Domaine 1 : PLANIFICATION ET ORGANISATION

Définition (d’une façon systématique et non au besoin ou au cas par cas, ou d’une
façon ad hoc) d’un plan informatique à LT. Plan structuré et formalisé (standard), mis à
P01 : DEFINIR UN PLAN

jour, documenté et communiqué à tous les niveaux, évalué périodiquement.

INFORMATIQUE

Transformation des plans à long terme en plan à court terme (objectifs claires et
STRATEGIQUE

concrets)- traduits à leurs tours en projets TI concrets.

besoins métiers alignés avec les objectifs TI
Le Plan à LT est le fruit de la collaboration (entente, communication, bonne dynamique)
de la DG-DM-DSI
-Evaluation des risques (humains, techniques, commerciaux)
-Evaluation périodique des SI existants (automatisation-fonctionnalités, stabilité,
complexité, coût)
-La fonction SI doit créer et mettre à jour un mode d’architecture de l’information
(cohérent avec le plan informatique à LT)
-La fonction SI doit créer et régulièrement mettre à jour un dictionnaire (définition et
L’ARCHITECTURE DE
L’INFORMATION

règles de syntaxe des données informatiques)

PO2 : DEFINIR

-Définir un cadre général de classification des données (assigner à chaque donnée une
place dans l’architecture informatique
-Formation du personnel DSI pour la bonne conception de l’architecture informatique
- Formation du personnel de l’entreprise pour accéder facilement à l’architecture
informatique
-Niveau de sécurité par classe de données
-Formation du personnel chargé de l’administration des bases de données
-Fonction SI doit élaborer un plan d’infrastructure technologique conforme au plan à
L’ORIENTATI

long terme et à court terme (architecture-orientation-technique –migration)

DEFINIR
PO3 :

ON

-Le management de la FSI doit établir et maintenir une structure de coordination, de

communication et de liaison optimale entre la FSI et les autres services de l’entreprise,
RELATIONS DE TRAVAIL DES TI

ainsi qu’à l’intérieur de la FSI

L’ORGANISATION ET LES
PO4 : DEFINITION DE

-la DG doit s’assurer de l’autorité, du poids et de l’indépendance de la FSI par rapport

aux autres services.
Le management doit s’assurer que
- l’ensemble de l’entreprise a un rôle/responsabilité au regard des SI (description des
postes à jour)
- les membres de la FSI assurent clairement leurs responsabilités et ont les
compétences requises.
- séparation des taches.
-les besoins en personnel doivent être évalués, la conséquence doit être un
recrutement du personnel si c’est nécessaire.
-La DG doit établir un processus de budgétisation, établit, approuvé et en harmonie
PO5: GERER

EMENT / ITI
L’INVESTISS

avec les plans à LT et à CT des SI et du plan stratégique de l’entreprise

- Analyser le rapport coût et gain (les retours en investissement TI)

1
 -Le management doit s’assurer que les politiques de l’entreprise sont clairement

ET LES ORIENTATIONS
CONNAITRE LES BUTS communiquées à tous les niveaux, comprises et acceptées par tous

DU MANAGEMENT
-Le management doit surveiller les délais et le degré de mise en œuvre de sa politique
PO6 : FAIRE

-Les politiques doivent être ajustées ou réévaluées au moins annuellement

-Le management doit assurer la responsabilité de l’élaboration d’un cadre définissant
l’approche générale de l’entreprise en matière de sécurité et de contrôle interne
-Le management doit établir par écris une politique sur les droits relatifs à la propriété
intellectuelle sur les logiciels développés en interne ou sous-traités
-La DG doit responsabiliser et sensibiliser les employés à la sécurité informatique.
-Embaucher et conserver un personnel motivé et compétent, et s’assurer de sa
contribution au processus informatique
PO7: GERER LES
RESSOURCES

-Le management doit s’assurer que le personnel reçoive une formation permanente
HUMAINES

pour maintenir leur connaissance, leur savoir faire, leur compétence à la sécurité
informatique.
Ces plans de formation doivent être très souvent ou constamment révisés.
-Le management doit prévoir un plan de remplacement pour tous les postes clés
-Le management doit mettre en place une évaluation des performances des employés.
L’entreprise doit se conformer aux lois sur le travail, sur la sécurité informatique,
MER AUX
EXIGENC
CONFOR
PO8: SE

qualité ….

Le management doit établir un cadre/plan d’évaluation systématique des risques,

constamment mis à jour et tenant compte des résultats d’audit et d’incidents survenus
PO9 : GERER LES

Mettre en place une méthodologie structurée de gestion de risques

RISQUES

Designer un responsable de gestion des risques entouré de compétences en la matière.

Connaitre les limites de l’entreprise en matière de gestion des risques
Les spécialistes de la sécurité doivent identifier les menaces et choisir les contrôles
adéquats par rapport à chaque menace identifiée

Le management doit établir une structure générale de gestion de projet (étendue,

PO10 : GERER LES PROJETS

limites, méthodologie, responsables, tâches, ressources, étapes clés livrables, études

de faisabilité)
-Préparer un plan directeur de projet afin de contrôler, suivre et mesurer les progrès de
son projet.
Le management doit mettre en œuvre de façon formelle un programme de gestion de
risque par projet
Plan de formation du personnel désigné pour chaque projet
S’assurer que chaque projet a réalisé les gains prévus ou escomptés

Le management doit :
- développer et assurer la mis à jour régulière d’un plan général de qualité basé sur le
PO11: GERER LA

plan de l’entreprise et le plan informatique à LT

QUALITE

- utiliser des indicateurs pour mesurer les résultats des activités afin d’évaluer si les
objectifs/qualité ont été atteints
-Le plan de qualité doit promouvoir une philosophie de l’amélioration continu et
répondre aux questions fondamentales (quoi ? qui ? comment ?).
- S’assurer que ce plan de qualité soit complet et actualisé.

2
 Domaine 2 : ACQUISITION ET MISE EN PLACE
La méthodologie de cycle de vie de développement des systèmes doit permettre de
définir clairement quels sont les besoins de l’entreprise déjà satisfaits par le système
AMP1 : TROUVER DES

existant ainsi que ceux auxquels doit répondre le nouveau système ou la modification
INFORMATIQUES

du système.
SOLUTIONS

Développer une stratégie d’acquisition de logiciel définissant s’il peut être acquis dans
le commerce, développé en interne, réalisé par sous-traitance, évolution de logiciel
existant ou la combinaison de ces différentes solutions.
La méthodologie doit comprendre un examen de faisabilité technologique, une analyse
des coûts et des bénéfices, une analyse documentée des menaces de sécurité,
vulnérabilités et impacts potentiels, une analyse des risques.
La méthodologie de cycle de vie de développement doit garantir que des techniques et
AMP 2: ACQUERIR DES
APPLICATIONS ET EN

des procédures appropriées, impliquant une étroite collaboration avec les utilisateurs
MAINTENANCE

du système, sont appliquées lors de la réalisation du cahier des charges de chaque

ASSURER LA

nouveau projet de développement de SI.

La méthodologie de cycle de vie de développement doit imposer l’étude et
l’approbation des spécifications de la conception de tous les projets de développement
ou de modification du SI.
La méthodologie de cycle de vie de développement doit garantir le développement
d’une interface entre l’utilisateur et la machine simple et ergonomique.
Le management de la fonction informatique doit planifier les travaux de maintenance
TECHNOLOGIQUE ET EN ASSURER

systématique et périodique du matériel pour diminuer la fréquence et l’importance des

défaillances.
AMP 3: ACQUERIR UNE

La FSI doit s’assurer que les paramétrages du logiciel système à installer ne mettent pas
LA MAINTENANCE
INFRASTRUCTURE

en péril la sécurité des données.

Des tests approfondis sur tous les logiciels systèmes avant qu’ils ne soient autorisés à
entrer en exploitation.
Tous les mots de passe des logiciels systèmes doivent être changés au moment de
l’installation.
Les critères de sélection des matériels et des logiciels doivent être basés sur les
spécifications fonctionnelles du nouveau système ou du système modifié. Des
procédures d’évaluation des nouveaux matériels et logiciels et leur impact sur la
performance de l’ensemble du système.
S’assurer de l’utilisation adéquate des applications et des solutions technologiques.
DEVELOPPER LES
PROCEDURES ET
EN ASSURER LA

S’assurer d’une définition opportune des besoins d’exploitation et des niveaux de

service requis.
AMP 4:

Rédaction et mise à jour de manuels de procédures utilisateurs et de manuels

d’exploitation adéquats.
S’assurer que les supports de formation sont adéquats et axés sur l’utilisation du
système.

3
 Former le personnel des services utilisateurs concernés et de l’équipe d’exploitation.
AMP 5: INSTALLER LES SYSTEMES ET LES Evaluer la performance des logiciels d’application afin de prévoir quelles ressources
VALIDER seront nécessaires pour l’exploitation des nouveaux systèmes.

Vérifier qu’il existe une méthodologie pour établir les priorités des demandes de
CHANGEME
GERER LES

modification d’applications initiées par les utilisateurs et si elle est appliquée.

AMP 6:

NTS

Vérifier que les utilisateurs sont satisfaits des retours sur leurs demandes de
modification (en termes de temps de réponse et de coût)
Vérifier la qualité de la formation (durée, documentation, évaluation)

Domaine 3 : DISTRIBUTION ET SUPPORT

 Le management doit définir un cadre de référence (contrat de service) couvrant : la
disponibilité, la fiabilité, la capacité d’évolution, la performance, le plan de continuité,
DS1- Définir et

niveaux de

les restrictions, la facturation,…)

gérer des

service

 Le management doit nommer un responsable du niveau de service chargé de la

surveillance et de rendre compte de l’atteinte des niveaux de service.
 Le management doit mettre en place un processus d’amélioration du niveau de
service
S’assurer/vérifier que :
des services
DS2- Gérer

 les rôles et les responsabilités des tierces parties sont clairement définis, approuvés et
tiers

continuent à satisfaire aux besoins.

 les politiques et procédures TI relatives aux relations avec les tiers existent et sont
conformes à la politique générale de l’entreprise.
 Le management doit s’assurer de l’élaboration d’un plan de disponibilité (à jour) pour
DS3- Gérer la
performance

atteindre, surveiller et contrô ler la disponibilité de l’informatique. Ce plan tient

capacité

compte des exigences des utilisateurs.

et la

 Vérifier/s’assurer que les tableaux de bord sur la performance remis aux utilisateurs
concernent l’utilisation, la disponibilité ainsi que la capacité, la planification de la
charge de travail et les tendances d’évolution
 S’assurer que les services informatiques sont conformes aux besoins, et s’assurer que
Assurer

continu
service

l’impact sera minimum pour l’entreprise en cas d’interruption importante.

DS4:

un

 Plan de continuité informatique prenant en compte le plan informatique à moyen et

long terme.

4
  Existence d’une politique de sécurité (PSSI) formalisée, documentée, communiquée,
évaluée et constamment mise à jour
 Désigner un responsable de la sécurité des systèmes d’information compétent
 La sécurité informatique en ligne avec les besoins de l’entreprise.
 L’accès logique aux ressources des TI et à leur utilisation doit être limité par la mise
en œuvre de mécanisme d’identification, d’authentification et d’autorisation
adéquats, assortis de règles d’accès.
 Le management doit établir des procédures pour s’assurer que les actions relevant de
l’interrogation, de l’ouverture, de la modification et de la fermeture des comptes
DS5- Assurer la sécurité des systèmes

utilisateurs sont réalisés au moment opportun.

 La sécurité des accès tiers doit être définie contractuellement et doit concerner
l’administration des droits et les exigences de confidentialité.
 Le management doit mettre en place un processus de contrô le périodique pour
réviser et confirmer les droits d’accès.
 Les utilisateurs doivent pouvoir contrô ler systématiquement l’activité de leur compte.
Des dispositifs doivent leur permettre d’être alertés à temps en cas d’utilisation
anormale.
 Le management doit mettre en œuvre des procédures pour s’assurer que toutes les
données sont classifiées selon leur sensibilité selon le schéma de classification des
données.
 S’il existe des connexions au réseau Internet, des pare-feu doivent être mis en place
pour se protéger contre tout déni de service et tout accès non autorisé aux ressources
internes. Le management doit protéger l’intégrité permanente des cartes et des
appareils physiques similaires utilisés pour authentifier ou stocker des données
financières ou sensibles.
 Face aux logiciels malins, tels que les virus ou chevaux de troie, le management doit
mettre en place un dispositif adéquat de contrô le pour assurer prévention, détection
et correction ainsi qu’un enregistrement des incidents et des mesures prises dans
chaque cas.
 L’administration de la sécurité des TI doit s’assurer que les violations de la sécurité
sont enregistrées, rapportées, revues.
 Assurer une connaissance exacte des coû ts imputables aux services informatiques
COÜTS systèmes
ET IMPUTER LES
IDENIDENTIFIER

 Le management des TI doit établir et mettre en œuvre des procédures d’évaluation

des coû ts pour fournir des informations de gestion sur les coû ts des prestations
informatiques tout en garantissant leur rentabilité.
DS6 :

 Les écarts entre coû ts prévus et réels doivent être analysés de manière adéquate et
surveillés.
 Le management des TI doit définir et utiliser des procédures d’imputation et de
refacturation des coû ts aux utilisateurs.
 S’assure que les utilisateurs font une utilisation efficace des TI et sont conscients des
DS7 : former

utilisateurs

risques et des responsabilités qu’elle implique.

 Identifier et documenter les besoins en formation
les

 Identifier les formateurs

 Sessions de formation régulières
 Sensibiliser les employés aux règles de sécurité des SI
 Cellule d’assistance « help desk » pour répondre rapidement aux problèmes des
les clients
conseiller
assister

utilisateurs
DS8 :

les

 Identifier tous les composants TI, éviter les modifications non autorisées, vérifier
configura
gérer la

l’existence physique et fournir un référentiel pour une bonne gestion des

DS9 :

tion

changements.

5
  Le management des TI doit mettre en œuvre un système de gestion des problèmes

problèmes et
les incidents
DS10 : gérer afin de s’assurer que tous les évènements d’exploitation non standards (incidents,
les problèmes, erreurs) sont enregistrés, analysés et résolus. Les modifications d’urgence
des programmes testées, approuvées et rapportées.
 Des comptes rendus d’incidents doivent être établis en cas de problème.
 Ce système doit fournir des pistes d’audit adéquates.
 S’assurer que les données demeurent complètes, exactes et valides au cours de leur
DONNEES

entrée, mise à jour et stockage.

GERER
DS11 :

LES

 Fournir un environnement physique adapté qui protège l’équipement informatique et

les personnes contre les risques humains et naturels.
 Etablir des mesures de sécurité physique et de contrô le d’accès aux installations
DS12 : GERER LES
INSTALLATIONS

informatiques ( y compris les installations hors site)

 Ces mesures s’intéressent aux locaux, machines, armoires de connexion, services
techniques (alimentation électrique, moyens de sauvegarde,…)
 Mesures pour protéger contre les risques environnementaux (feu, poussière, chaleur
excessive, humidité)
 Evaluer les besoins en onduleurs et groupes électrogènes pour sécuriser les
applications informatiques critiques contre les pannes de courant et les variations de
tension.
 S’assurer que les fonctions importantes de support sont exécutées régulièrement et
L’exploitation
DS13 : GERER

de manière organisée.
 Le management des TI doit établir et documenter des procédures d’exploitation
standards. Un planning des activités de support enregistré et clarifié doit être mis en
place.
 Toutes les solutions et plateformes TI en place doivent être exploitées selon ces
procédures qui doivent être revues pour vérifier leur efficacité et leur respect.

6
 Domaine4 : SURVEILLANCE
S1 : surveiller les  Le management doit s’assurer de la définition d’indicateurs de performance
pertinents pour évaluer les processus informatiques et les processus de contrô le
interne.
processus

 L’évaluation de la FSI se fait d’une façon permanente

 Evaluer la satisfaction des clients vis-à -vis des prestations fournies par la fonction
informatique.
 Des rapports de gestion doivent être fournis à la direction générale afin qu’elle
évalue les progrès de l’entreprise vers les buts assignés.
 Le management doit surveiller l’efficacité du contrôle interne des opérations par des
S2 : apprécier
le contrôle

activités de gestion et de supervision, des comparaisons et des actions programmées.

interne

 Mettre en place un audit interne permettant d’évaluer la réalité et la mise en œuvre des
processus informatiques
 Un audit indépendant ou une auto-évaluation doivent fournir régulièrement une
assurance sur l’efficacité de la sécurité et du contrôle interne.
 Obtenir une certification externe (iso 9000, ITIL, CMMI) est nécessaire pour assurer
certification par
S3 : obtenir une

aux utilisateurs un niveau de services.

indépendant
un organe

 Le management doit obtenir une évaluation indépendante de l’efficacité de la

fonction informatique de manière régulière.

 La DG doit établir un plan pour garantir que des audits réguliers et indépendants
sont en vigueur concernant l’efficacité, l’efficience et l’économie des procédures de
indépendant
S4 : disposer
d’un audit

sécurité et de contrô le interne et la capacité du management à maitriser les activités

des TI.
 Le management doit s’assurer que les auditeurs chargés de la revue des activités
des TI de l’entreprise sont techniquement compétents
 L’auditeur doit être indépendant par son attitude et son apparence