proposent des prestations d’aide à la mise en conformité ISO 9001.
Le certificat ISO 9001 peut être décerné en France par différents organismes
concurrents qui font normalement l’objet d’une accréditation par le Comité Français
d’accréditation (COFRAC). Le certificat doit être renouvelé tous les trois ans et fait
l’objet d’un audit de suivi annuel par l’organisme de certification.
Des démarches groupées Qualité – Sécurité – Environnement (QSE) reposant
sur les normes ISO 9001, ISO 14001 et OHSAS 18001 sont proposées par différents
cabinets de conseil et organismes certificateurs. Elles permettent d’optimiser les efforts
induits par la mise en place de systèmes de management visant au départ des objectifs
différents, en les situant dans une perspective globale d’amélioration.
L’Afnor précise :
« La norme ISO 9001 dans sa version 2008 offre une meilleure compatibilité
avec l’ISO 14001, s’intègre plus facilement avec d’autres normes de systèmes de
management, renforce la conformité aux exigences du produit et permet une meilleure
prise en compte des processus externalisés. »
Le directeur qualité d’une société de services en informatique commente :

« La version 2000 était déjà plus opérationnelle, moins paperassière que la précédente
et plus en phase avec les objectifs d’efficacité de l’entreprise. D’ailleurs, son approche
processus nous a facilité la mise en œuvre de la démarche CMMI dans nos usines de
production de logiciels. La version 2008 devrait nous apporter une meilleure complé-
mentarité avec les référentiels de management de la sécurité et e l’environnement.
Un des principaux avantages de la mise en œuvre de l’ISO 9001 est qu’elle nous
permet de répondre à la demande de nombreux acheteurs publics ou privés qui exigent
cette certification ».
L’atout essentiel est le caractère quasi universel de la certification ISO 9001, grâce
à la reconnaissance mutuelle entre organismes d’accréditation de différents pays.
En revanche, l’ISO 9001 est très générale et doit être souvent complétée par des
guides ou des exigences spécifiques au domaine d’application.
Dans le domaine du traitement de l’information, le développement de certifications
plus spécialisées autour de référentiels tels qu’ISO 20000 bénéficie de la culture
d’amélioration permanente et de l’approche processus diffusées par l’ISO 9000.
13
ISO 15408
Critères Communs
Le dispositif ISO 15408 ou Critères Communs (CC) permet à une entreprise d’obtenir
une certification en matière d’ingénierie de la sécurité des produits ou systèmes
informatisés qu’elle développe.
Figure 13.1 — ISO 15408 – Critères Communs

78 Chapitre 13. ISO 15408 Critères Communs
Présentation
Prenant le relais des ITSEC (Information Technology Security Evaluation Criteria) dans
le processus d’évaluation du niveau de sécurité des logiciels et systèmes d’information,
les Critères Communs pour l’évaluation de la Sécurité des Technologies de l’information,
généralement appelés Critères Communs, sont issus de la convergence progressive
des normes américaines (Orange Book de la NSA), européennes et canadiennes. Ils
ont été normalisés par l’ISO sous la référence ISO 15408, Critères d’évaluation pour la
sécurité TI, qui se présente en trois parties :
• ISO 15408-1 – Introduction et modèle général, de septembre 2005 ;
• ISO 15408-2 – Composants fonctionnels de sécurité, d’août 2008 ;
• ISO 15408-3 – Composants d’assurance de sécurité, d’août 2008.
Les Critères Communs définissent les procédures et les mesures techniques norma-
lisées à prendre en compte dans le cycle de vie d’un produit logiciel ou d’un système
d’information ; ils fournissent ainsi un référentiel mondial de comparaison pour les
produits de sécurité de l’information.
Sept niveaux d’évaluation sont définis sur l’échelle d’assurance appelée EAL
(Evaluation Assurance Level) pour la certification des mécanismes de sécurité de
l’information :
• EAL1 – testé fonctionnellement ;
• EAL2 – testé structurellement ;
• EAL3 – testé et vérifié méthodiquement ;
• EAL4 – conçu, testé et vérifié méthodiquement ;
• EAL5 – conçu et testé de façon semi-formelle ;
• EAL6 – conçu, vérifié et testé de façon semi-formelle ;
• EAL7 – conçu, vérifié et testé de façon formelle.
Le plus exigeant, le niveau 7 répond plus spécialement à des problématiques de

stratégie nationale de sécurité. Le signe « + » accolé au niveau, par exemple EAL4+,
signifie que des tests de vulnérabilité ont également été menés sur l’application afin
d’en garantir la sécurité.
Trois niveaux de robustesse minimum des mécanismes de sécurité leur sont associés
appelés SOF (Strength Of Function, la résistance d’une fonction) : SOF-élémentaire,
SOF-moyen et SOF-élevé.
Les Critères Communs vont plus loin que les ITSEC en définissant des familles de
composants fonctionnels auxquelles sont attachées des exigences spécifiques :
• FAU – Famille audit de sécurité ;
• FCO – Famille communication ;
• FCS – Famille support cryptographique ;
• FDP – Famille protection des données de l’utilisateur ;
• FIA – Famille identification et authentification ;
• FMT – Famille administration de la sécurité ;
ISO 15408 Critères Communs 79
• FPR – Famille protection de la vie privée ;

• FPT – Famille protection des fonctions de sécurité ;
• FRU – Famille utilisation des ressources ;
• FTA – Famille accès à la cible d’évaluation (TOE, Target Of Evaluation) ;
• FTP – Famille chemins et canaux de confiance.
L’introduction du profil de protection (PP) constitue l’apport essentiel des Critères

Communs par rapport aux critères ITSEC. Ce profil de protection définit un ensemble
d’objectifs et d’exigences de sécurité, indépendant de l’implémentation pour une
catégorie de produits, et couvrant des besoins de sécurité communs à plusieurs
utilisateurs. Un profil de protection est ainsi réutilisable pour définir rapidement des
exigences répondant à des objectifs identifiés. Ce concept permet le développement
de standards fonctionnels et facilite la rédaction du cahier des charges d’un produit.
Des profils de protection, certains certifiés par la Direction centrale de la sécurité
des systèmes d’information (DCSSI), sont disponibles par exemple pour des cartes à
puce, des pare-feu, des échanges de données informatisés, des infrastructures à clés
publiques...
Parmi les exigences formulées, il est précisé que le développeur doit utiliser
un modèle de cycle de vie mesurable, c’est-à-dire un cycle de vie dont les activités
élémentaires peuvent faire l’objet de mesures. Ceci implique que la documentation
relative au cycle de vie fournisse les résultats des mesures de développement conformes
à ce modèle normalisé. La nature exacte de ces mesures n’est pas précisée. Elles
permettent de s’assurer que les différentes activités de vérification et de test ont bien
été effectuées.
Documentation
L’ensemble de la documentation des Critères Communs, y compris le référentiel nor-
matif (Critères Communs pour l’évaluation de la Sécurité des Technologies de l’information),
est librement et gratuitement accessible en téléchargement sur le site de la DCSSI. La
version 3.1 n’existe pour l’instant qu’en version anglaise.
La norme ISO 15408 Technologies de l’information – Techniques de sécurité – Critères
d’évaluation pour la sécurité TI est disponible auprès d’Afnor.
En plus du référentiel, il existe une méthodologie d’évaluation, fournie par la norme
ISO 18045 Méthodologie pour l’évaluation de sécurité TI. Cette dernière, révisée en 2008,
est identique à la méthode d’évaluation CEM – Common Methodology for Information
Technology Security Evaluation (v3.1) librement disponible en téléchargement sur le
site de la DCSSI.
Des documents de support ont été développés pour préciser les profils relatifs à
des produits particuliers, comme les cartes à puce ou les chrono tachygraphes qui
enregistrent la vitesse des poids lourds sur support numérique.
80 Chapitre 13. ISO 15408 Critères Communs
Mise en œuvre
L’évaluation du niveau de sécurité selon les Critères Communs s’applique plus
spécialement aux logiciels soumis à des exigences fortes en matière de sécurité. On
citera les microcircuits, les cartes à puce, les produits réseaux, les produits des domaines
fortement liés à la monétique et au commerce électronique.
En application des accords de reconnaissance mutuelle de certificats, des orga-
nismes étrangers homologues de la DCSSI émettent également des certificats. La liste
de ces certificats est disponible sur les sites respectifs de chaque organisme.
Comme dans le cas des ITSEC, l’évaluation se fait en cours de développement et
en production.
Le schéma de certification français est le même que celui des ITSEC. Dans son
rôle d’organisme de certification, la DCSSI agrée et contrôle les centres d’évaluation
et délivre les certificats à l’issue des évaluations. Les évaluations sont réalisées par
des experts appartenant à des centres d’évaluation, accrédités par le Comité français
d’accréditation (COFRAC). Cette condition est nécessaire mais non suffisante : la
DCSSI examine également la compétence technique du centre et sa capacité à traiter
les aspects sensibles de l’évaluation.
Les coûts d’évaluation sont liés à différents facteurs dont le niveau d’évaluation
visé, le périmètre fonctionnel à évaluer et la taille du logiciel.
Les délais sont également variables : ils s’étendent généralement sur plusieurs mois.
L’évolution du produit doit être prise en compte sous ses multiples aspects (révisions
mineures, nouvelle version fonctionnelle, correctifs de sécurité). La maintenance du
certificat suppose une analyse d’impacts pour chaque nouvelle version afin de statuer
sur un prolongement de la validité du certificat ou une réévaluation partielle.
Un responsable sécurité et qualité témoigne :
« Par rapport aux ITSEC, la démarche des Critères Communs est plus méthodique
car elle intègre une analyse des risques ; elle est plus souple car elle permet la fixation
d’exigences de sécurité propres à chaque produit ».
Un autre responsable précise :

« Les difficultés d’évaluation sont liées à l’imbrication des processus de développement
et d’évaluation impliquant une polyvalence des acteurs : en particulier, la nécessité de
former des développeurs aux Critères Communs, le bilan documentaire du processus
de développement et l’analyse de l’environnement de développement ».
Les avantages d’une telle certification sont multiples, on citera :

• l’obtention d’un certificat délivré par un organisme d’État, tel que la DCSSI
pour la France ou le NIST (National Institute of Standards and Technology) pour
les États-Unis ;
ISO 15408 Critères Communs 81
• la reconnaissance de ce certificat au niveau international, jusqu’au niveau EAL4

compris, par le Common Criteria Recognition Agreement (CCRA), accord de
reconnaissance mutuel conclu depuis 1999 entre plus de 25 pays ;
• la reconnaissance de ce certificat jusqu’au niveau EAL7 par un accord de
reconnaissance mutuel entre plusieurs pays européens (France, Allemagne,
Royaume-Uni, Pays-Bas) ;
• la publication sur Internet par la DCSSI de la liste des produits et systèmes
évalués ;
• la possibilité de répondre à des appels d’offres exigeant un niveau d’évaluation
minimum ;
• le référencement du produit par la DCSSI auprès des ministères et autres
administrations en fonction du niveau atteint.
De façon plus indirecte, d’autres avantages sont également cités :

• l’amélioration du processus de développement logiciel (gestion de configuration,
documentation, sécurité du développement) ;
• la validation des méthodes de développement d’un produit (traçabilité des
fonctions de sécurité, analyse des règles de programmation, qualité de la
cryptographie) ;
• la validation des méthodes de qualification d’un produit (couverture et profon-
deur du plan de tests) ;
• le développement de la veille sur les vulnérabilités et techniques d’attaque.
En revanche, ce dispositif s’applique difficilement à des produits déjà existants.

On ne peut en principe évaluer un produit que si les exigences de sécurité ont été
formulées dès la phase de spécifications fonctionnelles sur la base des objectifs de
sécurité et des fonctions à protéger. Cette contrainte limite donc l’application des
Critères Communs aux produits pour lesquels l’exigence d’évaluation est formulée
dans le cahier des charges.
Les évaluations selon les Critères Communs peuvent atteindre un coût très élevé
et sont de ce fait réservées aux grands éditeurs ou aux organismes gouvernementaux :
la certification au niveau 4 de Windows 2000 a coûté près de quatre millions de
dollars ; le processus de certification EAL4+ obtenu en décembre 2005 par Microsoft
pour Windows XP SP2 et Windows Server 2003 a duré près de deux ans et demi.
Pour Windows Server 2008 et Windows Vista, ils ont obtenu en octobre 2008 leur
certification au niveau EAL-1. En parallèle, la certification Critères Communs de ces
deux versions au niveau EAL-4 est en cours.
Comme pour les ITSEC, cette certification atteste que le niveau de sécurité choisi
est bien atteint, mais elle ne saurait assurer que la cible de sécurité choisie est bien
adaptée au niveau de risque. Il s’agit donc plus d’un dispositif d’assurance qualité
adapté à la sécurité que d’une véritable assurance de la sécurité.
14
ISO 15504
Le dispositif ISO 15504 permet à une entreprise d’obtenir un diagnostic d’aptitude de

ses processus.
Présentation
Le référentiel ISO 15504 normalise plusieurs thèmes liés à l’évaluation de processus
d’ingénierie du logiciel et des systèmes en définissant des exigences pour la (méthode
de) réalisation d’une évaluation et le modèle de processus à utiliser. Le point central
d’une évaluation est la description des processus et des pratiques servant de référence.
La norme ISO 15504 sur l’évaluation de processus est l’aboutissement de l’évolu-

tion du rapport technique TR ISO 15504:1998 sur l’évaluation de processus logiciels
développé dans le cadre d’un projet international sous le nom de code SPICE (Software
Process Improvement Capability Determination). Ce nom d’usage lui est resté.
Il s’agit d’un modèle d’évaluation de l’aptitude des processus ; il fournit une échelle
de cotation pour mesurer le degré de maîtrise d’un processus décrit en termes de
finalités et de résultats.
• Niveau 0 : processus incomplet, c’est le niveau initial, il ne nécessite aucun
prérequis.
• Niveau 1 : processus réalisé, sa mise en œuvre satisfait ses finalités et donne les
résultats escomptés.
• Niveau 2 : processus géré, le processus est réalisé, mais également planifié, suivi
et ajusté ; ses produits du travail sont définis, maîtrisés et maintenus.
• Niveau 3 : processus établi, le processus de plus mis en œuvre de façon définie sur
la base d’un processus standard de l’organisation afin que ses résultats attendus
soient atteints.
• Niveau 4 : processus prévisible, le processus établi s’exécute dans des limites
quantitatives définies pour l’atteinte de ses résultats.
• Niveau 5 : processus en optimisation, le processus prévisible est amélioré de
manière continue pour satisfaire des objectifs stratégiques actuels et prévisibles.
Ce modèle caractérise de façon détaillée et quantitative la maîtrise d’un processus

par le biais de cotations permettant de composer un profil d’aptitude. Le rapport
technique de 1998 était spécifique aux processus d’ingénierie du logiciel. Publiée
entre 2003 et 2006, la norme est applicable à tout processus décrit dans un modèle de
référence de processus qui respecte les exigences de la partie 2 (ISO 15504-2).
La version de 1998 a été développée en prenant comme sources des référentiels
publics ou privés de maîtrise des processus : Trillium, SW-CMM, Bootstrap, SQPA,
HealthCheck, SAM, STD et l’ISO 9001.
La réalisation d’évaluation d’aptitude par rapport à un modèle apporte à l’entreprise
une connaissance approfondie de ses forces et de ses faiblesses dans la mise en œuvre
de ses processus. Cette connaissance facilite le choix des objectifs d’amélioration et
de leurs priorités.
Le référentiel fournit un cadre général pour l’évaluation d’aptitude de processus
dans des situations très différentes. Il peut servir de support à une démarche de
certification ISO 9001, à la fois par l’aide qu’il apporte à la mise en place de processus
d’ingénierie et par l’évaluation de leur maîtrise dans le contexte d’une démarche
d’amélioration. On peut l’utiliser également pour présélectionner ses fournisseurs.
Ce cadre peut servir de base à différents référentiels internes, assurant ainsi une
représentation standardisée des résultats. Ceci permet, jusqu’à un certain degré, de
comparer des résultats d’évaluations fondées sur des modèles dits compatibles parmi
lesquels nous citerons le modèle CMMI-Dev, dont la représentation continue, est très
ISO 15504 85
similaire avec une dimension processus et une dimension d’aptitude composée de

niveaux.
Avec la norme ISO 15504, l’évaluation se fait processus par processus : il ne
s’agit pas d’une évaluation globale de la maturité d’une unité organisationnelle, mais
d’une cotation des attributs de processus spécifiques à chaque niveau d’aptitude et
générique pour tout processus. Ces attributs sont des caractéristiques indépendantes
du processus, servant à mesurer le niveau d’aptitude du processus : par exemple au
niveau 1 « L’attribut de réalisation de processus est une mesure du degré d’atteinte de la
finalité du processus ». Ils sont définis en détail dans le modèle d’évaluation.
Documentation
Le cœur du dispositif a été décrit dans les parties suivantes :
• Partie 1 – Concepts et vocabulaire (ISO 15504-1).
• Partie 2 – Exécution d’une évaluation (ISO 15504-2).
• Partie 3 – Réalisation d’une évaluation (ISO 15504-3).
• Partie 4 – Conseils sur l’utilisation pour l’amélioration de processus et la
détermination de capacité de processus (ISO 15504-4).
• Partie 5 – Un exemple de modèle d’évaluation de processus (ISO 15504-5).
Ces parties ont été complétées en 2008 par les suivantes :

• Partie 6 – Un exemple de modèle d’évaluation de processus du cycle de vie
système (ISO 15504-6), publié en septembre 2008.
• Partie 7 – Evaluation de la maturité organisationnelle (ISO TR 15504-7), publié
en novembre 2008.
• Partie 8 – Un exemple de modèle d’évaluation pour la gestion des services IT
(ISO 15504-8) en développement (fin 2008) et qui reprend les processus du
référentiel ITIL déclinés dans la série ISO 20000.
• Partie 9 – (Définition de) Objectif de profils de processus. (ISO 15504-9) en
développement (fin 2008).
On trouve dans la partie 2, outre la définition normalisée des niveaux d’aptitude

de processus et de leurs attributs, une spécification des exigences relatives :
• au processus d’évaluation à respecter lors de la mise en œuvre d’une méthode
d’évaluation ;
• aux responsabilités spécifiques du commanditaire de l’évaluation et des évalua-
teurs ;
• aux modèles de processus.
La partie 3 qui explique comment répondre aux exigences formulées dans la par-
tie 2, contient entre autres des recommandations explicites concernant les évaluateurs.
La série de normes est disponible auprès des organismes de normalisation tel Afnor
en France. Elle est révisée tous les cinq ans dans le cadre normal des révisions de
normes par l’ISO.
Il existe des traductions dans différentes langues dont le français, le japonais, le

portugais (brésilien) et l’espagnol.
Mise en œuvre
La série de normes ISO 15504 est utilisée dans le monde entier : par exemple, en
France, en Allemagne, au Royaume-Uni, en Italie, en Espagne, aux Pays-Bas, en
Finlande, en Suisse, en Amérique du Nord et du Sud, en Afrique du Sud, au Japon,
en Corée, en Australie. De nombreux experts ont été formés dans tous ces pays.
Une application à la norme ISO 12207 définissant les processus du cycle de vie
des logiciels figure dans la partie 5 qui constitue un modèle type d’évaluation des
processus du cycle de vie du logiciel. D’autres parties sont réalisées soit par des sociétés
(évaluation des processus ITIL), soit par des groupements professionnels. Par exemple,
SPiCE for SPACE (S4S) a été développée spécialement pour les systèmes à sécurité
critique et dont le commanditaire est l’Agence spatiale européenne. L’initiative
Automotive SPICE est également à mentionner compte tenu de l’importance qu’elle
prend au niveau de grands industriels internationaux du secteur automobile, en
particulier chez les industriels établis en Allemagne.
Malgré une certaine promotion faite depuis son origine (Projet SPICE en 1996), sur
le terrain, l’ISO 15504 ne bénéficie pas d’un support et d’une promotion comparable
à d’autres grands modèles comme le CMMI qui est promu par le SEI (Software
Engineering Institute). En particulier, en France, le CMMI est souvent retenu comme
référence.
Pour utiliser la norme ISO 15504, il est nécessaire de faire appel à :
• un modèle de référence de processus (référentiel), par exemple la partie 2 ;
• un modèle d’évaluation de processus, dont un modèle type est fourni dans
la partie 5 de la norme, peut être utilisé comme base pour la conduite d’une
évaluation d’aptitude de processus logiciel ;
• un processus d’évaluation documenté (méthode) conforme aux exigences de la
partie 2 de la norme.
C’est pourquoi, des modèles d’évaluation ont été développés, par des sociétés pour
leur usage personnel, par des groupements d’industriels dans un secteur donné, ou
encore par des sociétés de conseil. Ils sont généralement déclinés en termes de guides,
documents types, formulaires, grilles de lecture, etc.
Le déroulement des évaluations ne suit pas un schéma unique. Il existe différentes
méthodes qui dépendent de l’organisme évaluateur, mais qui toutes doivent répondre
aux exigences de la norme pour être conforme.
L’iSQI (International Software Quality Institute) a mis en place l’iNTACS (Inter-
national Accreditation Certification Scheme) pour accréditer les évaluateurs ainsi que
les formateurs et les formations à l’ISO 15504 en forte synergie avec l’initiative
AutomotiveSPICE.
ISO 15504 87
Aujourd’hui, les évaluations ne donnent lieu ni à une attestation ni à un certificat

officiel par organisme accrédité ; l’évaluation repose comme pour le schéma d’évalua-
tion du modèle CMMI, sur la compétence reconnue et enregistrée du responsable
d’évaluation. L’auto-évaluation est encouragée explicitement par la norme.
Jean-Martin S IMON est responsable du pôle Évaluation et Expertise de la société
QUALIUM ; il est l’éditeur de la Partie 5 de la norme (le modèle d’évaluation).
En tant qu’évaluateur principal certifié ISO 15504, et SCAMPI Authorized Lead
appraiser pour le modèle CMMI-Dev & CMM-ACQ, il apporte son témoignage sur
l’utilisation du référentiel 15504 :
« La mise en œuvre de SPICE peut contribuer à la définition d’un référentiel de
processus internes d’ingénierie d’une organisation en facilitant l’identification des
fondamentaux, puis des pratiques plus avancées, en liaison directe avec les niveaux
d’aptitudes proposées par la norme. Le "catalogue des processus" proposés avec leurs
pratiques de base est à considérer en conjonction avec d’autres normes comme la
dernière version de l’ISO 12207 de 2008.
D’un point de vue évaluation, SPICE fournit de nombreux points d’investigation,
qui s’avèrent généralement moins génériques que ceux définis dans le modèle CMMI-
DEV. On retrouve cet aspect dans la déclinaison sectorielle de la norme avec le modèle
AutomotiveSPICE. On pourra donc opposer un côté trop prescriptif (ex. : sur les
exigences de traçabilité) mais qui a contrario permet de mieux guider les utilisateurs
en explicitant ce qu’il convient de faire, en étant moins générique ».
Frédérick F RADET, Process Improvement Project Leader chez Johnson Controls
Automotive Electronics SAS apporte le témoignage suivant :
« Johnson Controls cadre ses démarches d’amélioration des processus au sein de la
division Electronique Europe en utilisant Automotive SPICE depuis sa publication.
Ce choix s’est imposé pour assurer une meilleure communication avec les construc-
teurs automobiles. En effet, plusieurs d’entre eux utilisent également Automotive
SPICE pour évaluer leurs fournisseurs, le fait d’utiliser le même standard facilite
grandement la satisfaction des attentes de ces clients.
De plus, le fait qu’Automotive SPICE soit un standard international adapté à
l’automobile a fourni une légitimité dans l’uniformisation des pratiques des différents
projets.
Désormais, quel que soit le type de produit développé ou les sites de la division
Electronique Europe concernés, le Management de Johnson Controls peut avoir une
visibilité homogène sur les forces et faiblesses des différents projets.
En outre, les problèmes liés à la mise en œuvre des pratiques directement attendues
par le modèle ne sont plus remis en cause, ce qui permet de trouver des solutions plus
constructives aux problèmes des projets et avoir une boucle d’amélioration continue
plus efficace. Automotive SPICE est d’ailleurs un standard en évolution, de fait il
est pressenti comme un standard s’adaptant aux contraintes du monde automobile,
elles-mêmes en constante évolution ».
15
ISO 20000
Le dispositif ISO 20000 permet à une entreprise d’obtenir une certification de son
système de management de la qualité de service, plus spécialement en matière de
production informatique.
Présentation
De façon synthétique, nous pouvons présenter ISO 20000 comme la norme interna-
tionale issue d’ITIL.
La première étape de normalisation a été la reprise d’ITIL par l’organisme de

normalisation britannique, BSI, sous la forme de la norme BS 15000. La seconde
étape s’est terminée en 2005, elle a abouti à la reprise de la BS 15000 dans la norme
ISO 20000 qui se présente en deux parties :
• Partie 1 – Spécifications (ISO 20000-1), norme d’exigences.
• Partie 2 – Code de bonnes pratiques (ISO 20000-2), norme de recommanda-
tions.
La refonte de la norme a été initiée en 2007. Outre la refonte des parties 1 et 2, dans
un sens plus généraliste, afin d’élargir le périmètre au monde non-IT, La version future
se composera de trois parties supplémentaires, qui n’auront pas le statut officiel de
norme, mais celui de rapport technique, ne pouvant donc donner lieu à certification :
• PDTR 20000-3, Information technology - Service Management - Part 3 : Guidance
for the scoping and applicability of ISO/IEC 20000-1 ;
• ISO 20000-4, Information technology - Service management - Part 4 : Process
Reference Model, qui détaille chaque processus de la norme ISO 20000-1
de manière opérationnelle (entrées-sorties et processus internes de chaque
processus) ;
• ISO 20000-5, Exemplar Implementation Plan for ISO/IEC 20000-1, qui présente
un chemin progressif de mise en conformité avec ISO 20000-1, en différenciant
les exigences primordiales des exigences secondaires. Une progression étagée
par niveau à l’instar de CMMI est à l’étude.
À fin 2008, un projet de rédaction était soumis à relecture, pour chacune de ces
trois parties supplémentaires.
Grâce à ce dispositif, la certification d’un système de management de services va
désormais être possible au niveau international.
Tout comme l’ITIL, la norme ISO 20000 ne s’applique pas au produit.
La partie 1 de la norme ISO 20000 (ISO 20000-1) s’appuie sur l’approche processus
et la boucle d’amélioration continue ou PDCA (Plan-Do-Check-Act). Les processus
dont nous ne garantissons pas l’appellation française (encore provisoire), sont classés
en cinq grands types de processus :
• les processus de fourniture de services :
– gestion des niveaux de service,
– reporting,
– gestion de la continuité de service et gestion de la disponibilité,
– budgétisation et comptabilisation des services informatiques,
– gestion de la capacité,
– gestion de la sécurité de l’information.
• les processus de gestion des relations :
– gestion de la relation commerciale,
– gestion des fournisseurs.
ISO 20000 91
• les processus de résolution :

– gestion des incidents ou comment s’attaquer aux conséquences des dysfonc-
tionnements,
– gestion des problèmes ou comment s’attaquer à leurs causes.
• les processus de contrôle :
– gestion de configuration,
– gestion des changements.
• le processus de mise en production qui n’est pas lui-même décomposé en sous-
processus.
La nécessité d’être extrêmement réactif induit souvent un manque de traçabilité

dans les métiers de l’informatique où les termes documentation, validation, revue,
accords entre les parties reviennent souvent en termes d’exigences. Pour remédier
à cet état de fait, il est nécessaire d’industrialiser des pratiques qui restent souvent
artisanales, en définissant clairement les rôles et responsabilités de chacun des acteurs,
clients ou fournisseurs de services.
Les mesures constituent le troisième volet du PDCA, celui de la vérification ou
Check. Un des processus obligatoires est celui de l’établissement de rapports réguliers
(reporting) sur l’état du fonctionnement des services. L’application du référentiel
nécessite la mise en place de mesures examinées lors de revues de processus et d’audits.
Les indicateurs précis à mettre en place ne sont toutefois pas imposés, mais
laissés à l’appréciation de chaque entreprise qui pourra les sélectionner dans les
recommandations de la norme ou dans un autre référentiel proche tel que CobiT.
Documentation
ISO 20000 partie 1 (2005) a été traduite en français. Afnor ne prévoit pas actuelle-
ment de traduire les autres parties, en raison du plus faible intérêt qu’elles suscitent.
Seule la partie 1 peut faire l’objet d’une certification, ce qui est une autre raison du
manque de soutien pour une reprise des autres parties en version française.
La bibliothèque ITIL constitue elle-même un sur ensemble des exigences et des
recommandations contenues dans les normes de la série ISO 20000. Le chapitre
français de l’itSMF (IT Service Management Forum), l’itSMF France, fournit progressi-
vement les versions françaises de la documentation ITIL.
Mise en œuvre
L’utilisation de la norme ISO 20000-1 pour la certification de services a pris le relais
de celle qui était effectuée dans un cadre strictement britannique sur la base de la
BS 15000. L’ISO 20000 annule et remplace la BS 15000.
Début 2009 le site www.isoiec20000certification.com recensait 333 certificats dans le
monde, dont seulement trois en France obtenus par BT France - Hosting Business Unit,
Thales Security Solutions & Services Division et IBM Ltd France. Le Royaume-Uni
arrive sans surprise en tête avec 50 certificats, devant le Japon fort de 48 certificats et
l’Inde qui en compte 39.
La certification ISO 20000 est délivrée par plus de 30 organismes de certification
accrédités par l’itSMF, parmi lesquels on retrouve les grands organismes certificateurs
des systèmes de management de la qualité et de la sécurité. Elle a pris la suite de celle
que cette association avait lancée dès 2003 pour fournir un contrôle indépendant de
conformité à la norme BS 15000.
Une certification ISO 20000 se déroule de façon classique suivant le processus
d’audit tierce partie par un organisme de certification accrédité : pré-audit ou audit à
blanc facultatif, audit de certification, remise du certificat et audits de suivi.
La durée du certificat est au maximum de trois ans et nécessite un audit de suivi
annuel.
Nous avons interrogé Francis R ONEZ, vice-président et directeur pour la France et
les pays francophones d’Axios Systems ltd. sur le processus interne qui a permis
à Axios Systems d’être la première société au monde à être certifiée BS 15000.
Son témoignage met en avant l’intérêt que présentent la gestion de services et la
certification ISO 20000 pour une entreprise à vocation mondiale, tout en étant de
taille humaine.
« Éditeur de logiciels vendus dans le monde entier, la société Axios Systems est une
entreprise de 200 personnes. Dès sa fondation en 1988, Axios Systems a adopté
l’ITIL et l’approche méthodologique des meilleures pratiques, pour lesquelles elle a
conçu sa solution, assyst, qui permet d’appliquer au quotidien les recommandations de
l’ITIL. Dès son introduction, la BS 15000 a été reconnue comme la seule norme en
mesure de démontrer la conformité d’une entreprise à l’ITIL. Il nous a semblé logique
qu’Axios Systems se fixe comme objectif de faire partie des premières organisations
au monde à obtenir la certification à la norme. À travers cette certification, nous
désirions démontrer notre engagement dans l’ITIL et dans les meilleures pratiques et
montrer que nous pratiquions ce que nous prêchions.
La première étape cruciale de notre projet de certification BS 15000 consista à nous
assurer du soutien et de l’implication de la direction. Étant donné notre soutien
historique à l’ITIL, participant à la diffusion de l’ITIL et en prenant une part active
dans l’itSMF, le concept a séduit nos directeurs et nos managers qui ont encouragé
toute l’organisation à manifester le même degré d’engagement dans le processus de
certification. L’étape suivante consista à désigner un responsable de projet et à répartir
les rôles et les responsabilités. Nos premières discussions ont eu lieu début 2003.
Cependant à ce moment-là, aucun organisme d’audit n’avait été accrédité, il a fallu
attendre l’été 2003. Le projet de certification fut lancé officiellement au sein d’Axios
Systems en août 2003.
Nous avions la chance de compter parmi Axios Systems des auditeurs et des
consultants ITIL qualifiés “ Service Manager ” qui ont été capables d’effectuer un
pré-audit interne afin d’évaluer notre degré de préparation à l’audit officiel. Les
résultats de ce pré-audit nous ont servi à éliminer toutes les lacunes identifiées et,
ISO 20000 93
lorsque nous avons été satisfaits des ajustements, nous avons sollicité un auditeur
officiel de KPMG, l’un des organismes d’audit enregistrés auprès de l’itSMF.
La charge initiale de travail, principalement interne, a été assumée par les ressources
mentionnées ci-dessus, qui ont investi 10 à 20 % de leur temps au début du processus
avant de s’impliquer davantage à l’approche de l’audit. L’engagement de la direction
s’est révélé essentiel pour mettre à disposition et gérer efficacement les ressources
nécessaires.
Lorsque nous avons programmé l’audit, nous avons découvert que la durée de celui-ci
pouvait beaucoup varier en fonction de la taille de l’organisation. Notre audit a été
réalisé en quatre jours. La certification a été délivrée en février 2004.
L’impact de cette certification a été positif, que ce soit vis-à-vis de nos clients, de nos
collaborateurs ou de notre organisation.
Le personnel d’Axios Systems est extrêmement fier de cette certification et de
son implication dans le processus d’accréditation. Chaque personne a contribué et
continue de contribuer au programme d’amélioration continue qui a été mis en place
dans le cadre du processus de revue de l’accréditation.
Au niveau de l’organisation, la certification a conforté notre confiance dans la qualité
de notre personnel et dans la formation que nous leur dispensons régulièrement. Nous
nous assurons ainsi que nous sommes en mesure de fournir un support interne de
qualité, ce qui se répercute sur la qualité du produit que nous offrons sur le marché.
Elle a en outre permis de mettre en lumière certains points qui devaient être revus
afin de maintenir nos propres standards à haut niveau.
La gestion de services informatiques (ITSM, Information Technology Service Mana-
gement) est notre domaine d’activité. Au cœur de nos solutions, l’ITSM contribue à
la réussite de l’ensemble de notre organisation. C’est par la mise en place de la gestion
de services informatiques et le respect des meilleures pratiques que nous parvenons à
fournir des services informatiques cohérents de grande qualité, en interne et chez nos
clients.
Nous gérons nos services informatiques en utilisant une approche holistique qui repose
sur la gestion des capacités. Grâce à cette approche, notre infrastructure SI nous
donne les moyens de satisfaire nos besoins métier d’aujourd’hui et de demain ainsi
que ceux de nos clients, sur des budgets maîtrisés.
L’ITSM est une décision stratégique. Sa réussite dépend donc de l’engagement de
la direction. Chez Axios Systems, non seulement le management soutient l’ITSM,
mais il en est le plus fervent défenseur. Cela s’explique par le rôle essentiel tenu par la
gestion de services en tant que fondement de notre offre métier.
La gestion de services informatiques a contribué à façonner chez Axios Systems
une culture orientée vers le service. Tous les collaborateurs d’Axios Systems en
contact avec les clients possèdent une qualification ITIL, beaucoup au niveau Service
Manager. Tous nos employés comprennent l’importance fondamentale de l’ITSM et
ont conscience de leur apport dans la réussite de l’entreprise.
Nos clients sont certains que nous leur fournirons un service de qualité reposant sur
des processus clairement définis et publiés. De plus, comme nous mesurons et nous
communiquons clairement nos niveaux de service, nos clients ont confiance dans
Axios Systems et dans nos offres de services ».
Au début de l’année 2006, il y avait plus de sociétés de conseil et de consultants

proposant leur accompagnement que de sociétés certifiées. L’ITIL et l’ISO 20000
sont des opportunités pour les sociétés de service et pour les éditeurs d’outils qui
annoncent tous des produits conformes à l’ITIL. Même si les éditeurs s’inspirent des
bonnes pratiques d’ITIL pour concevoir leurs outils, il n’existe aucune certification de
produit pour labelliser un outil d’aide à la gestion de services, qu’il s’agisse de gestion
d’incident, de gestion de configuration ou tout autre processus difficile à mettre en
œuvre manuellement.
Le bénéfice d’une certification d’un système de gestion des services est double,
comme celui de toute certification de système : une meilleure maîtrise des processus
et une confiance accrue du marché. Le bénéfice essentiel porte sur la revalorisation
de l’image du parent pauvre qu’est la production informatique qui souffre depuis
ses origines d’un manque flagrant de considération par rapport aux métiers nobles
du développement. La motivation du personnel de production devrait ainsi être la
première valeur ajoutée d’une démarche ISO 20000 : les certifications de personnes
selon ITIL prennent ainsi tout leur sens en s’inscrivant dans une démarche d’entreprise
soutenue par la direction. La boucle d’amélioration repose sur la mise en œuvre de
pratiques concrètes moins conceptuelles que celles de l’ISO 9000.
L’ISO 20000 apporte à l’entreprise un outil transversal de communication grâce à
un vocabulaire précis sur des sujets comme la gestion des incidents ou la gestion des
problèmes. L’ISO 20000 resitue ainsi l’informatique au service des objectifs métiers de
l’entreprise. Les principes de l’ISO 20000 peuvent également être appliqués de façon
avantageuse à des services autres que les services informatiques.
Parmi les points faibles potentiels, il faudra s’assurer que tous les certificats délivrés
aux quatre coins du monde ont bien la même valeur, quel que soit l’organisme
certificateur, ce qui suppose de rester vigilant en matière d’accréditation.
Il ne faut pas sous-estimer la résistance au changement à l’intérieur des DSI, ni
l’effort humain et financier de la mise en œuvre de certains processus : procéder à
l’inventaire des matériels et logiciels de l’entreprise et mettre en place une procédure
de mise à jour fiable peut prendre plusieurs mois.
16
ISO 25051
Le dispositif ISO 25051 permet à une entreprise d’obtenir une certification en matière
de qualité du produit logiciel.
Présentation
La norme ISO 25051 fait partie de la série de normes ISO 25000 concernant l’exigence
de qualité et évaluation du logiciel (SquaRE).
Le référentiel associé à ce dispositif est la norme ISO 25051 (anciennement ISO

12119) de 2006 qui définit les exigences de qualité pour les progiciels et les instructions
d’essais. Elle spécifie des exigences applicables aux progiciels commercialisés et donne
des instructions sur la manière de vérifier la conformité à ces exigences. Elle sert de
base à l’évaluation ou à la certification de ces progiciels. Il s’agit par exemple des
traitements de texte, des tableurs, des gestionnaires de bases de données, des outils de
dessin, des logiciels techniques ou scientifiques ou d’utilitaires systèmes.
L’ISO 25051 comporte trois chapitres principaux :
• les exigences sur le produit : sa description, sa documentation utilisateur et les
exigences en matière de qualité ;
• les exigences sur la documentation des tests : le plan de test, la description et
les résultats des tests ;
• les instructions relatives aux évaluations de conformité à cette norme : éva-
luations préalables, activités d’évaluation, évaluation tierce partie, rapport
d’évaluation, évaluation de suivi.
Cette norme fait référence aux caractéristiques qualité définies dans une norme
dans la norme ISO 25010, en cours de développement, qui reprendrait entre autres le
contenu de l’actuelle norme ISO 9126-1.
En matière de mesure, aucune exigence spécifique n’est formulée dans le référentiel.
On peut toutefois supposer que les mesures utilisées doivent être cohérentes avec les
caractéristiques qualité de l’ISO 25010.
Documentation
L’ISO 25051 publiée en 2006 annule et remplace la norme ISO 12119 Progiciel –
Exigences qualité et essai qui datait de 1994. Elle est disponible en anglais et en français.
Mise en œuvre
En France, ce dispositif conditionne le droit d’usage de la marque NF Logiciel.
Au 20 mars 20091 , 34 sociétés avaient certifié au total 60 logiciels. Fin 2005, on
comptait 52 produits certifiés.
Ce dispositif peut servir à l’évaluation ou à la certification de logiciels sur étagère
tels qu’ils sont proposés à la vente en boutique. Il s’agit de vérifier la conformité aux
exigences de la norme à partir des documents qui décrivent le produit et les tests, sans
tenir compte du processus de développement (activités ou produits intermédiaires, par
exemple les spécifications).
Les exigences de la marque NF Logiciel et la méthode d’évaluation reposent sur
trois familles d’exigences : les exigences qualité provenant de l’ISO 9001, celles qui
sont relatives au produit provenant de l’ISO 25051 et les exigences complémentaires
spécifiques à un domaine.
1. http://www.infocert.org/produits_certifies.php# G0
ISO 25051 97
Il n’existe aucune formation spécifique attachée à la mise en œuvre de cette norme.

En France, l’expertise se trouve essentiellement chez Infocert l’organisme de
certification mandaté pour la marque NF Logiciel.
La certification doit être renouvelée annuellement pour chaque produit.
Les responsables de différentes sociétés font part de leur expérience de la certification
NF Logiciel.
La société EBP déclare :
« Nous faisons partie des premiers éditeurs à avoir obtenu le double label NF Logiciel
et Support utilisateur certifiés. Cela nous a demandé des aménagements spécifiques
mais bénéfiques, et l’ensemble a été moins contraignant que nous aurions pu le penser
puisque nous avions déjà des procédures bien arrêtées, notamment en matière de
traçabilité des appels et de structuration de nos développements ».
La société Extensity France (ex Geac) :

« Nous avons choisi de faire certifier nos solutions NF Logiciel en nous intégrant
très en amont, aux côtés d’Infocert, dans la réflexion liée à la définition du système
de certification et de sa mise en œuvre. Un travail collaboratif et constructif permet
aujourd’hui, par le biais de cette certification, d’offrir tous les gages d’assurance et de
fiabilité aux utilisateurs finaux ».
Pour ITHEC International :

« L’objectif de notre développement international doit s’appuyer sur des outils et des
produits “ sans faille ”. Le dire est une chose, mais s’appuyer sur une certification en
est une autre. Elle rend notre discours crédible.
En interne, c’est un projet d’entreprise basé sur le travail des services techniques et
valorisé par le service commercial. Le gain, une plus grande fiabilité, s’appuie sur des
procédures simples, lisibles et utilisables par tous. C’est également la maîtrise du cycle
de test qui est un élément prépondérant de la qualité et du service client pour nous,
éditeurs de logiciel ».
Une nouvelle marque NF Logiciel est relativement facile à élaborer. Elle permet
de répondre au besoin du marché : faire évaluer par une autorité indépendante et com-
pétente la capacité des éditeurs de logiciel à prendre en compte une réglementation
particulière. Cela nécessite la création d’un groupe de travail regroupant des éditeurs,
des utilisateurs et des experts du domaine. On obtient ainsi une marque « NF Logiciel,
xxx ». Par exemple, la marque « NF Logiciel, Normes comptables internationales »
qui atteste la conformité du produit aux exigences requises pour traiter les normes
comptables internationales IAS/IFRS. Cette marque permet aux éditeurs de démontrer
leur capacité à intégrer dans leurs produits les nouvelles exigences comptables. D’autres
domaines donnent lieu (ou vont donner lieu) à une marque spécifique : SI ressources
humaines, Reporting financier, Services et prestations associés au produit, Gestion
budgétaire.
Toutefois, si ce type de certification établit la conformité du « produit soumis à

l’évaluation » il ne préjuge pas de sa conformité future lors de ses évolutions entre deux
certifications. Pour estimer la conformité future, le dispositif le plus approprié est celui
de la certification ISO 9001, à condition d’inclure l’entité responsable du produit dans
son champ d’application.
17
ISO 27001
Le dispositif ISO 27001 permet à une entreprise d’obtenir une certification pour son
système de management de la sécurité des systèmes d’information.
Présentation
L’ISO 27001, publiée en octobre 2005, complète le dispositif normatif en matière
de Système de management de la sécurité de l’information (SMSI). Pour résumer la
situation, nous pouvons dire que l’ISO 27001 et l’ISO 27002 constituent un couple
complémentaire en matière de sécurité, tout comme l’ISO 9001 et l’ISO 9004 en

matière de qualité. L’ISO 27001 présente les exigences pouvant faire l’objet d’une
certification, et l’ISO 27002 les recommandations pour la mise en œuvre effective de
ces exigences. Cependant, le détail des bonnes pratiques a précédé celui des exigences
soumises à la certification.
Mais reprenons l’historique du développement de cette famille de normes :
• en 1995, BSI publie la norme BS 7799 qui formalise pour le marché britannique
un recueil de bonnes pratiques en matière de sécurité de l’information ;
• en 1998, BSI publie une seconde partie de la BS 7799 (BS 7799-2) permettant
de mettre en place une certification de l’application des dispositions contenues
dans la BS 7799 qui a été numérotée à cette occasion BS 7799-1 ;
• en 1999, BSI publie une seconde édition de la BS 7799-1 afin de pouvoir la
soumettre à l’ISO ;
• en 2000, la norme britannique BS 7799-1 devient la norme ISO 17799, Code
de pratiques pour la gestion de sécurité d’information ;
• en 2002, BSI publie une version améliorée de la BS 7799-2 afin de l’harmoniser
avec les systèmes de management de la qualité et de l’environnement (ISO 9001
et ISO 14001) ;
• en octobre 2005, l’ISO 17799 est mise à jour conformément à la politique de
révision quinquennale de l’ISO ;
• en 2005, la norme BS 7799-2 devient la norme ISO 27001 ;
• en février 2007, la norme ISO 27006, s’appuyant sur la norme ISO 17021, vient
compléter le dispositif en fournissant les exigences pour les organismes d’audit
et de certification des SMSI ;
• le premier juillet 2007, l’ISO 17799 devient l’ISO 27002, sans changer de
contenu ;
• enfin, en juin 2008, l’ISO 27005 remplace la BS 7799-2, en décrivant la gestion
du risque pour la sécurité de l’information.
D’autres normes complémentaires devraient être publiées dans les années pro-
chaines :
• l’ISO 27000, qui présentera une vue globale de la famille de normes et du
vocabulaire ;
• l’ISO 27003, un guide d’implémentation pour le système de gestion de sécurité
de l’information présentant des bonnes pratiques en termes d’implémentation,
issues de l’annexe B de la BS7799-2 ;
• l’ISO 27004, une norme définissant des métriques pour l’évaluation de l’ef-
ficacité de la mise en œuvre des systèmes de management de la sécurité de
l’information (ISMS, Information Security Management Systems) ;
• l’ISO 27007, un guide pour l’audit d’un SMSI, dont la publication est prévue
en 2010, mais dont le titre exact n’a pas encore été choisi.
ISO 27001 101
L’ISO 27001 spécifie les processus qui permettent à une entreprise de construire,
de gérer et d’entretenir un système de gestion de sécurité de l’information. Elle intègre
l’approche processus et le cycle PDCA (Plan-Do-Check-Act) d’amélioration continue
déjà contenu dans les normes ISO 9001 et ISO 14001 :
• Plan : organiser la mise en place du système de gestion de sécurité de l’informa-
tion ;
• Do : mettre en place et faire fonctionner le système ;
• Check : contrôler l’efficacité du système par des audits internes et des évaluations
de risque ;
• Act : améliorer le système par des actions correctives et préventives appropriées,
l’entretenir par des actions de communication et de formation.
En matière de sécurité, la boucle d’amélioration est synonyme de boucle de

réduction des risques. En pratique, il convient de mettre en place des procédures
pour :
• détecter rapidement les erreurs de traitement ;
• identifier immédiatement toute non-conformité aux règles de sécurité et organi-
ser la remontée immédiate des incidents ;
• vérifier que toutes les tâches relatives à la sécurité sont réellement exécutées
que ce soit par des hommes ou des automates ;
• identifier les actions à réaliser pour corriger les non-conformités aux règles de
sécurité.
En matière de contrôle, il convient de réaliser des revues régulières de l’efficacité du

système à partir des résultats d’audits, des rapports d’incidents, ainsi que des suggestions
et commentaires reçus des parties concernées. D’autre part, il faut examiner et adapter
en permanence les niveaux de risques résiduels acceptables en fonction des évolutions
de l’organisation, de la technologie, des lois et réglementations ou encore de l’opinion
publique.
Des exigences de mesures sont explicitement contenues dans la norme, sous forme
d’évaluations de risques, d’audits, de collecte de données sur les incidents et de non-
conformités.
Il manque toutefois à la norme les métriques qui permettraient, avec un référentiel
unique, de comparer plus facilement des entités certifiées.
L’ISO 27002
Les objectifs de sécurité indiquent le but à atteindre et les mesures de sécurité
présentent les activités permettant d’y parvenir, expliquant les actions à mettre en
œuvre pour implémenter ces mesures.
L’ISO 27002 est un outil d’aide à la mise en œuvre de l’ISO 27001. Il regroupe
une clause introductive sur l’appréciation du risque et son traitement, 39 objectifs
de sécurité, décomposés en 133 mesures de sécurité organisationnelles et techniques,
relatives à 11 domaines.
• La politique de sécurité : elle exprime l’orientation et l’engagement de la

direction en matière de sécurité de l’information.
• L’organisation de la sécurité : elle permet de définir les responsabilités de
management de la sécurité de l’information au sein de l’entité, y compris
lorsque des tiers accèdent à l’information ou sont responsables du traitement de
l’information.
• La classification des informations ou gestion des actifs : elle vise le maintien du
patrimoine informationnel de l’entreprise.
• La sécurité des ressources humaines : elle vise la réduction des risques d’origine
humaine (vol, fraude ou utilisation abusive des infrastructures).
• La sécurité physique et environnementale : elle permet de prévenir les accès
non autorisés aux locaux, aux informations et à leurs supports, ainsi que toute
forme d’atteinte ou de dégradation de ces locaux.
• La gestion des opérations et des communications : elle permet d’assurer le
fonctionnement correct et sûr des infrastructures de traitement de l’information,
et de minimiser les risques opérationnels.
• Les contrôles d’accès : ils permettent de maîtriser les accès logiques au patri-
moine informationnel.
• Le développement et la maintenance des systèmes : leur fonction est d’inclure
la sécurité dans le développement et la maintenance des systèmes d’information,
dès les phases de spécification et de conception.
• La gestion des incidents de sécurité : elle fournit les éléments de traçabilité et
d’analyse indispensables aux actions correctives et préventives.
• La continuité d’activité : elle s’obtient par la mise en place des parades aux
interruptions des activités de l’entité afin de permettre aux processus vitaux
de l’entité de continuer à fonctionner malgré des défaillances ou des sinistres
majeurs impactant le système d’information.
• La conformité à la réglementation interne et externe : son objectif est d’éviter
les infractions de nature légale, réglementaire ou contractuelle et d’assurer la
bonne application de la politique de sécurité.
Documentation
Les normes de la série ISO 27000 sont disponibles auprès d’Afnor en France.
L’ISO 27002 ainsi que l’ISO 27001 sont disponibles en anglais uniquement.
Des informations complémentaires peuvent être obtenues auprès de l’ISMS
(Information Security Management Systems) International User Group. En France, la
Direction centrale de la sécurité des systèmes d’information (DCSSI) a mis en ligne
un guide de bonnes pratiques expliquant comment exploiter, dans le cadre d’une
démarche ISO 27001, les résultats de la méthode EBIOS (Expression des besoins et
identification des objectifs de sécurité).
ISO 27001 103
Mise en œuvre
Au Royaume-Uni, la BS 7799-2 fait l’objet d’un dispositif complet de certification.
En France, jusqu’à la parution de la norme ISO 27001, il n’existait pas de dispositif de
certification en matière de système de gestion de la sécurité de l’information.
À fin décembre 2008, près de 5 000 certificats ont été délivrés dans l’ensemble du
monde dont 9 en France.
Les chiffres sont parlants : 50 certificats au début 2001, 1 000 à la fin 2004, 2 000
à la fin 2005 et près de 5 000 à la fin 20081 ; la tendance est la même que celle qui a
accompagné la certification ISO 9001.
Les cinq premiers détenteurs de certificats2 sont le Japon (2 863), l’Inde (433), le
Royaume-Uni (368), Taïwan (202) et l’Allemagne (108). La France arrive au 32e rang
mondial.
En nous appuyant sur le succès de la norme BS 7799-2 dans les pays anglo-saxons,
nous pouvons toutefois faire le pari que la norme ISO 27001 connaîtra une reconnais-
sance au moins équivalente à celle de l’ISO 9001, aujourd’hui évidente pour tous et
largement entrée dans notre quotidien.
On peut déjà noter l’intérêt du monde bancaire soumis à la réglementation Bâle II
qui impose de se prémunir face aux risques dits opérationnels, notamment en ce qui
concerne le « risque de pertes directes ou indirectes d’une inadéquation ou d’une défaillance
attribuable à des procédures, personnes, systèmes internes ou à des événements extérieurs ».
La conformité à ce référentiel commence à être reconnue comme un élément
de présomption de respect de certains textes comme la loi Sarbanes-Oxley, Bâle II ou
comme la Loi de Sécurité Financière, lesquels expriment des exigences fortes en matière
de sécurisation des données financières.
BSI ainsi que d’autres certificateurs internationaux comme LRQA (Lloyd’s Register
Quality Assurance) délivraient déjà des certificats sur la base de la norme BS 7799-2
pour une durée de trois ans renouvelable. Ces certificateurs proposent aujourd’hui le
passage à une certification sur la base de l’ISO 27001.
L’organisme certificateur chargé de délivrer les certificats respectera les mêmes
principes que ceux qui sont appliqués à l’ISO 9001 : en France, il devra être accrédité
par le Comité français d’accréditation (COFRAC) selon un processus strict et
normalisé. La démarche d’audit ISO 19011 s’applique en particulier aux audits de
conformité ISO 27001.
Pour réduire les coûts supplémentaires d’une nouvelle certification, des audits
combinés sur plusieurs normes de systèmes de management (ISO 9001, ISO 14001 et
ISO 27001) pourront être effectués par des certificateurs accrédités par le COFRAC.
1. Source : www.xisec.com
2. Source : http://iso27001certificates.com
Le directeur qualité d’un groupe international témoigne :
« L’essentiel du travail porte sur l’analyse de risque qui nécessite la mise en place d’une
méthode adaptée, ne faisant pas encore l’objet d’une recommandation normative.
L’identification exigée par la norme des actifs informationnels et celle des risques
qui menacent ces actifs, constituent le premier bénéfice de la mise en place de cette
norme. La certification a fortement réduit “ l’auditomanie ” de nos clients. De plus,
comme nous faisons partie d’un groupe international, la norme nous permet d’avoir
un langage commun.
Enfin, comme pour les autres démarches de certification de système de management,
l’élément clé de la réussite du projet est l’engagement de la direction ».
Gilles T ROUESSIN, certifié Lead Auditor 27001 par BSI, est consultant en audit et
management de la sécurité des systèmes d’information au sein de la société OPPIDA.
Il confirme cette nouvelle tendance :
« De plus en plus d’entreprises issues de secteurs d’activité variés se soucient
sérieusement du management de la sécurité de leurs informations de façon, disons,
plus professionnelle, c’est-à-dire de manière organisée, planifiée et maîtrisée, et non
plus de façon improvisée par des interventions ponctuelles en urgence, sans trop de
coordination entre elles, ni d’anticipation sur la qualité ou la constance de celles-ci.
L’utilisation de méthodes et d’outils tels que ceux développés par la DCSSI facilitent
la mise en place cohérente et maîtrisée d’un système de management de la sécurité
de l’information à l’aide la norme ISO 27002 d’une part, et d’autre part la mise en
œuvre de la démarche d’audit et de certification correspondante avec l’ISO 27001. Il
s’agit de mettre en application la méthode “ EBIOS ” ou encore de favoriser la mise en
place et l’exploitation d’un Tableau de bord de la sécurité des systèmes d’information
(TDBSSI) ».
La force du dispositif réside dans le modèle de management calqué sur le modèle
générique du PDCA qui permet aux entreprises de l’intégrer dans un système de
management unique, couvrant les aspects qualité, sécurité et environnement.
En contrepartie, le dispositif semble aujourd’hui mieux adapté aux grands groupes
multinationaux soumis à des contraintes réglementaires et légales multiples qu’aux
petites et moyennes entreprises. L’ISO 27001, bien que diffusée par Afnor, n’est pour
l’instant pas traduite en français, ce qui en rend l’utilisation difficile. Conscients de
ces difficultés, l’état français mène une véritable campagne promotionnelle en faveur
de la politique sécurité, par le biais de la DCSSI et de la publication du Référentiel
général de sécurité (RGS), applicable aux administrations centrales et territoriales
ainsi qu’à l’ensemble des organismes contribuant à l’administration électronique.
Bien que les guides d’application sur l’évaluation des risques (ISO 27005) et les
méthodes de mesure (ISO 27002) soient aujourd’hui disponibles, un accompagnement
fort par des sociétés de conseil reste indispensable.
D’après l’étude Gartner Recommendations for Security Administration, en 2009 plus
de la moitié des Systèmes de management de la sécurité de l’information (SMSI)
devrait être fondée sur l’ISO 27001 et utiliser l’ISO 27002 comme ensemble de
ISO 27001 105
contrôle. On peut toutefois s’interroger sur le très faible nombre d’entreprises françaises
certifiées ISO 27001 : 9 en France sur près de 5 000 au niveau mondial. Gageons
que l’obligation faite aux entreprises sous-traitantes de l’administration française de
s’aligner sur le RGS devrait avoir rapidement un effet de levier sur le nombre de
certificats.
18
ITIL
Le dispositif ITIL permet à une personne physique d’obtenir une certification en

matière de production informatique.
Figure 18.1 — Dispositif ITIL
Présentation
L’ITIL (Information Technology Infrastructure Library) est le résultat de plusieurs
années de réflexion et d’expérience sur des problèmes posés par les technologies
de l’information. L’ITIL est un référentiel de bonnes pratiques pour la fourniture de
108 Chapitre 18. ITIL
services informatiques ; ce référentiel aide les entreprises à atteindre leurs objectifs de

qualité et de maîtrise des coûts.
ITIL est un référentiel ouvert et public qui appartient à l’OGC (Office of Govern-
ment Commerce). Il a été développé sous l’impulsion du gouvernement britannique par
des groupes de travail composés de responsables opérationnels, d’experts indépendants,
de consultants et de formateurs. En mettant en place une organisation de support et
de conseil, la direction informatique peut améliorer le service rendu au client par une
meilleure communication, par des engagements sur des résultats mesurables, négociés
et mesurés, et par le respect des contraintes budgétaires.
Aujourd’hui il existe deux versions d’ITIL, la version V2 et la version V3. La V2
aurait dû être définitivement remplacée par la V3 fin 2008. Début 2009, force est de
constater, que sous la pression de certains utilisateurs ; les deux versions continuaient
à coexister début 2009.
ITIL V2 : une approche par processus

ITIL V2 est donc toujours d’actualité. Il repose sur huit modules intitulés :
• ITIL – The Business Perspective qui présente les avantages pour l’entreprise d’une
gestion des services afin de mieux comprendre l’ITIL.
• ITIL – Service Delivery qui couvre les processus nécessaires à la conception et à
la fourniture des services.
• ITIL – Service Support qui couvre la fonction Service-Desk et les processus
nécessaires à la maintenance et au support des services.
• ITIL – Security Management qui couvre l’ensemble des aspects de mise en œuvre
et de gestion de la sécurité des systèmes d’information.
• ITIL – ICT Infrastructure Management qui couvre les processus de conception et
de gestion des infrastructures informatiques.
• ITIL – Application Management qui couvre les interactions de la gestion des
applications avec la gestion de services.
• ITIL – Software Asset Management qui couvre la gestion des objets logiciels sur
l’ensemble de leur cycle de vie.
• ITIL – Planning to implement Service Management qui couvre le plan de mise en
œuvre de la gestion des services et les conseils à suivre.
Pour la V2, les modules s’emboîtent comme les éléments d’un puzzle avec
cependant des zones de recouvrement.
Chaque module décrit un domaine constitué de plusieurs processus. Chaque
processus établit des règles de bonnes pratiques en matière de service délivré et s’assure
du bon fonctionnement grâce à la certification des individus.
La certification ne porte que sur les deux modules Soutien des services et Fourniture
de services.
Dans son principe, l’ITIL décrit le service à rendre et non pas la façon de s’y
prendre.
ITIL 109
ITIL V3 : une approche fondée sur le cycle de vie du service rendu

ITIL V3 repose sur la notion de cycle de vie du service, chaque étape faisant l’objet
d’une publication :
• ITIL – SS-Service Strategy fournit des conseils sur les modèles d’organisation
définissant les relations entre entreprise et fournisseur de service.
• ITIL – SD-Service Design fournit des conseils sur la conception et la maintenance
des services.
• ITIL – ST-Service Transition fournit des conseils sur la gestion des changements
la maîtrise des risques et les mises en production. Elle cherche à améliorer
l’aptitude aux changements.
• ITIL – SO-Service Operation fournit des conseils d’efficacité et d’efficience dans
l’exploitation et le support des services.
• ITIL – CSI-Continual Service Improvement traite du suivi de l’amélioration du
service sur toutes les étapes du cycle de vie. Il fournit des conseils pour maintenir
et créer de la valeur au client.
La V3 intègre les processus issus de la V2. Mais dans son principe, ITIL V3 ne
voit plus le système comme uniquement comme un emboîtement de modules et de
processus. Cette version du référentiel insiste davantage sur le fait que les composants
du système sont en contact les uns avec les autres à la façon d’un mikado. Dès que
l’un d’entre eux est modifié, il y a implicitement répercussion de la modification sur
les autres composants.
Cette vue est plus complexe dans la mesure où les processus sont décrits à travers
les étapes du cycle de vie du service rendu. Cela explique peut-être la difficulté de
certains utilisateurs à adopter la V3.
Documentation
Concernant la V2, la certification de personnes repose uniquement sur deux recueils
couvrant les domaines suivants :
• ITIL – Soutien des services (ITIL – Service Support) ;
• ITIL – Fourniture de services (ITIL – Service Delivery).
Ils sont rédigés en anglais et en français. La version anglaise est disponible sous
forme de CD-ROM. Il existe aussi un Guide de poche sur la Gestion des services des TI.
La certification V3 couvre l’ensemble des cinq publications précitées.
La documentation en anglais peut être acquise sur un site dédié à ITIL géré par
l’OGC, celle en français à partir de celui l’itSMF France. Le site en anglais intitulé
« Official ITIL Website » propose en plus des cinq publications centrales, des titres
dérivés intitulés « Key Element Guide ». Ces derniers fournissent des modèles, des
études de cas et des aides : Il existe aussi une introduction à ITILV3 sous forme de
guide de poche.
Mise en œuvre
L’ITIL connaît un succès croissant. S’il a été initialement utilisé dans la plupart des
pays anglo-saxons, force est de constater qu’il se développe aujourd’hui au niveau
mondial. En France, il devient incontournable. Le succès actuel de l’itSMF France en
est la preuve. Son déploiement le positionne comme un standard de fait dans plus de
50 pays. La documentation existe en 10 langues. D’abord positionné comme standard
de fait, l’ITIL est devenue une norme internationale l’ISO 20000.
ITIL V2 : une formation structurée sur trois niveaux

La formation à l’ITIL V2 peut se dérouler en français ou en anglais. Les examens sont
structurés en trois niveaux :
• Fondamentaux-ITIL (ITIL Professionals for ITIL Foundation) qui existe en
anglais et en français ;
• Praticien-ITIL (ITIL Practitioner) ;
• Managérial-ITIL (ITIL Service Manager) en anglais et français.
Les Fondamentaux -ITIL concernent tout collaborateur intervenant sur la gestion

de l’infrastructure. Aucune condition préalable n’est exigée.
Le Praticien-ITIL est spécifique à la mise en œuvre ; il est destiné aux gestionnaires
de processus. La condition préalable est l’obtention du certificat Fondamental-ITIL.
Les modules sont :
• ITIL Practitioner Plan & Improve qui se déroule en anglais ;
• ITIL Practitioner Release & Control en anglais et français ;
• ITIL Practitioner Support & Restore en anglais et français ;
• ITIL Practitioner Agree & Define uniquement en anglais.
Le niveau Managérial-ITIL est spécifique au domaine d’activité. Il s’adresse à

tout manager ou consultant chargé de mettre en œuvre la prestation de service et
l’assistance conformément aux critères d’ITIL. En plus du certificat Fondamental-ITIL,
deux ans d’expérience en tant que manager ou consultant sont exigés. De plus, l’EXIN
(EXamination institute for INformation science) intègre une évaluation de fin de cours.
ITIL V3 : la structure sur trois niveaux demeure mais avec des évolutions
majeures
La version 3 d’ITIL s’accompagne d’un programme de formations et de certifications.
Le premier niveau change que très peu sur l’objectif de la formation. Il s’appelle
toujours les fondamentaux ITIL (ITIL Foundation) et vise à acquérir des compétences
de base. Il complète la version V 2 avec 13 nouveaux processus et 3 nouvelles fonctions.
En ce sens il enrichit le niveau :
• d’une approche permettant d’identifier et de gérer la continuité / discontinuité
de la production informatique (avec le processus de gestion des événements) ;
ITIL 111
• d’un volet de trois composantes de la gestion des évènements (informations,

alertes, anomalies) consacré à la gestion des anomalies, qui se subdivise lui-
même en trois catégories (incidents, changements, problèmes). Cette arbores-
cence donne au service desk des principes d’organisation à côté des structures
déjà existantes dans la V2 ;
• d’un processus dédié à la conception du catalogue des services subdivisé en un
catalogue technique (catalogue des composantes de service), et un catalogue
client (catalogue des services). Seulement ce dernier fait l’objet d’une publica-
tion ;
• d’une gestion des éléments de configuration élargie à la notion de système de
gestion des configurations (CMS Configuration management System), et de prise
en compte des actifs (SACM Service Asset and Configuration Management).
Le niveau intermédiaire praticien est remplacé par trois cursus de certification au

choix :
• le cycle de vie (ITIL Life Cycle Stream) ;
• l’aptitude (ITIL Capability Stream) ;
• le module MALC (Managing Across the Life Cycle).
Les deux cursus « Streams » sont effectués au choix du candidat.

Enfin, le troisième niveau ne s’appelle plus managérial mais diplômé (Diploma). Il
s’obtient par le cumul d’un ensemble de points (crédits) obtenus lors des formations
précédentes.
À noter, pour les personnes déjà certifiées V2 niveau fondamentaux ou managérial,
qu’il existe des formations entre V2 et V3 appelées passerelles (bridge).
L’ITIL Qualification Scheme décrit les rôles et responsabilités des différents inter-
venants dans le dispositif ITIL. L’ICMB (ITIL Certification Management Board),
comprend l’OGC, l’itSMF ainsi que des organismes certificateurs (Examination
Institute) qui assurent aussi l’accréditation des centres de formation. Dans cette
dernière catégorie, on ne trouve aujourd’hui que l’EXIN et l’ISEB (Information Systems
Examinations Board). Le certificat est émis par l’examinateur local agréé par l’EXIN et
l’ISEB, au nom de l’organisme certificateur.
La liste des organismes accrédités pour réaliser les formations à l’ITIL est accessible
sur le site de l’EXIN.
Kamel S EHRI, directeur du développement de la société SELESTA remarque :
« On sait que si on n’adhère pas à l’ITIL, on aura de plus en plus de mal à fonctionner.
Notre société a une politique de certification ITIL car c’est une demande de nos clients.
Aujourd’hui, tous nos clients ont entendu parler d’ITIL, ce n’était pas vrai il y a
deux ans. Pour eux, la certification est un gage de qualité, cela les sécurise, minimise
le risque. Cela nous permet de plus de valoriser notre personnel en le motivant ».
Philippe C ROIX, Marketing Technical Manager de la société Peregrine Systems,

ajoute :
« ITIL apporte un langage commun, ce qui facilite la compréhension. Ceci est
tellement important pour nous que notre politique est de faire certifier ITIL toute
la partie de notre personnel qui est en contact avec nos clients : nos experts, nos
commerciaux, les équipes d’avant-ventes, le marketing, le management, etc. Nous
avions à fin 2005, 196 personnes certifiées Fondamental-ITIL, 24 Praticien-ITIL et
trois Managérial-ITIL ; ces chiffres sont en constante augmentation ».
François B AUDRAZ consultant ITIL (FBA Conseil Suisse), certifié ITIL V3 Expert
en novembre 2008, déclare :
« Consultant MOF (Microsoft Operation Framework) depuis juin 2003, j’ai souhaité
passer le premier niveau de certification ITIL afin d’obtenir une reconnaissance
officielle de ma conviction que les méthodologies de travail en environnement
informatique étaient à la fois les fondations et les murs porteurs de la production. Ces
bonnes pratiques concourent à transformer les systèmes d’information de centres de
coût en centres de profit.
Ayant le diplôme Service Manager V2, j’ai suivi une formation au Bridge Service
Manager V3 en quatre jours et demi de théorie et une demi-journée de révision (QCM
à blanc) avec passage de l’examen final.
La formation de cinq jours a pour but de présenter de manière approfondie l’ensemble
des ouvrages de ITIL V3. Compte tenu de la densité de concepts abordés (cinq livres
de près de 300 pages chacun), il est nécessaire d’une part d’avoir étudié les différents
ouvrages préalablement et d’autre part de s’astreindre à un travail personnel chaque
soir lors des journées de formation.
Le passage de la certification s’est fait l’après-midi du cinquième jour, cet examen
correspond à un QCM de 20 questions couvrant tout le cycle de vie du service mais
portant avant tout sur les nouveautés de la V3.
La certification est difficile à obtenir car il faut 80 % de bonnes réponses (soit 16 sur
20). Les questions sont fondées sur des scénarios en général complexes et multichoix.
La certification s’est faite en langue anglaise.
Je suis convaincu que l’expérience et la connaissance de la version ITIL V2 sont un
avantage pour la compréhension de la V3.
Le QCM est particulièrement difficile, et aucune question n’est évidente ».
Un consultant en production informatique d’une importante société de conseil en

informatique conclut :
« La société dans laquelle je travaille a lancé en 2005 un programme de certification
ITIL. Pour ma part, j’avais déjà passé le premier niveau en 2002. J’ai donc assisté à
une formation Praticien-ITIL Service Desk/Incident Management.
L’enseignement théorique a duré trois jours. Par rapport au premier niveau, le cursus
était plus axé sur les travaux pratiques. Seule la première journée était consacrée
à la théorie. Le passage de la certification, qui n’est pas obligatoire, s’est fait la
semaine suivante à partir d’une étude de cas et d’un QCM en anglais. L’utilisation
du dictionnaire y était autorisée.
ITIL 113
L’examen m’a semblé plus difficile que celui du premier niveau, ceci s’explique en
partie par l’étude de cas qu’il faut lire au préalable. Mais il faut aussi y ajouter la
formulation de certaines questions pour lesquelles j’avais du mal à faire le lien entre
ce qui m’était demandé et l’étude de cas.
Pour obtenir la certification, il fallait répondre correctement à au moins 60 % des
questions posées. Nous étions sept candidats. Cinq ont réussi leur examen. Les
résultats se sont répartis dans une fourchette allant de 56 % à 65 % de réponses
bonnes.
Malgré tout, même si on échoue à la certification, je conseille tout de même de la
passer. Pour ma part, je considère que cela m’a obligé à mieux m’impliquer pour
prendre possession du sujet ».
Grâce à son orientation client, son approche processus et son indépendance
technologique, ITIL apporte une démarche structurée et cohérente dans la mise en
œuvre des technologies de l’information. Il peut être appliqué en complément d’une
démarche ISO 9004. Il peut aussi servir de support à une démarche vers l’excellence
comme celle de l’EFQM ou aux États-Unis du Malcolm Baldrige National Quality
Award.
Par l’accent mis sur l’utilisation d’une terminologie clairement définie et d’un
langage commun à tous les modules, l’appropriation de l’ensemble du référentiel est
facilitée non seulement pour les personnes se soumettant à la certification, mais surtout
lors de son utilisation dans le cadre des relations entre un client et ses fournisseurs.
La synergie qui existe avec le référentiel PRINCE2, due en particulier à la
similitude d’approche dans l’organisation de la gestion du changement et de la gestion
de projet, permet de capitaliser sur des méthodes de management.
Toutefois, l’appropriation de ce dispositif en France est pénalisée par le fait que
la traduction française du référentiel est incomplète bien qu’il existe un lexique
des termes approuvé par les communautés françaises (Canada, France, Belgique,
Luxembourg).
À notre avis, une de ses principales faiblesses réside dans le fait que l’évaluation des
personnes est uniquement axée sur la connaissance du référentiel, sans tenir compte
de l’expérience.
Quant au référentiel, l’accent porté sur le quoi au détriment du comment peut
rendre le référentiel difficilement applicable sans aide complémentaire.
19
ITSEC
Le dispositif ITSEC permet à une entreprise d’obtenir une certification en matière

d’ingénierie de la sécurité des produits ou systèmes informatisés qu’elle développe. Il
est progressivement remplacé par le dispositif des Critères Communs, s’appuyant sur
le groupe de normes ISO 15408.
Figure 19.1 — Dispositif ITSEC

116 Chapitre 19. ITSEC
Présentation
Les ITSEC (Information Technology Security Evaluation Criteria) sont les critères
d’évaluation de la sécurité des systèmes d’information. Ils ont été décrits en 1991,
dans le cadre de la Communauté européenne (France, Royaume-Uni, Allemagne,
Pays-Bas), afin de servir de base à l’évaluation du niveau de sécurité d’un produit ou
système du domaine des technologies de l’information. Ils s’inspiraient d’une première
initiative américaine, les TCSEC (Trusted Computer Systems Evaluation Criteria) mieux
connus sous le nom d’Orange book du nom de la couleur orange de couverture de
l’ouvrage. Initiée par le Département de la défense des États-Unis en 1985, cette
norme américaine définit des règles de sécurité qui permettent de déterminer le degré
de protection d’un système d’exploitation avec sept niveaux croissants de sécurité. La
sécurité de l’information est définie dans ces normes de façon classique par ses trois
caractéristiques : confidentialité, intégrité et disponibilité.
Selon la terminologie que nous avons adoptée dans cet ouvrage, les ITSEC
contiennent le référentiel et le modèle d’évaluation. Les exigences formulées par
le référentiel portent à la fois sur le produit, son processus de développement et de
production, et les personnes qui mettent en œuvre ces processus.
Le produit (ou système à évaluer) est dénommé cible d’évaluation (TOE, Target
Of Evaluation). La TOE comprend un ensemble de fonctions de sécurité dédiées
complètement ou seulement partiellement à la sécurité.
L’évaluation porte sur deux aspects complémentaires, celui de la conformité des
fonctions de sécurité qui sont mises en œuvre et celui de leur efficacité. Pour mesurer
la conformité aux besoins exprimés, sept niveaux de sécurité sont prévus qui vont du
niveau E0, niveau auquel on ne peut accorder aucune confiance, au niveau E6 qui
correspond au degré de confiance le plus élevé. Pour mesurer l’efficacité, c’est-à-dire le
niveau de résistance aux attaques, trois degrés de confiance sont définis : élémentaire,
moyen, élevé.
Une des caractéristiques de ce modèle d’évaluation est son intégration dans le
processus de développement et d’exploitation du produit ou du système comme
présenté dans la figure 19.2. La cible de sécurité fait partie des spécifications du
produit : les objectifs de sécurité assignés au produit conditionnent les fonctions de
sécurité et le niveau d’évaluation nécessaire. Le ou les documents qui spécifient ces
caractéristiques, ainsi que le niveau d’évaluation à certifier, constituent la cible de
sécurité pour la TOE.
Les critères de conformité couvrent à la fois le processus de développement,
l’environnement de développement et le processus de production. Le niveau de
confiance le plus élevé (E6) n’est atteint que si les conditions suivantes sont réunies :
• des spécifications formelles des fonctions de sécurité et une description formelle
de l’architecture sont réalisées en phase de spécification des besoins ;
• une gestion de configuration stricte est bien mise en place dans les environne-
ments de développement et de production.
ITSEC 117
Figure 19.2 — Processus d’évaluation ITSEC
On notera que de ce fait les ITSEC incluent un cycle de développement en

quatre phases : spécification des besoins, conception générale, conception détaillée,
réalisation. De même, ils imposent un ensemble de pratiques incontournables à
aborder : gestion de configuration, programmation, documentation de production, etc.
Les aspects humains sont abordés sous le libellé sécurité des développeurs qui recouvre
des mesures physiques, organisationnelles, techniques et relatives au personnel. Cela
comprend la sécurité physique des locaux de développement ainsi que les procédures
de recrutement et d’habilitation du personnel. Le but de ces mesures est de protéger
le développement d’une attaque délibérée et de maintenir la confidentialité des
informations.
En ce sens, les ITSEC constituent un référentiel de bonnes pratiques concourant à
l’atteinte de la cible de sécurité fixée par l’entreprise.
L’évaluation repose sur un système de cotation qui mesure la confiance accordée à
une cible d’évaluation (TOE). La mesure est faite en référence à une cible de sécurité.
Un niveau d’évaluation est établi après l’évaluation de la conformité de réalisation
et la prise en considération de son efficacité dans le contexte de production réelle
ou simulée. Elle aboutit à une cotation confirmée de la robustesse minimale des
mécanismes de sécurité.
Le contrôle des exigences fonctionnelles de sécurité peut nécessiter l’exécution de
mesures à caractère technique, comme des mesures de bande passante pour vérifier
la disponibilité. La mise en place d’indicateurs particuliers n’est pas exigée de façon
générique.
118 Chapitre 19. ITSEC
Documentation
L’ensemble de la documentation des ITSEC est librement et gratuitement téléchar-
geable sur le site de la Direction centrale de la sécurité des systèmes d’information
(DCSSI). En plus du référentiel ITSEC – Critères d’évaluation de la sécurité des
systèmes informatiques et du guide d’évaluation ITSEM – Information Technology Security
Evaluation Manual, il existe un document de 1998, ITSEC Joint Interpretation Library,
en anglais uniquement, fournissant une interprétation commune des critères, à ne pas
confondre avec les Critères Communs, par les quatre pays à l’origine de leur création :
France, Allemagne, Pays-Bas et Royaume-Uni.
Ces documents sont en diffusion libre sur le site de la DCSSI.
Mise en œuvre
Les produits ou systèmes concernés sont variés : cartes à microprocesseur, pare-feu,
lecteurs de cartes, produits de téléphonie numérique, systèmes d’exploitation, base de
données, contrôle d’accès ou toute autre application spécifique.
Les ITSEC sont progressivement remplacés par les Critères Communs qui s’ap-
puient sur la norme ISO 15408 : il n’y aura donc pas de nouvelle version.
En France, les laboratoires d’évaluation, communément appelés Centre d’évalua-
tion de la sécurité des technologies de l’information (CESTI), sont accrédités par le
Comité français d’accréditation (COFRAC). Les certificats sont émis par la DCSSI
sur la base des évaluations réalisées par les CESTI.
Les évaluateurs ont à leur disposition depuis 1993 un manuel d’évaluation (ITSEM
– Information Technology Security Evaluation Manual) qui définit et précise les quatre
principes d’une évaluation : répétabilité, reproductibilité, impartialité et objectivité.
Le processus d’évaluation y est détaillé ainsi que les techniques et outils utilisés. Ce
guide peut également être utile aux fournisseurs et utilisateurs.
Le certificat et reconnu dans les pays suivants : Allemagne, Royaume-Uni, Espagne,
Italie, Suisse, Pays-Bas, Finlande, Norvège, Suède et Portugal.
Un responsable de développement d’une entreprise produisant des logiciels de sécurité
déclare :
« L’échange régulier d’informations entre les équipes de développement et d’évalua-
tion favorise la détection des vulnérabilités dès les phases amont du processus de
développement ».
Les points forts des ITSEC sont liés aux avantages associés à une certification et à
la nécessité de mettre en place un processus structuré de développement du logiciel.
Ils préfiguraient ceux des Critères Communs avec une reconnaissance internationale
moins large, limitée au niveau européen.
En revanche, ce dispositif ne différencie pas les exigences de sécurité suivant le
type de produit à évaluer et de ce fait il disparaîtra au profit des Critères Communs
qui sont plus complets.
ITSEC 119
Comme les Critères Communs, les ITSEC ne sont pas applicables à des produits
existants, mais ils doivent être mis en œuvre dès la phase de spécification des besoins.
Ceci a pour effet de limiter l’application de ce dispositif aux produits pour lesquels
l’exigence d’évaluation est formulée dans le cahier des charges.
Parmi les faiblesses de ce dispositif, il faut bien noter que ce type de certification
ne donne pas l’assurance que le niveau de sécurité choisi est bien adapté au niveau de
risque ; il garantit uniquement que le niveau choisi est atteint. Il s’agit donc plutôt
d’un dispositif d’assurance qualité adapté à la sécurité que d’une véritable assurance
sécurité.
20
MSP
Le dispositif MSP permet à une personne physique d’obtenir une certification en

matière de management de programme.
Figure 20.1 — Dispositif MSP
Présentation
MSP (Managing Successful Programmes, Réussir le management de programmes) est un
référentiel fondé sur des modèles de processus et un ensemble de principes liés à une
direction de programme.
122 Chapitre 20. MSP
La méthode de management de programmes MSP se focalise sur l’organisation, la

gestion et le contrôle de programmes. MSP définit la gestion de programme comme
l’action de coordonner l’organisation, la direction et l’exécution d’un portefeuille
de projets et des activités transformationnelles (c’est-à-dire le programme) pour
atteindre les gains attendus et réaliser certains objectifs d’importance stratégique pour
l’entreprise.
L’Office of Government Commerce (Bureau de commerce gouvernemental en
Grande-Bretagne), également propriétaire des méthodologies PRINCE2 et ITIL, a
développé un guide de meilleures pratiques (Best Practices) sur le MSP, publié par TSO
(The Stationery Office).
La première édition du guide MSP, en 1999, a employé le matériel développé par
Calyx Consulting Limited avec l’aide et le support fournis par Programme Consulting
Limited. Suite aux succès de la première édition et de la deuxième édition en 2003,
MSP est utilisé et adopté par de nombreuses organisations, aussi bien dans le secteur
public que dans le privé. Les diverses expériences de ceux qui ont adopté la gestion de
programme ont contribué à un enrichissement inestimable de la dernière édition du
guide, parue en 2007.
Aujourd’hui, MSP rassemble les meilleures pratiques établies et prouvées dans
la gestion de programme et fournit un langage commun à tous les participants au
programme et aux activités des membres des projets qui lui sont liés.
Le guide comprend un ensemble de principes et de processus qui indiquent
comment gérer un programme. Il fournit ainsi un cadre commun de compréhension
pour tous les programmes. Sa flexibilité lui permet de répondre aux besoins spécifiques
d’un programme ou d’une entreprise particulière. Plus précisément, il décrit et explique
les principes clés sous jacents, les neuf thèmes de gouvernance et les six processus du
flux transformationnel.
Le référentiel MSP est composé de trois concepts clés :
• Les flux transformationnel (Transformational Flow) – Ces flux définissent
la méthode d’une organisation pour gérer le programme. Ils permettent à
l’organisation de mettre correctement en place la direction à suivre, l’équipe, les
structures organisationnelles et les contrôles, offrant ainsi les meilleures chances
de réussite ;
• Les thèmes de gouvernance (Governance Themes) – Ces thèmes fournissent
l’itinéraire à travers le cycle de vie du programme, depuis sa conception jusqu’à
la livraison des nouvelles possibilités, des nouveaux résultats et bénéfices ;
• Les principes (Principles) – Ils sont issus des retours d’expérience positifs
et négatifs sur la gestion de programme. Ce sont les facteurs communs qui
soutiennent le succès de tout changement transformationnel.
Les flux transformationnels définissent le cycle de vie du Programme. La trans-

formation est achevée à travers une série d’étapes répétitives et interdépendantes
où chaque processus peut exiger plus d’une répétition avant que la prochaine ne
commence.
MSP 123
Les flux transformationnels (Transformational Flow) sont composés de six proces-

sus :
• identifier un programme (Identifying a Programme) ;
• définir un programme (Defining a Programme) ;
• gérer les tranches (Managing the Tranches) ;
• fournir l’aptitude (Delivering the Capability) ;
• concrétiser les résultats (Realising the Benefits) ;
• clore un programme (Closing a Programme).
L’événement déclencheur de l’étape initiale « Identifier un programme » est

un mandat de programme qui précise les objectifs stratégiques de haut niveau du
programme. À partir du mandat de programme, les objectifs sont développés au
sein d’un exposé du programme (Project Brief). Le groupe de parrainage (sponsor)
et le propriétaire responsable principal doivent valider formellement l’exposé du
programme avant de pouvoir passer à l’étape suivante.
MSP définit les rôles et responsabilités de tous ceux qui doivent diriger le
programme. La conduite efficace d’un programme est réalisée grâce à d’efficaces prises
de décision et une structure managériale flexible. Les rôles clefs sont :
• le groupe de parrainage (Sponsoring Group), dont le rôle peut être tenu par
un comité de direction existant au sein de l’entreprise. Il est responsable des
investissements, du bon alignement entre les objectifs du programme et de
l’entreprise ;
• le propriétaire responsable principal (Senior Responsible Owner) qui a toute
autorité sur le programme et est nommé par le groupe de parrainage ;
• le chef de programme (Programme Manager) ;
• les responsables du changement (Business Change Managers) ;
• le bureau de programme (Programme Office).
Les projets et les activités sont regroupés dans des tranches. Chaque tranche
constitue une étape de changement des capacités, à l’issue de laquelle les résultats
de rentabilité peuvent être évalués. Les activités des processus « Fournir l’aptitude »
et « Concrétiser les Résultats » sont répétées pour chaque tranche. La fin de chaque
tranche fournit un point de contrôle important à partir duquel le programme peut être
évalué en termes de progrès réalisés en comparant les résultats attendus et les résultats
effectivement obtenus. Durant tout le programme, les points de contrôle fournissent
un état des lieux du programme et permettent de répondre à des questions cruciales
telles que « Sommes-nous toujours sur le bon chemin ? », « L’analyse de rentabilité
(justification économique du Programme) est-elle encore valide et appropriée ? ».
Documentation
La documentation est en anglais, elle inclut le guide Managing Successful Programmes
2007 Edition et quelques autres ouvrages dont For Successful Programme Management :
Think MSP et MSP Implementation Pack. Le Guide MSP existe également en version
124 Chapitre 20. MSP
de poche et sous forme de CD-ROM. Le glossaire est disponible en hollandais et en

mandarin.
MSP appartient au domaine public. La documentation est payante et disponible
auprès de l’OGC qui en assure la diffusion.
De plus, des informations sur la méthodologie et la certification sont disponibles
sur le site officiel de l’APMG (Association for Project Management Group).
Mise en œuvre
MSP est maintenant largement reconnue en Grande-Bretagne et se propage sur le
plan international notamment en Australie et en Europe du Nord.
En 2007, il y avait plus de 50 organismes de formation accrédités MSP par l’APMG
répartis essentiellement au Royaume-Uni, mais aussi six en Australie, cinq aux Pays-
Bas, un en France, en Pologne et en Afrique du Sud.
La formation et l’évaluation sont structurées selon trois niveaux d’évaluation : le
certificat Foundation, le certificat Practitioner et le certificat Practitioner Advanced. Les
examens sont disponibles en anglais et néerlandais.
Le certificat de niveau Foundation concerne tout collaborateur intervenant sur des
programmes. Il certifie que le candidat a une connaissance de base de MSP. Aucune
condition préalable n’est exigée. Il se compose d’un QCM de 50 questions, qui doit
être rempli en 40 minutes. Pour réussir cet examen, Il faut répondre correctement à
un minimum de 30 questions sur 50.
Le certificat de niveau Practitioner teste la compréhension de tous les concepts de
base de MSP. La condition préalable est l’obtention d’un score minimum de 60 % à
l’examen Foundation. Le niveau Practitioner est obtenu via un QCM à livre ouvert. Il
consiste en neuf questions et dure 150 minutes. Pour réussir cet examen, Il faut un
minimum de 50 %, soit 90 sur 180 points. La durée de validité du certificat est de trois
ans au-delà desquels le candidat doit repasser un examen de réenregistrement.
La condition préalable est l’obtention de l’examen Practitioner. Le niveau Prac-
titioner Advanced est une étude de cas complète à livre ouvert, qui comprend trois
questions et dure 150 minutes. Pour réussir cet examen, Il faut un minimum de 38
sur 75 points. La durée de validité du certificat est de cinq ans, au-delà desquels le
candidat doit repasser un examen de réenregistrement.
Plusieurs organismes interviennent dans ce dispositif :
• l’APMG qui gère les programmes de certification et assure l’accréditation des
organismes de formation, les ATO (Accredited Training Organizations) ;
• l’OGC qui assure la maintenance du dispositif et tient un rôle important en
développant et en favorisant la participation du secteur privé à travers le secteur
public ;
• les organismes de formation accrédités (Accredited Training Organisation) qui
assurent la formation et la certification des personnes. La liste est disponible sur
le site de l’APMG.
MSP 125
À la fin de l’année 2007, on comptait plus de 4 000 certifiés Foundation, plus de

3 000 Practitioner et plus de 2 500 Practitioner Advanced dans le monde.
Aujourd’hui, en France, il existe peu de retour d’expériences dans la mesure où les
premières certifications ont été effectuées courant 2008. Mais gageons que ce dispositif
aura le même succès que dans les autres pays. Signe encourageant ? L’École supérieure
de commerce de Lille (ESC Lille) a créé un master sur le management de programme
incluant la certification MSP.
21
PCIE
Le dispositif PCIE permet à une personne physique d’obtenir une certification en

matière d’utilisation d’un poste de travail informatique.
Figure 21.1 — Dispositif PCIE
Présentation
Le Passeport de compétences informatique européen (PCIE) a été créé en 1997 par le
Conseil européen des associations de professionnels des technologies de l’information
(CEPIS) à partir du constat de grandes disparités de compétences en bureautique
parmi les salariés d’entreprise.
128 Chapitre 21. PCIE
Il certifie toute personne souhaitant valider ses aptitudes à créer, organiser et

communiquer des documents et des informations, démontrant ainsi ses compétences
de base dans l’utilisation quotidienne d’un poste de travail.
Au plan international, le PCIE est administré par la fondation ECDL (ECDL-F,
European Computer Driving Licence Foundation). Son rôle est de définir les processus
d’habilitation des licences et d’assurer l’administration générale du PCIE dans le
monde. Son conseil d’administration est composé de membres du CEPIS et d’opéra-
teurs nationaux. Chaque membre est chargé de promouvoir le PCIE dans son pays
d’origine. De nombreux groupes de travail, associant les personnels des opérateurs
PCIE et un ensemble d’experts indépendants travaillent de façon continue sur tous
les aspects liés au dispositif : référentiel, tests et questions, systèmes automatisés de
test, normes pour l’habilitation des centres, producteurs de contenus de formation,
standards et qualité, nouveaux programmes, partenariat, liaison avec la Commission
européenne, etc.
Euro-Aptitudes est l’opérateur français du PCIE. Ce dernier assure toutes les tâches
de mise en œuvre.
Le PCIE est composé de sept modules correspondant aux domaines suivants :
• Module 1 qui fait un tour d’horizon des connaissances générales du candidat
dans divers domaines des Technologies de l’Information ;
• Modules 2 à 6 qui couvrent les applicatifs bureautiques les plus utilisés : interface
graphique et gestion des documents, traitement de textes, tableur, utilisation de
bases d’informations, présentation assistée par ordinateur ;
• Module 7 qui porte sur l’utilisation intelligente du courrier électronique et de
la navigation web.
Les tests du PCIE sont aujourd’hui disponibles dans les versions : Microsoft (97,
XP, 2000, 2003, 2007), Open Office, Mozilla et Lotus Notes.
Documentation
Le référentiel du PCIE appelé ECDL/ICDL Syllabus contient les éléments de connais-
sances nécessaires pour réussir les sept modules. La version 5 est disponible depuis
le 1er octobre 2008 en anglais auprès de la fondation ECDL, en français auprès
d’Euro-Aptitudes pour les centres de formation, écoles et entreprises habilitées.
Depuis le 1er juillet 2008, les cours en ligne PCIE-Skillsoft (e-learning), disponibles
en deux langues (français et anglais), sont homologués par rapport au syllabus officiel
du PCIE dont ils traitent en intégralité les modules 2 à 6.
Mise en œuvre
Le succès a été immédiat. Pour preuve :
• à la fin de l’année 1996, la fondation ECDL a été créée à Dublin avec le soutien
de la Commission européenne et du gouvernement irlandais ;
• à la fin de l’année 1996, les premiers tests de certification ont été organisés en
Suède et dans cinq autres pays dont la France ;
PCIE 129
• au 31 décembre 2003, la fondation ECDL disposait de 15 000 centres agréés à

travers le monde ce qui lui a permis de faire passer les tests PCIE à 3 582 000
candidats ;
• en dehors de l’Union européenne, le passeport a pris le nom d’ICDL (Internatio-
nal Computer Driving Licence).
Le 12 février 20091 , 9 millions de personnes ont été enregistrées dans le programme

de formation ECDL.
Au 20 mars 20092, l’ECDL/ICDL est présent dans 133 pays.
En France, le PCIE bénéficie du soutien du Ministère de l’industrie, de la délégation
interministérielle aux personnes handicapées (DIPH), du MEDEF, du CIGREF, de
l’ANPE, d’un certain nombre de Conseils régionaux, et enfin de celui des organismes
collecteurs des fonds de formation. Au 20 mars 20093 , il existe 343 des centres de
formation ouverts au public en France métropolitaine et 25 dans les DOM-TOM.
Ils se répartissent en : organismes de formation privés, chambres de commerce et
d’industrie, écoles de commerce, maisons familiales et rurales, associations nationales
pour la formation professionnelle des adultes et établissements pénitentiaires. On en
trouve également dans les collèges et lycées, en préparation d’un brevet de technicien
supérieur. Les entreprises, quelle que soit leur taille, utilisent également le PCIE avec
profit : Renault, Cofiroute, Banque de France, KPMG, la mairie de Cannes, TPM, le
groupe Les Mousquetaires en sont quelques exemples, avec des retours d’expérience
extrêmement positifs.
Tous les centres dispensant la certification PCIE sont soumis à une procédure
d’habilitation, selon les standards de la fondation ECDL, par laquelle ils doivent
justifier de leur qualité, de leur environnement pédagogique ou informatique et du
niveau des ressources humaines affectées. Cette habilitation est remise en cause chaque
année.
Tout candidat réussissant les tests d’un des modules voit son résultat enregistré
dans une carte d’aptitude PCIE. Cette carte est valable trois ans. L’intérêt majeur du
dispositif PCIE réside dans le fait qu’on peut repasser les tests en cas d’échec, afin
d’en faire un objectif de réussite sur la durée. La première session de tests constitue
une photographie des compétences à un instant donné. Elle peut être suivie d’une
formation ou bien d’une période d’amélioration personnelle ; les tests auxquels le
candidat a échoué peuvent être repassés sans frais supplémentaire, dans le but d’obtenir
la certification. On a donc un processus souple, sans contrainte et sans échec, très
différent de la notion de diplôme.
Il existe deux PCIE : le PCIE Start qui porte sur quatre modules au choix et le PCIE
complet pour lequel il faut réussir la totalité des sept modules. Le PCIE Start est idéal
pour les collaborateurs d’entreprises, alors que le PCIE complet est plutôt destiné à des
1. http://www.ecdl.org/publisher/index.jsp?1nID=93&nID=96&aID=1285
2. http://www.ecdl.org/countries/index.jsp
3. http://www.pcie.tm.fr/gen_listecentres_public.php
étudiants. Certaines grandes écoles de commerce (Nice, Dijon, ICN de Nancy entre
autres) rendent obligatoire l’obtention du PCIE pour le passage en année supérieure.
Les questions et les tests sont élaborés par le groupe spécialisé de la Fondation
ECDL qui compte plus de 300 experts tant en psychométrie qu’en technologies de
l’information. Les modèles définis doivent être appliqués par les producteurs de tests
ou par les opérateurs qui les implémentent (c’est le cas en France), sur la base du
référentiel ECDL. Les tests sont identiques et peuvent être passés dans plusieurs pays
différents, moyennant une traduction et une adaptation minimale autorisée par pays :
par exemple, le rôle de la Commission nationale de l’informatique et des libertés
(CNIL) en France n’est pas le même que celui d’organismes similaires dans d’autres
pays.
À noter que le PCIE peut être passé par une personne handicapée : l’examinateur
« adaptant » le passage du test aux conditions d’un examen qui suit les règles et
recommandations correspondant au handicap du candidat.
Des candidats et des entreprises apportent leur témoignage sur le site du PCIE.
Jean-René S ICLET – CCI du Jura déclare :
« En fait au départ j’étais assez sceptique. Je me suis dit : tiens encore un truc
dont je ne voyais pas l’utilité. Notre formateur nous a expliqué le bienfait de cette
certification, que ce serait un point positif sur notre CV, donc j’ai joué le jeu et j’ai
passé quatre épreuves du PCIE Start à savoir, connaissances de base, gestion de
documents, Word XP et Excel XP. Je me suis pris au jeu et oh surprise, je pensais
connaître tous ces logiciels alors que la réalité était toute autre. J’ai beaucoup appris
et les tests de préparation sur Internet (PREPA-PCIE) m’ont permis de voir ma
progression. L’évaluation en pourcentage sur chaque module est motivante et donne
envie de toujours se hisser plus haut. Du coup j’ai passé également, et avec succès,
les modules PowerPoint et Internet. Maintenant je ne " bidouille " plus ! Je maîtrise
et utilise la bonne façon de faire. Je suis donc plus rapide et plus efficace, et ce, sur
l’ensemble des programmes bureautiques. Le PCIE est vraiment une belle invention.
Quel superbe outil ! »
Claudine B ENOITON, responsable du service formation de l’Oréal dit :

« À l’Oréal le Centre de ressources est un Centre habilité PCIE (non ouvert au
public) destiné à tous les collaborateurs des entités de la région parisienne. Nous
avons connu le PCIE par l’intermédiaire de plusieurs sociétés et par un benchmark
avec la Société Renault. Le système d’autoformation bureautique que nous utilisons
permet aux collaborateurs de se former et ensuite de passer le PCIE. La motivation
des collaborateurs est liée à des objectifs de compétence. Il apporte une valeur ajoutée
sur le CV et c’est une reconnaissance de compétences par un certificat international.
L’appréhension de l’examen est vite dissipée par un test logique, intuitif et d’un
niveau « utilisateur », « non expert » ce qui rend les collaborateurs responsables de
leur développement personnel. Le PCIE assure le retour sur investissement de la
formation bureautique et augmente la productivité et la satisfaction des utilisateurs ».
PCIE 131
Bruno D EMAREST, directeur des ressources humaines du Palais des festivals de

Cannes témoigne :
« Pour l’employeur, un tel outil permet réellement de cibler les besoins en bureautique
et ainsi d’optimiser le budget de formation ».
Selon une étude de Cap Gemini Ernst & Young Norvège menée en septembre 2001
sur Le coût de l’ignorance dans la société de l’information, l’ECDL couvrirait presque 80 %
des domaines d’aptitudes dans lesquels les personnes perdent le plus de temps. Cette
étude réalisée auprès de 800 personnes travaillant tous les jours sur PC a montré que
celles-ci perdaient près de 3 heures par semaine, en moyenne, pour résoudre leurs
problèmes ou aider les autres à les résoudre ! Chaque utilisateur s’est en effet formé de
manière différente, en apprenant souvent sur le tas. La perte financière de l’entreprise
était évaluée à 56 500 euros par an et par salarié.
Une étude faite en Italie sur le coût de l’ignorance dans la société de l’information
conclu que le retour sur investissement minimal par personne est de 4 740 euros sur
3 ans, soit près de 1 600 euros par an et par personne. Pour une très petite entreprise
de 6 personnes ayant 3 personnes utilisant intensivement l’ordinateur pour les tâches
quotidiennes, cela donne 4 800 euros par an de gagné ; pour une PME ayant 100
postes de travail informatiques, cela représente un gain de 160 000 euros par an ; et
pour une entreprise de 2000 utilisateurs, on arrive à 3,2 millions d’euros.
De nombreuses études, dont une compilation est disponible sur le site du PCIE,
ont montré que le dispositif PCIE faisait gagner 20 % de productivité. Une multitude
de producteurs de formation en ligne ont demandé leur label de conformité avec le
référentiel PCIE. Cette synergie est à l’origine d’opérations spectaculaires comme
les 500 000 collaborateurs du ministère anglais de la Santé inscrits au PCIE via une
formation en ligne (350 000 candidats à la fin de l’année 2005).
Sur le plan international, le PCIE est soutenu massivement par des dizaines de
gouvernements ou de ministères : il est ainsi le test officiel de l’éducation nationale
en Italie, en Autriche, en Pologne, en Lituanie et dans bien d’autres pays.
Ce n’est pas le cas en France où le Ministère chargé de l’éducation a créé le
Brevet informatique et interne, appelé B2I novembre 2000 et le Ministère chargé
de l’enseignement supérieur le Certificat informatique et internet, appelé C2I, en
mai 2002.
Le B2I est une attestation délivrée aux élèves des écoles élémentaires, des collèges
et des lycées pour sanctionner leur capacité à utiliser les outils informatiques et
Internet. Le niveau collège a été intégré en 2008 de manière obligatoire pour
l’obtention du Brevet des collèges. Le niveau lycée doit devenir obligatoire pour
l’obtention du baccalauréat dès la session de 2010.
Le C2I est un certificat attestant de compétences dans la maîtrise des outils
informatiques et réseaux. Il est institué dans le but de développer, de renforcer et
de valider la maîtrise des technologies de l’information et de la communication par
les étudiants en formation dans les établissements d’enseignement supérieur.
Il existe deux niveaux :

• un premier niveau d’exigences applicable à tous les étudiants et les stagiaires de
formation continue. Il doit être acquis au plus tard au niveau de la licence mais
de préférence dès le début des études supérieures.
• un second niveau faisant l’objet d’exigences plus élevées en fonction des orien-
tations professionnelles des formations dispensées (à travers les enseignements
de préprofessionnalisation et les filières). Ce second niveau doit être acquis
au niveau du master 2 et comprend les spécialisations suivantes : enseignant,
métiers du droit, métiers de la santé, métiers de l’ingénieur et le dernier pour
les métiers de l’environnement et de l’aménagement durables est en cours
d’élaboration.
En conclusion, le PCIE est généraliste et s’adresse en France essentiellement au

monde de l’entreprise. L’effort important fait au niveau de l’enseignement primaire,
secondaire et supérieur pour améliorer l’éducation de base rendrait à terme le PCIE
inutile en France.
22
PMBOK
Le dispositif PMBOK permet à une personne physique d’obtenir une certification en

matière de management de projet.
Figure 22.1 — Dispositif PMBOK
Présentation
Le PMI (Project Management Institute) est un institut américain à but non lucratif
créé en 1969 pour faire progresser l’état de l’art en matière de management de projet.
Le PMBOK (Project Management Body of Knowledge) a été approuvé aux États-Unis
134 Chapitre 22. PMBOK
par l’organisme américain de normalisation, l’ANSI (American National Standards

Institute). Le PMI s’est engagé à l’améliorer et à le développer.
Le PMI propose des séminaires, des programmes de formation et une certification
professionnelle intitulée PMP (Project Management Professional). Le programme de
certification permet d’attester les connaissances en management de projets. L’entité
du PMI responsable du programme de certification PMP a été certifiée ISO 9001.
Le PMBOK définit le management de projet comme la mise en œuvre de
connaissances, de compétences, d’outils et de techniques dans une large gamme
d’activités nécessaires au déroulement de tout projet.
L’originalité du PMBOK est de décrire la mission du chef de projet selon une
approche orientée processus et domaines de connaissances.
Les domaines de connaissances sont au nombre de neuf et incluent l’ensemble
des processus sur lesquels repose le management de projet. Il s’agit de l’intégration du
projet, de son contenu, des délais, des coûts, de la qualité, des ressources humaines, de
la communication, des risques et de l’approvisionnement.
Les groupes de processus définissent une structure de base pour la compréhension
du management de projet : ce sont le démarrage, la planification, la réalisation, la
maîtrise et la clôture.
Le référentiel aborde aussi bien des aspects techniques (Gantt, méthodes d’esti-
mation, métriques...) que des connaissances générales comme la communication, le
management ou la qualité. À ce titre il déborde du cadre strict de la structure de projet
et s’intéresse au « bon comportement » attendu du chef de projet...
Des métriques sont définies dans le cadre du Rapport d’avancement traité dans le
domaine de connaissances Communication du projet. Les mesures reposent sur trois
types d’analyses :
• l’analyse des écarts qui exprime le rapport entre le prévu et le réalisé ;
• l’analyse de tendances qui permet d’anticiper sur une éventuelle détérioration
future ;
• l’analyse de la valeur acquise qui repose sur des indicateurs précis définis dans le
référentiel.
Documentation
L’édition 2004 du PMBOK a été traduite en français et publiée par l’Afnor sous le titre
Management de projet – Un référentiel de connaissances ; ce document est disponible
auprès d’Afnor et du PMI-France.
Le PMBOK guide 4e édition a été publié fin décembre 2008.
Des logiciels d’enseignement assisté à distance permettent de se familiariser avec
les notions du PMBOK et de se préparer à l’examen.
PMBOK 135
Mise en œuvre
Le PMBOK est très utilisé aux États-Unis, aussi bien dans l’administration que dans
le secteur privé ; il est largement diffusé dans le reste du monde. Il a servi de base à la
rédaction de la norme ISO 10006 sur le management de projet.
Le PMI s’est engagé dans une politique de partenariat international avec trois
types de partenaires : les entreprises, les associations et les organismes de formation.
Une telle politique a notamment permis d’établir, non pas des équivalences, mais
la reconnaissance de points PDU (Professional Development Unit, l’unité de valeur
de développement professionnel) obtenus auprès d’autres organismes comme l’IPMA
(International Project Management Association) pour la Certification en gestion de projet
ou l’APMG (Association for Project Management Group) pour la certification PRINCE2.
De plus, l’ouverture de chapitres dans 68 pays permet d’étendre sa notoriété, par
exemple en France avec le PMI France.
Le dispositif PMP a été mis en place pour évaluer les connaissances des profes-
sionnels en management de projet. Les critères de sélection sont relativement stricts.
Selon la catégorie définie par rapport au niveau d’études, tout candidat doit satisfaire
aux exigences de formation initiale et d’expérience suivantes :
• avoir une expérience minimale de 4 500 ou 7 500 heures en management de
projet pour les cinq groupes de processus ;
• avoir de trois à cinq ans d’expériences durant les six ou huit dernières années
précédant sa candidature ;
• avoir au moins de 36 à 60 mois (sans chevauchement) d’expérience en manage-
ment de projet ;
• justifier de 35 heures de formation en management de projet.
Deux dispositifs complémentaires sont en usage depuis 2005 et 2007, le CAPM

(Certified Associate in Project Management) et le PGMP (Program Management Profes-
sional).
Le CAPM sanctionne les connaissances des assistants en management de projet,
ce niveau se situant à un niveau inférieur à celui du PMP. Les critères de sélection
reposent sur :
• une expérience minimale de 1 500 heures en management de projet ;
• la justification de 23 heures de formation en management de projet.
Le PGMP se situe sur un autre plan. Il sanctionne une compétence et la démonstra-

tion d’une expérience relatives à la gestion des programmes et portefeuilles de projets.
Les règles d’éligibilité sont fonction du niveau d’étude. Tout candidat doit avoir une
expérience minimale de :
• 4 ans en management de projet ;
• 4 ou 7 ans (selon le niveau d’études) en management de programme.
136 Chapitre 22. PMBOK
La réussite du PGMP repose sur une séquence de trois évaluations successives :

• le « Panel Review », évaluation initiale faite par une commission de program
managers confirmés ;
• l’examen proprement dit ; QCM de 170 questions à traiter en quatre heures ;
• le contrôle MRA (Multi Rater Assessment) qui repose sur une démarche d’éva-
luation de 360 degrés.
Lorsqu’ils sont certifiés, les professionnels PMP ou PGMP doivent obtenir au

moins 60 points de PDU tous les trois ans pour maintenir leur certification. Ces
points PDU peuvent être obtenus soit par des formations supplémentaires données
par le PMI ou par des organismes agréés, soit également par justification d’une
expérience professionnelle incluant des publications. Le détail du mode d’obtention
et les modalités de candidature sont présentés sur le site du PMI.
Le PMI gère les programmes de certification, assure l’accréditation des organismes
de formation, améliore le dispositif et assure sa promotion par différentes conférences
et publications.
Aujourd’hui, le PMI fait état de plus de 200 000 membres répartis dans 125 pays.
L’examen se passe en anglais sur un support électronique. On peut ainsi avoir accès
à une traduction en français en un clic de souris ; toutefois la qualité de la traduction
laisse à désirer, c’est souvent du mot à mot. Il s’agit d’un QCM qui a essentiellement
pour objet de vérifier des connaissances sur des aspects conceptuels et théoriques et
moins sur des aspects pratiques. Toutefois, le QCM inclut environ 25 questions parmi
les 200 qui mettent le candidat en situation : un projet y est décrit et il est demandé
au candidat quelle est l’action suivante à exécuter.
Depuis 2008 deux dispositifs supplémentaires ont été livrés aux États-Unis, le
PMI-RMP (PMI Risk Management Professional) sur la gestion des risques et le PMI-SP
(PMI Scheduling Professional) sur les techniques de planification, mais ne sont pas à ce
jour référencés par le PMI France.
Un chef de projet d’une importante société de service en informatique témoigne :
« Le PMBOK sous-tend une organisation, un vocabulaire et des concepts qui lui
sont propres. Il faut commencer par se les approprier pour pouvoir bénéficier de ses
pratiques et se préparer à l’examen. Mon entreprise n’utilise pas le PMBOK. J’ai
donc besoin de m’adapter, c’est-à-dire de traduire mon référentiel quotidien dans celui
du PMBOK pour le comprendre et me préparer à l’examen.
Honnêtement, je dois vous dire que j’ai préparé l’examen du PMP car cela fait partie
de la politique de ma société de certifier ses chefs de projet alors que notre méthodologie
est différente. J’ai donc fait du bachotage et j’ai obtenu le certificat. Un des bénéfices
que j’ai retiré de cet examen, c’est l’appartenance à une communauté, le réseau des
chefs de projet PMP ».
PMBOK 137
Plus positif, Thierry C HAMFRAULT d’itSMF France explique :

« Le PMI a une double finalité.
La première qui est bien évidemment la plus probante, concerne la gestion de projet.
Cette méthode apporte une structuration et des outils qui de prime abord sont simples
d’accès. Cependant, avec la même logique structurée, il est possible d’aller très loin
dans le détail.
La seconde est l’appartenance à une communauté d’acteurs universellement reconnue,
ce qui en fait sa valeur intrinsèque donc un bon moyen de communiquer sur le fond.
Cette valorisation peut d’ailleurs être complétée par une certification si l’acteur le
souhaite.
Cette méthode globalement m’a permis de consolider et mieux structurer mes acquis,
tout en gardant la performance de l’opérateur que l’entreprise est en droit d’attendre ».
Un chef de projet d’une grande société de service en cours de certification PMP
nous fait part de son opinion sur les efforts du PMI pour prendre en compte les aspects
comportementaux dans le QCM :
« Les cas concrets semblent quand même un peu simplistes : ce n’est pas en quelques
dizaines de lignes que l’on peut décrire un cas concret suffisamment complexe ».
Le responsable de formation d’une société de service expose :
« Là où le PMI apporte le plus au métier de chef de projet, c’est dans la vision d’un
comportement à succès du chef de projet ; « Être leader de son équipe, anticiper les
conflits, communiquer de manière ciblée, optimiser le travail de l’équipe » sont des
compétences et connaissances indispensables pour mener à bien son projet.
Il est notoire que le chef de projet passe généralement 80 % de son temps sur des
actions de communication. C’est certainement là que se trouvent les plus grands
leviers d’amélioration pour la réussite des projets.
Selon le PMI, le chef de projet est à la fois un manager et un leader.
Par cette ouverture, le PMI nous permet d’avoir une vision élargie du métier de chef
de projet ».
Le cycle de vie du produit détermine le cycle de développement du projet du PMP :

le PMBOK fournit une série d’exemples notamment celui d’un projet pharmaceutique.
Les points forts du PMBOK résident dans la dimension internationale de ce
dispositif et la complétude des domaines de connaissances.
En revanche, on a souvent reproché au système d’évaluer davantage le savoir que
le savoir-faire. Aujourd’hui, on peut constater que le PMI cherche à remédier à cette
faiblesse, mais à notre avis, de façon encore très superficielle.
23
PRINCE2
Le dispositif PRINCE2 permet à une personne physique d’obtenir une certification en

matière de management de projet.
Figure 23.1 — Dispositif PRINCE2
Présentation
PRINCE (PRojects IN Controlled Environments, Projets en environnements contrôlés)
est un référentiel fondé sur des modèles de processus liés à une direction de projet.
140 Chapitre 23. PRINCE2
Il est issu de PROMPT, référentiel de management de projet créé en 1975

par Simpact Systems ltd. PROMPT a été adopté en 1979 comme standard par
l’OGC (Office of Government Commerce) pour être utilisé dans tous les projets
informatiques du gouvernement britannique. En 1989 à son lancement, PRINCE
remplaça effectivement PROMPT dans les projets gouvernementaux britanniques.
Depuis, le référentiel a évolué : il est devenu PRINCE2 en 1996. Des révisions ont
ensuite eu lieu en 1998, en 2000 et en 2005. Depuis la première révision, le nom
PRINCE2 a été conservé et les mises à jour sont identifiées par l’année de la révision.
Le référentiel n’a pas actuellement de révision planifiée.
Le manuel PRINCE2 Managing Successful Projects with PRINCE2 est un guide indé-
pendant des bonnes pratiques en management de projet. Il est d’ailleurs recommandé
par l’ITIL, bien que le PMP (Project Management Professional) puisse lui être préféré
par certains utilisateurs.
PRINCE2 est une approche du management de projet, à base de processus,
fournissant une méthode facilement personnalisable et adaptable à tous types de
projets. La structure PRINCE2 repose sur les notions de rôles, composants, processus
et techniques.
Le référentiel PRINCE2 est composé des huit processus suivants :
• la direction de projet (DP) ;
• l’élaboration du projet (EP) ;
• l’initialisation du projet (IP) ;
• le contrôle des séquences (CS) ;
• la gestion des limites de séquences (LS) ;
• la gestion des livraisons des produits (LP) ;
• la clôture du projet (CP) ;
• la planification (PL).
Chaque processus est défini par ses entrées et sorties, par des objectifs pour les
produits à créer et aussi par des tâches à accomplir.
Le processus direction de projet définit deux niveaux de management de projet avec
des rôles clairement définis : le comité de pilotage du projet (où siège le client) et un
chef de projet.
Le comité de pilotage est une équipe de direction animée par un cadre dirigeant
de haut niveau, par exemple un directeur opérationnel. Ce cadre dirigeant, l’exécutif,
est le véritable responsable : il a toute autorité sur le projet. Après avoir examiné
les résultats, le comité de pilotage est seul habilité à décider de la poursuite et de la
clôture du projet.
Le chef de projet est mandaté pour livrer les produits en respectant les objectifs et
les contraintes fixés par le comité de pilotage.
PRINCE2 se concentre sur la justification économique du projet. Celui-ci ne peut
être lancé que si les conclusions de l’étude de coûts sont acceptables. Cette justification
PRINCE2 141
est matérialisée par le cas d’affaire (business case). En fait, il se présente comme un
compte d’exploitation prévisionnel justifiant le projet d’un point de vue économique.
Pour une bonne mise en œuvre de la gestion de projet de PRINCE2 il convient
de comprendre et maîtriser les huit composants de la méthode. Ceux-ci décrivent les
bonnes pratiques et la philosophie générale de la méthode.
Le suivi du projet se fait en fonction d’une tolérance sur un certain nombre de
mesures. Les principales mesures concernent typiquement le suivi des coûts et des
délais, mais aussi la qualité, les risques, le périmètre et l’ensemble des bénéfices.
Une évolution majeure : PRINCE2 Refresh

PRINCE2 Refresh est issu d’un projet commandité par l’OGC pour faire évoluer
PRINCE2. Du fait que le référentiel n’avait pas évolué depuis dix ans, et que
de nouveaux modes de pensée faisaient jour en la matière, l’OGC, a lancé une
consultation publique internationale auprès de 160 organisations et individus tous
secteurs confondus. L’étude s’est déroulée de novembre 2006 à juin 2007. Chacun a
pu y faire remonter les points forts et points faibles du référentiel.
Il en est ressorti les orientations suivantes :
• le référentiel devrait adopter sept principes de gestion pour faire face aux causes
communes d’échec ;
• l’architecture du modèle évoluerait quelque peu en passant de huit à sept
processus ;
• les huit composants seraient remplacés par sept thèmes clés ;
• le manuel devrait être allégé (200 pages au plus) ;
• PRINCE2 s’alignerait avec les nouvelles mises à jour de M_o_R et MSP ;
• le référentiel devrait aussi mieux s’adapter à l’environnement en prenant en
compte le contexte organisationnel, du fait de la création d’un guide de maturité
(PRINCE2 Maturity Model – P2MM), et le contexte projet avec le portfolio
(Portfolio Programme and Project management Maturity Model – P3M3).
La version finale devrait être prête pour la fin du premier semestre 2009.
Documentation
La documentation inclut le manuel PRINCE2 Managing Successful Projects with
PRINCE2 et bien d’autres ouvrages. On la trouve en français. Elle existe sur papier et
en format électronique. Il existe également des possibilités d’enseignement assisté par
ordinateur : le Computer Based Training mais uniquement en anglais.
Un Guide de poche PRINCE2 est disponible dans plusieurs langues (français inclus).
Le manuel PRINCE2 a été traduit en 15 langues dont le français.
PRINCE2 est dans le domaine public. La documentation est payante et disponible
auprès de l’OGC qui en assure la diffusion.
De plus, sur le site de l’APMG (Association for Project Management Group), il est
possible de télécharger gratuitement des études de cas, un ensemble de modèles de
142 Chapitre 23. PRINCE2
documents ainsi qu’un glossaire de termes avec leur traduction en différentes langues
dont le français.
Mise en œuvre
PRINCE2 est un standard largement utilisé au Royaume-Uni aussi bien par l’Adminis-
tration que par le secteur privé. Il est également utilisé dans d’autres pays, par exemple
par les services administratifs d’Europe du Nord.
Des certificats PRINCE2 ont été délivrés à des candidats provenant de 50 pays. En
janvier 2006 il y avait plus de 80 organismes de formation PRINCE2 accrédités par
l’APMG répartis essentiellement au Royaume-Uni et aux Pays-Bas, mais aussi 10 en
Australie, 2 aux États-Unis, en Afrique du Sud, au Danemark, en Belgique, en France
à l’École Supérieure de Commerce de Lille et à ISTYA.
L’APMG est accréditée par l’UKAS (United Kingdom Accreditation Service).
Ce dispositif établit les bonnes pratiques en management de projet et garantit leur
application par la certification des chefs et directeurs de projet. La formation et l’éva-
luation sont structurées selon deux niveaux d’évaluation : le certificat Fondamental et
le certificat Praticien.
Le certificat de niveau Fondamental concerne tout collaborateur intervenant
sur des projets. Il certifie que le candidat a une connaissance de base de PRINCE2.
Aucune condition préalable n’est exigée. Pour réussir cet examen, il faut 50 % de
bonnes réponses, soit un minimum de 38 sur les 75 questions du QCM. L’examen se
passe à livre fermé.
Le certificat de niveau Praticien certifie que le candidat comprend le dispositif
PRINCE2 et qu’il est capable de l’appliquer à son projet. La durée de validité du
certificat est de cinq ans, au-delà desquels le candidat doit repasser un examen de
renouvellement. La condition préalable est l’obtention du certificat Fondamental.
C’est un examen écrit à choix multiples comportant neuf questions d’une valeur de
40 points chacune. Les candidats peuvent utiliser le manuel. Il faut 180 points sur 360
pour le réussir, soit 50 % de bonnes réponses.
Plusieurs organismes interviennent dans ce dispositif :
• l’APMG qui gère les programmes de certification et assure l’accréditation des
organismes de formation, les Accredited Training Organisations (ATO) ;
• l’OGC qui assure la maintenance du dispositif ;
• le PRINCE User Group (PUG) qui en fait la promotion.
Un ATO seul ne peut organiser une formation certifiante.

Le référentiel PRINCE2 s’est largement développé grâce à sa structure organisa-
tionnelle et à son approche fondée sur les processus et leurs composants d’une part, et
d’autre part sur une justification économique.
Les examens pour l’obtention des certificats Fondamental et Praticien peuvent se
dérouler entièrement en français.
PRINCE2 143
À la fin de l’année 2005, il y avait plus de 120 000 praticiens certifiés dans le
monde. On compte 150 000 manuels vendus par an, 750 examens par semaine.
En 1989, 80 % des candidats certifiés provenaient du secteur public. Aujourd’hui,
la tendance s’est totalement inversée, ce secteur ne représente plus que 20 %.
PRINCE2 est devenu un standard d’application obligatoire pour les administra-
tions des Pays-Bas et du Danemark. On note également une tendance à son utilisation
dans les projets européens.
En France, on s’aperçoit qu’il y a aujourd’hui une demande croissante de confé-
rences, de formation et d’examens. À la fin de l’année 2005, il y avait près de 200
personnes ayant obtenu le certificat de praticiens, soit dix fois plus qu’en 2003.
Un chef de projet d’une grande entreprise qui a mis en œuvre PRINCE2 témoigne :
« Cette certification me permet de donner confiance à mon responsable, à la fois
en mes capacités et dans la méthode que je lui propose pour mener à bien mon
projet. De plus, la communication avec mon équipe est facilitée par l’utilisation d’une
méthodologie et d’une terminologie claires et non ambiguës auxquels les membres de
l’équipe sont habitués ».
Un directeur des systèmes d’information précise :
« Pour notre entreprise, la certification des chefs de projet permet de rassurer nos
maîtrises d’ouvrage ; de plus, nous prouvons notre compétence face à la concurrence
lorsque nous fournissons des services à des clients externes ».
Une des forces de ce dispositif réside dans la définition claire de l’organisation du
projet avec les rôles et responsabilités. De plus, la souplesse du dispositif lui permet
de s’adapter à des contextes variés. L’accent porté sur la justification économique du
projet fait aussi partie de ses atouts.
En revanche, on remarque que l’implantation est encore trop centrée sur l’Europe
du Nord. Contrairement à d’autres dispositifs comme ceux de l’Association franco-
phone de management de projet (AFITEP), le système d’évaluation s’intéresse plus
aux connaissances qu’aux compétences.
Notons que les différences culturelles ne sont pas bien prises en compte. Citons par
exemple, les concepts de maîtrise d’ouvrage et de maîtrise d’œuvre. Ces deux termes
sont définis dans le fascicule FD X50-108 – Terminologie dans les contrats d’ingénierie
industrielle. Ils sont souvent traduits en anglais respectivement par Prime Contractor et
Acquirer, mais ce ne sont que des équivalents puisque la réalité juridique est totalement
différente. On note également que la responsabilité importante attribuée au directeur
de projet français est sans équivalent dans le dispositif PRINCE2 qui place le chef de
projet sous contrôle d’un cadre dirigeant ayant pouvoir de décision, l’exécutif. Mais
peut-être ne s’agit-il que d’une différence de vocabulaire ?
24
Sarbanes-Oxley
Le dispositif Sarbanes-Oxley permet à une entreprise d’obtenir une attestation sur ses
dispositifs de contrôle interne pour assurer la sécurité des informations financières.
Figure 24.1 — Dispositif Sarbanes-Oxley
Présentation
Soyons clairs, se conformer à la loi Sarbanes-Oxley n’est pas un choix : il s’agit d’une
loi dont le respect est obligatoire pour les entreprises cotées aux États-Unis, quels que
soient leur nationalité et le lieu de leur siège social.
146 Chapitre 24. Sarbanes-Oxley
Officiellement intitulée la Public Company Accounting Reform and Investor Pro-

tection Act of 2002, le monde des affaires la désigne communément par le nom de
loi Sarbanes-Oxley. Cette loi a été votée en 2002 aux États-Unis, à l’instigation
du sénateur démocrate Paul Sarbanes du Maryland et d’un membre du Congrès
républicain Michael G. Oxley de l’Ohio, en réponse à divers scandales financiers,
dont le plus célèbre concerne l’affaire Enron. Le respect de cette loi conditionne tout
simplement l’introduction en Bourse et la certification des comptes des sociétés cotées
à la Bourse de New York auprès de la SEC (Securities and Exchanges Commission),
organisme de régulation des marchés financiers américains.
L’objectif de cette loi est le retour à la confiance des marchés financiers dans la
fiabilité des comptes des entreprises. De façon plus pragmatique, il s’agit de pouvoir
empêcher un président-directeur général ou un directeur financier d’affirmer qu’il
n’« était pas au courant » en cas de problème.
D’un point de vue financier, les clauses essentielles de la loi Sarbanes-Oxley sont
les suivantes :
• certification des rapports financiers par les dirigeants de l’entreprise et les
directeurs financiers dont la responsabilité civile et pénale se voit ainsi affirmée ;
• interdiction de faire des prêts personnels aux cadres supérieurs et aux directeurs ;
• signalement plus rapide de transactions qui seraient réalisées par des initiés ;
• publication des profits et rémunérations des présidents directeurs généraux et
directeurs financiers ;
• indépendance des auditeurs ;
• obligation pour les entreprises d’avoir une fonction de contrôle interne certifiée
par des auditeurs externes indépendants ;
• interdiction aux sociétés d’audit d’offrir des services à valeur ajoutée à leurs
clients.
La section 404 de la loi Sarbanes-Oxley impose aux sociétés de mettre en place des
procédures de contrôle interne adéquates sur le reporting financier dont l’efficacité sera
testée annuellement par le dirigeant de la société ainsi que par ses auditeurs externes.
Initialement applicable à partir du 15 juin 2005 pour les sociétés non américaines, son
application a été reportée au 15 juillet 2006. Pour rendre effective l’application de
la loi, une organisation spécifique, le PCAOB (Public Company Accounting Oversight
Board) a été créé, dont le rôle est la supervision de la profession d’auditeur. Ainsi
tout auditeur désirant effectuer un audit d’une société cotée aux États-Unis doit être
enregistré auprès du PCAOB.
Mais en quoi les systèmes d’information sont-ils concernés par cette loi ? La réponse
est une reconnaissance évidente du rôle joué par les systèmes d’information dans notre
monde moderne : les informations financières sont en majeure partie produites par
des systèmes automatisés, qu’il s’agisse de progiciels de gestion intégrée hautement
paramétrés ou d’applicatifs spécifiques traitant la facturation, la comptabilité et
l’ensemble des flux financiers de l’entreprise. De nombreux aspects du contrôle interne
dépendent du système d’information.
Sarbanes-Oxley 147
Mise en place d’un dispositif de contrôle interne

La mise en conformité de ces dispositions conduit à une revue en profondeur du
système de contrôle interne lié au reporting financier, et en particulier des systèmes
informatiques, ainsi qu’un effort d’exhaustivité sur la documentation des contrôles
effectués. Il importe de démontrer que la loi est respectée, que le business est maîtrisé
et que seules des données fiables sont fournies.
Une première étape pour l’entreprise consiste à choisir un référentiel de contrôle.
Sarbanes-Oxley ne fournit pas de directive en matière de système de contrôle interne ;
la SEC recommande toutefois sans l’exiger, l’utilisation du référentiel de contrôle
interne publié par le COSO (Committee of Sponsoring Organizations), un groupe
privé américain dont le but est d’améliorer la qualité du reporting financier à travers
l’éthique, des contrôles internes efficaces et la gouvernance d’entreprise.
La deuxième étape consiste à recenser les processus et les contrôles liés à chaque
poste des états financiers en s’assurant de leur documentation dans un manuel de
procédures.
Ensuite, il convient d’évaluer l’efficacité de ces contrôles en les testant sur le
terrain. Les types de tests sont spécifiques à chaque entreprise.
Cette troisième étape permet d’identifier les faiblesses du système de contrôle et
de décider de mesures correctrices, comme la suppression de contrôles redondants,
l’amélioration de certains contrôles ou l’ajout de contrôles manquants. La SEC ne
fournit pas de directive sur l’évaluation du contrôle interne par la direction, mais
précise qu’une simple description des contrôles ne suffit pas. L’efficacité doit être
testée et démontrée. Cela implique une évaluation des risques préalable à l’application
des standards et procédures. Une attention toute particulière doit être portée à la
séparation des fonctions entre les opérations d’autorisation, de contrôle, de stockage,
de comptabilisation et de paiement. Ce qui est évalué, c’est le risque financier porté
par les processus métiers afin de garantir la fiabilité des rapports financiers.
L’estimation de la charge de travail à allouer à ces travaux préparatifs dépend
de l’état initial de la documentation des contrôles internes et de leur efficacité, des
ressources humaines disponibles et de la complexité de l’entreprise.
Évaluation des systèmes informatiques

L’évaluation des systèmes informatiques liés au reporting financier fait partie intégrante
du processus d’évaluation des contrôles par la direction. En effet, les systèmes
informatiques fournissent des données alimentant le processus de décision de la
direction ainsi que le reporting financier. Les systèmes d’information se doivent d’être
fiables et intègres afin de fournir des données reflétant de manière correcte l’activité
de l’entreprise.
La direction de l’entreprise doit donc évaluer le risque lié à l’utilisation de
l’informatique et des contrôles réalisés par l’informatique :
• du point de vue organisationnel, en documentant l’environnement de contrôle
(structure de l’organisation informatique, niveau de compétence du personnel,
procédures, etc.) et en documentant le processus de management des risques liés
à l’informatique (procédures de continuité de service, plans de secours, niveau de

communication entre le département informatique et les autres départements,
sécurité physique des données, etc.) ;
• du point de vue interne du SI, au niveau des transactions et des applicatifs
informatiques, en documentant les flux de transactions financières automatiques,
les sources potentielles d’erreurs informatiques qui pourraient impacter les états
financiers ainsi que les contrôles réalisés par l’informatique.
La loi Sarbanes-Oxley spécifie des exigences d’évaluation pour les contrôles, sans
préciser le référentiel à utiliser pour ces contrôles. Pour définir le type d’indicateurs
à mettre en place, on devra donc se reporter à des référentiels de contrôle tels que
CobiT et celui du COSO.
Documentation
Le texte de la loi Sarbanes-Oxley en anglais est librement disponible auprès de la
Librairie du Congrès des États-Unis.
Les sociétés de conseil ont donné de nombreuses interprétations du texte. Une
simple recherche sur Internet fournit de nombreuses pistes.
Mise en œuvre
Nous l’avons vu, la loi Sarbanes-Oxley s’applique à certaines sociétés en fonction de
la structure de leur capital. Par effet de cascade, elle s’applique de plus indirectement
à leurs fournisseurs.
Les entreprises utilisant les services d’un prestataire externe doivent ajouter, pour
chacun des services externalisés, un rapport complémentaire détaillant les contrôles
réalisés, leur adéquation et leur efficacité. De façon symétrique, les prestataires de
services informatiques traitant des opérations financières pour le compte de clients
soumis à la loi Sarbanes-Oxley ont tout intérêt à préparer les preuves de la mise en
place de contrôles adaptés.
La loi Sarbanes-Oxley prévoit la mise en place d’un comité d’audit, à défaut les
compétences du comité d’audit sont assumées par le conseil d’administration. Afin
d’améliorer l’efficacité du contrôle interne, les modalités pratiques du déroulement des
audits ont été précisées par le PCAOB dans l’Auditing Standard 5 (AS 5), « An Audit
of Internal Control over Financial Reporting That Is Integrated with an Audit of Financial
Statements » (AS 5), approuvé par la SEC le 25 juillet 2007.
Le choix d’un référentiel de contrôle interne est nécessaire, par exemple CobiT en
complément du COSO pour les aspects spécifiques à l’informatique. En pratique, il
faudra qu’une société française veille également à la compatibilité avec la Loi de sécurité
financière (LSF). Ces choix et la mise en œuvre qui en découle nécessitent un haut
niveau d’expertise ce qui implique la plupart du temps de faire appel à des consultants
issus de cabinets de conseil spécialisés. Un des écueils pourrait être la création de
structures d’audit redondantes entre le contrôle interne et les audits qualité.
Le coût de mise en place du contrôle interne a amené le gouvernement américain
à étaler dans le temps la mise en place de la loi. La SEC a prolongé d’un an le délai
Sarbanes-Oxley 149
imparti aux émetteurs étrangers pour s’y conformer. Les entreprises cotées ont eu
jusqu’au 15 juillet 2006 pour adapter leur reporting financier aux exigences de la
section 404.
Il ressort d’une étude Ernst & Young, Emerging Trends in Internal Controls, Forth
Survey and Industry Insights, publiée en septembre 2005, que 70 % des sociétés
américaines, parmi les 100 plus importantes tous secteurs d’activité confondus, ont
passé plus de 10 000 heures pour la mise en conformité avec la section 404 et que 40 %
des sociétés reprises au Fortune 100 ont budgété plus de 100 000 heures. Selon une
étude réalisée par Zhang les coûts de conformité directs atteindraient 260 milliards de
dollars. Une autre étude, réalisée par Carney en 2005 sur de plus petites entreprises,
indique que l’observation de la loi Sarbanes-Oxley a accru de 149 % les coûts de
conformité totaux de ces entreprises.
Un auditeur explique :
« La loi Sarbanes-Oxley est sujette depuis son adoption à beaucoup de critiques, la
plus importante étant le coût jugé prohibitif de la mise en œuvre de la section 404.
Une autre critique, plus indirecte, est l’effet dissuasif sur les introductions en Bourse :
depuis 2002, après l’adoption de la loi Sarbanes-Oxley, le nombre de sociétés
étrangères introduites en bourse a diminué de moitié. L’impact a été particulièrement
notable sur les sociétés européennes qui préfèrent désormais d’autres places boursières
moins exigeantes : l’association française de gouvernement d’entreprise signalait par
exemple une seule société européenne cotée à la Bourse de New York au premier
semestre 2004.
Les difficultés de mise en œuvre débouchent toutefois sur de véritables améliorations
du niveau de contrôle : certaines problématiques informatiques fondamentales sont
soulevées comme la gestion de l’autorisation et des accès des utilisateurs aux systèmes
informatiques et aux applicatifs, la séparation réelle des tâches au sein du département
informatique ainsi que le niveau de documentation des contrôles informatiques et des
sources d’erreurs liées à l’utilisation de l’informatique.
La date du 15 juillet 2006 sera-t-elle définitive ? Doit-on s’attendre à d’autres reports
de date ? Nous ne savons pas actuellement répondre à ces questions. Aucune révision
de la loi ne semble pour l’instant prévue, malgré les difficultés rencontrées ».
Parmi les faiblesses relevées, outre le coût de sa mise en œuvre, on citera également
les problèmes réels d’application dans le contexte d’autres législations nationales : par
exemple le whistle blowing anglo-saxon (ou dénonciation éthique) peut se trouver en
contradiction en France avec les directives de la Loi informatique et libertés.
Selon la bonne gouvernance d’entreprise « l’entreprise est faite pour les seuls
actionnaires », les autres parties prenantes comme clients et employés n’étant plus que
des moyens pour maximiser leur profit. Un risque d’excès de gouvernance peut ainsi
apparaître lorsque le contrôle financier n’est pas équilibré par d’autres préoccupations
prenant en compte les intérêts du client et des autres acteurs de la société : ceci
pourrait expliquer l’émergence de la Responsabilité sociale de l’entreprise (RSE).
Le rapport de René R ICOL sur la crise financière, publié en septembre 2008,

dans le contexte de la Présidence française de l’Union européenne indique dans ses
conclusions que :
« Les problèmes rencontrés par les établissements bancaires lors de la crise des
subprimes montrent une sous-valorisation des fonctions qui concourent au contrôle
interne par rapport à celles des opérateurs de marché (front office). »
L’application de la loi Sarbanes-Oxley n’a pas réussi à préserver la confiance dans les
marchés financiers. On peut s’interroger sur la cause de cet échec : cette loi serait-elle
inadaptée ou seulement mal appliquée ?
25
SAS 70
Le dispositif SAS 70 fournit à une entreprise un diagnostic sous forme de rapport sur
le contrôle interne de ses services sous-traités.
Figure 25.1 — Dispositif SAS 70
Présentation
Le « Statement on Auditing Standards No. 70 (SAS 70) » est un dispositif d’audit
s’adressant aux fournisseurs de services. Lorsque ces derniers doivent présenter à leurs
clients des rapports confirmant l’existence de contrôles sur leurs processus de service, ils
152 Chapitre 25. SAS 70
font appel à ce type d’audit. SAS 70 a été développé en 1992 par l’AICPA (American
Institute of Certified Public Accountants), l’institut américain des experts-comptables.
Ce type d’audit dépasse largement le strict cadre financier en étendant son domaine
d’investigation au contrôle de l’ensemble des règles de gouvernance d’une entreprise,
en incluant l’informatique et les processus associés. Ce dispositif a pris un essor
nouveau à partir de 2002 avec l’application de la loi Sarbanes-Oxley. Il répond en effet
aux besoins d’entreprises qui ne seraient pas elles-mêmes soumises à la loi mais qui
devraient apporter des éléments de preuves à leurs clients en matière de mise en place
de contrôles sur des services sous-traités. Bien que SAS 70 couvre tout le domaine des
services sans restriction, les entreprises de service informatique, traitant des données
personnelles ou financières pour le compte de sociétés américaines ou cotées en Bourse
aux États-Unis, sont particulièrement concernées. Les rapports SAS 70 sont ainsi
exigés par les entreprises utilisatrices de prestations de service et leurs auditeurs.
Pour une entreprise de service, la production d’un rapport d’audit SAS 70 est un
moyen efficace pour donner des informations à ses clients sur les contrôles qu’elle a
mis en place. Deux types de rapport sont prévus par SAS 70 :
• un rapport de Type I qui décrit les contrôles mis en place par une entreprise de
service, à une certaine date ;
• un rapport de Type II qui inclut non seulement la description des contrôles
mis en place, mais encore des tests détaillés de ces contrôles sur une période
minimum de six mois.
Les processus couverts par les contrôles portent sur les activités de contrôle, les
processus d’évaluation de risques, la communication et le pilotage. Les contrôles
concernent entre autres le développement et la maintenance des applicatifs, la sécurité
logique, les contrôles d’accès, les traitements de données et la continuité de service.
Il appartient à chaque entreprise de définir ses objectifs de contrôle et de décrire
ses contrôles. De ce fait, SAS 70 ne propose pas de liste de contrôles standard. Les
objectifs de contrôles sont supposés spécifiques à chaque entreprise de service et à ses
clients. Toutefois, les entreprises font de plus en plus appel à des référentiels de contrôle
spécialisés tels que CobiT pour l’informatique. On citera également les principes et
critères SysTrust pour la sécurité des systèmes d’information et de façon plus spécifique
WebTrust en matière de sécurité des sites web ; tous deux sont disponibles auprès de
l’AICPA.
Comme pour les contrôles, le choix des mesures est de la responsabilité de l’entre-
prise. En pratique, les indicateurs clés choisis sont sélectionnés dans les référentiels de
contrôle usuels tels que CobiT.
Documentation
Le site commercial de l’AICPA propose un ensemble de documents, dont les princi-
paux sont :
• SAS No. 70 Auditing Guidance ;
SAS 70 153
• Service Organizations, Applying SAS No. 70, As Amended, un guide d’audit

complémentaire de l’AICPA qui fournit des recommandations en matière
d’investigation et de rapports.
Ces documents peuvent être commandés et achetés en ligne auprès de l’AICPA.
Mise en œuvre
L’utilisation de certificats SAS 70 doit sa notoriété actuelle à son utilisation dans le
cadre de la mise en œuvre de la loi Sarbanes-Oxley. Le nombre de rapports délivrés par
les commissaires aux comptes n’est pas connu, mais serait en constante augmentation
parmi les fournisseurs d’entreprises américaines.
Il faut en effet noter que l’utilisation de ce référentiel ne se fait en France et en
Europe que sous la pression des clients.
La production d’un rapport SAS 70 (tableau 25.1) n’est pas un examen de passage,
comme peut l’être une certification ISO 9001. Dans un rapport de Type I, l’auditeur
donne son opinion sur la description des contrôles qui lui sont présentés, sur leur
pertinence et sur l’adéquation de ces contrôles aux objectifs spécifiés. Dans un rapport
de Type II, l’auditeur donne en plus son opinion sur l’efficacité des contrôles qu’il a
pu tester pendant la période d’observation et le degré de confiance que l’on peut leur
accorder quant à l’atteinte des objectifs fixés.
Tableau 25.1 — Rapports SAS 70 de Types I et II
Contenu du rapport Type I Type II

Rapport d’un auditeur du service indépendant (opinion) Obligatoire Obligatoire
Description des contrôles de l’entreprise de service Obligatoire Obligatoire
Description des tests effectués par l’auditeur sur l’efficacité
Optionnel Obligatoire
des contrôles et résultats de ces tests
Autres informations fournies par l’entreprise de service
Optionnel Obligatoire
(par exemple glossaire)
L’opinion de l’auditeur peut prendre deux valeurs : inconditionnelle ou conditionnelle.

Une opinion conditionnelle traduit la déficience d’un ou plusieurs contrôles ; dans
ce cas l’entreprise cliente qui utilise le rapport pourra exiger la mise en place de
procédures complémentaires ou la correction des déficiences constatées avant la fin
de l’année fiscale. Une opinion inconditionnelle exprime le fait qu’une confiance
raisonnable peut être accordée aux contrôles mis en place par l’entreprise de service.
Le rapport SAS 70 n’a de valeur pour l’expert-comptable que s’il est suffisamment
récent : un rapport de plus de six mois à la date de clôture des comptes est réputé
sans intérêt. Cela implique que les rapports soient réalisés suivant un rythme annuel
cohérent avec celui de l’exercice fiscal du client. Un compromis est à trouver lorsque
les dates de clôture d’exercice des différentes entreprises clientes ne sont pas les mêmes.
154 Chapitre 25. SAS 70
Un rapport SAS 70 peut être réalisé par n’importe quel cabinet d’expert-comptable
disposant des compétences nécessaires. Il est donc important de vérifier les com-
pétences des auditeurs proposés par le cabinet, en s’assurant qu’ils disposent d’une
expérience suffisante en matière d’audit, voire de certifications comme le CISA
(Certified Information Security Auditor) délivré par l’ISACA (Information Systems Audit
and Control Association).
Un consultant d’un grand cabinet d’expertise comptable déclare :
« Sa mise en œuvre est lourde et ne s’adresse qu’à des entreprises dont le niveau de
maturité est déjà élevé en matière de maîtrise des risques et de sécurité informatique ».
Vu par les Big Four (PricewaterhouseCoopers, Deloitte, Ernst & Young, KPMG) et
autres réviseurs, SAS 70 fait fonction de dispositif de certification facilitant le travail
du commissaire aux comptes, en garantissant que la dynamique de contrôle est efficace
et qu’elle est permanente au sein de la société.
SAS 70 est un outil destiné aux experts comptables pour certifier les comptes.
L’objectif est de s’assurer que des contrôles efficaces sont mis en place afin de limiter
les risques financiers, risques de fraude et autres risques opérationnels pouvant avoir
un impact sur la fiabilité des résultats comptables. Il ne s’agit donc pas d’un outil de
management articulé autour d’une logique d’amélioration.
La force de ce dispositif réside dans sa complémentarité avec d’autres dispositifs
d’amélioration et dans le pont qu’il établit entre les référentiels techniques et les réfé-
rentiels financiers. En matière de sécurité, SAS-70 apparaît ainsi très proche de l’ISO
27001, ce qui peut réduire l’investissement d’une double certification. L’obtention
d’un rapport SAS 70, s’il s’appuie par ailleurs sur des pratiques suffisamment matures
en matière de qualité et sécurité, doit aboutir à une réduction notable du nombre
d’audits effectués par des clients.
Trois critiques principales lui sont toutefois adressées :
• Le fait qu’il ne s’agisse pas d’un référentiel prédéfini a pour conséquence que
la conformité est mesurée par rapport à des objectifs définis par l’entreprise, or
ceux-ci peuvent se révéler insuffisants ; par exemple lorsqu’une entreprise n’a
pas de politique sécurité l’objectif de contrôle de la sécurité ne sera pas examiné.
• La réalisation d’audits est effectuée par des experts comptables dont les compé-
tences en matière d’informatique et de sécurité ne sont pas toujours adaptées.
• Et enfin, le coût de l’obtention d’un rapport peut paraître prohibitif, entre
100 000 et 300 000 dollars et quelquefois beaucoup plus pour respecter l’obliga-
tion préalable de documenter les contrôles avec l’aide de consultants spécialisés.
26
Six Sigma
Le dispositif Six Sigma permet à une personne physique d’obtenir une certification
pour ses compétences en matière d’amélioration de processus.
Figure 26.1 — Certification des acteurs Six Sigma
Présentation
L’importance croissante des références au Six Sigma nous a incités à présenter le
dispositif dans le cadre de la qualification de personnes. Il s’agit d’une méthode qui vise
156 Chapitre 26. Six Sigma
essentiellement à l’optimisation de la performance (aptitude) des processus existants

et à la conception de nouveaux processus permettant de répondre aux besoins des
clients de manière fiable et prévisible.
La méthodologie Six Sigma a été conçue par Motorola dans les années 1980 puis
reprise et améliorée par General Electric dans les années 1990.
Il s’agit d’un dispositif fondé sur le concept de variation. La lettre grecque σ (sigma)
est l’écart type qui indique l’amplitude de la variation. Qu’un processus fournisse un
produit industriel ou un service, la mesure de la variation est l’indicateur de l’aptitude
d’un processus stratégique à satisfaire les spécifications critiques du client. Le Six Sigma
se fonde sur l’analyse statistique de l’aptitude d’un processus et sur l’identification par
l’analyse statistique des sources principales de variation.
Préconisée initialement par Motorola, la démarche consiste à réduire de façon
drastique la variabilité des processus de production de telle sorte que la proportion de
pièces ne répondant pas aux spécifications critiques du client décroisse très fortement.
Lorsque la différence entre la moyenne et la valeur limite indiquée par le client est de
six écarts types (six sigma), le nombre de pièces défectueuses produites est à peu près
3,4 pièces par million de pièces produites, soit proche du zéro défaut.
Au cœur de la démarche Six Sigma, le cycle DMAIC (Define, Measure, Analyse,
Improve, Control, et en français DMAAC pour Définir, Mesurer, Analyser, Améliorer
et Contrôler) intègre la démarche d’amélioration de performance dans une méthode
de gestion de projet ; le PDCA (Plan-Do-Check-Act) de la roue de Deming se reconnaît
aisément.
Le cycle DMAIC comporte les étapes suivantes :
• Définir le périmètre du processus à améliorer, c’est-à-dire clarifier les exigences
du client, formaliser les objectifs d’amélioration et les ressources nécessaires à
l’exécution du projet.
• Mesurer la performance (aptitude) actuelle du processus étudié par rapport aux
exigences critiques des clients.
• Analyser les données récupérées afin de déterminer les sources principales de
variation en mettant en œuvre des outils statistiques d’analyse.
• Améliorer, c’est-à-dire recenser, évaluer, choisir et mettre en œuvre les actions à
mener en priorité pour réduire le niveau de variation et optimiser l’aptitude du
processus.
• Contrôler, c’est-à-dire mesurer et évaluer les résultats ainsi que les gains obtenus
après la concrétisation des mesures d’amélioration de performance préconisées,
et définir les actions nécessaires à la pérennisation de l’amélioration.
Le succès grandissant de la méthodologie Six Sigma a entraîné la création de

nombreuses communautés de pratiques qui se sont développées aussi bien sur des
secteurs (industrie, services, finance...) que par type d’activités (marketing, R & D,
contrôle qualité...). Devant le risque de se retrouver avec des pratiques contradictoires
sous la même démarche, l’ISO a initié en octobre 2008 la rédaction de la norme ISO
13053 Six Sigma méthodologie.
Six Sigma 157
Cette norme se composera de trois parties qui sont prévues pour fin 2011 :
• ISO 13053-1 décrivant la démarche, DMAIC , telle que décrite ci-dessus sera
une introduction aux parties suivantes,
• ISO 13053-2 traitant des outils et techniques pour DMAIC, reprend les 35 fiches
du fascicule de documentation Afnor « Six Sigma, une démarche d’amélioration
utilisant les outils statistiques ». Elle a été publiée en juin 2008.
• ISO 13053-3, ensemble de rapports techniques contenant un mode opératoire
précis de mise en œuvre avec des exemples tirés de l’industrie, des services ou
de la finance.
Documentation
Jusqu’à récemment, la démarche Six Sigma ne s’appuyait pas sur un référentiel ;
sa documentation se trouvait essentiellement dans les manuels de statistiques, les
formations et les ouvrages publiés sur ce thème. Suite à la décision de l’ISO de créer
une norme sur la démarche Six Sigma, des publications sur ce référentiel et son mode
d’emploi devraient être disponibles à partir de fin 2011.
Mise en œuvre
Historiquement, cette démarche concernait les processus de production de série.
Aujourd’hui, elle s’applique à de nombreux types de processus et de prestations aussi
bien à des services financiers qu’à d’autres types de services : tous les processus de
l’entreprise qu’ils soient de conception, de production ou administratifs peuvent être
améliorés en utilisant la démarche et les outils Six Sigma.
Comme en témoigne l’ouvrage Measuring the Software Process, la maîtrise statistique
a été appliquée au processus de management de projet logiciel. La Haute autorité de
santé (HAS) la préconise aussi dans l’ouvrage Maîtrise statistique des processus en santé
– Comprendre et expérimenter.
Ce dispositif est utilisé par des centaines d’entreprises, principalement aux États-
Unis, au Mexique, au Canada, au Royaume-Uni, en Allemagne, dans les pays d’Europe
de l’Est, en Inde et en Chine. Il commence seulement à être utilisé en France.
Parmi les utilisateurs, on peut citer des groupes internationaux tels que Motorola,
GE, Honeywell, Westinghouse, Dupont, Bombardier, ABB, Schlumberger, Sony,
Nokia, Toshiba, American Express, Merrill Lynch et AXA.
La démarche Six Sigma convient aux entreprises dont l’objectif couvre les
domaines classiques de la diminution des coûts de non-qualité, l’augmentation de
la fiabilité des produits et des services, l’amélioration de la satisfaction du client,
l’augmentation de la productivité et de la valeur ajoutée. De façon plus originale,
elle vise l’optimisation de la performance (aptitude) des processus, la validation des
processus par la stabilisation statistique et permet ainsi un retour sur investissement
important et rapide.
158 Chapitre 26. Six Sigma
Le succès de cette approche dépend essentiellement de trois éléments :

• la compétence des personnes chargées de la mettre en œuvre ;
• un engagement de la direction au plus haut niveau ;
• une implication du personnel à tous les échelons de l’entreprise.
La qualification des personnes est illustrée à l’aide d’une appellation qui rappelle
les arts martiaux : Champion, Master Black Belt, Black Belt et Green Belt. Mikel Harry,
l’un des créateurs des Six Sigma avait introduit le système des ceintures (en anglais,
belt) pour représenter les niveaux d’expérience. Étant lui-même passionné par les arts
martiaux, il avait remarqué plusieurs points communs entre les personnes pratiquant
les arts martiaux et celles qui pratiquent la technique du Six Sigma : expérience de
terrain, maîtrise des outils, dévouement et humilité.
Pour réussir un projet, la participation d’un Black Belt est insuffisante, un travail
d’équipe au niveau de l’entreprise et du projet est indispensable.
Pour cela au niveau de l’entreprise, le directeur du déploiement et les champions
garantissent que les projets apportent une valeur ajoutée et que le programme se dirige
bien dans la direction prévue. Au niveau du projet, ce sont des experts désignés sous le
nom de Six Sigma Belt qui managent les projets et mettent en œuvre les améliorations
souhaitables, comme indiqué dans le tableau 25.1.
Tableau 26.1 — Rôle et formation des acteurs Six Sigma
Green Belt Black Belt Master Black Belt

Spécialiste de l’amélioration, il
intervient à temps partiel tout Spécialiste de l’amélioration, Spécialiste de l’amélioration,
en conservant ses fonctions il intervient à plein-temps. il intervient à plein-temps.
précédentes.
Il reçoit une formation de Il reçoit une formation de C’est un expert en statistiques
deux semaines sur une quatre semaines sur une qui est souvent un ancien
période de deux mois. période de quatre mois. Black Belt de l’entreprise.
Il valide les projets au niveau
Il participe à la collecte et à
Il dirige une équipe et de la méthodologie et de
l’analyse des données sur des
manage un projet Black Belt. l’utilisation des outils Six
projets Black Belt.
Sigma.
Il forme les Green Belt et
Il peut diriger une équipe et Il coache les équipes projets
Black Belt et coache des
manager un projet Green Belt. Green Belt.
équipes projets Black Belt.
La certification de personnes n’est pas réglementée. Elle se fait souvent en interne

à l’entreprise. L’American Society for Quality (ASQ) forme les individus et les certifie
au niveau Green Belt ou Black Belt. La certification ASQ de Black Belt nécessite un
renouvellement tous les trois ans.
Six Sigma 159
Un collaborateur d’une entreprise ayant adopté le Six Sigma témoigne :
« Toute l’entreprise a été entraînée dans la démarche et cela a modifié, de ce fait, les
référentiels qualité internes. L’ensemble des employés est incité à mettre en œuvre
un ou deux projets Six Sigma. Dans ce dessein, une formation de base est dispensée
sur la démarche DMAIC, complétée par une panoplie d’outils de résolution de
problèmes à adopter en fonction des problématiques rencontrées. Puis, au fur et à
mesure de l’acquisition de compétences et d’expérience en méthodologie Six Sigma,
des grades sont atteints : tout employé ayant bénéficié de la formation de base et
ayant réalisé un projet Six Sigma devient Green Belt, puis Black Belt à l’occasion
des projets suivants. Cette progressivité est un important facteur de réussite d’un
projet : tout projet Six Sigma est systématiquement supervisé par un Black Belt et
piloté par un sponsor/décideur. Le démarrage et la fin d’un projet sont traités comme
des événements. La qualité et la réussite de projets Six Sigma représentent ainsi un
important moyen de promotion dans l’entreprise. Un autre facteur clé de réussite
consiste à la mise en valeur, à l’intérieur de l’entreprise, de l’ensemble des projets
menés et l’attribution de primes aux équipes en fonction des gains financiers découlant
de ces projets ».
La démarche Six Sigma est généralement utilisée dans des entreprises de taille
importante. Toutefois, appliquée à tous les processus d’une petite entité (par exemple,
une vingtaine de salariés), elle permet, en quelques mois, d’accélérer de manière
notable la maîtrise d’un nouveau procédé.
La principale innovation de cette démarche est de permettre la quantification de
la qualité qui devient ainsi visible du management de haut niveau. Six sigma permet
ainsi de réduire les coûts de non-qualité de l’entreprise : que ce soit des coûts dus aux
dommages (environnement, non-satisfaction client, retours, garanties, réclamations...)
ou des coûts d’investissement (technologiques, processus, inspection...).
Grâce à un retour sur investissement rapide, elle permet de réconcilier l’exigence
financière et l’amélioration de la satisfaction client. Toutefois la mise en œuvre initiale
de ce dispositif est coûteuse (expertise, formation) et nécessite l’acceptation d’un
changement culturel, parfois important, pour l’entreprise.
L’absence d’un référentiel documenté et d’un processus de reconnaissance entraîne
une certaine variabilité dans les pratiques des utilisateurs et l’interprétation du Six
Sigma qu’en font les cabinets de conseil. Ce qui est un comble pour une démarche
dont l’objectif premier est de réduire la variabilité des processus. La norme ISO
doit permettre d’identifier un socle commun, universel et reconnu par tous, pour la
méthodologie Six Sigma à partir duquel les bonnes pratiques par secteur ou par activité
pourront continuer de se développer.
27
SSE-CMM
L’objectif du SSE-CMM consiste à fournir un cadre standard pour établir et promou-

voir l’ingénierie de la sécurité comme une discipline mature et mesurable. Dans ce
sens, le dispositif SSE-CMM permet à une entreprise d’établir un diagnostic d’aptitude
de ses processus à assurer la sécurité.
Figure 27.1 — Dispositif SSE-CMM

162 Chapitre 27. SSE-CMM
Présentation
Dans la famille des CMM, le référentiel SSE-CMM (Systems Security Engineering
Capability Maturity Model) propose un modèle d’évaluation de la sécurité des systèmes
d’information permettant de pratiquer l’auto-évaluation d’une organisation.
Développé à partir de 1995 sur les bases génériques du CMM par un groupe de
projet composé d’industriels et d’universitaires, ce référentiel a été diffusé et maintenu
par l’ISSEA (International Systems Security Engineering Association). En novembre 2002,
le Modèle de maturité de capacité (SSE-CMM) a été normalisé par l’ISO sous la référence
ISO 21827 puis mis à jour en 2008.
Sa structure est similaire à la représentation continue du CMMI avec une échelle
de niveaux de 1 à 5 et présente une compatibilité affichée avec l’ISO 15504 :
• Niveau 1 : Réalisé informellement ;
• Niveau 2 : Planifié et suivi ;
• Niveau 3 : Bien défini ;
• Niveau 4 : Contrôlé quantitativement ;
• Niveau 5 : Amélioré en continu.
Comme dans le CMMI le résultat se traduit par une dimension d’aptitude par
processus comme représenté dans la figure 27.2.
Figure 27.2 — Exemple de profil d’aptitude

SSE-CMM 163
Ces processus prennent en compte :

• les différentes phases du cycle de vie des produits ou des systèmes ;
• les différentes fonctions d’une entreprise ;
• les interfaces internes ;
• les interfaces externes.
Le SSE-CMM fournit tout à la fois un ensemble de règles et de recommandations

d’utilisation (le référentiel) et le modèle d’évaluation.
Plus précisément, le dispositif SSE-CMM est constitué de bonnes pratiques
(appelées pratiques de base) associées à un domaine de processus et de pratiques
génériques. Les 129 bonnes pratiques sont ainsi regroupées dans 22 domaines de
processus (Process Area, PA). En parallèle, comme dans l’ISO 15504, les pratiques
génériques s’appliquent à l’ensemble des processus et selon leur degré de mise en
œuvre. Elles permettent l’évaluation de l’aptitude de chaque processus selon les cinq
niveaux.
Dans cette version 3, le modèle propose deux catégories de processus :
• des processus d’ingénierie de la sécurité (figure 27.3) ;
• des processus organisationnels et de gestion de projet.
Les processus organisationnels et de gestion de projet du SSE-CMM sont similaires

à ceux du CMMI et de l’ISO 15504 et assurent la compatibilité avec ces modèles.
Les processus d’organisation proviennent du SE-CMM – System Engineering Capability
Maturity Model ; les processus projet permettent de planifier, piloter et maîtriser les
charges techniques, de gérer les risques projet et les configurations, et d’assurer la
qualité.
La catégorie de processus spécifiques à l’ingénierie de la sécurité permet de prendre
en compte le niveau de sécurité correspondant au besoin, aussi bien au niveau du
projet qu’au niveau de l’organisation. Cette catégorie de processus peut être subdivisée
selon trois axes.
Le premier concerne les processus qui sont centrés sur l’évaluation et le mana-
gement du risque, l’identification des menaces et des vulnérabilités puis l’analyse de
leur impact sur l’organisation ; ils permettent d’identifier les risques dont l’importance
justifie leur prise en compte par l’organisation.
On trouve ensuite les processus de spécification des besoins de sécurité et des
mesures de sécurité correspondantes, les processus de mise en œuvre de ces dispositions
de sécurité dans un objectif de réduction et de contrôle des risques identifiés et retenus
précédemment. Ces processus sont mis en œuvre conjointement avec les processus de
construction de produits et de systèmes.
Enfin, le troisième axe regroupe les processus d’assurance sécurité qui vérifient la
mise en œuvre des dispositions et mesurent leur efficacité par rapport à l’atteinte du
niveau de sécurité souhaité.
Deux types de métriques sont identifiés dans le SSE-CMM : les métriques relatives
au processus et celles concernant la sécurité.
Figure 27.3 — Processus du SSE-CMM.
Les métriques de processus permettent de collecter des preuves qualitatives ou

quantitatives de l’atteinte d’un niveau spécifique de maturité d’un processus ou de
servir d’indicateur binaire de la présence ou de l’absence d’un processus mature.
Les métriques de sécurité sont des attributs mesurables des résultats des processus
SSE-CMM d’ingénierie de la sécurité ; elles peuvent servir de preuve de l’efficacité des
processus. Ce type de métrique peut être objectif ou subjectif, quantitatif ou qualitatif.
Alors que le premier type de métrique donne des informations sur le processus lui-
même, le second fournit des informations sur le résultat des processus et en particulier
permet d’apprécier l’efficacité des processus quant à l’obtention du niveau de sécurité
attendu.
SSE-CMM 165
Les métriques de sécurité devraient permettre d’apporter des réponses aux questions
posées sur le coût et l’efficacité du dispositif de sécurité mis en place. Elles devraient
orienter les choix d’amélioration et permettre d’évaluer dans quelle mesure les
dispositions de sécurité permettent de réduire les risques.
Cependant, même si le terme métrique est employé de manière diffuse dans la
description de plusieurs processus (parfois au sens de critères), la nécessité de définir
des métriques quantitatives n’apparaît qu’à partir du niveau 4 Contrôlé Quantitativement,
avec l’établissement d’objectifs mesurables et la gestion quantitative des performances.
Documentation
La norme ISO 21827 Ingénierie de sécurité système – Modèle de maturité de capacité
(SSE-CMM) n’est disponible qu’en anglais auprès de l’Afnor, toutefois la version 3.0
du 15 juin 2003 qui a été adoptée par l’ISO est téléchargeable gratuitement sur le site
du SSE-CMM.
Le SSAM – SSE-CMM Appraisal Method décrit en détail comment mener une
évaluation : on y trouve par exemple, les questionnaires pour chaque domaine de
processus. Il est téléchargeable sur le site du SSE-CMM.
Mise en œuvre
Initialement, les utilisateurs étaient surtout des industriels américains œuvrant dans
des domaines pointus comme la fabrication de microprocesseurs ou de systèmes
technologiques avancés ou encore pour la sécurité nationale. D’après une estimation
de l’ISSEA1 , 40 entreprises l’ont adopté et 120 l’utilisent informellement, 70 %
seulement sont des fournisseurs de services ou de systèmes de sécurité.
D’après le Gartner2 l’appropriation du SSE-CMM, lente les premières années,
devrait ensuite très fortement s’accélérer.
Chaque processus peut être évalué indépendamment, même s’il existe une forte
corrélation entre les mises en œuvre des processus d’une même catégorie.
Ce référentiel n’a pas pour objet la certification, mais il permet de compléter
des auto-évaluations en fournissant un cadre d’évaluation des pratiques en matière
de sécurité. L’auto-évaluation peut être soutenue par un œil extérieur expérimenté
(évaluateur SSAM (SSE-CMM Appraisal Method) ou ISO 15504).
Des industriels indiens ayant accumulé les certifications ISO 9001, 20000, 27001,
et CMMI se sont engagés dans des démarches de certification SSE-CMM depuis 2004.
1. Source : Security as Engineering Discipline: the SSE-CMM’s Objectives, Principes and Rate of Adoption.
2. Source : Integrating Security Into the Application Life, avril 2007.
Parmi ces industriels, on trouve par exemple :

• Sobha Renaissance Information Technology (SRIT), première entreprise mondiale-
ment certifiée SSE-CMM Level 5, SEI-CMM et People-CMM Level 5, ISO/IEC
27001:2005 and ISO 9001:2000.
• Mahindra-BT (MBT), intégrateur de systèmes informatiques pour l’industrie
des télécommunications, 3e entreprise évaluée SSE-CMM niveau 3, CMMI
niveau 5, People-CMM niveau 5, mais aussi ISO 9001:2000, ISO 9001, 20000,
et 27001.
En 2008, des évaluations conjointes CMMI/SSE-CMM ont eu lieu

(Booz Allen Hamilton Global), en incorporant des exigences des processus
d’ingénierie sécurité au sein des exigences des processus CMMI (cf.
http://www.sei.cmu.edu/cmmi/adoption/pdf/Lear08.pdf). Elles ont démontré que :
• il est possible de mixer les deux approches d’évaluation ;
• des besoins de formations aux processus sécurité persistaient dans les industries
du développement logiciel pour permettre une meilleure efficacité et moins
d’interprétations ;
• obtenir une vision objective de la maturité de l’entreprise sur ses pratiques
sécurité a permis aux équipes de se sentir plus impliquées dans leur mise en
œuvre.
Notons aussi la parution du « Trusted CMM » , qui porte davantage sur les aspects
de sûreté de fonctionnement, et qui permet avec le CMMI et le SSE-CMM, de
compléter la vision globale des qualités d’un logiciel
En France, plusieurs auditeurs ISO 15504 possèdent la double compétence et de ce
fait, ils sont susceptibles d’évaluer les processus d’ingénierie de sécurité et les processus
d’organisation.
Anne C OAT, conseil en sécurité des SI et amélioration de processus pour SEKOIA,
cabinet de conseil et de formation en sécurité de l’information, évaluateur ISO 15504
et auditeur ISO 27001 (IRCA) déclare :
« Le SSE-CMM part du besoin d’intégration des principes de sécurité dans tous les
processus des projets. Sa mise en œuvre renforce la synergie entre équipes, diminue la
charge, évite la duplication de travail, et permet ainsi d’obtenir un produit de qualité,
plus sécurisé et à moindre coût.
Le SSE-CMM a la même capacité à devenir incontournable dans le domaine de
la sécurité que le CMMI dans celui du développement de logiciel ou de système.
Le ministère de la défense des États-Unis a d’ailleurs sponsorisé une réflexion pour
définir les meilleures pratiques en matière de sécurité et de sûreté de fonctionnement,
pour les intégrer au sein des modèles CMMI et FAA-iCMM (Federal Aviation
Administration Integrated Capability Maturity Model).
En effet, la notion de niveau de maturité suppose qu’une organisation peut progresser
à son rythme de son état initial vers un état prenant en compte ses besoins de sécurité
SSE-CMM 167
spécifiques, et pas sur une échelle arbitraire. D’autant que les auto-évaluations
ISO 15504 se basent sur l’atteinte des objectifs des processus et sur les moyens
de leur mise en œuvre.
Ceci implique, par exemple, que, contrairement à d’autres normes, la notion de
métriques peut être mise en place de manière progressive au fur et à mesure de
la démarche et que les progrès peuvent être reconnus par le passage successif des
différents niveaux de maturité.
Cette reconnaissance intermédiaire est nécessaire au sein des équipes pour justifier les
efforts accomplis et les encourager à continuer.
On peut donc penser que ce modèle est complémentaire de la certification ISO 27001.
Face au faible enthousiasme rencontré en France pour les certifications ISO 27001,
le SSE-CMM propose aux entreprises une alternative. Il fournit gratuitement
un guide pratique leur permettant d’appréhender les bonnes pratiques de sécurité
dans le développement des logiciels, et une méthode d’évaluation (SSAM) qui leur
permet ensuite de s’auto-évaluer et progresser. Cette évaluation leur permet enfin
de s’engager en connaissance de cause dans une démarche de certification de leur
système de management de la sécurité de l’information (ISMS : Information Security
Management System) sur la base de l’ISO 27001, sur un périmètre défini.
Par la suite, elles peuvent aussi continuer à appliquer les bonnes pratiques proposées
par les niveaux supérieurs du SSE-CMM, qui permettent d’atteindre une vision
globale des recommandations de base de l’ISO 27001 et l’ISO 17799 (future
ISO 27002).
Dans un certain sens, le SSE-CMM permet de guider le déploiement des principes
établis dans l’ISO 13335 (Management des risques), qui a inspiré la refondation de
l’ISO 27001.
L’adoption du SSE-CMM par l’ISO comme norme d’évaluation ISO 21827 a
favorisé sa diffusion internationale. L’ISO 21827 est d’ailleurs suivie par le même
groupe de travail de l’ISO que les Critères communs qui sert à l’évaluation de
systèmes. Mettre en place l’ISO 21827 contribue aussi à satisfaire des exigences des
classes d’assurance des Critères Commun ».
L’intérêt principal de ce dispositif est d’engager l’organisation dans une démarche
d’intégration des mesures de sécurité dans ses processus, en fonction de ses besoins en
matière de sécurité, et de manière compatible avec d’autres démarches d’amélioration
continue et d’autres systèmes de management.
28
Testeur logiciels ISTQB
Le dispositif Testeur logiciels ISTQB permet à une personne physique d’obtenir une
certification en matière de tests de logiciels??.
Figure 28.1 — Dispositif CFTL – ISTQB
Présentation
Dans le monde, des millions de professionnels sont impliqués dans l’industrie du
logiciel. Les systèmes à base de logiciels sont omniprésents. Très souvent, la vie
170 Chapitre 28. Testeur logiciels ISTQB
de personnes dépend du bon fonctionnement de ces logiciels (par exemple dans

les secteurs tels que l’aéronautique, le nucléaire, le médical, l’automobile). C’est
pourquoi il est nécessaire que les personnes qui vérifient et testent les logiciels soient
correctement formées.
L’ISTQB (International Software Tester Qualification Board) est une initiative pilotée
par des comités nationaux de testeurs logiciels, indépendants des éditeurs de logiciels
de tests. L’ISTQB propose une certification de testeur logiciels basée sur trois niveaux
(fondation, avancé et expert) et se déclinant en trois axes majeurs (gestionnaire de
tests, analyste de tests, analyste technique de tests). Au niveau expert, des déclinaisons
plus fines sont attendues.
Le Comité français des tests logiciels (CFTL) a été fondé en 2004. Il est composé
de spécialistes et d’experts en tests de logiciels qui sont d’origine universitaire et
industrielle. Il a pour but de développer en France le processus de certification
mondialement reconnu de testeurs logiciels. Le CFTL représente la France et les
pays francophones à l’ISTQB qui est constitué de plus de quarante comités nationaux
dans les pays suivants : Afrique du Sud, Allemagne, Amérique du Sud hispanique,
Arabie Saoudite, Australie et Nouvelle-Zélande, Autriche, Bangladesh, Belgique
et Pays-Bas, Brésil, Canada, Chine, Corée, Danemark, Espagne, Estonie, États du
Golfe arabo-persique, États-Unis d’Amérique, Fédération de Russie, Finlande, France,
Hongrie, Inde, Irlande, Israël, Italie, Japon, Lettonie, Luxembourg, Malaisie, Nigeria,
Norvège, Pologne, République Tchèque et Slovaquie, Royaume-Uni, So’East Europe
(Comité régional pour l’Europe du sud), Suède, Suisse, Turquie, Ukraine et Vietnam.
L’ISTQB a mis au point un programme international de qualification appelé ISTQB
Certified Tester (testeur logiciels certifié ISTQB). Il y a trois niveaux de certification :
le niveau Fondation, le niveau Avancé et le niveau Expert. Le programme des cours a
été bâti à partir des recommandations du chapitre du SWEBOK sur les tests.
Documentation
Deux programmes appelés syllabus existent aujourd’hui en français :
• Testeur certifié, syllabus niveau fondation ;
• Testeur certifié, syllabus niveau avancé.
Le syllabus niveau fondation de l’ISTQB comporte six chapitres principaux :

• fondamentaux des tests ;
• tester pendant le cycle de vie logiciel ;
• techniques statiques ;
• techniques de conception de tests ;
• gestion des tests ;
• outils de support aux tests.
Le syllabus niveau avancé de l’ISTQB comporte dix chapitres principaux :

• éléments de base du test logiciel ;
Testeur logiciels ISTQB 171
• processus de test ;
• gestion des tests ;
• techniques de test ;
• tester les caractéristiques du logiciel ;
• revues ;
• gestion des incidents ;
• normes et processus d’amélioration des tests ;
• outils de test et automatisation ;
• compétences – composition de l’équipe.
Mise en œuvre
Les Pays-Bas et le Royaume-Uni ont initialisé ce programme en 1998. Plus de 40
pays sur cinq continents ont adhéré à ce schéma de certification et d’autres pays
continuent à se joindre à ce programme. Au 31 décembre 2008, c’est au Royaume-Uni
que se trouvent le plus de personnes certifiées (44 059), suivent l’Inde (19 974),
l’Allemagne (12 933), la Belgique (6 378), les États-Unis (5 539), le Japon (4 373),
la Nouvelle-Zélande et la Suisse avec plus de 3 000, puis viennent la Suède, Israël,
l’Autriche, la Corée avec plus de 1 000. La France se trouve en 17e position avec 480
certifiés sur un total mondial de 111 469.
Bien que récent en France, ce dispositif intéresse différentes sociétés de service et
des grands comptes. Le nombre de testeurs logiciels certifiés augmente rapidement en
France. Il a plus que doublé chaque année depuis 2006.
Le niveau avancé de l’ISTQB (Certified Tester) s’appuie sur le niveau fondation et
couvre les trois modules :
• Gestionnaire de tests (Test Manager) ;
• Analyste de tests ;
• Analyste technique de tests.
Le Syllabus niveau avancé de l’ISTQB comporte les dix chapitres suivants :

• les aspects de bases du test logiciel ;
• les processus de tests ;
• le management des tests ;
• les techniques de tests ;
• le test des caractéristiques des logiciels ;
• les revues ;
• la gestion des incidents ;
• les standards & processus d’amélioration des tests ;
• les outils de test et l’automatisation ;
• les compétences individuelles et la composition d’équipes.
172 Chapitre 28. Testeur logiciels ISTQB
Ceci permet soit d’acquérir une certification dans une spécialité particulière, soit de
passer les trois examens pour recevoir le certificat de testeur logiciels ISTQB, niveau
Avancé complet.
Les certificats ont une durée de validité non limitée et couvrent surtout des
aspects théoriques et méthodologiques, lesquels peuvent être appliqués quel que soit le
contexte. Cependant les syllabus sur lesquels s’appliquent les certificats sont réévalués
et mis à jour tous les trois ans environ afin de prendre en compte les nouveaux
développements tant théoriques ou méthodologiques que pratiques, par exemple les
aspects relatifs aux outils d’automatisation.
Le CFTL a développé un programme de cours niveau fondation et un programme
de cours niveau avancé, ainsi qu’un glossaire des termes utilisés. Des programmes
de cours de niveau Expert sont en développement en collaboration avec les comités
nationaux membres de l’ISTQB.
Les examens de certification donnés par le CFTL se déroulent en français ou en
anglais, au choix.
Le programme de formation et les examens de testeur logiciels ISTQB sont utilisés
par les comités nationaux des tests dans le monde entier. Ceux-ci garantissent que
les formations dispensées s’appuient sur les standards internationaux de formation et
assurent la reconnaissance du certificat dans les autres pays.
Les formations sont conçues et dispensées par des sociétés commerciales indépen-
dantes de l’organisme de certification CFTL. De façon à s’assurer de la qualité des
formations données par les sociétés commerciales, celles-ci doivent être soumises au
CFTL pour vérification. À l’issue du processus de vérification, une accréditation de la
formation est accordée et ils sont affichés sur le site du CFTL.
Les examens sont généralement effectués dans les locaux d’un organisme de
formation accrédité pour un cours ou un ensemble de cours. Chaque examen se
déroule à l’aide de QCM avec une seule réponse correcte par question. L’examen de
niveau Avancé (trois modules) dure 4 heures 30.
Bernard H OMÈS, président du CFTL, déclare :
« Les personnes qui obtiennent le certificat démontrent des connaissances leur
permettant d’aider les chefs de projets et dirigeants à prendre des décisions importantes
équilibrant qualité, caractéristiques, planning et budget ; elles sont capables de détecter
les défauts que d’autres ne voient pas.
Espérons que la reconnaissance de cette certification sur les tests logiciels permettra
d’améliorer le niveau actuellement faible des tests de logiciels en France, partiellement
dû à la méconnaissance des risques et des enjeux ».
Monsieur Jean-Christophe R OUZOUL, responsable de l’offre Global Testing de

Sopra group, dit :
« Dans le cadre de nos réflexions "testing", nous avons fait le choix de l’ISTQB de
façon à fédérer et partager au sein de l’entreprise une sémantique et des pratiques
Testeur logiciels ISTQB 173
communes... Le développement rapide de la demande "testing" nous a par ailleurs

conduit à identifier une filière RH spécialisée pour laquelle un plan de formation dédié
a été élaboré ; plan de formation sanctionné par une certification CFTL... Il est clair
qu’au-delà de la mise en avant commerciale de nos testeurs certifiés, cette approche
de certification par CFTL nous a permis de repositionner, au niveau et avec la valeur
qui conviennent, le métier de "testeur" au sein de l’entreprise... »
Monsieur Christophe B EUCHARD DE K EREVAL, directeur commercial, témoigne :

« La certification CFTL nous a concrètement permis d’utiliser au niveau technique
un vocabulaire commun, compris de tous et facilitant la compréhension du métier des
testeurs. Cette certification nous a aussi permis au niveau marketing et avant vente
de crédibiliser notre approche professionnelle de l’ingénierie de tests. »
29
TL 9000
Le dispositif TL 9000 permet à une entreprise d’obtenir une certification pour son
système de management de la qualité en matière d’ingénierie des systèmes.
Figure 29.1 — Dispositif TL9000
Présentation
TL 9000 est un système de management de la qualité spécifiquement conçu pour
l’industrie des télécommunications. Fondé sur la série ISO 9000, il a été développé
par le QuEST Forum (Quality Excellence for Suppliers of Telecommunications Forum)
176 Chapitre 29. TL 9000
en réaction aux dysfonctionnements affectant les produits et les services de cette

industrie. Les représentants des principaux partenaires ont décidé qu’il était vital de
définir des critères de qualité spécifiques et de fixer des objectifs clairs pour promouvoir
une culture de progrès continu dans le métier des télécommunications.
TL 9000 définit des exigences de système qualité que les entreprises des télécommu-
nications doivent respecter dans l’ensemble de leurs processus industriels (conception,
développement, production, fourniture, installation et maintenance de produits et
services). Il inclut des métriques de rendement qui permettent de mesurer la qualité
et la fiabilité des produits et des services.
TL 9000 s’appuie sur l’ISO 9001:2000 dont la certification est soit préalable, soit
conjointe à celle de TL 9000.
Le contenu du TL 9000 se répartit en deux manuels (handbooks). Le manuel des
exigences définit les exigences pour la gestion de la qualité du matériel, du logiciel
et des services. Le manuel de mesurage traite de l’utilisation de métriques utilisées
comme base de mesure de la qualité et de la performance des différentes classes de
produits et services. Ces métriques offrent un ensemble équilibré de mesures et de
moyens pour communiquer, surveiller et améliorer les résultats réels. D’autre part,
elles permettent une comparaison internationale des performances et simplifient les
relations entre les contractants.
La première version date de 1998, la version actuelle des deux manuels (version
4.0) est de juin 2006.
TL 9000 est produit, maintenu et diffusé par le QuEST Forum. À l’origine en 1998,
le QuEST Forum était un groupement d’opérateurs et de fournisseurs de l’industrie
des télécommunications. Aujourd’hui, il accueille parmi ses membres :
• les opérateurs de télécommunication ;
• les fournisseurs des services de télécommunication ;
• les fournisseurs d’équipements matériels et logiciels, d’installation, de concep-
tion de systèmes et de tous les produits intégrés dans un système de télécommu-
nication ;
• des organismes de liaison en matière de certification et de formation.
L’élaboration du TL 9000 a été faite en se fondant sur un document de Tel-

cordia/Bellcore le Quality System Generic Requirements for Hardware, Software, and
Infrastructure et sur des normes :
• l’ISO 9001:2000 pour les exigences d’assurance qualité ;
• l’ISO 12207 pour la description des processus du cycle de vie des logiciels ;
• l’ISO 90003 pour l’application de l’ISO 9001 au logiciel.
Le manuel des exigences du TL 9000 s’adressait à l’origine aux fournisseurs de

télécommunications. Il vise désormais également les fournisseurs de services (les
opérateurs réseau...). Il établit et détaille des exigences de système qualité et fournit
TL 9000 177
un ensemble cohérent de paramètres spécifiques à l’industrie mondiale des télécommu-

nications. Il leur fournit les éléments nécessaires pour satisfaire des exigences qualité
qui portent sur :
• les relations entre les parties, c’est le maintien et l’amélioration des responsabi-
lités entre le client, l’entreprise et le fournisseur ;
• la gestion des problèmes, c’est le traitement efficient des problèmes des clients ;
• la réalisation, c’est l’utilisation de la planification et du mesurage ;
• le développement du produit et la documentation des problèmes ayant un
impact sur la qualité du produit ;
• la documentation, c’est la gestion des éléments de conception du produit dans
l’objectif de produire une qualité reproductible ;
• la gestion des ressources, c’est la promotion du développement des ressources
internes avec des formations sur des thèmes comme les concepts qualité et la
manipulation des produits.
L’objectif du manuel de mesurage du TL 9000 est de faciliter la mise en œuvre

des exigences de compte rendu au client (reporting), tout en fournissant des mesures
normalisées permettant la comparaison des performances qualité de toutes les entre-
prises du secteur. C’est un guide très complet qui traite de la mise en pratique, de
l’utilisation, des responsabilités et des exigences relatives aux mesures. Les métriques
y sont décrites précisément par catégories de produits : matériel, logiciel et services.
Il définit l’ensemble minimal de mesures de performance qui permet de juger de
l’amélioration et d’évaluer les résultats d’implémentation du système de gestion de la
qualité ; dans certains cas, les délais de réalisation utilisés pour l’indicateur sont définis
par l’entreprise contractuellement avec son fournisseur. Les principales mesures sont :
• celles qui sont communes au matériel, au logiciel et au service ; par exemple,
nombre de rapports de problèmes, livraison dans les délais ;
• celles qui sont spécifiques au système d’outage (il s’agit d’une perte de fonction-
nalité primaire de tout ou partie d’un système de télécommunication) ;
• celles qui sont relatives soit au matériel (par exemple, taux de retours), soit
au logiciel (par exemple, la qualité des corrections ou des solutions logicielles
software fix quality), soit à la qualité de service.
Documentation
Les deux volumes de la documentation du référentiel TL 9000, TL 9000 – Quality
Management System Requirements Handbook et TL 9000 – Quality Management System
Measurements Handbook sont disponibles auprès du QuEST Forum en formats papier
et électronique. Il existe des traductions en français, en espagnol, en portugais, en
chinois, en japonais et en coréen. Les deux volumes en français sont disponibles auprès
d’Afnor mais uniquement en format papier.
Le QuEST Forum est garant de la mise à jour du TL 9000. Des évolutions sont
prévues pour améliorer le dispositif et aussi pour assurer la compatibilité des manuels
d’exigences et de mesurage avec les révisions de l’ISO 9001.
Le QuEST Forum a également la responsabilité de collecter périodiquement les

indicateurs des entreprises certifiées. La base de données qui en résulte constitue
un véritable observatoire utilisable comme un outil d’aide à la décision dans la
définition des priorités d’amélioration pour les clients et leurs fournisseurs. Cet outil
n’est accessible qu’aux sociétés membres du QuEST Forum et non pas à toutes les
sociétés certifiées.
Depuis 2009, trois fois par an, la « QuEST Forum Best Practices Conference » est
l’occasion pour ses participants d’échanger leurs pratiques et de présenter des études
de cas. Elles sont organisées dans chacune des régions : États-Unis, Asie Pacifique et
EMEA (Europe, Moyen Orient et Afrique).
Le QuEST Forum fournit un guide spécifique à l’attention des auditeurs TL 9000.
Le site du QuEST Forum est très régulièrement mis à jour et librement consultable :
www.questforum.org.
Mise en œuvre
En consultant les chiffres publiés sur le site du QuEST Forum, au 20 mars 20091 , on
observe que :
• Les certificats sont émis essentiellement dans la région Asie Pacifique avec 923,
en Amérique avec 612 et seulement 17 en Europe, Moyen Orient et Afrique.
Toutefois la répartition dans les 52 pays montre que les États-Unis sont en tête
avec 533 certificats sur 1652, puis viennent la Chine avec 332, la Corée du
Sud avec 286, l’Inde 126, Taïwan avec 83, puis le Mexique, le Royaume Uni, le
Canada avec plus de 20, le Japon, Hong-Kong, l’Allemagne et la France avec
plus de 10. Toutefois, il prend en compte le fait qu’une partie importante des
localisations européennes concerne surtout des certificats émis essentiellement
aux États-Unis.
• Les certificats sont délivrés pour 99 % à des sociétés de moins de 5 000 personnes
et surtout à celles de moins de 250 personnes.
• Depuis 2006, le nombre de certificats diminue. Ceci est dû d’une part à des
fusions d’organismes et d’autre part à des regroupements, pour raison d’efficacité,
de plusieurs unités ou sites sur un même certificat.
• En France la liste des sociétés certifiées ne contient que des filiales de groupes
Américains (ou fortement implantés en Amérique) et Asiatiques. Il s’agit
d’Alcatel-Lucent avec sept sites, Fujitsu, Motorola, Nortel avec trois sites, Flex-
tronics International USA, Ulticom Inc, Interphase Corporation, Sanmina-SCI
et Avanex. La délocalisation réduit le nombre de sites certifiés en France.
• La répartition des 149 membres du QuEST Forum est de 24opérateurs dont
Bouygues Telecom et France Télécom, 84 fournisseurs dont Alcatel-Lucent et
41 organisations de liaisons.
1. http://www.tl9000.org/registration/registered_companies.html
TL 9000 179
On s’aperçoit donc que l’impulsion pour la mise en œuvre du TL 9000 vient des
sociétés situées aux États-Unis et s’étend surtout aux fournisseurs et sous-traitants (et
quelques opérateurs) américains et asiatiques. Le TL 9000 est moins utilisé en Europe
et en Amérique du Sud.
De même que l’ISO 9001 sur lequel il est fondé, ce dispositif concerne tous les
processus de l’entreprise. La mise en œuvre d’un certain nombre d’exigences requiert
une formation sur des sujets comme la connaissance des concepts d’amélioration de la
qualité et les compétences nécessaires à la qualification des opérateurs.
QuEST Forum a accrédité des fournisseurs de formation qui ont accès aux supports
de formation officiels du QuEST Forum, ce qui leur permet de former des évaluateurs
TL 9000 internes et externes.
Le QuEST Forum est garant du choix des organismes certificateurs. Une liste
des organismes accrédités pour délivrer un certificat de conformité au TL 9000 est
disponible sur le site du QuEST Forum. Les certificats mentionnent le nom TL 9000,
l’identification de l’entreprise auditée et le champ de la certification (les catégories
de produit, les types d’activités et les spécificités des matériels, des logiciels ou des
services).
Comme pour l’ISO 9001, les entreprises doivent mettre en place un dispositif
d’audit interne pour vérifier l’application du TL 9000 et respecter les exigences de
mesurage. Les auditeurs internes doivent être formés.
La durée d’un audit est précisée dans la documentation disponible sur le site du
QuEST Forum : elle varie en fonction de la taille de l’entité auditée, normalement
entre un et deux jours, mais entre un et trois jours pour un audit initial. Le manuel
des exigences précise le nombre de jours nécessaires à l’auditeur pour réaliser une
évaluation tierce partie. L’auditeur TL 9000 peut réaliser l’audit ISO 9001 en même
temps que l’audit TL 9000 moyennant un allongement minime de la durée de l’audit.
Après l’obtention du certificat, l’entreprise doit collecter des mesures sur une base
mensuelle et les introduire dans la base de données « Measurement Repository System ».
Un audit de surveillance est réalisé tous les ans et un audit de renouvellement tous les
trois ans.
Les auditeurs externes doivent être accrédités. Différents organismes, selon le pays,
accréditent les auditeurs. Au 20 mars 20091 , des organismes accréditeurs se trouvaient
essentiellement aux États-Unis mais aussi en Corée du Sud (8), en Chine (4), au
Canada (2), en Allemagne (1), en Autriche (1), au Japon (1) et aux Pays-Bas (1). La
liste des auditeurs est mise à jour sur le site du QuEST Forum.
1. http://www.tl9000.org/registrars/overview.html
Bruno R UBY de la société Bouygues Telecom déclare :
« En permanence à la recherche de la meilleure performance pour satisfaire ses clients,
Bouygues Telecom veut généraliser la mise en œuvre de la norme de management
qualité TL9000 dans sa relation avec ses principaux fournisseurs.
En particulier, Bouygues Telecom est persuadé que l’utilisation des indicateurs
qualité normalisés du TL9000 est un moyen efficace pour définir en commun et
maîtriser l’atteinte d’objectifs qualité significatifs dans le contexte d’un contrat avec
un fournisseur ».
Marc VANDENBERGHE de la société Belgacom explique :
« La mise en œuvre du dispositif ne nécessite en principe que les deux manuels du
TL 9000. Toutefois, la connaissance de l’ISO 9001 est incontournable pour la mise
en œuvre puisque le manuel des exigences est fondé sur l’ISO 9001.
Chaque organisation ayant obtenu un certificat TL 9000 est obligée de soumettre
périodiquement les résultats de ses mesures et indicateurs dans le Measurement
Repository System. Ceci rend aux membres du QuEST Forum de vraies opportunités
de ‘Benchmarking’ parmi toutes les organisations enregistrées, leur permettant de
définir des objectifs pour les différents critères de performance ».
Le principal avantage de la certification TL 9000 est de donner à l’entreprise le
moyen de traiter de manière consolidée différentes exigences contractuelles et de
limiter ainsi les ressources nécessaires pour réaliser les comptes rendus à fournir aux
clients.
Jusqu’à présent, les opérateurs et fournisseurs français n’ont pas été très preneurs de
ce dispositif. Bien que la situation semble évoluer vers une plus grande prise en compte
du TL 9000, on note toujours l’absence d’un organisme français d’accréditation.
DEUXIÈME PARTIE
Analyses
et perspectives
Dans cette seconde partie nous dégageons des lignes de force en matière de dispositifs
de reconnaissance pour les prochaines années. Comme le disait Pierre Dac : « Il
est toujours présomptueux de faire des prévisions, surtout en ce qui concerne l’avenir ».
Cela est vrai dans un monde en constante évolution. Nous avons observé plusieurs
changements majeurs :
• le déploiement incontournable des dispositifs de certification de personnes ;
• l’importance croissante de la certification en management de projet ;
• la prise en compte de la sécurité de l’information véhiculée au travers du SI ;
• l’émergence de nouveaux dispositifs portant sur les systèmes de management du
service ;
• la prise en compte du concept de gouvernance incluant le poids de plus en plus
fort pris par les exigences légales et réglementaires ;
• le souci croissant de la responsabilité sociale de l’entreprise dans une perspective
de développement durable.
Comment ces grandes tendances vont-elles cohabiter ? Sont-elles compatibles ou

concurrentes ? Quelques questions resteront sans réponse. À chacun de se forger son
opinion.
30
Regard sur la certification
de personnes
Les dispositifs de certification de personnes, pour la plupart en provenance du monde

anglo-saxon, se sont multipliés ces dernières années. Ils viennent compléter les cursus
universitaires et accompagnent désormais l’individu tout au long de sa carrière.
30.1 GÉNÉRALITÉS
Une norme européenne prend actuellement de plus en plus d’importance. Il s’agit de la

norme ISO 17024, relative à l’accréditation des organismes de certification procédant
à la certification de personnes.
L’organisme de certification doit être indépendant des intérêts des parties concer-
nées, assurer leur représentation, définir des exigences de compétences uniformes pour
tous et mettre à jour ces exigences en fonction des évolutions de la technologie et de
la réglementation. Il doit rester responsable de l’attribution de la certification, de son
renouvellement, de sa suspension ou de son retrait. Il doit s’assurer à tout moment que
ceux qui prennent la décision de certification n’ont pas participé à l’examen, ni à la
formation du candidat et garantir une totale confidentialité.
L’évaluation doit employer des méthodes équitables, valables et fiables, s’assurer que
tous les critères de connaissances sont évalués de manière objective et systématique,
avec des preuves suffisantes. Quant aux examinateurs, ils doivent fournir les méthodes
et documents d’examen, être compétents par rapport au domaine à examiner, savoir
bien communiquer à l’écrit et à l’oral, et être libres de tout intérêt ou conflit potentiel.
184 Chapitre 30. Regard sur la certification de personnes
La plupart des dispositifs de certification de personnes étudiés dans cet ouvrage

certifient conformément à la norme ISO 17024 : AFITEP-CDP, AFITEP-CGP,
CISSP de l’(ISC)2 , CISA, CISM, testeur de logiciel par le CFTL, PMP (obtenu par
le PMI en 2007). La formation Prince2 est accréditée par l’APMG, qui elle-même est
accréditée par l’UKAS (United Kingdom Accreditation Service). Bien que la certification
ITIL ne fasse pas référence à la norme ISO 17024, le processus décrit dans l’ITIL
Qualification Scheme1 semble donner les garanties nécessaires, l’APMG, accréditeur
officiel de ce dispositif reconnaissant les organismes conformes à l’ISO 17024. On
s’aperçoit qu’en France cette norme est devenue une exigence dans la plupart des
dispositifs de certification de personnes.
Faire appel à un organisme qui respecte la séparation entre formation et examen
est important, mais un autre critère doit servir de guide dans le choix d’un organisme
de formation : celui des compétences du formateur. La consultation des statistiques de
réussite aux examens peut indiquer un écart important d’un formateur à l’autre. Il est
préférable d’en tenir compte lorsqu’on veut se préparer de manière efficiente.
Enfin, il ne faut pas négliger la valorisation du salarié par la certification. Ceci
peut devenir une arme à double tranchant pour l’entreprise en faisant reconnaître de
manière externe la qualité d’une personne sur le marché du travail, mais cela donne
aussi un avantage concurrentiel à l’entreprise qui réalise des projets pour des clients.
30.2 UTILISABILITÉ À COURT TERME

OU EMPLOYABILITÉ PAR ALTERNANCE ?
En France, nous assistons quasiment impuissants à ce mouvement de certification de
personnes venant du monde anglo-saxon.
La compétence professionnelle devient ainsi l’objet d’une reconnaissance formelle
par une certification spécifique de chaque domaine. Nous sommes maintenant habitués
aux certifications SAP pour les consultants qui installent ce progiciel, ou Microsoft
pour les développeurs qui utilisent les outils de cet éditeur.
Aujourd’hui, se faire certifier ITIL est l’une des façons de démontrer sa compétence
en matière de gestion d’un centre informatique.
Vu le taux d’échec des projets, certaines entreprises commencent à exiger de leurs
chefs de projet ou de leurs sous-traitants une certification en management de projet.
Parmi celles-ci, les plus répandues sont actuellement celles de l’AFITEP, du PMI et
PRINCE2.
Demain, pour réaliser des tâches d’ingénierie du logiciel, il faudra probablement
être certifié conformément au corpus de connaissances en ingénierie du logiciel,
SWEBOK (ISO 19759). Dès à présent la certification de testeurs de logiciels existe.
1. À l’exception des normes, tous les documents cités en italique dans le texte sont repris dans les
références bibliographiques.
30.3 Problématique de langue ou de culture ? 185
Dans le domaine de l’ingénierie, la pression du marché est telle qu’avant même

que l’INCOSE (International Council on Systems Engineering) ait finalisé le corpus
de connaissances en ingénierie système appelé SEBOK – System Engineering Body of
Knowledge, il a établi dès l’année 2004 la certification des ingénieurs ou architectes
de systèmes (Certification Systems Engineering Program, CSEP). Les premiers certificats
ont été distribués : fin mai 2006, on en comptait plus de 70. Le certificat s’obtient en
passant un examen qui dure 2 heures et comporte 120 questions basées sur le INCOSE
SE Handbook. Pour être éligible, il faut justifier de plus cinq ans d’expérience en
ingénierie système. Le certificat est valable trois ans et doit ensuite être renouvelé
en justifiant de points PDU (voir chapitre PMBOK). Des organismes américains
d’éducation se sont déjà intéressés à ce programme.
Par exemple en matière de méthode, l’Object Management Group (OMG) a mis en
place un programme de certification de personnes sur la base du standard UML 2.0
dont il est le propriétaire.
La certification de la qualité des produits, de la maîtrise des processus et des
systèmes de management nous est devenue familière. Pourquoi donc craindre celle
des personnes ? Il est probable que les diplômes ne seront bientôt plus suffisants pour
exercer un métier. À partir de ce constat, deux séries de questions se posent :
• La formation initiale ne risque-t-elle pas d’être dévalorisée face à la formation
professionnelle souvent tournée vers le court terme et la maîtrise de tel ou
tel outil, plutôt que vers la compréhension des mécanismes de conception ?
Tant vantée par nos politiques, l’employabilité ne risque-t-elle pas de souffrir
de ce phénomène au profit unique de l’utilisabilité immédiate de la ressource
humaine ?
• Ne doit-on pas considérer ce phénomène comme une spécialisation de la
formation initiale trop générale pour les besoins en entreprise ? Ne s’oriente-t-on
pas vers une forme d’alternance entre enseignement supérieur et entreprise ?
Nous constatons que certains certificats peuvent être longs à obtenir. Par exemple,
la CGP de l’AFITEP a un cursus de certification qui nécessite au minimum trois
années d’expériences pour un ingénieur diplômé et huit années pour un non diplômé.
Le monde de l’enseignement supérieur devrait intégrer dans sa stratégie de développe-
ment un partenariat avec une ou plusieurs associations professionnelles pour préparer
les étudiants à l’obtention des certificats. Un exemple est donné par l’École supérieure
de commerce de Lille. Dans le cadre du mastère spécialisé Management de projets et
programmes, cette école propose à ses élèves le passage aux certifications PRINCE2
et PMP. Pour se faire, elle a conclu des accords de partenariat avec les organismes
de tutelle. Il en est de même entre l’AFAI d’une part et ParisIX et l’IAE d’autre part.
Libre choix est alors donné aux étudiants pour décider de leur orientation.
30.3 PROBLÉMATIQUE DE LANGUE OU DE CULTURE ?

Dans la mesure où bon nombre de ces certifications sont d’origine anglo-saxonne,
certains examens qui les sanctionnent doivent être passés en anglais. Plancher sur
une étude de cas pendant trois heures nécessite un minimum d’aisance dans cette
langue. Les candidats qui ne maîtriseraient pas correctement la langue de Shakespeare
subiraient-ils un handicap ? Sans doute.
Mais, dans une épreuve d’examen il ne suffit pas de traduire. Cela conduit
le plus souvent à rédiger de l’anglais dans un style français, ce qui peut paraître
lourd et primaire. Il faut plutôt formuler des réponses comme les Anglo-Saxons ont
l’habitude de le faire dans un style direct et précis avec les termes exacts auxquels
l’examinateur s’attend. Précisons que cette référence à la notion de terme exact
est officiellement mentionnée dans les épreuves de niveau Managérial-ITIL. Il est
également indispensable de savoir penser son sujet à la façon britannique. Cela relève
donc plus d’un mode de comportement issu d’un système éducatif que d’un simple
problème de linguistique. Ceci dit, de plus en plus d’examens sont traduits en français.
La difficulté peut résider dans la qualité de la traduction de certains termes techniques.
Quelle que soit l’approche retenue par l’organisme accréditeur, il est clair que toute
certification n’a lieu d’être que si elle dispose d’une certaine reconnaissance au niveau
international. L’utilisation de la langue anglaise est incontournable. Il est sûrement
plus agréable de préparer un examen dans sa langue maternelle, cela donne plus de
chances de réussite en permettant de se concentrer davantage sur le fond que sur la
forme, grâce à la compréhension de la langue. Il est vrai qu’il faut aussi tenir compte
de l’aspect culturel. Mais l’utilisation de l’anglais doit devenir une seconde nature. Et
là, force est de constater qu’en France, nous avons un très grand retard en la matière.
Selon une étude parrainée par l’éducation nationale et menée en 2002 auprès de
12 000 élèves dans sept pays européens : au Danemark, en Finlande, au Pays-Bas, en
Norvège, en France, en Espagne et en Suède, les jeunes Français âgés de 15 à 16 ans
sont en Europe ceux qui maîtrisent le moins bien la langue anglaise. Une question
reste alors posée. Doit-on s’inquiéter de cette situation compte tenu qu’une majorité
de certificats aujourd’hui se préparent en anglais ? Si oui, dans quelle mesure peut-on
redresser le cap ?
Il est difficile d’y apporter une réponse immédiate. En effet, concernant l’enseigne-
ment des langues étrangères, le malaise semble être profond et le remède complexe.
30.4 POUR QUEL NIVEAU D’EXPERTISE ?
L’obtention d’une certification apporte-t-elle la garantie d’une meilleure d’expertise. ?

Voici une question légitime posée par bon nombre de responsables de services, compte
tenu du coût non négligeable des formations. Pour y répondre, il faut considérer deux
aspects :
• la démarche retenue par les organismes de certification ;
• les modalités d’évolution du cycle de vie du référentiel.
Concernant le premier point, les organismes de certification ont le choix entre

deux orientations.
30.4 Pour quel niveau d’expertise ? 187
Certains d’entre eux s’attachent à évaluer et à tester uniquement la connaissance.

La plupart du temps, ils considèrent que cette connaissance est la même quel que
soit le pays. Il suffit alors de constituer un questionnaire ou une étude de cas. Ils
peuvent les faire traduire, ou les faire appliquer en anglais. Même si c’est moins vrai
aujourd’hui, cela a été souvent l’option choisie par les dispositifs d’origine anglo-
saxonne tels que PMP, PRINCE2 ou ITIL. Pour un candidat libre, un tel examen
exigera un entraînement particulier pour maîtriser les tournures de style attendues par
l’examinateur. Pour les organismes d’enseignement supérieur qui intègrent ce type de
certification, le responsable du cursus devra concevoir son programme à travers une
dynamique d’équipe centrée autour du certificat en tant qu’objectif commun. Il fera
en sorte que le professeur d’anglais soit impliqué dans le processus dès l’élaboration
du programme. Ce dernier aura un rôle d’accompagnateur dans le cursus en utilisant
l’anglais comme langue de travail et de communication sur le sujet concerné. Une
double compétence sera la bienvenue pour tenir ce rôle.
D’autres organismes de certification pensent que tester la connaissance n’est pas
suffisant. Il faut aussi savoir évaluer la mise en application des acquis. Il ne s’agit
plus d’évaluer seulement le savoir, mais aussi le savoir-faire, voire le savoir être
de l’individu. Dans ce dessein, l’épreuve de certification doit pouvoir s’adapter aux
différentes cultures dans la langue du pays. C’est par exemple l’optique de l’IPMA.
Dans ce cas, le principe est simple. Il y a tout d’abord négociations entre l’organisme
international (IPMA) et l’organisme national (AFITEP pour la France) chargé de faire
appliquer la certification dans son pays. Ces négociations portent sur un cursus adapté
à la culture du pays selon des règles préétablies par l’organisme international pour
conserver la cohérence d’ensemble. Dès l’accord conclu, le processus de certification
peut être mis en œuvre. L’expérience est alors prise en compte sous forme d’atelier
de mise en situation ou de soutenance de mémoire à partir d’un projet réel. Pour
évaluer un candidat, le jury portera toute son attention sur la mise en pratique de sa
démarche dans un contexte vécu. Cela implique qu’il devra également intégrer dans
son appréciation toutes les contraintes externes, dont la culture d’entreprise. Notons
que la préparation aux certificats s’effectue alors dans la langue du candidat.
Second aspect à considérer pour apprécier la valeur d’une certification, celui de
l’évolution des référentiels. La plupart des organismes de certification font en effet
évoluer leur référentiel. Ces évolutions se matérialisent par un changement de version.
Très souvent, elles sont l’aboutissement d’un projet, soutenu par une campagne de
communication. Le propriétaire du référentiel ne doit pas sous-estimer l’importance
de cette campagne, s’il veut voir les utilisateurs concernés s’approprier le nouveau
modèle. Un bon exemple est celui du passage de la version 2 à la version 3 d’ITIL.
Le retrait de la version 2 d’ITIL était programmé pour décembre 2008. Or cela n’a
pu se faire, du fait de la pression des techniciens et ingénieurs appliquant la méthode.
Dans sa version 2, le référentiel avait été conçu sur une approche processus. Dans
sa nouvelle version, il est défini sur la base du cycle de vie du service rendu. Ce que
montre le schéma suivant.
Figure 30.1 — Positionnement V2 V3 du système ITIL
Les concepteurs de la V3 ont estimé que le pilotage et le contrôle du système

devaient davantage porter sur le service rendu que sur le processus lui-même,
supposant que l’interconnexion entre les services et les processus serait comprise
assez naturellement. Ce n’est pas si simple. Force est de constater que bon nombre
d’acteurs ne s’approprient pas le nouveau système aussi aisément qu’on aurait pu le
penser. En conséquence, des cours V2 continuent à être planifiés tout au long de
l’année 2009. Malgré tout, la version 3 devrait pouvoir s’imposer ; l’orientation cycle
de vie des services positionnant ITIL au plus près des exigences métiers du client
et des contraintes législatives et réglementaires du marché. Reste aux formateurs
à convaincre les intéressés du bien fondé de la nouvelle évolution. La plupart des
candidats ont l’expérience de la version précédente et deviennent de ce fait plus
critiques vis-à-vis du système.
L’appropriation et le succès du référentiel reposent ainsi pleinement sur la qualité
des formations données.
30.5 ET COMMENT OPTIMISER CETTE EXPERTISE ?

Reste alors une question. Comment une organisation peut-elle pleinement profiter
des connaissances acquises par tout nouveau certifié ?
Cela pose la question du partage des connaissances ou plus exactement de la gestion
de ce partage. En fait, il ne suffit pas de faire certifier des individus pour avoir un retour
30.5 Et comment optimiser cette expertise ? 189
plus ou moins immédiat sur la mise en application de tel ou tel sujet. Il faut aussi tenir
compte du comportement de chacun, de la culture d’entreprise, autant de paramètres
pouvant être des facilitateurs ou des freins au changement. Aussi, il importe de mettre
en place des mesures d’accompagnement tel que le « coaching » par exemple, pour
que la connaissance du sujet puisse être partagée et appliquée de façon collégiale et
cohérente dans les faits. Là encore, cela ne découle pas de soi. Il faut donc s’attendre à
ce que, dans un futur proche, ce ne soit plus vraiment la certification des personnes qui
sera au centre des préoccupations mais bien le transfert de la connaissance. L’organisme
utilisateur devra pouvoir prouver qu’il applique réellement les bonnes pratiques du
modèle choisi.
La capitalisation du savoir et sa gestion (intégration, transmission, partage et
appropriation) devraient être l’enjeu de ces prochaines années au sein de toute
organisation, la nécessaire mise à niveau des connaissances étant aussi un levier pour
l’amélioration continue.
31
Regard sur le management
de projet
Ce chapitre compare les différents dispositifs de certification de personnes dans le

domaine du management de projet. L’examen de leurs complémentarités facilite le
choix du dispositif le plus approprié à son contexte.
31.1 CHOIX DU DISPOSITIF
Une étude du Giga Group, souvent citée et jamais démentie depuis, annonçait en
2002 que plus de 70 % des projets d’entreprise n’atteindraient pas leurs objectifs !
Mener un projet n’est pas facile. C’est pourquoi entre le milieu des années 1960 et le
début des années 1980, plusieurs organismes se sont créés pour définir des référentiels.
Aujourd’hui en France, trois d’entre eux se partagent le marché :
• l’APMG accréditée par l’OGC pour gérer PRINCE2 et qui annonce 250 000
certifiés niveau praticien, avec 120 organismes de formation accrédités dans le
monde ;
• le PMI organisme américain qui délivre la certification PMP, dont les membres
sont répartis dans 125 pays et qui revendique plus de 250 000 certifiés ;
• l’AFITEP, association francophone, accréditée par l’IPMA pour le dispositif de
certification en direction de projet sur la base de l’IPMA Competence Baseline
et par l’ICEC pour le dispositif de certification en gestion de projet. Ces
accréditations donnent une valeur internationale à la certification qui est
reconnue dans 38 pays.
192 Chapitre 31. Regard sur le management de projet
Pour promouvoir son référentiel, chacun a mis en application son dispositif.

Comment ces dispositifs se positionnent-ils les uns par rapport aux autres ? Sont-ils
concurrents ou au contraire complémentaires ? Faut-il s’orienter vers un dispositif
précis ou plutôt se positionner sur deux dispositifs en choisissant le meilleur de chacun
d’eux ?
Le tableau 31.1 compare les dispositifs de management de projet selon trois axes
et apporte ainsi une ébauche de réponses à ces questions. L’axe Principes de base décrit
l’orientation globale du dispositif. L’axe Organisation du projet explique comment
sont traités le processus global du dispositif (gestion des phases), l’encadrement et
le pilotage, le démarrage et la clôture du projet. Enfin, l’axe Évaluation résume le
dispositif de certification.
31.2 CONCURRENCE OU COMPLÉMENTARITÉ ?

Les dispositifs de management de projet sont-ils en concurrence ou sont-ils complé-
mentaires ?
Un référentiel peut traiter le management de projet comme une entité de gestion,
la problématique est alors vue sous l’angle restreint de l’organisation ou de la
planification, ou adopter une approche plus encyclopédique à partir de connaissances
élargies à d’autres domaines.
Un modèle d’évaluation peut se contenter d’estimer les connaissances en manage-
ment de projet du candidat ou chercher en plus à évaluer ses compétences à partir de
ses expériences en management de projet.
Une telle situation rend les dispositifs très complémentaires les uns par rapport aux
autres. En reprenant les données du tableau 31.1, il est alors intéressant de positionner
chaque dispositif par rapport aux axes Démarche et Évaluation de la figure 31.1.
En analysant les retours d’expérience, nous observons que les personnes provenant
du monde des études et de la conception ont tendance à privilégier le dispositif du
PMI alors que ceux de la production s’orientent vers PRINCE2.
Comment les entreprises se positionnent-elles par rapport à cette configuration ?
Jusqu’à une période récente, le dispositif reconnu était celui du pays d’origine. Ainsi
les chefs de projet américains se faisaient certifier PMP par le PMI, les Britanniques
selon PRINCE2 et les Français ne connaissaient que l’AFITEP. Mais depuis quelques
années, les dispositifs s’exportent. PMP a été le premier à faire une percée conséquente
en France, peut-être parce qu’il a été le premier à être traduit en français. PRINCE2
commence à être utilisé par le biais des entreprises britanniques qui ont des unités
en France et il est aujourd’hui également traduit en français. De plus, les chefs de
projet n’hésitent plus à s’appuyer sur plusieurs dispositifs. Trois tendances semblent
émerger : l’approche méthodologique, l’évaluation des connaissances et l’évaluation
de la maturité.
L’approche méthodologique consiste à associer les spécifications du PMBOK avec
celles de PRINCE2 pour concevoir, suivre et évaluer l’état d’avancement d’un projet.
Tableau 31.1 — Comparatif des dispositifs de certification en management de projet
PRINCE2 PMP CDP CGP

PRINCIPES DE BASE
Prince2 est une méthode pour gérer un Le management de projet est Approche fondée sur 42 items et sur des Pas de référentiel commun aux
projet dans une démarche client décomposé en cinq groupes de éléments d’appréciation du comportement. dispositifs accrédités.
fournisseur. Ce cycle est découpé en six processus : de l’initialisation de l’action Le référentiel décrit les connaissances et En France, sa mise en œuvre
processus : projet jusqu’à sa terminaison formelle en l’expérience attendues à chaque niveau de est fondée sur le FD X50-107.
31.2 Concurrence ou complémentarité ?
– élaborer le projet ; passant par l’exécution et le contrôle de certification et complète ainsi le dispositif. Il se focalise sur la planification,
– initialiser le projet ; l’action dans une logique qualité PDCA. La différenciation par niveau distingue les les investissements et la
– contrôler une séquence ; Le management est aussi décrit comme projets complexes (niveaux A et B), des autres coûtenance.
– gérer la livraison des produits ; un ensemble de connaissances (neuf plus standard (niveau C) ; le niveau D évalue
– gérer les limites de séquences ; domaines de connaissance) et de uniquement des connaissances.
– clore le projet. compétences, reposant sur une saine
L’ensemble est encadré par les gestion de projet.
processus transverses de management
de projet : planification et pilotage.
ORGANISATION DU PROJET
Processus
Le projet est une action en PMI met en avant la technique de Le cycle de développement du projet est vu Identique au CDP.
environnement contrôlé et donc tout décomposition, un projet se comme un enchaînement de phases : une
naturellement, il y aura un début décomposant en phases, la phase phase est une tranche déterminée du projet qui
contrôlé (élaborer le projet et l’initialiser), pouvant elle-même se décomposer en est rationnellement isolée des autres.
une exécution contrôlée (dans lequel on étapes. Le concept est plus global que celui du PMBOK
s’attache à traiter le projet en termes de Le développement du projet de chaque dans la mesure où une phase ne fait qu’inclure
séquence) et une fin de séquence phase, voire de chaque étape met en un ensemble cohérent d’activités et de livrables
contrôlée. œuvre les cinq groupes de processus : de façon à atteindre des objectifs communs.
Il distingue les étapes techniques des – démarrage ; Une phase est délimitée par des jalons de prise
étapes de management. Les étapes sont – planification ; de décision.
obligatoires mais leur nombre varie – exécution ; L’Afitep s’appuie sur un principe d’organisation
selon les spécifications du projet – maîtrise des coûts ; le phasage de projet spécifique à des branches
– clôture. industrielles ou de type de projet.
193
194
Tableau 31.1 — Comparatif des dispositifs de certification en Management de Projet (suite)
PRINCE2 PMP CDP CGP

ORGANISATION DU PROJET
Rôles et encadrement
Le processus de pilotage du projet Le chef de projet est la personne Le chef de projet est une partie prenante, Sans objet.
institue deux niveaux d’encadrement : responsable de la gestion du projet. c’est-à-dire un acteur qui a un intérêt dans la
– le comité de pilotage projet constitué Les règles permettant au chef de projet réussite du projet, ceci au même titre que le
par l’équipe de direction du projet ; il d’établir les rôles et responsabilités ainsi client, l’utilisateur du produit ou la banque.
est animé par un décideur (Exécutif) qui que les affectations sont définies dans le Ce dispositif accorde plus de poids aux
a toute autorité sur le projet ; cadre de la planification aptitudes qu’aux connaissances nécessaires.
– le chef de projet qui est mandaté pour organisationnelle de la gestion des L’important est ce que le chef de projet doit
exécuter leurs décisions. Il remplit une ressources humaines. être capable de faire ; la définition de son rôle
fonction d’assistance au client. Le chef de projet assure une fonction de passant au second plan.
Différents rôles de management de fournisseur de service. Il s’agit d’apprécier les connaissances et qualités
projet sont clairement définis dans le Le référentiel ne dit pas ce qu’il faut que doit posséder le chef de projet. En
référentiel. établir mais comment l’établir. conséquence, le dispositif comprend un système
d’évaluation du comportement personnel en
plus des 42 éléments de connaissances.
Le dispositif insiste sur le fait qu’il faut définir
des instances de décision pour la bonne marche
du projet.
Démarrage
Lors de la phase d’initialisation, le projet Le démarrage est avant tout le Le lancement est traité dans la première phase Sans objet.
est confirmé (ou infirmé) en fonction des processus qui décide de l’existence du du projet par le processus d’initialisation. C’est
conclusions du cas d’affaire (Business projet, donnant ainsi l’autorisation de une activité de mobilisation durant laquelle les
Case) qui documente les justifications poursuivre les phases. objectifs, le périmètre du projet, les procédures
du projet (économiques ou autre). Le résultat du démarrage inclut une de travail et la planification initiale doivent être
Le projet sera ensuite géré selon ce cas charte projet. Un chef de projet est définis.
d’affaires nommé, les contraintes sont définies et La charte de projet est initialisée durant cette
les hypothèses identifiées avec leurs phase.
facteurs de risques. Le projet démarre par une expression de
besoin formelle.
Chapitre 31. Regard sur le management de projet
Tableau 31.1 — Comparatif des dispositifs de certification en management de projet (suite)
PRINCE2 PMI CDP CGP

CLÔTURE
La clôture du projet est la phase finale La clôture du projet est prévue dès La clôture du projet a pour finalité de valider les Sans objet.
permettant de mettre fin de manière l’initialisation (critères d’achèvement). produits livrables au client et de formaliser le
contrôlée au projet. Le comité de C’est, une activité de vérification et de retour d’expérience.
31.2 Concurrence ou complémentarité ?
pilotage du projet donne l’autorisation contrôle des éléments en vue d’une

de clôture. acceptation formelle du produit final à
livrer. Elle inclut la clôture administrative
du projet. C’est aussi l’occasion de
formaliser le retour d’expérience.
ÉVALUATION
Système simple à deux niveaux destiné Système d’évaluation à deux niveaux Système à quatre niveaux destiné à évaluer les Système à trois niveaux destiné
à tester les connaissances : destiné à tester les connaissances : connaissances, l’expérience et le comportement à évaluer les connaissances et
1. le niveau fondamental est entériné – la certification CPAM (assistant chef de du candidat. l’expérience.
par une épreuve sous la forme de QCM projet) valide les connaissances et savoir Le niveau D (assistant de projet) s’obtient en Le certificat de base est
à livre fermé qui dure une heure ; faire sur les techniques et outils de répondant à des questions ouvertes complétant commun avec celui de l’AFITEP
2. le niveau praticien est sanctionné par management de chef de projet ; les 24 questions fermées. CDP : c’est le certificat
un examen de 3 heures à livre ouvert – la certification PMP confirme les Le niveau C (responsable de projet) prévoit en d’assistant de projet.
qui comporte trois questions relatives à compétences, connaissances et savoir plus un atelier ou un mémoire, ainsi qu’un Ensuite tout candidat doit être
un scénario de projet. faire en management de projet et entretien oral. qualifié aux trois unités de
valorise l’expérience professionnelle. Les niveaux A (directeur de projet) et B (chef de valeur de planification,
projet) reposent sur la soutenance d’un mémoire estimation et coûtenance.
fondé sur un retour concret d’expérience, un Chaque unité est sanctionnée
entretien et une vérification des connaissances. par un examen reposant sur un
La candidature aux examens des niveaux A, B QCM et une étude de cas.
ou C nécessite la présentation d’un dossier. Lorsque le candidat a obtenu
ses trois certificats, il devient
éligible pour préparer son
mémoire de certification.
195
196 Chapitre 31. Regard sur le management de projet
Figure 31.1 — Positionnement des quatre dispositifs en Management de Projet
On considère que le PMBOK apporte un corpus de connaissances nécessaire au chef

de projet. PRINCE2, par sa structure organisationnelle, décrit surtout ce que doit
savoir et faire un chef de projet pour organiser ou contrôler un projet en optimisant les
relations avec le client. Les deux approches se complètent plus qu’elles ne s’opposent.
L’évaluation des connaissances permet au candidat de faire reconnaître son
expérience au sein de son entreprise ou de donner l’assurance de ses compétences à
ses clients. En France, de nombreux chefs de projet démarrent leur cursus par le PMP
et le poursuivent avec l’AFITEP-CDP. Ici, la complémentarité s’exprime non pas en
fonction d’une combinaison de deux dispositifs, mais comme une extension de l’un
vers l’autre.
L’évaluation des maturités permet d’associer les concepts du PMBOK ou PRINCE2
avec le modèle d’évaluation du PMI.
Loin de se faire concurrence, les dispositifs existants ont plutôt tendance à
se compléter. Ceci est rendu possible par des équivalences que les organismes de
certification établissent entre eux. Mais ils répondent chacun à une problématique
spécifique.
Ainsi PRINCE2 met plus l’accent sur la justification économique du projet, alors
que le PMI le fait sur le planning. Quant au CDP, il s’attache plus particulièrement
au respect des objectifs. Il en ressort un certain nombre d’éléments clefs supportés par
chaque référentiel, ainsi que le présente la figure 31.2.
31.2 Concurrence ou complémentarité ? 197
Figure 31.2 — Les points clefs des trois principaux dispositifs en Management de Projet
32
Regard sur la sécurité
Arrivé plus tardivement que la qualité dans le paysage de la reconnaissance profession-

nelle, le thème de la sécurité mérite une attention particulière. Dans les paragraphes
suivants, nous avons analysé plus finement les dispositifs relatifs à la sécurité ainsi que
les différents aspects qui s’y attachent.
32.1 SÉCURITÉ OU SÉCURITÉS ?
La sécurité est au cœur des préoccupations des entreprises, de leurs clients, actionnaires
et fournisseurs. Les référentiels et dispositifs relatifs à la sécurité se sont développés ces
dernières années avec l’apparition de nouvelles normes et de nouveaux certificats. Il
est désormais question de système de management intégré QSE, permettant d’aborder
le management de l’entreprise de façon globale, dans une démarche d’amélioration
unifiée. Mais ne nous y trompons pas, le terme sécurité est polysémique : les différents
dispositifs présentés n’ont pas forcément les mêmes objectifs. Dans le domaine des
systèmes d’information le S (pour sécurité) de QSE est typiquement un faux ami car il
fait référence à la norme OHSAS 18001 qui porte sur l’hygiène et la sécurité au travail.
L’expression système de management de la sécurité utilisé dans ce contexte peut prêter
à confusion avec un système de management de la sécurité de l’information (ISMS). Il
convient donc d’analyser les dispositifs relatifs à la sécurité suivant deux axes : le type
de risque à maîtriser avec la nature des objets protégés et l’objet de la reconnaissance.
Le tableau 32.1 présente les risques couverts par les différents dispositifs.
200 Chapitre 32. Regard sur la sécurité
Tableau 32.1 — Risques couverts par les dispositifs sécurité
Objet
Le risque Les objets protégés Dispositif
de la reconnaissance
BS 25999 Système
Perte de continuité
L’entreprise (non présenté de management de la
de l’activité
dans les fiches) continuité de service
Personne physique pour
DRI
ses compétences en
(non présenté
matière de continuité
dans les fiches)
d’activité
Perte de disponibilité, Personne physique pour
intégrité, Les biens et services ses compétences en
CISSP
confidentialité informatiques matière de sécurité
des informations informatique
CobiT : CISA
et CISM
Système
ISO 27001 de management de la
sécurité informatique
Inefficacité Produits de sécurité :
Le système
de dispositifs de Critères communs pare-feu (firewall),
d’information
sécurité informatique antivirus...
ITSEC
Niveau de maturité du
système de management
SSE-CMM
de la sécurité
informatique
Les finances
Risque de fraude de l’entreprise Loi de sécurité
Personne morale pour
financière /
Risque financier L’intérêt des ses résultats financiers
loi Sarbanes-Oxley
actionnaires
Divulgation GoodPriv Personne morale pour la
Les données
de données @cy (non présenté protection des données
personnelles
personnelles dans les fiches) personnelles
Les personnes OHSAS 18001 Système
Risque professionnel physiques dans leur (non présenté de management
activité de travail dans les fiches) de la sécurité
32.2 PRODUITS CERTIFIÉS
En matière de produits, le schéma français d’évaluation et de certification s’appuie sur

les ITSEC et les Critères communs. Le décret n◦ 2002-535 du 18 avril 2002, relatif à
l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des
technologies de l’information, en définit le contexte réglementaire et l’organisation.
32.3 Sécurité des systèmes d’information 201
32.3 SÉCURITÉ DES SYSTÈMES D’INFORMATION
La mise en place de mesures pour garantir la sécurité des systèmes d’information

est devenue une obligation incontournable. Nous trouvons dans ce domaine des
documents, spécifiques ou non à la sécurité, qui s’appliquent aux produits, aux
processus ou à l’entreprise.
Prenons, par exemple, la norme ISO 9001 : le mot sécurité n’y figure pas. Or, la
sécurité informatique est l’un des processus de l’entreprise qui doit être identifié, au
même titre que les autres, car il est nécessaire à la mise en œuvre d’un système de
management de la qualité. Comment concevoir un système de management de la
qualité qui laisserait le champ libre à la fraude, qui ne traiterait pas de la sécurité ?
D’ailleurs, la norme exige que le produit soit préservé et cela suppose sa protection.
Il existe désormais des normes ISO spécialisées dans le domaine de la sécurité :
l’ISO 27001 pour les exigences et l’ISO 17799 en matière de recommandations. Ces
normes couvrent différents aspects du traitement et de la protection de l’information
dont :
• la sécurité du personnel ;
• la sécurité physique et environnementale ;
• les problèmes d’accès et d’authentification ;
• la continuité de service.
On parle désormais de système de management de la sécurité ou de système de

gestion de la sécurité de l’information.
Dans une optique de démarche d’amélioration progressive, le SSE-CMM
(ISO 21827) donne des indications sur les moyens d’améliorer les pratiques en
matière d’ingénierie de sécurité des systèmes de la conception d’un produit ou d’un
système jusqu’à son retrait de service.
32.4 SÉCURITÉ FINANCIÈRE

Les textes législatifs, comme la Loi de sécurité financière en France et la loi Sarbanes-
Oxley aux États-Unis, font de la protection de l’information une obligation légale
dont la responsabilité est du ressort de la direction de l’entreprise, et plus seulement
des techniciens qui œuvrent autour des ordinateurs. L’informatique traite des flux
financiers de l’entreprise sous tous leurs aspects et conditionne l’exactitude des résultats
comptables. Le risque de fraude devient un risque majeur dans des entreprises qui
réalisent une part croissante de leurs transactions financières sur Internet.
La continuité de l’entreprise est conditionnée par celle des services informatiques :
la mise en œuvre de Plans de continuité d’activités (PCA) englobe en l’étendant celle
des plans de secours informatiques préparés par les informaticiens.
De nouvelles certifications sont ainsi apparues en matière de continuité d’activité :

• le DRI (Institute for Continuity Management) propose cinq niveaux de certifica-
tion de personne dans ce domaine : ABCP (Associate Business Continuity Profes-
sional), CBCV (Certified Business Continuity Vendor), CFCP (Certified Functional
Continuity Professional), CBCP (Certified Business Continuity Professional) et
MBCP (Master Business Continuity ProfessionaL) ;
• le BSI a développé en 2006 et 2007 la norme BS 25999, future norme ISO sur le
management de la continuité de service, dont les deux parties décrivent d’une
part les bonnes pratiques et d’autre part les exigences. Des certifications sont
proposées aux entreprises sur la base de la BS 25999-2, ainsi que des formations
certifiantes aux auditeurs et consultants.
En France, le référentiel de bonnes pratiques BP Z74-700 : Plan de continuité

d’activité (PCA) a été publié sur ce sujet par Afnor en février 2007, mais n’a pas
vocation à servir de base à une certification.
32.5 JUSTIFICATION DES COMPÉTENCES
Il ne faut pas oublier de certifier les individus afin de reconnaître leurs compétences en
matière de sécurité. Former et entretenir les compétences des personnes, c’est utile et
nécessaire ; exiger une certification, c’est aller encore plus loin dans la réduction des
risques en prenant une assurance contre l’incompétence technique, méthodologique
et managériale. Des certifications de personnes en matière de sécurité de l’information
sont ainsi délivrées sur la base de CobiT. Nous avons présenté les certifications de
personnes CISA et CISM dans le cadre du dispositif CobiT, ainsi que la certification
CISSP dans une fiche spécifique, mais il en existe bien d’autres, dont :
• GIAC (Global Information Assurance Certification) ;
• CCSP (Cisco Certified Security Professional), certification de qualification tech-
nique en matière de sécurité dont le programme est établi par Cisco. Il inclut
la sécurité réseau, la détection d’intrusion, la mise en œuvre de pare-feu et des
antivirus.
Le International Council of E-Commerce Consultants (EC-Council) ne propose pas

moins de 19 certifications différentes, s’adressant de façon très ciblée aux profes-
sionnels de la sécurité : vous pouvez par exemple être certifié « Hacker éthique »
ou « Développeur d’application sécurisée ». Le déploiement aux États-Unis des
certifications de personnes répond à un réel besoin d’entreprises qui ne peuvent
elles-mêmes contrôler le recrutement de spécialistes. Cela correspond sans doute
également à une lacune des formations universitaires en la matière.
32.6 Risque professionnel 203
32.6 RISQUE PROFESSIONNEL
À quels risques sont exposés les informaticiens ? Y aurait-il des maladies profession-
nelles spécifiques de l’informatique ? Une mauvaise ergonomie du poste de travail
informatique est la source de troubles musculaires et articulaires, de fatigue oculaire et
de maux de tête.
Le pourriel (spam) aurait suscité des cas de dérapage sérieux chez ses victimes. La
paranoïa serait une maladie professionnelle des informaticiens. En tout état de cause,
il paraît indéniable que les métiers de l’informatique engendrent un niveau de stress
élevé chez les professionnels. Cependant, aucun dispositif de reconnaissance spécifique
ne labellise, à ce jour, les conditions de travail de l’informaticien.
32.7 PROCESSUS ET BONNES PRATIQUES
Ce panorama des dispositifs en matière de sécurité ne serait pas complet sans citer les
référentiels de bonnes pratiques qui intègrent cette préoccupation dans un cadre plus
général. ITIL aborde la sécurité en traitant du risque lié à l’obligation de continuité
de service dans le processus de gestion de la disponibilité. L’identification et la gestion
des risques font partie des bonnes pratiques génériques de tous les dispositifs relatifs
aux projets. Les risques d’atteinte à la sécurité des informations sont généralement pris
en compte de façon prioritaire, compte tenu de l’importance de leur impact.
32.8 ORGANISATION DE LA SÉCURITÉ
La sécurité doit être traitée à la fois sur le plan technique et sur le plan organisationnel,
l’un ne pouvant être efficace sans le support de l’autre.
La sécurité des systèmes d’information dans l’entreprise peut être confiée à la DSI
ou à une Direction de la sécurité des systèmes d’information (DSSI), ne dépendant pas
forcément de la première. La mise en place d’un système de management de la sécurité
informatique relève donc de l’une ou l’autre. DSI ou DSSI recruteront des experts en
sécurité disposant de certificats spécialisés justifiant de leur niveau de compétences. Ils
incluront dans leur processus d’achat l’examen des certificats de produits sécuritaires.
En s’appuyant sur un référentiel tel qu’ITIL, ils pourront mettre en place les bonnes
pratiques nécessaires à la protection des données et à la continuité de service et en
vérifieront l’effet en surveillant les incidents touchant à la sécurité.
Le contrôle de la sécurité informatique peut relever de la DSI, de la DSSI ou encore
d’une direction de l’audit interne, directement rattachée à la direction générale et
indépendante des deux premières. Quelle que soit l’entité, celle-ci se préoccupera de
l’ensemble des risques financiers et opérationnels en les intégrant dans un cadre plus
large de gouvernance d’entreprise. Les auditeurs informatiques seront généralement
recrutés avec une double compétence validée par une ou plusieurs certifications. CobiT
fournira les bases du référentiel d’audit informatique qui pourra être adapté en fonction
des spécificités de l’entreprise.
Enfin, le thème spécifique de la protection des données personnelles pourra faire
l’objet d’une surveillance particulière avec la désignation par l’entreprise d’un corres-
pondant à la protection des données personnelles ou d’un correspondant informatique
et libertés (CIL) chargé du contrôle de l’application de la Loi informatique et libertés.
33
Regard sur le service
Initialement cantonnés au monde industriel, les dispositifs de certification étaient

jugés peu adaptés au monde du service et quasiment pas du tout à celui des services
informatiques. Nous assistons aujourd’hui à un nouveau phénomène : l’émergence de
référentiels dédiés à la fourniture de services.
Sur le thème de la certification des systèmes d’information nous avons été amenés
à présenter des dispositifs de certification : de produit, de systèmes de management
de la qualité ou de la sécurité, des compétences de personnes physiques. Mais quels
référentiels touchent vraiment à la certification du système d’information dans toutes
ses dimensions ? Quel dispositif permet d’accorder sa confiance à un prestataire de
services informatiques ?
33.1 CERTIFICATION DU SERVICE

La définition de méthodes précède naturellement la mise en place de dispositifs
vérifiant leur application.
En matière de système d’information, les méthodologies ne se sont longtemps
intéressées qu’aux phases de construction, en décrivant la démarche projet et les
cycles de développement. Ces méthodologies visent à maîtriser la construction d’un
produit logiciel. Or, le système d’information n’est pas un produit, c’est un processus au
sens de l’ISO 9000 chargé de fournir des services à des clients internes ou externes, en
réponse à des besoins plus ou moins bien formulés sous forme d’exigences. Les produits
logiciels ne sont que des ressources qui doivent être associées à des infrastructures
(matériel, système et réseau) pour rendre le service attendu aux clients utilisateurs. La
mise en œuvre de ces services fait également appel à des ressources humaines adaptées
et à des systèmes de pilotage.
206 Chapitre 33. Regard sur le service
Les méthodologies de production et les dispositifs de certification de services

commencent tout juste à apparaître aujourd’hui.
Nous avons présenté la certification de services au chapitre 5. C’est une certifica-
tion fondée sur des référentiels de certification de services qui définissent le service
offert par le biais d’indicateurs qualité couvrant les principales dimensions des attentes
des clients. Mais ce dispositif ne concerne que les offres de services prédéfinies, dont le
contenu peut être spécifié a priori. Nous savons bien que ces cas ne sont pas les plus
fréquents : la particularité des services du domaine informatique est de se construire et
se produire à la demande de la façon la plus adaptative et flexible possible.
Un premier véritable dispositif de certification de services est en cours de mise
en place à partir d’ITIL autour du référentiel ISO 20000. ITIL apporte le socle
méthodologique sous forme d’un ensemble de bonnes pratiques pragmatiques, à partir
desquelles un dispositif de certification peut être mis en place.
C’est ce même mécanisme, replaçant la maîtrise des processus métier au cœur de
la confiance, qui a conduit à la création des dispositifs eSCM dédiés au service. La
capacité d’un fournisseur et d’un client à maîtriser les différents aspects d’une relation
de service y est directement abordée.
Plus récemment, la publication de la constellation service du CMMI, le CMM-
SVC, qui n’est en aucune façon limité à du service dans le domaine des technologies
de l’information, pourrait faire concurrence à la certification de services telle qu’elle
est décrite au chapitre 5. Une grande différence existe toutefois au niveau de la
communication grand public : à la certification est associé un certificat alors que
l’évaluation ne délivre qu’une attestation.
Nous observons ainsi que la certification des systèmes d’information s’organise, de
façon très logique, suivant une typologie des processus, où nous retrouvons les trois
catégories classiques du métier, du support et du pilotage :
• les dispositifs de reconnaissance des processus de service, tels que l’ISO 20000,
le CMMI-SVC et l’eSCM, donnent confiance dans les processus métiers ;
• les dispositifs concernant les produits et les personnes donnent confiance dans
les processus de support du système d’information ;
• enfin, les dispositifs orientés contrôle ou mesure, comme CobiT, SAS 70 ou Six
Sigma, apportent la vision gouvernance constituant ainsi le niveau de pilotage
des processus de service.
Tout comme les trois niveaux de processus, ces trois niveaux de reconnaissance s’in-
tègrent à l’intérieur des dispositifs globaux de systèmes de management de l’entreprise,
tels que l’EFQM et l’ISO 9001.
Dans le domaine des systèmes d’information, la notion de service dépasse ainsi
celle de la stricte production informatique pour l’englober dans un référentiel plus
large qui devient celui du système de management du service.
La différence est de taille car elle implique la reconnaissance du caractère spécifique
de la fourniture de services par rapport à celle de fourniture de produit. Cette différence
était jusqu’alors absente dans la plupart des référentiels : ainsi l’ISO 9001 ne faisait pas
33.2 Reconnaissance et relation contractuelle 207
de distinction entre produit et service alors que les processus de contrôle, vérification,
validation sont par nature différents. Le service est, rappelons-le, consommé au fur
et à mesure qu’il est produit, ce qui par exemple transforme le concept statique de
traitement des non-conformités en processus dynamique de gestion des incidents.
Si nous passons ainsi en revue l’ensemble des dispositifs présentés, on s’aperçoit
qu’ils peuvent tous être considérés, d’une façon ou d’une autre, comme des dispositifs
fournisseurs d’un seul dispositif de reconnaissance maître, celui de la fourniture des
services :
• la certification des compétences humaines donne confiance dans les processus
mis en œuvre par les hommes ;
• la certification des produits donne de même confiance dans les processus qui les
utilisent ;
• la certification des processus de pilotage et des systèmes de management donne
une confiance renforcée dans les processus managés.
La logique des dispositifs est similaire à la logique d’imbrication des processus dans
le système d’information de l’entreprise. Tous ces dispositifs apportent leur pierre à
l’édifice de la confiance, mais il ne faut pas oublier que le pilotage, les hommes et
les produits utilisés ne sont que des outils au service des processus métier, ceux qui
produisent la valeur ajoutée du service. La confiance ne se décrète pas mais se mesure
à l’aune de la satisfaction du client.
33.2 RECONNAISSANCE
ET RELATION CONTRACTUELLE
L’évolution des technologies de l’information et, plus particulièrement, celle des
réseaux ont permis une croissance exponentielle du volume d’informations échangées
entre les particuliers et les différentes entreprises du monde entier. Sachant profiter de
la mondialisation des échanges commerciaux, certaines entreprises ont pu accroître
le volume de leurs activités. Mais cette croissance les a conduites à repenser leur
organisation en se recentrant sur leurs métiers ou sur leurs activités les plus rentables.
Cela les a amenées à confier certaines activités de support à des fournisseurs externes
pour réduire les coûts, transformer les coûts fixes en coûts variables et être plus réactives
sur leur marché. Il s’en est suivi alors une évolution majeure. Tout fournisseur d’un
produit ou d’un service s’intégrant dans le cycle de vie du produit ou du service de son
client voit la réussite de son activité dépendre de celle de ce dernier. Et inversement,
la solidité d’une entreprise s’appuie en partie sur la solidité de ses fournisseurs.
Qu’implique une telle situation ?
La simple relation dans laquelle un fournisseur se mettait d’accord avec son client
pour lui fournir un produit ne suffit plus. Dès qu’il y a un engagement de responsabilité,
un référentiel de base reconnaissant la qualité des résultats produits par le fournisseur
pour son client, apparaît nécessaire. Dans ce contexte, les dispositifs de reconnaissance
tels qu’ils sont présentés dans les chapitres précédents ont tout à fait leur place.
208 Chapitre 33. Regard sur le service
Dans le cas de l’infogérance par exemple, pour bénéficier de la confiance que peut
apporter un dispositif de reconnaissance, le client a tout intérêt aujourd’hui à faire
référence à l’ITIL. Il ne faut pas oublier que la confiance est un préalable en matière
de gestion de la relation client : elle implique l’engagement des hommes dans des
activités clés comme la conduite du changement.
Un dispositif de reconnaissance comme ITIL définit un cadre de référence dans
l’élaboration des activités faisant l’objet du contrat. La certification est émise par une
tierce partie indépendante reconnue pour son expertise, dans notre exemple l’OGC.
Indirectement, cette tierce partie peut être considérée comme un arbitre.
Mais un tel dispositif a aussi ses limites. Il ne répond pas forcément avec exactitude
à toutes les spécifications d’un contrat. Aussi faut-il bien définir le champ d’application
en distinguant ce qui est couvert par le dispositif de ce qui ne l’est pas. Il faut aussi
savoir identifier des spécificités liées à l’activité industrielle du client ; c’est le cas de
l’industrie pharmaceutique qui doit répondre à des exigences de la FDA (Food and
Drug Administration). Et enfin, il ne faut pas oublier d’intégrer les variantes culturelles.
Quoi qu’il en soit, dans cette relation entre un client et son fournisseur où le second
assure une prestation de service vis-à-vis du premier, le dispositif de reconnaissance
ne fait que fournir un guide. L’organisme certificateur ne peut qu’attester un certain
niveau de maîtrise dans la connaissance du sujet. Mais aucune norme ou aucun
règlement ne saurait garantir pleinement le savoir-faire et le savoir-être des individus
impliqués dans la mise en œuvre de contrats de service. Il appartient ainsi à chacune
des parties de valoriser au mieux la mise en œuvre du dispositif et d’instituer ainsi le
véritable climat de confiance nécessaire à toute exécution de contrat.
34
Regard sur le législatif
et le réglementaire
L’obligation ou non de se conformer à un document dépend de la catégorie du

document : s’agit-il d’un règlement, d’une norme ou d’un standard ?
Nous explicitons dans ce chapitre les différences entre ces types de documents pour
développer ensuite plus précisément la catégorie des textes législatifs et réglementaires
et commenter leur rôle croissant en tant qu’exigences imposées aux entreprises.
34.1 CATÉGORIES DE TEXTES APPLICABLES
Le tableau 34.1 classe les différents référentiels en règlements, normes et standards.
34.1.1 Règlements
Un règlement est une exigence légale à laquelle toute entreprise est tenue. Par
exemple, un site de fabrication pharmaceutique qui ne respecterait pas les exigences
de conformité aux bonnes pratiques de l’Agence du médicament serait contraint
d’interrompre sa production.
Certains règlements comme ceux qui régissent la certification des produits issus
de l’agriculture biologique, sans être d’application obligatoire, conditionnent la déli-
vrance d’attestations justifiant l’apposition de marques dont l’utilisation frauduleuse
ferait l’objet de poursuites.
210 Chapitre 34. Regard sur le législatif et le réglementaire
Tableau 34.1 — Règlements, normes et standards
Type de référentiel Référentiels
Lois et décrets relatifs à la certification de services,

Lois ou règlements Loi Sarbanes-Oxley.
Code des marchés publics.
ISO 9001
ISO 21827 (SSE-CMM)
ISO 15408
ISO 25051
ISO 15504
Normes ISO 27001
ISO 20000
Certains référentiels de certification de services comme
NF 13816.
CMMI ITSEC
CobiT SAS 70
EFQM TickIT
eSCM TL 9000
Standards HAS
Certains référentiels de certification de services.

Les référentiels de certification de personnes : AFITEP-CDP,
AFITEP-CGP, CISSP, ITIL, PCIE, PMP, PRINCE2, Six Sigma.
34.1.2 Normes
Les normes constituent la seconde catégorie de référentiels. Subsidiairement, elles
deviennent des exigences lorsqu’elles sont citées dans un marché public. Elles sont
produites par des organismes de normalisation, par exemple :
• internationaux, comme l’Organisme international de normalisation (ISO) et le
Comité électronique international (CEI) ;
• régionaux, comme le Comité européen de normalisation (CEN) en Europe ;
• nationaux, comme Afnor en France et les bureaux de normalisation, comme le
Bureau de normalisation de l’aéronautique et de l’espace (BNAE).
Il faut toutefois bien différencier les normes des autres documents (rapports, guides,
spécifications techniques, accords, etc.) publiés par ces organismes. Par exemple, un
fascicule de documentation d’Afnor, sans être une norme, est un document normatif.
De même, l’ISO publie sous le titre de rapport technique (TR) des documents de type
informatif et sous celui de spécifications techniques (TS) des documents initialement
destinés à devenir des normes, mais qui n’ont pas obtenu les niveaux d’approbation
requis ; ainsi que des documents décrivant les orientations de la normalisation dans
des domaines particuliers. Certaines normes sont mises à disposition à titre d’essai,
sous l’appellation de normes expérimentales.
34.2 Réglementations applicables 211
34.1.3 Standards
Les standards sont des documents rédigés par des entreprises ou des groupements
d’entreprises afin de répondre rapidement à un problème souvent sectoriel. Les
standards sont généralement considérés comme des normes de fait.
Dans ce domaine, la pression du marché est déterminante pour décider ou non de
l’utilisation d’un dispositif.
34.2 RÉGLEMENTATIONS APPLICABLES

Nous n’aborderons pas de nouveau dans ce chapitre les dispositifs comme la certifica-
tion de services ou la certification des établissements de santé dont le fonctionnement
est régi par des textes réglementaires, mais nous examinerons l’impact des lois et des
règlements sur les activités de l’entreprise et leurs systèmes de management.
Dans le cadre de son activité, un jour ou l’autre, toute entreprise est amenée à se
préoccuper de l’application de la loi et de différentes réglementations, françaises, euro-
péennes, voire internationales ou applicables dans les pays avec lesquels l’entreprise
est en relation commerciale.
La connaissance des lois, arrêtés et règlements applicables nécessite une veille
constante. Cette connaissance étant incontournable par exemple dans les secteurs de
la santé, du transport ou encore dans le monde bancaire et financier, les grands groupes
ont généralement mis en place des structures dédiées à cette veille. Ils interviennent
également en amont de l’élaboration des lois et règlements au travers d’organismes
professionnels, afin que leurs intérêts soient suffisamment pris en compte dans cette
élaboration.
Ces lois et règlements constituent un référentiel d’exigences dont le respect est
impératif. L’importance croissante du rôle de l’informatique dans toutes les activités
personnelles ou professionnelles a multiplié le nombre de textes législatifs à prendre
en compte dans la conception, le développement ou la mise en œuvre d’un système
d’information. Nous en présentons quelques aspects, de façon non exhaustive.
Le Code des marchés publics et le Code général des impôts ont dû évoluer, entraî-
nés par le mouvement de la mise en place de l’e-administration, pour tenir compte
de la dématérialisation des documents échangés et permettre la dématérialisation
fiscale des factures. Des dispositions d’archivage des pièces justificatives et relatives
à la signature électronique ont dû y être introduites. La réglementation bancaire en
matière de système d’information s’est également notablement renforcée ces dernières
années ; elle découle de la prise en compte des risques, y compris ceux qui sont relatifs
à la sécurité.
34.2.1 Bâle II
Le management du risque était à l’origine le métier de l’assureur. L’entreprise transférait
à ce dernier ses risques en se couvrant par une police d’assurance.
Les banques se sont intéressées naturellement à un type de risque particulier, le

risque financier et plus spécialement au risque de crédit : le client titulaire d’un prêt
pourra-t-il honorer ses échéances ? La maîtrise de ce risque est au cœur du métier de
la banque.
Le risque bancaire a donc été progressivement soumis à des référentiels de plus en
plus contraignants.
En 1988, un premier accord interbancaire conclu à Bâle (désigné généralement
sous le nom de Bâle I) entre 13 pays signataires de l’OCDE (Allemagne, Belgique,
Canada, Espagne, États-Unis, France, Italie, Japon, Luxembourg, Pays-Bas, Royaume-
Uni, Suède, Suisse) a fourni des directives sur le montant total de fonds propres
requis par établissement, afin de réduire le risque de défaillance bancaire et le coût
potentiel d’une telle défaillance pour les déposants. Perfectionnant ce mécanisme,
un nouveau dispositif baptisé Bâle II l’a remplacé. Il n’est devenu complètement
applicable qu’en 2006 du fait de la constitution préalable de bases statistiques sur
les risques opérationnels. Bâle II vise à améliorer la sécurité et la solidité du système
financier en accordant plus de place aux procédures internes de contrôle et de gestion
et en élargissant la surveillance aux risques dits opérationnels.
Ce référentiel, constitué d’un ensemble de recommandations, s’applique stric-
tement aux banques dans les pays où il a fait l’objet d’une transposition dans le
droit national, et de façon indirecte à la quasi-totalité des pays du monde, du
fait du caractère international et globalisé du système monétaire et financier. Il
n’existe aujourd’hui aucun dispositif global de reconnaissance de son application.
Nous pouvons seulement penser que, pour être efficace, ce mécanisme devra être
accompagné d’un dispositif de contrôle et de certification par un organisme reconnu
par la profession bancaire.
Quel rapport cela peut-il bien avoir avec les systèmes d’information ? Les banques
manipulent des masses considérables d’informations et sont grandes consommatrices
de services. La relation entre un client et ses fournisseurs entraîne forcément une
répercussion en cascade des exigences des banques vers leurs sous-traitants. Une
banque qui externalise tout ou partie de ses services informatiques, se place dans une
situation à risque potentiel élevé. Ainsi elle peut être contrainte par les organismes de
contrôle d’augmenter ses fonds propres. L’exigence de maîtrise du risque opérationnel
formulée dans les accords de Bâle II s’applique donc à la plupart des fournisseurs
de logiciel et aux sociétés de service, sous-traitants du monde bancaire ; ceux-ci
souhaiteront dès lors disposer de l’attestation adéquate pour démontrer leur capacité
en la matière.
Les sociétés disposant déjà d’un système de management de la qualité ne devraient
pas avoir trop de problème pour apporter la preuve de cette capacité : la maîtrise
des risques étant un processus déjà bien identifié dans des référentiels de la famille
ISO 9000. Notons simplement que l’application de cette réglementation n’a pas
suffisamment limité les prises de risque ayant conduit à la crise financière de 2008.
34.3 Quelques lois 213
34.2.2 Solvabilité II
Les compagnies d’assurance, tout comme les banques, se sont dotées d’une régle-
mentation européenne destinée à garantir le niveau de leurs fonds propres. Cette
réglementation, connue sous le nom de Solvabilité II (Solvency II) entre en vigueur
en 2009, en se transposant dans les différents droits nationaux et devrait entraîner
un changement de présentation des comptes des compagnies d’assurance, à partir de
2010. Comme pour Bâle II, il convient de mettre en place un véritable processus de
contrôle interne, destiné à identifier les risques opérationnels.
34.2.3 CRBF n◦ 97-02

Le Comité de la réglementation bancaire et financière (CRBF) a émis un ensemble de
règlements visant à renforcer les contrôless exercés par les établissements bancaires sur
leurs prestataires. Le règlement n◦ 97-02 du 21 février 1997 relatif au contrôle interne
des établissements de crédit et des entreprises d’investissement a ainsi été modifié
successivement en janvier 2004 puis en mars 2005. Il impose la mise en œuvre de
plans de continuité d’activité et développe un ensemble de « conditions applicables en
matière d’externalisation » visant à garantir la continuité du service.
Les banques sont ainsi amenées à développer leur plan de continuité d’activités et
à exiger de leurs prestataires la mise en œuvre de dispositifs de secours et un niveau
d’engagement formel sur le niveau de qualité de service. Les prestataires doivent
donner accès à toute information sur les services rendus et accorder un droit d’audit et
de contrôle très large, y compris en donnant accès sur place aux contrôleurs habilités.
34.2.4 Référentiel de sécurité du chèque

« Conformément aux dispositions de l’article L.141-4 du Code monétaire et financier,
la Banque de France s’assure de la sécurité des moyens de paiement scripturaux ». Ceci
est la première phrase du Référentiel de sécurité du chèque élaboré par la Banque de
France et applicable aux établissements financiers depuis 2005. Sécurité informatique
et maîtrise de l’externalisation sont au cœur du dispositif imposé aux établissements
financiers et, par voie de conséquence, à leurs sous-traitants.
Toute banque est ainsi tenue de justifier de la maîtrise de son système d’information
vis-à-vis de la Banque de France.
34.3 QUELQUES LOIS

En matière législative, les lois ayant une relation avec l’informatique et les systèmes
d’information se multiplient en tentant de répondre à différents besoins :
• la protection des données personnelles ;
• la sécurité des transactions financières ;
• la préservation des droits d’auteur.
34.3.1 Loi informatique et libertés

Révisée en août 2004, la Loi informatique et libertés du 6 janvier 1998 a pour objectif la
protection des données à caractère personnel. Elle s’impose à toute personne physique
ou morale constituant et manipulant des fichiers enregistrant des informations sur
des personnes physiques vivantes. Elle interdit toute collecte de données à l’insu des
personnes fichées et leur donne un droit d’accès et de rectification aux données qui
les concernent. On notera d’ailleurs que les données sur des personnes décédées ne
relèvent pas de cette loi.
Cette loi crée un cadre de déclaration obligatoire pour les fichiers de données
personnelles en restreignant leur usage selon les principes suivants :
• collecte loyale et licite des données ;
• collecte de données adaptée à la finalité des traitements ;
• droit d’accès et obligation de rectification ;
• limitation de la durée de conservation.
Nous ne détaillerons pas ici plus amplement cette loi, mais noterons qu’elle
s’impose à tout concepteur de systèmes d’information comme une exigence en amont
de toute spécification.
34.3.2 Loi pour la confiance dans l’économie numérique

La Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 a pour
objet de « donner une nouvelle impulsion au commerce électronique et à la sécurité
des transactions en ligne... Il s’agit de renforcer la confiance des acteurs, tout
particulièrement des consommateurs, et assurer les bases d’une croissance économique
fondée sur l’émergence de nouveaux services ».
L’internaute devrait être rassuré par la mise en place de dispositifs répressifs
concernant la cybercriminalité et la réglementation de la publicité en ligne. Côté
entreprise, la loi implique la mise en conformité des dispositifs de gestion de la relation
client et autres applicatifs de fidélisation. S’il n’agit pas directement sur le niveau de
confiance du consommateur, l’existence d’un cadre législatif plus précis peut cependant
rassurer ce dernier sur les recours envisageables en cas d’escroquerie manifeste. On
notera toutefois que la loi ne s’attaque ni à la cause majeure de l’insuffisance de
confiance qu’est la piètre fiabilité de certains logiciels, ni directement au phénomène
des virus.
La limite de cette loi est son caractère national, face à un phénomène qui dépasse
largement les frontières. Mais il s’agit bien de donner la priorité au développement de
l’économie française, donc d’inciter l’internaute français à consommer sur des sites
contrôlés ou recommandés par l’administration française.
34.3.3 Loi de sécurité financière

Toujours en France, la Loi de sécurité financière du 1er août 2003 renforce les pouvoirs
de contrôle financier. Elle oblige les entreprises à informer leurs actionnaires des
procédures de contrôle interne mises en place, en produisant un rapport sur les procé-
dures de contrôle interne relatives à l’élaboration et au traitement de l’information
comptable et financière. Pour ce faire, elle s’est donné trois missions :
• moderniser les autorités de contrôle et de régulation ;
• renforcer la sécurité des épargnants ;
• renforcer la sécurité et la transparence des entreprises.
Cette loi cherche à restaurer la confiance par une remise à plat des institutions et
par le renforcement de la transparence en exigeant des contrôles internes à tous les
niveaux dans l’entreprise aussi bien sur les aspects financiers qu’opérationnels. En cela,
elle a un caractère plus exhaustif que la loi Sarbanes-Oxley, son pendant américain...
Tableau 34.2 — Comparatif LSF et Sarbanes-Oxley
Loi de sécurité financière Loi Sarbanes-Oxley
Toutes les sociétés anonymes en Uniquement les sociétés cotées

France. aux États-Unis (Sec Registrants)
Sociétés concernées
Toutes les personnes faisant appel
public à l’épargne
Périmètre Chaque société Groupe
Toutes les procédures de contrôle Uniquement les procédures qui

interne. concernent les informations
Domaine Le contrôle porte sur les aspects comptables et financières.
financiers et opérationnels. Il faut
être conforme à la loi.
Référentiel Pas de référentiel COSO
Article 120 : les commissaires aux Section 404 : Les auditeurs

comptes présentent leurs attestent l’évaluation et établissent
observations sur la partie du un rapport.
Audit rapport du président couvrant le
contrôle interne relatif à
l’élaboration et au traitement de
l’information comptable et
financière.
Pour répondre à cette problématique de confiance, la loi Sarbanes-Oxley fait porter

l’effort sur la gouvernance d’entreprise en fiabilisant le reporting financier, en luttant
contre les fraudes, en renforçant les contrôles externes et les sanctions. Mais elle
limite son champ d’actions aux informations comptables et financières. En revanche,
elle s’est donné un référentiel en matière de contrôle interne le COSO (Committee Of
Sponsoring Organizations). L’équivalent n’existe pas dans le contexte français.
Dans le cadre de la refonte des institutions, la LSF a permis de créer l’Autorité des
marchés financiers (AMF) et le haut conseil du commissariat aux comptes (H3C).
L’AMF fournit des indications sur l’interprétation de la loi mais principalement dans
le domaine financier et plus particulièrement dans celui du conseil d’investissement
financier (CIF). Sur ce point, elle précise les obligations du CIF. Le H3C, organisé
en commissions par secteur d’activité, émet des avis techniques au titre des bonnes
pratiques professionnelles. Une commission sénatoriale1 a estimé que ce système était
perfectible et devait être amélioré (renforcement des moyens, reconnaissance des avis
techniques). Notons toutefois, que cette appréciation est limitée au fonctionnement
des institutions réglementaires.
Or les entreprises vivent de leur marché. Pour être plus performantes, elles se
recentrent de plus en plus sur leur métier de base. Les activités qui n’en font pas partie,
sont achetées dans le cadre d’un contrat de sous-traitance (sourcing). Avec l’extension
de ces mouvements d’externalisation, le volume des achats d’une entreprise a de plus
en plus de poids dans les comptes de résultat. Si l’on ajoute à cela l’intégration des
pratiques informatiques telles que SaaS (Software as a Service), on comprend bien
que toute entreprise doit s’interroger non seulement sur les contrôles de sa propre
organisation mais aussi sur les contrôles internes de ses sous traitants. L’association
entre un client et ses sous traitants prend la forme d’une entreprise étendue. Aussi,
dans un futur proche, les exigences réglementaires pourraient bien servir de levier aux
services achats. En attendant, elles alimentent le moulin du référentiel de sourcing,
l’eSCM-CL. Il faut sans doute y voir une raison de l’engouement actuel des entreprises
pour l’eSCM-CL en France.
34.3.4 Internet et droit d’auteur

Plusieurs projets de loi tentent d’accommoder nouvelles technologies et préservation
des droits d’auteur : la loi DADVSI (projet de loi relatif au Droit d’auteur et aux droits
voisins dans la société de l’information) prévoyait un ensemble de dispositifs anti-
copie, d’identification de l’utilisateur et de traçage de l’utilisation, et fut finalement
abandonnée. Avec Internet le cadre législatif déborde des frontières, la loi DADVSI
était une tentative de transposition dans la loi française d’une directive européenne
elle-même issue de l’application d’un traité international imposé par l’administration
Clinton.
Début 2009, une Loi Création et Internet est en projet avec pour objectifs la lutte
contre le téléchargement illégal et le soutien du développement des services légaux
de musique en ligne. Elle devrait aboutir courant 2009 à la création d’une Hadopi
(Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet).
Il est prévu que l’Hadopi délivre des labels garantissant la conformité des services de
diffusion. Nous voyons ainsi se développer une forme de certification actant du respect
de la Loi par les entreprises.
1. Loi de sécurité financière ; un an après, rapport n◦ 431 du 27 juillet 2004, rapporteur Philippe
Marini.
34.3.5 Le législatif américain

À côté de la fameuse loi Sarbanes-Oxley, le congrès américain a voté bien d’autres lois
dans le but de renforcer la sécurité des systèmes d’information. En voici les principales :
Le Gramm-Leach-Bliley Act (GLBA) de 1999 demande à tous les établissements
financiers des États-Unis de protéger les informations personnelles de leurs clients
et les oblige à prendre les dispositions nécessaires pour garantir la sécurité et la
confidentialité des données détenues sur les clients et à les protéger contre toute
menace pouvant les affecter.
Dans le cadre des soins de santé, le Health Insurance Portability and Accountability
Act (HIPAA), voté dès 1996, est chargé de protéger les informations détenues sur les
patients :
• dans les transactions électroniques véhiculant des données médicales ;
• dans les données concernant la vie privée ;
• par des règles de confidentialité, d’intégrité et de disponibilité des données
médicales.
Pour combattre le terrorisme, le congrès américain a fait voter en octobre 2001

l’US Patriot Act obligeant les institutions financières opérant aux États-Unis à
protéger les informations et les données financières contre tout accès illicite ou
malveillant. Pour y répondre, les dispositions suivantes doivent être appliquées :
• les contrôles d’accès ;
• la surveillance des utilisateurs ;
• le renforcement de la politique de sécurité ;
• le contrôle des configurations ;
• la détection de logiciels malveillants ;
• la sécurité des communications.
Le Federal Information Security Management Act (FISMA), voté en 2002, édicte les
mesures à mettre en place pour sécuriser les biens et les informations des institutions
fédérales aux États-Unis : il assigne au National Institute of Standards and Technology
(NIST) la responsabilité de développer les normes de sécurité que doivent appliquer
les agences gouvernementales américaines pour protéger leurs systèmes d’informations.
Ces standards sont publiés dans le Federal Information Processing Standards Publication
200 (FIPS PUB 200). Ils sont regroupés par domaine comme suit :
• le contrôle d’accès ;
• la sensibilisation et formation ;
• l’audit et responsabilité ;
• l’évaluation des contrôles ;
• la gestion des configurations ;
• le plan de continuité ;
• l’identification et authentification ;
• la gestion des incidents ;

• la maintenance ;
• la protection des médias ;
• la protection physique et environnementale ;
• la planification.
Ces dispositifs ont un caractère légal et donc obligatoire, certains d’entre eux étant
assez exhaustifs. Ils s’appliquent à toute entreprise, quelle que soit sa nationalité, ayant
des relations d’affaires avec des organismes américains issus des secteurs d’activité
précités.
Or certains d’entre eux, tels que le FISMA, peuvent avoir tendance de par leur
structure à être « vendus » comme une norme. Le législateur deviendrait-il le déposi-
taire d’une norme ? N’amalgamons pas les rôles. L’intérêt des normes internationales,
produites par des organismes comme l’ISO ou l’IEC, c’est justement qu’elles sont
internationales, alors que les lois ne le sont pas, tout au moins pour l’instant.
Les lois devraient donc se limiter à rendre obligatoire l’application de certaines
normes et non s’y substituer. Le législateur devrait rester le législateur.
35
Cartographies
Nous observons que les entreprises ont tendance à sélectionner un seul dispositif en
ne tenant pas compte des avantages que pourraient leur apporter des dispositifs com-
plémentaires. Ce chapitre brosse un paysage qui positionne les principaux dispositifs
les uns par rapport aux autres.
L’étude approfondie des différents référentiels montre qu’ils ont tendance à se
référencer les uns les autres. C’est ce que nous avons voulu mettre en évidence en
présentant les relations qu’ils ont entre eux.
Enfin, nous établirons une classification des dispositifs en indiquant le périmètre
de chacun d’eux.
35.1 POSITIONNEMENT DES DISPOSITIFS

Afin d’illustrer notre démarche, nous avons représenté (figure 35.1) le positionnement
actuel des dispositifs de reconnaissance présents sur le marché français, sous la forme
d’un paysage vallonné où s’écoule une rivière.
La position de la rivière au milieu de ce paysage est importante car elle marque la
frontière entre deux domaines : celui des technologies de l’information et celui des
dispositifs de reconnaissance globalement génériques.
• Sur la rive droite (à gauche), de l’amont vers l’aval (du haut vers le bas), on
trouve les technologies de l’information réparties en trois zones : le domaine
de la production informatique, celui du logiciel et enfin, celui de la sécurité
informatique.
• Sur la rive gauche (à droite), on trouve le domaine de la qualité sur la berge et
celui du management de projet sur les hauteurs ; la qualité se trouve près de la
rivière, c’est-à-dire proche des technologies de l’information.
220 Chapitre 35. Cartographies
Les drapeaux indiquent le pays d’origine du dispositif : France, Royaume-Uni,

États-Unis, Europe ou International (drapeau des Nations Unies).
Afin d’identifier rapidement les dispositifs qui occupent le territoire, nous les avons
représentés par des régiments ou des soldats isolés :
• le fantassin pour la certification des personnes ;
• la cavalerie pour la certification des systèmes et des entreprises ;
• l’artillerie pour la reconnaissance des produits ;
• un hussard à cheval pour l’attribution d’un prix.
Pourquoi représenter les dispositifs sous cette forme ? Tout simplement pour
exprimer le fait qu’ils se positionnent et évoluent à la manière de troupes sur un
champ de manœuvres.
Ce paysage évolue en permanence. Au début des années 1980, les réflexions
dans le domaine des technologies de l’information portaient essentiellement sur les
méthodes et plus particulièrement celles du développement : Corig dès 1967, Warnier
en 1970 puis, plus tard Merise. Ensuite, dans la seconde moitié des années 1980, on
a assisté à l’émergence de méthodes d’audit de sécurité telles que Marion pour le
secteur de l’assurance et Melisa pour l’Armée de l’air. Les premières certifications
en management de projet sont nées dans les années 1980, notamment avec la
certification de chef de projet (AFITEP-CDP). En 1987, apparaît le premier dispositif
de certification d’entreprise par rapport à un référentiel générique indépendant
du secteur d’activité, c’est l’ISO 9001. Entre 1990 et 1997, l’évolution se poursuit
principalement sur les axes du logiciel et de la sécurité avec une ouverture sur le service.
On commence alors à s’intéresser à la reconnaissance de la qualité. On voit apparaître
les premières évaluations SW-CMM (qui a été remplacé par le CMMI) pour le logiciel
et les certifications ITSEC pour la sécurité. Le mécanisme de la certification prend
ensuite de l’ampleur avec une lacune dans le domaine de la production informatique,
comblée depuis avec l’apparition d’ITIL en France accompagné de PRINCE2 pour le
management de projet, dans les années 2001-2002. À partir de 2005, sur la base d’ITIL,
les activités d’infrastructure informatique disposent d’un référentiel supplémentaire
certifiant les systèmes, l’ISO 20000. Peu avant, les activités d’externalisation ont eu
leur propre référentiel ; l’eSCM. C’est aussi à cette date que le législateur a introduit
en France la loi de sécurité financière. Enfin, dernier arrivé, le MSP intègre la gestion
des programmes et des portefeuilles de projets en accompagnement de PRINCE2.
On voit sur ce paysage que la certification de systèmes (la cavalerie) concerne
essentiellement les aspects méthodologiques de développement et intègre la démarche
d’évaluation de processus. En revanche, la certification de personnes (le fantassin)
porte davantage sur l’opérationnel avec ITIL, sur la sécurité avec le CISSP et sur le
management de projet avec le PMI qui certifie les individus selon le PMP depuis envi-
ron vingt ans. Rien d’étonnant ! Le développement de logiciel fait traditionnellement
appel à du personnel qualifié. Par ailleurs l’évolution technologique a conduit à une
plus grande complexité de la production informatique et de la sécurité. Les hommes
ont dû s’adapter d’où l’importance croissante attribuée à la certification des personnes.
35.1 Positionnement des dispositifs 221
Figure 35.1 — Le paysage

35.2 TICKIT
Nous n’avons pas repris dans cette édition la fiche relative à TickIT qui régresse en
France. Il y a moins de 10 certificats, essentiellement attribués au groupe Thales.
Un guide pour les auditeurs avait été élaboré en 1991 par BSI afin d’harmoniser
les résultats d’évaluation aboutissant à la certification ISO 9001. Ce guide sert, depuis,
de référence, au Royaume-Uni, à la certification TickIT ; « tick » voulant dire cocher
en anglais. Ce référentiel a constamment évolué et la toute dernière version, TickIT
Plus, date de juin 2009. On y trouvera des additifs par rapport à la certification ISO
9001, en particulier :
• des niveaux de maturité : bronze, argent, or et platine ;
• des extensions facultatives du champ d’application : par exemple ISO/IEC
20000 et ISO/IEC 27001 ;
• le mécanisme de révision des conditions de formation et de qualification des
auditeurs TickIT.
35.3 RELATIONS ENTRE LES DISPOSITIFS
On mesure la notoriété d’un chercheur au nombre de citations de ses articles dans

les bibliographies d’autres auteurs. C’est le principe adopté par Google pour établir
la notoriété d’un site Internet. De même, on pourrait mesurer l’importance d’un
référentiel au nombre de relations qu’il a avec d’autres référentiels.
Les référentiels font référence les uns aux autres, les nouveaux se créent à partir
de référentiels déjà éprouvés. La figure 35.2 met en évidence les relations qui existent
entre les dispositifs de la figure 35.1.
35.3.1 Influence de l’ISO 9001 sur les autres référentiels

L’ISO 9001 est la norme de référence incontournable, surtout depuis la sortie de la
version 2000. Il n’est plus possible de produire un quelconque référentiel sans men-
tionner cette norme ou son dispositif de certification. Les propriétaires de référentiels
estiment nécessaire de souligner les relations entre leur modèle et l’ISO 9001 : cela a
été par exemple, une des priorités pour le lancement de l’eSCM.
La norme ISO 25051 sur la certification de progiciel prend comme support
l’ISO 9001 pour les exigences sur les tests. La certification ISO 9001 est nécessaire
à l’obtention de la certification TL 9000. Les dispositifs de certification de systèmes
de management, comme l’ISO 20000 en matière de service ou l’ISO 27001 pour la
sécurité, font explicitement référence à l’ISO 9001 comme modèle d’amélioration
continue et de démarche processus.
35.3 Relations entre les dispositifs 223
Figure 35.2 — Des relations entre dispositifs
35.3.2 HAS, ISO 9001 et certification de services

Parmi les nouveautés du Manuel d’accréditation des établissements de santé, deuxième
procédure d’accréditation de la HAS, on trouve une politique visant à reconnaître
les différents systèmes de reconnaissance externe « afin de bénéficier de synergies
entre les démarches, d’établir les complémentarités et d’éviter les redondances entre les
procédures ». Il y est précisé « Selon les cas, peuvent par exemple être mises en œuvre une
certification ISO 9001 d’un secteur ou de l’établissement, une certification de service sur un
domaine... ». Ceci est une évolution importante par rapport à la version précédente
où il était déclaré que « Dans les établissements de santé, les procédures de certification
concernent essentiellement certains secteurs d’activité tels la restauration, le blanchissage, la
stérilisation... ».
Il est d’ailleurs précisé, dans la version de mars 2005 du guide Préparer et Conduire
votre Démarche d’Accréditation : « les principaux types de certification rencontrés dans les
établissements de santé sont :
• la certification des systèmes de management et en premier lieu, la certification
des systèmes de management de la qualité. Cette dernière certification se fonde
sur la norme ISO 9001 ;
• la certification de service : il s’agit d’une certification visant à s’assurer qu’un
service répond à des exigences spécifiées. Des référentiels ad hoc sont construits
pour chaque certification de service. L’élaboration de ces référentiels obéit à un
cadre réglementaire précis ».
35.3.3 ISO 15504 et ISO 9001

L’ISO 15504 peut être utilisée dans le contexte de la « Surveillance et mesure des
processus » (paragraphe 8.2.3 de l’ISO 9001) pour mesurer la qualité des processus du
système de management de la qualité. De plus, le cadre décrit dans l’ISO 15504 donne
la possibilité d’ajuster le champ de l’évaluation afin de ne traiter que certains processus
spécifiques d’une entité organisationnelle (une entité pouvant être une entreprise
ou une partie d’une entreprise). Un niveau d’aptitude 3 sur l’échelle de l’ISO 15504
assure la certification ISO 9001 vis-à-vis des exigences relatives au développement du
produit.
35.3.4 ITIL, ISO 20000, CobiT et ISO 9001

L’introduction du manuel ITIL – Service Delivery met en évidence l’importance de
l’adoption des bonnes pratiques de fourniture de services pour aider à améliorer la
qualité des procédures et donc à obtenir la certification ISO 9001.
De plus, l’ITIL insiste sur l’importance de la culture du changement et sur l’attitude
appropriée pour maintenir les procédures et processus.
La norme ISO 20000, directement issue d’ITIL, s’applique à la certification du
management des services. Elle s’appuie sur les principes de base de l’ISO 9001 en
faisant directement référence au PDCA de la roue de Deming.
Enfin, l’ISACA a présenté un alignement des processus CobiT V4 avec ceux d’ITIL
V3 et de l’ISO 27002. Le document peut être téléchargé sur le site de l’organisme.
35.3.5 EFQM et ISO 9001

La mise en œuvre d’un système de management de la qualité fait partie des critères
d’évaluation EFQM. À ce titre, une certification ISO 9001 correspond à l’obtention
d’un certain nombre de points dans le dispositif EFQM.
L’EFQM participe activement à la normalisation des systèmes de management
des organisations, en tant qu’organisation internationale en liaison avec le Comité
technique TC176 de l’ISO. Les principes de l’EFQM ont guidé la rédaction de la
version 2000 de l’ISO 9001. Cette tendance devrait aboutir à une prise en compte
encore plus marquée des concepts de la qualité totale.
35.3.6 ITIL et EFQM

ITIL aborde l’EFQM comme « un modèle pour ceux qui désirent atteindre un certain
niveau d’excellence dans le cadre d’un programme d’amélioration continue ». Le référentiel
EFQM vient donc en support des pratiques ITIL pour mettre en place une gestion de
la qualité totale.
35.3.7 Référentiels en management de projet

Certaines entreprises n’hésitent pas à associer le PMBOK et PRINCE2 pour encadrer
les projets et en particulier les projets informatiques.
35.4 Portée des dispositifs 225
Une différence substantielle existe d’ailleurs entre PRINCE2 et tous les autres
dispositifs de management de projet cités : PRINCE2 est davantage tourné vers
le service rendu au client. L’OGC le recommande naturellement pour la mise en
œuvre d’ITIL, car pour ce référentiel, l’objectif est avant tout de pouvoir répondre
aux exigences des processus métier du client. Dans les deux cas, il faut y voir un
engagement, une implication, dont la finalité est de livrer, à partir des technologies
de l’information, un ensemble de services apportant une valeur ajoutée au métier du
client.
Autre différence, la gestion des programmes et des portefeuilles de projets est
incluse dans le PMBOK, alors que PRINCE2 ne la traite pas en tant que telle et fait
référence à MSP, dédiée au sujet.
En France, une relation existe entre les différents dispositifs de management de
projet, ceux de l’AFITEP, du PMI ou PRINCE2. Elle concerne les passerelles entre les
différents dispositifs. Par exemple, ce sont des points PDU gagnés auprès de l’AFITEP
pour renouveler son certificat PMP, ou encore un certificat PMP qui est accepté en
équivalence du niveau D de l’AFITEP-CDP pour l’obtention du certificat de base de
l’AFITEP-CGP.
À noter que pour la version 4 de CobiT, l’ISACA a présenté des grilles de
correspondance avec PRINCE2 et le PMBOK.
35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM

À l’origine il y avait le SW-CMM spécifique au processus logiciel. Ce fut l’une des
sources pour l’élaboration de l’ISO 15504. Le SW-CMM s’est ensuite généralisé à tous
les processus d’ingénierie du logiciel et des systèmes sous le sigle CMMI.
Une des spécifications de conception du CMMI a été d’être conforme aux
exigences de l’ISO 15504. À l’aide de la vision continue du CMMI, il est possible
d’établir des équivalences entre des évaluations ISO 15504 et CMMI.
CobiT, SSE-CMM, eSCM proposent des modèles de maturité ou d’aptitude inspirés
de ceux qui sont développés par le SEI. Leurs points communs sont l’approche
processus et la présence d’un modèle d’évaluation de la maîtrise des processus à
plusieurs niveaux.
35.3.9 Critères communs et ITSEC

Les Critères communs sont issus des ITSEC dont ils constituent le prolongement. Ils
peuvent toutefois être utilisés de façon indépendante.
35.4 PORTÉE DES DISPOSITIFS

Un dispositif peut concerner tous les domaines d’activité ou seulement certains
secteurs bien délimités ; il peut s’appliquer à toute l’entreprise ou seulement à certaines
de ses fonctions. L’évaluation peut porter sur l’entreprise, sur certains processus, sur
des personnes physiques, sur des produits ou sur des services particuliers.
Le tableau 35.1 met en évidence la diversité des types de reconnaissance, existants
ou potentiels.
Tableau 35.1 — Périmètre des dispositifs
Secteur d’activité Activités concernées Entité évaluée Dispositif
EFQM
Entreprise ISO 9001
ou entité Sarbanes-Oxley
SAS 70
Toutes
Processus ISO 15504
Personne Six Sigma
Service Certification de services
Gouvernance Personne CobiT-CGEIT
Entreprise
ISO 27001
ou entité
Processus SSE-CMM
Sécurité des systèmes CobiT-CISM
d’information Personne
CISSP
Tous secteurs ISO 15408
Produit Critères communs
ITSEC
AFITEP-CDP
AFITEP-CGP
Management de projet Personne MSP
PMBOK
PRINCE2
Entreprise ISO 20000

ou entité eSCM
Processus CMMI
Informatique Produit ISO 25051
ITIL
PCIE
Personne
Testeur logiciel
CobiT-CISA
Santé Entreprise HAS

Toutes
Télécommunications ou entité TL 9000
36
Analyses
Dans tous les cas, que ce soit une démarche volontaire ou une obligation, la mise en
œuvre d’un dispositif de reconnaissance apporte des bénéfices internes et externes, en
contrepartie de coûts eux aussi internes et externes essentiellement dus à la charge
de travail nécessaire à la mise en œuvre et aux évaluations. De plus, il ne faut pas
négliger les perturbations dues aux changements d’organisation induits par le dispositif
et la mise en place d’indicateurs de mesures. Enfin, pour ceux qui mettent en œuvre
plusieurs dispositifs, il faut intégrer la prise en compte de processus différents ou de
processus définis différemment.
En fin de chapitre, nous répondrons aux questions suivantes : Quelle est la pérennité
de ces dispositifs ? Qu’est-ce que l’accréditation des organismes de certification ? Comment
devient-on évaluateur ?
36.1 BÉNÉFICES
Mettre en œuvre un ou plusieurs dispositifs est une décision stratégique de la direction

de l’entreprise. Le coût associé est important, que ce soit lors de la première mise en
œuvre ou pour le maintien du statut, qu’il s’agisse de libérer des ressources sous forme
de jours hommes en interne ou pour financer des prestations externes de conseil, de
certification ou d’évaluation.
Cette décision se prendra donc dans l’espoir d’un bénéfice attendu, interne ou
externe.
228 Chapitre 36. Analyses
36.1.1 Bénéfices externes

Les pressions externes proviennent de diverses sources : les clients, les actionnaires, le
marché.
Souvent quel que soit le dispositif, le seul but visé est l’obtention d’une reconnais-
sance formelle de la qualité des produits, des services ou des processus. Le résultat
attendu est alors l’obtention d’un certificat ou d’une attestation fournie par un
organisme indépendant. Ce bénéfice est loin d’être négligeable, la survie de l’entreprise
peut être en jeu lorsque les clients mettent l’obtention dudit document comme
préalable à la signature de tout contrat.
Cette demande peut également provenir non plus des clients, mais des actionnaires
comme c’est le cas pour les sociétés cotées en Bourse. Elle répond de plus en plus au
respect obligatoire d’une exigence légale ou réglementaire. Le respect d’une loi n’est
jamais optionnel, nous l’avons vu avec Sarbanes-Oxley. Les réglementations finan-
cières s’imposent en priorité à l’entreprise avant même toute démarche d’amélioration
volontaire, qu’elles concernent le respect des données personnelles ou qu’elles visent
le développement durable.
Le marché exerce sa pression pour l’application de tel ou tel dispositif. Par exemple,
la certification ISO 9001 est aujourd’hui devenue quasi incontournable. Ne pas être
certifié ISO 9001 devient synonyme de qualité non maîtrisée.
36.1.2 Bénéfices internes

Quel que soit le dispositif, la mise en œuvre d’un ou plusieurs dispositifs apporte
des bénéfices internes par l’amélioration du fonctionnement de l’entreprise et par la
satisfaction du personnel.
Bénéfices pour l’entreprise

L’amélioration du savoir-faire passe par une amélioration des pratiques. La mise en
œuvre de dispositifs éprouvés qui ont capitalisé l’expérience du domaine est une
richesse à ne pas négliger.
Lorsque les coûts de mise en œuvre sont amortis, les résultats financiers de
l’entreprise ne peuvent que s’améliorer grâce à l’utilisation de bonnes pratiques et
grâce à la vision externe de l’auditeur ou de l’évaluateur.
Il est important de communiquer avec l’ensemble des collaborateurs sur l’atteinte
des objectifs dont dépend la certification. La motivation du personnel est un facteur
clé du succès.
L’accréditation des organismes de certification donne à l’attestation une valeur
parfois universelle comme dans le cas de l’ISO 9001. Ainsi grâce à la notoriété de
l’organisme d’accréditation, le nombre d’audits, d’évaluations ou d’examens multiples
devrait diminuer.
36.2 Charges de travail 229
L’augmentation de la qualité (50 % avec la mise en œuvre du CMMI) et celle de

la productivité observée en parallèle (62 % avec la mise en œuvre du CMMI) sont
des avantages non négligeables.
Bénéfices pour le personnel

Une démarche de mise en œuvre d’un dispositif lorsqu’elle est réussie conduit à
l’amélioration des conditions de travail des équipes et à meilleure motivation. Ces
améliorations sont obtenues par la définition de rôles, de responsabilités et d’objectifs
associés non ambigus.
Par une meilleure connaissance des processus et par leur maîtrise, l’amélioration de
la productivité doit permettre de réduire le stress ainsi que les dépassements d’horaires.
La compréhension des enjeux et la participation des opérationnels à l’amélioration
augmentent la motivation et le plaisir pris au travail.
Les dispositifs visant la certification de personnes apportent une meilleure quali-
fication aux postulants. Plus généralement, toute mise en œuvre d’un dispositif fait
progresser la qualification du personnel concerné.
36.2 CHARGES DE TRAVAIL

La charge de travail à effectuer se répartit en deux grandes phases : la mise en œuvre
et l’évaluation.
36.2.1 Charge de mise en œuvre

La mise en œuvre d’un référentiel comprend de nombreuses activités qui dureront la
première fois plus d’un an. Il faut tout d’abord une décision de la direction, au plus
haut niveau, pour allouer les ressources. Il faut ensuite que l’entreprise s’approprie le
référentiel et le traduise de manière opérationnelle dans son contexte, pour définir
les pratiques et l’organisation adéquate. Il faut en parallèle assurer la conduite du
changement et généralement tester la démarche sur un domaine pilote avant de
pouvoir la généraliser.
La charge de travail associée à cette première mise en œuvre dépend généralement
de plusieurs critères : le niveau de l’entreprise au moment où elle décide de recourir à
un dispositif de reconnaissance, la motivation pour cette mise en œuvre et la taille de
l’entité concernée, sachant que ce peut être tout ou partie d’une entreprise. Souvent,
le niveau initial de l’entreprise est évalué par un état des lieux mettant en évidence
forces et faiblesses.
Le régime de croisière consiste à assurer la pérennité de la mise en œuvre
du dispositif et son efficience ; il nécessite également des ressources en personnel
pour effectuer des vérifications périodiques, prendre en compte les remarques ou
commentaires des auditeurs et évaluateurs, identifier les axes d’amélioration...
Chaque dispositif s’appuie sur une organisation qui lui est propre. Certains
dispositifs précisent des rôles. L’ISO 9001:2000 précise au paragraphe 5.5.2 celui du
représentant de la direction. Le Six Sigma précise ceux du directeur, du champion, du
Black Belt et du Green Belt.
Le CMMI se contente de définir un groupe de personnes comme le Process group
qui regroupe des spécialistes dont le rôle est de faciliter la définition, la maintenance
et l’amélioration des processus utilisés par l’entreprise. Le rôle de manager y est décrit,
c’est la personne qui dirige d’un point de vue technique et administratif ; ses fonctions
incluent la planification, l’organisation, la direction, le contrôle du travail dans sa
sphère de responsabilité. Parmi les managers cités, on trouve le chef de projet qui
est responsable entre autres de la satisfaction du client ainsi que le senior manager,
dirigeant de haut niveau, qui a le pouvoir d’allouer des ressources pour les activités
d’amélioration et d’efficacité de processus. Le temps à consacrer par chaque acteur
à l’intérieur du dispositif est rarement explicité. Il est donc difficile de disposer de
chiffres objectifs et complets qui permettraient une comparaison.
36.2.2 Charge d’évaluation

La charge d’évaluation comprend la charge interne de celui qui se fait certifier ou
évaluer et celle de l’auditeur ou évaluateur.
Charge de travail interne

Dans le cas de la certification de personnes, la charge interne correspond à l’effort
que doit fournir la personne pour réussir son examen. Cette charge dépend du type
de préparation : rédaction d’un mémoire, formation par lecture, par enseignement
assisté à distance ou par le suivi physique d’un cours. Il est entendu que l’acquisition
de l’expérience est un préalable et n’est pas comptée dans le temps de formation.
Il en est de même lorsque l’objet de l’évaluation est une entreprise, la charge de
travail dépend alors de son niveau de maturité. Les autres critères sont :
• la taille de l’entité évaluée, le nombre de personnes, le nombre de projets, le
type d’activités, etc. ;
• le choix du modèle d’évaluation qui dépend de l’objectif visé : amélioration ou
reconnaissance externe ;
• la formation nécessaire préalable à l’évaluation afin de disposer d’un langage
commun dans l’entreprise.
Alors que pour la plupart des dispositifs, l’évaluation n’a pas d’influence directe sur
l’objet évalué, dans le cas des ITSEC et des Critères communs, cette évaluation a un
impact immédiat sur le produit en conditionnant son processus de construction et de
production.
36.3 Mesures 231
Charge de travail externe

La charge de travail externe est généralement précisée dans le dossier de demande
d’évaluation.
Certains dispositifs comme le TL 9000 indiquent dans la documentation la durée
de l’audit sur site en fonction de la taille de l’entité.
Dans le cas du SCAMPI pour l’évaluation CMMI, le déroulement des opérations
d’évaluation est précisé : la planification, la préparation et la réalisation durent trois
mois. En revanche, il n’y a pas d’indications sur la charge de travail.
36.3 MESURES
Pour paraphraser Lord Kelvin, on ne sait faire progresser que ce que l’on sait mesurer.
La mise en place d’un processus de mesure est donc indispensable pour conduire une
démarche d’amélioration. Ainsi :
• mesurer les performances actuelles permet de décider des priorités d’améliora-
tion ;
• mesurer les performances obtenues permet d’évaluer l’efficacité des nouvelles
pratiques ;
• mesurer les résultats obtenus permet de convaincre de la pertinence et de
l’adéquation de la démarche mise en place.
Aucun indicateur n’est généralement imposé par les différents dispositifs : ceux-
ci se limitent à formuler l’exigence de mise en place d’indicateurs, sans plus. Des
exemples pédagogiques sont parfois fournis dans la documentation du dispositif, par
exemple dans le guide de la HAS, Préparer et conduire votre démarche d’accréditation.
On note toutefois que le référentiel CobiT se distingue en présentant une panoplie
complète de tableaux de bord stratégiques (BSC, aussi appelés tableaux de bord
équilibrés ou encore tableaux de bord prospectifs).
L’évolution du SW-CMM vers le CMMI renforce les exigences de mesures :
celles-ci se manifestent par la mise en œuvre d’un domaine de processus (Process
area) spécifique aux mesures et à l’analyse de ces mesures dès le premier niveau
d’amélioration.
Certains organismes recueillent les résultats de mesures à des fins statistiques ou
de diffusion de bonnes pratiques. Par exemple, les données résultant des évaluations
officielles CMMI sont transmises au SEI qui les analyse et publie des résultats globaux.
Le QuEST Forum collecte périodiquement les indicateurs des entreprises certifiées sur
la base des données du TL 9000 ; cette base constitue un véritable observatoire, outil
d’aide à la décision pour définir les axes d’amélioration prioritaires pour les clients et
ses fournisseurs. La HAS recueille les indicateurs créés par les établissements de santé
pour les diffuser ultérieurement.
36.4 PROCESSUS
Aujourd’hui, le mot processus est l’un des termes les plus utilisés dans les entreprises.
On le retrouve dans la quasi-totalité des référentiels. Cet emploi généralisé laisse
penser qu’on évoque le même concept dans tous les référentiels, mais est-ce vraiment
le cas ?
36.4.1 Vision « Système de management de l’ISO 9000 »

L’ISO 9001 utilise la définition fournie par la norme ISO 9000 : « Ensemble d’activités
corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie ».
L’approche processus est le maître mot de la version 2000 qui exige l’identification des
processus sans toutefois en fournir de nomenclature. Chaque entreprise doit construire
sa cartographie des processus en cohérence avec sa stratégie. Les processus clés sont
ceux du métier de l’entreprise. Une idée reçue voudrait que les processus aillent du
fournisseur vers le client ou dans le meilleur des cas du client vers le fournisseur. En
fait, les processus vont bien du client au client comme on peut l’observer dans le
schéma explicatif de l’ISO 9000 (Modèle d’un système de management de la qualité
basé sur des processus) : ils transforment l’expression du besoin en satisfaction tout
autant qu’ils transforment les éléments physiques d’entrée du processus en éléments
de sortie.
36.4.2 Vision de la HAS

La version expérimentale de novembre 2003 du Manuel d’accréditation des établisse-
ments de santé de l’ANAES introduit la notion de processus de la manière suivante :
« Ce terme est apparu dans le vocabulaire français au milieu du XVIe siècle (1541).
Il vient du latin processus, progrès, action de s’avancer. Ensemble complexe de tâches
à réaliser dans un objectif donné. À ne pas confondre avec la procédure qui décrit la
manière de réaliser le processus ».
En septembre 2004, la définition du terme processus a été modifiée pour s’aligner
sur celle de l’ISO 9001:2000. La notion de processus apparaît systématiquement dans
le manuel. On y trouve deux grandes catégories de processus : les processus métiers et
les processus de support. Cette dernière catégorie fait l’objet du chapitre 2 Ressources
transversales du Manuel d’accréditation des établissements de santé.
36.4.3 Vision Ingénierie du logiciel de l’ISO 12207

L’ISO 12207 sur lequel s’appuie l’ISO 15504 définit le processus comme un ensemble
d’activités liées qui transforment des éléments entrants en éléments sortants et en
fournit une nomenclature assimilable à une liste d’activités.
Toutefois, l’amendement de 2002 de l’ISO 12207 décrit les processus en termes de
finalités à atteindre et de résultats à produire. L’ISO 12207 est ainsi utilisable comme
modèle de référence de processus pour une évaluation à l’aide de la norme ISO 15504.
36.4 Processus 233
36.4.4 Vision du SEI

Pour sa part, le SEI ne décrit pas de processus.
Historiquement, le SW-CMM ne traitait que d’un seul processus : le processus
logiciel. Pour mettre en œuvre ce processus, un ensemble de secteurs clés était
défini en fonction du niveau de maturité. Le processus est décrit comme un levier
permettant l’amélioration durable d’une entreprise, via des progrès successifs jalonnant
le cheminement d’un processus improvisé et immature vers un processus mature et
discipliné.
Le SEI reprenait alors la définition de l’IEEE-STD-610 : « Un processus est une
suite d’étapes réalisées dans un but donné ». Le processus logiciel est ainsi un enchaî-
nement d’activités, de méthodes, de pratiques et de transformations permettant le
développement et la maintenance de logiciels et des produits associés (plans de projet,
documents de conception, programmes, jeux de tests et manuels utilisateur).
Dans le CMMI, le SEI précise que les descriptions fournies ne sont ni des processus,
ni des descriptions de processus et que chaque entreprise doit adapter à son contexte
les domaines de processus du CMMI pour élaborer ses processus. Ces domaines de
processus ne font que décrire des comportements qui devraient être mis en place dans
toute entreprise.
36.4.5 Vision du PMI

Le PMBOK définit un processus comme étant « une série d’actions qui produit un
résultat ». Il distingue deux catégories de processus :
• Les processus de management de projet décrivent les activités communes à tout
type de projet. Ils sont regroupés en neuf domaines de connaissances.
• Les processus de production traitent des spécifications et de la création du
produit final. Ils sont définis par le cycle de développement du projet et varient
selon le domaine d’application.
36.4.6 Vision PRINCE2

PRINCE2 décrit une méthode de management de projet à base de processus. Pour
PRINCE2 un processus est « ce qui doit être réalisé pour parvenir à un résultat
particulier, en termes d’informations à réunir, de décisions à prendre et de résultats à
produire ».
36.4.7 Vision ITIL

Dans ITIL, la qualité de service se fonde sur une approche processus. Un processus se
définit comme une « série organisée d’actions, d’activités, de changements exécutés
par des acteurs avec l’intention de satisfaire et d’atteindre un objectif ».
Il est perçu comme un modèle :

• composé d’activités exécutées par des acteurs connaissant leurs rôles et respon-
sabilités ;
• disposant de spécifications d’entrée et de sortie ;
• contrôlé par un système de mesure effectif connu des acteurs impliqués ;
• avec un engagement de résultats ;
• supervisé par un propriétaire de processus.
36.4.8 Vision Sécurité

Dans le domaine de la sécurité, la grande innovation des ITSEC et des Critères
communs (ISO 15408) a été d’exiger la formalisation et la mise en œuvre de bonnes
pratiques dans les processus de développement, d’évaluation et de production. Les
dispositifs plus anciens ne s’intéressaient qu’au produit résultat qu’il suffisait de
contrôler.
36.4.9 Conclusion
On s’aperçoit que les utilisations du terme processus varient d’un référentiel à l’autre.
Son emploi traduit cependant toujours le besoin de formaliser et de modéliser le
fonctionnement d’une entreprise ou d’un système pour mieux le comprendre et pour
mieux le maîtriser. Le processus représente l’aspect dynamique de l’entreprise, son
pouvoir de transformation des ressources avec valeur ajoutée. La reconnaissance de la
performance de l’entreprise est toujours plus ou moins la reconnaissance de l’efficacité
de ses processus.
36.5 ACCRÉDITATION DES ORGANISMES

DE CERTIFICATION
On constate que le terme accréditation employé dans différents contextes présente
différentes acceptions. Pourquoi ?
Au sens premier, l’accréditation est un mécanisme par lequel un acteur, personne
ou organisme, donne sa garantie en faveur d’un tiers. L’accréditation donne la
légitimité pour « agir en qualité de ».
Ainsi, tout comme un ambassadeur est accrédité pour représenter son pays, un
organisme de certification est accrédité pour délivrer un certificat au nom d’un
organisme officiel, lequel lui délègue ce pouvoir en garantissant en même temps la
valeur du certificat émis. Les organismes d’accréditation nationaux, tout comme les
États accréditent leurs ambassadeurs, se font confiance mutuellement en reconnaissant
l’équivalence des certificats délivrés par les organismes avec lesquels ils ont conclu des
accords de reconnaissance mutuelle.
36.5 Accréditation des organismes de certification 235
En France, le Comité français d’accréditation (COFRAC) a été mis en place par

les pouvoirs publics pour cautionner les organismes qu’il accrédite dans la preuve de
leur compétence et impartialité. Il a signé des accords de reconnaissance mutuelle
avec des organismes européens et internationaux grâce auxquels les certificats obtenus
par des organismes qu’il a accrédités sont acceptés partout.
Néanmoins, il n’est pas indispensable d’obtenir une accréditation délivrée par un
organisme tel que le COFRAC pour réaliser des activités de certification reconnues. La
valeur du certificat ne dépend que de la notoriété de l’organisme certificateur. C’est en
particulier le cas de ce que nous appellerons des dispositifs propriétaires qui réalisent
des évaluations, mais aussi parfois des certifications. Nous citerons par exemple la
certification des établissements de santé : la HAS délivre elle-même le certificat à
l’établissement de santé en lui accordant ainsi son crédit, synonyme de confiance dans
l’exécution de ses activités.
L’IAF (International Accreditation Forum) regroupe au sein d’un organisme interna-
tional les comités d’accréditation des différents pays ou différentes régions du monde,
tels le COFRAC pour la France. Il facilite la mise en place d’accords de reconnaissance
mutuelle entre ces organismes et veille à la qualité des processus d’accréditation mis
en œuvre par ses membres.
Le tableau 36.1 présente les organismes d’accréditations qui ne sont pas réglemen-
tés. On voit sur ce tableau que le contrôle de l’attestation est effectué par l’organisme
propriétaire du dispositif. Ce contrôle s’effectue soit par la maîtrise des évaluateurs,
soit par la maîtrise du processus complet, de bout en bout, jusqu’à la délivrance de
l’attestation.
Tableau 36.1 — La certification non réglementée
Dispositif Organisme d’accréditation
CMMI SEI
EFQM EFQM
HAS HAS
ISO 15504 iSQI/iNTACS
TL 9000 QuEST Forum
La certification de personnes entre systématiquement dans le cadre d’un dispositif

propriétaire. Le tableau 36.2 met en évidence la présence de l’organisme d’accrédita-
tion dans de nombreux pays, ce qui permet à des certifications décernées en France de
bénéficier d’une reconnaissance dans ces pays.
Tableau 36.2 — La certification des personnes
Présence de Organisme Centres

Organisme
Dispositif l’organisme certificateur d’examen
d’accréditation
d’accréditation dans pour la France en France
AFITEP-CDP IPMA 45 pays AFITEP Oui
AFITEP-CGP ICEC 41 pays AFITEP Oui
CISSP (ISC)2 104 pays (ISC)2 Oui
CobiT CGEIT ISACA 160 pays AFAI Oui
CobiT-CISA ISACA 160 pays AFAI Oui
CobiT-CISM ISACA 160 pays AFAI Oui
APMG-
International
BCS-ISEB
DANSK IT
33 pays (ceux des
ITIL APMG DF Certifiering AB Oui
membres de l’itSMF)
EXIN
LCS
TÜV SÜD
Akademie
APMG au nom
MSP APMG Plus de 50 pays Oui
de l’OGC
PCIE ECDL 140 pays Euro-Aptitudes Oui
PMBOK PMI 68 pays PMI France Oui
APMG au nom
PRINCE2 APMG Plus de 50 pays Oui
de l’OGC
Testeur
CFTL-ISTBQ 40 pays CFTL Oui
logiciel
36.6 FORMATION DES AUDITEURS ET ÉVALUATEURS
Qu’en est-il de la formation de ceux qui attribuent le certificat ? Il existe un

ensemble de formations sanctionnées par un certificat spécifique à chaque dispositif.
Ces formations permettent de suivre un schéma de certification des auditeurs ou
évaluateurs. Elles sont généralement agréées par l’organisme de certification. Leur
36.6 Formation des auditeurs et évaluateurs 237
objet est d’assurer la reproductibilité des résultats de certification ou d’évaluation, quel

que soit l’évaluateur.
Malgré tout, des différences peuvent exister entre des certifications réalisées
par différents organismes certificateurs. En fait, cela varie d’un dispositif à l’autre.
Généralement c’est le propriétaire du dispositif qui fixe les règles, à défaut c’est
l’organisme de certification. Dans le cas de la HAS, les experts visiteurs sont nommés
par la HAS. Dans le cas de l’ISO 9001, il y a par exemple l’Institut de certification
des auditeurs (ICA) dépendant d’AFAQ-Afnor, l’IRCA qui attribue la qualification
LRQA.
Dans le domaine de la certification de personnes, l’examinateur détient un
certificat en cours de validité. Ces exigences sont parfois plus strictes comme dans le
cas de PRINCE2 où l’on demande à l’examinateur potentiel d’obtenir 105 points à
l’examen de niveau Praticien, alors qu’on n’en demande que 85 au formateur et 75
au candidat. Dans les domaines où il n’existe pas d’organisme de reconnaissance,
des solutions peuvent être trouvées. Par exemple pour l’évaluation de processus
selon l’ISO 15504, c’est l’iNTACS qui prend l’initiative et agrée les auditeurs et
les formations.
37
Gouvernance
et responsabilité sociale
de l’entreprise
Gouvernance d’entreprise, gouvernance informatique, responsabilité sociale de l’en-

treprise et développement durable font désormais partie du vocabulaire des dirigeants.
Sans développer ces concepts qui font l’objet de nombreuses publications, nous
essaierons de montrer comment ils s’inscrivent naturellement dans l’évolution des
dispositifs de reconnaissance.
37.1 GOUVERNANCE
Le concept de gouvernance est apparu récemment dans certaines entreprises françaises
en réponse aux inquiétudes de leurs actionnaires alertés par plusieurs scandales
boursiers. La démarche de gouvernance est d’abord une démarche de surveillance
et de maîtrise des risques. Elle s’appuie sur des référentiels de nature réglementaire
généralement issus des organismes de surveillance boursiers.
Nous citerons en Angleterre le Combined Code on Corporate Governance (Code
combiné sur la gouvernance d’entreprise) et le Rapport Turnbull – Internal control :
Guidance for Directors on the Combined Code (Lignes directrices à l’usage des directeurs
pour la mise en œuvre du Code combiné) ; ils s’appliquent tous deux aux sociétés
cotées à la Bourse de Londres.
Ces rapports précisent les responsabilités des membres du conseil d’administration
dans la mise en place et l’entretien d’un système de contrôle interne et de gestion des
240 Chapitre 37. Gouvernance et responsabilité sociale de l’entreprise
risques. En France, la Loi de sécurité financière renforce les pouvoirs de contrôle en

créant une Autorité des marchés financiers, mais elle s’arrête aux portes de l’entreprise
sans définir les principes de gouvernance.
Historiquement, la démarche qualité s’intéressait prioritairement à la satisfaction
du client. La gouvernance d’entreprise s’intéresse à la protection des intérêts de
l’actionnaire et principalement à des sujets comme le salaire des dirigeants ou les
irrégularités comptables. Le principe de base de la gouvernance est la transparence
associée à l’exigence de rendre des comptes.
La non-satisfaction du client fait partie des risques à surveiller car elle entraînerait
la perte des clients et donc celle des bénéfices.
L’EFQM et les référentiels qui prennent leur source dans les concepts de la qualité
totale répondent à la fois aux exigences des clients et à celles de l’actionnaire. Le
« manager de l’excellence » réussit à satisfaire tous les acteurs, y compris d’ailleurs les
employés, les fournisseurs et l’ensemble de la société civile qu’il respecte au nom de
principes éthiques clairement affichés.
Une bonne gouvernance est soucieuse du respect de l’environnement et du dévelop-
pement durable, qui intègre des préoccupations écologiques, sociales et économiques.
37.2 ÉMERGENCE DE LA RESPONSABILITÉ SOCIALE

DE L’ENTREPRISE
Les référentiels qualité présentés dans cet ouvrage prennent en compte les besoins
et exigences de différentes parties prenantes qu’il convient de satisfaire. C’était en
premier lieu des acteurs individuels en relation directe avec l’entreprise : clients,
fournisseurs, actionnaires, employés. Les modèles de qualité totale, dont l’EFQM, ont
fait apparaître dans la liste de ces acteurs une partie prenante globale sous le terme
de société. La Responsabilité sociale de l’entreprise (RSE) pose les principes de la
satisfaction des besoins et attentes de la collectivité.
La RSE suppose ainsi un élargissement du champ des acteurs à prendre en compte,
mais également un nouveau rapport au temps : la plupart des référentiels intègrent les
notions de temps et de durée de façon implicite au travers de boucles d’amélioration
continue, d’actions correctives et préventives visant en particulier à limiter l’impact de
risques identifiés. L’échelle de temps classique est déjà inscrite dans celle de l’entreprise
et de son cycle d’affaires. Le développement durable introduit une échelle de temps
différente qui répond aux exigences de préservation de la planète pour les générations
futures.
D’abord diffusés dans la sphère politique, ces principes du développement durable
ont aujourd’hui pénétré la sphère économique ; ils sont de plus en plus souvent intégrés
à la stratégie d’entreprise en tant qu’élément différenciateur. Pour gérer son risque de
réputation et sous la pression de son environnement (consommateurs, médias, orga-
nismes non gouvernementaux, certains syndicats et fonds d’investissement éthiques)
l’entreprise est amenée à tenir compte de l’impact de ses activités sur le social, l’humain
et le biotope.
37.3 Responsabilité sociale et système d’information 241
Les arguments et critères relevaient, il y a quelques décennies, d’une politique

écologiste jugée trop souvent utopiste et marginale : ils sont aujourd’hui repris
par les gouvernements et appliqués aux entreprises cotées par les organismes de
surveillance boursiers. Au-delà du positionnement à long terme, cette approche vise,
par une meilleure maîtrise des risques, à donner confiance à l’opinion publique et aux
investisseurs. L’intérêt économique de l’entreprise peut ainsi rejoindre dans un cercle
vertueux celui du citoyen.
Des informations sociales et environnementales sont désormais exigées en France
par le décret n◦ 2002-211 du 20 février 2002, en application de l’article 116 de la Loi sur
les Nouvelles réglementations économiques (Loi NRE) qui introduit une obligation de
rapports sur l’impact social, environnemental et territorial de l’activité des entreprises.
Les sociétés cotées sur un marché réglementé ont désormais l’obligation de rendre
compte, dans leur rapport annuel, non plus seulement de leur gestion financière mais
aussi de leur gestion sociale et environnementale au travers de leurs activités.
Une Stratégie nationale de développement durable (SNDD) a été définie par
le gouvernement Français avec un impact sur les marchés publics. Approuvé par la
Commission technique des marchés le 9 décembre 2004, le Guide de l’achat public
éco-responsable définit par exemple des critères d’achats de produits et services.
Vu de l’entreprise, le développement durable n’est que l’un des volets de la RSE
qui associe différentes préoccupations : éthique, environnementale, sociale, citoyenne,
écologique, financière.
37.3 RESPONSABILITÉ SOCIALE

ET SYSTÈME D’INFORMATION
Les relations entre responsabilité sociale, développement durable et systèmes d’in-
formation sont peu évidentes à première vue. L’industrie du logiciel ne pollue pas
directement. D’après un rapport de février 2003, Study on External Environmental
Effects Related to the Life Cycle of Products and Services, réalisé pour la Commission
européenne, les équipements informatiques ne contribueraient que marginalement
à l’effet de serre et à l’acidification de l’air ; le recyclage des vieux ordinateurs pose
quelques problèmes dans les pays les plus développés (qui s’en débarrassent dans les
pays pauvres !), mais ne met pas réellement la planète en péril. Un rapport sur les TIC
et le développement durable, publié le 11 mars 2009 à la demande du gouvernement
français souligne que « les TIC ont un apport positif pour la réduction des émissions
de gaz à effet de serre, en permettant d’économiser 1 à 4 fois leurs propres émissions
sur le reste de l’économie ». La dématérialisation des procédures administratives, le
télétravail ou le e-commerce sont autant de nouveaux usages permis par les TIC qui
permettent de réduire la consommation globale d’énergie.
Les liens sont plutôt à trouver en sens inverse : les systèmes d’information contri-
buent à la boucle d’amélioration globale en fournissant les informations utiles à la
maîtrise des risques et aux prises de décision. La Commission européenne a ainsi décidé
en 2008 de développer un système de partage d’information sur l’environnement
(http://ec.europa.eu/environment). Pour une mise en œuvre efficace, les référentiels

quels qu’ils soient ont besoin d’un système d’information fiable. Comment prendre
des décisions concernant l’utilisation des ressources énergétiques au niveau planétaire
en l’absence de systèmes puissants de traitement et d’analyse de données ?
À l’échelle de l’entreprise, la pérennité du processus de management de l’informa-
tion conditionne la pérennité des activités. Nous citerons le fascicule FD X50-185
Outils de management – Management de l’information qui indique qu’un dysfonctionne-
ment de ce processus pourrait avoir de « graves conséquences sur son activité ».
L’entreprise se doit :
• d’évaluer ses besoins en information ;
• d’identifier les sources d’information, internes et externes dont elle a besoin ;
• de mettre en place l’accès à ces sources d’information ;
• de convertir les informations en connaissances utiles pour l’entreprise ;
• d’utiliser ces données, informations et connaissances pour établir ses stratégies
et atteindre ses objectifs.
En matière de système d’information, la responsabilité sociale de l’entreprise passe

par une attitude responsable concernant la gestion de l’information :
• protection des informations qui lui sont confiées et plus spécialement des
données à caractère personnel ;
• utilisation responsable des informations favorisant par exemple une diffusion
non intrusive, limitant les messages indésirables ;
• information du personnel sur sa stratégie et les besoins de formation ou de
reconversion qui en découlent ;
• partage de connaissances à l’intérieur de l’entreprise ou de communautés
professionnelles élargies ;
• diffusion à la collectivité de toutes les informations utiles à la maîtrise des risques,
par exemple les non-conformités des produits ou les risques environnementaux
induits par leur activité.
La liste précédente n’est probablement pas exhaustive, mais vise à suggérer que
des moyens d’actions très directs en matière de RSE sont à mettre entre les mains des
entreprises.
37.4 RÉFÉRENTIELS
POUR LA RESPONSABILITÉ SOCIALE
37.4.1 Multiplicité des référentiels
Les agences de notation ont construit leurs référentiels en s’appuyant à la fois sur les
référentiels qualité existants et sur un ensemble de textes législatifs et réglementaires
internationaux.
37.4 Référentiels pour la responsabilité sociale 243
Nous citerons, sans prétendre être exhaustif :

• l’ISO 14001, norme de référence en matière de système environnemental ;
• la Loi sur les Nouvelles réglementations économiques ;
• les Principes directeurs de l’OCDE à l’intention des entreprises multinationales ;
• les lignes directrices de l’OCDE sur la gouvernance d’entreprise, appelées
Principes de gouvernement d’entreprise de l’OCDE ;
• l’ensemble documentaire de la GRI (Global reporting initiative) ;
• le standard privé SA 8000 ;
• le guide SD 21000 (FD X30-021).
Les Principes directeurs de l’OCDE à destination des multinationales ont été révisés
en juin 2000. Adressées par les gouvernements aux entreprises multinationales, ces
recommandations visent à aider les entreprises, les organisations syndicales et la
société civile à promouvoir une attitude responsable. Les gouvernements qui y ont
souscrit s’engagent à en promouvoir l’application et à faire en sorte que les principes
influent sur le comportement des entreprises exerçant des activités sur leur territoire
ou à partir de celui-ci. L’application effective de ces principes se heurte toutefois
à beaucoup de difficultés pratiques : les Principes directeurs de l’OCDE à l’attention
des entreprises multinationales ne sont pas considérés comme un instrument adéquat
pour enrayer les comportements pervers des entreprises. C’est la conclusion d’OECD
Watch, un réseau international d’ONG œuvrant pour la responsabilité des entreprises,
dans le rapport diffusé en septembre 2005 intitulé Cinq ans après : revue critique sur
les Principes directeurs de l’OCDE et les points de contact nationaux. Suite à la crise
financière de 2008, le secrétaire général de l’OCDE propose en 2009 une stratégie de
renforcement de l’éthique des affaires.
Les Lignes directrices de l’OCDE sur la gouvernance d’entreprise de 1999 ont été
renforcées en 2004 en réaction aux divers scandales surgis dans le monde des affaires.
Elles se focalisent sur les problèmes pouvant naître de la séparation entre la propriété et
le contrôle dans les entreprises. Elles ne se limitent pas à la relation entre actionnaires
et équipe de direction, mais elles traitent également des droits des actionnaires
minoritaires et des employés.
La GRI est une initiative internationale à laquelle participent des entreprises,
des ONG, des cabinets de consultants, des universités. Créée en 1997, basée à
Amsterdam, la GRI édicte des lignes directrices pour aider les entreprises à produire,
si elles le souhaitent, des rapports sur les dimensions économiques, sociales et
environnementales de leurs activités, produits et services.
En matière de responsabilité sociale, le standard privé SA 8000 repose sur plusieurs
conventions de l’Organisation internationale du travail. Il a été lancé en octobre 1997
par le SAI (Social Accountability International), un organisme non gouvernemental
basé aux États-Unis qui développe des standards et un programme de certification
relatifs à la responsabilité sociale. Certains critères concernent l’emploi des enfants,
la main-d’œuvre forcée, la santé et la sécurité ainsi que la rémunération.
En France, le guide SD 21000 (FD X30-021) publié par Afnor se veut un guide de
bonnes pratiques à l’usage des entreprises.
37.4.2 Bientôt l’ISO 26000 ?

Face à cette multiplicité de standards et d’approches et à la demande exprimée en
juin 2002 par des associations de consommateurs, l’ISO a enclenché un processus
normatif international qui devrait déboucher sur la publication de la norme interna-
tionale ISO 26000 sur la RSE.
La composition des groupes d’étude prévoit une représentation équilibrée des
parties prenantes au sein d’un groupe de travail de l’ISO sur la responsabilité sociale,
c’est-à-dire avec des représentants de l’industrie, des gouvernements, du monde du
travail, des associations de consommateurs, des organisations non gouvernementales,
des secteurs des services, des services de soutien, de la recherche, etc. En outre, la
responsabilité de direction des groupes d’étude se doit d’être partagée entre les pays
développés et les pays en développement. Initialement annoncée en octobre 2008,
la publication a toutefois pris du retard et n’est plus annoncée avant fin 2010. Les
groupes de travail réunissent 84 pays dont les préoccupations ont du mal à converger,
les pays pauvres craignant que cette norme ne serve de barrière commerciale aux pays
riches.
Cette norme se présentera comme un recueil de recommandations et de bonnes
pratiques issues des différentes conventions adoptées à ce jour par les Nations Unies
et l’Organisation internationale du travail en matière de responsabilité sociale. L’ISO
a réaffirmé qu’elle ne pourra pas servir à une certification, afin de rassurer les pays
pauvres sur l’utilisation protectionniste qui pourrait en être faite.
Le débat est loin d’être clos. Gageons que les entreprises souhaiteront faire
reconnaître leur engagement de façon plus officielle vis-à-vis des consommateurs
et obtiendront la mise en place d’un référentiel de certification permettant de vérifier
l’application des bonnes pratiques de la norme ISO 26000. Après s’être appliqué à la
qualité, la sécurité ou la gestion de services, le couplage norme d’exigences – norme
de recommandations serait ainsi étendu à la RSE.
Les cabinets d’audit tels que PricewaterhouseCoopers, Deloitte et Touche, Ernst &
Young, KPMG pourraient être prêts à assurer ce rôle de certificateur. Dans leur rôle de
commissaires aux comptes, ils vérifient classiquement des données financières. Dans
le cadre de la norme ISAE 3000 (précédemment ISAE 100) de l’IAASB (International
Auditing and Assurance Standard Board), ils sont désormais amenés à vérifier également
des données non financières portant sur les démarches engagées par l’entreprise en
matière de responsabilité sociale.
On peut également penser que de nouveaux référentiels toujours plus exigeants
apparaîtront et entraîneront les entreprises dans ce mouvement porteur de confiance
en l’avenir.
Acronymes et organismes
(ISC)2 International Information Systems Security Certification Consortium

ADELI Association pour la maîtrise des systèmes d’information
Ae-SCM Association française pour la promotion des bonnes pratiques de sourcing
AFAI Association française de l’audit et du conseil informatiques
AFITEP Association francophone de management de projet
AFNOR L’organisme de normalisationfrançais
AICPA American Institute of Certified Public Accountants
AIPM Australian Institute of Project Management
AMF Autorité des marchés financiers
ANAES Agence nationale d’accréditation et d’évaluation en santé
ANSI American National Standards Institute
APMG Association For Project Management Group
ARC Appraisal Requirements for CMMI
ATO Accredited Training Organisation
B2I Brevet informatique et internet
BS British Standard
BSC Balanced ScoreCards
BSI L’organisme de normalisation britannique
C2I Certificat informatique et internet
CAPM Certified Associate in Project Management
246 Guide des certifications SI
(suite)
CBK Common Body of Knowledge for Information Security

CCRA Common Criteria Recognition Agreement
CDP Certification en direction de projet de l’AFITEP (AFITEP-CDP)
CEI Comité électronique international
CEN Comité européen de normalisation
CEPIS Council of European Professional Informatics Societies
CESTI Centre d’évaluation de la sécurité des technologies de l’information
CFTL Comité français des tests logiciels
CGEIT Certified in the Governance of Enterprise IT
CGP Certification en gestion de projet de l’AFITEP (AFITEP-CGP)
CIGREF Club informatique des grandes entreprises françaises
CIL Correspondant informatique et libertés
CISA Certified Information System Auditor
CISM Certified Information Security Manager
CISSP Certified Information Systems Security Professional
CMM Capability Maturity Model
CMMI Capability Maturity Model Integration
CMMI-ACQ CMMI for acquisition
CMMI-DEV CMMI for development
CMMI-SVC CMMI for services
CMS Configuration Management System
CobiT Control objectives for information and related Technology
COFRAC Comité français d’accréditation
COSO Committee Of Sponsoring Organizations
CPE Continuing Professional Education
CRBF Comité de la réglementation bancaire et financière
CSEP Certification Systems Engineering Program
CSI Continual Service Improvement
DCSSI Direction centrale de la sécurité des systèmes d’information
DGA Délégation générale pour l’armement
DGI Direction générale des impôts
DMAAC Définir, mesurer, analyser, améliorer et contrôler
Acronymes et organismes 247
(suite)
DMAIC Define, Measure, Analyse, Improve, Control

DSI Direction (ou directeur) des systèmes d’information
DSSI Direction de la sécurité des systèmes d’information
EAL Evaluation Assurance Level
EBIOS Expression des besoins et identification des objectifs de sécurité
ECDL European Computer Driving Licence
ECDL-F Fondation ECDL
EFQM European Foundation for Quality Management
EN European Norm
eSCM eSourcing Capability Model
eSCM-SP eSourcing Capability Model for Service Providers
eSCP-CL eSourcing Capability Model for Client Organizations
EXIN Examination Institute for Information science
FAA-iCMM Federal Aviation Administration Integrated Capability Maturity Model
FD Fascicule de documentation
GRI Global Reporting Initiative
HAS Haute autorité de santé
IAASB International Auditing and Assurance Standard Board
IAS International Accounting Standards
ICDL International Computer Driving Licence
ICEC International Cost Engineering Council
ICMB ITIL Certification Management Board
IFRS International Financial Reporting Standards
IGSI Institut de la gouvernance des systèmes d’information
INTACS International Accreditation Certification Scheme
INCOSE International Council on Systems Engineering
IPMA International Project Management Association
IRCA International Register of Certificated Auditors
ISACA Information Systems Audit and Control Association
ISEB Information Systems Examinations Board
ISMS Information Security Management Systems
ISO Organisation internationale de normalisation
(suite)
iSQI International Software Quality Institute

ISSEA International Systems Security Engineering Association
ISTQB International Software Testing Qualifications Board
IT Information Technology
ITGI Information Technology Governance Institute
ITIL Information Technology Infrastructure Library
ITSEC Information Technology Security Evaluation Criteria
ITSEM Information Technology Security Evaluation Manual
ITSM Information Technology Service Management
itSMF IT Service Management Forum
ITsqc IT Services Qualification Center
LRQA Lloyd’s Register Quality Assurance
LSF Loi de sécurité financière
MALC Managing Across the Life Cycle
MAP Ministère de l’agriculture et de la pêche
MOF Microsoft Operation Framework
M_o_R Management of Risk
MSP Managing Successful Programmes
NF Norme française
OCDE Organisation de coopération et de développement économiques
OGC Office of Government Commerce
OHSAS Occupational Health and Safety Assessment System
P2MM PRINCE2 Maturity Model
P3M3 Portfolio Programme and Project Management Maturity Modell
PCAOB Public Company Accounting Oversight Board
PCIE Passeport de compétences informatique européen
PDCA Plan-Do-Check-Act
PDU Professional Development Unit
PGMP Program Management Professional
PMBOK Project Management Book of Knowledge
PMI Project Management Institute
PMI-RMP PMI Risk Management Professional
Acronymes et organismes 249
(suite)
PMI-SP PMI Scheduling Professional

PMP Project Management Professional
PRINCE Projects IN Controlled Environments
PUG PRINCE User Group
QCM Questions à choix multiples
QuEST Forum Quality Excellence for Suppliers of Telecommunications Forum
QSE Qualité – sécurité – environnement
R&D Recherche et développement
ROI Return On Investment (retour sur investissement)
SAI Social Accountability International
SACM Service Asset and Configuration Management
SAS 70 Statement on Auditing Standards n◦ 70
SCAMPI Standard CMMI Appraisal Method for Process Improvement
SEC Securities and Exchanges Commission
SEI Software Engineering Institute de l’Université Carnegie Mellon aux États-Unis
SI Système d’information
SOF Strength Of Function
SPICE Software Process Improvement Capability dEtermination
SPIN Software Process Improvement Network
SSAM SSE-CMM Appraisal Method
SSE-CMM Systems Security Engineering Capability Maturity Model
SW-CMM Capability Maturity Model for Software
SWEDAC Swedish Board for Accreditation and Conformity Assessment
TI Technologies de l’information
TOE Target Of Evaluation
UKAS United Kingdom Accreditation Service
WAI Web Accessibility Initiative
Références bibliographiques
Lorsqu’après la référence, un site Internet est indiqué, cela signifie que le

document est téléchargeable gratuitement.
ARC, V1.2, août 2006 :
http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tr011.pdf
An Introductory Overview of ITIL V3 Pocketbook - itSMF
http://www.best-management-
practice.com/gempdf/itSMF_An_Introductory_Overview_of_ITIL_V3.pdf
Bâle II, Convergence internationale de la mesure et des normes de fonds propres
– Dispositif révisé Bâle II, Banque des règlements internationaux (Bank for
International Settlements, BIS), version française de juin 2004
http://www.bis.org/publ/bcbs107fre.pdf
et anglaise plus récente de novembre 2005
http://www.bis.org/publ/bcbs118.htm
Building an ITIL Based Service Management Department - Malcom Fry
Cadre d’auto-évaluation des fonctions publiques
http://www.chartemarianne.gouv.fr/IMG/pdf/CAF_2003.pdf
CBA-IPI – CMM-Based Appraisal for Internal Process Improvement, Version 1.2 Method,
CMU/SEI-2001-TR-033
http://www.sei.cmu.edu/publications/documents/01.reports/01tr033.html
CEM – Common Methodology for Information Technology Security Evaluation V 3.1 sept.
2007
http://www.ssi.gouv.fr/site_documents/CC/CEMV3.1r2.pdf
Cinq ans après : revue critique sur les principes directeurs de l’OCDE et les points de contact
nationaux
http://www.oecdwatch.org/FR/docs/OECD_Watch_5_years_on.pdf
CISSP For Dummies, Lawrence C. Miller, Peter H. Gregory, Wiley 2002.
CMMI for Acquisition, version 1.2, novembre 2007, CMU/SEI-2007-TR-017

CMMI for Acquisition (CMMI-ACQ) Primer, version 1.2, mai 2008, CMU/SEI-2008-
TR-010
CMMI for Development, version 1.2, août 2006, CMU/SEI-2006-TR-008
CMMI for Services, version 1.2, février 2009,
CMMI 2e édition - Guide des bonnes pratiques pour l’amélioration des processus - Pearson
Education France - ISBN 978-2-7440-7304-5.
CMMI 1.2 L’aide-mémoire : Les domaines de processus du CMMI-DEV, Richard Basque,
octobre 2008.
CMMI, toutes les constellations : http://www.sei.cmu.edu/cmmi/models/
CobiT, AFAI.
CobiT QuickStart, AFAI
Code monétaire et financier, textes législatifs
http://www.legifrance.gouv.fr/
Combined Code on Corporate Governance
http://www.fsa.gov.uk/pubs/ukla/lr_comcode2003.pdf
Critères communs pour l’évaluation de la sécurité des technologies de l’information
http://www.ssi.gouv.fr/fr/confiance/methodologie.html
Décret n◦ 97-298 du 27 mars 1997 relatif au code de la consommation (partie
réglementaire)
Décret n◦ 97-311 du 7 avril 1997 relatif à l’organisation et au fonctionnement de
l’Agence nationale d’accréditation et d’évaluation en santé (ANAES) instituée
à l’article L. 791-1 du code de la santé publique et modifiant ce code (deuxième
partie : décrets en Conseil d’État)
Décret n◦ 2002-221 du 20 février 2002 pris pour l’application de l’article L. 225-102-1
du code de commerce et modifiant le décret n◦ 67-236 du 23 mars 1967 sur les
sociétés commerciales
Décret n◦ 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la
sécurité offerte par les produits et les systèmes des technologies de l’information
Delivering IT Services using ITIL, PRINCE2 and DSDM Atern – OGC.
Références bibliographiques 253
DO-178B, Software Considerations in Airborne Systems and Equipment Certification,

RTCA.
EBIOS, Méthode d’expression des besoins et d’identification des objectifs de sécurité
http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html
Economic Consequences of the Sarbanes-Oxley Act of 2002, Ivy Xiying Zhang, février
2005
http://w4.stern.nyu.edu/accounting/docs/speaker_papers/spring2005/Zhang_Ivy_
Economic_Consequences_of_S_O.pdf
EFQM http://www.AFNOR.org/efqm/information/librairie_efqm.html
EFQM http://www.efqm.com/Portals/0/EFQM_Catalogue_Price_List.pdf
EIA/IS 731-1, Systems Engineering Capability Model, Interim Standard, Electronic
Industries Alliance, 1er août 2002.
Emerging Trends in Internal Controls, Forth Survey and Industry Insights, Ernst & Young,
septembre 2005
http://www.sarbanes-oxley.be/aabs_emerging_trends_survey4.pdf
eSCM-CL – The eSourcing Capability Model for Client Organizations, Model Overview
février 2006
http://itsqc.cs.cmu.edu
eSCM-CL – The sourcing Capability Model for clients organizations
The eSCM-CL V1.1: Model Overview, ITsqc et Carnegie Mellon University,
Juillet 2006
http://itsqc.cs.cmu.edu.
The eSCM-CL V1.1 : Practice Details, ITsqc et Carnegie Mellon University,
juillet 2006
eSCM-CL – Le modèle d’aptitude à l’eSourcing pour les clients - Le guide, Ae-SCM,
juin 2008
http://www.ae-scm.com
eSCM-SP – The sourcing Capability Model for service Providers
The eSCM-SP V2: Model Overview, ITsqc et Carnegie Mellon University,
avril 2004
http://itsqc.cs.cmu.edu.
The eSCM-SP V2 : Practice Details, ITsqc et Carnegie Mellon University,
avril 2004
eSCM-SP – Le modèle d’aptitude à l’eSourcing pour les prestataires - Le guide, Ae-
SCM, octobre 2008
http://www.ae-scm.com
FD X50-105 Le management de projet – Concepts, août 1991.
FD X50-107 Management de projet – Certification du personnel en maîtrise de projet,

décembre 1991.
FD X50-108 Management de projet – Terminologie dans les contrats d’ingénierie industrielle
– Formes de liens contractuels, de rémunération – Évaluation des résultats et sanction –
Vocabulaire, décembre 1991.
FD X 50-127 Outils de management – Maîtrise du processus de conception et développement,
avril 2002.
FD X 50-128 Outils de management – Lignes directrices pour le processus achat et
approvisionnement, mai 2003.
FD X 50-171 Système de management de la qualité – Indicateurs et tableaux de bord, juin
2000.
FD X 50-172 Management de la qualité – Enquête de satisfaction des client, mars 1999.
FD X 50-174 Management de la qualité – Mesure de l’efficacité d’un système qualité,
septembre 1998.
FD X 50-176 Outils de management de la qualité – Management des processus, octobre
2005.
FD X 50-179 Management de la qualité – Guide pour l’identification des exigences du client,
décembre 2000.
FD X 50-183 Outils de management – Ressources humaines dans un système de management
de la qualité – Management des compétences, juillet 2002.
FD X50-185 Outils de management – Management de l’information, mars 2004.
FD X50-186 Système de management – Lignes directrices pour la mise en place d’un
processus d’auto-évaluation, juillet 2005.
FD X 50-190 Management de la qualité – Capitalisation d’expérience, septembre 2000.
FD X 50-193 Outils de management – Relations mutuellement bénéfiques : facteur
de croissance durable – Lignes directrices pour une approche des relations
mutuellement bénéfiques entre organismes, avril 2006.
FD X 50-195 Systèmes de management – Lignes directrices pour le management d’un
organisme, novembre 2005.
Guide d’aide à la cotation – Deuxième procédure de certification des établissements
de santé (V2), novembre 2005,
http://www.has-
sante.fr/portail/upload/docs/application/pdf/aide_cotation_v2.pdf
Guide de l’achat public éco-responsable
http://www.ecologie.gouv.fr/IMG/pdf/guide_achats_publics_eco_responsables.pdf
Guide de poche PRINCE2, OGC.
Guide de poche sur la Gestion des services des TI, itSMF.
IEEE-STD-610, IEEE Computer Dictionary – Compilation of IEEE Standard Compu-

ter Glossaries, 610-1990.
INCOSE SE Handbook, INCOSE.
IPD-CMM – Integrated Product Development CMM
http://www.sei.cmu.edu/cmm/ipd-cmm.html
IPMA Competence baseline
http://www.afitep.fr/Catalogue/docs/icb.pdf
ISAE 3000 International Standard on Assurance Engagements – Assurance Enga-
gements Other Than Audits or Reviews of Historical Financial Information,
IAASB de l’IFAC.
ISO 9000 Systèmes de management de la qualité – Principes essentiels et vocabulaire,
NF EN ISO 9000, octobre 2005.
ISO 9001 Systèmes de management de la qualité – Exigences, NF EN ISO 9001,
décembre 2000.
ISO 9004 Systèmes de management de la qualité – Lignes directrices pour l’améliora-
tion des performances, NF EN ISO 9004, décembre 2000.
ISO 9126-1 Génie du logiciel – Qualité des produits – Partie 1 : modèle de qualité,
ISO/CEI 9126-1, juin 2001.
ISO 10001 Management de la qualité – Satisfaction du client – Lignes directrices
relatives aux codes de conduite des organismes, novembre 2007.
ISO 10002 Management de la qualité – Satisfaction des clients – Lignes directrices
pour le traitement des réclamations dans les organismes, juillet 2004.
ISO 10003 Management de la qualité – Satisfaction du client – Lignes directrices
relatives à la résolution externe de conflits aux organismes, novembre 2007).
ISO 10004 Lignes directrices sur la surveillance et la mesure de la satisfaction client
(en projet).
ISO 10005 Systèmes de management de la qualité – Lignes directrices pour les plans
qualité, juin 2005.
ISO 10006 Systèmes de management de la qualité – Lignes directrices pour le
management de la qualité dans les projets, FD ISO 10006, décembre 2003.
ISO 10007 Systèmes de management de la qualité – Lignes directrices pour la gestion
de la configuration, juin 2003.
ISO 10012 Systèmes de management de la mesure – Exigences pour les processus et
les équipements de mesure, avril 2003.
ISO 10013 Lignes directrices pour la documentation des systèmes de management de
la qualité, juillet 2001.
ISO 10014 Management de la qualité – Lignes directrices pour réaliser les avantages
financiers et économiques, juin 2006.
ISO 10015 Management de la qualité – Lignes directrices pour la formation, décembre

1999.
ISO 10017 Lignes directrices pour les techniques statistiques relatives à l’ISO
9001:2000, mai 2003.
ISO 10018 Management de la qualite – Lignes directrices pour la participation et les
compétences de personnes (en projet).
ISO 10019 Lignes directrices pour la sélection de consultants en systèmes de manage-
ment de la qualité et pour l’utilisation de leurs services, janvier 2005.
ISO 10020 Satisfaction du client – Mesure et surveillance de la satisfaction client,
ISO TR 10020 (en développement).
ISO 12207 Traitement de l’information – Ingénierie du logiciel – Processus du cycle
de vie du logiciel, NF ISO/CEI 12207, novembre 1995 et aussi l’amendement
n◦ 1 de mai 2002 et l’amendement n◦ 2 de novembre 2004.
ISO TR 12888-1 : Illustrations choisies d’études de répétabilité et de reproductibilité
par calibre, 2007
ISO 13053 Six Sigma méthodologie, en cours de rédaction, prévue pour fin 2011.
ISO 13335 Technologies de l’information – Techniques de sécurité – Gestion
de la sécurité des technologies de l’information et des communications ;
ISO/CEI 13335.
ISO 14001 Systèmes de management environnemental – Exigences et lignes direc-
trices pour son utilisation, NF EN ISO 14001, décembre 2004.
ISO 15408 Technologies de l’information – Techniques de sécurité – Critères d’éva-
luation pour la sécurité TI, ISO/CEI 15408 :
ISO 15408-1 Partie 1 : Introduction et modèle général, ISO/CEI 15408-1, sep-
tembre 2005.
ISO 15408-2 Partie 2 : Exigences fonctionnelles de sécurité, ISO/CEI 15408-2,
août 2008.
ISO 15408-3 Partie 3 : Exigences d’assurance de sécurité, ISO/CEI 15408-3, août
2008.
ISO 15504 Technologies de l’information – Évaluation des procédés,
NF ISO/CEI 15504 :
ISO 15504-1 Partie 1 : Concepts et vocabulaire, NF ISO/CEI 15504-1,
novembre 2004.
ISO 15504-2 Partie 2 : Exécution d’une évaluation, NF ISO/CEI 15504-2,
octobre 2003 et rectificatif technique n◦ 1 en février 2004.
ISO 15504-3 Partie 3 : Réalisation d’une évaluation, NF ISO/CEI 15504-3,
janvier 2004.
ISO 15504-4 Partie 4 : Conseils sur l’utilisation pour l’amélioration de processus
et la détermination de capacité de processus, NF ISO/CEI 15504-4, juillet 2004.
ISO 15504-5 Partie 5 : Un exemple de modèle d’évaluation de processus,

NF ISO/CEI 15504-5, mars 2006.
ISO 15504-6 Partie 6 : Un exemple de modèle d’évaluation de processus du cycle
de vie système, NF ISO/CEI 15504-6, septembre 2008.
ISO 15504-7 Partie 7 : Évaluation de la maturité organisationnelle, NF ISO/CEI
TR 15504-7), novembre 2008.
ISO 15504-8 Partie 8 : Un exemple de modèle d’évaluation pour la gestion des
service IT, NF ISO/CEI 15504-8 et qui reprend les processus du référentiel ITIL
déclinées dans la série ISO 20000, en cours de développement.
ISO 15504-9 Partie 9 : (Définition de) Objectif de profils de processus, NF
ISO/CEI 15504-9, en cours de développement.
ISO 17024 Évaluation de la conformité – Exigences générales pour les organismes de
certification procédant à la certification de personnes, NF EN ISO/CEI 17024,
août 2003.
ISO 18045 Information technology – Security techniques – Methodology for IT
security evaluation, ISO/CEI 18045, août 2008.
ISO 19011 Lignes directrices pour l’audit des systèmes de management de la qualité
et/ou de management environnemental, NF EN ISO 19011, décembre 2002.
ISO 19759 Ingénierie du logiciel – Guide au corpus des connaissances en génie logiciel
(SWEBOK), ISO/CEI TR 19759, septembre 2005.
ISO 20000 Technologies de l’information – Gestion de services, ISO/CEI 20000
ISO 20000-1 Partie 1 : Spécifications, ISO/CEI 20000-1, décembre 2005
ISO 20000-2 Partie 2 : Code de bonne pratique, ISO/CEI 20000-2, décem-
bre 2005.
ISO 21827 Technologies de l’information – Ingénierie de sécurité système – Modèle
de maturité de capacité (SSE-CMM), ISO/CEI 21827, octobre 2008.
ISO 25000 Ingénierie du logiciel – Exigences de qualité du produit logiciel et
évaluation (SQuaRE) – Guide de SQuaRE, NF ISO/CEI 25000, juillet 2005
NF ISO/CEI 25010 Ingénierie du logiciel – Exigences de qualité et évaluation du
logiciel (SQuaRE) – Modèle de qualité, en cours de développement.
ISO 25051 Exigences de qualité pour le logiciel et évaluation (SQuaRE) – Exigences
de qualité pour les progiciels et instructions d’essais, ISO/CEI 25051, mars 2006
ISO/IEC 25051:2006/Cor 1:2007, juillet 2007.
ISO 26000 Responsabilité sociale de l’entreprise (en développement).
IS0 27000 Technologies de l’information – Techniques de sécurité – Systèmes de
gestion de la sécurité des informations --Vue d’ensemble et vocabulaire (en
projet).
ISO 27001 Technologies de l’information – Techniques de sécurité – Systèmes de
gestion de sécurité de l’information – Exigences, ISO/CEI 27001, octobre 2005.
ISO 27002 Technologies de l’information --Techniques de sécurité – Code de bonne

pratique pour la gestion de la sécurité de l’information, juin 2005.
gestion de sécurité de l’information – Guidage d’implémentation de système de
gestion de sécurité de l’information (en projet).
gestion de sécurité de l’information – Mesurage (en projet).
ISO 27005 Technologies de l’information – Techniques de sécurité – Systèmes de ges-
tion de sécurité de l’information – Gestion du risque en sécurité de l’information,
juin 2008.
ISO 27006 Technologies de l’information – Techniques de sécurité – Exigences pour
les organismes procédant à l’audit et à la certification des systèmes de management
de la sécurité de l’information, février 2007.
ISO 27007 Guide pour l’audit d’un SMSI, (en projet, titre non définitif).
ISO/TR 29901 Selected illustrations of full factorial experiments with four factors,
2007.
ISO 90003 Ingénierie du logiciel et du système – Lignes directrices pour l’application
de l’ISO 9001:2000 aux logiciels informatiques, ISO/CEI 90003, février 2004.
IT Control Objectives for Sarbanes-Oxley
http://www.itgi.org/
ITIL – Application Management – OGC.
ITIL – CSI-Continual Service Improvement – OGC
ITIL – Fourniture de services (Meilleures pratiques pour), itSMF France, publication
prévue en 2006.
ITIL – ICT Infrastructure Management – OGC.
ITIL – Planning to Implement Service Management – OGC.
ITIL – SD-Service Design – OGC.
ITIL – Security Management – OGC.
ITIL – Service Delivery – OGC.
ITIL – Service Management Practices V3 Qualifications Scheme
http://www.itil-officialsite.com/Qualifications/ITILV3QualificationScheme.asp
ITIL – Service Support – OGC.
ITIL – SO-Service Operation – OGC.
ITIL – Software Asset Management – OGC.
ITIL – Soutien des services (Meilleures pratiques pour), itSMF France.
ITIL – SS-Service Strategy – OGC
ITIL – ST-Service Transition – OGC.

ITIL – The Business Perspective – OGC.
ITIL V3 Foundation Handbook – Pocketbook from the Official Publisher of ITIL – itSMF.
ITIL V3 Small-Scale Implementation Book – OGC.
ITSEC Joint Interpretation Library
ITSEC – Critères d’évaluation de la sécurité des systèmes informatiques – version 1.2
juin 1991
ITSEM – Information Technology Security Evaluation Manual
Key Element Guide Continual Service Improvement – OGC.
Key Element Guide Service Design – OGC.
Key Element Guide Service Operation – OGC.
Key Element Guide Service Strategy – OGC.
Key Element Guide Service Transition – OGC.
Le coût de l’ignorance dans la société de l’information
http://www.pcie.tm.fr/entr_faits_ernst_c.htm
Loi de sécurité financière (LSF) n◦ 2003-706 du 1er août 2003
Loi de sécurité financière ; un an après : rapport n◦ 431 du 27 juillet 2004, rapporteur
Philippe Marini.
Loi du 13 août 2004 relative à l’assurance maladie
Loi informatique et libertés du 6 janvier 1998, révisée en août 2004
Loi n◦ 94-442 du 3 juin 1994, modifiant le code de la consommation en ce qui
concerne la certification des produits industriels et des services et la commer-
cialisation de certains produits
Loi pour la confiance dans l’économie numérique (LCEN) n◦ 2004-575 du 21 juin
2004
Loi Sarbanes-Oxley, voir Public Company Accounting Reform and Investor Protec-
tion Act of 2002.
Loi sur les Nouvelles réglementations économiques (NRE) n◦ 2001-420 du 15 mai

2001
Malcolm Baldrige National Quality Award
http://www.quality.nist.gov/NIST_Materials.htm
Management de Projet – Un référentiel de connaissances (traduction de la version de
1996 du PMI), AFNOR 1998.
Managing Successful Projects with PRINCE2, OGC 2002
http://www.ogc.gov.uk/prince2/publications/pubspages.html
Manuel de certification des établissements de santé et guide de cotation, édition 2007,
http://www.has-
sante.fr/portail/upload/docs/application/pdf/20070601_manuelv2007.pdf
Measuring the Software Process, William A. Florac, Anita D. Carleton, Addison-Wesley,
1999
NF 13816, Transport – Logistique et services – Transport public de voyageurs – Définition
de la qualité de service, objectifs et mesures, NF EN 13816, septembre 2002.
ODOScope – Trouver son chemin au pays des certifications, Jacqueline Sidi, Martine
Otter, Laurent Hanaud, ADELI, 2004 (épuisé).
Official (ISC)2 Guide to the CISSP Exam, (ISC)2 .
OHSAS 18001, BSI.
Ordonnance n◦ 96-346 du 24 avril 1996 portant sur la réforme hospitalière
Organizational Project Management Maturity Model (OPM3) - PMI
Passing Your ITIL Foundation Exam – The ITIL Foundation Study Aid – OGC.
Passing Your ITIL Intermediate Capability Stream Exam – OGC.
Passing Your ITIL Intermediate Lifecycle Stream Exam – OGC.
P-CMM – People Capability Maturity Model, version 2.0, CMU/SEI-2001-MM-001
http://www.sei.cmu.edu/pub/documents/01.reports/pdf/01mm001.pdf
PMBOK – A guide to the Project Management Body of Knowledge, PMI, 4th Edition
Practice Standard for Earned Value Management – PMI.
Practice Standard for Project Configuration Management – PMI.
Practice Standard for Work Breakdown Structures – PMI.
Practice Standard for Scheduling – PMI.
Préparer et conduire votre démarche de certification version 2007 – mise à jour septembre
2008,
http://www.has-
sante.fr/portail/upload/docs/application/pdf/20070723_guide_pc_v2007.pdf
Préparer et conduire votre démarche d’accréditation – deuxième procédure, HAS,
mars 2005
http://anaes.fr/
Principes de gouvernement d’entreprise de l’OCDE
http://www.oecd.org/dataoecd/32/19/31652074.PDF
Principes directeurs de l’OCDE à l’intention des entreprises multinationales, juin 2000
http://www.oecd.org/
Project Manager Competency Development Framework – PMI.
Public Company Accounting Reform and Investor Protection Act of 2002
http://www.sec.gov/about/laws/soa2002.pdf
Quality System Generic Requirements for Hardware, Software, and Infrastructure, Telcor-
dia/Bellcore.
Rapport d’activité 2004 du collège de l’accréditation de la HAS
http://anaes.fr/
Rapport sur la crise financière – Mission confiée par le Président de la République dans
le contexte de la Présidence française de l’Union européenne 2008 – René Ricol
http://lesrapports.ladocumentationfrancaise.fr/BRP/084000587/0000.pdf
Rapport Turnbull – Internal control : Guidance for Directors on the Combined Code
http://www.frc.org.uk/corporate/internalcontrol.cfm
Recommandations de bonne pratique : attribution du label HAS :
http://www.has-
sante.fr/portail/upload/docs/application/pdf/reco_attribution_label_has.pdf
Recommendations for Security Administration, Gartner G00137698, février 2006.
Référentiel de compétences en management de projet, AFITEP
http://www.afitep.fr/certification/cdp/Default.htm
Référentiel de sécurité du chèque, Banque de France – Eurosystème, 20 juillet 2005.
Règlement n◦ 97-02 du 21 février 1997 relatif au contrôle interne des établisse-
ments de crédit et des entreprises d’investissement modifié en janvier 2004 puis
mars 2005 (CRBF 97-02), Comité de la réglementation bancaire et financière
http://www.banque-france.fr/fr/supervi/regle_bafi/textvig/reglcrbf_1.htm
SA 8000, Social Accountability 8000, octobre 2005 (version française de 2001), SAI.
SA-CMM – Software Acquisition Capability Maturity Model, Version 1.03, CMU/SEI-
2002-TR-010
http://www.sei.cmu.edu/arm/SA-CMM.html
SAS No. 70 Auditing Guidance, AICPA.

SCAMPI, A V1.2, août 2006 :
http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06hb002.pdf
SD 21000 (FD X30-021) Développement durable – Responsabilité sociétale des
entreprises – Guide pour la prise en compte des enjeux du développement durable
dans la stratégie et le management de l’entreprise, mai 2003.
SE-CMM – System Engineering Capability Maturity Model, version 1.1, CMU/SEI-95-
MM-003
http://www.sei.cmu.edu/pub/documents/95.reports/pdf/mm003.95.pdf
Security as Engineering Discipline : the SSE-CMM’s Objectives, Principes and Rate of
Adoption, Gartner G00138066, février 2006.
Service Organizations, Applying SAS No. 70, As Amended, AICPA.
SSAM – SSE-CMM Appraisal Method
http://www.sse-cmm.org/docs/SSAM.pdf
SSE-CMM – Systems Security Engineering Capability Maturity Model, Model Description
Document, Version 3.0, 15 juin 2003
http://www.sse-cmm.org/model/model.asp
Study on External Environmental Effects Related to the Life Cycle of Products and Services
//europa.eu.int/comm/environment/ipp/pdf/ext_effects_finalreport.pdf
SWEBOK – Guide to the Software Engineering Body of Knowledge
http://www.swebok.org/
TDBSSI, Guide d’élaboration de tableaux de bord de sécurité des systèmes d’informa-
tion
http://www.ssi.gouv.fr/fr/confiance/tdbssi.html
Testeur certifié, Syllabus niveau Fondation
http://www.cftl.net/cms/files/Dokumente/frSyllabusFoundation_v2005.pdf
Testeur certifié, Syllabus niveau Avancé
http://www.gasq.org/boards/cftl/cms/files/Dokumente/Advanced Syllabus v 2007
FR_31DEC08_Released.PDF
The Introduction to ITIL Service Lifecycle – OGC.
The Standard for Program Management – PMI.
The Standard for Portfolio Management – PMI.
TL 9000 – Quality Management System Measurements Handbook, QuEST Forum.
TL 9000 – Quality Management System Requirements Handbook, QuEST Forum.
UML – Unified Modeling Language
http://www-306.ibm.com/software/rational/uml/
Sites internet
(ISC)2 http://www.isc2.org
ADELI http://www.adeli.org
Ae-SCM http://www.ae-scm.com
AFAI http://www.afai.asso.fr
AFAQ http://www.afaq.org
AFITEP http://www.afitep.fr
AFNOR http://www.afnor.fr
AICPA https://www.cpa2biz.com
APMG http://www.apmgroup.co.uk
Auditware http://www.auditware.fr
B2I http://www.educnet.education.fr/formation/certifications/b2i
BNAE http://www.bnae.asso.fr
BSI http://www.bsi-global.com
C2I http://www2.c2i.education.fr/
CCRA http://www.commoncriteriaportal.org/theccra.html
CEN http://www.cen.eu/cenorm/homepage.htm
CEPIS http://www.cepis.org
CESTI http://www.ssi.gouv.fr/fr/confiance/cesti.html
CFTL http://www.cftl.net
CISA http://www.isaca.org/cisa/
CISM http://www.isaca.org/cism/
(suite)
CISSP http://www.cissps.com
CNIL http://www.cnil.fr
COFRAC http://www.cofrac.fr
COSO http://www.coso.org
DCSSI http://www.ssi.gouv.fr/fr/dcssi/
EA http://www.european-accreditation.org
ECDL-F http://www.ecdl.org
EFQM http://www.efqm.org
Euro-Aptitudes http://www.pcie.tm.fr
EXIN http://www.exin.fr
FAR-MFQ http://www.mfq.asso.fr
GRI http://www.globalreporting.org
HAS http://www.has-sante.fr
ICEC http://www.icoste.org
ICMB http://www.itil.co.uk/icmb.htm
IEEE http://www.computer.org
IAASB http://www.ifac.org/IAASB/
INTACS http://www.intacs.info
INCOSE http://www.incose.org
INFOCERT http://www.infocert.org
IPMA http://www.ipma.ch
IRCA http://www.irca.org
ISACA http://www.isaca.org
ISMS http://www.xisec.com
ISTYA http://www.istya.fr
ISO http://www.iso.org
ISO 20000 http://www.isoiec20000certification.com
ISQI http://www.isqi.org/en/
ISSEA http://www.issea.org
ISTQB http://www.istqb.org/ et http://www.isqi.org/isqi/eng/cert/istqb/
ITGI http://www.itgi.org/ et http://www.itgi-france.com
Sites internet 265
(suite)
ITIL http://www.itil.co.uk et http://www.itil-officialsite.com

http://www.best-management-practice.com
itSMF http://www.itsmf.com et http://www.itsmf.fr
ITsqc http://itsqc.cmu.edu
Journal Officiel http://www.journal-officiel.gouv.fr
de la République
Française
Legifrance http://www.legifrance.gouv.fr
Librairie du Congrès http://www.loc.gov
des États-Unis
MFQ http://www.mfq.asso.fr
MSP http://www.msp-officialsite.com
NIST http://www.nist.gov
OCDE http://www.ocde.org
OGC http://www.ogc.gov.uk
OECD Watch http://www.oecdwatch.org
OMG http://www.omg.org
PMI http://www.pmi.org et http://www.pmi-fr.org
PMGURU http://fr.pmguru.com
PRINCE http://www.prince2.org.uk et http://www.prince-officialsite.com
PRINCE User Group http://www.usergroup.org.uk
Appelé aussi “Best Practice User Group”
QuEST Forum http://www.questforum.org
SAI http://www.sa-intl.org
SEC http://www.sec.gov
SEI http://www.sei.cmu.edu
SpearOne http://www.spearone.com
SSE-CMM http://www.sse-cmm.org
SWEDAC http://www.swedac.se/sdd/System.nsf/(GUIview)/
index_eng.html
TickIT http://www.tickit.org
TickIT Plus http://www.tickitplus.org
W3C/WAI http://www.w3.org/WAI/
Index
Symboles ANPE 129

ANSI 134
(ISC)2 28, 184
APMG 124, 135, 141, 184, 191, 236
ARC 34
A ASQ 158
accréditation 18, 29, 49, 66, 76, 80, 87, audit 4, 9, 12, 36, 42, 43, 46, 49, 72, 74,
92, 94, 103, 111, 118, 124, 136, 78, 92, 93, 104, 146, 148, 170,
142, 172, 180, 183, 191, 223, 179, 215
227, 228, 231, 234, 235 cabinets d’audit 46, 47
Comité français d’accréditation de renouvellement 179
Voir COFRAC de surveillance 179
International Accreditation Forum de systèmes d’information 29, 30, 41,
Voir IAF 47
organismes d’accréditation 234 démarche d’audit 103, 104
ADELI XVI guide d’audit 43, 153
AFAI 42, 185, 236 méthodes d’audit 220
AFAQ 24, 52, 237
organisme d’audit 92, 100
AFITEP 143, 184, 185, 187, 191, 192,
pré-audit 92
236
rapport d’audit 152
AFITEP-CDP 13, 184, 196, 210, 220,
225, 226, 236 Autorité des marchés financiers 216, 240
AFITEP-CGP 17, 184, 225, 226, 236
AFNOR 10, 14, 18, 23, 52, 53, 74, 76, B
79, 85, 91, 102, 104, 134, 157,
165, 177, 202, 210, 237, 244 B2I 131
AICPA 152 Bâle II 213
AIPM 15 Bâle II 103, 211, 212
AMF Voir Autorité des marchés Black Belt 158
financiers Brevet informatique et internet Voir B2I
ANAES 66, 232 BSC 231
BSI 90, 100 CMMI 31, 42, 76, 84, 162, 210, 225, 226,
bureautique 127, 130, 131 229–231, 233, 235
ACQ 31
DEV 31
C SVC 31
C2I 131 CNIL 130
CAPM 135 CobiT 37, 41, 58, 91, 148, 152, 200, 202,
203, 206, 210, 224, 225, 231
CBK 28
CobiT-CGEIT 226, 236
CEPIS 127
CobiT-CISA 226, 236
Certificat informatique et internet
CobiT-CISM 226, 236
Voir C2I
COFRAC 76, 80, 103, 118, 235
certification
Comité français d’accréditation
d’entreprise 25, 58, 220 Voir COFRAC
d’établissement de santé 65 commerce électronique 80, 214
de personnes 13, 17, 27, 41, 47, 107, contrôle
109, 121, 127, 133, 139, 155, financier 149, 213, 215
158, 169, 183, 191, 210, 220,
interne 12, 42, 46, 145, 151, 213,
229, 230, 235, 237
215
de services 21, 70, 107, 206, 210,
Correspondant informatique et libertés
211, 223, 226
(CIL) 204
de système informatisé 77, 115 COSO 42, 43, 147, 148
du produit 95 CPE 29
CESTI 118 CRBF 213
CFTL 170, 184, 236 Critères communs 77, 118, 167, 200, 225,
CGEIT 48 226, 230, 234
CGP 210
CIGREF 46, 129 D
CISA 30, 47, 154, 184, 200, 202
CISM 30, 47, 200, 202 DCSSI 79, 80, 102, 118
développement durable 239
CISSP 27, 184, 200, 202, 210, 220, 226,
236 diagnostic
CMM d’aptitude de processus 31, 83, 161
de maturité 31
FAA-iCMM 166
du logiciel 184, 224, 232
IPD-CMM 33
sur le contrôle interne 151
People-CMM 166
DIPH 129
SA-CMM 33
DMAIC 157
SE-CMM 33
DO-178 37
SEI-CMM 166
SSE-CMM 161
SW-CMM 33 E
Trusted CMM 166 EA 26
Index 269
EBIOS 102, 104, 253 ICEC 15, 18, 191, 236

ECDL 128, 236 ICMB 111
EFQM 51, 68, 72, 113, 206, 210, 224, IFRS 46, 48, 97
226, 235, 240 IGSI 46
Elite Site Label 24 INCOSE 185
eSCM 57, 58, 206, 210, 222, 226 ingénierie
eSCM-CL 63 de la sécurité 77, 115, 161
eSCM-SP 60 des coûts 18
établissement de santé 65 des systèmes 175
Euro-Aptitudes 128, 236 du logiciel 184
European co-operation for Accreditation 26 Institut de la gouvernance des systèmes
excellence 51 d’information 46
EXIN 110 iNTACS 86, 235, 237
International Accreditation Forum
Voir IAF
F
IPMA 14, 18, 135, 187, 191, 236
FAA-iCMM 166 IRCA 237
ISACA 42, 154, 236
G ISC 28, 236
ISEB 111
gouvernance 41, 43, 61, 77, 122, 152,
206, 226, 239 ISMS 100, 199
d’entreprise 43, 147, 152, 203, 215, ISO 12207 86, 176, 232
239, 243 ISO 13335 167
de la valeur 45 ISO 15408 77, 118, 210, 226, 234
des projets 45 ISO 15504 33, 39, 83, 162, 210, 224–226,
des systèmes d’information 30, 41 232, 235, 237
principes de gouvernance 46, 48, ISO 17799 167
240 ISO 19759 184
GRI 243 ISO 20000 58, 76, 89, 110, 206, 210, 222,
224, 226
ISO 21827 162, 201, 210
H ISO 25051 95, 210, 222, 226
H3C 216 ISO 27001 42, 49, 99, 167, 200, 201, 210,
HAS 23, 65, 157, 210, 223, 226, 231, 222, 226
232, 235, 237 ISO 27002 99, 167, 201
Haut conseil du commissariat aux ISO 9000 25, 48, 72, 94, 175, 205, 212,
comptes Voir H3C 232
Haute autorité de santé Voir HAS ISO 90003 72, 176
ISO 9001 25, 37, 56, 58, 70, 71, 84, 96,
100, 103, 134, 153, 176, 201,
I
206, 210, 220, 222–224, 226,
IAF 235 228, 230, 232, 237
ICDL 128 iSQI 86, 235
ISSEA 162 P
ISTQB 170 P2MM 141
ITGI 42 P3M3 141
ITIL 37, 42, 64, 86, 89, 107, 140, 184, PCIE 127, 210, 226, 236
186, 203, 206, 208, 210, 220, PDCA 90, 91, 101, 156, 224
224, 226, 233, 236
PDU 135, 185, 225
ITSEC 78, 115, 200, 210, 220, 225, 226, PGMP 135
230, 234
PMBOK 133, 185, 192, 224, 226, 233
itSMF 91, 236 PMI 15, 133, 184, 191, 192, 220, 225,
ITSqc 58 233, 236
PMP 16, 140, 184, 185, 187, 191, 192,
210, 225, 236
L PRINCE2 113, 135, 139, 184, 185, 187,
Loi 191, 192, 210, 220, 224, 226,
de sécurité financière 46, 103, 148, 233, 236, 237
200, 201, 215, 240 processus 161
informatique et libertés 149, 204, d’acquisition 31
214 d’audit 47
NRE 241 de développement 31, 80, 96, 116,
Sarbanes-Oxley 234
Voir Sarbanes-Oxley de production informatique 38
LRQA 103, 237 de service 31, 151, 206
LSF Voir Loi de sécurité financière de systèmes d’information 43
production informatique 11, 38, 89, 94,
107, 206, 219, 220
M progiciels 96
PROMPT 140
M_o_R 141
management de projet 13, 17, 121, 133,
139, 191 Q
MEDEF 129 QSE 76, 199
MSP 121, 141, 220, 225, 226, 236 qualité
de la production informatique 89
de services 21, 22, 89, 177, 213
N du produit 93, 95, 177
NF 13816 23, 210 système de management de la qualité
9, 12, 65, 71, 89, 175, 201, 232
QuEST Forum 175, 176, 231, 235
O
OCDE 243 R
OGC 108, 140, 141, 191, 208, 225, 236 risques 199, 203, 241
organismes d’accréditation 234 analyse des risques 29, 80
Index 271
boucle de réduction des risques 101 service 205

contrôle des risques 163 certification de 21
évaluation des risques 49, 101, 104, externe 57
147 sous-traité 151
gestion des risques 33, 47, 59, 62, Six Sigma 155, 206, 210, 226, 230
136, 203 Solvabilité II 213
liés aux systèmes d’information 41 SPICE 84
maîtrise des risques 45, 109, 154, SSAM 165
239, 241, 242 SSE-CMM 161, 200, 201, 210, 225, 226
management des risques 42, 147, 167 SW-CMM 33, 84, 220, 225, 231, 233
niveaux de risques 101 SWEBOK 184
projets 163 système
réduction des risques 102, 202 de management 51, 104, 232
risques environnementaux 242 de management de la qualité 9, 12,
risques financiers 154, 200, 203, 212 65, 71, 89, 175, 201, 212, 224,
232
risques opérationnels 102, 154, 212
de management de la sécurité 12, 99,
RSE 149, 240, 242, 244
167, 199–201, 203
de management de services 90
S SysTrust 152
SA 8000 243
SAI 243
T
Sarbanes-Oxley 45, 103, 145, 152, 200, TDBSSI 104
201, 210, 215, 226, 228 télécommunications 175
SAS 70 151, 206, 210, 226 testeur 236
SCAMPI 34, 231 logiciel 169
SEC 146, 148 TickIT 210
sécurité 161, 199 TL 9000 175, 210, 222, 226, 231, 235
des informations financières 11, 145 TOE 79, 116
des systèmes d’information 22, 27, Trillium 84
41, 47, 79, 99, 104, 152, 162, Trusted CMM 166
201, 203, 226
des systèmes de santé 65 U
des systèmes informatisés 77, 115 UKAS 142
Direction centrale de la sécurité des
systèmes d’information
Voir DCSSI W
du chèque 213 W3C/WAI 24
financière 201, 212, 215 Webcert 22, 24
SEI 33, 86, 225, 231, 233, 235 WebTrust 152
InfoPro l’essentiel
type d’ouvrage
se former
retours
d’expérience
Martine Otter, Jacqueline Sidi, Laurent Hanaud Management des systèmes

d’information
Préface de Jean-Pierre Corniou applications

métiers
études, développement,
intégration
Guide des
exploitation
et administration
certifications SI
réseaux
& télécoms
2e édition
ITIL, CobiT, ISO 27001, eSCM... MARTINE OTTER
est directeur Audit interne et
sécurité chez Extelia. Elle y
contribue au déploiement des
Ce guide des certifications appliquées aux systèmes d’information bonnes pratiques en matière
fournit une vision synthétique de 27 dispositifs utilisés en France. de qualité, sécurité et analyse
des risques. Depuis 1999,
Les référentiels analysés couvrent l’ensemble des domaines elle est présidente d’Adeli,
soumis à certification : entreprises, services, produits, processus association pour la maîtrise
des systèmes d’information.
et personnes.
Par sa forme pédagogique sous forme de fiches synthétiques,
JACQUELINE SIDI
cet ouvrage facilite la compréhension des différents dispositifs est entrée dans le groupe
et constitue un guide pratique. En complément des fiches, il Capgemini en 1991 où elle
conduit des missions de
présente cartographies, analyses, tendances et de nombreux conseils et anime de sémi-
retours d’expérience. naires de formation. Elle a été
pendant 6 ans présidente de la
Les directions chargées des choix en matière de certification, commission de normalisation
motivées par la bonne gouvernance du SI, l’excellence de AFNOR «Ingénierie et qualité
du logiciel et des systèmes».
l’entreprise ou la responsabilité sociale, trouveront dans cet
ouvrage les éléments essentiels pour comprendre les dispositifs
LAURENT HANAUD
existants ou construire leur propre système.
est consultant chez IBM
Ce guide s’adresse principalement aux DSI et aux responsables Global Services, spécialisé
dans le secteur de l’info-
des systèmes de management de la qualité ou de la sécurité. Les gérance. Il intervient plus
DRH du secteur informatique seront intéressés par les aspects particulièrement, dans le cadre
des projets d’externalisation,
de certification des personnes. Enfin, les consultants disposeront sur la mise en conformité
d’une abondante matière pour appuyer leurs recommandations. des processus avec les
standards du marché et leur
implémentation. Il enseigne à
est une association qui permet à l’ensemble des professionnels l’institut du Management de
l’Information de l’université
des systèmes d’information de partager leur expérience, technologique de Compiègne.
d’accroître leurs connaissances et de débattre librement. Il est vice-président d’Adeli.
www.adeli.org
ISBN 978-2-10-054182-9 www.dunod.com

Guide Des Certifications SI DUNOD

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Des Certifications SI DUNOD

Transféré par

Droits d'auteur :

Formats disponibles

Guide des

MANAGEMENT des SYSTÈMES D’INFORMATION

Martine Otter, Jacqueline Sidi, Laurent Hanaud

CGEIT™, CISA®,CISM®,CISSP®, CBK®, CMMISM, CobiT®, (ISC)2®, ISACA®, ITGI®,

© Dunod, Paris, 2006, 2009

Le développement de la gouvernance des systèmes d’information est devenu une

Les objectifs de la gouvernance sont clairs. Le cadre de référence doit permettre de

Compte tenu de la diversité des métiers de l’informatique, de leurs rythmes

Première partie – Étude des dispositifs

Chapitre 1 – Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Chapitre 2 – Méta-modèle d’analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Chapitre 5 – Certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Chapitre 12 – ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Chapitre 13 – ISO 15408 Critères Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Chapitre 14 – ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Chapitre 15 – ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Chapitre 16 – ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Chapitre 17 – ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Chapitre 18 – ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Chapitre 19 – ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Chapitre 20 – MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Chapitre 21 – PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Chapitre 22 – PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Chapitre 23 – PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Chapitre 24 – Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapitre 25 – SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Chapitre 26 – Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Chapitre 27 – SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Chapitre 28 – Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Chapitre 29 – TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Deuxième partie – Analyses et perspectives

Chapitre 30 – Regard sur la certification de personnes . . . . . . . . . . . . . . . . . . . . . . . . . 183

Chapitre 31 – Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Chapitre 32 – Regard sur la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

Chapitre 33 – Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Chapitre 34 – Regard sur le législatif et le réglementaire . . . . . . . . . . . . . . . . . . . . . . . 209

Chapitre 35 – Cartographies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

Chapitre 36 – Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Chapitre 37 – Gouvernance et responsabilité sociale de l’entreprise . . . . . . . . . . . . . 239

Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

formation scolaire, universitaire ou professionnelle seront intéressés par les aspects de

• la certification ISO 27001 relative au système de management de la sécurité

« Comment faire reconnaître la qualité de nos produits et services », s’interrogent les

Comment choisir un dispositif de certification ? En fait, il s’agit non pas de choisir

1.1 QUELQUES DÉFINITIONS

L’ensemble de ces trois éléments constitue le dispositif. Le descriptif du déroule-

Figure 1.1 — Dispositif de reconnaissance

Le référentiel est un document d’exigences ou de recommandations que l’entreprise

Il existe trois sortes d’audits :

1.2 CHOISIR SON DISPOSITIF

en matière de qualité, de sécurité, d’environnement. Quelles solutions pouvons-nous

2.1 PRÉSENTATION DU MODÈLE

La comparaison des dispositifs de reconnaissance nécessite une clarification des

Figure 2.1 — Méta-modèle

2.1.2 Contenu du référentiel

2.1.3 Modèle d’évaluation

2.3 PRÉSENTATION DES DISPOSITIFS

D’abord le secteur économique de l’entreprise ou de l’individu qui utilise le

Figure 2.2 — Schéma standard de présentation d’un dispositif

Sur la figure 2.2, à droite du référentiel, se trouvent les éléments descriptifs du

Tout d’abord l’objet de la reconnaissance. Ce peut être une personne physique