Vous êtes sur la page 1sur 383

Gilles Teneau | Jean-Guy Ahanda

des normes et rfrentiels

Guide comment

Vous souhaitez optimiser les cots et les dlais dans votre entreprise tout en offrant une bonne qualit de service ? Les normes, rfrentiels, mthodes et modles (NRMM) vont vous y aider ! Cet ouvrage vous en propose une synthse facile dutilisation et pratique. Il vous apportera des rponses claires et prcises, et les nombreuses annexes vous permettront dapprofondir vos recherches. Vritable livre de rfrence, ce guide comment est destin autant aux nophytes quaux plus expriments. 7 Quatre grands thmes centraliss dans un mme ouvrage, avec des explications simples et des exemples sur les normes, rfrentiels, mthodes et modles. Les tendances avec les nouvelles normes (ISO 20000:2010, ISO 38500) et les nouveaux rfrentiels (P-CMM, EFQM-SD 21000, CoBit V4.1). Une vision gnrale des sujets selon une mme logique : lhistorique, le concept, lapplication et le dire dexpert.

7 7

www.jgaconsulting.com

Ont particip cet ouvrage : Michel BERTEAU, Expert et Auditeur Scurit en SI Christophe DENIS, Spcialiste CMMI Alexandre ENGEL, Master Black Belt Six Sigma Gad KOSKAS, Auditeur ISO 20000, Consultant et formateur ITIL Sylvain LABORDE, Lead Auditeur ISO 27002 Hugues MOLET, Directeur du Mastre management industriel Mines Paristech Benot NELATON, Responsable Performance Industrielle Michel RAQUIN, Prsident du club des pilotes de processus, Peter SULLIVAN, Directeur qualit industrielle Pierre THORY, Coditeur du standard ISO/IEC 20000-1 (AFNOR).

Code diteur : G54388 ISBN : 978-2-212-54388-9

Gilles TENEAU est responsable du ple ITIL au sein de SOGETI. Doctorant en science de gestion, il est charg de cours au CNAM. Il crit galement des articles et ouvrages de management et possde une longue exprience du conseil en stratgie auprs de grandes entreprises.

barbarycourte.com | Illustration : istockphoto.com

Jean-Guy AHANDA est consultant senior en direction de projet et spcialiste en qualit pour lindustrie et les services. Diplm en management industriel et systmes logistiques de lcole des Mines ParisTech et en normalisation qualit, certication de lUTC, il intervient auprs des grands groupes.

ditions dOrganisation Groupe Eyrolles 61, bd Saint-Germain 75240 Paris cedex 05 www.editions-organisation.com www.editions-eyrolles.com

Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans lenseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du Droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Groupe Eyrolles, 2009 ISBN : 978-2-212-54388-9

Remerciements

Nous tenons remercier tout particulirement nos familles respectives pour les nombreuses heures de patience, de conseil et de soutien tout au long de notre travail. Nous remercions galement lensemble des personnes qui ont fortement contribu la parution de louvrage : Dominique Briot, spcialiste en approche systmique, auteur de louvrage Manager par lapproche systmique aux ditions dOrganisation. Hugues Molet, professeur lcole nationale suprieure des mines de Paris, pour sa contribution dans la ralisation de la prface de notre ouvrage. Benot Nelaton, responsable industrialisation, pour sa prcieuse aide dans lamlioration et la relecture de louvrage, et pour sa participation en tant que dire dexpert pour le chapitre Lean. Michel Berteau, consultant senior, auditeur certi ISO 27001, pour ce qui concerne ISO 27001 et son dire dexpert . Sylvain Laborde, certi BS 7799, auditeur certi ISO 27001, pour sa contribution la rdaction des normes ISO 27002 27007. Gad Koskas, consultant manager, auditeur ISO 20000 et formateur ITIL V2, V3, pour la rdaction du chapitre de la norme ISO 20000. Michel Raquin, prsident du Club des pilotes de processus (C2P) pour sa contribution pour le chapitre BPM.
Groupe Eyrolles

Alexandre Engel, manager Black Belt, pour sa contribution en tant que dire dexpert pour le chapitre Six Sigma.

VI

Guide comment des normes et rfrentiels

Christophe Denis, ingnieur logiciel, spcialiste CMMI, pour sa contribution en tant que dire dexpert pour les chapitres ISO/IEC 15504 et ISO/IEC 12207. Peter Sullivan, manager Quality pour sa contribution en tant que dire dexpert pour le chapitre TICKIT. Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ; directeur de Sextant Solutions Informatiques ; matre de confrences associ luniversit dEvry ; prsident de la Commission nationale ingnierie et qualit des logiciels et systmes (AFNOR). Marguerite Cardoso, ditrice chez Eyrolles, qui nous a fait conance.

Groupe Eyrolles

Sommaire

Remerciements .................................................................................. Prface ................................................................................................ Avant-propos ...................................................................................... Introduction .......................................................................................

V 1 5 9

Partie 1

LES NORMES
Dfinition ............................................................................................ Historique....................................................................................... Dfinition simplifie ...................................................................... quoi sert une norme ?...................................................................... Une norme est en relation avec un domaine dactivit ........................ Les organismes de normalisation ......................................................... quoi sert un organisme de normalisation ? .............................. Pourquoi des organismes de normalisation ?............................... Accrditation et certification............................................................... Liste des normes analyses dans cet ouvrage ..................................... 16 16 17 17 17 19 19 19 20 20 23 27 31 37 43 47 53

CHAPITRE 1 BS 8800 ................................................................... CHAPITRE 2 ISO 9000 ................................................................. CHAPITRE 3 ISO 9001:2000 ....................................................... CHAPITRE 4 ISO 10006:2003 .....................................................
Groupe Eyrolles

CHAPITRE 5 ISO/IEC 12207:2008 ............................................. CHAPITRE 6 ISO 14001:2004 ..................................................... CHAPITRE 7 ISO/IEC 15504 .......................................................

VIII

Guide comment des normes et rfrentiels

CHAPITRE 8 ISO 19011 ............................................................... CHAPITRE 9 ISO/IEC 20000 ....................................................... CHAPITRE 10 ISO/IEC 21827:2002 .......................................... CHAPITRE 11 ISO/WD 26000 .................................................... CHAPITRE 12 ISO 27000 ............................................................. CHAPITRE 13 ISO/DIS 31000 .................................................... CHAPITRE 14 ISO 38500:2008 ................................................... CHAPITRE 15 SAS 70 ................................................................... CHAPITRE 16 SA 8000 ................................................................. CHAPITRE 17 SOX ........................................................................

57 61 65 69 73 81 85 89 93 99

Partie 2

LES RFRENTIELS
Dfinition ............................................................................................ Quest-ce quun rfrentiel ?.......................................................... Quest-ce quun rfrentiel de certification ?................................ Liste des rfrentiels analyss dans cet ouvrage.......................... 102 102 102 103 105 109 111 119 123 127 133 141 143
Groupe Eyrolles

CHAPITRE 1 ASL ........................................................................... CHAPITRE 2 CISSP ....................................................................... CHAPITRE 3 CMM et CMMI ........................................................ CHAPITRE 4 COBIT ...................................................................... CHAPITRE 5 DSDM....................................................................... CHAPITRE 6 EFQM ....................................................................... CHAPITRE 7 eSCM ........................................................................ CHAPITRE 8 ISPL (Euromthode) ............................................ CHAPITRE 9 ITIL V2 .....................................................................

Sommaire

IX

CHAPITRE 10 ITIL V3 .................................................................. CHAPITRE 11 MOF ....................................................................... CHAPITRE 12 OHSAS .................................................................. CHAPITRE 13 PCIE....................................................................... CHAPITRE 14 PMP ....................................................................... CHAPITRE 15 PRINCE2 ............................................................... CHAPITRE 16 SPICE .................................................................... CHAPITRE 17 TICKIT .................................................................. CHAPITRE 18 TQM....................................................................... CHAPITRE 19 Zachman ..............................................................

149 157 161 165 167 169 175 179 181 187

Partie 3

LES MTHODES
Dfinition ............................................................................................ Gnralits sur les mthodes ........................................................ Liste des mthodes analyses dans cet ouvrage.......................... 194 194 195 197 203 209 215 219 223 225 229 233

CHAPITRE 1 AMDEC .................................................................... CHAPITRE 2 BPM.......................................................................... CHAPITRE 3 BSC ........................................................................... CHAPITRE 4 Benchmark ............................................................ CHAPITRE 5 BP-GP ...................................................................... CHAPITRE 6 CRAMM ...................................................................
Groupe Eyrolles

CHAPITRE 7 EBIOS ...................................................................... CHAPITRE 8 Hoshin .................................................................... CHAPITRE 9 ITBPM ......................................................................

Guide comment des normes et rfrentiels

CHAPITRE 10 Juste--Temps ..................................................... CHAPITRE 11 Kaizen ................................................................... CHAPITRE 12 Knowledge Management ................................. CHAPITRE 13 Lean ....................................................................... CHAPITRE 14 MEHARI ................................................................ CHAPITRE 15 OCTAVE/OCTAVE-S ........................................... CHAPITRE 16 PDCA (roue de Deming) .................................. CHAPITRE 17 Six Sigma ............................................................. CHAPITRE 18 TCO........................................................................ CHAPITRE 19 TDBSSI ..................................................................

237 241 247 253 259 261 263 267 271 275

Partie 4

LES MODLES
Dfinition ............................................................................................ Liste des modles analyss dans cet ouvrage .............................. 278 279 281 283 287 291 293 297 299 301 303
Groupe Eyrolles

CHAPITRE 1 Cartes mentales .................................................... CHAPITRE 2 Ishikawa ................................................................. CHAPITRE 3 Chane de valeur .................................................. CHAPITRE 4 Chane de la performance ................................. CHAPITRE 5 Modle des carts de la qualit de service ............................................................... CHAPITRE 6 Les 3C ou le triangle stratgique ..................... CHAPITRE 7 Les 5S ....................................................................... CHAPITRE 8 Les 5P ...................................................................... CHAPITRE 9 Les 5 forces ............................................................

Sommaire

XI

CHAPITRE 10 Les 7S .................................................................... CHAPITRE 11 Matrice Atouts/Attraits .................................... CHAPITRE 12 Matrice Croissance/Part de march ............. CHAPITRE 13 Matrice Importance/Urgence ........................ CHAPITRE 14 MSP-SPC ............................................................... CHAPITRE 15 PEST ...................................................................... CHAPITRE 16 Principe de Pareto ou loi des 80/20 ............. CHAPITRE 17 RACI ...................................................................... CHAPITRE 18 SMED .................................................................... CHAPITRE 19 SIPOC ou les relations client-fournisseur ... CHAPITRE 20 SWOT .................................................................... CHAPITRE 21 TPM .......................................................................
Conclusion .........................................................................................

305 307 309 311 313 315 317 319 321 323 325 327 331

ANNEXES
ANNEXE 1 ANNEXE 2 ANNEXE 3 ANNEXE 4 ANNEXE 5 ANNEXE 6
Groupe Eyrolles

Cartographie des NRMM .................................... Les nouveauts normes et rfrentiels .......... Sites Internet ......................................................... Organismes de certification ............................. Acronymes ............................................................ Glossaire ................................................................

339 343 345 347 349 353 359 367

Bibliographie ...................................................................................... Index ..................................................................................................

Prface
Prface

Dans lenvironnement concurrentiel actuel, les entreprises recherchent plus que jamais raliser des objectifs stratgiques, tactiques et oprationnels. Il peut sagir de croissance sous forme de fusion, rachat Il peut galement sagir damliorer la productivit, interne ou externe, sur la chane logistique, ou de faon plus pragmatique de chercher survivre ; pour aider rester dans la course, les activits de la technologie de linformation (TI) deviennent indispensables. Ces objectifs seront atteints grce la mise en uvre des outils du management stratgique, de la gestion industrielle et de la logistique, et cela quel que soit le secteur dactivit, industrie ou service. Les auteurs de cet ouvrage proposent des rponses dans des domaines varis pour mettre en uvre ces outils. Il ne sagit pas de donner une solution unique et dcisive mais dapporter quelques cls prsentes selon une typologie NRMM1. Lorsque lon parle de normes, rfrentiels, mthodes et modles, on est enclin considrer que leur mise en uvre et leur utilisation ne sont lies qu certaines directions fonctionnelles : qualit, mthodes, maintenance, tudes Et presque toujours, on se rfre au secteur industriel. Mais cette vision est restrictive ; les NRMM englobent la totalit des fonctions et des acteurs et, de plus en plus, on assiste lappropriation des NRMM par les entreprises du tertiaire, et plus prcisment celles des services, des prestataires logisticiens et distributeurs, des entreprises SSII, des cabinets de conseil, des oprateurs en systmes dinformation, en tlcommunications
Groupe Eyrolles

titre personnel, je me sens trs directement concern par lapplication de ces outils pour plusieurs raisons.
1. Normes, Rfrentiels, Mthodes, Modles.

Guide comment des normes et rfrentiels

Jai t responsable dune PME, il y a plusieurs annes. Le danger dans une telle structure est de penser que votre situation est spcique et que les outils appliqus dans les grandes entreprises ne vous apporteront quune aide bien limite. En ralit, les outils NRMM sont tout fait adaptables nimporte quelle structure. titre dexemple, on a longtemps pens que la mise en place dune norme ISO 9000 ntait quun amoncellement de documents, et que ceux-ci ne concernaient que de grandes structures qui pouvaient se permettre de les confectionner et de les rassembler. Lexprience a montr quintelligemment conues et mises en place de telles normes pouvaient tre relativement souples et adaptables, conduire des amliorations signicatives. La mise en uvre dun audit de ux ou dun changement rapide de fabrication nest pas lapanage de grandes socits et, quelle que soit sa taille, chaque entreprise peut trouver dans les NRMM matire progresser. En qualit de professeur au sein de lcole des mines ParisTech et directeur du 3e cycle pour le mastre spcialis Management Industriel et Systmes Logistiques , je suis confront une difcult pdagogique. Bien que lapprentissage thorique des NRMM ne soit pas si complexe, il arrive aux tudiants de considrer ces outils comme vidents, sinon triviaux, parce que la difcult nest pas dans lapprentissage de ces NRMM mais dans leur mise en uvre. Or, celle-ci ne peut intervenir qu la suite de la partie acadmique. ce moment-l, les tudiants ralisent la complexit et la nature des difcults dimplmentation des NRMM, ainsi que limportance primordiale du facteur humain dans leur mise en uvre. Le constat intressant aujourdhui est lafux de sujets proposs par les industriels, dont les solutions reposent sur la mise en uvre rchie des NRMM. Lenjeu le plus important nest pas seulement de connatre ces outils mais de les mettre en place ; tout converge alors vers limplication du personnel. Un thme rcurrent avec un dcalage important et omniprsent entre les potentialits thoriques des outils NRMM quels quils soient, et leur efcacit relle en termes de productivit. Cet cart est li la comprhension par les acteurs de ces outils, et lintrt qui leur est port dans leur application et constante amlioration. La mise en place dune norme ISO peut constituer une corve sans

Groupe Eyrolles

Prface

valeur ajoute, ou bien, au contraire, devenir un vecteur de progrs. Tout dpendra de la faon dont cette norme est comprise, notamment en termes de source continuelle de progrs. Le danger est grand de considrer une norme comme une entit ge ; lapplication de celle-ci sera une russite lorsque lon ne cherchera pas uniquement la respecter mais dpasser les exigences requises. Une autre de mes activits actuelles concerne la responsabilit de la Revue franaise de gestion industrielle, revue qui relate des expriences concrtes de praticiens, de consultants et duniversitaires dans le monde industriel et des services. Depuis plusieurs annes, je suis tmoin dun intrt nouveau et accru envers les tmoignages prsents sur la mise en uvre doutils NRMM. Autre volution intressante, la mise en uvre de ces outils sapplique de plus en plus au monde des services : on assiste une appropriation de dmarches autrefois rserves lindustrie dans des univers qui ny taient pas familiers, en particulier ceux de la logistique et toutes les activits de services. La valeur principale de cet ouvrage est dapporter aux lecteurs une vision simple et rapide de la plupart des NRMM, tout en offrant la possibilit de mieux cerner lensemble des thmes prsents. Le public potentiel est large : il peut sagir dtudiants, de professionnels, denseignants, que ceux-ci aient dj une bonne connaissance de ces outils ou quils les dcouvrent. Grce cet ouvrage, ces outils sont prsents et positionns dans leur contexte selon la typologie NRMM propose ; limportance du facteur humain dans leur mise en uvre et leur efcacit est juste titre trs prsente. Cet ouvrage est un livre pratique : il peut servir de recueil, de dictionnaire, de rfrence. Il sagit dun ouvrage dont tous les acteurs des entreprises industrielles et de services pourront trs utilement proter. Hugues Molet Professeur lcole des mines ParisTech.
Groupe Eyrolles

Rdacteur en chef de la Revue franaise de gestion industrielle. Auteur de nombreux ouvrages dont La Gestion de production, Herms, 1989, Une nouvelle gestion industrielle, Herms, 1993, Systme de production et de logistique, Lavoisier, 2006.

Avant-propos

Avant-propos

Le panel qui existe en matire de norme, de rfrentiel, de mthode et de modle est relativement large ; notre choix porte sur le management de la qualit, travers diffrents domaines dactivit, comme le systme dinformation, lorganisation, la supply chain, et cela quel que soit le cur de mtier de lentreprise. Tout dabord, il faut se poser la question : sans les NRMM, comment mon organisation (service, dpartement, direction) fonctionnerait-elle ? Des rgles sont tablies en interne comme en externe de lentreprise ; lavantage davoir des NRMM permet danticiper des problmes, de mieux comprendre les enjeux et la stratgie de lentreprise, ainsi que le march conomique. Pour la direction gnrale, les NRMM sont des outils indispensables ; avoir la matrise de ces outils est un vecteur de russite pour lentreprise face la concurrence.

LES NRMM EN PLUSIEURS TAPES


Ltape 1 : Normes Il sagit de ce qui est incontournable (rglement, ce que dit la loi, voire dans certains cas ce quelle impose). Ltape 2 : Rfrentiels Il sagit du choix de lentreprise, quel est le rfrentiel le plus adapt son activit et sa stratgie, avec la cl une certication.
Groupe Eyrolles

Ltape 3 : Mthodes Il sagit de toutes les bonnes solutions qui vont permettre lentreprise datteindre son objectif (qualit, cot, dlai, services) et autres (fusion, rachat, joint-venture).

Guide comment des normes et rfrentiels

Ltape 4 : Modles Il sagit doutils, connus et reconnus des professionnels ; les modles sont indispensables et complmentaires aux mthodes. Avant dinitialiser les NRMM dans lentreprise, la dimension humaine est prendre en compte par rapport lchelle temps, cest--dire avant, pendant et aprs : avant : concerne la sensibilisation de tout le personnel et se traduit par un vritable plan de communication, formation, sminaire. Une mobilisation du personnel est organiser ; pendant : ne pas cesser de communiquer auprs des quipes, les impliquer, avec pour objectif lappropriation des NRMM dans sa totalit ; toujours penser communiquer auprs du personnel sur lavancement, les rsultats de la mise en place des NRMM ; fliciter et reconnatre les succs comme savoir reconnatre les checs ; aprs : concerne les volutions, les nouveauts, la veille technologique et organisationnelle, structure quil faut mettre en place et maintenir an de prserver toute lefcience qui existe autour des NRMM. Grce aux NRMM lentreprise donne la preuve quelle est organise, normalise, qualie, certie on lui dcerne un package de conformit , poids stratgique face la concurrence et aux nouveaux marchs. Sans les NRMM lenjeu est difcile. Il ne faut pas voir les NRMM comme quelque chose de compliqu, de lourd, de pnible utiliser, de non convivial, dastreignant, de rbarbatif mais il faut les voir davantage comme un vecteur de succs pour lentreprise, qui doit permettre aux collaborateurs doptimiser, damliorer la qualit de leurs activits tout en dgageant de vritables gains :
Gains pour le personnel Gains pour lentreprise

panouissement de la personne (tre utile). Reconnaissance de son travail. Satisfaction personnelle. volutions internes ou externes. Augmentations de salaire, primes

Temps, cot, qualit de service. Position de leader sur le march/image de marque (rputation). Conqute de nouveaux marchs. Rachats, fusions, partenariats, joint-ventures.
Groupe Eyrolles

Avant-propos

Cet ouvrage a pour vocation de prsenter les NRMM de manire simple. Lapproche NRMM permet dtablir des rgles de fonctionnement, voire des rgles stratgiques. De nos jours, travailler sans rgles est dangereux car beaucoup de choses sont standardises, normalises, rfrences, que ce soit les services, les fabrications, les changes, les ux, les produits

Groupe Eyrolles

Introduction

Introduction

Lobjectif de cet ouvrage est de prsenter, de manire simple et comprhensible, les vastes domaines que sont les normes, les rfrentiels, les mthodes et les modles, qui semblent complexes pour les non-initis, pour les activits de la technologie de linformation et, plus particulirement, le systme dinformation. Cet ouvrage permettra au lecteur dacqurir un ensemble de bases essentielles (smantique, normatif, rfrentiel, mthodique, modlisme, stratgique) pour matriser et mettre en place une approche NRMM ; nous dsignons par cette appellation les normes, rfrentiels, mthodes, modles. Depuis plusieurs annes, le monde professionnel a assist son mergence dans de nombreux domaines dactivit, dont les systmes dinformation. Pour beaucoup, quand on parle de NRMM, un amalgame confus entre les termes est souvent fait. Cest vrai quil est difcile de faire la distinction entre une norme et un rfrentiel, entre une mthode et un modle ; les frontires sont souvent confondues. Grce cet ouvrage, la distinction sera clairement faite entre une norme et un rfrentiel, et entre une mthode et un modle. Les normes ou les rfrentiels ont des numros de versions par exemple, COBIT V4.1, ITIL V3 ou ISO/IEC 27001 , alors que les mthodes et les modles nen possdent pas. Les normes sont des exigences, vous devez faire ceci , alors que les rfrentiels sont des recommandations, il serait bien de faire comme ceci . Les mthodes et les modles sont des outils qui servent aux rfrentiels ou aux normes. Par exemple, la mthode PDCA est utilise par le rfrentiel eSCM. Le modle de la chane de valeur est utilis par le rfrentiel ITIL V3. Les mthodes Marion et Mehari sont utilises par la norme ISO/IEC 27001. Les modles sont des outils simples tandis que les mthodes sont des outils complexes. Certaines mthodes peuvent se sufrent elles-mmes, cest le cas pour le modle Six Sigma.

Groupe Eyrolles

10

Guide comment des normes et rfrentiels

Le tableau ci-dessous permettra davoir une meilleure comprhension de ce que lon dsigne par NRMM :
NRMM Dnition Exemples

NORME

Document de rfrence sur un sujet ou un domaine donn en accord avec la rglementation franaise ou trangre (norme europenne, norme internationale). Certication de lentreprise dans bien des cas.

ISO 9001:2000 ISO 14001:2004 ISO/IEC 27001 SA 8000

RFRENTIEL

Standard ( best practice du mtier) reconnu par des professionnels du domaine, et qui se rfre souvent une norme. Certication des personnes dans bien des cas.

ITIL V2, V3 COBIT CMMI Zachman AMDEC BSC Kaizen Six Sigma

MTHODE

Ensemble de dmarches formalises selon des principes, dans le but dacqurir un savoir-faire conforme aux objectifs attendus. Utilisation de la mthode travers lentreprise ou une partie de lentreprise.

MODLE

Outil qui, grce ses caractristiques, ses qualits, son utilisation, peut servir de rfrence limitation ou la reproduction. Application du modle pour un domaine ou une activit spcique de lentreprise.

Ishikawa Chane de la valeur 5S SWOT

Les entreprises, les administrations nationales ou internationales, les organisations sappuient sur des normes, des rfrentiels, des mthodes et des modles, dans lobjectif de rester comptitives. La matrise des NRMM reprsente un atout important, voire stratgique, pour toutes. La qualit, le cot, le dlai et le respect de lenvironnement sont des critres importants et incontournables pour lensemble des acteurs qui appartiennent la chane logistique normale :
Groupe Eyrolles

Le fournisseur le producteur (services, produits) le client nal le march.

Introduction

11

POURQUOI UN TEL OUVRAGE ? CE QUIL APPORTE


Lide dun tel ouvrage est dapporter au lecteur une vision gnrale, mais aussi dtaille, sur les diffrents sujets qui sont lis aux NRMM. La vision gnrale a pour objectif doffrir un premier niveau de connaissance macroscopique. Ce niveau de connaissance gnral concerne les objectifs, les contraintes, les diffrentes mises en uvre associes aux NRMM. Il permet galement davoir des repres clairs avec des exemples, des tmoignages et des pistes dinvestigation. Pour ce qui est de la vision plus dtaille, notre ouvrage offre la possibilit au lecteur dinvestiguer sur un sujet particulier, grce notamment une mise disposition de rfrences douvrages spcialiss sur un des thmes NRMM, des adresses de sites Internet De plus, nous avons demand plusieurs experts de tmoigner sur des domaines particuliers an de pouvoir bncier dans un mme ouvrage de plusieurs dire dexpert . Cet ouvrage est une vritable base de connaissance. Il permet dapporter des rponses aux interrogations que lon se pose sur les NRMM. Si le lecteur veut approfondir un thme particulier, il lui est possible dapprofondir sa recherche grce aux autres vecteurs dinformation qui existent dans louvrage (adresses Internet, bibliographies). Cet ouvrage peut galement tre utilis comme un dictionnaire ou comme un guide, comme un recueil consultable tout instant pour les tudiants et professionnels.

QUI SADRESSE CET OUVRAGE ?


Cet ouvrage sadresse aux tudiants, salaris, chefs dentreprise des secteurs industriel ou tertiaire, ainsi qu toute personne intresse par ce domaine en pleine mutation. Pour les tudiants en technologie de linformation (TI), en organisation, en management, en stratgie, quelle que soit leur formation, il pourra tre un partenaire utile.
Groupe Eyrolles

Pour les professionnels des domaines de lindustrie et des services, quils soient directeur informatique, directeur de la stratgie, directeur qualit, responsable tudes, responsable production, ingnieur, consultant, chef de projet, auditeur, la richesse de ses donnes sera prcieuse.

12

Guide comment des normes et rfrentiels

destination des chercheurs, enseignants, il apportera les premires rponses aux interrogations sur les NRMM. Pour les seniors dsirant approfondir leurs connaissances en matire de NRMM, lapproche gnraliste de louvrage permettra de sapproprier de nouvelles connaissances de manire simple et rapide.

LA STRUCTURE DE LOUVRAGE
La premire partie concerne les normes ; il sagit dune introduction la normalisation en gnral. Un grand nombre de normes sont dcrites, une dnition simple est donne dans chaque cas, la gense des normes est prsente avec les domaines dapplication, les diffrents secteurs dactivit qui sont concerns par ces normes. Sans rentrer dans un dtail superu, cette premire partie permet dacqurir un premier niveau de connaissances ncessaire et sufsant sur les normes actuelles. La deuxime partie prsente les diffrents rfrentiels qui existent dans les services des domaines TI et organisationnel. Elle permet au lecteur de commencer se familiariser avec lutilisation que lon en fait dans le monde professionnel. La troisime partie traite des mthodes ; laccent est mis sur les mthodes employes dans le secteur des services, et plus particulirement dans les systmes dinformation. Les modes demploi sont prsents ainsi que la dmarche suivre pour mettre en place une mthode. La quatrime partie concerne les modles ; il sagit de modles dits daction, trs oprationnels, pour beaucoup dentre eux des modles de rfrence, souvent utiliss et toujours dactualit. Ils se rpartissent en quatre familles spciques qui sont : la stratgie (exemple : PEST) ; lorganisation (exemple : la chane de la performance) ; le changement (exemple : les 7S) ; la gestion des hommes (exemple : RACI).
Groupe Eyrolles

On retrouve lensemble des quatre familles dans le monde des systmes dinformation. La dernire partie comprend la conclusion ainsi que les nombreuses annexes riches et complmentaires, comme les relations qui existent

Introduction

13

entre les normes et les rfrentiels ou entre les mthodes et les modles, reprsentes sous forme de cartographie. Un tableau rcapitulatif est prsent (vision des nouveauts). Les adresses des diffrents sites Internet qui existent sur les NRMM, la liste des organismes de certication, les abrviations et le vocabulaire ainsi que la bibliographie sont consultables en n douvrage pour une lecture facilite. Enn le lecteur pourra saider dun index pour rechercher un terme spcique dans louvrage. Nous vous souhaitons une trs bonne lecture.

Groupe Eyrolles

Les normes

Partie 1 LES NORMES


SANS NORME, TOUT EST POSSIBLE

16

Les normes

DFINITION
Historique
Depuis de nombreuses annes, les industriels ont travaill sans avoir de vritables rgles de travail, dans les bureaux dtudes, dans les services de conception, dans les services de dveloppement, de fabrication et de production. Chacun travaillait suivant sa logique, son bon sens, son habitude, pour un mme secteur dactivit, voire dans une mme entreprise, et on arrivait avoir des produits totalement diffrents, en restant sur la mme ligne de production, avec la mme matire premire, les mmes programmes, les mmes oprateurs, sans volont, ni dsir de rechercher la diffrenciation mais par le fait dune absence totale de rgles de travail. Alors que faire ? Cette situation sest arrte, suite une relle prise de conscience de la part des industriels, et cest ce moment-l que des groupes dindustriels se sont rencontrs an de dnir et de formaliser des rgles de bonnes pratiques partager entre eux. Cette forte demande de la part des grands industriels davoir une vritable standardisation sur les produits, les services et les biens, domaine par domaine, a permis par la mme occasion de voir natre un ensemble dinstitutions, dans un seul but : celui de mettre en place des instances de standardisation, ou plus exactement des institutions professionnelles de normalisation nationales, europennes et internationales. Les institutions de normalisation sont apparues aux tats-Unis au dbut des annes 1900. Une des premires institutions est lAmerican Institute of Electrical Engineers (aujourdhui lIEEE, Institute of Electrical and Electronics Engineers). La premire norme tre approuve est amricaine ; elle a vu le jour en 1916 dans lAmerican Standard Safety Code. Il sagit dune norme qui traite de la protection des yeux et de la tte des ouvriers du monde industriel. Larme amricaine a t la principale grande administration formaliser un ensemble de normes en crant le Military Standard. LInternational Organization for Standardization ISO est apparue aprsguerre (1947) ; vingt-cinq pays la composent, et plus prcisment les institutions professionnelles des pays. LISO est base Genve (Suisse) et regroupe lensemble des normes internationales.
Groupe Eyrolles

Les normes

17

Dnition simplie
Une norme est une directive qui permet de dnir un standard pour un produit, un service, un bien, destination des professionnels et du grand public. Dnition ofcielle : Document tabli par consensus et approuv par un organisme reconnu, qui fournit, pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des activits ou leurs rsultats garantissant un niveau dordre optimal dans un contexte donn. (Source : lISO et IEC). En franais on utilise le mot norme , alors que dans les pays anglosaxons on utilise le mot standard .

QUOI SERT UNE NORME ?


La norme est labore, dnie, ofcialise et publie par un organisme de normalisation. Elle a pour but de dnir des directives, des rgles suivre an de concevoir, produire un service, un produit, un bien qui soit conforme aux attentes du march (consommateurs). Elle doit prendre en compte les aspects qui sont lis la scurit et lenvironnement. La norme est proche de la directive rglementaire ; ce titre elle doit tre suivie par les entreprises qui sont concernes par son utilisation, et cela quel que soit le pays ou le type dentreprise. Pour un mme domaine dactivit, mais dans des pays diffrents, les entreprises utiliseront la mme norme, le mme contenu, hormis la langue. Cela dit, certains pays ne suivent pas toujours les normes (pas dorganisme de normalisation dans le pays, contraintes techniques, budgtaires), ce qui implique que les produits, les biens, les services issus de certains pays manquent de directives en matire de scurit et de mesures environnementales.

UNE NORME EST EN RELATION AVEC UN DOMAINE DACTIVIT


Groupe Eyrolles

chaque domaine, il est possible dassocier une norme ; cette distinction permet aux professionnels de cibler prcisment leurs besoins. Pour le domaine de la mesure, de la volumtrie, du poids, des units on utilisera les normes fondamentales (chantillonnage). Institution concerne : le Bureau national de mtrologie (BNM).

18

Les normes

Pour le domaine de la conception, llaboration de produit spcique, cest--dire tout ce qui demande un certain dosage, de la prcision, un respect des mesures on utilisera les normes spciques (trs proches des bonnes pratiques de lartisanat). Pour le domaine de la rsistance, de la fatigue, de leffort, de la pression, de lusure cest--dire des produits comme les ceintures de scurit, la rsistance dune route lusure des pneus des vhicules, la rsistance dun lastique on utilisera les normes danalyses et dessais. Institution concerne : le Laboratoire national de mtrologie et dessais (LNE). Pour le domaine de la qualit, de lenvironnement, des nouvelles technologies, cest--dire le management de la qualit ISO 9001:2000, le management environnemental ISO 14001:2004, ou pour le systme dinformation ISO 20000, on utilisera les normes dites de management. Les normes de management sont les normes les plus connues de lISO. Notre ouvrage concerne les normes de management qui sappliquent lensemble des services des entreprises. Que lon souhaite tre certi ISO 9001:2000 ou ISO 20000, ISO 14001: 2004, il sagit bien de normes de management. Cette dernire concerne toute lentreprise ; son primtre va jusquaux partenaires, fournisseurs, sous-traitants. Il y a plus de dix ans, certier son entreprise faisait partie des priorits de la direction. La certication a ouvert des portes : se positionner sur un march, pouvoir rpondre aux appels doffres. Elle est vite devenue une condition obligatoire en termes de conqute de nouveaux marchs pour les entreprises. Les certications ISO 9001:1994 ou ISO 9002:1994 avaient le vent en poupe. Avant, on parlait de systme dassurance qualit ; maintenant, depuis les annes 2000, il sagit de la certication ISO 9001:2000 qui la remplace, et on parle de systme de management de la qualit. Cette norme doit rpondre un ensemble dexigences. Avec la prise de conscience des problmes environnementaux, la norme ISO 14001:2004 commence prendre beaucoup dimportance auprs des entreprises. Malheureusement, le nombre dentreprises certies nest pas aussi important que celui des entreprises certies ISO 9001: 2000.
Groupe Eyrolles

Les normes

19

On associe de plus en plus la norme ISO 14001:2004 au dveloppement durable. Dans bien des cas les normes sont labores par des groupes dexperts ; cependant, il arrive quune norme soit ralise par une seule personne, voire deux. Souvent, les personnes veulent protger leur travail (la norme) par le droit de la proprit industrielle ; cest le mme principe pour un inventeur qui dpose une marque, un brevet, un logo la personne fait appel aux services de lInstitut national de la proprit industrielle (INPI). Cet aspect protection, on le retrouve dans beaucoup de normes, les normes CEN, cest--dire les normes europennes, ou les normes ISO internationales. Il faut savoir que les normes sont payantes.

LES ORGANISMES DE NORMALISATION


quoi sert un organisme de normalisation ?
Un organisme de normalisation sert xer des rgles de fonctionnement par rapport : llaboration des normes par domaines, par secteurs dactivit (groupes dexperts qui se runissent) ; la gestion des normes obsoltes ; la rdaction et la publication des normes ; la commercialisation des normes ; au plan de communication auprs des professionnels ; la gestion des bases de donnes des normes ; aux associations, organismes professionnels (France et autres pays).

Pourquoi des organismes de normalisation ?


La normalisation a pour objet de fournir des documents de rfrence comportant des solutions des problmes techniques et commerciaux concernant les produits, les biens et les services qui se posent de faon rpte dans des relations entre partenaires conomiques, scientiques, techniques et sociaux. (Dcret n 84-74, 26 janvier 1984) En France lorganisme de normalisation est lAFNOR. Il est plac sous tutelle du ministre de lIndustrie. Il est soumis la rglementation franaise ; celle-ci dnit la normalisation dans son ensemble.

Groupe Eyrolles

20

Les normes

Quelques exemples dorganismes de normalisation :


Organismes internationaux Organismes nationaux

ISO : International Organization for Standardization CEI : Commission lectrotechnique internationale

AFNOR : Association franaise de normalisation ANSI : American National Standards Institute ASTM International : American Society for Testing and Material BSI : British Standards Institute

CEN : Comit europen de normalisation

DIN : Deutsches Institut fr Normung JSA : Japanese Standards Association BN : Bureau de normalisation, organisme ofciel belge de normalisation, qui a succd lIBN, lInstitut belge de normalisation, le 1er dcembre 2006

ACCRDITATION ET CERTIFICATION
Le COFRAC (Comit franais daccrditation) a pour objectif daccrditer les organismes de certication (AFAQ, LRQA, BVQI), ainsi que les laboratoires dessais, de tests, dchantillonnages.

LISTE DES NORMES ANALYSES DANS CET OUVRAGE


Normes Dnition Chapitre

BS 8800 ISO 8402:1994 ISO 9000 ISO 9001:2000 ISO 9004:2000 ISO 10005:2005

Gestion de la sant et de la scurit au travail Management par la qualit et assurance de la qualit Systme de management de la qualit tape vers une gestion de la qualit totale Management de la qualit, lignes directrices pour lamlioration des performances Dveloppement, acceptation, application et rvision de plans qualit

1 2 2 3 3 4 /
Groupe Eyrolles

Les normes

21

Normes

Dnition

Chapitre

ISO 10006:2003 ISO 10007:2003 ISO 10011 ISO/IEC 12207:2008 ISO/IEC 13335 ISO 14001:2004 ISO/IEC 15504 ISO 19011 ISO/IEC 20000 ISO/IEC 21827:2002 ISO/WD 26000 ISO/IEC 27001

Donner des conseils sur le management de la qualit dans les projets Recommandations pour lutilisation de la gestion de la conguration Lignes directrices pour laudit des systmes qualit Typologie des processus logiciels Gestion de la scurit Systmes de management environnemental Management des processus logiciels et valuation de leur amlioration Lignes directrices pour laudit environnemental et qualit Norme pour les organisations qui fournissent des services, processus daudit Approcher la scurit dans une organisation comme une entit bien dnie Porte sur la responsabilit socitale des organisations Mise en uvre dun systme de management de la scurit de linformation Lignes directrices pour la mise en uvre efcace du management du risque Gouvernance des technologies de linformation par lentreprise Contrle interne et externalisation Donner aux organisations les moyens dtre socialement responsables Mettre en uvre un contrle interne sappuyant sur un cadre conceptuel

4 4 4 5 12 6 7 8 9 10 11 12

ISO/DIS 31000 ISO/IEC 38500:2008 SAS 70 SA 8000 SOX


Groupe Eyrolles

13 14 15 16 17

Chapitre 1

BS 8800

HISTORIQUE
La norme BS 8800 est une norme anglaise, produite en 1996, labore par un groupe de travail compos dorganisations professionnelles, reprsentatives de divers secteurs industriels et dadministrations, pour le compte du BSI, organisme de normalisation anglais. Les entreprises commencent prendre en considration laspect humain, cest--dire veillent ce que lindividu, dans son activit professionnelle de tous les jours, ne subisse pas daccident physique. ce titre, la norme BS 8800 met laccent sur le domaine prventif, cest--dire faire diminuer fortement, voire faire disparatre, les accidents en entreprise. Grce la norme BS 8800, lentreprise prend conscience que les femmes et les hommes doivent travailler dans un cadre scuris. Les termes scurit et hygine font partie de la vie courante des entreprises via le Comit dhygine, de scurit et des conditions de travail (CHSCT). La norme BS 8800 permet de dvelopper laspect environnemental (moins de dchets) et, cet effet, elle sappuiera sur la norme de management de lenvironnement ISO 14001:2004.

DFINITION
Il sagit dun modle de management normatif. Lobjectif de la norme BS 8800 est de proposer un modle de management dont lobjet est clairement mentionn : protger les employs dont la sant et la scurit pourraient tre affectes par les activits de lentreprise. La norme BS 8800 propose des orientations dorganisation et de mise en place de structure de gestion de la sant et de la scurit au travail (SST).
Groupe Eyrolles

24

Les normes

APPLICATION
RETENIR
La norme BS 8800 est une norme pour les secteurs primaires et secondaires, qui peuvent connatre des avantages dvelopper la norme de management de la sant et de la scurit au travail. Il sagit des secteurs dont les risques pour les employs au travail sont connus. Le ministre du Travail publie rgulirement des donnes ce sujet : le nombre daccidents, les accidents sans ou avec arrt de travail sont des indicateurs de rfrence.

La norme concerne certaines activits du secteur tertiaire pour lesquelles le management de la sant et de la scurit au travail nest pas dnu dintrt : entreprises de transport, hpitaux, restaurants et htellerie, socits dintrim, socits forte activit commerciale incluant une quipe de commerciaux ayant des dplacements quotidiens ou de fret avec manutention de colis.

Quels enjeux pour quelles nalits ?


Se faire connatre La mise en application des orientations de la norme BS 8800 permet aux entreprises de faire savoir quelles portent une attention particulire la sant et la scurit de leurs employs et de toutes les personnes intervenant au sein de leur tablissement. Les interlocuteurs intresss et/ou impliqus dans le systme de management de la SST sont tout autant les employs que les actionnaires. Renforcer la responsabilit de lemployeur Lemployeur doit sengager durablement, et mettre les moyens en uvre pour prserver la sant et la scurit des employs et de toutes les personnes prsentes sur le site. Impliquer les employs Mettre en place un systme de management de la sant et de la scurit au travail, cest impliquer fortement les employs sur un sujet qui les concerne en premier lieu : leur sant et leur scurit, individuellement et collectivement.

Groupe Eyrolles

BS 8800

25

Une responsabilit partage Faire vivre, voluer et maintenir le systme de management de la SST concerne chacun. Se faire reconnatre La norme BS 8800 est utilise pour la certication par des organismes tiers.

Une volont de la direction : la communication


Communiquer en interne Le plan de communication interne repose sur la manire dont la direction va vhiculer le projet de management SST au sein de lentreprise, les ressources, les organisations, les rgles respecter en prenant en compte le cadre rglementaire. Communiquer en externe Le plan de communication est ncessaire, car il faut supprimer toute mauvaise comprhension de la part des parties externes sur le sujet du management de la SST : cest ce qui explique que le systme de management peut, lui aussi, subir des dysfonctionnements par rapport aux rgles de fonctionnement de lapplication.

Structure de la norme BS 8800


La norme BS 8800 a une ossature similaire au rfrentiel OHSAS 18001. Elle propose le mme cheminement pour la mise en uvre et le fonctionnement du management de la sant et de la scurit au travail.

Dire dexpert
Les tendances en matire de gestion de la scurit et de la sant au travail ont t ralises par le BIT, do lILO-OSH 2001, lors de lanne 2001. On constate une volont grandissante de la part des salaris de devenir des acteurs majeurs dans la vie des structures interentreprises. Cette volont sexplique simplement par lamlioration des conditions de travail. Disposer dun environnement de travail scuris, propre, grce aux structures internes qui veillent cette garantie de service, est important pour tous dans lentreprise. LILO-OSH 2001 est beaucoup plus utilis et jour que la norme BS 8800.

Groupe Eyrolles

Chapitre 2

ISO 9000

HISTORIQUE
La norme ISO 9000 a pour objectif de simplier et de structurer les grands principes de normalisation concernant la qualit des services, des produits, des biens. Elle permet aussi de prsenter le rle et le poids que joue la documentation travers le systme dassurance qualit. La norme ISO 9000 a pour principe didentier les diffrences concernant les exigences des normes pour les services, les processus, les biens, les produits. Elle fournit des conseils sur le choix et lutilisation des normes internationales issues du domaine ISO 9000 associ au management de la qualit. Avant les annes 2000, le march conomique avait des critres de slection bien prcis ; un des critres de slection a t la certication ISO 9001, ou 9002, ou 9003 pour les grandes comme pour les petites entreprises. De nombreuses socits ont voulu se faire certier, mais le parcours nest pas toujours simple. La certication ISO 9001, 9002 ou 9003 est vite devenue une tape obligatoire pour les entreprises. Sans certication, lentreprise avait beaucoup de difcults se positionner par rapport la concurrence pour les rponses un appel doffres. Les trois normes ISO 9000 certiables avant les annes 2000 taient : ISO 9001 pour la conception, le dveloppement, la production, linstallation et les prestations associes ;
Groupe Eyrolles

ISO 9002 pour la production, linstallation et les prestations associes ; ISO 9003 pour le contrle et les essais naux. Certains certicats avaient plus de valeur que dautres aux yeux des donneurs dordre, ce qui a permis de faire une slection parmi les entreprises

28

Les normes

certies. Une grande partie des certicats concernaient le systme dassurance qualit ISO 9002. Pour lensemble des trois normes ISO 9000, il fallait prouver lorganisme certicateur que ce que lon avait crit dans les procdures correspondait bien ce que lon faisait. Le mot preuve avait toute son importance. tre en mesure de pouvoir tracer le parcours dun produit, dun bien, dun service au sein de lentreprise, ds son arrive sa sortie, fait partie des exigences de la norme. Aujourdhui les trois normes IS0 9001, 9002, 9003 sont remplaces par la norme ISO 9001:2000. On ne parle plus de systme dassurance qualit, mais de management de la qualit. Il sagit de matriser et doptimiser les processus et de satisfaire le client tout en mettant en place des actions damlioration continue. Les processus permettent de vhiculer une relle sensibilisation du client au sein de lentreprise. La norme ISO 9001:2000 ne couvre pas tout, malheureusement ; cest le cas pour les aspects touchant la scurit au travail et la protection de lenvironnement. Il faudra attendre deux futures normes, lISO 31000 qui sera publie en septembre 2009 et lISO 26000 en octobre 2010.

DFINITION
Aptitude dun ensemble de caractristiques intrinsques satisfaire des exigences clients.
Normes Dnition

ISO 8402:1994

Management par la qualit et assurance de la qualit Vocabulaire. Permet de poser les bases gnrales employes dans la famille ISO 9000 an dliminer toute incomprhension au sein de lentreprise et vis--vis des acteurs externes lentreprise.

ISO 9000 ISO 9000-1 ISO 9000-2

Famille de normes en rapport avec la gestion de la qualit dites et publies par lOrganisation internationale de normalisation (ISO).
Groupe Eyrolles

Normes pour le management par la qualit et lassurance de la qualit Partie 1 : lignes directrices pour leur slection et utilisation. Normes pour le management de la qualit et lassurance de la qualit Partie 2 : Lignes directrices gnriques pour lapplication de lISO 9001, lISO 9002 et lISO 9003. /

ISO 9000

29

Normes

Dnition

ISO 9000-3

Normes pour le management de la qualit et lassurance de la qualit Partie 3 : Lignes directrices pour lapplication de lISO 9001:1994 au dveloppement, la mise disposition, linstallation et la maintenance de logiciel. Normes pour le management de la qualit et lassurance de la qualit Partie 4 : Guide de gestion du programme de sret de fonctionnement. Systmes Qualit Modle pour lassurance de la qualit en conception, dveloppement, production, installation et prestations associes. Systmes qualit Modle pour lassurance de la qualit en production, installation et prestations associes. Systmes qualit Modle pour lassurance de la qualit en contrle et essais nals.

ISO 9000-4

ISO 9001

ISO 9002 ISO 9003

Ces trois dernires normes (ISO 9001, ISO 9002, ISO 9003) ont t remplaces par la norme ISO 9001 V 2000. ISO 9004-1 ISO 9004-2 ISO 9004-3 Management par la qualit et lments de systme qualit Partie 1 : Lignes directrices. Management par la qualit et lments de systme qualit Partie 2 : Lignes directrices pour les services. Management par la qualit et lments de systme qualit Partie 3 : Lignes directrices pour les produits issus de processus caractre continu. Management de la qualit et lments de systme qualit Partie 4 : Lignes directrices pour lamlioration de la qualit.
Source : fonde sur www.iso.org/iso/fr/iso_catalogue/catalogue

ISO 9004-4

APPLICATION
Les normes ISO 9000 et ISO 14000
Mettre en application la norme ISO 9000 ou la norme ISO 14000 demande le mme effort, ainsi quune forte mobilisation de la part du personnel de lentreprise. LISO 9001:2000 concerne le management de la qualit, lISO 14001:2004 traite du management environnemental. Par ailleurs, on parle de plus en plus de QSE (Qualit, Scurit, Environnement).
Groupe Eyrolles

30

Les normes

Il faut savoir que les normes ISO 9000 et ISO 14000 ont permis la mise en place dautres normes, comme ISO/TS 16949 qui concerne le monde de lautomobile, les donneurs dordre et leurs quipementiers ; cest le cas aussi pour la norme EN 9100 qui est propre au secteur de laronautique. Dans tous les cas, la mise en application des normes ISO 9000 et ISO 14000 repose sur une approche projet, avec un chef de projet, des correspondants ou des relais qui se trouvent dans les diffrents dpartements, directions, divisions. RETENIR
LISO 9000:2000 comprend un ensemble de normes : ISO 9000:2000 qui correspond au systme de management de la qualit (principes essentiels et vocabulaire) ; ISO 9001:2000 qui correspond au systme de management de la qualit (les exigences) certiable ; ISO 9004:2000 qui correspond au systme de management de la qualit (lignes directrices pour lamlioration des performances) ; ISO19011 qui correspond aux lignes directrices pour laudit environnemental et laudit qualit.

Dire dexpert
ISO 9000 fait partie des standards, mais, dans les domaines IT, le standard ISO 9000 ne suft pas, dautres rfrentiels sont ncessaires : par exemple, si le domaine concern est plus organisationnel, alors ITIL sera mis en place ; si le domaine concern est plus applicatif, alors on utilisera CMMI.

Groupe Eyrolles

Chapitre 3

ISO 9001:2000

HISTORIQUE
Depuis 1994-1995, lISO 9000 est compose de trois normes ; ltendue du primtre des trois normes concerne tous les domaines dactivit de lentreprise : ISO 9001 avait pour vocation de couvrir dans lentreprise : la conception, le dveloppement, la production, linstallation, et enn les prestations associes ; ISO 9002 avait pour vocation de couvrir la production, linstallation et les prestations associes, sans conception ni dveloppement ; ISO 9003 avait pour vocation de ne couvrir que le contrle et les essais naux. partir des annes 2000, les trois normes ISO 9001, 9002, 9003 ont disparu ; elles ont t remplaces par une seule et unique norme, la norme ISO 9001:2000 qui est le management de la qualit.

DFINITION
RETENIR
La norme ISO 9001:2000 est un rfrentiel certiable par une tierce partie (organisme neutre qui a la charge de vrier que les dispositions prises par lentreprise sont conformes aux exigences de la norme. Exemples dorganismes : AFAQ, LRQA, BVQI).

Groupe Eyrolles

32

Les normes

La norme ISO 9001:2000 repose sur huit principes incontournables pour lentreprise : lcoute totale du client ; la volont dtre leadership (la direction) ; la relle implication de tout le personnel la dmarche de management de la qualit ; lapproche processus tous les niveaux de lentreprise ; le management par approche systme pour lensemble des dirigeants de lentreprise ; lamlioration continue ou permanente pour les femmes et les hommes de lentreprise, ainsi que pour les acteurs externes (partenaires) ; lapproche dite factuelle pour la prise de dcision, avec les avis de chacun ; la relation mutuellement bnque avec les fournisseurs, dans un climat de partenariat et de conance.

APPLICATION
La norme ISO 9001:2000
Huit chapitres dnissent les exigences ; la norme ISO 9001:2000 est le rfrentiel unique qui va conduire la certication du systme de management de la qualit (SMQ). RETENIR
Les huit chapitres importants de la norme ISO 9001:2000 sont : le domaine dapplication ; la rfrence normative ; les termes et dnitions ; les systmes de management de la qualit ; la responsabilit de la direction ; le management des ressources ; la ralisation du produit ; les mesures, lanalyse et lamlioration.

La norme ISO 9001:2000 sinscrit dans une dmarche damlioration continue qui est le PDCA souvent dcrit au travers de la roue de Deming.

Groupe Eyrolles

ISO 9001:2000

33

Responsabilit de la direction

Clients

Clients

Management des ressources

Mesures, analyses et amlioration

Satisfaction

Exigences
lment dentre

Ralisation du produit

Produit
lment de sortie

Le manuel qualit

Les processus, les fiches des processus

Les procdures

Les modes opratoires Les notes dinstructions

Les enregistrements

Le systme documentaire

Groupe Eyrolles

Types et contenu des exigences


Les responsabilits de la direction, et son implication : couter le client de manire permanente ; dnir une politique qualit pour lensemble de lentreprise ;

34

Les normes

mettre en place des objectifs qualit mesurables et ralisables ; xer les actions pour atteindre les objectifs et sy tenir ; dsigner un responsable qualit pour lensemble de lentreprise ; tenir des revues de direction mensuelles ou trimestrielles ; mettre en place des plans daction pour amliorer les processus. Les exigences par rapport aux ressources : identier et donner les ressources ncessaires pour concevoir le produit, le service attendu par rapport aux attentes du SMQ et du rfrentiel (norme) ; identier et nommer les ressources humaines comptentes, former le personnel ; mettre en place les infrastructures (quipements, moyens, machines) ; choisir lenvironnement de travail. Les exigences par rapport llaboration du service ou du produit : identier les processus qui prennent en compte les attentes des clients ; identier et mettre en place les processus de commercialisation, de conception, dachat, de production, de contrle dexpdition et de service aprs-vente ; dnir et grer lensemble des processus qui participent la conception du produit, du service conforme. Les exigences par rapport aux suivis et mesures, analyses, et actions damlioration : mesurer de manire permanente la satisfaction des clients ; raliser rgulirement des audits internes ; analyser les donnes pour mener bien les actions damlioration ; planier et mener les actions correctives en cas de problmes ; planier et mener les actions prventives pour viter de nouveaux problmes potentiels.

La certication
Les audits de certication ou de renouvellement sont raliss par des organismes indpendants de lentreprise (certiable). Celle-ci fait la dmarche

Groupe Eyrolles

ISO 9001:2000

35

auprs dun organisme habilit accrdit pour raliser un audit en vue dtre certie, si et seulement si elle rpond aux exigences de la norme. Les organismes franais de certication sont accrdits par le COFRAC. Il existe plus de quinze organismes de certication en systme de management de la qualit qui suivent le rfrentiel ISO 9001:2000. La premire anne, la dure du certicat est de trois ans, puis tous les deux ans, le certicat doit tre renouvel (par un nouvel audit). RETENIR
Il existe galement le SQE (Systme de la qualit de lentreprise) qui inclut la norme 14001 environnementale.

Dire dexpert
La norme ISO 9001:2000 a encore de beaux jours devant elle ; cependant, nous constatons quun rapprochement commence se faire entre lISO 9001:2000 et la dmarche PDCA, ainsi quavec les nouvelles normes telles que ISO/IEC 20000, qui sinspirent fortement de lISO 9001:2000. Alors pourquoi pas, dici quelques annes, avoir une norme gnrique et globale qui serait le regroupement de lISO 9001:2000, lISO/IEC 20000, lISO 14001:2004, et dautres normes ?

Groupe Eyrolles

Chapitre 4

ISO 10006:2003

HISTORIQUE
Cest en 1997 que la norme ISO 10006 est apparue. Elle rassemble lensemble des organismes nationaux en matire de normalisation. En 2003, une nouvelle version est disponible, il sagit de lISO 10006:2003, qui est une norme internationale.

DFINITION
Le but de la norme est de donner des conseils dans la conduite de la gestion de la qualit au sein des projets. Manager un projet demande de la mthode, de lorganisation. LISO 10006:2003 apporte cet ensemble dlments, plus une relle valeur ajoute en termes de point de contrle, qualit des livrables, respect du calendrier.
Les normes daudit et dassurance qualit
Normes Dnition

ISO 10011-1

Lignes directrices pour laudit des systmes qualit Partie1 : Audit. Principes de bases pour mener bien un audit du systme qualit, contrler le niveau de comptence de lentreprise se rapprocher de la cible en matire de qualit. Norme qui concerne lentreprise et les audits externes auprs des sous-traitants (fournisseurs) de lentreprise.

Groupe Eyrolles

ISO 10011-2

Lignes directrices pour laudit des systmes qualit Partie 2 : Critres de qualication pour les auditeurs de systmes qualit. Assistance et accompagnement sur les activits lies la comptence des personnes ; exemple, plan de formation, matrise de son activit, dans le but didentier de futurs auditeurs internes. /

38

Les normes

Normes

Dnition

ISO 10011-3

Lignes directrices pour laudit des systmes qualit Partie 3 : Gestion des programmes daudit. Principes directeurs pour la gestion du plan daudit du systme qualit.

ISO 10012-1

Exigences dassurance de la qualit des quipements de mesure Partie 1 : Conrmation mtrologique de lquipement de mesure. Principes directeurs dun systme dtalonnage an de garantir la vracit des mesures ralises.

ISO 10012-2

Assurance de la qualit des quipements de mesure Partie 2 : Lignes directrices pour la matrise des processus de mesure. Principes directeurs complmentaires sur la gestion statistique des processus. Dans le but de rpondre aux attentes de la partie 1.

ISO 10013

Lignes directrices pour llaboration des manuels qualit. Principes directeurs pour la dnition et la mise en place de la gestion des manuels qualit conformment aux objectifs et attentes de lentreprise.

APPLICATION
Elle est utilise par les chefs de projet, les organisateurs, qui sont dj dans une dmarche ISO 9000 ; sa capacit permet de sappliquer diffrents types de projets. Il faut voir la norme ISO 10006:2003 comme un soutien la mise en place de la norme ISO 9000 ; lapport de la norme ISO 10006:2003 sur lensemble des processus identis dans lISO 9000 est important. Les deux points de la norme ISO 10006:2003 : lensemble des processus organisationnels et fonctionnels qui sont lis au projet. Il sagit de lorganisation au sein du projet ; les rsultats des processus, ou plus prcisment les livrables du projet ; les livrables peuvent tre des services, des biens, des produits. La norme ISO 10006:2003 permet dapprhender, de comprendre ce que reprsente la qualit travers les processus de management de projet. Nous avons donc deux approches : la premire est la qualit dans les processus de management de projet (ISO 10006:2003), et la seconde est la qualit dans les livrables en provenance des processus (ISO 9004).

Groupe Eyrolles

ISO 10006:2003

39

ce titre, la norme ISO 10006:2003 fait rfrence aux normes ISO 9001:2000 pour les aspects qualit, optimisation des processus, et pour toute la partie satisfaction client qui, elle aussi, repose sur des processus, comme nous lavons expliqu ci-dessus. La norme ISO 9004 concerne la qualit des livrables (produits, biens et services).

Normes ISO 10005:2005 et ISO 10007:2003


Les entreprises qui utilisent la norme ISO 10005:2005 ont dj des processus en service et souhaitent amliorer la qualit de leurs livrables ; cet effet, elles travaillent sur la partie conception, ralisation du produit. La norme est alors indispensable, car elle met disposition un ensemble dlments importants pour lentreprise : plan directeur, revue de projet suivi du plan qualit, aide la dcision Il ny a pas de prrequis pour lutilisation de la norme ISO 10005:2005, lentreprise ne recherche pas daccrditation, ni de certication, mais juste une aide dans le suivi des ralisations des produits (livrables). La gestion des congurations au sein des entreprises requiert un ensemble de recommandations ; la norme ISO 10007:2003 rpond cette attente. Un des prrequis est de connatre le vocabulaire et les grands principes de la norme ISO 9001:2000. La norme ISO 10007:2000 concerne les produits, les services durant leur cycle de vie (de la naissance la mort) ; elle vient en support au produit. Les rles et responsabilits des acteurs sont prendre en compte avant de commencer la gestion des congurations ; cette identication permet de les grer tous les niveaux. La gestion des congurations demande un suivi rigoureux pour tout ce qui concerne les nouveauts, les changements, les volutions, les suppressions. Le suivi comprend lenregistrement des mouvements ; ce titre la traabilit des oprations est primordiale. La gestion des congurations comprend lensemble des composants la fois fonctionnels et physiques dun livrable, qui peut tre un produit, un service ou un bien. Tout comme la norme ISO 10005:2000, la norme ISO 10007:2003 na pas dobligation de rsultat (obtenir la certication).

Groupe Eyrolles

40

Les normes

Apprhender les exigences de la norme projet


La qualit de projet permet de garantir la abilit des donnes et de sassurer que les processus sont valids et respects, selon la norme ISO 10006:2003. Le cycle des ux de linformation Les processus sont dans beaucoup de cas des enchanements dactivit : linformation entrante est traite, transforme en information sortante, avec une plus-value aprs chaque tape. Cette information sortante est appele livrable (produit, bien, service) ; ce livrable peut devenir son tour une information entrante pour dautres processus. CIBLE ATTEINDRE
Atteindre les objectifs dun projet demande un suivi et des tches particulires : la ralisation et la tenue dun planning, llaboration de processus organisationnels et fonctionnels, la mise en place de point de contrle, la gestion des risques, le suivi du budget, des ressources, la gestion des partenaires.

Il existe des points communs entre la norme ISO 9001:2000 et la norme ISO 10006:20003, il sagit : de la prise en considration des orientations clients, grce aux tudes de march, sondages, tendances ; du volontariat de la part de lensemble du personnel de lentreprise, sa sensibilisation et son implication suivre les directives dcrites dans la norme ; ce qui demande une large communication auprs des quipes. Cette communication a pour but de faire ressortir les avantages et bnces que peut apporter la norme. Gnraliser lapproche processus travers lentreprise Avoir une philosophie du toujours mieux faire : lamlioration continue rpond cette demande, et concerne chacun au sein de lentreprise. La documentation est importante ; il faut tre en mesure de pouvoir grer correctement le systme documentaire. Se donner les moyens en ressources (hommes), en outils, et bien entendu en organisation (processus).
Groupe Eyrolles

ISO 10006:2003

41

Processus

Objectif

Processus lis aux contenus Notion qualitative

Prsentation des diffrents produits associs au projet, avec leurs spcications, les mthodes de suivis et de mesures. On parle de qualit du produit.

Processus lis aux dlais Notion qualitative et quantitative

Suivi de lavancement du projet dans le respect du planning annonc (les activits sont suivies, contrles). On parle de qualit des processus et dlais (chelle de temps, chiffres).

Processus lis aux cots Notion quantitative Processus lis aux ressources Notion qualitative

Respect du budget, anticipation des cots. On parle de cots, de chiffres. Prvoir et grer efcacement la problmatique de ressources sur un projet (personnes, matriels, logiciels). On parle de qualit (problme, identication).

Processus lis au personnel Notion qualitative

Atteindre un niveau defcience au sein des quipes. On parle de qualit (les bonnes personnes).

Processus lis la communication Notion qualitative et quantitative

Centraliser et diffuser la mme information tout le monde et au mme moment (ash, newsletter, plan de communication autour du projet, prsentation, avancement). On parle de qualit et de dlais.

Processus lis aux risques Notion qualitative et quantitative

Minimiser les risques sur le projet durant tout le cycle de vie du projet. On parle de qualit et de quantit (nombre dimpacts).

Processus lis aux achats Notion qualitative et quantitative


Groupe Eyrolles

Il sagit des entres de matriels, de ressources, de prestationsqui dpendent des achats, en relation bien entendu avec le projet. On parle de qualit des produits, et du nombre dachats de matires premires.

42

Les normes

Dire dexpert
La norme ISO 10006:2003 fait rfrence aux concepts de la norme ISO 9001 :2000 qui traite du management de la qualit, spciquement pour les conseils en management de la qualit pour lensemble des activits de gestion de projet.

Groupe Eyrolles

Chapitre 5

ISO/IEC 12207:2008

HISTORIQUE
La norme ISO/IEC 12207:2008 a t labore par le comit technique JTC 1 de lISO/IEC et sa publication date de 1995. Lintroduction en 1987 de la norme ISO 9001, issue de lindustrie mcanique, a rapidement t suivie de dveloppements prenant en compte la spcicit des activits informatiques (ISO 9000-3). Paralllement ont t dveloppes des dmarches fondes sur une analyse des processus logiciels (ISO/IEC 12207:2008, TICKIT), ainsi que celles reposant sur une valuation de laptitude ou valuation de la maturit (CMM, ISO 9004-4), la mthodologie SPICE reprsentant en quelque sorte une synthse russie de ces diffrentes orientations.

DFINITION
RETENIR
La norme ISO/IEC 12207:2008 permet de situer les principaux critres pour lensemble des processus, tout au long du cycle de vie des logiciels, et cela dune manire gnrale avec les premiers processus, les processus organisationnels, les processus de maintenance et de support. La norme ISO/IEC 12207:2008 prsente un type de processus.

La norme ISO/IEC 12207 sapplique :


Groupe Eyrolles

lactivit des entreprises qui achtent des logiciels et qui sont spcialises dans le domaine du dveloppement des logiciels spciques ; des missions de prestations axes sur les logiciels ;

44

Les normes

Systme qualit

ISO 9001 ISO 9000-3

volution de maturit ISO 15504 SPICE

Typologie des processus

des activits dexploitation et de maintenance des logiciels ; la gestion du traitement de linformation et de la vie du logiciel. Grce la norme, une slection est faite sur les diffrents processus, sur lensemble des tches ainsi que sur les nombreuses activits qui sont menes pour les projets, avec une forte dominante pour les projets plus spciques que les autres. Il est recommand de mettre en place un plan damlioration continue pour les processus, quil soit interne ou externe lentreprise, et cela concernant les produits logiciels quelles que soient les phases davancement des activits de dveloppement et de maintenance. DANGER
Groupe Eyrolles

La norme ISO/IEC 12207:2008 dnit une architecture des processus requis mais ne spcie pas les dtails dimplantation ou dexcution des activits et des tches qui sont incluses dans les processus. Elle ne prescrit pas le nom, le format, et de faon explicite le contenu des documents produire, et ne prescrit ni modle de cycle de vie ni mthodologie de dveloppement.

ISO

12

20

7
CM M

ISO/IEC 12207:2008

45

APPLICATION
Processus Objectif

Processus de base

Acquisition pour lorganisme lui-mme. Activits du fournisseur. Dveloppement du logiciel. Exploitation du systme informatique et des services associs. Maintenance du logiciel.

Les processus support

Documentation du logiciel et de son cycle de vie. Gestion de conguration. Assurance qualit avec les revues, audit et vrication. Vrication. Validation. Revue conjointe. Audit pour la vrication de la conformit aux exigences. Rsolution de problmes et de non-conformits en cours de dveloppement et lexploitation.

Les processus organisationnels

Management de toutes les activits, y compris la gestion de projet. Infrastructure ncessaire un processus. Pilotage et amlioration du cycle de vie. Formation du personnel.

Dire dexpert1 La norme ISO/IEC 12207:2008 et le service de production informatique


Concentre dabord sur le dveloppement logiciel, la norme ISO/IEC 12207:2008 contient quelques pratiques lies lexploitation du logiciel. Dans les processus de base exploitation et fourniture , il est prcis que lexploitation du logiciel doit fournir un service aux utilisateurs. Cest le rle du charg dexploitation, et ce dernier doit galement assurer lassistance aux utilisateurs. La maintenance selon ISO/IEC 12207:2008, est galement le processus charg de traiter les dfauts et les non-conformits. Les processus de gestion de conguration, dinfrastructure et de rsolution de problmes ont de fortes similitudes avec les processus ITIL.

Groupe Eyrolles

1. Christophe Denis, ingnieur logiciel, spcialiste CMMI.

46

Les normes

Nous pouvons retenir ce stade que les processus lmentaires, quils soient des processus oprationnels ou de support, ont une vocation identique entre ISO/IEC 12207:2008 et lITIL. Les objectifs et les cadres daction sont, quant eux, diffrents : les phases de conception, de dveloppement, de test et mise en place des logiciels sont le livrable du service de production par rapport ce que dit la norme ISI/IEC 12207:2008 ; le rfrentiel ITIL place la production au cur de loffre de service. Les rapports qui existent entre le service de dveloppement et le service de production sont des rapports de fournisseur (service dveloppement) client (service production) ; ce titre, le service de production est seul dire si tel logiciel est en conformit avec les attentes (service production) ; ce mode dorganisation rvolutionne un peu les anciens principes ; en agissant ainsi, il est plus facile de faire la distinction entre les tapes de fourniture et de support de service et les tapes lies au dveloppement.

Groupe Eyrolles

Chapitre 6

ISO 14001:2004

HISTORIQUE
Une politique internationale concernant la protection de lenvironnement a t initie et dveloppe depuis le dbut des annes 1970. Quelques dates cls : en 1972 Stockholm, cration dune lgislation internationale de lenvironnement ; en 1992 Rio de Janeiro, lors du Sommet de la Terre, le dveloppement durable est approuv et reconnu par tous les acteurs ; en 1997 Kyoto, il sagit dun vritable protocole daccord sur le changement climatique entre les plus grandes puissances industrielles du monde.
Types de normes Dnition

ISO 14001:2004 ISO 14004 ISO 14010


Groupe Eyrolles

Dcrit les exigences ou les niveaux atteindre. Norme spcique au management environnemental. Dcrit les directives dlaboration du systme de management environnemental. Norme axe sur le conseil. Grandes directives et grands principes de laudit environnemental. Process de mise en uvre dune campagne daudit du systme de management environnemental. Identication et choix des facteurs de qualication des auditeurs.

ISO 14011 ISO 14012

48

Les normes

DFINITION
La norme ISO 14001:2004 Systmes de management environnemental
Spcications et lignes directrices en application depuis octobre 1996 proposent un processus de gestion de lenvironnement dans et par lentreprise. CIBLE ATTEINDRE
Lobjectif premier de la norme ISO 14001:2004 est de proposer un concept dorganisation pour dployer la stratgie environnementale tous les niveaux de lentreprise et de linscrire dans la dure. Il est primordial de garder lesprit que les objectifs de protection de lenvironnement et de prvention de la pollution ne doivent pas fragiliser ou mettre en pril les besoins socioconomiques de lentreprise dans son contexte local et global.

Le contenu de la norme 14001:2004


Elle est compose de 20 chapitres : politique ; planication ; aspects environnementaux ; exigences lgales aux autres exigences ; objectifs et cibles ; programmes de management environnemental ; mise en uvre et fonctionnement ; structure et responsabilits ; formation, sensibilisation et comptences ; communication ; documentation du systme de management environnemental ; matrise oprationnelle ; prvention des situations durgence ; contrle et actions correctives ;
Groupe Eyrolles

matrise des documents ;

ISO 14001:2004

49

surveillance et mesurage ; non-conformit et action corrective et prventive ; enregistrements ; audit du systme de management environnemental ; revue de direction.

APPLICATION
Lquipe
Avant de lancer un projet ISO 14001:2004, il convient de dnir lquipe qui assurera sa dnition et sa mise en uvre dans lentreprise.

Responsable du Systme de management de lenvironnement (SME)


Il est le responsable au sens ISO 14001:2004 de la mise en place et du maintien du systme, ainsi que du reporting auprs de la direction. Cest en gnral le responsable environnement du site qui a t form la norme ISO 14001:2004. Il est possible que cette fonction soit assure par le responsable qualit si la fonction environnement est peu dveloppe. Cependant, il est prfrable pour une bonne vie du SME que le responsable de ce dernier assure galement la fonction oprationnelle environnement dans lentreprise, et par consquent de sparer les rles et les responsabilits.

Direction et encadrement
Le management doit tre moteur et engag dans la mise en uvre dun SME ISO 14001:2004. Il simplique pour le lancement du projet, la dnition de la politique, lallocation des budgets correspondants et la participation aux revues de la direction. STRATGIQUE
Groupe Eyrolles

La participation de la direction est extrmement importante pour motiver lensemble du personnel, sassurer que le SME sinsre bien dans les objectifs stratgiques de lentreprise, allouer lensemble des ressources permettant le bon avancement du projet.

50

Les normes

RETENIR
Il est fortement souhaitable que lensemble du personnel reoive, avant sa mise contribution, une sensibilisation environnementale, de faon mettre en perspective les efforts raliser par rapport aux problmes environnementaux globaux.

Analyse environnementale
Cette phase est un pralable important pour le SME. Elle consiste tablir une image synthtique et exhaustive de la situation environnementale de lentreprise, comprenant notamment la description des activits de lentreprise et de son environnement, les performances environnementales, les impacts signicatifs des activits et la position des parties intresses. Cette analyse servira de base pour llaboration de divers lments du SME : politique ; programmes environnementaux ; procdures

Estimation de la mise en place dune dmarche ISO 14001:2004


Les dlais dpendent de la taille de lentreprise et des moyens affects au projet ISO 14001:2004. On peut compter une dure denviron un ou deux ans, dcompose comme suit : Initialisation : un mois. Analyse environnementale : deux quatre mois. Dnition du SME : quatre six mois. Mise en uvre du SME : deux six mois. Audit et certication : trois six mois. Les lments fondamentaux sont : le manuel ; la politique qui prsente les principes et les engagements de la direction, la participation du personnel, les objectifs ;
Groupe Eyrolles

la rglementation et les normes ;

ISO 14001:2004

51

le programme de management de lenvironnement qui planie les objectifs et les cibles ; les procdures du systme, chacune rpondant la squence quiquoi-comment ; les instructions techniques ; les registres et documents techniques des donnes lies lenvironnement.

La matrise documentaire
La gestion documentaire et le manuel environnemental consistent tre en mesure de savoir prcisment : o retrouver un document ; qui peut le rdiger, le rviser, ventuellement le valider ; o doivent tre placs les exemplaires pour lutilisation ; comment retirer les documents prims ; quels documents prims conserver en archives.

Le SME est un outil vivant qui volue avec les besoins de ltablissement. Il faut le tenir jour en procdant priodiquement la rvision des documents pour vrier sils restent adapts.

Dire dexpert
Le retour dexprience montre qu long terme la mise en place dun systme ISO 14001:2004 est gnratrice de gains pour lentreprise, notamment lis : la diminution des charges environnementales suite la mise en uvre de programmes dconomies et de valorisation (eau, dchets) ; au renforcement de la position commerciale.

Groupe Eyrolles

Pour raliser un diagnostic de lexistant en matire denvironnement au sein de ltablissement, il est ncessaire didentier toutes les tches, tous les documents, rapports et enregistrements ayant trait la gestion de lenvironnement : le qui fait quoi : affectation des rles et des responsabilits, y compris ceux qui sont informels, tches dvolues ; le quoi est o : o sont localiss les dossiers ? que recle chacun deux ?

52

Les normes

En ce qui concerne la matrise documentaire du SME, il faut transcrire, inscrire, dcrire le systme de management environnemental mis en place. Cest le rle du scribe. La norme ISO 9001:2000 introduit un certain nombre de principes nouveaux par rapport la version 1994 ; ce qui la rapproche encore dans sa structure de la norme ISO 14001:2004. Laudit est un outil daide pour la direction, le contrle et le respect de la mise en pratique des directives et des exigences demandes par la norme et par les organismes certicateurs, en rapport aux contextes lis lenvironnement et la qualit. Laudit permet de faire des valuations, et cela nimporte quel niveau de lentreprise et sur nimporte laquelle de ses activits.

Principe damlioration continue


Ce point est mis en valeur dans la version 2000. Cest un lment galement trs important de la norme ISO 14000 ; il demande une organisation forte de la part de la direction en organisant des revues de suivi, des points davancement par rapport aux plannings, des livrables de qualit, tout en respectant les objectifs xs par lentreprise.

Approche processus
Ce quil ressort de cette approche est une orientation davantage procdures mtiers autour du systme qualit. Cela peut galement permettre davoir un systme avec des procdures abordant en mme temps les aspects qualit et les aspects environnement.

Rle de la direction
Lengagement de la direction est renforc dans la version 2000. Une revue de direction est prvue comme dans la norme ISO 14000. Elle peut tre ralise selon les mmes principes dans les deux systmes de management.

Groupe Eyrolles

Chapitre 7

ISO/IEC 15504

HISTORIQUE
Cest en 1993 quun programme de travail a t ralis concernant une norme ISO associe un plan de dveloppement ; le rsultat de ce travail fut le standard du domaine pour les activits de dveloppement. Derrire cette norme se cache le Software Process Improvement and Capability Determination (SPICE).

DFINITION
Le niveau de maturit des organisations de lentreprise se mesure. travers lensemble des mesures, on retrouve les procds des activits de production de logiciel. La norme ISO/IEC 15504 permet didentier les risques et les faiblesses issus des activits de production de logiciel, avec pour but de sinscrire dans une dmarche damlioration continue la fois pour les processus et pour les activits de production (logiciel). RETENIR
ISO/IEC 15504 dtermine la maturit dune organisation de production de logiciel selon six niveaux, de 0 5 par ordre croissant de maturit.

Groupe Eyrolles

54

Les normes

Niveau

Statut

Concepts structurels et organisationnels

0 1 2 3 4 5

Non en service Ralis de manire implicite sans formalisme Gestion de lavancement Matrise du primtre Gestion des mesures et des chiffres Amlioration continue

Mise en application difcile. Mise en place doprations identies. Gestion des jalons, priorisation des activits et suivi de leur ralisation. Organisation des process, pilotage et gnralisation aux activits. Dnition, choix des indicateurs pertinents, faciles suivre et contrler. Optimisation de lorganisation, des processus, de manire permanente an de rechercher la performance.

APPLICATION
Pour mettre en application la norme ISO/IEC 15504, il est demand davoir une organisation rceptive et sensible aux dmarches damlioration continue ; cela concerne toutes les activits de la production de logiciel comme le respect du planning, la gestion de projet, les relations avec les fournisseurs, le suivi des contrats de maintenance, de support. La norme ISO/IEC est dcoupe en deux domaines : le premier relve plus des activits qui dnissent les processus ; le second concerne les critres qui permettent dlaborer et dexploiter les processus ; la gestion des processus dnit les aptitudes et il y a diffrents niveaux daptitude.
Structure gnrique dun plan qualit CMM/ISO/IEC 15504
Structure Contenu

2 Introduction au contexte dutilisation du plan

Introduction aux directives de lassurance qualit en rapport aux contrats et aux diffrentes tches lis au projet.

Groupe Eyrolles

1 Prsentation de la page de garde

Prsentation des grandes lignes du projet, le ou les documents associs, les principaux acteurs, le cycle de vie du document avec les rgles de nommage ainsi que la traabilit des diffrentes rvisions du document.

ISO/IEC 15504

55

Structure

Contenu

3 Macro-planning et domaine dapplication 4 Rle et responsabilit de lassurance qualit

Description des interventions des prestataires, sous-traitant sur le projet de manire macroscopique. Prsentation des directives en matire dassurance qualit et de son garant sur le projet, prsentation des procdures et des processus associs son activit sur le projet. Prsentation de la dmarche suivre en cas de non-respect du plan dassurance qualit sur le projet. Transmission de linformation aux acteurs au mme moment et avec le mme niveau (formalise par des comptes rendus).

5 Contrle et gestion de lexcution du plan 6 Rgle documentaire et documents applicables et de rfrence 7 Terminologie et dnition 8 Les cinq exigences, risques et contraintes du projet

Prsentation des points de contrle des tapes ou des jalons du projet, ainsi que le dtail des diffrentes actions de contrle. Ensemble des documents employs durant le projet, documents qualit et autres documents plus fonctionnels propres la solution informatique en place. Smantique des noms communs aux projets et aux documents associs, dnition de certains termes, connus de tous. Exigences stratgiques (orientation direction). Exigences fonctionnelles (orientation mtiers). Exigences technologiques (orientation outil). Exigences organisationnelles (orientation structurelle et humaine). Exigences de contraintes (orientation gestion des risques).

9 Relation organisation et communication du projet


Groupe Eyrolles

Rle et responsabilits des acteurs sur le projet, ainsi que leur niveau dimplication et de relation hirarchique sur le projet. Description du plan de communication. Prcision des plans ventuels de formation pour certains acteurs dans le cadre de la russite du projet. /

56

Les normes

Structure

Contenu

10 Suivi de projet et dingnierie

Descriptif des tapes offrant une vision des activits dans leur ensemble et de tout ce qui permet de voir la continuit et lavancement du projet. Indication aussi des exigences qualit relatives aux acteurs externes (sous-traitants) lentreprise.

11 Gestion des modications et des congurations

Gestion des modications suite des demandes dvolution ou des non-conformits. Gestion des congurations gnralement lie la gestion des modications. Prsentation des conditions de duplication, de copie du logiciel, ainsi que les processus associs la gestion de la scurit de la solution (application).

12 Duplication, scurit, transfert

Dire dexpert1
Le processus logiciel est en constante volution, ce qui demande une amlioration continue des processus. Connatre le niveau de maturit des processus logiciels se traduit par un tat des lieux ou une analyse de lexistant. Ltat des lieux prend en compte les processus de lactivit, ainsi que les livrables associs aux activits. Les rfrentiels tels que CMM, CMMI se sont fortement inspirs de la norme ISO/IEC 15504 pour ce qui concerne les volutions.

Un grand nombre dentreprises utilisent la norme ISO/IEC 15504 comme rfrentiel car, pour beaucoup dentre elles, la norme ISO/IEC 15504 est un rel vecteur damlioration pour lensemble de leurs processus logiciels. La mise en place de la norme ISO/IEC 15504 au sein de leur organisation leur fournit lassurance de rduire signicativement le nombre de risques et de pouvoir dgager de rels bnces. Il est possible de se procurer cette norme internationale ISO/IEC 15504 auprs des organismes nationaux (achat de normes).
Groupe Eyrolles

1. Christophe Denis, ingnieur logiciel, spcialiste CMMI.

Chapitre 8

ISO 19011

HISTORIQUE
La norme ISO 19011 est parue en n danne 2002, elle a pour objectif de prsenter les lignes directrices pour laudit des systmes en correspondance avec le management de la qualit et le management environnemental.

DFINITION
La norme ISO 19011 a pour vocation dapporter son aide lensemble des organismes utilisateurs concernant lamlioration et loptimisation des systmes de management, dans deux domaines : la qualit et lenvironnement. LISO a la volont de mettre en place un seul et unique programme daudit. Ce programme daudit concernera la fois lISO 9001:2000 pour le management de la qualit et lISO 14001:2004 pour le management de lenvironnement. Cette orientation permettra doptimiser les cots pour les entreprises (une seule campagne daudit). RETENIR
La conduite daudit, quelle soit interne ou externe, repose sur la norme ISO 19011 car celle-ci a lavantage de donner les lignes directrices pour les campagnes daudit du management de la qualit ISO 9001:2000 et du management environnemental ISO 14001:2004. Les auditeurs, les organismes de certication, daccrditation, de normalisation, sont concerns par cette norme.

Groupe Eyrolles

58

Les normes

APPLICATION
Pour lentreprise qui est audite, une organisation est mettre en place. Le directeur qualit environnement est garant de lorganisation interne de la campagne daudit. Il dsigne lensemble des personnes qui seront audites (ISO 9001:2000 et ISO 14001:2004) ; dans bien des cas, quelle que soit la norme audite, les personnes audites sont les mmes. Les auditeurs (organismes de certication) doivent bien comprendre le contexte des entreprises audites et faire la distinction entre les exigences que demandent les normes ISO 9001:2000 et ISO 14001:2004. Pour mettre en application la norme ISO 19011, lidal est dtre dans un contexte bimodal, cest--dire la fois dans une dmarche de systme de management environnemental (SME) et dans une dmarche de systme de management qualit (SMQ). Pour beaucoup dentreprises qui ont les deux systmes de management en place, avoir une seule campagne daudit est une bonne chose plusieurs niveaux : un seul audit (temps plus court) ; un seul cot (diminution des cots, investissement moins lourd) ; une seule contribution quipe auditeur, personnel audit (optimisation des quipes). Sadapter au contexte conomique des entreprises, du march, est facteur de russite : cest ainsi que la norme ISO 19011 est apprcie de tous. Pour mener bien une campagne daudit, les auditeurs doivent tre qualis, le programme daudit ainsi que la conduite de laudit doivent tre conformes aux attentes des organismes certicateurs. Le march conomique demande aux entreprises de pouvoir sadapter rapidement aux changements et aux volutions concernant les systmes de management de la qualit et de lenvironnement ; lISO 19011 joue un rle important en conseillant et en prsentant les bonnes pratiques suivre. Le programme daudit est un lment important, il xe le niveau daudit (audits groupes ou audits individuels).
Groupe Eyrolles

ISO 19011

59

Dire dexpert
Le l conducteur des audits internes pour le management de la qualit et le management de lenvironnement est dni dans la norme ISO 19011. Elle remplace les sries ISO 9000 (qualit) et ISO 14000 (environnement), ainsi que la srie des normes ISO 10011-1, lISO 10011-2 et lISO 10011-3 de la famille ISO 9000, et les normes denvironnement ISO 14010, ISO 14011, ISO 14012 de la famille ISO 14000. La norme ISO 19011 est un complment de la norme ISO de la srie 9000 qui comprend les normes ISO 9000, ISO 9001 et ISO 9004. Ces sries ont t rvises et publies en dcembre 2000.

LES NOUVEAUTS
Une rvision de la norme ISO 19011 a t dcide n 2007 par lISO/TC 176/ SC3 groupe de travail dexperts. Cette rvision concerne deux lments : la rduction du champ daction de la norme aux audits internes et audits externes ; la gnralisation de la norme ISO 19011 lensemble des autres systmes de management, en plus du systme de management de la qualit et du systme de management de lenvironnement.

Groupe Eyrolles

Chapitre 9

ISO/IEC 200001

HISTORIQUE
La BS 15000 est la toute premire des normes en matire de gestion de services informatiques qui soit devenue internationale ; cest la British Standards Institution (BSI) qui a particip activement son volution. Pour les activits dinfogrance, prestation de services, la norme BSI 15000 permet de dnir lensemble des spcications indispensables pour sassurer que le service sera bien rendu auprs du client. La documentation a une place importante dans la norme ; elle permet didentier les points de vigilance que lentreprise se doit de suivre, et cela en relation avec les objectifs attendus et annoncs par lorganisation en place. En 2005, la BS 15000 a donn naissance lISO/IEC 20000 qui se compose de deux parties : une norme dexigences ISO/IEC 20000-1:2005, ce sont les spcications ; une norme de recommandations ISO/IEC 20000-2:2005 ; il sagit du Code de bonnes pratiques.

DFINITION
RETENIR
Groupe Eyrolles

LISO/IEC 20000 est une norme pour les organisations qui fournissent des services.

1. Avec la contribution de Gad Koskas, consultant manager, auditeur ISO 20000 et formateur ITIL V2, V3.

62

Les normes

Une certaine dontologie et un haut niveau de comptence des acteurs sont garantis par le processus de certication des personnes et des entreprises. La certication dorganisation ISO/IEC 20000 est ralise par AFAQ/ AFNOR ; dautres organismes peuvent certier les entreprises. Remarque : la certication de produit nest pas reconnue.

APPLICATION
Les processus de lISO/IEC 20000
Rpondre aux diffrentes attentes des clients demande aux entreprises de travailler en mode processus, ce que la norme ISO/IEC 20000 prconise fortement. Le mode de fonctionnement, dit pertinent, repose sur de nombreuses activits interactives. La norme ISO/IEC 20000 sinspire fortement du rfrentiel ITIL V3 et de la norme ISO 9001:2000, qui ont comme point commun le management par les processus, la satisfaction client et lamlioration continue.

PROCESSUS DE LA FOURNITURE DES SERVICES


Gestion des niveaux de service Gestion de la capacit Gestion de la continuit Gestion de la disponibilit Rapports sur le service Gestion de la scurit des SI Budgtisation et comptabilit des services IT

PROCESSUS DE CONTRLE
Gestion des configurations Gestions des changements

PROCESSUS DES MISES EN PRODUCTION


Gestion des mises en production

PROCESSUS DE GESTION DES RELATIONS


Gestion des relations commerciales Gestion des fournisseurs

PROCESSUS DES RSOLUTIONS


Gestion des incidents Gestion des problmes

Nouveaux processus dans ISO 20000

Matrice IEC/IS0 20000


Source : OGC, anne 2005.

Groupe Eyrolles

ISO/IEC 20000

63

Les processus concerns par la norme


Il sagit de lensemble des processus ITIL qui sont inclus dans la norme ISO/IEC 20000, avec quelques ajouts comme le service reporting, la gestion des fournisseurs et la gestion des relations commerciales. Laxe de la norme ISO/IEC 20000 est bien les processus et non les fonctions, do labsence du service desk. La norme est dcoupe en deux parties : les spcications, cest--dire lensemble des rgles de conformit sur lesquelles lorganisation doit se faire certier ; le code de pratiques, soit des recommandations pour la mise en place de la gestion des services dans le cadre dune organisation. La partie recommandations utilise le mot devrait (should).

Dire dexpert
La norme ISO/IEC 20000 a le double avantage de pouvoir proposer la fois une base daccrditation et de certication pour les centres de production informatique. Il faut bien voir que la norme ISO/IEC 20000 est organise en lots : PDCA des services ; support de service ; fourniture de service ; relation pour les services TI. La notion de management de la qualit de service volue vers le management de service. Il faut voir le service comme une relle activit avec ses clients, son business, son environnement TI, ses marchs. Les exigences relatives ISO/IEC 20000 sont numrotes de 1 10. Pour quune organisation soit certie ISO/IEC 20000 lensemble des exigences demande tre vri.

La nouvelle norme ISO/IEC 20000:20101


Le standard ISO/IEC 20000-1 a t publi en novembre 2005 partir de la norme BS 15000, linitiative du British Standard. Cette norme a t
Groupe Eyrolles

1. Pierre Thory, coditeur du standard ISO/IEC 20000-1 (international) ; directeur gnral de Sextant Solutions Informatiques ; matre de confrences associ luniversit dEvry ; prsident de la Commission nationale ingnierie et qualit des logiciels et systmes (AFNOR).

64

Les normes

conue initialement pour permettre la certication des organisations anglaises qui se sont engages dans la mise en uvre du rfrentiel ITIL V2, pour lequel les certicats ne sont dlivrs quaux individus. Depuis 2007, des travaux sont engags pour amliorer le standard ISO/ IEC 20000-1 : lintgration de la partie conception des services dans les exigences, la cohrence avec le standard ISO 9001:2008, la prise en compte de certains concepts issus dITIL V3 (en toute indpendance de lOGC, propritaire dITIL) sont parmi les premiers axes damlioration. ISO/IEC 20000-1 est amen devenir un standard particulirement reconnu, au mme titre que ISO 9001, car il sadapte tous les services et pas seulement aux services informatiques. Or la part des services reprsentera terme prs de 70 % du PNB mondial, ce qui est dj pratiquement le cas pour les pays les plus dvelopps. Les premires analyses que jai pu raliser, notamment dans les secteurs du tourisme et des services hospitaliers, se sont rvles particulirement concluantes. Les membres du groupe de travail international sur la srie de standards ISO/IEC 20000 en ont totalement conscience et cest pourquoi la version prochaine, prvue pour 2010, aura supprim dans ses exigences toute rfrence linformatique pour proposer un ensemble dexigences destines aux fournisseurs de services. ISO 20000-1 est un Systme de Management de Services (SMS) en cohrence avec ISO 9001:2008 (SMQ).

Groupe Eyrolles

Chapitre 10

ISO/IEC 21827:2002

HISTORIQUE
Comme ce fut le cas pour beaucoup de normes, pour pallier un manque de repres, une absence de modle, de standard en termes de scurit informatique, un groupe dexperts parmi de grandes socits amricaines se mit au travail. En 1993, ces experts travaillrent sur un modle, le SSE-CMM. En 2002, lISSEA (International Systems Security Engineering Association, qui est ddie lavancement des systmes de scurit) a ralis de nombreux changements partir du modle initial : le modle est devenu une norme qui sappelle ISO/IEC 21827:2002, puis il y a eu des volutions sur la norme et une nouvelle version est apparue ; il sagit de la norme ISO/IEC 21827:2003.

DFINITION
La scurit informatique concerne toute lentreprise. Elle sinscrit dans une dmarche processus, on la retrouve partout : les informations en entre, les informations traiter, les informations en sortie, elle sinscrit galement dans une dmarche damlioration continue, elle se remet rgulirement en question an de progresser. Grce son organisation la SSE-CMM sest vite adapte au monde de lentreprise.

Groupe Eyrolles

66

Les normes

APPLICATION
La mise en pratique de la norme SSE-CMM dans lentreprise repose sur une approche globale qui est divise en deux parties : la premire concerne le domaine, o lon trouvera les pratiques de base (BP), et la seconde concerne ladaptabilit, o lon trouvera la pratique gnrique (GP) avec les aspects de planication et de ralisation des pratiques de base. Pour avoir une optimisation parfaite, les processus doivent tre mesurs. Cette mesure se fonde sur cinq valeurs, la plus grande valeur correspondant au chiffre 5 et la plus petite au chiffre 0 : la valeur 5 correspond une amlioration continue de la part du processus ; la valeur 4 correspond au contrle qualit du processus et des livrables du processus ; la valeur 3 correspond la standardisation des processus ; la valeur 2 correspond au plan daction des oprations et au suivi des actions ; la valeur 1 correspond aux tches ralises au travers des processus ; la valeur 0 correspond aux tches ou activits non ralises, tout est faire. La norme SSE-CMM a une approche transverse. Elle prend en compte trois critres importants qui sont le risque, lassurance et lingnierie : pour le risque, on considrera le produit des trois facteurs suivants : les menaces le degr de vulnrabilit les impacts. En matire de scurit, la gestion du risque est incontournable, elle est demande systmatiquement dans les projets ; pour lassurance, on considrera tout ce qui concerne le besoin de se faire assurer : un service, un bien, un produit, un systme An dtre prventif, on prvoit de se couvrir avant un sinistre (identi ou non identi) ; pour lingnierie, on considrera les aspects de pilotage autour de la scurit, ladministration, la surveillance, la coordination des tches On constate que lingnierie demande une gestion de suivi de la scurit ; il est facile de comparer lingnierie la production, voire lexploitation (pilotage) dun systme informatique.
Groupe Eyrolles

ISO/IEC 21827:2002

67

Dire dexpert
La norme ISO/IEC 21827:2002 permet de faire prendre conscience au DSI de limportance que reprsentent les processus. Les cinq niveaux de maturit ont vu le jour avec le SSE-CMM ; dailleurs, on retrouvera par la suite les cinq niveaux dans CMMI. Les aspects vulnrabilits sont au cur de la norme. La norme permet dassocier un processus une activit (ressource), an de suivre comme il se doit lavancement des oprations dans le domaine de la scurit du systme dinformation.

LES NOUVEAUTS
Depuis 2001-2002 le SSE-CMM nest plus ou peu utilis, CMMI ayant pris le relais avec CMMI 1.0 (Capability Maturity Model Integrated). Cependant, on retrouve dans CMMI les bases de SEE-CMM.

Groupe Eyrolles

Chapitre 11

ISO/WD 26000

HISTORIQUE
La norme ISO/WD 26000 est une nouvelle norme. Elle concerne tout le primtre de la responsabilit socitale. Un groupe dexperts travaille sur cette future norme, son objectif tant de livrer une norme utilisable auprs des entreprises et des professionnels dici la n de lanne 2010. La norme regroupera un ensemble de bonnes pratiques et servira ainsi de guide. En effet, donner des directives en termes de responsabilit socitale est chose difcile, chaque entreprise ayant sa faon de fonctionner et sa propre culture.

DFINITION
Elle concerne la partie responsabilit socitale des entreprises, et plus prcisment celle des organisations en place dans les entreprises, les ONG La norme ISO/WD 26000 a pour objectif de dnir et de clarier la notion de responsabilit socitale et de la rendre accessible tout type dorganisation (entreprises, collectivits territoriales, associations), quelle que soit sa taille ou sa localisation, en fournissant des principes directeurs partags, repres pour laction.
Groupe Eyrolles

Il convient que la norme soit vraiment un guide auprs des entreprises et des professionnels : elle ne doit pas imposer une directive particulire ; elle doit aider les entreprises sidentier, se positionner, la fois au niveau culturel et au niveau conomique ;

70

Les normes

elle doit sassurer de sa complmentarit par rapport aux autres normes internationales, aux autres conventions ; en aucun cas elle ne remplace les directives de la direction de lentreprise. Une appropriation en termes de smantique est faire au sein de lentreprise sous la forme dun plan de communication ou dun sminaire car, pour beaucoup, la responsabilit socitale reste encore obscure.

ISO/WD 26000 et son contenu


Lintroduction permet davoir la fois une vision gnrale de la norme et sa gense. Le domaine dapplication a pour vocation de prsenter le primtre de la norme et les grandes directives. La notion de vocabulaire est importante, les dnitions constituant les bases essentielles dune parfaite comprhension de la norme. ce titre, un support aura toute son importance (livre blanc, plaquette de sensibilisation, glossaire). La responsabilit socitale des entreprises concerne lorganisation interne de lentreprise. Il existe un questionnaire destination des organisations hirarchiques et fonctionnelles de lentreprise, qui a pour objectif dapporter des rponses sur des sujets centraux en rapport avec sa responsabilit socitale (politique, communication interne et externe, bilan, rapports dactivit de lentreprise). Dans la responsabilit socitale, on trouve deux annexes importantes qui sont : les accords internationaux et les diffrentes institutions en rapport avec la responsabilit socitale ; les rfrences pour la mise en uvre de la responsabilit socitale. Le dernier point concerne la bibliographie.

Pour une mise en application, il faut capitaliser sur ce qui existe dj. Cest le cas pour certaines normes qui auront un rle jouer dans llaboration de la norme ISO/WD 26000. Il sagit de deux normes qui sont

Groupe Eyrolles

APPLICATION

ISO/WD 26000

71

la norme ISO 9001:2000 pour lengagement de la direction, principalement pour son rle de leader dans la conduite de la dmarche globale damlioration continue au sein de lentreprise, et de la norme ISO 14001:2004 pour les engagements environnementaux et les activits de dveloppement durable de lentreprise. Ces deux normes comportent des normes issues de lOrganisation internationale du travail (OIT) ainsi que des rfrentiels comme ILO-OHSAS 2001 qui traitent de la gestion de la scurit et de la sant au travail. La norme ISO/WD 26000 ne sera pas sujette une certication.

ISO 9001 ISO 14001

ISO 9004 ISO 14004

Qualit Systme de management de lentreprise Socit conomie Durable Environnement

Environnement

ILO-OHSAS 2001 SA 8000 AA 1000

HSS

Stratgie et politique de lentreprise

Social/ Socital

EFQM

Excellence

ISO 26000

SD 21000 Guide pour la prise en compte du dveloppement durable dans la stratgie et le management de lentreprise

Les rfrentiels pour lentreprise

Les principes de base concernant lISO/WD 26000


LISO/WD 26000 est une norme qui est porte par la direction de lentreprise, ce qui permet celle-ci dtre la fois le sponsor et le pilote pour laccompagnement de la mise en place de la norme (ISO/WD 26000). Le primtre de la norme nest pas restrictif au primtre de lentreprise. La norme permet de rpondre aux requtes des organisations, des associations, en demandant aux entreprises de respecter lenvironnement,

Groupe Eyrolles

72

Les normes

de mettre en place une politique de dveloppement durable, de chasser le gaspillage, de se proccuper du bien-tre de leur personnel, de prendre soin de leur environnement local, grce aux liens qui existent entre la norme ISO/WD 26000 et la norme ISO 14001:2004.

Dire dexpert
La norme internationale ISO/WD 26000, dite sur la responsabilit socitale des entreprises, va bientt tre publie. Peaune depuis des annes par les experts de 54 pays cette norme sera dcerne aux entreprises citoyennes engages dans le dveloppement durable. Protection des consommateurs, conomies dnergie, vigilance sur le droit du travail, lutte contre la pollution, les ingalits sociales et la corruption, engagement de ne jamais succomber la seule recherche du prot maximal, etc., bref, toujours davantage de droits de lhomme, et toujours moins de gaz effet de serre (GES) : trs tendance lISO/WD 26000 sera bourre de bonnes intentions comment ne pas applaudir. Ds 2009, exigez-la de votre picier, de votre garagiste, de votre bureau de tabac Ils ne devraient pas avoir trop de mal lobtenir, sachant que cette norme, avalise par le Bureau international du travail et les Nations unies, contiendra des lignes directrices et non pas des exigences . Une dclaration de bonnes intentions pour plus tard devrait donc sufre loctroi du prcieux label. Attendons-nous le voir afch jusque sur les chemines des usines les plus fumantes, voire imprim sur les T-shirts des travailleurs esclaves, en Extrme-Orient ou ailleurs. Ct franais ( lAFNOR) on se rjouit et on dclare sans rire que, grce cette prochaine nouvelle norme, la responsabilit socitale est sur le point de franchir une nouvelle tape.
Source : Journal du dveloppement durable.

Groupe Eyrolles

Chapitre 12

ISO 27000

HISTORIQUE
En 1995 la BSI (British Standards Institution) publie un document compos de dix grands chapitres et contenant une centaine de recommandations scuritaires sous le dnominatif de norme BS 7799. En 1998, la BSI adjoint une seconde partie, dnomme BS 7799-2, qui prcise les exigences de mise en uvre dun Systme de management de la scurit de linformation (SMSI). En 2000, suite au succs rencontr par la norme BS 7799 dans le monde entier, lISO ladopte, tout en y ajoutant quelques mesures de scurit supplmentaires, en la renommant ISO 17799. LISO nintgrant pas la notion de SMSI, lISO 17799 reste un rfrentiel de bonnes pratiques. En 2002, la BSI publie une seconde version de la BS 7799-2 qui devient BS 7799-2: 2002. Puis, en juin 2005, lISO remanie et enrichit de nouvelles mesures de scurit lISO/IEC 17799, qui sera renomme en 2007 ISO 27002. En octobre 2005, en sinspirant de lISO 9001:2000 et en spciant les exigences de mise en uvre dun SMSI, lISO adopte dnitivement, aprs quelques modications, la BS 7799-2 sous le dnominatif dISO/ IEC 27001:2005. De toutes les normes de la srie ISO 27000, seule la norme ISO/IEC 27001 est certiable.

DFINITION
Groupe Eyrolles

RETENIR
La norme ISO/IEC 27001:2005, publie le 15 octobre 2005, prsente sous les titres Technologies de linformation , Techniques de scurit , Systmes de gestion de scurit de linformation , Exigences , fournit

74

Les normes

au travers dune approche oriente processus, un modle de gestion de la scurit de linformation communment appel SMSI (Systme de management de la scurit de linformation) ou SGSI (Systme de gestion de la scurit de linformation).

Du point de vue de Sylvain Laborde1, grer un SMSI, cest apporter les garanties sur la capacit de lentreprise matriser les cots et les priorits en matire dinvestissements et dorientations budgtaires au regard des enjeux business et des risques. La gestion dun SMSI permet de garantir la justesse des investissements de scurit. Il permet de mobiliser tous les acteurs de lentreprise autour dun projet commun par lequel chacun, de lutilisateur nal ladministrateur systme jusqu la direction gnrale, prend sa part de responsabilit dans ltablissement (responsable de la scurit des systmes dinformation), la mise en uvre, le contrle (auditeurs) ou lamlioration continue de la scurit. Limplication de tous les acteurs sobtiendra par lengagement de la direction gnrale de lentreprise qui safrmera de manire claire et visible dans la dmarche par une mise disposition des ressources humaines et nancires. Le SMSI permet ainsi au RSSI de sortir du mode ractif pour aboutir un mode de gestionnaire de la scurit et des risques. La norme sarticule donc autour dexigences gnrales pour la mise en uvre du systme et dannexes, dont lannexe A prsente les objectifs et mesures de scurit de lISO/IEC 17799:2005. Cette norme permet une entreprise de certier son systme de management, et non pas de garantir un niveau de scurit 100 % (ce qui nexiste pas). Un dbat fait rage actuellement sur lutilit de se faire certier. Ma vision est que les arguments mercantiles et marketing prsents pour une certication sont un faux dbat et que la certication est surtout la concrtisation dune dmarche continue de gestion de la scurit de linformation : le cur de la norme est donc bien le systme de gestion.

Prospective
Groupe Eyrolles

La prospective porte sur la dclinaison des exigences gnrales (articles 4 8) de la norme ISO/IEC 27001:2005 en nouvelles normes. titre dexemple, larticle 4 prsentant notamment les exigences relatives
1. Sylvain Laborde, certi BS 7799, auditeur certi ISO 27001.

ISO 27000

75

lapprciation, lanalyse et le traitement des risques est devenu lISO/ IEC 27005:2008.
ISO 27000 Prsentation et vocabulaire

ISO 27007 Guide de lauditeur

ISO 27001 Exigences pour le SMSI

ISO 27006 Exigences pour les organismes de certification

ISO 2700X

ISO 27002 Bonnes pratiques de scurit

ISO 27005 Management des risques

ISO 27004 Indicateurs

ISO 27003 Guide dimplmentation

LISO/IEC 27002:2005
Elle remplace depuis le 15 juin 2005 lISO/IEC 17799:2005. Les articles 5 15 de la norme, organiss autour de 39 objectifs de scurit, constituent un recueil de bonnes pratiques organisationnelles et techniques, communment appeles mesures de scurit. Toutes ne sont pas pertinentes dans le contexte dune entreprise mais sont slectionner en sortie dune analyse de risques pour rduire les risques pour lesquels la direction gnrale a dtermin quils sont inacceptables et doivent donc tre rduits. Les articles et mesures de scurit seront intgrs au sein dune dclaration dapplicabilit (DdA) dans le cadre dune dmarche de mise en uvre dun SMSI. Cette norme sert galement de support aux audits scurit de linformation (dits audits ashs) pratiqus en audits externes par de nombreuses socits de services ou en audits internes par les directions daudit et directions dinspection gnrale. Sans vouloir lafcher, de nombreuses entreprises, par ailleurs soumises aux rglementations Ble II, Sarbanes-Oxley Act ou Payment Card

Groupe Eyrolles

76

Les normes

Industry, appliquent dj partiellement les bonnes pratiques de lISO 27002. Ces entreprises peuvent donc valuer le cot du reste faire vers le management de la scurit de linformation ISO/IEC 27001.

LISO 27003
La norme, qui devrait voir le jour en septembre 2009, encourage ladoption dune approche processus sappuyant sur le modle de Deming qui nest pas propre la norme mais que lon retrouve en support dautres mthodologies telles que lISO 9001 ou 14001. Ce modle de gestion permet lentreprise de grer et de piloter son systme de management selon les phases P pour planier, D pour dployer, C pour contrler et A pour amliorer.

LISO 27004
LISO 27004, en cours de dveloppement, est un guide qui fournit des conseils pour le dveloppement dun programme de mesures et de contrles et la formalisation dindicateurs permettant de mesurer lefcience dun SMSI. Il interagit avec les phases Check et Act de la mthode PDCA de lISO 27003.

LISO/IEC 27005:2008
LISO/IEC 27005:2008 correspond aux exigences gnrales 4.2.1 c 4.2.1 f et 4.2.3 d de lISO/IEC 27001. Cette norme intgre le vocabulaire du risque dj dvelopp dans lISO 73 et lISO/IEC 13335. Ce standard international, publi en juin 2008, fournit des directives pour le management du risque en proposant un vocabulaire de rfrence et un cadre de dmarche en support lISO/IEC 27001. Le process de management du risque sarticule autour de ltablissement du contexte (clause 7), de lvaluation du risque (clause 8), du traitement du risque (clause 9), de lacceptation du risque (clause 10), de la communication (clause 11) et de la mesure et rvision du risque (clause 12). La dmarche saligne selon la mthode de gestion PDCA adopte par la norme ISO/IEC 27001. La norme nimpose donc pas une mthodologie danalyse de risques, dont le choix reste du ressort de lentreprise. Nanmoins, il est probable que les entreprises franaises et cabinets de conseil embarrasss par des mthodologies danalyse de risques ou dexpression
Groupe Eyrolles

ISO 27000

77

des besoins de scurit juges lourdes Mehari dvelopp par le Club de la scurit de linformation franais (Clusif) ou Ebios dvelopp par la Direction centrale de la scurit des systmes dinformation (DCSSI) trouveront dans la norme le moyen de dvelopper des outils plus lgers adapts des exigences Time to Market par exemple, de prise en compte des exigences de scurit dans les nouveaux projets ou dveloppements, domaine souvent nglig.

LISO/IEC 27006:2007
Le standard, ofciellement publi depuis le 13 fvrier 2007, sadresse aux organismes certicateurs (LSTI, AFNOR, BVQI) de SMSI et fournit un guide et des exigences pour laccrditation des auditeurs certiant des SMSI. Ce standard est un complment aux exigences dnies dans la norme ISO/IEC 17021, et se substitue la norme EA 7/03.

LISO 27007
La norme, dont la date prvisionnelle de publication est xe en avril 2010, constituera le guide daudit du SMSI.

Dclinaisons sectorielles
Depuis peu, on constate une appropriation sectorielle des normes de cette famille, notamment pour le secteur de la sant et des tlcoms. Cela montre un intrt grandissant pour cette famille. Parmi ces appropriations on peut citer : lISO 27799:2008 : cette norme, qui a vu le jour le 12 juin 2008, adresse, sur la base de lISO/IEC 27002, les spcicits du secteur de la sant ; lISO/IEC FDIS 27011:2008 : cette norme tablit les principes et constitue un guide pour linitialisation, limplmentation, le maintien et lamlioration de la gestion de la scurit de linformation pour le monde des services de tlcommunications (oprateur tlcom, hbergeurs de services) en se fondant sur lISO/IEC 27002.
Groupe Eyrolles

En implmentant lISO/IEC 27011:2008, les oprateurs de tlcommunications, en interne comme vis--vis des autorits comptentes (Autorit de rgulation des tlcoms ART) : seront capables dassurer la condentialit, lintgrit et la disponibilit des infrastructures de services ;

78

Les normes

adopteront des processus de scurit collaboratifs et des niveaux de contrle permettant la rduction des risques pour un secteur qui est souvent la cible privilgie des attaques ; favoriseront une meilleure transparence et conance dans la relation publique.

APPLICATION
Le projet de mise en place du SMSI est un projet transversal si le service informatique est de fait concern, puisque linformation est devenue essentiellement informatique. Suivant le primtre dni, plusieurs directions (directions mtier) peuvent tre impactes et en premier la DRH. Le projet concerne galement toute lchelle hirarchique de lorganisme. La russite du projet dpend essentiellement de limplication de toutes les personnes concernes dans lentreprise, de la direction gnrale au plus bas de lchelle. Si laccompagnement par un consultant peut savrer ncessaire, la dmarche consistant faire faire par des prestataires nayant aucune connaissance de lentreprise est voue lchec. RETENIR
Quelle que soit lapproche retenue, squentielle ou mode projet, il est essentiel de prendre en compte les trois contraintes suivantes : respecter les exigences de la norme ; respecter la mthode PDCA ; sassurer en permanence de la cohrence entre les objectifs et les mesures de scurit.

Groupe Eyrolles

La phase Plan , qui revient xer les objectifs du SMSI, est compose de quatre grandes tapes : dnition du primtre et de la politique, apprciation des risques, traitement du risque, slection des mesures de scurit. Cette dernire tape sappuie sur lannexe A qui contient une liste de 133 mesures de scurit, classes en 11 chapitres. Mais ce nest quune liste, limplmenteur doit y slectionner des mesures une fois lapprciation des risques effectue et rechercher les conseils de mise en uvre dans lISO/IEC 27002. Une fois les mesures slectionnes, un tableau rcapitulatif reprenant les 133 mesures de lannexe A sera constitu en spciant les mesures retenues et celles cartes.

ISO 27000

79

La phase Do du SMSI comprendra les tapes suivantes : planication du traitement des risques, gnration dindicateurs signicatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, dtection et raction aux incidents. La norme impose de mettre en place des moyens de contrle du SMSI ; cest la phase Check , qui sappuiera sur des audits internes planis, un contrle interne permanent, des revues. Lors des audits, contrles et revues, si des carts sont constats par rapport aux objectifs du SMSI, la phase Act permettra de mener des actions correctives, des actions prventives et des actions damlioration.

Dire dexpert1
Selon Michel Berteau, la mise en uvre de la norme ISO/IEC 27001 est un projet fdrateur. Cest un projet transversal, et ne pas en tenir compte peut vouer le projet lchec. En revanche, limplmentation dun SMSI est la garantie de ladoption de bonnes pratiques, de laugmentation de la abilit, et la certication par un organisme indpendant assurera lapport de la conance des parties prenantes de lentreprise (clients, fournisseurs, actionnaires, banques, autorits, etc.) et bien souvent qui dit conance dit business. Lavantage de la norme ISO/IEC 27001 pour le traitement du risque est quelle laisse lentreprise le libre choix de son outil danalyse de risques, lISO/IEC 27005 ne restera quun guide. En revanche, quelle que soit la mthode utilise, le cahier des charges de la norme en ce domaine reste trs strict. La srie ISO 27000 est en cours de nalisation, et elle fait lunanimit au niveau international. Cette norme commence intresser de plus en plus dentrepreneurs franais, non seulement par son caractre normatif mais galement parce quelle savre complmentaire dun autre rfrentiel qui connat un engouement important en France, ITIL. LISO a publi en 2005 la norme ISO/IEC 20000 qui permet de faire certier les processus informatiques et qui est une dclinaison dITIL V3 avec mise en uvre dun SMSI, ce qui a retenu lattention de bon nombre de directions informatiques. Par ailleurs, lISO/IEC 20000 recommandant de sappuyer sur lISO/IEC 27002 pour le processus gestion de la scurit de linformation, les DSI sont de plus en plus tentes par une mutualisation des deux normes.

Groupe Eyrolles

1. Michel Berteau, consultant senior, auditeur certi ISO 27001.

Chapitre 13

ISO/DIS 31000

HISTORIQUE
Il sagit de la future norme ISO/DIS 31000 sur le management du risque. STRATGIQUE
Grer le risque reprsente pour les entreprises et les organismes une vritable dmarche danticipation ; pour que cela soit efcace, il faut respecter les exigences de la norme. Les opportunits seront au rendez-vous pour les bons lves. La future norme ISO/DIS 31000, qui va prendre de limportance dans les annes venir, prsente les diffrents risques possibles : risque au travail, risque sur lenvironnement, risque sur la scurit

Tout le monde est concern par la gestion des risques, cela dans nimporte quel cas de gure, que ce soit en pratiquant une activit physique (extrme comme un saut en parachute, ou pas), ou en prenant lavion. Souvent, nous faisons une analyse rapide de la situation et des risques possibles par rapport aux bnces ; une valuation est faite et, partir de celle-ci, une dcision est prise. Par rapport cette prise de dcision, aucun formalisme nest mis en place. Quand il sagit dune entreprise grande ou moyenne, dun gouvernement, de plusieurs pays la gestion des risques est toujours utilise. Elle repose sur un processus ; grce la gestion des risques, les dcideurs peuvent choisir la solution qui offrira le plus de gains et le moins de risques.

Groupe Eyrolles

82

Les normes

LES NOUVEAUTS
La norme ISO 31000 sera publie en septembre 2009.

DFINITION
Le management des risques concerne les entreprises et leurs organisations ; la norme doit prendre en considration les autres normes ISO. Elle est apparue en tant que proposition de norme en juin 2005, linitiative du Japon. Comme beaucoup de nouvelles normes, son objectif principal est de servir de guide auprs des entreprises. Il ny a pas de critres de taille, de poids conomique ou de domaine dactivit pour que lentreprise puisse utiliser la norme et bncier de tous ses bienfaits. Implicitement, il faudra prvoir une gestion de management des risques ; lentreprise devra nommer un responsable, si ce nest pas dj fait. Il sagit dune activit comme une autre, la diffrence que sil nexiste pas de responsable pour le management des risques, lentreprise est vulnrable tout moment : avant, durant, et aprs le risque. Sans plan de reprise, sans sauvegarde, il est toujours difcile de repartir rapidement. La partie maintenance du processus de management des risques est prendre en compte, des volutions seront prvoir, des ajustements seront mettre en place et, comme pour beaucoup de processus, des mesures devront tre effectues. Elle porte comme nom provisoire principes et lignes directrices pour la mise en place dun processus de management des risques .

Les grands principes de la norme ISO/DIS 31000


Le management du risque repose sur une structure : il centralise les preuves qui sont pour lui indispensables ;
Groupe Eyrolles

il permet de faire remonter les incertitudes et leurs causes an dy apporter une explication et une rponse ; il est orient direction ; il permet de prendre des dcisions qui savrent ncessaires en matire de risque ;

ISO/DIS 31000

83

il prend en considration laspect humain ainsi que le comportement des personnes dans lentreprise ; il a pour objectif de crer une plus-value ; il incite la rexion et amne une prise de conscience des femmes et des hommes de lentreprise par rapport au risque professionnel ; il prend en compte lorganisation de lentreprise et lensemble de son primtre dintervention ; il est connu de tous, et permet de prendre en compte et de grer les volutions de manire rapide.

APPLICATION
Le management des risques se gre comme un vritable projet. Le primtre est large ; il touche lentreprise et les diffrentes directions. Il touche galement les activits, institutions, associations en dehors de lentreprise. Une fois le primtre identi, il est plus facile de se xer les objectifs atteindre. Ltape suivante concerne les risques que lentreprise devra prendre en compte et cela partir de la source du risque, jusqu son rsultat (dgts, pertes). Un ensemble de questions est pos : pourquoi cela peut-il arriver ? Quels sont les endroits risques ? quelles priodes ? Il faut aussi que tout le monde comprenne le risque. Classer les risques, leur donner un poids, une importance, une priorit, est une ncessit. La prochaine tape consiste prendre du recul par rapport au risque, et commencer comprendre le risque, son cycle de vie, les interactions avec les autres risques qui sont directement ou indirectement rattachs au risque principal, le niveau de rcurrence ; il faut faire le diagnostic du risque. On arrive alors la qualication du risque par lui-mme ; cet effet, il faut avoir une base de connaissance des risques qui permet davoir des repres en termes dvaluation. Cette valuation permettra de prendre les bonnes dcisions pour limiter les risques dans limmdiat et pour le futur. Ltape suivante est la correction du risque, un plan daction est dcid, lentreprise est daccord, une validation a t faite, et aprs avoir corrig

Groupe Eyrolles

84

Les normes

le risque, on va suivre un programme de surveillance an dtre vigilant pour que le risque ne se reproduise plus. Un peu comme pour la norme ISO 9001:2000, on se doit de revoir, ractualiser le programme de surveillance qui fait partie intgrante du processus de management des risques. La dernire tape est la communication et la consultation ; il ne faut pas les oublier, car elles permettent de renforcer lesprit de groupe, dchanger, de partager les actions, informations qui dcoulent du processus de management des risques.

Mise en place de la situation

Classement des risques

Expertise des risques Contrle et suivi Estimation des risques

Information et prise de connaissance

Exploitation des risques

Dire dexpert
La norme ISO/DIS 31000 sintgrera parfaitement avec Sarbanes-Oxley (SOX) et SAS 70. De mme, elle pourra trouver appui avec le rfrentiel COBIT. Une tendance devrait voir le jour rapidement ; le primtre du management du risque sera rapidement dpass, dautres primtres entreront en ligne de compte. Nous retrouverons des liens importants avec la norme ISO 27000 et la scurit, ainsi quavec la nouvelle norme qualit ISO 9001:2008.

Groupe Eyrolles

Chapitre 14

ISO 38500:2008

HISTORIQUE
LES NOUVEAUTS
La norme ISO 38500:2008 est aligne sur le concept de la gouvernance dentreprise. Ce terme est issu du rapport Cadbury, publi en 1992 concernant les aspects nanciers de la gouvernance dentreprise.

LISO a publi en 2008 la nouvelle norme ISO 38500:2008 qui prsente le rsultat du consensus international sur le sujet de la gouvernance du systme dinformation. Tout le monde sait quune entreprise sans informatique est une entreprise moribonde, avec une dure de vie relativement courte. Linformatique dans lentreprise est indispensable, voire vitale ; quil sagisse dune petite ou grande entreprise, elles ont toutes un accs Internet, aux applications, aux logiciels. Grce la nouvelle norme ISO 38500:2008, il sera possible de suivre des directives communes en matire de systme dinformation. Depuis peu, on parle de plan de gouvernance informatique ; la stratgie et le budget sont concerns. Lorganisation des entreprises repose sur un certain formalisme, des rgles de fonctionnement sont dployes auprs des organisations fonctionnelles.
Groupe Eyrolles

Les directions gnrales savent limportance et le poids que reprsente le systme dinformation, qui se traduit par la prsence de la DSI au sein du directoire de beaucoup de grandes entreprises. La direction gnrale a pour objectif la matrise du management et de la stratgie, lorganisation de lentreprise, laugmentation ou la diminution

86

Les normes

du nombre de salaris, le contrle des nances, la gestion du budget, linvestissement dans la R&D auxquels sajoutent les relations de partenariat avec les fournisseurs, les changes avec les associations, les parrainages avec les institutions et les aides aux collectivits locales ; tous ces lments font partie de la gouvernance de lentreprise. Tout dpend de linformatique : la nance, le budget, la communication, les changes, les ux dinformations tous les domaines utilisent les moyens informatiques. Le facteur commun est bien linformatique, do limportance davoir une gouvernance du systme dinformation au sein du directoire de lentreprise. Les ouvrages et les publications sur le domaine de la gouvernance informatique sont nombreux. Que lon soit dans le milieu universitaire (la Sloan School of Management amricaine, la Craneld University de Londres, lUniversity of Antwerp Management School dAnvers), au sein des institutions professionnelles telles que lIT Governance Institute, ou en rapport avec les rfrentiels professionnels comme COBIT 4.1, Valid, ITIL V3, on constate que la gouvernance du systme dinformation prend de plus en plus dimportance. La nouvelle norme ISO 38500 sinscrit dans la continuit dune gouvernance de lentreprise dj bien installe. Dans beaucoup dentreprises, les budgets des systmes dinformation sont de plus en plus importants et les lignes budgtaires sont prises en compte dans le plan de gouvernance du systme dinformation ; alors quil y a quelques annes elles dpendaient encore de la direction nancire.

DFINITION
STRATGIQUE
Organisation stratgique qui a pour objectif de dnir, prvoir, aider lentreprise prendre des dcisions et faire des choix en matire de systme dinformation. Elle repose sur un plan de gouvernance du systme dinformation, avec des rgles de fonctionnement, une smantique, et des acteurs responsables au sein de lentreprise.
Groupe Eyrolles

La norme repose sur six principes importants qui sont : la responsabilit du personnel de lentreprise ; la stratgie mise en place dans lentreprise ;

ISO 38500:2008

87

lacquisition des moyens, de la connaissance, des bonnes pratiques ; lexcution des tches, des oprations, des projets ; la conformit des processus organisationnels par rapport au standard dni et aux attentes de la direction ; le comportement humain du personnel de lentreprise. Lapplication de la norme auprs des entreprises a pour but de les aider mieux grer leurs dpenses informatiques, matriser leur budget et leur cot, aider la direction gnrale dnir les futures orientations stratgiques en matire de systme dinformation.

APPLICATION
Elle sapplique tous types dentreprises, quelle que soit leur activit (mtier) et quelle que soit leur taille. Elle permet de mieux valuer les projets dinvestissement informatique ainsi que les capacits oprationnelles de leur organisation. Elle a pour vocation daider les directions dentreprise cerner et raliser leurs engagements dordre lgal, rglementaire et dontologique, relatifs lutilisation des services TI.

Dire dexpert
La norme 38500:2008 ne va pas lencontre des rfrentiels COBIT, ITIL ou de la norme ISO/IEC 20000, car il nexiste pas de modle de processus des services informatiques que lon retrouve dans la norme ISO 38500 :2008.

Les rfrentiels dans leurs nouvelles versions, tels COBIT 4.1 et ITIL V3, ont une orientation gouvernance dentreprise.

Groupe Eyrolles

Chapitre 15

SAS 70

HISTORIQUE
SAS 70 a t dveloppe par lInstitut amricain de certication public (American Institute of Certied Public Accountants, AICPA). Cest une norme de conformit avec les normes de contrle interne et audit nancier, de type Sarbanes-Oxley. En 1974 apparait SAS 3, qui consistait en laudit et lvaluation du contrle interne. Puis en 1982, avec SAS 44, on sest intress au contrle des services organisationnels. Ce nest quen avril 1992 quapparat SAS 70, pour laudit des services organisationnels. En mai 2001 parat SAS 94, portant sur leffet des technologies de linformation sur le rle donn aux auditeurs au niveau du contrle interne lors dun audit nancier.

DFINITION
Le contrle interne et linfogrance ou lexternalisation sont les deux sujets principaux de la norme SAS 70. Sa premire orientation concerne le domaine du service, par la suite elle stendra aux autres domaines. Cest une norme cre par lAmerican Institute of Certied Public Accountants (AICPA) pour llaboration des mthodes auprs des organismes habilits prendre en charge la fois les contrles internes et les audits nanciers des entreprises. Les tiers (organismes de certication) sont mme de mener des audits indpendants et deffectuer des contrles des processus en place dans les entreprises. La norme SAS 70 comporte deux niveaux (type I et type II) et est rpute au niveau international, particulirement en tant qulment de conformit Sarbanes-Oxley. Elle a un champ daction relativement

Groupe Eyrolles

90

Les normes

large ; elle traite lensemble des contrles qui assurent la qualit des services rendus aux clients. On constate de plus en plus que les entreprises veulent se spcialiser sur leur cur de mtier, ce qui produit des effets dexternalisation de leurs activits auprs des sous-traitants (facilities management). Il peut sagir dune externalisation mineure, cest--dire la reprise dune partie de lactivit dune entreprise par un infogrant, ou dune externalisation majeure, cest--dire la reprise de toute une activit dune entreprise par un infogrant. La norme SAS 70 intervient au niveau des infogrants ; le client est en mesure de lui demander de suivre et dappliquer les exigences de la norme. DANGER
Le fait de vouloir externaliser une activit, un service, auprs dun soustraitant (infogrant), demande de la part de lentreprise un contrle rgulier de son sous-traitant. Lentreprise doit veiller ce quil garantisse un contrle identique, ou presque identique, celui quelle faisait avant de dcider dexternaliser son activit car, tout moment, il faut quelle puisse rendre des comptes (rglementation franaise, rglementation internationale, direction gnrale des impts).

Quand une entreprise dcide de sous-traiter une activit, elle doit mettre en place des contrles sur les processus de son futur prestataire de services ; ces rapports (contrles) serviront en cas daudits.

APPLICATION
La norme SAS 70 est devenue une rfrence pour les prestataires de services. Les processus de contrle des prestataires sont connus des clients, rien ne doit tre cach, cela fait partie des relations clients et fournisseurs. Elle apporte la preuve que le prestataire de services matrise la gestion des cots. Les entreprises clientes utilisent de manire slective la norme SAS 70 vis--vis de leurs prestataires de services, car pour elles il sagit dun critre de slection. La norme concerne lensemble des organismes de services rendant une prestation en rapport avec la gestion des cots/nancire de leurs clients. La liste est vaste, cela va du dpositaire au centre de traitement informatique.

Groupe Eyrolles

SAS 70

91

La norme SAS 70 permet de mettre en place, ct client comme ct prestataire, une mme approche et un mme suivi des activits. Pour le prestataire (en cas dinfogrant) : tre capable de montrer son client que lon matrise le processus de contrle interne, et de lui prsenter le suivi des activits, le droulement du processus, les livrables associs ; montrer au client que lon matrise son (propre) processus de contrle interne (cest rassurant pour le client), et tre transparent (critre de conance) : Je sais ce quil faut faire (car je le fais chez moi et pour moi), Je sais ce que vous attendez (car vos attentes sont semblables aux miennes) ; bncier, en cas daudit client, des rsultats de celui-ci pour samliorer ; on est toujours dans lamlioration continue. Pour le client : disposer du rapport de contrle du prestataire permet de mieux connatre quelles sont les mthodes mises en place ct prestataire ; faire voluer son processus de contrle interne par rapport au prestataire ; choisir le prestataire en fonction de son niveau de comptence en matire de matrise du contrle interne (activits du prestataire) ; aider la slection du choix du prestataire peut devenir un prrequis.

Dire dexpert
Selon Olivier Mauduit, associ chez Deloitte, si la pratique de SAS 70 est encore peu rpandue en France et en Europe, elle tend saccentuer fortement pour rpondre aux exigences rglementaires. Si actuellement tre SAS 70 est dj un atout lors des appels doffres pour les prestataires, il sera clairement dici quelques annes un standard incontournable et donc un facteur cl de succs pour celui qui en disposera.

Groupe Eyrolles

Chapitre 16

SA 8000

HISTORIQUE
La norme SA 8000 est ne aux tats-Unis la n de lanne 1997. Cest le Social Accountability International (SAI) qui est linitiative de son dveloppement auprs des entreprises. La volont du SAI est de certier les entreprises (SA 8000) et de pouvoir accrditer les organismes de certication qui sont habilits auditer les entreprises en rapport aux exigences de la norme SA 8000. Deux orientations sont prises par le SAI, la norme SA 8000 restant le vecteur central de ces deux orientations : grer les certications SA 8000 et accrditer les organismes de certication habilits conduire des campagnes daudits auprs des entreprises. Une estimation en 2008 a t faite concernant le nombre dindustries utilisatrices de la norme SA 8000 dans le monde : elles sont plus de mille deux cents lutiliser.

DFINITION
Les organisations, grce au SAI, sont devenues des organisations responsables au niveau social : en rassemblant des parties prenantes pour mettre au point des normes tablies sur un consensus ;
Groupe Eyrolles

en accrditant des organismes qualis pour vrier leur mise en uvre ; en promouvant la comprhension et en encourageant la mise en place de telles normes au niveau mondial.

94

Les normes

Conseil de surveillance
SAI sest dot dun conseil de surveillance (advisory board) compos dexperts issus des syndicats de travailleurs, du monde des affaires et des Organisations non gouvernementales (ONG). Ces experts couvrent une large palette de domaines : droits de lhomme, travail des enfants, droit du travail, socits dinvestissement socialement responsables, mais aussi techniques daudit et management de vastes chanes dapprovisionnement.

Devenir membre
Pour devenir membre du SAI, il faut reconnatre la validit de la norme SA 8000, dclarer publiquement sa volont de lappliquer puis de la mettre en uvre, et se faire certier Il faut aussi sengager rendre public un rapport annuel. Les membres du SAI sont de deux types : les entreprises de vente au dtail et les fabricants ou fournisseurs.

APPLICATION
RETENIR
La structure gnrale de la norme SA 8000 sinspire des normes ISO 9000 et ISO 14000 relatives au management de la qualit et au management environnemental.

Le plan gnral de la norme


Le plan gnral de la norme comprend quatre parties : Objectif et porte. lments normatifs et leur interprtation. Dnitions. Exigences de responsabilit sociale. Un investissement important en termes dengagements vis--vis de la loi, des institutions lgislatives, est demand aux entreprises qui souhaitent suivre la norme SA 8000. Cet investissement sinscrit dans le temps, durant toute la vie de lactivit de lentreprise. La norme SA 8000 concerne lensemble du personnel, les personnes qui travaillent dans lentreprise, cest--dire lensemble des lments qui sont en rapport

Groupe Eyrolles

SA 8000

95

avec le travail (Code du travail) et le droit des personnes. Lentreprise qui dcide de suivre la norme doit sassurer galement que ses partenaires respectent au mieux la norme SA 8000 ; il sagit presque dun code de dontologie o dthique de lentreprise. Lentreprise se doit dtre vigilante auprs des diffrents partenaires ; elle est en mesure de demander des preuves sur lauthenticit de la mise en place et du respect de la norme SA 8000 (chez les partenaires). Les principes cls de la norme sont : la sant et la scurit ; le respect des droits du personnel constituer des syndicats ; la main-duvre force ; linterdiction de discrimination ; la rmunration ; lusage des pratiques disciplinaires ; la dure du temps de travail ; le travail des enfants ; la mise en place dun service de management qui respecte les points numrs ci-dessus, ainsi que la surveillance de la dlit des fournisseurs de services suivre ces principes.

Le systme de management
Dans la partie relative au systme de management de la SA 8000, on trouve des exigences classiques dans les normes ISO 9000 et 14000 : politique ; revue de management ; reprsentants de lentreprise ; planication et mise en uvre ; contrle des fournisseurs ;
Groupe Eyrolles

rponse aux interrogations et prise de mesures correctives ; communication externe ; accs pour vrication ; dossiers.

96

Les normes

Rvision de la norme
SAI met la norme SA 8000 en accs libre sur son site Web et sollicite des remarques et suggestions en vue dune ventuelle rvision.

La certication SA 8000
SAI entend contrler toute la chane de certication et, cet effet, veut accrditer les auditeurs et les organismes certicateurs. SAI a prpar un guide lusage des auditeurs et des organismes voulant obtenir la certication pour aider les entreprises mettre en uvre la norme permettant dutiliser des mthodes de vrication sur la conformit. Ce guide sappelle Guidance Document . Lentreprise qui veut se faire certier en SA 8000 passera par les quatre phases classiques : Prparation. Dans cette phase, lentreprise se procure la norme, nomme un responsable de la mise niveau et effectue une valuation initiale de la situation an didentier les carts par rapport la norme. Mise niveau. Lentreprise comble les carts, tablit les procdures ncessaires et prpare les enregistrements. Audit de certication initial. Aprs un ventuel audit blanc, un organisme certicateur accrdit effectue laudit initial et dlivre un certicat valable pour une dure de trois ans. Audits de suivi. intervalles dnis, gnralement six mois ou un an, lorganisme certicateur effectue des audits de suivi, an de valider ou non le maintien du certicat.

Accrditation des organismes certicateurs


Le systme mis en place par SAI prvoit une accrditation pralable des organismes certicateurs qui seront ainsi habilits effectuer les audits tierce partie et dlivrer les certicats. Ce processus daccrditation inclut un audit de la politique, des procdures et de la documentation de lorganisme, et des audits de surveillance. Pour tre accrdit SA 8000, un organisme doit tre en conformit avec le guide ISO/CEI 62 et avec le SAI Guideline.

Groupe Eyrolles

SA 8000

97

DANGER
Laudit selon la SA 8000 prsente quelques difcults majeures, qui sont en fait repres dans les critres daccrditation.

Dire dexpert
Il y a plusieurs types daudits de certication initiaux. Aprs un ventuel audit blanc, un organisme certicateur accrdit ralise laudit initial et dlivre un certicat valable, en gnral, trois ans. Seuls les organismes certicateurs accrdits seront habilits effectuer les audits tierce partie et dlivrer les certicats. Ce processus daccrditation inclut un audit de la politique, des procdures et de la documentation de lorganisme et des audits de surveillance. Il est certain que cette norme rejoindra la nouvelle norme ISO 26000 de responsabilit sociale des entreprises.

Groupe Eyrolles

Chapitre 17

SOX

HISTORIQUE
Aux tats-Unis dans les annes 2000, les lois concernant la comptabilit et le suivi nancier des entreprises avaient connu de grandes irrgularits dans leurs rsultats ; le systme devait tre revu et contrl de manire optimale. La loi Sarbanes-Oxley a ainsi t promulgue an de stopper lhmorragie nancire et comptable de certaines grandes entreprises amricaines. RETENIR
Cest en 2002 que la loi Sarbanes-Oxley (ou SOX) est apparue suite aux nombreux scandales nanciers des tats-Unis (lentreprise Enron par exemple). La loi oblige lensemble des entreprises cotes en Bourse aux tatsUnis diffuser auprs de la Commission amricaine toutes les oprations de Bourse concernant les comptes certis et signs par les dirigeants des entreprises. Il sagit bien dune prise de responsabilit de la part du dirigeant ; il est le seul responsable devant la loi en cas de litiges. Il faut savoir que prs de 1 350 groupes europens sont sujets cette obligation (existence dintrts aux tats-Unis pour ces grands groupes europens). Les comptes publis et diffuss permettent la loi de connatre pnalement les responsables. Pour que la loi Sarbanes-Oxley soit correctement suivie, des auditeurs sont nomms auprs des entreprises ; leur statut dindpendants leur permet de rester neutres et dtre incorruptibles face aux nombreuses malversations nancires de la part de certains dirigeants dentreprise.

Groupe Eyrolles

DFINITION
Depuis n juillet 2002 de nouvelles obligations sont apparues pour les entreprises. Au plus haut niveau de lentreprise, une organisation de contrle et de responsabilit est mise en place par le conseil dadministration

100

Les normes

et par la direction gnrale. Une implication personnelle est demande ; le prsident ou le directeur gnral ainsi que le directeur nancier ont le devoir de valider et de signer les comptes de lentreprise pour prserver un ct impartial et incorruptible (dans la rdaction des rapports, des audits). Le conseil dadministration nomme un administrateur qui est indpendant du comit daudit ; il a pour mission de raliser les rapports daudit quand cela est ncessaire, et de participer au jugement des personnes physiques dans les affaires de corruption. En cas de fraudes, dinformations mensongres cest la suppression du parachute dor pour certains dirigeants, laquelle sajoute celle dautres avantages comme la prime lintressement, limpossibilit de faire des emprunts auprs de lentreprise, lannulation de mandat social

APPLICATION
La loi Sarbanes-Oxley, pour tre efcace, va devoir sappuyer sur des contrles internes au sein de lentreprise. En termes dorganisation, la norme SAS 70 permettra dapporter son exprience sur le sujet, grce une traabilit des activits lies au contrle interne ; elle apportera plus de transparence sur les activits de contrle interne, les processus nanciers de lentreprise. Proche de la norme SAS 70, il existe une dmarche dite COSO (Committee Of Sponsoring Organizations of the treadway commission) qui, elle aussi, a pour vocation de contrler les processus internes lis directement ou indirectement au cot de lentreprise.

Dire dexpert
La loi Sarbanes-Oxley concerne de plus en plus dentreprises. Le primtre est trs large, condition dtre prsent sur les marchs boursiers amricains. Cela amne une interrogation : le monde de la nance tant complexe et les enjeux trs importants, une telle loi devrait peut-tre ouvrir des portes auprs des autres places boursires mondiales (Londres, Paris, Tokyo, Shanghai) avec une instance de contrle mondiale. Les grands groupes cots en Bourse aux tats-Unis sans tre amricains sont obligs dtre en rgle avec la loi Sarbanes-Oxley, et donc de suivre les recommandations, de mettre en place ou de renforcer une structure de contrle interne des cots nanciers de lentreprise et de leurs liales, mme si elles ne sont pas physiquement bases aux tats-Unis.

Groupe Eyrolles

Les rfrentiels

Partie 2 LES RFRENTIELS


SANS RFRENTIEL, TOUT EST POSSIBLE AUSSI

102

Les rfrentiels

DFINITION
Inventaire dactivits ou de comptences ncessaires lexercice de ces activits.

Quest-ce quun rfrentiel ?


Les rfrences dun systme dinformation intgr dans des bases de donnes forment ce que lon appelle un rfrentiel . Il peut sagir : de donnes dont les applications ont besoin pour fonctionner, et qui sont stockes dans une base de donnes spcique appele donnes de rfrence . Exemple : les annuaires de lorganisation, mais aussi lensemble des applications mtier dune entreprise, les quipements. Rcemment, nous parlons de rfrentiel documentaire, base de donnes intgrant la documentation, les procdures, les modes opratoires, etc. ; dinformations utilises pour faire voluer une application. Le rfrentiel reprsente llment central dun systme dinformation. RETENIR
Ds que le rfrentiel a une diffusion large, on parle de standard ; ensuite dans le langage courant on parle de standard de facto (standard de fait).

Quest-ce quun rfrentiel de certication ?


Un rfrentiel est un ensemble de recommandations qui composent un produit industriel, ou un processus, ou un service. Un rfrentiel est labor au pralable par une organisation runissant un ensemble dexperts. Un rfrentiel peut saider dune norme, ou devenir une norme. Nous avons lexemple du rfrentiel ITIL qui sest dclin en la norme ISO 20000. Les rfrentiels de certication peuvent tre de deux types : les rfrentiels de certication des organisations, tels CMMI, COBIT, EFQM.
Groupe Eyrolles

les rfrentiels de certication des hommes, tel ITIL ;

Les rfrentiels

103

Un rfrentiel de certication comporte : les mthodes de mesure, danalyse, de test ou dvaluation ; les engagements pris par les prestataires ; la nature et le mode de prsentation des informations considres comme essentielles ; les caractristiques retenues pour dcrire les produits ou les services ; les modalits des contrles auxquels procde lorganisme certicateur ; les rles et les responsabilits attribus aux personnes en charge du rfrentiel ; un ensemble de processus, organiss en structure, en stratgie et en gestion des hommes.

Liste des rfrentiels analyss dans cet ouvrage


Rfrentiel Dnition Chapitre

ASL CISSP CMM et CMMI COBIT DSDM EFQM eSCM ISPL


Groupe Eyrolles

Gestion de ladministration dinformation daffaires Certication de la scurit du systme dinformation professionnel Mthode dvaluation et damlioration de la maturit des processus TI Dmarche de gouvernance pour les systmes dinformation Gestion de projet Agile sur les relations entre le mtier et le dveloppement Fondation europenne de la gestion de la qualit, prix EFQM Qualit de service en matire doutsourcing (entre client et infogrant) Relation entre client et fournisseurs concepts et terminologie, orientation MOA Ensemble de bonnes pratiques permettant doptimiser la qualit de services des DSI Une orientation satisfaction des services business (vision cycle de vie des services)

1 2 3 4 5 6 7 8 9 10 /

ITIL V2 ITIL V3

104

Les rfrentiels

Rfrentiel

Dnition

Chapitre

MOF OHSAS PCIE PMP PRINCE2 SPICE TICKIT TQM ZACHMAN

Version ITIL adapte lenvironnement Microsoft Management de la scurit lie la sant et la scurit au travail Passeport de comptences informatiques europen Les bonnes pratiques en matire de management de projet Gestion de projet fond autour des processus Pratiques importantes des projets de dveloppement ou de maintenance logiciel Systme de management de la qualit appliqu la conception doutils informatiques Management total de la qualit Reprsentation de larchitecture systme dune entreprise sous deux dimensions

11 12 13 14 15 16 17 18 19

Groupe Eyrolles

Chapitre 1

ASL

HISTORIQUE
ASL (Application Information System) a t dvelopp la n des annes 1990 an dassurer la gestion, le management, la maintenance et le support des applications. ASL 2 est sorti en Hollande le 19 mai 2009, sa traduction en langue anglaise est prvue lautomne 2009. Aucune traduction franaise nest prvue dans limmdiat.

DFINITION
RETENIR
Le but de la bibliothque de services dapplication (ASL) est le dveloppement professionnel dadministration dapplication, en offrant un cadre dans lequel ces processus sont complmentaires les uns par rapport aux autres. Le cadre sert aussi pour catgoriser au mieux les pratiques qui ont t dveloppes. En plus du cadre, ASL contient un glossaire uniforme. En utilisant la terminologie contenue dans ce glossaire, les parties concernes par la gestion dapplications sont dans une meilleure position pour communiquer lune avec lautre.

Beaucoup dorganisations deviennent de plus en plus dpendantes de leur systme informatique pour ce qui est des processus primaires. Par consquent, le rle dadministration dinformation daffaires devient plus important ; il traduit des demandes dutilisateurs dans les spcications fonctionnelles (recommandations). Ladministration dinformation dtermine lavenir des systmes informatiques pertinents. Elle garantit quil y a un alignement optimal entre les systmes informatiques et les processus daffaires, tant maintenant que dans lavenir. Ce champ dopration est celui que nous pouvons le mieux dsigner sous le terme renseignements provisioning .

Groupe Eyrolles

106

Les rfrentiels

Dans une telle situation, un client devra indiquer que les demandes de sa propre organisation sont des informations qui font partie de ladministration ; elles garantissent lobtention des services externes. Il sagit de la responsabilit nale de la fonction dadministration dinformation daffaires. Pour fournir le soutien aux organisations dans lamlioration de leur administration dinformation daffaires, un modle de processus de domaine public est disponible : il sagit de la bibliothque de services dinformation daffaires (BiSL). La BiSL dcrit les processus primaires, cest une fonction dadministration dinformation daffaires au niveau de la stratgie, du management et des oprations. Concernant lamlioration des processus, il est recommand dutiliser le rfrentiel ITIL ; il assure lentretien des processus dadministration, surtout appliqus dans le champ dinfrastructure technique. La bibliothque de services dapplication (ASL) est de plus en plus utilise pour amliorer ladministration dapplication.

APPLICATION
Processus Objectif

Cycle du management organisationnel Cycle du management applicatif Processus de management Maintenance

Dveloppement dune perspective future de la structure du service TI, et traduction de cette perspective dans les politiques vises linnovation de la structure du service TI. Dveloppement dune stratgie long terme pour les applications diffrentes. Contrle collectif de processus excutoires pour les services et les applications. Processus nourris par le niveau dcision/ contrle et oprationnel. Vision du futur trs prsente. Optimisation de lutilisation dapplications existantes au sein des processus oprationnels. Emploi des ressources minimales et limitation de la refonte des processus oprationnels. Administration de changement : mcanisme pour linventaire et la gestion des priorits. Distribution : contrle et distribution dapplication. Modication des applications en prenant en compte les nouvelles exigences des changements survenant dans ou lextrieur de lorganisation. Changements importants prsents aux modles de donnes, au logiciel et la documentation.
Groupe Eyrolles

Processus de communication Amlioration et rnovation

ASL

107

Services

Applications

Systme de dcision

Cycle du management organisationnel

Cycle du management applicatif

Systme de contrle

Processus de management

Systme oprationnel

Maintenance

Amlioration et rnovation

Processus de communication

Groupe Eyrolles

Chapitre 2

CISSP

HISTORIQUE
CISSP (Certied Information System Security Professional) a t dvelopp par lInternational Information Systems Security Certication Consortium (ISC2). Cest une certication reconnue dans le monde, par lensemble des experts en scurit. Le but de CISSP est de contrler, dvaluer et de reconnatre lensemble des comptences des diffrents experts, en assurant la continuit de leur formation. La certication CISSP a t cre en 1995. Son dveloppement sest accru de faon sensible depuis cinq ans pour atteindre plus de 35 000 CISSP dans 104 pays ce jour. Depuis janvier 2005, lexamen du CISSP est en franais. CISSP au niveau international demande une comprhension des concepts la fois franais et amricain, et ainsi dtablir une correspondance entre les diffrentes langues.

DFINITION
RETENIR
LISC dnit une aptitude gnrale dans la connaissance en scurit. Tout le savoir-faire reprsente une base de connaissances la disposition des experts pour leurs activits de tous les jours. Lintrt de la certication CISSP est de mesurer son niveau de comptence tant au niveau des analyses des risques que des connaissances techniques.
Groupe Eyrolles
2

Le programme de la certication ISC2 dtermine dix domaines : contrle daccs ; scurit applicative ;

110

Les rfrentiels

continuit des oprations et plan de reprise en cas de sinistre ; scurit des dveloppements dapplications et des systmes de cryptographie ; scurit de linformation et gestion du risque ; loi, investigations et thique ; scurit des oprations ; scurit physique ; modle de scurit informatique ; scurit des tlcommunications et des rseaux.

APPLICATION
tre CISSP nest pas une chose simple, il faut remplir certaines conditions : prouver que lon a quatre ans dexprience de la scurit ; correspondre un code thique et rpondre un ensemble de questions relatives son parcours personnel ; passer un QCM de 250 questions ; faire valider les informations fournies par un tiers. Comme pour tout rfrentiel, un audit de temps autre peut tre effectu an de vrier les connaissances. Une fois la certication acquise, il faut maintenir leffort et obtenir un nombre de points dnis par priode de trois ans, dans le but de garder un haut niveau de comptences.

Groupe Eyrolles

Chapitre 3

CMM et CMMI

HISTORIQUE
La conception de CMM (Capability Maturity Model) a t ralise par Watts Humphrey, ingnieur du DoD (Department of Defense) amricain an dtre en mesure de donner des informations concrtes aux problmes de la qualit suite des pannes de logiciels. Ds 1986, le DoD nana le Software Engineering Institute (SEI) an de dvelopper un modle de maturation des entreprises au regard de la qualit logiciel. Luniversit Carnegie Mellon, situe aux tats-Unis, a t choisie pour lhberger. Voici les grandes dates de lhistoire du CMM : 1987, cadre de rfrence ; 1988, le SEI publie la mthode SCE (Software Capability Evaluation) ; 1990, le SEI publie la mthode SPA (Software Process Assessment) ; 1991, publication de la version 1.0 du SW-CMM (Capability Maturity Model for Software), totalement arrte en 2005 ; 1993, CMM version 1.1 plus connu sous labrviation SEI-CMM ; 1994, mthode CBA IPI ; 1998, CMM version 2.0 draft C arrt ; 2001, lancement de CMMI version 1.0 (Capability Maturity Model Integrated), vision largie au systme dinformation ;
Groupe Eyrolles

2002, CMMI version 1.1 accompagn des mthodes dvaluation SCAMPI (Standard CMMI Appraisal Method for Process Improvement) ; 2006, parution de la version 1.2 du CMMI.

112

Les rfrentiels

Rapports avec les autres normes et/ou rfrentiels


Norme et/ou rfrentiel Rapport

SW-CMM ISO/IEC 15504

CMMI est lhritier de SW-CMM (daprs Richard Basque, CMMI, Dunod, 2004). CMMI est parent dISO 9001:2000 et est quivalent ISO/IEC 15504 (SPICE). Il comporte le cycle de vie dni par la norme ISO/IEC 12207:2008. Mis au point par le Project Management Institute (PMI), est contrairement CMMI une mthode de conduite de projet. Les deux guides pourraient converger utilement. Mis au point par le SEI, concerne la gestion des achats. Il sera vraisemblablement intgr dans la version 2.0 de CMMI. quivaut lensemble form par CMMI et SA-CMM. Conu par le SEI, sert valuer la maturit dune entreprise en regard de CMMI. Le CMM a donn naissance au CMMI qui concerne les aspects systmes des dveloppements. Sapplique la gestion du personnel et est en voie de dveloppement.

PMBOK (Guide to the Project Management Body of Knowledge) SA-CMM

ICMM (Integrated Capability Maturity Model) SCAMPI CMMI P-CMM

DFINITION
RETENIR
Cest un modle dvaluation et damlioration de la maturit des process logiciels et technologiques fond sur lexprience, prenant en compte la dynamique volutive. Il sagit dune rfrence par rapport laquelle va tre mesur lcart de maturit.

lvaluation par rapport une rfrence en vue de comparaison ; lvaluation dun cart en vue de la dnition dactions damlioration vers des objectifs.

Groupe Eyrolles

Il peut tre utilis deux ns distinctes :

CMM et CMMI

113

Il est structur en processus cls qui dnissent des activits mettre en uvre ainsi que des dispositions prendre.
Indiquent Capacit du processus Atteignent Buts Sadressent Excution institutionnalisation Dcrivent Activits infrastructure Niveaux de maturit Contiennent Secteurs cls du processus Organiss par Caractristiques communes Contiennent Pratiques cls

APPLICATION
Le modle CMM est fond sur une chelle progressive de cinq niveaux de maturit (initial, reproductible, dni, gr, optimis). Le niveau de maturit dune organisation est dtermin par lexamen de ses pratiques et procdures de gestion.
5 Optimis 4 Gr 3 Dfini 2 Reproductible
Groupe Eyrolles

1 Initial
Source : schma selon le SEI.

114

Les rfrentiels

Niveau 1 : Initial
Les procdures, les fonctions, les modes opratoires, les processus sont mal dnis.

Entre

Initial

Sortie

Ce qui caractrise ce niveau : une production avec une qualit alatoire ; une population de pionniers, de hros ; une succession de crises non prvues ; pas denseignement tir des difcults ou des erreurs ; un va-et-vient du savoir-faire.

Niveau 2 : Reproductible
ce niveau, les processus sont crits globalement ; il y a une utilisation de rfrentiels et de standards.

Entre

Sortie

Reproductible

Ce qui caractrise ce niveau : lexistence dune discipline dans lorganisation de la production, bien que des variations subsistent encore dune entit lautre ; lexistence de plans, de prvisions avec des estimations plus ables et des actions correctives ;
Groupe Eyrolles

CMM et CMMI

115

pas de compromis sur la qualit, et une vie au quotidien beaucoup plus facile.

Niveau 3 : Dni
Les processus sont dnis et documents, il y a existence de modes opratoires.

Entre

Sortie

Dfini

Ce qui caractrise ce niveau : une capacit quivalente entre les diffrentes entits qui constituent la production informatique ; des risques dcroissants car il y a une cohrence et une communication entre les diffrentes entits ; une capitalisation systmatique (enseignements tirs), une rutilisation du savoir-faire, une prvention.

Niveau 4 : Gr
Les processus sont dnis, ils sont galement bien documents, quantis et mesurs. Les actions sont aussi clairement dnies, ainsi que les rles et les responsabilits de chacun.

Entre
Groupe Eyrolles

Sortie

Gr

116

Les rfrentiels

Ce qui caractrise ce niveau : des mtriques/indicateurs mis en place et exploits ; des retours dexprience possibles car les processus sont cohrents (les comparaisons ont un sens) ; un programme qualit ; une valuation des impacts lis aux volutions des processus.

Niveau 5 : Optimis
Les processus sont matriss, leurs interfaces sont identies, les donnes de lentreprise sont utilises pour lamlioration continue de lensemble des services. La documentation est claire, et lexprience est capitalise.

Entre

Sortie

Optimis

Ce qui caractrise ce niveau : lamlioration continue des processus ; la gestion des changements ; la performance individuelle et collective suivie.
Groupe Eyrolles

CMM et CMMI

117

Dire dexpert Lorsque lon souhaite mettre en uvre un projet CMMI, par quoi devons-nous commencer ?
Comme pour tout projet de mise en uvre dun rfrentiel, il ny a pas spciquement de bon moment pour commencer. Il est toutefois de meilleur augure de dbuter un tel projet avant une crise. Si lentreprise attend la crise pour mettre en uvre un projet CMMI, les risques peuvent se trouver accrus et le danger de commettre des erreurs dans la mise en place du projet est plus grand. Le mieux pour lentreprise qui veut tre efcace et/ou efciente est de commencer le plus tt possible, lorsque tous les acteurs seront prts suivre, grer, prendre le temps ncessaire la russite du futur projet.

Parmi les rfrentiels existants, deux prdominent, CMMI et ITIL ; les deux sont-ils complmentaires ou antinomiques ? Ils sont assez complmentaires. Avec CMMI, ce sont les tudes qui sont essentiellement impactes, tandis que, dans le cas de ITIL, le service impliqu est la production. Nonobstant, avec les nouvelles versions de CMMI, la production est impacte, et avec la version 3 de ITIL, nous nous trouvons au centre mme de toute la stratgie de lentreprise. CMMI doit rester au cur des applications en ce qui concerne la qualit dintgration logicielle. Des liens avec ISO 20000 sont-ils envisageables ? La mise en place de CMMI est de suivre un ensemble de recommandations an dlaborer un modle de maturit sur cinq niveaux. Cette chelle est applicable une bonne qualit rfrentielle. De son ct, ISO 20000 est aussi oriente vers une analyse de maturit de lentreprise, mais ici, au contraire de CMMI, cest lorganisation de lentreprise qui est en cause.
Source : Armand Gauthier Consultant Q-Labs, Journal du Net du 18 septembre 2006.

Groupe Eyrolles

Chapitre 4

COBIT

HISTORIQUE
Le rfrentiel COBIT (Control Objectives for Information and related Technology) dnit les contrles, les pratiques et les processus informatiques formels devant tre mis en place, ainsi que les rsultats minimaux quils sont censs gnrer. Il a t dvelopp en 1996 par lISACA (Information Systems Audit and Control Association), relay en France par lAFAI (Association franaise de laudit et du conseil informatiques).

DFINITION
Le rfrentiel COBIT est reprsent dans un cube, cela permet de lutiliser suivant plusieurs perspectives : qualitatif : qui comprend des aspects de cots et de dlais ; duciaire : qui comprend les aspects duciaires, lefcacit et lefcience des oprations, le respect des lois et rglements, ainsi que la abilit de linformation ; scurit : qui comporte lui-mme trois composantes, la condentialit, lintgrit et la disponibilit.

APPLICATION
Ces trois perspectives sont dclines selon sept critres :
Groupe Eyrolles

efcacit : faire correspondre au but souhait les moyens mis en uvre ; efcience : le surplus de qualit amen par lefcacit ; condentialit : les informations ne sont pas divulgues ;

120

Les rfrentiels

Critres dinformation

Qualit

Fiduciaire

Scurit

Processus IT

Processus

Activits

Personnel

Applications

Source : Delvaux Conseil.

intgrit : tre certain que les donnes personnelles soient respectes ; disponibilit : retrouver parfaitement linformation change ; conformit : ressemble parfaitement au projet dni ; abilit de linformation : sur quoi lon peut compter sans se tromper.

Les ressources
Elles sont au nombre de cinq : les donnes structures et non structures ; les moyens technologiques ; les installations ; les personnes (formation, comptence, capacit).
Groupe Eyrolles

les applications programmes et manuelles ;

Technologies

Ressources IT

Installations

Domaines

Donnes

COBIT

121

Les processus
Des activits formant un ensemble de processus lis des objectifs de contrle mobilisent les ressources. Les processus sont regroups en quatre domaines. Planication et organisation Ce domaine couvre la stratgie et les tactiques qui concernent la direction gnrale et la direction du systme dinformation (DSI). Ils doivent ofcialiser lidentication des moyens permettant linformatique de contribuer le plus efcacement possible la ralisation des objectifs commerciaux de lentreprise et renforcer sa position sur le march. Acquisition et installation Ce domaine concerne la ralisation de la stratgie informatique. La DSI pilote la mission au sein de lentreprise ; il y a identication, acquisition, dveloppement et installation des solutions informatiques, et intgration de celles-ci dans les processus commerciaux. Livraison et support Ce domaine concerne la livraison des prestations informatiques exiges. La direction de linformation pilote, la DRH et les services scurit participent (formation). Surveillance Ce domaine permet au management dvaluer la qualit et la conformit des processus informatiques aux exigences de contrle, ce qui fait appel aux quipes daudits pour des campagnes daudits organisationnels, techniques et qualit. LES NOUVEAUTS
Commercialisation du COBIT V4.1 le 25 mars 2008. Il est accompagn dun cdrom contenant une version numrique en couleur. La prsentation de la version franaise est strictement identique la version originale.
Groupe Eyrolles

Cette nouvelle version donne de meilleures dnitions des principaux concepts. Exemple : lobjectif de contrle volue vers une pratique de management. Plusieurs objectifs de contrle ont t regroups dans le but dune meilleure cohrence de lensemble.

122

Les rfrentiels

Dire dexpert Principales diffrences avec COBIT V4


Les contrles applicatifs ont t retravaills an de les rendre plus efcaces. Il en rsulte une liste de 6 contrles applicatifs au lieu des 18 de COBIT 4.0 avec des dtails additionnels provenant des pratiques de contrle COBIT, 2e version. La liste des objectifs mtiers et informatiques de lannexe I a t amliore sur la base dun nouveau regard rsultant des travaux de recherche mens par lcole de management de luniversit dAnvers (Belgique). Le domaine S est devenu SE , pour Surveiller et valuer . Le contenu des objectifs de contrle a t clari et recentr, la mise jour du cadre de rfrence de COBIT a signicativement modi les objectifs de contrle. Des entres et des sorties ont t ajoutes pour illustrer ce dont les processus ont besoin (entres) et ce qui est en principe attendu deux (sorties). Les activits et les responsabilits qui y sont associes ont galement t prsentes. Les entres et les objectifs activits remplacent les facteurs critiques de succs de COBIT 3e dition. Les mtriques sont dsormais fondes sur une dclinaison cohrente dobjectifs mtier, informatique, processus et activit . Les ensembles de mtriques de COBIT 3e dition ont aussi t rviss et amliors pour les rendre plus reprsentatifs et plus mesurables.
AFAI, Cobit 4.1, volutions, 25 mars 2008, PricewaterhouseCoopers.

Groupe Eyrolles

Chapitre 5

DSDM

HISTORIQUE
DSDM (Dynamic Systems Development Method) est un rfrentiel de gestion de projet de la catgorie des mthodes agiles. DSDM a t dvelopp en Grande-Bretagne ds 1994. Depuis 1996, ce rfrentiel est diffus dans le monde.

DFINITION
Les neuf principes fondamentaux de DSDM : Une forte implication de lensemble des clients internes (utilisateurs). Une relle autonomie de la part des quipes DSDM pour des prises de dcisions, des choix raliser. Le produit, le bien, le service, est exploitable et utilisable le plus souvent possible. La conformit aux attentes des directions mtiers est primordiale. Une volution par thme permettra de trouver la solution. Les changements, les volutions durant llaboration sont rversibles. Les rapports permettent de faire ressortir les besoins initiaux. Le cycle de vie est jalonn de tests.
Groupe Eyrolles

Un esprit dquipe est indispensable entre les contributeurs, les utilisateurs.

124

Les rfrentiels

APPLICATION
tude de faisabilit

tude de business

Modle fonctionnel itratif

Mise en uvre

Conception et ralisation itratives

tude de faisabilit
Lobjectif de cette tape est de dcider sil est propice dexcuter le projet en question. On estime les cots, la valeur ajoute souhaite. Dans cette tape, on fournit un rapport de faisabilit et un plan global de dveloppement . On dploie de temps autre un prototype dont lobjectif est dtablir la faisabilit technique.

tude business
Cette partie sert lexposition des spcications. On dcrit les fonctionnalits que lapplication permet en les priorisant dans un livrable dnomm Dnition du domaine industriel , mais galement quels types de personnes sont intresss par lapplication, de manire les impliquer. On analyse aussi larchitecture du systme dans un document nomm Dnition de larchitecture systme . Puis, en tenant compte du plan global de dveloppement, est ralis un Plan global de prototypage .

Groupe Eyrolles

DSDM

125

RETENIR
DSDM est une mthode agile dont lutilisation se fonde sur les relations entre le mtier et le dveloppement.

Diffrents types de rles sont dnis par DSDM : le visionnaire dveloppe la vision ; le sponsor est la personne qui veut et achte le produit ; lambassadeur se trouve face aux utilisateurs et les reprsente ; le conseiller dlivre de lexpertise mtier et rpond aux demandes de lambassadeur. La toute dernire version de DSDM, la V4, apporte un cadre plus centr sur les besoins de lentreprise. Cette version nest actuellement pas disponible en franais, mais lancienne version, la V3, existe en langue franaise et peut tre tlcharge.

Ce quil y a de nouveau dans DSDM version 4


Il existe plusieurs petites modications dans le guide. Ci-dessous vous trouverez quelques diffrences avec la version 3 : le cycle de vie est largi pour inclure des phases de prprojet et daprs-projet ; la description de chaque phase inclut des conseils pratiques ; un processus pour des projets de maintenance est inclus ; chaque description de rle est largie avec des conseils pratiques, ainsi quune vue personnalise des activits raliser durant le cycle de vie.
Source : www.dsdmfrance.com, site franais du rfrentiel DSDM.

Les bnces du rfrentiel DSDM


De manire gnrale :
Groupe Eyrolles

une productivit thorique qui devient 2,5 fois suprieure un dveloppement traditionnel en cascade ; des dveloppements inutiles que lon supprime, et le respect des livraisons dans les dlais et cots plus objectifs ;

126

Les rfrentiels

la livraison des fonctions mtier qui apporte de la valeur ajoute de faon rapide travers le temps ; une mthode qui a fait ses preuves en Grande-Bretagne ; la conduite de projet type rupture par rapport aux autres approches traditionnelles, avec pour objectifs de gagner en productivit et daugmenter la satisfaction des clients naux. Il sagit dun rfrentiel qui est en continuelle volution. Le champ dapplication du rfrentiel DSDM ne se limite pas au monde TI. Il a pour objectif dapporter des solutions viables aux diffrentes problmatiques que peuvent vivre les entreprises, et cela dans un dlai le plus court possible. DSDM concerne un nouveau concept, le systme dentreprise , qui englobe les personnes, les processus, les structures et la technologie. Les principaux domaines dans lesquels le rfrentiel DSDM a dmontr son efcacit sont : le prototypage du processus de lentreprise ; la gestion des changements au sein de lentreprise ; la nouvelle culture dentreprise.

Lapproche qualit
Le rfrentiel DSDM rpond aux critres de qualit de services quattend lutilisateur. Il est en conformit avec les objectifs de lentreprise. Dans certains environnements, les activits lies la qualit sont perues comme tant trs onreuses (parfois mme comme un mal ncessaire), car elles accroissent les tches administratives et engendrent des frais supplmentaires. Dans un projet DSDM, lensemble des activits doit concourir llaboration dun livrable qui est le produit nal ; cest pourquoi la conception de produits intermdiaires, qui augmente considrablement le nombre dinspections ncessaires, nest pas recommande.

Ce quil convient de faire


Groupe Eyrolles

Limiter les contrles intermdiaires, faire un effort sur les spcications, avoir un processus de dveloppement adaptable et modulable.

Chapitre 6

EFQM

HISTORIQUE
LEuropean Foundation for Quality Management (EFQM) a t cre en 1988 par 14 multinationales avec laide de la Commission europenne.

DFINITION
RETENIR
Le but que se donne lEFQM est de promouvoir un rel cadre mthodologique dans lamlioration des processus qualit.

facteurs
Management des comptences (RH) Vision stratgique Objectifs & Leadership Management des savoirs (KM) Investissements, ressources, partenariat
Groupe Eyrolles

produits
Impact sur le personnel Projets & Processus Impact sur les clients Impact sur lenvironnement Performance mesure

valuation permanente

Source : EFQM.

128

Les rfrentiels

Les huit principes de base : Orientation et rsultats. Orientation clients. Leadership. Management par les processus. Dveloppement et implication du personnel. Apprentissage, amlioration et innovation. Dveloppement des partenaires. Responsabilit sociale et socitale. Ils sont compatibles avec les processus du management de la qualit ISO 9001:2000.

Les domaines applicables


Ce rfrentiel sapplique toute entit qui souhaite amliorer ses pratiques de management en les orientant exclusivement vers les rsultats. Les conditions de succs sont : lengagement de la direction ; lauto-valuation des performances sur des domaines cibls ; le benchmarking ; la construction de son propre modle. Les limites et les difcults sont : le ROI qui est difcilement chiffrable (miser sur du long terme) ; ne pas faire dauto-valuation des plans daction ; valuer les mthodes sans faire de rapprochement entre les entits.

Groupe Eyrolles

EFQM

129

APPLICATION
La carte des principes et leurs critres de cotation
Principe Exigences

Orientation et rsultats

tablir la politique, la stratgie, les objectifs et les cibles. Collecter et analyser les rsultats de manire quilibre. Dvelopper les activits de veille.

Orientation clients

couter, comprendre et intgrer les besoins et les attentes des clients. Dvelopper la dlisation et la conqute des clients partir de leurs attentes. Comprendre, mesurer et amliorer la satisfaction. Anticiper les besoins futurs. Identier et comprendre les besoins de toutes les parties intresses.

Leadership

tablir une direction et des nalits claires pour lorganisation. Dnir des valeurs, une thique et une culture lies aux nalits. Favoriser limplication et la reconnaissance. Anticiper et soutenir les changements.

Management par les processus

Concevoir les produits et services comme les rsultats de processus transverses. Dcliner la stratgie et les objectifs travers le systme de processus. Amliorer les processus en fonction des besoins des parties prenantes. Anticiper les risques lis aux processus.

Dveloppement et implication du personnel


Groupe Eyrolles

Dvelopper les comptences et le potentiel des individus et des quipes. Dvelopper la participation du personnel aux activits damlioration. Impliquer et reconnatre les individus. Soutenir les personnes dans la mise en uvre des changements.

130

Les rfrentiels

Principe

Exigences

Apprentissage, amlioration et innovation

Chercher amliorer de manire systmatique et dans tous les domaines. Identier, hirarchiser et piloter les actions. Soutenir les dispositifs dapprentissage et de partage des bonnes pratiques. Favoriser linnovation et les comparaisons de pratiques, en interne et en externe.

Dveloppement des partenaires

Dvelopper un rseau de partenaires. Construire des relations durables et fondes sur des bnces mutuels. Partager la connaissance et travailler en commun. Piloter les partenariats par la valeur et raliser les ajustements ncessaires.

Responsabilit sociale et socitale

Dvelopper lthique en interne et en externe, et la culture de responsabilit. Respecter et aller au-del de la rglementation. Promouvoir des relations de conance avec les reprsentants de la socit. Anticiper les risques lis lactivit.

Pour chacun des huit principes, une cotation est tablie : 5 : Lentreprise est excellente. 4 : Lentreprise est trs bonne. 3 : Lentreprise nest pas experte, mais elle reste bonne. 2 : Lentreprise nest pas trs performante. 1 : Lentreprise nest pas performante. 0 : Lentreprise est vraiment derrire les autres, tout est faire.

Nature de lvaluation
Groupe Eyrolles

Il sagit dune valuation versus audit en comparaison avec lISO 9001:2000 (source : Prix, Modle & dmarches EFQM, Patrick Iribarne, Stphane Verdoux, AFNOR, 2005).

EFQM

131

ISO 9001

EFQM

Identier des exigences. Les intituls commencent par : Lorganisme doit . Servir de rfrence pour mesurer un cart. Rassembler tous les standards applicables toute relation contractuelle client/fournisseur. Focaliser sur le systme de management qualit et atteindre lobjectif qualit.

Identier des hypothses de travail. Les intituls commencent par : Ceci peut impliquer . Servir de modle pour une comparaison. Rassembler les meilleures pratiques en vue damliorer les rsultats importants pour lorganisation. Focaliser sur le systme dentreprise des rsultats cls globaux.

Dire dexpert
Qui peut prtendre au prix EFQM ? Toutes les entreprises si elles le souhaitent ; il sagit dune dmarche volontaire . Tous les ans, une entreprise est sacre la premire entreprise en termes de dmarche EFQM et remporte le prix EFQM. Les entreprises sinscrivent lEFQM pour concourir au prix EFQM.

La notion de dveloppement durable nest pas encore tout fait matrise par les entreprises, lEFQM et les Nations unies travaillent en ce sens. En complment, lEFQM se rapproche du guide SD 21000 qui concerne la responsabilit socitale des entreprises (droits de lhomme, environnement).

Groupe Eyrolles

Chapitre 7

eSCM

HISTORIQUE
Laxe client-fournisseur est mis en valeur. Les entreprises soucieuses de faire reconnatre la qualit des services quelles fournissent sont de plus en plus nombreuses adopter des rfrentiels de certication. Preuve en est, les succs grandissants dITIL, de CMMI, de COBIT Tous ces modles ont une caractristique commune, celle dvaluer des activits issues de processus mtiers. LInformation Technology Services Qualication Center (ITSqc) du Carnegie Mellon a coordonn le dveloppement de leSCM-SP. La version 2 deSCM-SP a t publie en avril 2004. Pour eSCM-CL, la version 1.1 a t publie en 2006. Cration de lassociation internationale AeSCM en 2006. LES NOUVEAUTS
Fin 2007, leSCM a vu le jour en France au travers de lassociation franaise AeSCM.

DFINITION
Parmi les nombreux concepts dvelopps dans le rfrentiel eSCM, trois lments sont importants : la gestion des contrats, la gestion des fournisseurs et la gestion du sourcing.
Groupe Eyrolles

Gestion des contrats


En conjonction avec la gestion des niveaux de services (Service Level Management).

134

Les rfrentiels

En sassurant que les accords et les contrats sont aligns aux besoins dnis dans les Services Level Agrement ou SLAs. Une tierce partie est responsable de la fourniture de biens ou de services qui sont ncessaires la fourniture de services des TI. Exemples de sous-traitants : revendeurs de matriel et de logiciels, fournisseurs de rseau et de tlcoms et organisations dexternalisation, contrat et chane de sous-traitance. Une base de donnes ou un document structur sert grer les contrats de sous-traitance tout au long de leur cycle de vie. Cette base contient les attributs cls de tous les contrats avec les sous-traitants, et doit faire partie du systme de gestion des connaissances du service.

Gestion des fournisseurs


La gestion des fournisseurs ou SM (Supplier Management) est le processus consistant grer les fournitures et les services, an dobtenir une qualit de service sans discontinuit et dassurer la valeur des investissements. Les activits cls sont : identier les besoins mtier et prparer les dossiers mtier ; valuer et recruter de nouveaux fournisseurs ; tablir les nouveaux contrats. Les types de fournisseurs de services sont au nombre de trois : interne, gnralement des fonctions mtier intgres lunit mtier quelles servent ; nance, technologies de linformation, ressources humaines, logistique, ne faisant pas partie du cur de mtier mais rassembls dans une unit de services partags ; externe, les clients peuvent avoir recours des fournisseurs externes, fourniture de connexions WAN, support matriel.
Groupe Eyrolles

Gestion du sourcing
La notion de sourcing est lun des concepts forts dvelopps par le Carnegie Mellon au sujet du rfrentiel eSCM. Ci-dessous quelques formes de sourcing.

eSCM

135

Internalisation (insourcing)

Utilisation de ressources internes dans la conception, le dveloppement, la transition, etc., de services nouveaux, modis ou rviss. Recours un fournisseur externe pour grer les services des TI. Combinaison dinternalisation et dexternalisation. Relation dans laquelle deux organisations collaborent troitement pour atteindre des buts communs ou des avantages mutuels. Relocalisation de fonctions mtier entires, gnralement sur un site moins coteux. Services informatiques partags (applications la demande) assurs par un fournisseur de services logiciels. Va plus loin que lexternalisation des processus mtier, car elle inclut les processus de domaine et lexpertise mtier.

Externalisation (outsourcing)

Co-sourcing

Partenariat

Externalisation des processus mtier-BPO Fourniture de services logiciels

Externalisation des processus de connaissance (KPO)

RETENIR
LeSCM a t conu en deux volets : lun est destin au fournisseur, leSCMSP (SP pour Service Provider), lautre au client, leSCM-CL (CL pour Client).

eSCM-SP (une solution pour le sourcing)


Type de capacit Dnition

Gestion des connaissances

Se situe au niveau de linformation et de la connaissance des systmes documentaires. Ds lors, lensemble des collaborateurs a un accs facile la connaissance. Se situe au niveau du management et de la motivation du personnel dlivrer les services, en tenant compte de la comprhension et du ressenti au plan des comptences dont lorganisation a besoin. /

Groupe Eyrolles

Gestion des hommes

136

Les rfrentiels

Type de capacit

Dnition

Gestion de la performance

Se situe au niveau de la gestion de la performance du fournisseur, et assure au client les besoins en capacit. Se situe au niveau de la relation et des changes avec les parties prenantes (partenaires, fournisseurs) dans la dlivrance et lassurance de la qualit des services. Identie activement la gestion des droits et la disponibilit assurer le service des technologies de linfrastructure. Inclut le management des risques associ avec la scurit, la condentialit, linfrastructure technologique et la gestion de la continuit. Se situe au niveau de la gestion des processus qui sont supports par les besoins des clients et analyss par eux. Cela permet de ngocier un accord formel, dcrivant comment lorganisation supporte ces recommandations. Se situe au niveau du transfert dexigences du client et de la nature du dploiement du fournisseur. Se situe au niveau de lamlioration continue des services. Se situe au niveau du transfert des comptences entre le fournisseur et le client, ou un autre fournisseur de service. Lobjectif est dassurer une continuit de service pendant la phase de transition.

Gestion des relations

Gestion des technologies

Gestion des risques

Contrats

Conception des services et des dploiements Dlivrance des services Transfert du service

LeSCM-SP est un rfrentiel de 84 capacits, structur sur trois dimensions : le cycle de vie du service ; les domaines daptitude ;
Groupe Eyrolles

le niveau daptitude. Le cycle de vie couvre quatre phases : linitialisation, la livraison, la clture, lon going.

eSCM

137

Une pratique ne peut tre associe qu : 1 phase de cycle de vie 1 domaine daptitude 1 niveau daptitude Elle se positionne dans lespace par rapport ces trois dimensions :

Clture 5 niveaux daptitude On Going Cycle de vie

Livraison

Initialisation

10 domaines daptitude
Source : site bms.info

eSCM-CL (un complment dans la relation client)


Type de capacit Objectif

Gestion de la stratgie du sourcing Gestion de la gouvernance Gestion des relations Gestion de la valeur Gestion du changement organisationnel Gestion des hommes

Utiliser les ressources internes ou externes. Grer la stratgie, la structure et les hommes. Assurer un change constructif avec les clients. Raliser le cycle de vie de lentreprise, aligner la TI sur les services clients et mtiers. Comprendre le ux ncessaire et volutif du changement. Souvrir la valeur humaine, lthique dentreprise, se parfaire dans la responsabilit sociale des entreprises. Mettre en place une gestion centralise de lensemble de la documentation de lentreprise. /

Groupe Eyrolles

Gestion des connaissances

138

Les rfrentiels

Type de capacit

Objectif

Gestion des technologies Gestion des risques

Matriser lvolution technologique et utiliser ses bienfaits. Mettre en uvre une cellule apte surveiller les risques de toute nature.

Sept capacits spciques en ce qui concerne le sourcing :


Capacit lie au sourcing Objectif

Analyse des opportunits du sourcing Approche du sourcing Planication du sourcing valuation du service fourni

Analyse fonctionnelle des oprations courantes de lorganisation. Selon le type dexigence dni par le client, choisir les approches de sourcing. La faon dimplmenter, de mesurer et de planier les actions lies au sourcing. Aide pour les fournisseurs dans leur capacit crer de la valeur, des bnces dans la dlivrance des services. Ngociation des termes et des engagements de type contrat de service, SLA, etc. Transfert des ressources entre le client et le fournisseur an de mettre en place un plan de transition, didentier les difcults, de faire travailler les quipes ensemble, de faire connatre la documentation, dassurer le niveau de service requis par le client. Sassure que les exigences souhaites par le client sont respectes au regard du fournisseur.

Accord sur le sourcing Transfert de service

Gestion du service de sourcing

Le cycle de vie adress par leSCM-CL tend chacune de ses capacits aux capacits de leSCM-SP. Il adresse les activits de sourcing au niveau de lorganisation cliente.
Groupe Eyrolles

LeSCM-SP et leSCM-CL ont tabli cinq niveaux daptitude qui rpondent un besoin damlioration de service : Niveau 1 : Fournir les services. Niveau 2 : Rpondre systmatiquement aux besoins.

eSCM

139

Niveau 3 : Traiter la performance organisationnelle. Niveau 4 : Amliorer proactivement la valeur. Niveau 5 : Maintenir lexcellence.

APPLICATION
La certication
La nalit du programme de certication est de fournir une manire able, objective et crdible pour mesurer le degr de conformit de tout fournisseur avec les pratiques de leSCM-SP et eSCM-CL. LITSqc assure la formation des valuateurs. La certication est valide pendant deux ans. Le certicat apporte la preuve que lorganisme est conforme aux exigences de leSCM-SP pour un niveau daptitude spcique sur des services identis. La liste de tous les organismes certis est disponible sur le site de lITSqc.
Source : fonde sur Carnegie Mellon, documentation ITSQC, The eSourcing Capability Models.

Dire dexpert
Pourquoi sintresser leSCM, quels sont les enjeux ? LeSCM est orient essentiellement vers le sourcing. An dy rpondre, les concepteurs de leSCM du Carnegie Mellon ont ralis une grille sous trois perspectives. Chacune des dimensions indique des pratiques clairement identies et bien documentes. Ce rfrentiel possde deux grands axes, lun tourn vers le fournisseur, lautre vers le client. La qualit de service, lefcacit attendue est demande tant au fournisseur de service quau client dans ses changes avec le fournisseur. LeSCM-SP nest pas en conit avec les autres rfrentiels tels que ITIL ou encore le CMMI, au contraire, leSCM est une combinaison de ITIL, de CMMI et de COBIT. LeSCM apporte galement une analyse de maturit, ct client avec leSCM-CL et ct fournisseur avec leSCM-SP, pouvant permettre lorganisation de recevoir une certication.

Groupe Eyrolles

Chapitre 8

ISPL (Euromthode)

HISTORIQUE
Euromthode est un rfrentiel qui date de 1990. Euromthode propose un rfrentiel commun harmonisant les relations de contrats entre les clients et les fournisseurs. Le projet Euromthode offre de dynamiser le march europen des systmes dinformation. Ce rfrentiel dote les acteurs dune culture commune an de favoriser lefcacit dans leurs changes techniques et commerciaux. La vise dEuromthode nest pas de remplacer les mthodes existantes de type Merise, SDMS, mais de mettre en place et de rpandre un rfrentiel dont lobjectif est la gestion des phases dadaptation dun systme dinformation (de type appel doffres, slection des fournisseurs, acceptation des plans davancement, recette, dploiement). Euromthode a de trs fortes ressemblances avec le rfrentiel ITIL. En 1995, la Commission centrale des marchs (CCM) cre une antenne franaise, dont le rle est daider la mise en uvre du rfrentiel Euromthode en France.

DFINITION
Euromthode est un ensemble de concepts. Parmi les chapitres, citons : le rfrentiel de relations entre les clients et les fournisseurs et lexpression des besoins en prenant en compte les besoins futurs au regard de lexistant. Euromthode tient compte dune analyse objective de la ralit, tant de la complexit que des facteurs de risques composant un projet.
Groupe Eyrolles

142

Les rfrentiels

RETENIR
Un lment essentiel dans la prise en compte dEuromthode est la notion de cycle de vie par des points de contrle validant et supervisant les processus raliss.

Euromthode est un cadre de rfrence et une bonne mthode dexpression des besoins. Il est utile pour les matres douvrage et est un bon produit, diffus au bon moment, avec une bonne documentation. De plus, il a reu un accueil trs positif des enseignants. Mais son existence est encore trs peu connue dans la profession, le terme Euromthode est ambigu (rfrentiel ou mthode) et le terme Euro soppose, de faon rductrice, Mondial . Les cibles et objectifs ne sont pas trs clairs et la mthode de travail est peu adapte une rapide mise en pratique, sans compter quil y a un manque cruel de guides pratiques. Enn, les dmarches de normalisation sont longues et il y a peu ou pas de promotion des travaux.

APPLICATION
Ds 2000, Euromthode change de nom pour devenir ISPL (Information Services Procurement Library) ; il sagit dun ensemble de bonnes pratiques lies aux projets. ISPL propose des guides spcialiss, issus dEuromthode. ISPL se dnit comme : un rfrentiel de bonnes pratiques ; un ensemble de phrases courtes, faciles retenir pour la gestion de projet ; un groupe dexperts qui peuvent schanger des informations, an de permettre les dveloppements ultrieurs dISPL ; un rfrentiel maintenu par une organisation pouvant former et certier.
Groupe Eyrolles

Chapitre 9

ITIL V2

HISTORIQUE
ITIL : Information Technology Infrastructure Library
Selon lOfce of Government Commerce (OGC), ITIL est une collection de livres (les spcialistes ITIL parlent de librairie) qui recense, synthtise et dtaille les meilleures pratiques dans la fourniture, la gestion et la dlivrance des services informatiques. Le projet initial est prsent en 1986 la direction du CCTA (depuis repris par lOGC) et entrane la cration dun groupe dutilisateurs (IT Infrastructure Management Forum) qui deviendra lInformation Technology Infrastructure Service & Management Forum (ITSMF). Les consultants lorigine du projet ont ensuite diffus la mthode dans les diffrents pays o ils sont passs. RETENIR
Lide initiale tait de dnir un rfrentiel pour recenser et cataloguer les meilleures pratiques en matire de gestion de production informatique.

Dix livres ont t dits sur cinq ans. Le premier livre dit en 1989 a t le Service Level Management. La deuxime version de la collection de livres ITIL a t lance en 2000 avec la fusion des dix livres prcdemment dits en deux livres.

ITSMF
Groupe Eyrolles

LITSMF est le groupe mondial des utilisateurs. LITSMF France a t cr en 2003. Une confrence annuelle regroupe les personnes intresses par ce rfrentiel et fait le point (exposs, ateliers) sur lvolution, limplantation et la pratique dITIL.

144

Les rfrentiels

Les certications
Les pratiques ITIL font lobjet de formations sanctionnes par des examens. Les certications sont valides par le Netherlands Examination Institute (EXIN), lInformation Systems Examinations Board (ISEB) et lAPMG (APM Group). Niveau de base, ITIL Foundation : concerne ceux qui sintressent ITIL. Vue gnrale et lments essentiels de la gestion des services IT. Niveau de praticien, ITIL Practitioner : pour ceux pratiquant la gestion des services IT. Prrequis : 2/3 annes dexprience en gestion du processus en question. Niveau de gestionnaire, ITIL Service Manager : concerne ceux qui implmentent les processus. Certicat de gestion des services IT. Prrequis : 2/3 annes dexprience en gestion des services TI.
Source : www.itsmf.fr (site de lassociation franaise des utilisateurs ITIL).

DFINITION
Noyau de la mthode ITIL
Les deux documents Support des services et Dlivrance des services dtaillent les processus et leurs interactions partir de cas concrets de production informatique. La mthode introduit un vocabulaire commun (incident, problme, changement, mais aussi contrat de service, continuit, disponibilit) lensemble des professions de la production informatique.

Quels objectifs ?
Une orientation client dans les limites de ce qui peut tre justi par son mtier : lutilisateur est au centre des proccupations de la direction informatique. Les besoins concrets sont dcrits dans des contrats de services. Lide force est que cest lutilisateur qui juge et qui sait ce dont il a besoin. Un cycle de vie : lensemble du cycle de vie de linfrastructure est couvert de la conception la mise en uvre et la gestion quotidienne. Exemple : lors du dploiement dune nouvelle application, il

Groupe Eyrolles

ITIL V2

145

faut prvoir la formation des oprateurs du service desk an quils puissent rpondre aux appels relatifs cette application. Une approche processus : la production informatique est vue comme un ensemble de processus visant rendre aux utilisateurs les services dnis dans les engagements de niveaux de services. Une amlioration continue : la satisfaction du client passe par une remise en cause permanente des acquis. Cest la mise en application de la boucle qualit (roue de Deming).

APPLICATION
Soutien des services (service support)
Le soutien des services se concentre sur les oprations au quotidien et sur le support aux services lis aux technologies de linformation.
Processus Objectif

Gestion des incidents (Incident Management)

Grer tous les incidents de bout en bout et permettre de restaurer le service oprationnel le plus vite possible. Prvenir et minimiser limpact sur les mtiers des incidents rcurrents dinfrastructure informatique. Utiliser des mthodes et des procdures standardises pour faire et abiliser les changements autoriss. Sassurer que tous les aspects techniques ont t analyss avant la mise en place. Avoir une image la plus complte et la plus jour possible de la conguration globale (matriels, logiciels).

Gestion des problmes (Problem Management)

Gestion des changements (Change Management)

Gestion des mises en production (Release Management) Gestion des congurations (Congurations Management)

Groupe Eyrolles

Fourniture des services (service delivery)


Elle concerne la planication et lamlioration long terme de la fourniture des services lis aux technologies de linformation.

146

Les rfrentiels

Processus

Objectifs

Gestion des niveaux de service (Service Level Management)

Proposer un catalogue de services. Offrir un niveau de service en adquation avec les accords (SLA) ; faire voluer cycliquement ce niveau de qualit; veiller la rentabilit. Prvoir les besoins futurs en capacit et en performance dans les dlais et les cots prvus. Surveiller et mesurer tous les composants de linfrastructure actuelle.

Gestion de la capacit (Capacity Management)

Gestion de la disponibilit (Availability Management) Gestion de la continuit (IT Service Continuity Management) Gestion nancire (Financial Management for IT services)

Aprs dtermination des besoins, sengager sur leur respect dans le cadre des niveaux de service. Sassurer que les services TI peuvent tre remis oprationnels dans les meilleurs dlais aprs une catastrophe. Calculer et exposer le cot global effectif des services fournis et permettre la refacturation (calcul du TCO).

Clients

Stratgie et relation client

Centre de services

Gestion des postes de travail

Soutien des services Gestion des niveaux de services


Gestion des incidents Gestion des problmes Gestion des changements Gestion des mises en production Gestion des configurations

Fourniture des services


Gestion des niveaux de services Gestion de la capacit Gestion de la disponibilit Gestion de la continuit Gestion de la scurit Gestion financire

Gestion des oprations


Gestion des rseaux et des serveurs

Gestion des oprations


Groupe Eyrolles Gestion des applications et des bases de donnes

Fournisseurs (externes/internes) Source : OGC.

ITIL V2

147

Dire dexpert Donner un sens son projet ITIL


Alignement des bonnes pratiques ITIL sur les besoins de lentreprise. Partir des attentes du business, des objectifs stratgiques de lentreprise. Adapter le processus la culture dj en place, ou la culture au processus souhait. Justier la valeur apporte auprs du client dun processus, dune tche, dun contrle, dune interaction.

Considrer limplmentation de ITIL comme un projet denvergure Planier limplmentation des processus sur le long terme. Estimer les moyens humains, technologiques et nanciers en consquence. Ne pas ngliger linvestissement ncessaire au risque dobtenir un retour infrieur aux attentes. Prparer son organisation ITIL Prparer lorganisation, par une information pertinente, lapport des processus, au travers dune bonne comprhension des enjeux de ITIL. Sensibiliser le management et les acteurs du projet ITIL aux concepts et enjeux. Former les acteurs concerns aux fondamentaux de ITIL an quils en acquirent le vocabulaire et les grands principes de fonctionnement. Former les propritaires et les gestionnaires de processus la pratique, au travers de sessions approfondies et orientes mise en uvre .

Groupe Eyrolles

Chapitre 10

ITIL V3

HISTORIQUE
En dcembre 2005, lOfce public britannique du commerce (OGC) a annonc la mise disposition la n de lanne 2006 dune version 3 de la librairie ITIL. 40 pays ont contribu la conception dITIL V3. La version franaise dITIL V2 est constitue de deux ouvrages, qui sont le support des services et la dlivrance des services . ITIL V3 est compos de cinq ouvrages : Service Strategy, Service Design, Service Transition, Service Operation, Continual Service Improvement. Un ouvrage dintroduction est en complment des cinq core books. Cet ouvrage, en langue anglaise, a t traduit en franais par une quipe dexperts.

Les lacunes de la version 2


La version 2 prsente quelques lacunes : La gestion des incidents utilisateurs et des incidents dexploitation est lie au mme processus. Il ny a pas de gestion des connaissances. La gestion des assets nest pas reconnue. La version ne sintresse quau service de la production. La vision est oriente IT.
Groupe Eyrolles

Il ny a aucune responsabilit en termes de service.

150

Les rfrentiels

DFINITION
Le cycle de vie au centre de la dmarche
Livre 1 : Stratgie des Services La stratgie des services rpond aux besoins en IT exprims par les utilisateurs. Elle va analyser les diffrents besoins (leur faisabilit, leurs cots, leurs impacts stratgiques pour lentreprise). Livre 2 : Conception des Services La conception des services va prendre en considration les besoins qui auront t retenus par le livre Stratgie des Services . Ces besoins vont intgrer un Catalogue de Services . Le livre Conception des Services va mettre en uvre les tudes ncessaires an de rpondre aux cahiers des charges : quelles capacits technologiques ; quel niveau de disponibilit ; comment sera gre la relation avec les fournisseurs ; quels seront les impacts ; comment aborder la scurit.

Livre 3 : Transition des Services Lorsque les besoins ont t analyss par les tudes, ils sont proposs au livre Transition des Services . Ce dernier sera charg dtudier le changement et de rpondre la mise en production des services. Les diffrentes TI mises en uvre seront intgres dans une CMDB (gestion des congurations). Livre 4 : Exploitation des Services Ds que les services sont mis en production, le livre Exploitation des Services se chargera dassurer le bon maintien de la qualit des services rendre au client. Il assurera une bonne gestion des incidents utilisateurs, des vnements (alertes), ainsi que des problmes. Le lien entre les utilisateurs et le livre Exploitation des Services passera par la fonction Centre de Services . Livre 5 : Amlioration Continue des Services La bonne vie du service souhait pralablement par lutilisateur sera suivie tout au long de son cycle de vie par le livre Amlioration Continue

Groupe Eyrolles

ITIL V3

151

des Services . Au travers de ce service et du suivi de celui-ci, lutilisateur mettra de nouveaux souhaits an de rpondre la stratgie de lentreprise et la satisfaction de ses clients. Ces nouveaux besoins seront pris en charge par le livre Stratgie des Services .

Les livres de la version 3


Stratgie des Services (Service Strategy) Ce volume indique comment le SI est align sur la stratgie de lentreprise, ou comment la TI apporte de la valeur lentreprise. Ce document est destination des DSI et de la DG. Il met laccent sur laspect nancier, sur ce quil faut mettre pour justier dun ROI. Conception des Services (Service Design) Dans ce livre, on dtermine comment concevoir un service an quil soit implmentable dans le SI. On y retrouve le processus o lon dnit le SLA qui existait en V2. Transition des Services (Service Transition) Ce service dcrit la gestion des changements, des mises en production et des congurations. Cest le moyen de vrier que tout est bien document (gestion des connaissances) avant de passer en production. La gestion des congurations V2 a t complte dans la V3 par la gestion des assets. Exploitation des Services (Service Operation) Ce livre concerne les activits quotidiennes. On y retrouve les deux processus de la gestion des incidents et des problmes. Toutefois le processus de gestion des incidents de la V2 a t dcoup en plusieurs processus (vnements, demandes, accs).

Les nouveauts dITIL version 3


Les principales nouveauts de la version 3 dITIL sont :
Groupe Eyrolles

Introduction de la notion de cycle de vie de la gestion des services, avec une focalisation sur la qualit des services TI et sur les services TI de bout en bout . Organisation oriente service de telle sorte que les efforts fournis aillent vers le client et lutilisateur, plutt que vers la technologie.

152

Les rfrentiels

Prise de conscience par les responsables de projet de limportance dITIL. Transformer de plus en plus les DSI en organisateur de mtier . Recentrage trs fort autour du mtier de lentreprise, source de prots et de diffrenciations. Lalignement sur le mtier est synonyme defcacit. LES NOUVEAUTS
Quelques processus supplmentaires noter que la version 3 nest pas une rvolution du rfrentiel ITIL mais une volution. En effet, les processus existant en V2 sont bien prsents dans cette version et sintgrent au cycle de vie des services dnis dans les cinq livres : la gestion des besoins (identier lensemble des besoins utilisateurs) ; la gestion du portefeuille (catalogue des services actuels et en prvision) ; la gestion des fournisseurs (gestion de la relation clients/fournisseurs) ; la gestion des connaissances (maximiser lutilisation des connaissances).

Publications complmentaires aux cinq livres


Le schma ci-dessous reprsente les interfaces entre ITIL, les normes et les rfrentiels.
Noyau CMMI eSCM
Do de main xpe es rtis e

Mthodes de t Re ee gouvernance s nc s sta pec sa nce nd t d ais te ar es Amlioration continue nn p ds Co om c


s de tu cas de

ISO 20000 SOX ISO 9001 v2008 ISO 27001 ISO 14001

Six Sigma PMBOK PRINCE2TM EFQM COBIT

Conc

eptio

Modle

ns

Stratgie

ratio

tin

ITIL
T s ran itio n

Am

li

Ai

de

ud

e
Qualifications

Ga

in

a sr

pi

Source : OGC.

Groupe Eyrolles

our ion p nt duct e Intro anagem le m

ue

Op

con

n tio ora

de

Adap

tabil

it

Am lio rat ion c on tin ue

ITIL V3

153

APPLICATION
ITIL V3 Amlioration continue des Services (Continual Service Improvement)
Ce livre est fond sur la roue de Deming (PDCA ou Plan-Do-CheckAct : planication, ralisation et mise en uvre, contrle, nouvelles dcisions damlioration). STRATGIQUE
Un cycle en quatre phases ou roue de Deming (Planier-Raliser-VrierAgir) pour la gestion des processus attribue Edward Deming. Planier : concevoir ou rviser les processus qui soutiennent les services des technologies de linformation. Raliser : mettre en uvre le plan et grer les processus. Vrier : mesurer les processus et les services des IT, les comparer avec les objectifs et produire un reporting. Agir : planier et mettre en uvre les changements an damliorer les processus.

Le livre prsente le modle de tout processus damlioration permanente en sept tapes : Dnir ce quil faudrait mesurer. Dnir ce quil est possible de mesurer aujourdhui. Collecter les donnes de base. Traiter les donnes collectes pour crer les informations sur les indicateurs de performance. Analyser les informations cres. Restituer et diffuser les informations selon les cibles (tableaux de bord). Implanter les actions correctives. Le livre prsente des aspects de lamlioration permanente :
Groupe Eyrolles

les rapports et tableaux de bord sur les services ; le mesurage des services (prise de mesure et collecte des donnes de base) ; le retour sur investissement des amliorations ;

154

Les rfrentiels

les questions spciques dues limplication des organisations mtiers dans lamlioration permanente des services ; la gestion des niveaux de service et lamlioration permanente des services. RETENIR
Les ides cls suivantes sont un guide pour mesurer les services : valuation de la valeur ajoute des services par des mtriques ; dveloppement de points de rfrence pour les mesures ; dveloppement de la maturit des valuations ; dsignation pour favoriser un niveau de qualit.

Portefeuille des services

Catalogue des services Service pipeline Services existants Services nouveaux ou en prvision

Stratgie des services

Conception des services

Transition des services

Exploitation des services Services retirs

Amlioration continue des services SLM Clients (besoins) SCM QS

Fournisseurs Clients

Rutilisable Non utilisable En sommeil

Vision stratgique des services


Source : OGC.

Ce besoin peut tre : lamlioration dune application mtier ; lintgration dune nouvelle fonction ;

Groupe Eyrolles

Sur ce schma, nous reprsentons le cycle de vie de lamlioration des services. Le client met un besoin qui sera pris en charge par le service stratgie.

ITIL V3

155

un dfaut rencontr au sein dune application systme ou mtier ; un souhait dvolution mis par la direction de lentreprise. Quelle que soit lorigine de la demande, une expression de besoin sera remise au niveau de la Conception des Services . Cette expression de besoin prend en charge la possibilit, le cot et la faisabilit du projet. Aprs la ralisation des nouveauts, mises jour et amliorations envisage, la Transition des Services se chargera de mettre en production la ralisation du changement. Une tude concernant le changement et son implication au sein des mtiers de lentreprise doit tre apporte. Les niveaux de services correspondant la demande sont tudis et intgrs (Service Level Management SLM). Une Qualit de Service , de maintien, de support doit tre prvue (QS), gnralement source de cration de nouveaux indicateurs. Lensemble sintgrera dans une gestion de la chane logistique (SCM). LExploitation des Services se chargera dassurer les ventuels dysfonctionnements. Cette chane de valeur sera suivie au travers de lAmlioration Continue des Services (pilotage, tableau de bord, rles et responsabilits). Lintgralit des nouveaux services apports aux utilisateurs se situe au niveau du service pipeline ; ce service est galement charg des prvisions . Les services dj existants sont nomms au service catalogue . Ainsi par la coordination du service pipeline et du service catalogue , nous avons lensemble des services SI disponibles au sein des mtiers de lentreprise. Ils forment le service portfolio . Les services qui ne sont plus utiliss sont soit dans une position rutilisable , soit non utilisable , ou en sommeil . Ce principe permet davoir un catalogue de services toujours jour des informations ncessaires lentreprise.

Dire dexpert
Avec ITIL V3, nous vrions que ce qui a t mis en place en termes de services est ralis. Cela doit tre fait sur le plan oprationnel mais aussi tout au long du cycle de vie du service et au niveau de la valeur mtier. Un systme de mesure et de reporting est mis en place. La V3 prconise de matriser le cycle de vie des services, de ltude dopportunit jusqu la production.

Groupe Eyrolles

156

Les rfrentiels

ITIL permet de fournir un systme de management (comprenant les politiques dentreprise) et une structure permettant de grer et de mettre en uvre efcacement tous les services. Lorganisation et le pilotage par les processus deviennent un gisement damlioration de la performance.

DANGER
Les difcults rencontres par les entreprises selon les avis des clients : lorganisation des TI passe trop de temps sur la rsolution des incidents ; il y a beaucoup trop dincidents majeurs sur les infrastructures des TI ; les projets dvolution des infrastructures sont mal grs ; lorganisation des TI matrise mal toutes les mises en production ; les budgets informatiques ne sont pas bien matriss ; les investissements informatiques ne sont pas justis.

Avantages de ITIL pour les entreprises


Les avantages sont principalement lis aux nouveauts de la version 3 : Une volution des DSI qui endosseront un rle dorganisateurs de mtier . Un recentrage trs fort autour du mtier de lentreprise, source de prots et de diffrenciations. Lalignement sur le mtier est synonyme defcacit. Une prise de conscience collective du poids de linformation et tout particulirement de la TI. Une organisation oriente service de telle sorte que les efforts fournis aillent vers le client et lutilisateur, plutt que vers la technologie. La volont de mettre en place une approche industrielle dans un milieu o la maturit et la culture ne sont pas totalement appropries. Lindustrialisation signie efcience ou productivit. Une capacit apprhender, comprendre et matriser le fonctionnement oprationnel. La connaissance et la rptition des actes oprationnels sont des acquis et correspondent la culture dentreprise.
Groupe Eyrolles

Chapitre 11

MOF

HISTORIQUE
MOF (Microsoft Operations Framework) est un rfrentiel conu par Microsoft. Cest un ensemble de bonnes pratiques (best practices) servant la ralisation des processus, des procdures, des modes opratoires, des rles et des responsabilits attachs chaque processus ou activit dun processus. La structure MOF vient du rfrentiel de bonnes pratiques ITIL en adjoignant les particularits de la plateforme Microsoft. La structure MOF : offre des enseignements proportionnels au style de dploiement, de planication et dvaluation de gestion des processus oprationnels informatiques en soutien aux solutions de services stratgiques ; fait rfrence des rles ; ce qui signie que plusieurs rles peuvent tre assigns une personne ; est un modle gnrique ; il est donc fondamental dajuster bon nombre des recommandations pour lutilisation dans votre organisation.

DFINITION
RETENIR
MOF est une adaptation et une extension par Microsoft de la mthode ITIL limplmentation et au support de ses produits en exploitation.
Groupe Eyrolles

MOF nest pas une mthodologie, cest un regroupement : de principes et de modles dvelopps par Microsoft ; de bonnes pratiques.

158

Les rfrentiels

MOF repose sur trois modles : le process model ; le team model ; le risk model.
RLE Gestion des contrats de service Gestion financire et budgtaire Gestion de la continuit de service Gestion de la disponibilit Gestion de la performance et des capacits Gestion des ressources OPTIMISER CHANGER RLE Gestion des changements Gestion des releases

REVUE

Gestion des configurations Administration systme Gestion de la scurit

REVUE

REVUE
Supervision et contrle

Hot line / Help desk Gestion des incidents Gestion des problmes

SUPPORTER

EXPLOITER

Stockage Ordonnancement/ Lancement

REVUE

Impression Entres/Sorties Gestion rseau Gestion Directory et Autorisations

RLE

RLE

Les six rles dnis par MOF


Rle Contenu

Release et conguration

Grer la relation entre les tudes techniques et fonctionnelles et la production. Grer les changements et lintgration en production des volutions.
Groupe Eyrolles

Grer la conguration. Infrastructure Dnir et planier les besoins dvolution des infrastructures. Dnir le partage des ressources. Optimiser les ressources existantes. /

MOF

159

Rle

Contenu

Support

Fournir aux utilisateurs, aux clients, un point de contact unique et de support. Sassurer que les incidents sont traits de bout en bout. Suivre les contrats et les engagements de service.

Opration

Planier et suivre lexploitation. Administrer le systme et les infrastructures.

Scurit

Dnir et mettre en uvre la politique de scurit. Assurer la scurit des donnes au quotidien.

Partenaires

Dnir les contrats de service. valuer la qualit de service. Entretenir la relation avec les clients et les fournisseurs.

APPLICATION
MOF dcrit des rles et responsabilits pour chaque tape des processus, il permet de sassurer que le processus est excut tel quil est document. Par exemple, un gestionnaire dincidents assure quun incident sera rsolu dans les dlais spcis. Il faut : documenter et publier le processus ; dnir les indicateurs cls de performance ou KPI pour valuer le processus ; amliorer leffectivit et lefcacit du processus ; veiller ce que le personnel concern soit sufsamment form.

Groupe Eyrolles

Chapitre 12

OHSAS

HISTORIQUE
Le British Standards Institution (BSI organisme de normalisation britannique), en collaboration avec un ensemble de consultants et dorganismes de normalisation en environnement, est lorigine du rfrentiel.

DFINITION
RETENIR
Cest un systme de management de la scurit avec deux objectifs majeurs : mettre en place une organisation pour contrler les risques lis la sant et la scurit au travail tout en sassurant que les risques sont rduits pour les employs et les parties externes employes.

Les secteurs viss concerns sont les entreprises, les tablissements, les usines, les institutions, les associations publiques ou prives. Les activits vises sont les produits, les services de lorganisation. LES NOUVEAUTS
LOHSAS 18001 a t revu en juillet 2007 et devient la norme BS OHSAS 18001:2007. Au 1er juillet 2009, lOHSAS 18001:1999 disparat au prot de la norme BS OHSAS 18001:2007.
Groupe Eyrolles

162

Les rfrentiels

APPLICATION
Les cinq grandes phases du rfrentiel
Amlioration continue

1
Revue de direction

5 2

Politique de la sant et de la scurit du travail

Contrle et actions correctives Mesure de la performance et surveillance Accidents, incidents, actions correctives prventives Audit, enregistrement et management des enregistrements

Planification Identification des dangers et contrle des risques Exigences lgales et autres exigences Objectifs et programme de management de la SST

3
Mise en uvre et fonctionnement Structure et responsabilit Formation Sensibilisation, comptences Consultation et communication, documentation Contrle des documents et des donnes Matrise oprationnelle Prvention et rponse aux prventions durgences

Rfrentiel OHSAS 18001

Rsultats daudits Indicateurs de surveillance et de mesure

Revue de direction

Fiches dcart tats davancement du programme

Revue de direction OHSAS 18001

Groupe Eyrolles

OHSAS

163

Dire dexpert
OHSAS 18002 : systmes de management de la sant et de la scurit au travail. Lignes directrices pour la mise en uvre de lOHSAS 18001 (version 2000).

Ce passage dun rfrentiel (recommandation dun ensemble de bonnes pratiques) une norme (un ensemble dexigences) signie que lOHSAS 18001 devient, avec la norme BS OHSAS 18001:2007, une vritable norme nationale britannique (British Standard pour BS) correspondant au management de la sant et de la scurit. Elle attribue les exigences permettant aux entreprises de contrler leurs risques en sant et scurit au travail (SST) et damliorer leurs performances. LOHSAS a t amliore et complte dans sa nouvelle version, cest une volution du rfrentiel, mais en rien une rvolution. Lun des objectifs tait de rendre cette nouvelle norme compatible avec les normes de la srie ISO 900X et ISO 1400X. Les principales volutions entre BS OHSAS 18001:2007 et OHSAS 18001: 1999 : la BS OHSAS 18001 devient une norme, et plus un rfrentiel ; des dnitions ont t revues et dautres (nouvelles) ont t ajoutes ; une amlioration qualitative avec la norme ISO 9001:2000 ; une amlioration signicative de la responsabilit sociale des entreprises au regard de la sant des personnes avec la norme ISO 14001: 2004 ; de nouvelles exigences ont t ajoutes pour la consultation ; la sant prend une place privilgie. Les entreprises dj certies par le rfrentiel OHSAS 18001:1999 ont une priode dune dure de deux ans pour effectuer la mise jour avec la nouvelle norme BS OHSAS 18001 :2007. La priode de transition prendra n le 1er juillet 2009. Les entreprises qui souhaitent obtenir la certication de la norme BS OHSAS 18001 peuvent tre aides par la norme OHSAS 18002:2000, consistant en lignes directrices pour la mise en uvre de la norme OHSAS 18001.

Groupe Eyrolles

Chapitre 13

PCIE

HISTORIQUE
Dans les entreprises modernes, lutilisation de la micro-informatique et des outils bureautiques de type traitement de texte, base de donnes et tableur sont choses courantes. La certication PCIE (Passeport de comptences informatique europen), mise en place en 1997 par le Conseil europen des associations de professionnels des technologies de linformation (CEPIS), permet aux salaris et aux tudiants de valider leurs acquis en comptences informatiques.

DFINITION
La certication PCIE comprend deux niveaux de validation, rpartis sur un ensemble de sept modules. Les deux niveaux de validation sont : le PCIE standard comprenant le passage de quatre modules au choix ; le PCIE complet pour lequel il faut obtenir la totalit des sept modules. Les sept modules se dnissent ainsi : les connaissances gnrales du poste de travail et de son environnement ;
Groupe Eyrolles

la gestion documentaire, tre apte retrouver une information ; la ralisation dun tableau ; lutilisation dune base de donnes ; lutilisation dun traitement de texte ;

166

Les rfrentiels

lutilisation du Web, la recherche, la navigation ; lutilisation dune messagerie.

Dire dexpert
Au 31 mars 2004, 3 672 000 candidats ont pass 13,2 millions de tests PCIE dans 135 pays et en 32 langues. En France, 170 000 tests ont t effectus depuis 2002 , prcise Olivier Goulas, le responsable marketing et commercial dEuro-Aptitudes, la socit charge de dlivrer lagrment aux centres de formation franais. De manire gnrale, et paradoxale, il est difcile dtablir un bilan sur lutilisation du PCIE. Les informations sont dans chaque organisme de formation et nous navons pas encore mis en place de systme de reporting.
Source : Journal du Net du 27 fvrier 2004, Olivier Goulas de EuroAptitudes.

Groupe Eyrolles

Chapitre 14

PMP

HISTORIQUE
Project Management Professional (PMP) est un guide des bonnes pratiques en management de projets. Cette certication est rpandue dans le monde entier. Elle permet davoir une bonne gestion des hommes, des cots, des dlais et de la technologie. La profession de chef de projet avec la certication PMP reconnat le rle et la fonction du chef de projet. Cette certication est dcerne par le Project Management Institute (PMI), organisme amricain fond en 1969. Cette certication est tellement rpandue aux tats-Unis quelle est trs souvent demande lors des recrutements de chefs de projet.

DFINITION
RETENIR
La certication PMI donne la possibilit dacqurir laccrditation de Project Management Professional (PMP). Cette certication est trs respecte. Ce programme denseignement professionnel a reu laccrditation ISO 9001:2000.

Les avantages pour lentreprise


Groupe Eyrolles

Les avantages pour la personne

Utilisation dun corpus reconnu, le PMBOK (Project Management Body of Knowledge). Aide au dveloppement des employs en fournissant un cadre solide.

Augmente la valeur de la personne au sein de son entreprise. Avancement de carrire. /

168

Les rfrentiels

Les avantages pour lentreprise

Les avantages pour la personne

Validation des comptences projet. Rfrentiel unique de validation de projet.

Apporte de nouvelles opportunits demploi. Permet une reconnaissance professionnelle.

APPLICATION
La qualication, comme toute certication, nest pas aise. Il faut prouver ses comptences en gestion de projet et prsenter les projets sur lesquels la personne souhaitant obtenir le PMP a travaill. Un instructeur (PMI) vous indiquera si vous tes apte vous prsenter lexamen de certication et, si vous passez avec succs les diffrentes preuves de lexamen, vous devenez PMP. Il existe de nombreuses aides pour se prparer lexamen de certication : soit lintress intgre un centre de prparation dans le but de suivre le cursus amenant au PMP, soit il peut se prparer en saidant dune importante documentation et se procurer les supports de prparation lexamen de certication PMP du PMI en conformit avec le nouveau PMBOK Guide 3e dition.

Groupe Eyrolles

Chapitre 15

PRINCE2

HISTORIQUE
Simpact Systems Ltd cre en 1977 une mthode de gestion de projet baptise PROMPT. Le rfrentiel se fonde sur lvaluation continue du projet au regard du rsultat souhait. Le concept est lamlioration continue du service. Deux ans plus tard, en 1979, PROMPT est adopt par le Royaume-Uni comme norme dutilisation pour les projets TI. En 1989, PROMPT est remplac par PRINCE (PRojects IN Controlled Environments projets dans des environnements contrls). En 1996, PRINCE2 voit le jour : cette nouvelle version est plus exible et sadapte tous types de projet quelle que soit son envergure. LOGC (Organisation gouvernementale du commerce) est propritaire tant de PRINCE2 que de ITIL.

DFINITION
Le rfrentiel PRINCE2 est dni comme suit : Un projet est une couche fonctionnelle ajoute au sein dune organisation informatique. Un projet ne peut senvisager uniquement comme un projet technique, o lon demande aux acteurs dappliquer de nouveaux procds dorganisation. Un projet tient plus dun changement stratgique dune entreprise que dun projet dinfrastructure. Concevoir des processus dorganisation nest pas simplement un jeu de Lego . Le risque majeur est de raliser une immense documentation de processus stocke dans une armoire et de ne jamais russir sa mise en application, son exploitation.

Groupe Eyrolles

170

Les rfrentiels

Le niveau de dtail des tches, leur squence, ne se rduit pas une modlisation indpendante du contexte o elle sapplique.

PROCESSUS
PRINCE est divis en huit processus. Chaque processus est dsign par une abrviation : (SU) laborer un projet (EP) (IP) Initialiser un projet (IP) (DP) Diriger un projet (DP) (CS) Contrler une squence (CS) (MP) Grer la livraison des produits (LP) (SB) Grer les limites de squences (LS) (CP) Clore un projet (CP) (PL) Planier (PL)

Gestion dun projet dentreprise

Diriger un projet (DP)

Dmarrer un projet (SU)

Initialiser un projet (IP)

Contrler une tape (CS)

Grer les frontires dtapes (SB)

Clturer un projet (CP)

Grer la livraison du produit (MP) Commande du projet

Planifier (PL)

Source : PRINCE2.

Groupe Eyrolles

PRINCE2

171

Les huit processus sont regroups en quatre phases : Dmarrage (SU) Initialisation (IP) Excution (CS, MP, SB) Clture (CP) PRINCE2 est form de huit composants qui sont utiliss par les diffrents processus. Ces composants donnent la description remplir an quun projet soit men bien. Processus, composants et phases comportent trois aspects techniques : la planication fonde sur les produits, la technique de contrle qualit, et la technique de contrle de changements.

Certication
Il existe deux types de certication PRINCE2 : PRINCE2 Fondamental, vriant si une personne possde les connaissances spciques la gestion dun projet selon PRINCE2 ; PRINCE2 Praticien, garantissant la matrise dune gestion de projet selon PRINCE2.

APPLICATION
tape 1 : (SU) laborer un projet (EP)
Dcision GO NOGO en termes dutilit Processus dans lequel le projet est dni et o lon examine sil est utile. En pratique, cest une phase courte et rigoureuse o le responsable du projet collabore intensivement avec le commanditaire. Le projet est command ofciellement et le responsable dtermine alors la composition et lorganisation du projet. (SU1) Nommer lexcutif et le chef de projet (EP1) (SU2) Composer lquipe de gestion du projet (EP2)
Groupe Eyrolles

(SU3) Nommer lquipe de gestion du projet (EP3) (SU4) Prparer lexpos du projet (EP4) (SU5) Dnir lapproche du projet (EP5) (SU6) Planier la squence dinitialisation (EP6)

172

Les rfrentiels

tape 2 : (IP) Initialiser le projet (IP)


Gains attendus, chances Processus obligatoire dans tout projet PRINCE2, il sagit dune rexion qui permet de donner de solides bases au projet avant dagir. On y dtermine les rsultats escompts, le planning, les tches et les responsabilits de chacun. Ltape la plus importante de ce processus est le document dinitialisation de projet (PID/DIP). (IP1) (IP2) (IP3) (IP4) (IP5) (IP6) Planier la qualit (IP1) Planier le projet (IP2) Afner le cas daffaire et les risques (IP3) Crer les contrles du projet (IP4) Crer les dossiers du projet (IP5) Assembler le document dinitialisation du projet [DIP] (IP6)

tape 3 : (DP) Diriger un projet (DP)


Les grandes phases (DP1) Autoriser lInitialisation (DP1) (DP2) Autoriser un projet (DP2) (DP3) Autoriser un plan de squence ou un plan dexception (DP3) (DP4) Donner des directives appropries (DP4) (DP5) Conrmer la clture du projet (DP5)

tape 4 : (CS) Contrler une squence (CS)


Gestion des risques, incidents (CS1) (CS2) (CS3) (CS4) (CS5) (CS6) (CS7) (CS8) (CS9) Autoriser un lot de travaux (CS1) valuer la progression (CS2) Collecter les incidences de projet (CS3) Analyser les incidences de projet (CS4) Examiner ltat de la squence (CS5) Rapporter les points cls (CS6) Mener des actions correctives (CS7) Rfrer des incidences de projet (CS8) Rceptionner un lot de travaux achev (CS9)

Groupe Eyrolles

PRINCE2

173

tape 5 : (MP) Grer la livraison des produits (LP)


Ordonnancement, logistique (MP1) Accepter un lot de travaux (LP1) (MP2) Excuter un lot de travaux (LP2) (MP3) - Livrer un lot de travaux (LP3)

tape 6 : (SB) Grer les limites de squences (LS)


Capacit (SB1) Planier une squence (LS1) (SB2) Mettre jour le plan de projet (LS2) (SB3) Mettre jour le Cas dAffaire (LS3) (SB4) Mettre jour le recueil des risques (LS4) (SB5) Rapporter une n de squence (LS5) (SB6) Produire un plan dexception (LS6)

tape 7 : (CP) Clore un projet (CP)


Fin de projet (CP1) Prparer la n du projet (CP1) (CP2) Identier les actions de suivi (CP2) (CP3) valuer le projet (CP3)

tape 8 : (PL) Planier un projet (PL)


Planning et jalons (PL1) Concevoir le plan (PL1) (PL2) Dnir et analyser les produits (PL2) (PL3) Identier les activits et les dpendances (PL3) (PL4) Estimer (PL4) (PL5) Ordonnancer (PL5)
Groupe Eyrolles

(PL6) Analyser les risques (PL6) (PL7) Finaliser un plan (PL7)


Source : fonde sur OGC PRINCE2.

174

Les rfrentiels

Dire dexpert Les contributions de PRINCE2


Suivant PRINCE2, un projet possde un dmarrage, un milieu et une n structurs, tablis et planis. PRINCE2 expose une suite de processus couvrant toutes les activits indispensables la ralisation dun projet, du dpart la clture. PRINCE2 est un langage universel pour les clients, les fournisseurs, les utilisateurs et linformatique ; cette osmose aide les participants du projet cooprer ensemble selon des lignes communes. PRINCE2 est une approche processus de la gestion du projet ; comme toute approche de ce type, cela permet de dnir et de mettre en place les rles et les responsabilits de chacun. Un ensemble de contrle correspondant au processus permet de structurer la vie du projet. Le rfrentiel PRINCE2 prsente comment un projet peut tre divis et gr par tapes, ce qui permet de faire appel aux ressources uniquement lorsque cela devient ncessaire. Il sassocie parfaitement avec ITIL : les deux rfrentiels ont en commun lorganisme daccrditation (APMG) et partagent un certain nombre de points.

Groupe Eyrolles

Chapitre 16

SPICE

HISTORIQUE
Dans la ligne du modle CMM dautres sont apparus, dont le modle ISO SPICE en 1993. Le modle ISO SPICE (Software Process Improvement and Capability dEtermination) fait lobjet de la norme internationale ISO/IEC 15504 qui fournit une approche structure pour lvaluation de processus logiciel pour le compte dune organisation, dans les buts suivants : comprendre la situation de ses propres processus pour lamlioration de processus ; dterminer ladquation de ses propres processus par rapport une exigence ; dterminer ladquation des processus dune autre organisation pour un contrat.

DFINITION
Cest un modle deux dimensions et, pour valuer le niveau daptitude de chacun des processus, le modle dnit deux types dindicateurs : les indicateurs de ralisation de processus ou dimension processus. Pour chacun des processus, des pratiques de base sont identies ainsi que des produits du travail en entre et en sortie ;
Groupe Eyrolles

les indicateurs daptitude de processus ou dimension daptitude. Pour chacun des niveaux daptitude, des pratiques de management sont identies ainsi que des caractristiques de ralisation, de ressources et dinfrastructure.

176

Les rfrentiels

Le modle est constitu de six niveaux daptitude : Niveau 0, Incomplet : les pratiques de base ne sont pas mises en uvre ou le processus natteint que partiellement ses objectifs. Niveau 1, Ralis : les pratiques de base sont ralises et le processus atteint ses objectifs. Niveau 2, Gr : les activits du processus et les produits issus de ces processus sont grs. Niveau 3, tabli : les activits du processus sont effectues selon un processus standard dni au niveau de lorganisation. Niveau 4, Prvisible : le droulement du processus et ses performances sont mesurs. Niveau 5, En optimisation : le processus standard est en amlioration continue en fonction des objectifs de lorganisation. Il se dcrit en neuf documents : Introduction aux concepts fondamentaux. Modle de gestion de lingnierie des processus. Processus dvaluation du niveau daptitude. Guide de conduite de lvaluation. Modle dvaluation, guide des indicateurs, outils. Guide pour la qualication des valuateurs. Guide de mise en uvre de lamlioration des processus. Guide de dtermination des aptitudes des fournisseurs. Dictionnaire, vocabulaire et terminologie.

APPLICATION
La mise en application de SPICE est effectue lorsque lon veut faire une valuation de son niveau de maturit des processus logiciels. Deux dimensions entrent en ligne de compte : la dimension aptitude. Il faut se rfrer au guide pour lutilisation du rfrentiel ISO/SPICE en amlioration de processus, qui reprend lensemble des points dvelopps
Groupe Eyrolles

la dimension processus ;

SPICE

177

dans la norme ISO 9004-4 de 1993 concernant la gestion de lamlioration de la qualit. Une approche structure et par cycles est prsente an de conduire un programme damlioration. Les diffrentes tapes explicites dans le guide concernent : lanalyse de lexistant de la stratgie de lentreprise et lexamen de ses besoins ; linitialisation de la dmarche damlioration ; la prparation et la ralisation de lvaluation initiale des processus ; llaboration dun plan daction pour lamlioration, fond principalement sur une analyse des rsultats de lvaluation ; llaboration de la mise en uvre et le suivi du plan daction ; lanalyse puis la gnralisation des pratiques issues des actions damlioration. Lvaluation de processus fait donc partie de lune des tapes cls du cycle damlioration car elle permet dune part le diagnostic initial et, dautre part, la mesure de laccroissement daptitude, aprs la mise en uvre des actions damlioration.

Processus

Identification des changements

Identification de ladquation

valuation
Conduit Conduit

Amlioration continue des processus

Peut permettre

Choix daptitude prendre

Groupe Eyrolles

Structure du rfrentiel SPICE par processus


Source : site Wikipdia.

Chapitre 17

TICKIT

HISTORIQUE
Cest dans les annes 1990 que le rfrentiel TICKIT a vu le jour en Grande-Bretagne. Le rfrentiel a t modi an dtre compatible avec lISO 9001:2000, pour une prise en compte des exigences de la norme ISO 9001:2000 dans le monde du logiciel.

DFINITION
Il sagit dun rfrentiel de systme de management de la qualit appliqu la conception doutils informatiques.

APPLICATION
TICKIT est compos de trois documents principaux qui sont : le guide du client ; le guide du fournisseur ; le guide de lauditeur. TICKIT permet de saligner sur les normes ISO 9001:2000 et ISO 9003: 1994. La certication TICKIT permet lentreprise de prouver que les processus en matire de systme de management appliqu la conception doutils informatiques sont matriss et que les audits logiciels sont raliss.

Groupe Eyrolles

180

Les rfrentiels

Le guide du client
Ce guide permet de suivre et dexpliquer le rle que peut jouer le client dans le processus appliqu la conception de loutil informatique, ou plus exactement dans un projet de dveloppement (logiciel), expliquer comment le client peut contribuer la qualit des livrables qui reprsentent les produits et services. Le guide est appliqu avant, durant, et aprs un projet de dveloppement.

Le guide du fournisseur
Ce guide permet de dcrire lensemble des informations de lorganisation mise en place an dassurer une qualit de service dans lutilisation des procdures TICKIT. Le guide est appliqu avant, durant, et aprs un projet de dveloppement.

Le guide de lauditeur
Ce guide permet aux auditeurs de conduire leurs audits en se fondant sur lensemble des procdures TICKIT en place. Le guide est appliqu tout au long du cycle de vie dun projet de dveloppement.

Dire dexpert1
Une nouvelle version 5.5 du guide TICKIT est en service. Celle-ci comprend un guide informatique fond sur la gestion du systme. Rfrence PD0020:2002 . Une version de TICKIT internationale est disponible.

1. Peter Sullivan, manager Quality.

Groupe Eyrolles

Chapitre 18

TQM

HISTORIQUE
Il existe une dnition institutionnelle du TQM selon lISO 8402/1994 qui en fait un mode de management dun organisme, centr sur la qualit, fond sur la participation de tous ses membres et visant au succs long terme par la satisfaction du client et des avantages pour tous les membres de lorganisation et pour la socit .

DFINITION
La norme ISO/DIS 9000:2000 voque le management total de la qualit (TQM Total Quality Management). RETENIR
Le management de la qualit est ainsi dni : Activits coordonnes permettant dorienter et de contrler un organisme en matire de qualit ; Le management total de la qualit (TQM) est un management de la qualit qui sappuie sur tout le personnel de lorganisme. Le TQM implique galement toutes les parties intresses.

Les modles dits dexcellence


Depuis quelques annes sont apparus des modles dits dexcellence, visant montrer quun organisme conforme un tel modle serait parmi les meilleurs en matire de management en gnral, et de management de la qualit en particulier. Ces modles sont peu nombreux et donnent lieu des valuations sur une chelle de 1 000 points et des rcompenses.
Groupe Eyrolles

182

Les rfrentiels

Les principaux modles dexcellence : le modle dexcellence europen de lEFQM (European Foundation for Quality Management), qui sert de base lattribution du prix europen de la qualit ; le modle amricain du Malcolm Baldrige National Quality Award, qui sert de base lattribution du prix amricain de la qualit ; le modle japonais du prix Deming, qui sert de base lattribution du prix japonais de la qualit. En plus, certains grands groupes mondiaux ont adapt ces modles leurs besoins ; cest le cas par exemple du modle SEMCE de AT&T.

Une progression vers lexcellence


Le systme des normes ISO 9001:2000 et les modles dexcellence se positionnent sur une chelle de progression.

Les bnces du TQM


On peut se demander pourquoi il est ncessaire de documenter le lien entre le management de la qualit totale (TQM) et les rsultats nanciers. Aprs tout, le TQM a t lun des plus brillants modles dentreprise des quinze dernires annes, largement adopt par de nombreuses entreprises. Nest-ce pas sufsant pour dmontrer sa valeur ? DANGER
Le TQM est la cible de critiques croissantes de nombreux gourous des affaires, indiquant quil engendre de ternes effets conomiques. On pouvait lire dans un numro de Business Week ce commentaire sur le TQM : Quest-ce qui est aussi mort quun rocher ? Sans surprise, cest le TQM. Cette approche, qui vise liminer les erreurs qui augmentent les cots et rduisent la satisfaction du client, a promis plus quelle ne pouvait donner et a donn naissance de petites bureaucraties charges de la mettre en uvre.

Mettre en place le TQM signie que les principes cls (la satisfaction du client, limplication des salaris et lamlioration constante) sont bien accepts, appliqus et dploys au sein de lentreprise.

Groupe Eyrolles

Critres de choix des entreprises utilisant efcacement le TQM

TQM

183

Un examen des nombreux critres des prix qualit conrme que les concepts cls et les valeurs mis en avant sont ceux qui sont largement considrs comme tant les bases dune mise en place efcace du TQM. Les prix sont attribus aprs que les candidats sont passs au travers dun processus dvaluation plusieurs niveaux, o ils sont jugs par des experts internes ou externes. Un processus rigoureux est appliqu pour assurer que les gagnants mettent en place efcacement le TQM. De nombreux organismes qui attribuent des prix sont des clients qui ont dvelopp des systmes de prix qualit, pour leurs fournisseurs. Ceux-ci incluent les principaux constructeurs automobiles amricains et de nombreuses entreprises industrielles qui ont gagn le prix Malcolm Baldrige. Les organismes qui attribuent des prix comprennent aussi des organisations indpendantes, comme lInstitut national des normes et technologies (National Institute of Standards and Technology) qui gre le prix Malcolm Baldrige , et de nombreux tats des tats-Unis.

APPLICATION
La performance est examine sur deux priodes de cinq ans. La premire priode (mise en place) commence six ans avant et nit un an avant que les gagnants obtiennent leur premier prix qualit. Cest pendant cette priode que les gagnants mettent en place le TQM. Pour fournir une perspective quilibre sur les bnces nets du TQM, il est important destimer la magnitude de ces cots. La seconde priode (aprs la mise en place) commence un an avant et nit quatre ans aprs que les gagnants ont remport leur premier prix qualit. Il est clair que les gagnants ont mis en place de faon effective le TQM ds quils obtiennent leur premier prix qualit. Comme il faut de six neuf mois aux organismes qui attribuent les prix pour valuer et certier lefcacit de la mise en place du TQM, les auteurs de ltude ont fait lhypothse que la mise en place du TQM chez les gagnants tait effective environ un an avant lobtention du prix pour la premire fois.
Groupe Eyrolles

Indicateurs nanciers de mesure


La premire mesure de performance repre est le pourcentage dvolution du rsultat dexploitation, qui correspond aux ventes nettes moins

184

Les rfrentiels

les cots de production et les dpenses de vente et dadministration. Cet indicateur mesure le prot gnr par les oprations dexploitation avant les intrts et les taxes. Par consquent, il nest pas affect par la mthode de nancement, par tout gain ou perte provenant de la vente dactifs, par le Code des impts, qui ont tous peu voir avec le TQM. Le rsultat dexploitation est inuenc par lvolution du taux de croissance et/ou de la productivit. An de comprendre les causes dvolution du rsultat dexploitation, les mesures suivantes sont aussi suivies :
Mesures de la croissance Mesures de la productivit

Pourcentage dvolution des ventes. Pourcentage dvolution des actifs. Pourcentage dvolution du nombre de salaris.

Pourcentage dvolution de la marge sur chiffre daffaires. Pourcentage dvolution du prot sur actifs.

Repres de comparaison
Pour fournir un repre pour la performance des gagnants du prix, un chantillon dentreprises de contrle a t dtermin. Les rsultats sont donns pendant la priode de mise en place du TQM. De nombreux managers croient que le TQM est moins bnque aux petites entreprises, car elles ne sont pas en mesure de faire face aux cots levs de mise en place ; ce qui nest pas toujours le cas. Les organismes qui attribuent les prix utilisent diffrents rfrentiels pour valuer lamlioration de la qualit et galement pour examiner les candidatures. Par consquent, diffrents prix peuvent tre indicatifs de diffrents niveaux de maturit dans les mises en place du TQM. On considre le fait davoir obtenu un prix indpendant (par exemple le prix Baldrige ou les prix dtat de qualit) comme un indicateur dun TQM plus mature que celui reconnu par un prix fournisseur.

Dire dexpert
Le TQM est un bon investissement, il agit sur le long terme et satisfait aux attentes ralistes.
Source : Petite histoire de la qualit dite par le ministre de lIndustrie.

Groupe Eyrolles

Groupe Eyrolles

Une vision densemble sur les diffrents prix

Prix

Deming Application Prize (Japon)

Malcolm Baldrige National Quality Award (tats-Unis)

Prix franais de la Qualit (France)

European Quality Award (Europe)

Historique

En 1951, par la JUSE* partir des travaux de E. Deming. Une fois par an en novembre (mois de la qualit) au Japon.

En 1987, par la loi 100-107 gouvernement R. Reagan. Une fois par an en octobre (mois de la qualit) la MaisonBlanche.

En 1992, par le ministre de lIndustrie et le Mouvement franais de la qualit. Une fois par an au printemps. Les rgionaux : de novembre dcembre. Le national : au printemps.

En 1991, par lEuropean Foundation for Quality Management (EFQM). Une fois par an en octobre.

Priodicit

Objectif

Amliorer le niveau des entreprises japonaises tous les niveaux sur le principe du PDCA de E. Deming. Vrier que lentreprise fonctionne bien dans un mode PDCA.

Amliorer les entreprises amricaines (faire face la menace japonaise). Lentreprise doit prouver par son management quelle est dans une dmarche qualit et conomique.

Amliorer le niveau de la qualit des PME/PMI franaises.

Promouvoir et stimuler la qualit totale avec un rfrentiel dautovaluation. Juger de la performance de lentreprise en tudiant de trs prs les moyens mis en uvre ainsi que les rsultats obtenus. /

But de lpreuve

Permettre aux PME-PMI de tester leurs niveaux de qualit.

TQM

185

186

Prix

Deming Application Prize (Japon)

Malcolm Baldrige National Quality Award (tats-Unis)

Prix franais de la Qualit (France)

European Quality Award (Europe)

Les rfrentiels

Admission

Ouvert toutes les entreprises, mme trangres, depuis 1988. Trois catgories : PME et PMI, grands groupes, entreprises trangres.

Les entreprises doivent avoir les siges sociaux aux USA ; liales si 50 % de leffectif est aux USA.

Entreprises de moins de 500 employs.

Entreprises, liales, divisions dont 50 % des effectifs est en Europe, et tre membre de lEFQM.

Temps de prparation

5 10 recours un expert japonais agr par la fondation Deming. 4 8 par an. 4 8 par an. 700 1 000 points. Titre honorique au Japon. Crmonie retransmise la tlvision.

Variable suivant la maturit de lentreprise (2 ou 3 ans).

Variable suivant la maturit de lentreprise (1 ou 2 ans) avant le prix rgional. 500 rgional/1 par an. 47 national/1 par an. Plus de 700 points. Trophe, logo spcique pour lentreprise.

Entre 3 et 5 ans.

Nombre de laurats Nombre de gagnants Notation Rcompense

70 par an. 2 par an. Plus de 700 points Titre honorique, avec la participation du prsident de la Rpublique.

15 par an. 1 par an. Plus de 700 points. Prix reconnu dans le monde des entreprises.

*JUSE : Union of Japanese Scientists and Engineers.

Groupe Eyrolles

Chapitre 19

Zachman

HISTORIQUE
Le rfrentiel Zachman a t mis au point en 1987 par un ingnieur dIBM, John Zachman. Il propose une matrice permettant de se reprsenter larchitecture dun systme dinformation dune entreprise. Le concept est quune entreprise est un ensemble darchitectures qui peut tre dcompos selon plusieurs points de vue, des niveaux varis. RETENIR
Le rfrentiel Zachman est une matrice deux dimensions reprsentant lentreprise : une dimension horizontale contenant six types de groupes, utilisant six types de modles. Le haut du schma reprsente la partie conceptuelle, tandis que la partie basse est plus concrte. une dimension verticale tablie sur un ensemble de questions, six interrogations, fond sur le modle de question du Qui, quoi, quand, o, comment, pourquoi, plus connu sous le nom de QQQOCP.

DFINITION
La dimension horizontale les points de vue
Porte (contextuelle)
Groupe Eyrolles

Le point de vue du planicateur. Cette ligne dcrit les modles, larchitecture et les reprsentations qui correspondent aux limites de lorganisation concerne.

188

Les rfrentiels

Modle mtier (conceptuel) Le point de vue du propritaire. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les propritaires des process mtier. Elle se concentre sur les utilisations habituelles dun produit. Modle systme (logique) Le point de vue du concepteur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les ingnieurs, architectes et toutes les personnes qui doivent arbitrer entre les besoins et ce quil est techniquement possible de faire. Modle de technologie (physique) Le point de vue du constructeur. Cette ligne dcrit les modles, larchitecture et les reprsentations utiliss par les techniciens, les ingnieurs et les contractants qui modlisent et crent les produits. Reprsentation dtaille (hors contexte) Le point de vue des sous-traitants. Cette partie dcrit les diffrents lments inclus dans le produit nal. Pour les dveloppeurs de logiciels, cette partie correspond lintgration de module ou de composant en provenance de lextrieur. Le fonctionnement de lentreprise Cette partie reprsente la relle mise en uvre des lments, cest lexistant dans toute sa complexit. Chaque vision est dnie par plusieurs questions. Ces six questions rsument les questions que se posent frquemment les personnes lorsquelles essaient de comprendre.
Source : fonde sur Zachman.

La dimension verticale les questionnements


Le Quoi ? (Donnes) En quoi est-ce fait ?
Groupe Eyrolles

Cest la composition du produit. Dans le cas dun logiciel, il sagit des donnes. Zachman propose, pour chaque colonne, un modle dillustration. Le modle est : Objet Relation Objet.

Zachman

189

Le Comment ? (Fonctions) Comment a fonctionne ? Cette colonne correspond au fonctionnement et la transformation du produit. Le modle est : Processus Entre/Sortie Processus. Le O ? (Rseau) O sont les lments les uns par rapport aux autres ? Cette colonne sintresse lemplacement et aux connexions du produit. Le modle est : Nud Lien Nud. Le Qui ? (Personnel) Qui fait quoi ? Cette colonne correspond au personnel, aux manuels, aux procdures qui leur sont utiles pour faire leurs tches. Le modle est : Acteur Tche Acteur. Le Quand ? (Temps) Quand se produisent les choses ? Cette colonne concerne les cycles de vie, les dures et les programmes qui sont utiliss pour contrler lactivit. Le modle est : vnement Cycle vnement. Le Pourquoi ? (Motivation) Pourquoi les vnements arrivent-ils ? Cette colonne correspond aux objectifs, plans et rgles qui guident lorganisation. Le modle est : Finalit Moyens Finalit.
Source : fonde sur Zachman.

APPLICATION
Chaque partie de la matrice Zachman expose une architecture, une reprsentation dune organisation. Chacune de ces parties peut tre dcrite indpendamment des autres, nanmoins chaque partie a des interactions avec les autres lments de la matrice. Cette matrice permet de saisir la description de larchitecture dune entreprise. Elle met en relief les lments importants de la stratgie et permet de comprendre quelles sont les interfaces existantes dans les diffrentes couches de lorganisation. Une approche utilisant la mthode BPM (Business Process Management) est un complment intressant dans la vision et la reprsentation de lentreprise.
Groupe Eyrolles

190

Le cadre Zachman Porte (contextuelle) Planicateur

Donnes Quoi ?

Activits Comment ?

Emplacement O ?

Personnel Qui ?

Temps Quand ?

Motivation Pourquoi ?

Les rfrentiels

Liste des lments importants pour lactivit Modle de donnes conceptuelles Modle de donnes logiques Modle de donnes physiques Dnition des donnes Donnes mtier relles

Liste des processus excuts par lactivit Modle mtier Architecture de programmes Modlisation des systmes (fonction informatique) Programmes

Liste des lieux o est exerce lactivit Modle logistique Architecture SI distribue Architecture technologique

Liste des organisations importantes pour lactivit Modle hirarchique Interface homme/ document Matrice organisation/ processus Architecture de scurit Organisation mtier relle

Liste des vnements signicatifs pour le mtier Modle temporel Structure de traitement Structure de contrle

Liste des objectifs mtiers stratgiques Modle dobjectifs Modle de rgle mtier Modlisation des rgles

Modle mtier (conceptuel)

Modle systme (logique)

Modle de technologie (physique) Reprsentation dtaille (hors contexte) Le fonctionnement rl de lentreprise

Architecture rseau Rseau physique rel

Dnition du calendrier Planning

Spcication des rgles Stratgie relle

Code du programme

Groupe Eyrolles

Zachman

191

Dire dexpert Un cadre adapt la structuration du rfrentiel dentreprise


La structuration dun rfrentiel processus suppose une approche selon deux dimensions : le prisme danalyse et le niveau de dtail. Le prisme dnit langle selon lequel on dcrit, et correspond aux colonnes du modle de Zachman ; le niveau de dtail correspond globalement aux lignes. Quand on se place un niveau macro, le modle est forcment orient mtier et se veut indpendant des outils et technologies mis en uvre. Toute cartographie se trouve donc ncessairement au croisement de ces deux axes, un mme modle ne pouvant traduire tous les prismes et tous les niveaux de dtail. De ce point de vue, le modle de Zachman rpond ce besoin dorganisation du rfrentiel dans lequel tout modle doit pouvoir se situer clairement au sein du damier.
Source : bpms.info, Guillaume Decalf, du 4 avril 2008.

Groupe Eyrolles

Les mthodes

Partie 3 LES MTHODES


SANS MTHODE, LE RISQUE AUGMENTE

194

Les mthodes

DFINITION
RETENIR
Capitalisation dun savoir-faire qui est standardis ; cette standardisation est reprsente sous forme de dmarche, et a pour but de rpondre aux attentes organisationnelles, fonctionnelles, techniques, stratgiques, scuritaires Ex : La mthode scientique. Ensemble des principes de base dun secteur, dune activit spcique connue.

Gnralits sur les mthodes


Les mthodes sont : un ensemble de dmarches ncessaires matriser, an datteindre lobjectif x initialement ; un raisonnement logique, une analyse de lexistant, un constat, un rapport, un plan daction, une capitalisation du savoir-faire. Approches rchies : ensemble de procdures, de process (exemple de procdures dassemblage, pour un vhicule, un avion) ; rglements, lois de comportement (Code de la route). Le mot mthode dans le domaine professionnel a vu le jour dans les entreprises industrielles, plus prcisment dans les bureaux dtudes et dans les services dits mthodes . Il ny a pas que dans lindustrie que les mthodes sont utilises ; dans les entreprises du tertiaire (services), le mot mthode est connu et utilis dans les directions qualit, organisation, marketing, nancire et TI. Son utilisation concerne diffrents sujets. Exemple : mthode danalyse de la valeur, mthode AMDEC, mthode danalyse du risque Dans bien des cas, grce la mthode employe, on cherchera rduire ou prvenir un risque, une erreur, cela pour la partie prproduction ou service. On cherchera aussi loptimisation de lorganisation, des processus, de tous les acteurs de lentreprise ; dans la plupart des cas, les critres cots, qualit, dlais et services sont associs. La mthode est une aide pour les entreprises ; on peut faire la comparaison avec le savoir-faire (savoir-faire maison), il sagit dune approche terrain.

Groupe Eyrolles

Les mthodes

195

Liste des mthodes analyses dans cet ouvrage


Mthodes Dnition Chapitre

AMDEC BPM BSC BENCHMARK BP-GP CRAMM EBIOS HOSHIN ITBPM JAT KAIZEN KM LEAN MEHARI OCTAVE PDCA SIX SIGMA TCO
Groupe Eyrolles

Analyse des modes de dfaillance, de leurs effets et de leur criticit Business Processus Management Balanced Scorecard Comparaison entre ce qui se fait dans lentreprise et dans les autres entreprises Pratiques de base et pratiques gnrales Processus dvaluation tape par tape (physique, matriels, logiciels, hommes) Expression des besoins et identication des objectifs de scurit (risques) Direction pour optimiser les objectifs prioritaires IT Baseline Protection Model Juste--temps (optimisation du systme logistique) Amlioration continue au sein de lentreprise Knowledge Management (base de connaissance, de partage, dinnovation) Amlioration continue (chasse aux gaspillages) Mthode permettant lanalyse des risques Operationally Critical Threat, Asset, and Vulnerability Evaluation Amlioration continue (roue de Deming) Plan-Do-Check-Act Chantier qualit, avec pour objectif de dgager des gains importants et rapidement Total Cost of Ownership (cot de possession) Tableau de bord des systmes de scurit informatiques

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

TDBSSI

Chapitre 1

AMDEC

HISTORIQUE
LAMDEC est ne dune prolongation de lanalyse fonctionnelle (ellemme une des bases de lanalyse de la valeur). Cest larme amricaine qui est linitiative du dveloppement de lAMDEC. La rfrence militaire MIL-P-1629, intitule Procdures pour lAnalyse des Modes de Dfaillance, de leurs Effets et de leur Criticit date du 9 novembre 1949. CIBLE ATTEINDRE
Il sagit dune mthode dvaluation fonde sur les dfaillances dun process, dun produit ou dun service et qui permet didentier le niveau de abilit dudit process, produit ou service.

En 1988, lISO labore et publie une famille de normes ; il sagissait de la srie des normes ISO 9000. Il faut savoir que le systme qualit des quipementiers du monde de lautomobile, qui est le QS 9000, est trs proche de la norme ISO 9000. Avec QS 9000, lutilisation de lAMDEC fait partie des mthodes qui sont utilises par les quipementiers pour leur planication qualit des procds, connue sous le sigle APQP.

DFINITION
Groupe Eyrolles

Il sagit dun process rgulier qui a pour objectif didentier diffrentes dfaillances, et qui permet de les traiter avant quelles narrivent, dans le but de les supprimer en rduisant les risques associs.

198

Les mthodes

Le but de lAMDEC
Matriser les risques grce une tude des dfaillances possibles dun systme, dun produit ou dun service, en imaginant tous les scnarii possibles, en sappuyant sur une analyse des risques et de leurs consquences sur lutilisateur nal avec pour principal but llimination ou la rduction des pannes ayant les consquences les plus importantes sur le systme, le produit ou le service.

Les diffrentes AMDEC


AMDEC Concept : systme non dni dans ses dtails (non g) mais dont on connat les fonctions attendues. AMDEC : systme dni dans ses moindres dtails, les pices constituantes sont connues (plans) mais leur dnition peut encore tre modie grce aux conclusions de lAMDEC. AMDEC Process : enchanement de tches techniques et mcaniques, qui conduisent la fabrication dun produit et sont rassembles dans un synoptique. AMDEC Moyen : machine ou outil gnrant une ou plusieurs tches.

APPLICATION
Les fournisseurs doivent utiliser lAMDEC dans la planication qualit du procd et dans le dveloppement de leurs plans de contrle. LAutomotive Industry Action Group (AIAG) et lAmerican Society for Quality Control (ASQC) mettent les standards AMDEC en fvrier 1993. Le travail en quipe est essentiel pour identier les lments AMDEC. Lquipe multidisciplinaire devrait tre constitue de personnes bien informes avec un expert, le bureau dtudes, le fabricant et la qualit.

AMDEC
Mode de dfaillance
Groupe Eyrolles

Il sagit dune anomalie qui empche le systme de fonctionner correctement. Par exemple, la photocopie est illisible.

AMDEC

199

Effet Il sagit de la consquence de la dfaillance pour lutilisateur du systme. Par exemple, la lecture de la feuille est impossible. Criticit Elle dtermine limportance relative de la dfaillance au sein du systme. Elle dpend de trois critres : la gravit de leffet pour lutilisateur ; la frquence dapparition de la dfaillance, par exemple la photocopieuse a trs souvent des problmes avec son bac de papier A4 ; le risque de non-dtection, par exemple je nai pas relu les ditions papier avant la prsentation.

Les grandes tapes de lAMDEC


Voici les grandes tapes de lAMDEC : Lanalyse fonctionnelle : dnit les limites du systme tudi. Tout ce qui est en dehors du systme sera considr comme tant conforme lors de lanalyse. Recherche des fonctions principales du produit : fonctions pour lesquelles le produit a t conu. Recherche des fonctions contraintes du produit : contraintes auxquelles le produit doit rpondre (normes environnementales, rsistance mcanique). Recherche des dfaillances : identication prcise des causes de la dfaillance. Par exemple : la mauvaise lasticit du matriau a entran la dformation des contacts lors du transport. Cotation selon les critres AMDEC : on attribue un niveau de criticit chaque dfaillance. Cela sert hirarchiser les diffrents modes de dfaillance. Les actions les plus critiques doivent faire lobjet dactions prventives. Chacun de ces trois critres (gravit, frquence, dtection) fait lobjet dune note dautant plus leve que le critre est dfavorable.

Groupe Eyrolles

200

Les mthodes

G (note)

Gravit pour le client

1 5 10 15 20
F (note)

Sans effet sur le produit et son utilisation Non dtectable par le client. Anomalie dtectable mais ne remettant pas en cause la conformit la spcication Dtectable par le client. Le produit nest plus conforme la spcication, llment dfectueux continue remplir sa fonction Le client est mcontent. Rupture de la fonction. La scurit RAS Le client est mcontent, retour produit. Rupture de la fonction qui entrane un problme de scurit.
Frquence

1 5 10 15 20
D (note)

Le cas ne peut pas se prsenter. Le cas ne sest jamais rencontr sur un produit de conception similaire. Ce cas ne sest jamais rencontr sur un produit similaire mais sest dj prsent sur un produit de conception diffrente. Le cas sest dj prsent sur un produit similaire. Incident rptitif que lon ne matrise pas.
Dtection par lentreprise

1 5 10 15 20

On dtecte le dfaut 100 % Impossibilit dassemblage. Les oprations de contrle ne laissent que peu de chances au produit dfaillant dtre livr au client % de dtection son maximum. Les oprations actuelles ne permettent pas une bonne dtection des dfauts Contrle mais pas de bonne dtection. Les oprations de contrle se limitent un contrle subjectif, risque de ne pas tout voir Contrle subjectif qui dpend de lindividu. Aucune dtection du dfaut possible.
Groupe Eyrolles

La criticit est dtermine en multipliant les trois notes prcdentes entre elles : GFD

AMDEC

201

Le rsultat permet de dterminer le seuil de criticit = niveau de priorit de risque (NPR). Pour hirarchiser les NPR, dont les causes de dfaillance, un diagramme est ralis. Il permet de prsenter les risques de dfaillance dtects au cours de cette tape.

Dire dexpert Les forces de lAMDEC


Travail de groupe (quipe de 4 8 personnes). Acquisition dune bonne comprhension du produit par tous les membres de lquipe. Capitalisation de lexprience pour les futures tudes. Planication et jalonnement de projet vis--vis des actions correctives. tre un indicateur de abilit prvisionnelle.

Les limites de lAMDEC


LAMDEC a quelques limites : peut tre lourd mettre en place pour des systmes complexes (conseil : dcomposer en sous-systmes) ; repose beaucoup sur lexprience passe, il faut avoir du recul sur la vie des produits ; peut tre complmentaire avec des outils comme le brainstorming, larbre de dfaillances ; les cotations sont soumises la libre interprtation des intervenants. Plus les intervenants sont nombreux et de secteurs varis, et plus les cotations sont raisonnes. LAMDEC permet la matrise des risques par la prvention : une meilleure comprhension des causes et de leur importance ; une intervention sur le produit en avance de phase avant quil ne soit trop tard (la frquence) ; une mise en place des contrles en production des tapes judicieuses an dviter de livrer des produits dfectueux (la dtection) ;
Groupe Eyrolles

une anticipation des problmes et une prvision des actions correctives (la gravit).

Chapitre 2

BPM

HISTORIQUE
Le Business Processus Management (BPM) existe depuis prs de vingt ans ; son principe est n avec le concept de workow au dbut des annes 1980. Toutefois, la notion de processus date daprs-guerre, avec les tudes amricaines inspires des techniques de qualit japonaises. Edward Deming est lun des dignes reprsentants de cette poque. BPM concerne beaucoup dentreprises qui utilisent des processus.

DFINITION
BPM permet de matriser la comprhension des processus, de les organiser, voire de les planier et galement de les mesurer, dans une vision de performance pour lentreprise. La mthode BPM sinscrit dans lamlioration continue des services et des produits que ralise et fournit lentreprise et, cette n, sappuie sur un ensemble de processus mtiers.

APPLICATION
RETENIR
Groupe Eyrolles

La mise en application de BPM nest pas toujours facile ; elle repose sur une forte sensibilisation des quipes an davoir une vritable appropriation de la mthode par les mmes quipes, car qui dit processus dit obligatoirement organisation. La conduite du changement est importante dans la mise en place de BPM.

204

Les mthodes

Pour les entreprises qui sont dans des contextes en pleine mouvance, par exemple en cas de fusion, dachat, dacquisition de nouvelles socits, ou dans un contexte environnemental comme la mondialisation et le respect des rglements internationaux, cela demande une vision cohrente des informations et des organisations (processus), en dveloppant agilit/ractivit et modularit. On voit bien que la vision stratgique et la vision terrain sont trs lies. La mise en place de BPM dans lentreprise exige le suivi dun ensemble de rgles ou dtapes. Lensemble des rgles est proche de la mthode du PDCA, do limportance de lamlioration continue au sein de la mthode BPM. Le schma ci-dessous permet de prsenter les grandes tapes du BPM dans lentreprise.
LENTREPRISE ET LES PROCESSUS MTIERS

Comprendre Analyser
Analyse des acteurs Analyse des processus

Mesurer
Mesures

Analyser
Analyse

Modliser
Amlioration continue

Amliorer
Amlioration des processus

LES FEMMES ET LES HOMMES DE LENTREPRISE

La force de BPM est de pouvoir laborer et traiter lensemble du cycle de vie des processus mtiers : identication ; excution ; contrle ; analyse ;
Groupe Eyrolles

modlisation ;

BPM

205

optimisation ; simulation. Il est possible de modliser les interdpendances qui existent entre les personnes, les applications informatiques et les informations. Une automatisation de ces interdpendances est faire, ainsi quune coordination des processus oprationnels, et cela du dbut la n du processus ; ne plus penser domaines spciques ou activits compartimentes, mais avoir une vision transverse. Trs proche des grands principes de la qualit, lapplication de BPM doit permettre damliorer et doptimiser lensemble des processus et surtout les processus les plus stratgiques pour lentreprise. Exemple : les processus qui permettent de dgager une relle plusvalue par rapport aux concurrents. Cela fait partie du niveau dagilit de lentreprise. Lentreprise devra sappuyer sur des solutions TI, et plus exactement sur des offres (logiciel). Les offres sont de plusieurs natures, avec des produits aux fonctionnalits diverses et varies, issues de technologies de domaines diffrents comme lintgration, la gestion documentaire, le workow, la modlisation, les applications dites intgres. DANGER
Il est conseill de faire une analyse de lexistant des processus organisationnels avant de faire lacquisition du futur outil.

Le march conomique est en constante volution (OPA, joint-ventures). Dans les entreprises, quand on parle dorganisation, dans beaucoup de cas, les processus mtiers sont revoir, optimiser, supprimer, remplacer BPM est dans une phase de forte consolidation. Le march conomique autour de BPM est toujours en phase de croissance et dvolution. Les acteurs du middleware et de lintgration applicative interviennent vivement sur de nouvelles propositions an de renforcer la partie gestion des interactions humaines et la gestion documentaire.
Groupe Eyrolles

Ce quapporte BPM lentreprise


Les gains directs ou indirects de BPM pour lentreprise sont de diffrentes natures. Au niveau des services ou des dpartements, les mtiers

206

Les mthodes

sont dcoups en modules, ce qui permet davoir une bonne vision de lorganisation ; chaque mtier est identi, on en connat le primtre daction, le qui fait quoi est connu de tous. Il est alors plus facile de proposer des amliorations et cela demande une optimisation des processus. Pour tre efcace, BPM est prsent au sein du systme dinformation. Celui-ci a besoin dune organisation autour des processus, puisquil est le garant de la circulation des ux dinformations, quel que soit le service concern de lentreprise (nance, comptabilit, achats, ventes, commandes). La complexit du systme dinformation demande une parfaite comprhension de la gestion des ux (les entrants, les sortants), et une bonne vision des processus qui sont lis lorganisation de lentreprise. BPM conduit naturellement le systme dinformation sorienter vers des amliorations, des volutions majeures en termes dautomatisation, dindustrialisation des tches que ralisent les femmes et les hommes de lentreprise.

Dire dexpert
Lentreprise qui souhaite se lancer dans la mise en place dune dmarche BPM devra avant tout analyser son existant, identier les points forts et les faiblesses de son organisation, le nombre de processus oprationnels, les principaux acteurs Ensuite, en accord avec la direction, elle sera en mesure de mieux cibler son besoin ; il ne faut surtout pas partir trop vite sans connatre parfaitement son organisation et les processus associs.

cet effet, quatre facteurs importants sont prendre en compte : le facteur analytique ; le facteur culturel de lentreprise ; le facteur TI de lentreprise ; le facteur humain, quil ne faut pas oublier. La mthode de management par les processus a encore de belles annes venir ; dici une dizaine dannes, BPM sera indispensable pour les entreprises.
Groupe Eyrolles

BPM

207

PILOTAGE PAR LES PROCESSUS1


Lapproche processus consiste focaliser, pour mieux rpondre aux demandes de chaque client de lentreprise, sur la chane des diffrentes contributions que chaque entit de lentreprise ou de ses sous-traitants doit apporter. Cette manire transversale de prendre en compte les diffrentes composantes de la fabrication et de la dlivrance du produit ou du service attendu permet de remettre le client au centre des proccupations de lentreprise et, de ce fait, de lui apporter des rponses plus adaptes, plus ajustes. Cette approche nest pas nouvelle. En effet, les organisateurs ou les informaticiens, par exemple, sintressent depuis longtemps formaliser les ux dinformations, que ce soit pour construire les applications ou organiser lentreprise. Diffrents facteurs conduisent aujourdhui lui donner une nouvelle dimension : les organisations se sont cloisonnes (perte de vision globale) ; le nombre croissant des processus (accroissement du besoin de matrise) ; lexigence accrue des clients (produit appropri et personnalis) ; la prennisation des savoirs (dpart de nombreux acteurs en connaissance) ; les fortes contraintes nancires (besoin de matriser les budgets de dveloppement informatique) ; lexistence de nouveaux outils qui offrent des possibilits nouvelles (cartographie simulation restitution). Ces quelques lments de diagnostic montrent quau sein des entreprise, il y a une perte de vision globale et une diminution de la capacit rpondre aux attentes des clients. Ils impliquent, en consquence, quil faut remettre le client au centre des proccupations, en matrisant de bout en bout les lments concourant sa satisfaction. Cest ce que permet une approche processus. Cest la raison pour laquelle, depuis quelques annes, des entreprises se soucient de recenser leurs processus, de les dcrire, et de les mettre en pilotage.
1. Michel Raquin, prsident du Club des pilotes de processus (C2P), ancien directeur de lorganisation au Crdit Lyonnais.

Groupe Eyrolles

208

Les mthodes

Le pilotage par les processus ncessite une implication forte de la direction gnrale, la nomination dun pilote de processus pour chaque sousensemble ou domaine, la dtermination dobjectifs par domaine de processus en lien avec la stratgie de lentreprise et la conduite dactions damlioration ou de reconstruction des processus. On met en place une vritable organisation matricielle qui ncessite une large coopration entre les pilotes de processus et les responsables marchs/mtiers. Cest lensemble de lentreprise qui est mise sous tension. Enn, le pilotage par les processus nest quun moyen pour atteindre les objectifs et non une n en soi.

Groupe Eyrolles

Chapitre 3

BSC

HISTORIQUE
En 1992 apparat pour la premire fois le terme Balanced Scorecard dans la Harvard Business Review. Les initiateurs du concept BSC sont Robert S. Kaplan et David P. Norton. Par la suite, ils ont ralis un bestseller intitul The Balanced Scorecard.

DFINITION
Il faut savoir que le concept du tableau de bord existe depuis plus de vingt ans, faire le lien entre les chiffres (nanciers) et les mesures ou les valeurs lies lactivit de lentreprise na jamais t ralis auparavant, et cela de manire ofcielle. Mettre en relation une organisation, des processus, par rapport des mesures nancires, organisationnelles, qualitatives (clients), ressources humaines (formations), avec comme l dAriane la stratgie de lentreprise, nest pas chose facile. Les besoins des directions gnrales voluent, de nouvelles informations sont prendre en compte, exploiter : le Balanced Scorecard rpond entirement ces exigences. RETENIR
Les activits budgtaires et nancires ne sont plus les seules informations pertinentes que lon va retrouver dans les tableaux de bord ; les nouvelles gnrations des tableaux de bord permettent de mesurer la performance et lefcience de lentreprise en relation avec les directives stratgiques de celle-ci.

Groupe Eyrolles

BSC permet toutes les directions, dont les directions plus oprationnelles, de remonter des informations pertinentes sur lentreprise pour la

210

Les mthodes

direction. Nous lavons dit, les besoins voluent trs vite, il faut donc tre trs ractif. Savoir ce que pense prcisment le client (le client nal) est essentiel, et le droit lerreur nest pas admissible, la fois par rapport la concurrence et au march conomique (les clients, les associations de consommateurs). Cest ainsi que les directions se doivent de matriser lensemble des processus de leur entreprise et de savoir interprter les mesures, les chiffres, toutes les donnes quelles centralisent. Balanced Scorecard identie quatre axes importants pour le management de la stratgie au sein de lentreprise ; cela est li un nouveau mode de management, le management participatif, qui est plus individualiste, fond sur les rsultats. Un des principes de la mthode BSC repose sur le fait que le salaire du manager se calcule partir des rsultats de sa performance et cela par rapport aux quatre axes de la dmarche (nance, processus internes, clients, apprentissage/formation).

APPLICATION
Tableaux de bord
Lapplication de la mthode BSC suppose prcisment de connatre la volont de la direction gnrale. Il faut que celle-ci comprenne bien que la mise en place de la mthode exige de la rigueur, de la persvrance, une nouvelle organisation, de nouvelles responsabilits et des prises de dcision communes : il sagit pour lentreprise de changer sa stratgie, et BSC permet deffectuer cet accompagnement. Quatre axes essentiels sont prendre en compte : laxe nancier : les bnces raliser, les rductions des cots, les retours sur investissements, la recherche de solutions moins coteuses, les nouveaux partenaires, une prsentation des rsultats auprs des actionnaires pour les dcisions, la conance conserver laxe processus interne : tous les processus qui permettent doffrir un service de qualit auprs des clients naux, les processus dits cls de lentreprise ; laxe client : les actions menes par le marketing, la force de vente, le service aprs-vente, les rsultats des enqutes de satisfaction auprs des clients ; en fait, tout ce qui va dliser les clients et en apporter de nouveaux ;

Groupe Eyrolles

BSC

211

laxe apprentissage/formation interne/organisation : les comptences, les connaissances, la matire grise de lentreprise, les formations de nouveaux produits, la formation la qualit tous les niveaux de lentreprise, la rvision des processus, loptimisation des processus et le systme dinformation, qui devra voluer lui aussi. Il faudra nommer des responsables ou propritaires de processus pour ces quatre axes essentiels et responsabiliser les acteurs oprationnels sur les rsultats attendus, les objectifs xer

Client

Finances

Carte stratgique

Processus internes

Apprentissage organisationnel
Source : Norton et Kaplan, The Balanced Scorecard.

Le point central du systme est la carte stratgique : Chaque mesure slectionne pour le Balanced Scorecard doit tre un lment dune chane de relation de cause effet exprimant lorientation stratgique de lentreprise. (Robert S. Kaplan, David P. Norton, Le tableau de bord prospectif, ditions dOrganisation, 2003).

La mise en place dune mthode BSC et les diffrentes phases


Groupe Eyrolles

Voici les diffrentes phases de la mise en place dune mthode BSC : Identier lexpression de besoins de la direction. Avoir une vision hlicoptre. Prciser la vision trois ans.

212

Les mthodes

Identier les facteurs cls de succs. Dnir avec eux quatre priorits en relation avec : la nance ; les clients ; les processus internes ; lapprentissage organisationnel. Dnir des indicateurs pertinents pour les quatre priorits. Nommer des pilotes processus/indicateurs (volontariat). Mesurer, comparer les rsultats par rapport aux objectifs xs (atteints, drives) et proposer un plan daction an de recadrer les rsultats cycle PDCA. Construire le tableau de bord avec les indicateurs cls. Communiquer tout au long de la mise en place de la mthode (direction, cadres).

La vision hlicoptre

Qui sont les fournisseurs ? Qui sont les partenaires ? Quels sont les changements cls en cours dans les trois ans venir ? Qui sont les comptiteurs cls ?

Quels sont nos savoir-faire cls ? Qui sont nos clients cls ?

Qui sont les autres acteurs ?

Attention, ce type de dmarche sinscrit dans le temps (il faut compter en moyenne douze mois pour avoir des rsultats sur lensemble des quatre axes).

Groupe Eyrolles

BSC

213

Dire dexpert Les avantages du BSC


Les quatre axes essentiels de la mthode BSC se traduisent par des indicateurs qui ont pour principale mission dapporter une vision terrain (oprationnel) et stratgique (nouveau march, achat, fusion, joint-venture) sur la situation prsente, mais permettent galement de dgager des tendances pour le futur. Exemple : des dcisions sont prendre pour les aspects processus internes (formation prvoir), il sagit bien daction courte dure dans le temps, alors que pour laxe clients (prochaine campagne publicitaire, offre commerciale) il faut la prparer et prvoir le budget. Il faut se poser des questions : doit-on dliser les clients actuels ? Doit-on souvrir de nouveaux clients ? Il sagit dune vritable mthode de management pour la direction gnrale.

Groupe Eyrolles

Chapitre 4

Benchmark

HISTORIQUE
Le benchmarking est apparu aux tats-Unis. Il fut utilis par Rank Xerox dans les annes 1980 pour amliorer son cycle de commandes. Cette socit se serait compare non dautres fabricants de copieurs, mais au vendeur de vtements par correspondance L.L.Bean. Le benchmarking est un outil de management qui consiste analyser la place dun organisme dans son contexte conomique puis trouver des exemples dabord galer puis dpasser pour atteindre un niveau dexcellence dans toutes les composantes de son activit. Cette mthode est apprcie des entreprises ; elle sinscrit dans une dmarche de progrs.

DFINITION
Le benchmarking est souvent compar au processus car, comme le processus, il a pour fonction dapporter en sortie une relle plus-value dans le traitement des informations.

Le benchmarker
Le benchmarker est la personne qui pilote un projet, il met en uvre le benchmarking. Celui-ci pouvant sappliquer au management de tous les secteurs dune entreprise (ux nanciers, ressources humaines, matrise de lenvironnement et de la qualit), la fonction principale du benchmarker pourra tre diffrente selon la partie du management gnral.

Groupe Eyrolles

216

Les mthodes

Le benchmark
Pour certains, le benchmark est un objectif, mais selon la dnition cidessous, cest un repre qui doit dboucher sur des objectifs. The American Heritage Dictionary of the English Language donne une dnition plus large du benchmark : RETENIR
Benchmark Un standard par rapport auquel quelque chose peut tre mesur ou valu : lination est une grave remise en cause dides conomiques et de benchmarks apparemment tablis.

APPLICATION
Au plus haut niveau
Lorsque la direction constate que tel ou tel organisme externe russit mieux sadapter un des lments quelle sest xs dans ses objectifs (par exemple, la ractivit la conjoncture), il est de son intrt quelle puisse comprendre les raisons dune telle diffrence. Elle le choisira comme organisme phare . Le benchmarking lui fournira les lments pour stalonner par rapport lui. Lorganisme phare clairera la voie que la direction devra prendre pour devenir plus innovante, plus efcace, plus efciente, en un mot plus performante.

Au niveau des processus


Le benchmarking orient processus compare des systmes identiques, quel que soit le secteur dactivit : le traitement dune commande, dune facturation, par exemple. Ce type de benchmarking peut tre celui qui offre la meilleure rentabilit, mais cest celui qui est le plus difcile faire accepter car il change les manires de faire, les habitudes, et parfois mme touche la culture de lentreprise. Il peut aussi tre trs diffrent de ce qui se pratique gnralement dans la profession, voire innovant.

Nos produits sont-ils les meilleurs ?


Performances et cots Lorganisme peut galement sinquiter de la performance de ses produits auprs du client et des cots quils induisent. Cette interrogation peut intervenir tous les stades de la vie du produit.
Groupe Eyrolles

Benchmark

217

Phase de conception la conception, le benchmarking permettra de valider le cahier des charges. cet effet, dautres outils sont utilisables. Aprs lanalyse fonctionnelle de plusieurs produits concurrents ou similaires et lattribution de notes pondres, une analyse de la valeur pourra tre dclenche. Il sera ainsi possible de concevoir, ds lorigine, le produit le mieux adapt au march vis. Phase dindustrialisation Lors de lindustrialisation, la comparaison des projets avant investissement avec des ralisations relles (visites) ou supposes mises en uvre pour des produits concurrents, similaires ou transposables, est souvent un benchmarking utile. Phase de production En production, le benchmarking permet de comparer tous les aspects des produits de lentreprise ce qui se fait de mieux sur le march. Par exemple, notre logiciel de gestion documentaire est-il aussi convivial que le logiciel achet pour le service contrle ? Benchmarking et management Il est important que le benchmarking devienne partie intgrante du processus de management utilis par lquipe dencadrement pour prendre ses dcisions. Il est par exemple ais de demander, lorsque les actions viennent en discussion, de se fonder sur les rsultats dun benchmarking. Benchmarking et conception Ce point a dj t abord pour la conception des produits. Il en va de mme lors de la cration dune nouvelle activit, dun nouveau service. Concevoir du neuf sans savoir situer lexistant, cest dj concevoir du dpass. Benchmarking et analyse de la valeur Le processus analyse de la valeur utilise la dmarche intellectuelle du benchmarking en comparant non seulement des solutions existantes internes ou externes dans des domaines compltement trangers, mais aussi des projets et des solutions qui ne vivent que dans limagination des crateurs.
Groupe Eyrolles

218

Les mthodes

Benchmarking et reengineering Le reengineering est un processus visant essentiellement les processus oprationnels. Le benchmarking peut y avoir sa place condition de bien dnir les benchmarks qui seront soit des sous-processus, soit des lments de la rimplantation. Il peut faire jaillir des ides dans lquipe, surtout si elle prend comme rfrence des entreprises dautres secteurs. Benchmarking et fournisseurs Il est ncessaire dinclure les fournisseurs dans la chane des processus an que le produit quils livrent soit, lui aussi, optimal. Le benchmarking peut remettre en cause le stade de fourniture, les critres de rception, voire certains processus internes du fournisseur. Il peut ainsi apparatre plus performant que le stockage soit report chez le fournisseur et quil organise lui-mme des transports vers les clients. Benchmarking et systmes de management de la qualit Lobjectif essentiel des systmes de management de la qualit est de satisfaire les exigences des clients, ce qui implique de collecter des informations qui serviront de base ltablissement des normes. Le benchmarking peut participer lamlioration du systme de management de la qualit en intgrant tous les stades depuis llaboration jusqu la mise en place. RETENIR
Le benchmarking est un processus de comparaison entre des ralisations de lorganisme analys et celles dun organisme interne ou externe oprant dune faon juge plus performante, que ce dernier soit ou non dans le mme contexte. Comme tout processus, le benchmarking doit lui-mme faire lobjet de remises en cause frquentes.

Groupe Eyrolles

Chapitre 5

BP-GP

HISTORIQUE
Cest en 1996 que la premire version du modle BP-GP est arrive ; ensuite, la mthode dvaluation est apparue en 1997. Cette mthode provient de SSE-CMM.

DFINITION
RETENIR
Mthode qui permet de dnir la frontire entre les projets/organisation et la scurit. BP correspond aux pratiques de bases et GP correspond aux pratiques dites gnrales.

Concernant les pratiques de base (BP), elles sont au nombre de 129 et sont dcomposes en 22 processus spciques, ce qui est consquent. Processus traitant de lorganisation et de la gestion de projet (origine SSE-CMM) : garantir un service de qualit tout au long de la mise en application de la mthode ; suivre et dnir des plans daction et les mener pour les aspects de conguration et pour les risques du projet ;
Groupe Eyrolles

laborer des plans daction pour le technique ; vrier si les actions sont ralises pour le technique ; identier et laborer les processus organisationnels ; optimiser les processus organisationnels ;

220

Les mthodes

suivre dans leur ralisation les diffrentes volutions et changements concernant les produits, les biens et les services ; sassurer que le support ralise ce que lon attend de lui ; assurer une vritable rversibilit. Comme toute gestion de projet, on retrouve des jalons tels que la gestion des risques, le contrle qualit, le transfert de comptences mais certains jalons sont absents tels le plan de communication, qui est important dans la gestion de projet, les bilans de projet, la gestion documentaire. Les autres processus, qui traitent de la scurit informatique, sont : vrier ladquation des contre-mesures ; estimer et peser les impacts ; valuer les risques ; mesurer les menaces ; apprcier la vulnrabilit ; piloter les aspects scurit ; identier les besoins en termes dassurance ; vrier ltat davancement des actions ; remonter des informations ; contrler et dcider des actions de scurit.

APPLICATION
La mise en application des pratiques gnrales (GP) concerne les 22 processus des pratiques de base (BP).
Niveau de maturit tat

5 4 3 2 1 0

Amlioration permanente. Ralisation d'audits, de suivi, d'inspection (qualit). Utilisation commune (tout le monde). Organisation projet (calendrier et suivi d'avancement). Ralisation. Pas de ralisation (point mort).
Groupe Eyrolles

BP-GP

221

Les six niveaux de maturit sont dtermins : non ralis, ralis, plani et suivi, standardis, contrl qualitativement, en amlioration constante ; toutes les pratiques dites courantes sont ainsi trouves et dnies.

Dire dexpert
Plus une entreprise connat, gre et contrle un processus, plus le niveau de maturit de ce processus scurit sera lev.

Groupe Eyrolles

Chapitre 6

CRAMM

HISTORIQUE
Cest le gouvernement britannique qui est lorigine de la mthode CRAMM ; elle est apparue en 1987. Au dpart, elle concernait les administrations, puis elle sest oriente vers les entreprises du secteur priv. Elle a subi de nombreuses rvisions, sa dernire version tant la version 5. Le service de scurit du gouvernement britannique est propritaire de la mthode.

DFINITION
CIBLE ATTEINDRE
Lutilisation de la mthode CRAMM nest pas spcique une infrastructure informatique ou technologie informatique particulire, elle peut sappliquer lensemble des systmes informatiques, que lon soit en phase de mise en place, dvolution ou de changement du systme dinformation.

La mthode CRAMM prend en compte cinq aspects : laudit (audit faire avant et audit faire aprs) ; limplmentation, cest--dire instaurer la mthode au sein dune organisation ; la vulnrabilit, cest--dire rechercher les maillons faibles quil faut renforcer ; les menaces, les risques ; lexistant dans lequel il sagit de prvoir o, quand et comment un incident, un problme, une catastrophe, pourrait se produire dans un futur proche.

Groupe Eyrolles

224

Les mthodes

APPLICATION
Mettre en application la mthode CRAMM demande de faire des points de contrle phase aprs phase, aussi bien pour les activits mtiers que pour les activits organisationnelles. On prend en compte le lieu de travail des personnes, les bureaux, les entrepts, ainsi que les composants informatiques, comme lensemble des logiciels et progiciels quutilise un service ; lautre composant informatique concerne les crans, les imprimantes, le mainframe. La mthode CRAMM doit connatre lexistant du parc informatique ; le meilleur moyen est de faire un inventaire la fois matriel et logiciel du systme dinformation. Un chiffrage est effectu pour toute la partie matrielle ; et pour la partie logicielle, on raisonne en termes dimpact business, dindisponibilits, de pertes de donnes il sagit de la prise de connaissance de lexistant et de son valuation. Aprs cette prise de connaissance et cette valuation, il sera possible dattribuer chaque problme un scnario. Lide pour le systme dinformation est de connatre lavance lensemble des problmes possibles, et de voir et danticiper ce qui peut se passer et ce qui peut tre fait. ce niveau, il sagit de lvaluation des menaces et des vulnrabilits. Lavantage de la mthode CRAMM est quelle dispose de sa bote outils, qui est constitue de 300 contre-mesures qui sont organises en 70 groupes spciques. En fonction du risque, il sera dcid via loutil de mettre en place ou non une contre-mesure. Il sagit de la slection des contre-mesures.

Dire dexpert
Il existe diffrentes dclinaisons de la mthode (ex : CRAMM Express et CRAMM Expert) qui sont toutes accompagnes dun outil.

Groupe Eyrolles

Chapitre 7

EBIOS

HISTORIQUE
En 1995, la mthode EBIOS (Expression des besoins et identication des objectifs de scurit), dorigine franaise, est cre par la DCSSI (Direction centrale de la scurit des systmes dinformation). La mthode EBIOS concerne toutes les entreprises quelle que soit leur taille.

DFINITION
RETENIR
Lanalyse des risques est au centre de la mthode EBIOS. La phase principale concerne la mthode danalyse de lexistant ; la phase nale permet didentier toutes les exigences de scurit fonctionnelles.

Une mthode doit tre simple dutilisation et conviviale ; EBIOS sinscrit dans cette logique car il sagit dun guide qui est dcoup en cinq phases. Or, qui dit guide dit conseils souvent pratiques, trs oprationnels. De plus, il est possible de trouver le guide sur le site Internet de la DCSSI.

Les grands principes de la mthode EBIOS


Groupe Eyrolles

Analyser lexistant (activits, processus, livrables qui doivent tre protgs). De cette analyse, il faut regarder les risques et les ventuelles failles de linfrastructure du systme informatique (architectures techniques et fonctionnelles).

226

Les mthodes

partir des diffrentes analyses, il sera possible de faire une synthse et de proposer un plan daction an de rduire les risques. Pour aider synthtiser les rsultats, la DCSSI propose un logiciel gratuit et un ensemble de documents (rapports) qui font ofce de livrables pour les diffrentes directions de lentreprise (direction gnrale, direction du systme informatique et de lorganisation, direction de la scurit, direction nancire). Pour les activits traitant des donnes classes dfense , le document ou rapport issu de loutil de la DCSSI est indispensable. La mthode EBIOS a toute son importance en matire de gestion des risques au sein des entreprises franaises.

APPLICATION
Un des points forts de cette mthode est quelle a t pense de faon tre autonome, cest--dire quelle na besoin pour entrer en application que dun petit groupe de personnes comptentes et volontaires, en interne lentreprise ; elle na pas besoin daide ou dassistance extrieure (prestation dexperts en scurit informatique). Son rle sera de conduire la mthode au sein de lentreprise. Attention, cela ne veut pas dire non plus que le petit groupe projet (interne) doit travailler tout seul dans son coin non, au contraire, un grand nombre de services, voire tous les services de lentreprise, sont concerns. La communication est au rendez-vous bien entendu. Comme il sagit dune dmarche projet, il faut quelques prrequis qui ont la mme smantique pour tous, les mmes dnitions, les mmes orientations. La gestion des risques est importante dans la mthode EBIOS ; son but est dapporter toute laide ncessaire et indispensable pour laborer des mesures de scurit fonctionnelles et techniques quil faudra mettre en place dans lentreprise autour du systme informatique. RETENIR
EBIOS nest pas une mthode ferme, elle est complmentaire des normes internationales comme la norme ISO 17799 et la norme ISO/IEC 15408 qui concerne les critres communs ; cette position lui donne toute son importance vis--vis des entreprises.
Groupe Eyrolles

EBIOS

227

Les cinq phases de la mthode


N tape Descriptif de ltape

Prise de connaissance et tude de la situation

Primtre tudier. tude de lorganisation. tude de lorganisation cible. Identication de lensemble des composants de la cible.

Objectif souhait et dnition des besoins en termes de scurit

Formalisme du besoin. laboration des documents propres aux besoins. Rcapitulatif de lensemble des besoins de scurit.

Analyses et tude des menaces

Investigation et analyse. Analyse des sources des risques et des menaces. Analyse des faiblesses. Synthse et standardisation des menaces.

Cadrage des besoins et dnition des besoins de scurit

Relations menaces, besoins. Rapprochement des menaces par rapport aux besoins et aux attentes. Standardisation des attentes et objectifs en termes de scurit. Dcisions des seuils minimes en termes de scurit.

Choix des exigences et dcisions dactions du respect des engagements de scurit

Choix et dcision des exigences de scurit. Dcisions sur les engagements de scurit fonctionnelles. Dcisions sur les engagements de scurit dassurance.

Dire dexpert
Groupe Eyrolles

Trs complte, la mthode peut tre acclre par lutilisation des diverses listes et bases de connaissance ; tout en restant exhaustive et exible, la mthode prcise elle-mme les points pouvant tre modis, suivant les caractristiques de lorganisation tudie.

Chapitre 8

Hoshin

HISTORIQUE
La mthode Hoshin est originaire du Japon. Elle est apparue n 1960. Les grandes entreprises japonaises ont contribu fortement son dveloppement. Cette mthode est galement appele le management par perce ; elle fait partie des autres mthodes du management de la qualit totale.

DFINITION
RETENIR
Il sagit de progrs important et stratgique pour lentreprise, progrs quelle doit mener an datteindre les objectifs majeurs. La mthode Hoshin doit tre vue comme une action volontaire, qui va de lavant et qui recherche lamlioration permanente.

Les objectifs
La direction a un rle important jouer, cest elle qui donne les orientations et dnit ainsi pour lentreprise la stratgie de demain. La mthode Hoshin permet de positionner la direction gnrale de lentreprise au cur de la mthode, en sensibilisant le personnel sur le chemin suivre en matire de qualit totale. Trois points importants ressortent : tre en mesure de dgager les rsultats antrieurs, le pass ;

Groupe Eyrolles

230

Les mthodes

saisir la situation actuelle ; on soccupe du prsent, on regarde les contraintes, les risques, les opportunits par rapport aux clients, au march conomique ; comprendre la vision future avec les objectifs prvus. Lide est de faire ressortir lensemble des bonnes ides et bonnes pratiques des annes coules, avec pour point de repre la satisfaction client. En regroupant les trois situations, il est possible de faire sortir les plans daction court et moyen terme sur ce quil faut entreprendre pour samliorer et se dvelopper de manire sereine et pertinente dans un futur proche. Hoshin peut tre utilise pour diffrentes choses : lanalyse et la rexion sur les processus amliorer, la gestion des problmes et les rclamations clients. Lavantage de cette mthode est quelle est facilement gnralisable diverses activits. Si la mthode Hoshin est employe dans lindustrie, elle pourrait trs bien tre utilise dans les services car elle fait partie de la dmarche Kaizen ; elle est par consquent facilement adaptable, quel que soit le domaine dactivit de lentreprise. Comme beaucoup de mthodes japonaises, le volontariat a un rle important jouer ; le personnel doit tre force de proposition sur son lieu de travail, chacun dapporter sa pierre la construction de ldice qui nest que la mise en uvre de la qualit totale au sein de lentreprise. STRATGIQUE
La mthode Hoshin est la fois un outil stratgique pour la direction gnrale, et un outil la porte des quipes oprationnelles.

APPLICATION
Groupe Eyrolles

La mise en application de la mthode Hoshin demande une analyse pousse des actions passes et prsentes, et des objectifs futurs. La direction synthtise les trois analyses et prsente les actions damlioration qui seront entreprises conformment au planning.

Hoshin

231

La communication est importante. La direction doit tre moteur en la matire en sensibilisant les quipes, en prsentant un planning, les jalons, les objectifs attendus. Elle doit tre la fois le sponsor et le leader dans une telle dmarche. Elle doit encourager les quipes, les rcompenser, mais savoir aussi les recadrer en cas de drives. Lide est de prendre en compte les donnes des actions passes, des actions actuelles, et de faire apparatre la tendance pour btir la solution de demain. Cette mthode sinscrit dans un cycle damlioration continue et sinspire fortement de la roue de Deming, avec le PDCA :
PLAN PRVOIR DO FAIRE CHECK VRIFIER ACT RAGIR

DANGER
Comme toute mthode, il est prfrable de commencer simplement, et davancer tape par tape. Il ne faut pas aller trop vite, mais faire des points davancement rguliers. La direction a un rle important, elle doit montrer son engagement permanent.

Dire dexpert
Deux acteurs sont importants pour la russite de la mise en place de la mthode Hoshin : la direction gnrale, par sa prsence continuelle, sa position de leader, sa capacit mobiliser les quipes, et sa vision du futur ; lensemble du personnel, par une appropriation de la mthode, une comprhension des enjeux ; chacun, son niveau, est indispensable.
Une constante contribution des quipes et de la direction est ncessaire ; dans ce cas, la mthode aura toutes les chances de rpondre aux attentes de la direction.

Groupe Eyrolles

Chapitre 9

ITBPM

HISTORIQUE
Cest par le bureau allemand pour la scurit informatique que la mthode ITBPM est apparue dans le monde des entreprises. Ce bureau a pour principale mission de donner des conseils, voire des recommandations, par rapport des situations relles vcues par certaines entreprises. On retrouve les mmes objectifs entre le bureau allemand et son homologue franais, la DCSSI.

DFINITION
ITBPM prsente une liste de recommandations qui sont en rapport avec diffrents systmes dinformation ; chaque systme comprend son infrastructure, son organisation, son personnel. Cette approche permet davoir une vision globale des diffrents cas de gures possibles. Lensemble des recommandations doit permettre davoir un niveau de scurit sufsant pour les systmes dinformation de lentreprise qui ont besoin dun niveau de scurit normal. Diffrentes mesures de scurit peuvent tre mises en place, par exemple pour le domaine organisationnel, personnel, technique, architecture standard.

APPLICATION
Groupe Eyrolles

La mthode ITBPM comporte des tables de correspondance entre les diffrentes menaces qui existent en termes dintrusions, de vandalisme et leurs contre-mesures associes.

234

Les mthodes

Processus de scurit : Politique de scurit du SI. Management de la scurit du SI.

Cration dun concept de scurit.

Implmentation des mesures oublies dans les domaines architecturaux organisationnel, personnel, technologique et calendaire : Permet davoir conscience de la scurit du SI. Constitue un entranement concernant la scurit du SI.

Maintenance des oprations constantes.

Vision du processus de scurit

Un tableau les rcapitule :


Modules Menaces Contre-mesures

Modules prsents travers les organisations de lentreprise Modules lis ltablissement, aux liaisons rseaux Modules lis la communication tels que le tlphone, le fax Machines autonomes sans connexions Machines connectes Matriels, machines de transmission (modems, routeurs) Les autres machines

Dysfonctionnement au sein de lorganisation Situation difcile Dysfonctionnement Anomalie technique Faute humaine Vandalisme

Indicateurs Indicateurs Indicateurs

Indicateurs pour tous les cas de gures


Groupe Eyrolles

ITBPM

235

Dire dexpert
Un des grands avantages de lITBPM est doffrir un guide (gratuit) au grand public et aux professionnels de la scurit informatique, actualis tous les six mois : volutions, rajouts Le site offre dautres avantages, comme pouvoir changer sur des thmes spciques ou gnraux concernant la scurit des systmes dinformation.

Le guide met en uvre une dmarche rapide proposant des solutions techniques dtailles et rgulirement mises jour. Nanmoins, il apparat ncessaire de mener une vritable analyse de risques de scurit des systmes dinformation pour tout systme dont les enjeux de scurit sont importants. Il serait envisageable dintgrer les mesures de scurit de lITBPM dans les bases de connaissance de la mthode EBIOS, et dadopter lapproche baseline pour des systmes dinformation ne ncessitant pas un niveau de maturit lev. Par ailleurs, il pourrait tre utile denrichir loutillage de lITBPM par une dmarche globale de gestion des risques telle que EBIOS.

Groupe Eyrolles

Chapitre 10

Juste--Temps

HISTORIQUE
La mthode du Juste--Temps est originaire du Japon ; cest suite des contraintes de stockage de marchandises (entrept) quelle a t mise en place. Son nom explique bien ce que lon attend delle. En anglais on parle de JIT ou Just-in-Time. Produire un bien, un produit et le livrer en peu de temps reprsente bien la philosophie du Juste--Temps. Cette mthode est fortement utilise dans le secteur industriel et commence se dployer dans le secteur du service.

DFINITION
Le Juste--Temps a pour objectif de produire le bon produit, au bon moment, et de le livrer la bonne personne au bon moment et au moindre cot. RETENIR
Le Juste--Temps concerne un large primtre : du fournisseur de matire premire (en amont) jusquau client nal (en aval). Tous les acteurs de la chane de valeur sont concerns.

Groupe Eyrolles

Les secteurs dactivit o le Juste--Temps est en place depuis de nombreuses annes sont lindustrie automobile, lindustrie des composants lectroniques, llectromnager et la grande distribution.

238

Les mthodes

Le Juste--Temps parle de ux tir et de ux tendu : ux tir : tout part dune demande du client. Cest le mode de fonctionnement des constructeurs automobiles, la commande du client tant le point de dpart de la production (usine de fabrication) ; ux tendu : produire trs vite en minimisant le temps de passage entre les chanes de production. Il est difcile de parler de Juste--Temps sans parler du Kanban. Le Kanban veut dire tiquette . Par rapport notre mthode, prenons un exemple : dans un magasin de pices de rechange, le magasinier est responsable de la gestion de son stock. Dans les rayons, on trouvera des vis (dun certain calibre, dune certaine rfrence) dans des botes ; quand une des botes se vide et quelle arrive un seuil critique (nombre de vis disponibles dans la bote, soit 150), alors un voyant rouge sallume en dessous de la bote concerne ; le seuil de 150 vis est un seuil dalerte ou critique. Ici, le Kanban est matrialis par la couleur des voyants : vert, tout est normal, rouge, il faut prvoir du stock, de la production. Le magasinier, ce moment-l, sait quil doit faire un approvisionnement. Il faut retenir que la demande vient de laval, cest--dire dans notre cas, du client. Le client fait une demande, il faut lhonorer, cest--dire produire bien sr par rapport cette demande, et prendre en compte ltat du stock : combien de vis sont en stock ? le stock de scurit a-t-il t dpass ? Un autre terme qui fait partie du primtre du Juste--Temps est le zro stock, cest--dire que lon cherche rduire au minimum les stocks (encours). La rduction des stocks entrane une rduction des cots, cest--dire moins de frais, de matire premire, de gaspillage, dencombrement physique, de surface au sol (loyer), de surveillance, de gardiennage un ensemble dlments qui reprsentent des frais directs ou indirects pour lentreprise.

Mettre en place une mthode Juste--Temps demande de solides connaissances en management industriel ; il faut bien connatre lensemble des partenaires qui travaillent avec lentreprise, leur organisation de production, leurs limites, leurs capacits.

Groupe Eyrolles

APPLICATION

Juste--Temps

239

Il est recommand de sintresser aux clients en termes dattentes, dorganisation daccueil des nouveaux produits livrs chez eux, de capacit de rception et de stockage, an de ne pas devoir repartir avec la marchandise livre pour manque de place. Faire une analyse de lexistant est primordial : savoir ce que lon peut faire, quelles sont ses limites en termes de machines, capacits, personnels et ses moyens, outils et processus en place, personnels forms, systme dinformation Suite cette analyse, voir les carts qui existent entre la situation actuelle et la cible atteindre, et les combler : en laborant un plan daction, un calendrier, et en choisissant des sites pilotes avec des clients pilotes quand cela est possible ; en traitant des aspects amont (fournisseurs, partenaires, leurs organisations, capacits machines) pour la matire premire ; en traitant des aspects internes (capacits machines, cadences, ordonnancement, personnels, organisations, systme dinformation, code-barres, RFID, stockage, logistique interne) ; en traitant des aspects aval et externes (capacits camions, chauffeurs, otte, autres partenaires, entrepts de stockage, livraison chez le client). Beaucoup dlments sont prendre en compte dans une dmarche Juste--Temps.

Dire dexpert
Le Juste--Temps demande de la ngociation avec les services internes de lentreprise, les partenaires (livraisons si sous-traiter) et le client nal. Les organisations (partenaires, client, entreprises) sont concernes et sont donc impactes dans leur mode de fonctionnement. Qui dit Juste--Temps dit livraison nationale ou internationale. Dans ce dernier cas tout spcialement, dautres critres sont prendre en considration : types de transport (air, mer, rail, route) et douanes.
Groupe Eyrolles

Chapitre 11

Kaizen

HISTORIQUE
1946 (Japon) : Taiichi Ohno et Shigeo Shingeo sont les pres du systme de production, le Toyota Productive System (TPS). Cest dans les usines Toyota que le TPS a vu le jour. Quelques lments du TPS : le Juste--Temps, la rduction du gaspillage, le systme ux tir. 1986 (Japon) : Masaaki Imai, consultant de renom au pays du SoleilLevant, fait connatre lOccident le concept Kaizen ou plus prcisment la philosophie Kaizen dans le cadre du TPS. Il fonde le Kaizen Institute. Il intervient auprs de grands groupes comme Renault, HP 1993 (Royaume-Uni) : le mot Kaizen entre dans le New Shorter Oxford English Dictionary.

Quelques grands noms


Taiichi Ohno (1912-1990), Japonais, est linitiateur du TPS, le systme de production de Toyota, connu dans les grandes industries (mthodes Juste--Temps, Kaizen). Edward Deming (1900-1993), Amricain, est linitiateur et lambassadeur de la roue de Deming appele le PDCA. Masaaki Imai, Japonais, est le fondateur du Kaizen Institute, et du concept de la qualit totale. James P. Womack, Amricain, est lorigine du Lean Enterprise.
Groupe Eyrolles

DFINITION
Kaizen : Kai = changement, Zen = meilleur, bon.

242

Les mthodes

RETENIR
Kaizen : amlioration continue, progrs permanent.

La logique client Cest lesprit de groupe qui fait la diffrence !


Les moyens Procdures Travail Satisfaction du client interne ou externe Les objectifs

Amlioration

valuation

Le travail est organis en processus autour de lamlioration continue : matrise globale de lenchanement des tches jusquau client ; amlioration permanente lcoute du client (interne et externe) ; visibilit de la contribution de chacun la performance globale.

Thorie
Le Kaizen est une philosophie. Dans un monde qui bouge, avec des clients exigeants et une concurrence froce, on doit sadapter rapidement. Mais comment sadapter ? Le Kaizen permet de rpondre la question en prenant en compte trois lments : les concepts (la faon de penser) ; les systmes (la manire de travailler) ; les outils (la manire de rsoudre des problmes). Le Kaizen est une stratgie oriente client. Pourquoi vouloir amliorer son quotidien (personnel et professionnel) ? Pour se satisfaire et pour satisfaire le client. Une amlioration qui napporterait pas la satisfaction du client est inutile. La question quil faut se poser est la suivante : en quoi le changement va-t-il augmenter la satisfaction de mes clients ?
Groupe Eyrolles

Kaizen

243

Le Kaizen concerne les personnes, et la culture dentreprise quil semploie changer.

APPLICATION
Le Kaizen doit tre port par la hirarchie. Lencadrement doit montrer le chemin ; ce titre, son implication en tant que leader est primordiale. RETENIR
Trois lettres retenir plus une nouvelle : Q C D S Q pour qualit, C pour cot, D pour dlai et S pour service.

QUALIT

Service

COT

DLAI

Nous lavons dit, le Kaizen est une philosophie, et qui dit philosophie dit tat desprit. Les ides ci-dessous correspondent ltat desprit du Kaizen : samliorer de faon continue na pas de limite ; savoir se remettre en question ; trouver des ides et mettre en pratique ses ides ; se xer des objectifs ralisables avec des gains raisonnables ; apporter la correction dans limmdiat et ne pas la remettre au lendemain ; utiliser les 5 pourquoi , ou identier la cause et la rsoudre ; appliquer immdiatement les plans dactions damlioration ; chercher et identier des ides en cas de problme ; capitaliser sur dix ides au lieu dattendre une ide pertinente ; tester et ensuite dcider.

Groupe Eyrolles

244

Les mthodes

Les principes gnraux du Kaizen


Le Kaizen rassemble de nombreuses dmarches de progrs, gnralement utilises dans les services de production et les industries. Parmi elles, 5S, SMED, Poka-Yoke, Kanban, Andon, TPM que lon rencontre plus souvent au sein des directions de production : Andon : systme qui permet davertir les quipes de supervision en cas de problme sur une ligne de production. Le technicien sur la ligne en question dclenche le signal ; Poka-Yoke : dispositif permettant dviter les erreurs ; Cercles de qualit : apportent une amlioration dans lactivit dun service. Les membres du cercle viennent de mtiers diffrents, le volontariat est au rendez-vous.

Mettre en place une dmarche Kaizen


Pour mettre en place une dmarche Kaizen, il faut : Sensibiliser la hirarchie. Former la hirarchie. Communiquer auprs de lensemble du personnel. Organiser des sminaires de formation auprs des cadres et de la matrise. Organiser des groupes de travail auprs des employs, techniciens, ouvriers. Prvoir une priode dobservation et faire un premier bilan. Sinscrire dans un cycle PDCA. Avancer pas--pas dans les actions. Reconnatre leffort et le rcompenser.

Le Kaizen permet de se remettre en question de manire permanente, an de rechercher lamlioration continue travers son travail et dans sa vie personnelle.
Groupe Eyrolles

Les avantages du Kaizen


La mthode Kaizen prsente des avantages : Il nest pas ncessaire de voir grand au dbut, traiter un petit sujet. Mise en place non onreuse.

Kaizen

245

Amliore et facilite le travail dquipe. Utilisation doutils simples de rsolution de problmes.

Dire dexpert
Le Kaizen est une capitalisation de bonnes pratiques qui reposent sur du bon sens, du formalisme et surtout une implication de toute lentreprise, en commenant par la direction gnrale, qui doit montrer lexemple. Tout le personnel est impliqu, des plans de formation sont organiss, des ateliers spciques sont mis en place, des leaders sont nomms au sein des dpartements et des services. Il ne sagit pas dune mthode big-bang, ou type lectrochoc ; avec le Kaizen, on sinscrit dans la dure, tape par tape on consolide, on samliore, on dveloppe le champ daction aux autres services, dpartements, voire aux partenaires, et on compte beaucoup sur la prise de conscience des personnes.

Groupe Eyrolles

Chapitre 12

Knowledge Management

HISTORIQUE
Cest dans les annes 1990 quest mentionn le nom de Knowledge Management (KM) dans les revues spcialises, aux tats-Unis. Concomitamment apparat la notion de veille technologique.

DFINITION
Il sagit dune bote outils qui permet chacun au sein de lentreprise de bncier des bonnes pratiques, du savoir-faire, et cela de manire simple. On pourrait comparer le KM une vritable base de connaissances. Dnition oprationnelle : mettre disposition linformation auprs du demandeur (personne), et linstant le plus propice pour lui sans demande formelle de sa part. STRATGIQUE
Dnition stratgique La plus-value du KM est de capitaliser et de prenniser les connaissances de chacun en matire de service, de bien, de processus, et de structure organisationnelle de lentreprise.

Concept
Groupe Eyrolles

Les principaux concepts de KM sont : Le KM doit rpondre aux enjeux stratgiques de lentreprise. Le KM est mis en uvre travers une large panoplie de mthodes et doutils.

248

Les mthodes

Le KM est facilit par les organisations et un mode de management appropris.


La ractivit fait la diffrence !
Les moyens Les objectifs

Connaissances

Processus et procdures

Comptences

Travail

Satisfaction du client interne ou externe

Ressources Amlioration valuation

Management prvisionnel

Anticipation

Le KM doit permettre lanticipation des volutions des attentes des clients : matrise des connaissances et des comptences appliques au processus ; matrise de lensemble des ux dinformation internes et externes ; reconnaissance de la comptence humaine ; rponse aux besoins du client et dveloppement dune vritable pdagogie sur le client.

Les objectifs
Objectif Dnition

Optimiser les processus

Amliorer la dcision

Faire des choix et dcider de manire intelligente en ayant pris connaissance des diffrentes propositions au pralable. /

Groupe Eyrolles

Rduire les cots et dlais, amliorer la qualit et la productivit en rutilisant la connaissance existante et en vitant de rpter les erreurs dj commises.

Knowledge Management

249

Objectif

Dnition

Valoriser et prenniser les comptences

Chercher et trouver les meilleures comptences qui seront complmentaires les unes aux autres et les faire partager, tout en assurant une certaine capitalisation des acquis. Faire merger les ides nouvelles par fertilisation croise, les transformer en projet industriel et russir la mise sur le march.

Innover

Qui est concern ?


Tout le personnel de lentreprise : bonnes pratiques, savoir-faire, informations pertinentes faire partager. Les experts : changes des informations sur les tests, les nouvelles versions, les salons, sminaires, dune mme entreprise ou entre diffrentes entreprises. Des groupes dutilisateurs : partage de leur niveau de connaissances sur les nouvelles volutions, les astuces des produits

APPLICATION
La dmarche KM repose sur trois tapes pour mettre en place un dispositif prenne de partage des bonnes pratiques : tape 1 : constitution dun premier rfrentiel de bonnes pratiques terrain structur selon les contextes dutilisation (masse critique) ; tape 2 : mise en uvre doutils permettant une utilisation et un enrichissement des bonnes pratiques par les principaux acteurs ; tape 3 : cration et animation dun dispositif prenne encourageant les acteurs utiliser et promouvoir la dmarche. Cette tape a pour objectif de faire vivre la base de connaissances ; cela demande des outils adapts selon le contexte et une relle implication des acteurs la bonne utilisation de la mthode.
Groupe Eyrolles

Dans tous les cas de gure, il faut commencer la dmarche avec une vision raliste et optimiste car des efforts seront demands aux diffrents acteurs.

250

Les mthodes

Les outils du portail


Le schma ci-dessous donne une bonne vision des diffrents outils possibles et de leurs associations tout au long du cycle de vie du KM.

E-learning Conception de dispositifs pdagogiques

Annuaires dexpertise Qui fait quoi Qui sait quoi ?

Portail
Capitalisation Recueil des connaissances dun expert ou groupe projet Communauts de pratiques Partage des pratiques Cartographie Reprage des connaissances et comptences appliques aux processus Innovation, SPL

Annuaire dexpertise Il permet didentier les diffrents experts en relation avec leur domaine de comptences. Exemple : Dsol, mais je ne moccupe pas de cela, je ne sais pas qui est expert sur le sujet. Communaut de pratiques Espace dchanges, capitalisation sur ce qui marche bien, les piges viter.

Groupe Eyrolles

Knowledge Management

251

Cartographie Identication des connaissances et des comptences stratgiques et importantes pour lentreprise en rapport aux processus. Vision simple et rapide des points cruciaux pour lentreprise. Capitalisation Centralisation des savoir-faire des experts par domaine dactivit. Chaque expert est garant de sa base de connaissances. E-Learning Principe dautoformation, auto-valuation pour un domaine de connaissance particulier, la disposition de lensemble du personnel de lentreprise. Lide principale est bien de pouvoir partager auprs de toutes les connaissances, avec pour but davoir en retour suggestions et propositions damlioration de la part des lves (personnel en formation).
Avant Aprs Comment ?

Un relatif isolement des collaborateurs.

Les bonnes pratiques sont partages entre les services. Gain de temps et ractivit accrue.

Une mthode pour recueillir, structurer et formaliser les bonnes pratiques. Une mise en place doutils simples et efcaces de partage des bonnes pratiques.

Peu de mise en commun des pratiques entre les commerciaux. Intgration longue des nouveaux embauchs.

Un dispositif pour acclrer lintgration.

Une dmarche daccompagnement centre sur les rsultats, le transfert de savoir-faire, la prennit du partage.

Circulation de linformation souvent descendante.


Groupe Eyrolles

Une reconnaissance des comptences du terrain. Un outil de management commercial, stratgique. Un accompagnement par des consultants experts.

252

Les mthodes

KM 2.0
LES NOUVEAUTS
La mthode KM volue : on commence voir apparatre le Web 2.0 qui, par sa structure Web, permet davoir un champ daction beaucoup plus large que le KM standard. Le KM 2.0 sinscrit dans une mthode participative ; toute personne faisant partie dune entreprise, dune association, dune institution est en mesure dtre un acteur actif dans les relations qui existent autour de la mthode KM 2.0. Les rseaux ouverts permettent dchanger, de partager, de crer, de vhiculer toutes les nouvelles connaissances, et ce, malgr les diverses entits oprationnelles qui existent au sein des entreprises.

Il commence apparatre les iKM qui ne sont que les KM 2.0 vision Internet. Exemples de iKM : les Web smantiques (internes ou externes lentreprise), les blogs, les wikis (base de connaissances), les systmes de networking, les rseaux dexperts, les rseaux sociaux, les environnements virtuels

Groupe Eyrolles

Chapitre 13

Lean

HISTORIQUE
Initialement mise en place au Japon par Taiichi Ohno de chez Toyota, la mthode Lean permet lentreprise dtre plus proche des clients et, comme le Kaizen, de rduire toutes les sources de gaspillage. De nos jours, le Lean est utilis dans lindustrie et commence se dvelopper dans le secteur des services. J. Womack et D. Jones, tous deux fondateurs et prsident du LEI (Lean Enterprise Institute), sont devenus les promoteurs de la mthode travers le monde. RETENIR
Lean concerne les domaines de la planication stratgique oprationnelle, la conception, la production et la logistique dlai court.

DFINITION
La mthode Lean sarticule autour de cinq critres importants qui sont : la valeur ou couter la voix du client ; cartographier les ux ; tirer les ux ; rsoudre les problmes ; rechercher la perfection.

Groupe Eyrolles

254

Les mthodes

APPLICATION
Un des prrequis est davoir de bonnes connaissances en matire de management industriel, car dans beaucoup de cas il sagit dactivits de ce secteur. Mettre en application la mthode Lean reprsente beaucoup de travail, elle sinscrit dans le temps et la gestion des ux est importante ; il faut savoir identier les points critiques, la perte de temps, rduire les priodes dattente trop longues des produits sur la chane, le manque de place pour les encours, le surplus de stocks tampons Il sagit bien dune organisation au sein des ateliers, ou des lignes de production ; il faut chercher optimiser, uidier le trac des ux. Laspect humain est aussi concern : tout le monde est impliqu, les bonnes ides sont les bienvenues, et il faut savoir se remettre en question. Les quipes de production doivent se responsabiliser ; un des moyens est lafchage des rsultats, sous forme de tableaux, par ligne de production sur le nombre dheures-hommes, et dheures-machines, an doccuper au maximum les lignes de production. Cela fait partie du management visuel. Cet outil a deux effets : le premier est la recherche de la motivation des quipes, le second est le challenge entre les diffrentes quipes. Identier le nombre de rebuts par ligne de production, chasser le gaspillage, rduire les stocks sont les activits fortes du Lean. Les prestataires sont concerns par la mthode Lean ; ils doivent tre en mesure de pouvoir sadapter et, eux aussi, de participer la dmarche. La mise en application de Lean concerne non seulement lentreprise qui progresse, mais aussi les partenaires. Il sagit dun vritable effet de masse. La dmarche permet dobtenir des gains importants (production) si elle est mene de manire intelligente. La troisime gnration Lean a vu le jour vers 2000. Aujourdhui, Lean, qui, comme son prdcesseur Juste--Temps, identie et chasse le gaspillage (Muda), comprend cinq tapes.

tape 1 : couter la voix du client


Comme le supply chain management, Lean commence par le client nal. Quels sont ses besoins et attentes ? Toutes les actions par la suite sont dnies et excutes la lumire de cette voix du client qui comprend les clients intermdiaires et le client nal.
Groupe Eyrolles

Lean

255

1
couter la voix du client

2
Rsoudre les problmes Se perfectionner Cartographier les flux des valeurs

Tirer lensemble des flux

tape 2 : cartographier les ux (Value Stream Mapping VSM)


La deuxime tape consiste cartographier un ux majeur qui aura t choisi daprs la voix du client, an didentier les gaspillages en termes de stocks, de dlais et de non-qualit. Les quatre tapes de la mthode de cartographie des ux : dnition de la cible ; ralisation de la carte actuelle ; ralisation de la carte future ; plan daction et implmentation.

tape 3 : tirer les ux


Aprs la cartographie du ux actuel puis du ux amlior, ce qui mettra en vidence les Kaizen ou petites amliorations ncessaires pour passer de lun lautre, les tapes 3 et 4 de Lean correspondent au Juste-Temps pour tirer la production et la qualit totale pour rsoudre les problmes ainsi mis en vidence, cachs jusquici par les stocks.
Groupe Eyrolles

256

Les mthodes

tape 4 : rsoudre les problmes de non-qualit


Le concept de qualit va de pair avec Lean. Au-del de la simple conformit de produits aux spcications, un processus de qualit totale fera son produit avec le strict minimum de ressources. Lean sapplique bien davantage que la production, ce qui peut constituer un avantage concurrentiel pour lentreprise qui y va la premire ! Par exemple, Lean Supply Chain Management cherche liminer les gaspillages entre les maillons de la chane logistique, tandis que Lean Production focalise sur les processus lintrieur du maillon usine ou entreprise .

tape 5 : perfectionner
La cinquime tape de Lean correspond la tension des ux, un (Kanban) de moins la fois, pour rduire graduellement les stocks, cette protection temporaire et coteuse du gaspillage sous-jacente laquelle Lean veut sattaquer. LES NOUVEAUTS
Lean prend de plus en plus dimportance, les entreprises se rendant compte des bienfaits de la mthode ; il est facile de transposer la mthode dans les services car on y retrouve des similitudes avec le secteur industriel : gestion des ux, rsolution de problme, chasse aux gaspillages, partenaires ables, recherche de la perfection

Dire dexpert1
Lean na pas rponse tout mais la mthode permet dapporter des rponses et des solutions beaucoup de problmes. Il faut que les personnes soient sensibilises la dmarche, quelles comprennent les enjeux de la direction et que, si lentreprise travaille mieux, celle-ci ralisera des gains qui auront certainement des rpercussions directes ou indirectes sur leurs conditions de travail.

1. Benot Nelaton, responsable industrialisation.

Groupe Eyrolles

Lean

257

Relation Lean-Kaizen
La mthode Kaizen est plus ancienne que la mthode Lean. La mthode Lean est trs oriente production, industrie (manufacturing), bien quelle commence smanciper vers les services, alors que la mthode Kaizen concerne toute lentreprise, elle fait partie de sa culture ; les deux mthodes sont complmentaires. Des rapprochements verront peut-tre le jour dans quelques annes.

Les plus de la cartographie des ux (VSM)


La cartographie des ux (VSM) est un outil puissant qui permet davoir une reprsentation visuelle des ux de matires et dinformations. Elle permet de dtecter les gaspillages, davoir une vision systme et de se centrer sur une perspective client. Suite une analyse VSM, une vritable feuille de route pour les changements peut tre tablie. Identier les lieux o se produisent les gaspillages, avoir des priorits en termes dactions damlioration continue (rduction des dlais, des encours et des stocks), instaurer un vocabulaire commun grce des groupes de travail, Lean permet dapporter la mme vision des choses aux diffrents acteurs.

Groupe Eyrolles

Chapitre 14

MEHARI

HISTORIQUE
Parmi les mthodes danalyse des risques, la mthode MEHARI (Mthode harmonise danalyse de risques) est dorigine franaise ; cest le Clusif qui la fait connatre. Il sagit dune association de professionnels spcialiss dans le domaine de la scurit informatique. MEHARI est une fusion de deux autres mthodes. RETENIR
Les deux mthodes sont MELISA, qui concerne la dfense (les armes quel que soit le corps), et la mthode MARION, qui, au dbut, avait pour principaux clients les banques et les assurances, et par la suite dautres secteurs comme lautomobile.

DFINITION
La mthode MEHARI apporte des conseils et fait rfrence un ensemble dexemples dutilisation de la mthode dans des milieux professionnels. Pour mener bien cette mthode, un pilote doit tre nomm par la DSI. Un des grands avantages de la mthode est que le Clusif met disposition sur son site un ensemble de bonnes pratiques et doutils.

Groupe Eyrolles

APPLICATION
La mise en application de la mthode demande de la rigueur et une bonne connaissance des organisations, car la scurit informatique touche lensemble des utilisateurs et pas seulement les quipes de la DSI.

260

Les mthodes

Il faut galement savoir mener des campagnes daudits. cette n, la mthode apporte les bases ncessaires, grce plusieurs guides qui sont lanalyse de risques, laudit des services de scurit, lidentication et le classement des ressources sensibles, llaboration des objectifs de scurit. Lide est de constituer des bases solides de connaissances (sur les audits, les services de scurit, les risques). En phase initiale, il faut identier et laborer le plan stratgique de scurit (PSS) ; cest la vision globale de la scurit informatique au sein de lentreprise. Il est dcid au niveau de la direction gnrale et concerne la validation des budgets, les ressources ncessaires affrentes, les volutions en termes dinfrastructures, la salle blanche, les sites externaliser Le plan oprationnel de scurit spcique (POS) concerne un site spcique, son organisation, les lments mettre en place pour celui-ci. Le plan oprationnel dentreprise (POE) permet dalimenter le tableau de bord via les indicateurs.

Dire dexpert
La scurit de linformation est importante, les projets qui sont sans prise de responsabilits de la part de la direction gnrale sont souvent vous lchec ; il faut, comme pour les dmarches de certication ISO, une implication forte de la direction. On assiste depuis peu une vritable prise de conscience de la part des directions gnrales grer les risques lis aux problmes du systme dinformation. Les mthodes voluent, elles fusionnent, elles se transforment. La mthode MEHARI en fait partie.

Groupe Eyrolles

Chapitre 15

OCTAVE/OCTAVE-S

HISTORIQUE
Lapparition dOCTAVE remonte lanne 1999. Cette mthode est dorigine amricaine, linitiative du Computer Emergency Response Team (CERT), centre dexpertise sur les incidents touchant la scurit du systme dinformation. Cette premire mthode concerne les entreprises, et a pour objectif dtre utilise au sein des entreprises avec la version 2.0 en 2001. En 2003, une version spciale PME a t ralise, il sagit de la version OCTAVE-S.

DFINITION
La mthode OCTAVE demande tre conduite par un groupe dacteurs : dun ct, des utilisateurs, gnralement des key users (utilisateurs connaissant bien le SI et les applications associes, ainsi que le domaine dactivit/mtier), de lautre ct, des reprsentants de la direction du systme dinformation.

APPLICATION
La mthode OCTAVE propose un catalogue dans lequel on trouve un ensemble de bonnes pratiques en relation avec les diffrentes activits.
Groupe Eyrolles

La mise en application de la mthode OCTAVE se dcompose en trois tapes : lorganisation : identier les activits informatiques stratgiques pour lentreprise et voir quelles seraient leurs principales menaces ;

262

Les mthodes

la technique ou plus prcisment la technologie : composants dinfrastructures, degrs de vulnrabilit composants, sur site, hors site. Une expertise est ralise an de bien identier les points critiques de linfrastructure informatique ; le dveloppement de la stratgie : cette tape permet de faire une synthse des diffrents rsultats des tapes prcdentes. Suite une analyse dtaille des risques, un plan de protection est labor et mis en place. Aprs ces trois tapes, des livrables sont produire, le plan daction est raliser court terme, pour toute lorganisation autour du systme dinformation, et le plan de gestion des risques de TI est excuter.

OCTAVE-S
Concernant la mthode OCTAVE-S, cest--dire spcialement conue pour les PME-PMI, si la dmarche est la mme on retrouve les mmes organisations , elle na pas la mme ampleur, et concerne moins de personnes avec des quipes plus rduites.

Dire dexpert
Lavantage dOCTAVE et dOCTAVE-S est que cette mthode accompagne les entreprises et offre un vritable service (guide, outils, conseils et exemples) lensemble des clients.

Groupe Eyrolles

Chapitre 16

PDCA (roue de Deming)

HISTORIQUE
Dans les annes 1950, Deming prsente une nouvelle mthode damlioration continue auprs du comit directeur de Keidaren, mthode plus connue sous le nom de PDCA. Shewhart est lorigine de la mthode. Cest au Japon que Deming intervient.

DFINITION
PDCA est une mthode damlioration continue. Elle a pour but damliorer les processus, les produits et les services. Elle concerne tous les domaines de lentreprise. Elle est complmentaire aux dmarches Kaizen, Lean et aux normes et rfrentiels ISO 9001:2000, ISO 14001:2004, ISO/ IEC 27001, ITIL V3

APPLICATION
La mise en application de la mthode PDCA est souvent reprsente par la roue de Deming qui est structure en quatre tapes : la premire lettre est le P de Plan, planier : tablir le plan daction et xer des jalons sur un calendrier connu de tous (les acteurs) ; la deuxime lettre est le D de Do, faire : passer laction, raliser ;
Groupe Eyrolles

la troisime lettre est le C de Check, vrier : vrier ce qui a t fait pour sassurer que tout est correct ; la quatrime lettre est le A de Act, ajuster : ajuster, voire corriger pour samliorer.

264

Les mthodes

Prparer Plan

P Agir Act A C D Faire Do

Vrifier Check

tape

Contenu

tape 1

Identier le problme. Construire un groupe de travail. Formaliser le problme (outils QQOQCCP). Mesurer la situation actuelle grce la dnition dindicateurs reprsentatifs du problme. Dnir lobjectif.

tape 2

Trouver les causes racines : rechercher les causes (brainstorming, PS/TB, diagramme dIshikawa) ; hirarchiser les causes (vote pondr) ; valider les causes principales (diagramme de Pareto). Choisir des solutions optimales : rechercher les solutions (brainstorming) ; slectionner les solutions (analyse multicritres).
Groupe Eyrolles

tape 3

tape 4

Mettre en uvre la solution retenue : dnir la zone dexprimentation ; rdiger un plan daction ; raliser toutes les actions dnies. /

PDCA (roue de Deming)

265

tape

Contenu

tape 5 tape 6

Mesurer les rsultats des solutions mises en place, et les comparer la situation initiale. Formaliser les solutions, et dans certains cas, mettre en place des systmes anti-erreur. Gnraliser les solutions si possible. Valoriser le groupe de travail et les personnes ayant mis en uvre les actions.

Dire dexpert
On parle souvent de cycle PDCA, cette mthode est trs utilise en entreprise. Elle demande une implication du personnel et de la hirarchie.

RETENIR
Un grand avantage de cette mthode est la mise en place de type projet : il est possible de travailler avec un service ou un dpartement la fois ; on ralise un pilote (un service en particulier), un bilan est fait, on recadre certaines choses, et on gnralise auprs des autres services ; le PDCA est par dnition sans n, car il sagit damlioration continue, ltape suivante est le Kaizen.

La roue de Deming est toujours trs utilise et elle le sera encore ; des volutions sont constates par rapport au dbut ; elle se rapproche de plus en plus de la qualit totale ou du Kaizen. Il faut bien comprendre que cette roue na rien de statique, tout au contraire, elle est en mouvement, en mouvement vers lamlioration continue.

volution de la roue de Deming


RETENIR
P et D permettent de prparer et de mettre en uvre les plans daction ; ils sont en perptuel mouvement alors que C et A sont dans une phase de capitalisation, de communication sur les efforts fournis et les rsultats obtenus, tout en prparant les futures tapes de lamlioration continue.
Groupe Eyrolles

P : Planier ou ractualiser les processus. D : Mettre en place le plan daction et grer les processus.

266

Les mthodes

C : Mesurer les efforts, les processus, les services et faire une comparaison avec les objectifs viss. A : Grer les changements an damliorer les processus.

Niveau de maturit

Faire Do D P

Prparer Plan Kaizen

Agir Act Vrifier Check C A


Niveau damlioration mise en place

Amlioration stabilise

chelle de temps

Algeria-Educ.com

Groupe Eyrolles

Chapitre 17

Six Sigma

HISTORIQUE
La dmarche Six Sigma est apparue dans les annes 1980 ; le groupe Motorola est devenu le pionner en la matire. RETENIR
Lobjectif principal du groupe et des entreprises utilisatrices de cette mthode est dobtenir trs rapidement des gains (quick wins) mesurables, cest--dire nanciers, en menant des ateliers cibls.

DFINITION
Six Sigma est une mthode utile pour optimiser les processus ; elle concerne la fois loprationnel (production) et les autres grandes activits de lentreprise. Les processus de lentreprise sont au centre de la mthode. Les processus de production et de qualit de services livrs auprs des clients sont des processus majeurs pour Six Sigma.
Tableau rcapitulatif de correspondance des
Dfauts par million Qualit (%)

2
Groupe Eyrolles

308,537 66,807 6,210 233 3,4

69,2 % 93,3 % 99,4 % 99,98 % 99,9997 %

3 4 5 6

268

Les mthodes

LSL (limite basse)

USL (limite suprieure)

Moyenne Nombre dunits produites

Distribution normale

Dfauts

Dfauts

6 Sigma

APPLICATION
Mettre en place Six Sigma demande une connaissance de la mthode, car lobjectif est de pouvoir gnrer des gains rapides : quick wins. La mthode Six Sigma est dcoupe en cinq phases et, comme beaucoup de mthodes, elle doit tre conduite comme un vritable projet, avec des comits de pilotage, des revues de direction, des jalons, des livrables
Groupe Eyrolles

Dnir les besoins clients


Cette tape doit tre mene en troite collaboration avec les quipes commerciales et marketing ; il est aussi possible de travailler les processus internes, avec des approches clients internes.

Procd non 6 Sigma = USL-LSL < 6 Sigma, dfauts > 3,4 dfauts par million Procd 6 Sigma = USL-LSL > 6 Sigma, dfauts < 3,4 dfauts par million

Reprsentation graphique

Six Sigma

269

Que veut mon client ? Comment puis-je le satisfaire ? Comment puisje optimiser mes processus an de rpondre au besoin du client ? Quel est mon niveau de performance ? Analyser les sondages, les mesures de satisfaction, car elles sont importantes pour une meilleure connaissance de la qualit perue de mes services auprs de mon client. Capitaliser et faire voluer les informations concernant les incidents, les problmes lis au fonctionnement des processus et dnir les pistes de progrs associes. Comment faire lanalyse des dysfonctionnements, des problmes ? Faire un tat des lieux des problmes en cours, identier les causes, les origines. Chercher des pistes de progrs, pour samliorer et avoir des processus Six Sigma optimiss. Vrier si les mesures et les plans daction sont bien suivis, maintenir et accompagner lamlioration.

Les niveaux de comptence


Une dmarche Six Sigma ncessite la mise en place de trois niveaux de comptences : le green belt qui correspond au rle danimateur ; le black belt qui correspond lexpert ; son rle sapparente un chef de projet Six Sigma ; le champion qui correspond au sponsor ; il est le manager de la dmarche Six Sigma. Pour les grandes entreprises, le nombre de personnes ayant acquis le niveau black belt devrait tre de 0,2 0,4 % du total du personnel, le niveau green belt, de 2 4 %, sans oublier la direction, le niveau champion, qui devrait dpasser 4 %. Ils doivent imprativement tre forms an de prendre conscience des enjeux et de fournir les appuis indispensables la mise en uvre de la mthode.
Groupe Eyrolles

Pour une entreprise de 10 000 salaris, environ 400 personnes sont impliques.

270

Les mthodes

Dire dexpert1 Bnces et prennits apports par Six Sigma


Pour arriver des rsultats de projet tels que Cest la premire fois que je vois un projet ralis en si peu de temps (cinq mois) qui montre aussi rapidement des rsultats concluants et qui ne sarrte jamais (responsable dun dpartement oprationnel), il faut que la mthode de gestion de projet soit robuste et pragmatique. La mthode Six Sigma est une premire tape lamlioration continue ; toute lentreprise doit tre en accord avec cette dmarche. Le facteur humain est trs important, surtout dans des grandes entreprises dans le secteur du service. Loprationnel ne va plus subir les changements imposs par son management, il va les provoquer en dmontrant que ces ides vont dans le sens stratgique de lentreprise (ou direction). Les ides damlioration vont venir du terrain et non plus exclusivement du management. Les problmes deviennent des opportunits damlioration tout niveau hirarchique de lentreprise. Pour arriver ce niveau de culture damlioration continue dentreprise, il faut du temps pour toucher lensemble des acteurs de lentreprise, en commenant par le directeur gnral. Il faut investir dans des acteurs du changement, experts en la mthode, qui vont, leur tour, former des acteurs du changement via des formations et/ou la ralisation de projets et ainsi de suite.

1. Alexandre Engel, manager Black Belt.

Groupe Eyrolles

Chapitre 18

TCO

HISTORIQUE
Ce principe a t labor en 1988 par le Gartner Group ; depuis, il est appliqu par beaucoup de directions informatiques. Cest la fois un lment comptable et une information importante pour le budget informatique, qui est li aux utilisateurs. Combien nous cote cette infrastructure ? Cest la question que posent les clients (internes) leur DSI.

DFINITION
Il sagit du cot total dun systme, cest--dire lensemble des cots dachat dun matriel ou dun logiciel (entretien, maintenance, formation des quipes).

APPLICATION
Gnralement, le suivi budgtaire est ralis par le service comptable ou la direction administrative et nancire (DAF), toutefois, les DSI veulent et doivent matriser leurs cots de fonctionnement, dacquisition an de pouvoir refacturer leurs clients (internes). TCO (Total Cost of Ownership) permet davoir une vision globale des cots lis au systme dinformation.
Groupe Eyrolles

Les domaines qui sont concerns par le TCO


Pour la DSI, le cot dun logiciel ou dun matriel est facile identier et quantier, mais ce nest pas le cas concernant dautres lments.

272

Les mthodes

Le paramtrage, linstallation, la mise disposition dapplications reprsentent un cot difcilement quantiable, car ils comportent beaucoup dinconnues : lassistance aux utilisateurs quand lapplication ne fonctionne plus, la gestion des nouvelles versions, lassistance technique un ensemble de frais est alors engag soit par rapport linfrastructure en place, soit par rapport aux services offerts pour les clients, et prendre en compte. Ces activits sont difcilement chiffrables (sauf sil existe un contrat, un SLA), certains utilisateurs naux, pour des raisons dorganisation, dcident davoir un correspondant informatique au sein de leur service, ce qui engendre une forte hausse des cots de fonctionnement lis au TCO. Le dernier cot concerne le rseau, quil soit LAN (local) ou WAN (distant) ; ce niveau, les cots de liaisons sont facilement quantiables.
Tableau rcapitulatif du TCO par domaine pour un ordinateur de bureau
Domaine % du cot total dun ordinateur

Capital matriel et logiciel Administration Support technique Utilisateurs naux Rseau Total

19 % 10 % 11 % 35 % 25 % 100 %

Les facteurs qui inuencent le TCO


Les principaux facteurs inuenant le TCO sont : Pour les personnes : la formation des utilisateurs et des informaticiens. Pour les technologies : les dploiements des technologies qui automatisent les processus. Pour les processus : lautomatisation et lindustrialisation des processus.

Groupe Eyrolles

TCO

273

Gestion du TCO Mise en place des bases Renouvellement tous les 9 mois Mesurer les rsultats et valider les processus

Analyse du TCO Analyse des actifs (enqute) Analyse du cot moyen industriel Enqute, audit, qualit sur cots survenus Analyse des cots et comparaison

Amlioration de la TCO Choisir les techniques et pratiques damlioration Exemple ROI, valeur Choisir les meilleures solutions

Cycle de vie du TCO


Source : Gartner Group.

Les bnces attendus sont : la abilit et la transparence des cots ; des budgets et prvisions ralistes ; une prise de dcision facilite ; lamlioration du contrle des dpenses ; lamlioration des performances et de la productivit ; lamlioration de la satisfaction client ; la diminution des risques ; laugmentation de la valeur ajoute.

Dire dexpert
Groupe Eyrolles

Dans le cas de gure dinfogrance, dhbergement ou de mutualisation, laspect TCO est voir plus nement avec lensemble des partenaires ; gnralement le contrat prcise et valide les dcisions prises. Une estimation a t faite par le Gartner Group, sur la rpartition du cot de possession dun dploiement dapplication sur un poste de travail.
Source : Gartner Group.

274

Les mthodes

Capital 19%

Administration 10%

Support 11%

Utilisateur Rseau 25%


Source : Gartner Group.

35%

Groupe Eyrolles

Chapitre 19

TDBSSI

HISTORIQUE
En fvrier 2004, en France, la Direction centrale de la scurit des systmes dinformation (DCSSI) publie llaboration des tableaux de bord SSI (TDBSSI), il sagit dun vritable guide pour les directions de la scurit de linformation. Les tableaux de bord des entreprises en matire de scurit informatique ne suivent aucun formalisme, ne reposent sur aucun standard. Le guide TDBSSI prsente et explique une dmarche, ainsi que des outils facilement utilisables par les entreprises.

DFINITION
Le tableau de bord scurit des systmes dinformation (TDBSSI) permet lensemble des membres dune direction informatique, ainsi quaux membres du personnel du service, de bncier dune vision gnrale et synthtique de la situation qui existe en matire de scurit, et ce quel que soit le domaine : oprationnel, technique ou tudes (audits, avertissements, alertes et plans daction associs).

APPLICATION
Le guide comporte la fois un exemple dapplication et un ensemble de ches daide, qui constituent un prcieux gain de temps et une assistance tout au long de la mise en place de la dmarche et de lavancement du projet. Un grand nombre de dmarches doivent tre menes comme un vritable projet, et TDBSSI nchappe pas la rgle : il y a cinq grandes tapes qui sont dveloppes dans le tableau ci-aprs.

Groupe Eyrolles

276

Les mthodes

Un ensemble de familles dindicateurs pourra tre ralis en relation avec les objectifs de la scurit ; cest le cas pour le niveau stratgique, le niveau fonctionnel et le niveau oprationnel. Il serait possible de prendre en compte dautres niveaux comme les niveaux nancier, juridique Une grande partie des donnes initiales proviennent des dispositifs de scurisation, comme les rewalls, les antivirus

Les cinq grandes tapes de la mthode TDBSSI


tape Dnition

Prrequis

Capitaliser la pertinence des informations. Recueillir les informations, les donnes traiter.

Mise en place du projet Tableaux de bord SSI

Communiquer auprs des diffrents acteurs. Identier les acteurs an de mettre en place les groupes de travail. Construire les tableaux de bord SSI en prenant en compte les donnes identies. Mise en uvre des tableaux de bord SSI. Suivi des tableaux de bord SSI et suivi des modications apportes aux tableaux de bord SSI.
Source : www.ssi.gouv.fr/fr/conance/documents/methodes/ tdbssi-section1-methodologie-2004-02-05.pdf

laboration des tableaux de bord SSI Exploitation des tableaux de bord SSI volution et amlioration des tableaux de bord SSI

Dire dexpert
Les objectifs de scurit sont en rapport avec les mesures et indicateurs qui seront en place au sein de lentreprise, au niveau de la direction (aspects stratgiques), des mtiers (aspects fonctionnels), de la ralisation et de la production (aspects oprationnels). Les tableaux de bord ont pour but de donner aux directions la situation, les tendances sur la qualit de service dun dpartement, dune direction. Il sagit bien dun outil stratgique. Le contenu, la forme, le circuit de validation sont des critres importants pour les dcideurs.
Groupe Eyrolles

Les modles

Partie 4 LES MODLES


SANS MODLE, LE TRAVAIL EST PLUS DIFFICILE

278

Les modles

DFINITION
Faire rfrence un modle et se reprsenter une copie dans ses caractristiques particulires, ses qualits intrinsques, au regard dune rfrence reproductive. Le modle est ce quoi lon se rfre, cest une base premire dans la rexion. Le modle est lorganigramme de la pense, cest la reprsentation dune ide, un concept que lon souhaite raliser. Le terme modle, lorigine, est emprunt de litalien modello ; cest un diminutif de modus, en dautres termes, mesure . Cest un exemple imiter, une gure que lon recompose, une vision de limaginaire qui prend forme. Limage est la mesure de la vision. Lutilisation moderne du concept vient avec larrive des travaux des cybernticiens et, rapidement, on retrouve cette ide dans les diffrentes sciences humaines (sociologie, conomie, linguistique structurale). De nos jours, nous parlons de modlisation dun processus, cest--dire dessiner, simplier des lments dun ensemble complexe. Le modle, cest larchtype de notre ralit. Il reprsente lexpression de nos images internes. Par des exemples, un ensemble de formules cohrentes, des gabarits, lide est pose sur la feuille. Au dpart, une esquisse, un dessin, juste le contour dune expression qui deviendra ralit. La force dun modle se trouve dans la possibilit de donner une rponse heureuse une question quun individu se pose. Parmi les nombreux choix possibles dun modle, il en existe un qui correspond tout fait la question que lon se pose. Les reprsentations de tableaux, les images qui jaillissent des potes, les symboles universels sont une ralit pour tout individu avide de comprhension et de mise en uvre de ralisations cratives. Dans cette dernire partie, notre souci est dorienter le lecteur sur la comprhension stratgique des entreprises. Dans ce but, nous rpondons certaines questions : si lentreprise veut des prots durables, alors quel modle de cration faut-il utiliser ?
Groupe Eyrolles

lors de la cration dun modle organisationnel, comment faire pour que les concurrents ne semparent pas du modle ? comment dployer un tel modle, par qui, et sur quel primtre ? lorsque le modle est dni, fait-il rfrence une mthode, un rfrentiel ou une norme ?

Les modles

279

doit-on crer des modles particuliers lentreprise, de type gnrique, ou alors est-il prfrable dutiliser les modles courants de la stratgie dentreprise ? comment savoir si un modle correspondra au devenir de lentreprise ? Les modles sont lorigine des outils daide la dcision qui datent des annes 1960 ; lun des plus connus et des plus utiliss est lanalyse SWOT qui indique dans une matrice les forces et les faiblesses dun projet, dun service, ainsi que les opportunits et les menaces. Certains modles se sont rendus clbres, tels ceux proposs ci-dessous : H. Igor Ansoff, le fondateur du management stratgique ; M. E. Porter, le positionnement stratgique et lavantage concurrentiel ; J. B. Barney, lavantage concurrentiel soutenable ; le Boston Consulting Group (BCG), la consultance stratgique. Les modles sont nombreux, nous avons d faire un choix drastique parmi les dizaines de modles existants. Nous avons souhait garder une simplicit dans nos crits et un apport complmentaire dans la comprhension des NRMM. Les lecteurs souhaitant aller plus loin dans la connaissance des modles pourront se rfrer la bibliographie. Cette partie ne comporte pas de dire dexpert , la plupart de ces modles ntant pas utiliss seuls mais en complment de mthodes, de rfrentiels ou de normes. Nous trouvons essentiellement les experts au sein des normes, des rfrentiels et de certaines mthodes ; le qualicatif dexpert tant engendr par une certication, un diplme, une accrditation, une reconnaissance de la spcialit. Aucune certication nest dlivre pour les modles.

Liste des modles analyss dans cet ouvrage


Modle Dnition Chapitre

Cartes mentales
Groupe Eyrolles

Principe de limagination et de lassociation dides et dimages Identier les causes possibles dun effet constat Diagnostic de lavantage concurrentiel

1 2 3 /

Ishikawa Chane de valeur

280

Les modles

Modle

Dnition

Chapitre

Chane de la performance Modle des carts de la qualit de service Les 3C ou le triangle stratgique Les 5S

Mise en place et dploiement de la stratgie de lentreprise Utilis pour le management de la qualit, stratgique et oprationnel La dimension des segments pour le client, des fonctions pour lentreprise, et des facteurs de comptitivit pour la concurrence Cinq critres importants qui sont le dbarras, le rangement, le nettoyage, lordre et la rigueur Trouver la cause premire dun problme Fond sur cinq forces, dont le jeu contraint celui de lentreprise Comprendre la dynamique dune organisation ou se xer les buts pour un programme de changement Atouts et attraits de chacun des segments de lentreprise Modle pour classier et valuer des produits Modle de classement selon le degr durgence ainsi que le degr dimportance Dnir les causes fondamentales responsables des dispersions Prsentation des facteurs denvironnement Analyse qui permet de classer les causes dun dysfonctionnement, dun problme Identier les intervenants pour la ralisation dune tche Appliqu dans le cadre de changements de fabrication lments permettant danalyser la relation client-fournisseur Analyse les forces, faiblesses, opportunits et menaces volution des mthodes de maintenance

4 5 6

Les 5P Les 5 forces Les 7S

8 9 10

Matrice Atouts/ Attraits Matrice Croissance/ Part de march Matrice Importance/ Urgence MSP/SPC PEST Principe de Pareto ou loi des 80/20 RACI SMED SIPOC ou les relations client-fournisseur SWOT TPM

11 12 13 14 15 16 17 18 19 20 21
Groupe Eyrolles

Chapitre 1

Cartes mentales

HISTORIQUE
Le Mind Mapping a t ralis dans le courant des annes 1970 par Tony Buzan. Son sens littral en franais signie reprsenter une carte de pense . Notre cerveau fonctionne par lassociation de mots cls. Lutilisation de ces associations en schma est plus aise quune reprsentation textuelle. Chaque lment de la carte mentale est une ide cl ; de cette ide jaillit un nouvel lment, et ainsi de suite.

DFINITION
Les hmisphres du cerveau
Tony Buzan, dans son ouvrage Une tte bien faite, a mis en vidence que les individus prfrent utiliser lhmisphre gauche du cerveau, l o se trouve le calcul rationnel, les lments logiques notre interprtation, la source du langage. Lautre hmisphre, le droit, appartient la crativit, lesprit de synthse. Ds lors, en stimulant lhmisphre droit de notre cerveau, nous pouvons le faire fonctionner plus aisment avec notre hmisphre gauche. Les cartes mentales ont donc pour principe dassocier limagination, la cration, avec lassociation des ides.
Groupe Eyrolles

Construction dune carte mentale


Trois lments sont constitutifs dune carte : llment central, reprsentant le sujet essentiel, la cause premire ;

282

Les modles

les branches, qui partent de cet lment rassemblant les ides principales ; les petites branches, jaillissant des principales, illustrant la raison existante des grosses branches. Plus les ides sont nombreuses et varies, et plus le nombre de niveau de branches est important.

Quels sont les bnces des Mind Maps ?


Lorsque la carte est dessine, sa structure en forme daraigne permet de faire surgir avec force les ides principales, ces dernires ntant plus embues par le texte. Le grand intrt de ce type de modle est son utilisation des ns damliorations et dajouts de nouvelles donnes. Le dictionnaire Larousse prcise quen philosophie la reprsentation est ce par quoi un objet est prsent lesprit, et quen psychologie cest une perception, une image mentale dont le contenu se rapporte un objet, une situation, une scne du monde dans lequel vit le sujet. La reprsentation est laction de rendre sensible quelque chose au moyen dune gure, dun symbole, dun signe.

APPLICATION
De nombreuses applications sont envisageables : pendant une runion, en relevant lensemble des lments qui constituent les buts et les objectifs de celle-ci ; lors dun entretien, en notant les mots cls, les associations de mots ; dans une confrence, en relevant chaque lment essentiel du discours ; pendant une conversation tlphonique, en prenant en note rapidement lessentiel de la conversation.

Groupe Eyrolles

Chapitre 2

Ishikawa

HISTORIQUE
Kaoru Ishikawa (1915-1989), dorigine japonaise, est lun des premiers thoriciens pour la gestion de la qualit. On lui doit notamment le diagramme de causes et effets, qui est un outil fondamental pour assister les cercles de qualit.

DFINITION
Le diagramme dIshikawa, ou plus communment appel arte de poisson , est un modle permettant didentier les causes possibles dun effet peru et, par consquent, de mettre en place les solutions remdiant aux causes releves. RETENIR
Ce modle est reprsent sous la forme dune arte de poisson, do son surnom ; des ches dnissant les effets viennent se greffer sur le corps central de larte.

APPLICATION
Se poser en priorit la question suivante : quel est leffet souhait par rapport la cause premire ?
Groupe Eyrolles

284

Les modles

Pour ce faire : lister les causes premires, celles qui sont susceptibles de concerner le problme, et noter lensemble de ces ides ; par le brainstorming, qui consiste faire jaillir toutes les ides relevant dun sujet spcique, approfondir la globalit de la question ; classer toutes les causes par famille. Lune des principales questions sur le rsultat souhait dun tel modle est de rpondre la question : Sur quels types de causes je peux agir ?

Ralisation du diagramme causes-effets


Pour raliser un diagramme causes-effets, il faut : reprer le problme identi ou lobjectif dsir par lutilisation dune che montante ; rechercher les causes possibles et les classer en sappuyant, par exemple, sur les 5M, causes lies la matire, au milieu, au moyen, la main-duvre, la mthode ; tracer des ches secondaires en tenant compte des familles secondaires qui auront t identies au pralable ;
M1 M2

Effet

M3

M4

M5
Source : Kaoru Ishikawa, La Gestion de la qualit.

parmi les causes potentielles, se demander quelle est la source du problme identi ; il restera vrier, analyser, et corriger la cause.

Groupe Eyrolles

tenir compte de lensemble des causes qui sont potentielles et les identier sur des mini-ches ;

Ishikawa

285

M1

M2

Effet

M3

M4

M5
Source : Kaoru Ishikawa, La Gestion de la qualit.

Groupe Eyrolles

Chapitre 3

Chane de valeur

HISTORIQUE
La chane de valeur, concept dvelopp lorigine par Michael Porter dans le milieu des annes 1980, dcompose lactivit de lentreprise en fonctions : direction, logistique, production, commerciale, marketing, etc. La performance de lentreprise peut tre value avec la chane de valeur. Cette chane peut galement se trouver tendue un secteur particulier dactivit conomique. Dans cette notion, nous avons lide de client et de fournisseur ; rendre au client un ensemble de services sans que celui-ci en subisse les cots et les risques. Lorganisation en fonctions stratgiques oriente les dcisions prises au regard des clients. Les activits de lentreprise sont porteuses davantages concurrentiels en termes de diversication, de distinction, de cots ; ainsi, elles sont porteuses de cration de valeur pour le client.

DFINITION
RETENIR
Lanalyse de la chane de valeur est un outil indispensable pour faire un diagnostic de lavantage concurrentiel.

Groupe Eyrolles

288

Les modles

Ltude de la chane de valeur dcoupe lentreprise en activits stratgiquement importantes. Aprs avoir effectu cette tude, lentreprise est apte choisir une stratgie spcique chaque produit.

APPLICATION
M. Porter distingue neuf catgories gnriques dactivits : Logistique interne : accueil, classement, rangement et affectation des moyens de production indispensables au produit. Logistique externe : rcolte, stockage, archivage et attribution des produits aux clients. Production : transformation des moyens en but, comprenant la rparation des machines, le contrle de la qualit. Commercialisation : activits lies la fourniture des moyens par lesquels les clients achtent un produit et sont incits le faire. Services : activits associes la fourniture dun service tendant accrotre ou maintenir la valeur du produit. Approvisionnement : situ en amont de la production dans le cycle dexploitation de lentreprise, son rle est de satisfaire les besoins en fournitures et services des autres fonctions de lentreprise au meilleur cot et dans le respect des quantits, de la qualit et des dlais exprims. Recherche et dveloppement : Changement introduit sciemment dans lconomie par un agent quelconque et ayant pour but et rsultat une utilisation plus efciente ou plus satisfaisante des ressources. (Encyclopedia Universalis) Gestion du personnel : fonction apparue avec les tudes de Elton Mayo, au dbut du sicle ; ni Fayol ni Taylor ny font rfrence. Aujourdhui, la gestion du personnel et limportance quon y accorde sont une valeur ajoute pour lentreprise. Infrastructure de lentreprise : reprsente par la fonction direction. Le rle du dirigeant est de choisir les buts de lentreprise. Les membres du conseil dadministration, du directoire, du comit dexcution, du conseil de surveillance, et toutes les personnes susceptibles dexercer une inuence sur la stratgie de lentreprise peuvent intgrer cette fonction.

Groupe Eyrolles

Chane de valeur

289

Infrastructure de lentreprise

Activits de soutien

AR

Gestion des ressources humaines Dveloppement technologique, R & D Approvisionnements


Logistique interne Production Logistique externe
Commercialisation et vente

GE

Services

AR

GE

Activits principales
Source : M. Porter, LAvantage concurrentiel.

Groupe Eyrolles

Chapitre 4

Chane de la performance

HISTORIQUE
La Supply Chain Management (SCM), ou gestion de la chane logistique, sintresse aux processus cls de la fabrication, la planication, au suivi de la production, lexcution et au contrle de la performance. Lors de son apparition en France, la gestion de la chane logistique tait principalement centre sur la fonction excution (fabrication, entrepts, transport logistique).

DFINITION
Lentreprise permet de dnir et didentier un ensemble de domaines de performances propres son activit : les ressources humaines ; les processus internes ; les relations clients ; les nances. RETENIR
En suivant le modle de la chane de la performance, lentreprise labore et explicite son modle type de performance, tout dabord par rapport la vision intuitive quelle sen fait, puis en vriant les rsultats statistiques des corrlations prsumes.
Groupe Eyrolles

Un des grands avantages de lentreprise est de mettre en uvre une vision dite totale et commune des facteurs cls de la performance, en gnral au sein de lentreprise.

292

Les modles

APPLICATION
Le modle est indispensable pour lanalyse, laudit et le diagnostic de fonctionnement, le management par les objectifs. Il sert la mise en place et au dploiement de la stratgie de lentreprise. DANGER
Attention, le modle de performance est propre chaque entreprise ; an dtre efcace, il est conseill quil soit construit par les services oprationnels, fonctionnels, en se fondant sur lexprience des femmes et des hommes de lentreprise.

CA

Rentabilit

Image positive

Rcurrence des affaires

Cots

Satisfaction des clients

Qualit

Efficacit du processus achats

Comptences du personnel

Satisfaction du personnel

Formation

Recrutement

Suggestion du personnel

Schma de la chane de la performance

Groupe Eyrolles

Chapitre 5

Modle des carts de la qualit de service

HISTORIQUE
En 1985, Parasuraman, Zeithaml et Berry ont dni le modle le plus reconnu pour lvaluation de la qualit du service et de la satisfaction de la clientle. Ils lont appel le modle des carts de la qualit de service.

DFINITION
Ce modle est utilis pour la gestion de la qualit, le management stratgique et oprationnel.

Modle de la qualit
Service attendu Service attendu de la part du client, il sagit dune attente mesurable : fonction de la diffrence entre les attentes du client et sa perception du service offert. La satisfaction du client est plus grande lorsquil peroit quon lui offre un bon service, quand ses attentes sont compatibles avec le service que lorganisation peut fournir. Service reu
Groupe Eyrolles

Service reu de lentreprise, destination du client, il sagit dune prestation mesurable : fonction de nombreux facteurs externes qui chappent la volont du fournisseur de service.

294

Les modles

Dlivrance du service Dlivrance du service par lentreprise au client, il sagit dun engagement du fournisseur : fonction de plusieurs facteurs externes comme lhumeur gnrale du client, qui sont indpendants de la volont de la direction, des communications tablies avec le client. Si la prestation du service nest pas conforme aux informations fournies au client, cela affecte la satisfaction de la clientle. Offre de service Offre de service de lentreprise aux clients, engagement contractuel : fonction des plans dicts concernant la prestation du service, de la ralit de laccueil dont les ressources limites et dautres facteurs inuent sur la capacit doffrir le service. Si les plans de prestation du service ne concordent pas dans les faits avec la prestation, un cart se creuse et peut provoquer linsatisfaction du client. Perception des attentes des clients par le fournisseur Mesures, sondages : fonction de divers facteurs indpendants de la volont des gestionnaires, de la perception des attentes du client par lorganisation. Si les facteurs externes exercent une contrainte sur la planication du service, il est impossible de respecter les attentes du client. Communication externe avec les clients Par le fournisseur, dlisation, prospection : fonction de la tradition, danecdotes, de lexprience personnelle des attentes de la clientle. Si les attentes du client sont coupes de ses attentes relles, toute la chane de la prestation aboutit une moins grande satisfaction.

APPLICATION
Lcart qui existe entre le service reu, tel que le client le peroit, et le service attendu par ce client, rfrence 1 , est dtermin par quatre carts dits lmentaires qui sont :
Groupe Eyrolles

lcart entre le service attendu par le client et la perception par lentreprise des attentes de ce dernier : cart de connaissance (2) ; lcart entre la perception par lentreprise des attentes des clients et sa traduction en une offre de service avec ses caractristiques et ses spcications : cart de conception du service (3) ;

Modle des carts de la qualit de service

295

lcart entre loffre de service dnie et la ralit du service qui est vraiment dlivr : cart de mise en uvre (4) ; lcart entre la ralit du service dlivr et les messages qui circulent par les communications externes destines la clientle : cart de communication (5).
Service attendu Client Service reu
1

Dlivrance du service
4

Communication externe avec les clients

Entreprise

Offre de service
3 5

Perception des attentes des clients

1 Qualit de service globale 2 Qualit de la connaissance des attentes des clients 3 Qualit de la conception de loffre de service 4 Qualit de la mise en uvre de loffre de service 5 Qualit de la communication sur le service

Groupe Eyrolles

Chapitre 6

Les 3C ou le triangle stratgique

HISTORIQUE
Le triangle stratgique a t cr par Kenichi Ohmae (n en 1943) ; cest lun des plus grands spcialistes mondiaux de stratgie conomique des entreprises.

DFINITION
RETENIR
Trois critres sont prendre en compte pour laborer une stratgie dentreprise : lentreprise, la concurrence et le client. Sans ces trois critres il ny a pas de stratgie. Ces critres sont coupls avec des primtres bien spciques : le primtre fonctionnel pour lentreprise, le primtre comptition pour la concurrence, et le primtre niche ou segment de march pour le client.

Au sein de lentreprise, lensemble des pistes de progrs apporte un niveau de maturit sur les performances et sur lesprit de comptition qui existe au sein des services face la concurrence ; cela concerne les aspects qualitatif, de service, de prix, de rputation, dimage de marque. La stratgie prend en compte la vision du march par sa segmentation et, bien entendu, les futures attentes et besoins des clients.
Groupe Eyrolles

APPLICATION
La stratgie qui va faire la diffrence est celle que lentreprise utilisera par rapport ses concurrents, en employant ses ressources internes an

298

Les modles

de rpondre et de satisfaire aux besoins des clients. Pour mener bien les 3C, il faut avoir un bon niveau de dcision stratgique de la structure pour que celui-ci puisse agir la fois sur la segmentation, loptimisation des ressources internes et les diffrents facteurs de comptitivit.

Les clients
Val eur
Val eur

Lentreprise

Cots

Les concurrents

Schma des 3C ou le triangle stratgique

Groupe Eyrolles

Chapitre 7

Les 5S

HISTORIQUE
Le modle 5S a vu le jour au Japon dans les annes 1947-1950. Cr par le japonais Takashi Osada, il sinscrit dans la dmarche Kaizen et, gnralement, fait partie de ses outils.

DFINITION
RETENIR
Le modle 5S repose sur cinq critres importants qui sont le dbarras, le rangement, le nettoyage, lordre et la rigueur. Llimination du gaspillage est le vecteur commun aux cinq critres.

Le modle 5S vise donner un oprateur une meilleure matrise de son environnement de travail.

APPLICATION
Lappellation 5S tire son origine de la premire lettre de chacune des cinq oprations conduire dans le cadre de cette technique de management.
Groupe Eyrolles

Seiri (se sparer de linutile)


Cette opration vise trier ce qui est strictement ncessaire et qui doit tre gard en se sparant du reste. Elle touche la fois aux objets matriels et immatriels qui environnent ou conditionnent les mthodes de

300

Les modles

travail (normes, rgles, documentation). Elle lutte contre le penchant bien naturel qui consiste accumuler.

Seiton (mettre de lordre dans ses affaires)


Cette opration consiste amnager au mieux les moyens ncessaires en rduisant les gestes inutiles et les pertes de temps. Une place pour chaque chose, chaque chose sa place.

Seiso (nettoyer)
Cette opration, valable surtout en milieu industriel, assure la propret du poste de travail en luttant contre la poussire, la salet, les chutes de matriaux, les fuites dhuile. Lentretien des sols et de machines y prend une importance toute particulire. Le nettoyage devient loccasion et le moyen dinspection des machines pour dtecter les anomalies et les usures prmatures.

Seiketsu (rendre vident)


Cette opration dnit les rgles par lesquelles le poste de travail restera dbarrass des objets inutiles, rang et nettoy (repres visuels, notamment). Elle consolide les trois oprations prcdentes.

Shitsuke (amlioration continue)


Cette opration est du ressort hirarchique. Elle se xe pour but le maintien des bonnes habitudes, en soutenant et encourageant le personnel adhrer aux rgles.

Conditions de russite
Elles consistent en une adhsion active de la direction la dmarche, puis en la participation de chaque collaborateur. Des audits sont raliss de manire rgulire an de voir (preuves, photos, consignes), vrier, contrler si la dmarche est bien utilise.
Groupe Eyrolles

STRATGIQUE
Les 5S sont utilises dans les milieux industriels, mais le secteur des services commence sy prter ; le syndrome du bureau net y est pour quelque chose

Chapitre 8

Les 5P

HISTORIQUE
Le modle des 5P ou des 5 pourquoi , tout comme le modle des 5S, est apparu dans les annes 1947-1950 au Japon. Il sinscrit dans la dmarche Kaizen, et fait partie de son panel doutils.

DFINITION
Le modle 5P permet de trouver la cause premire dun problme. Il repose sur un questionnaire que lon appelle les 5P, les 5 pourquoi , ou les 5W. CIBLE ATTEINDRE
Trouver la cause premire (origine) dun problme.

APPLICATION
Le modle 5P sapplique de la faon suivante : Identier un problme traiter (complexe de prfrence). Identier les principaux acteurs (experts, clients internes, fournisseurs dans certains cas) qui seront dans le groupe de travail. Recenser lensemble des preuves et les centraliser pour travailler avec le groupe. Durant la runion, questionner cinq reprises les diffrents acteurs concerns par le problme. Btir avec le groupe les diffrentes sources de rponses obtenues suite aux 5 pourquoi , questions poses.

Groupe Eyrolles

302

Les modles

Identier et valider lorigine ou les origines du problme dans le cas dun problme complexe. Proposer un plan dactions pour la rsolution du problme ; attention, cela peut demander un peu de temps (contrat revoir, modication dun programme de production, traitement informatique). Il est important de travailler plusieurs sur les rsolutions de problmes.

Exemple de mise en place dune dmarche 5P pour un problme industriel


Vous tes dans un atelier de production et voyez un ouvrier qui verse du sable par terre. Vous lui dites :
Pourquoi rpandez-vous du sable par terre ? Parce que cest dangereux

Pourquoi cest dangereux ? Parce que cest glissant

Pourquoi cest glissant ? Parce quil y a de lhuile

Pourquoi y a-t-il de lhuile par terre ? Je crois que cest une fuite de la machine

Pourquoi y a-t-il une fuite sur cette machine ? Cela doit venir du joint dhuile

Bravo ! Vous tes arriv la cause (origine) du problme.

Groupe Eyrolles

Vous lui demandez douvrir la machine et voyez que le joint est dfectueux. Vous lui prcisez alors quil vaut mieux changer le joint an darrter la fuite une fois pour toutes, et que cela vitera ainsi dutiliser du sable.

Chapitre 9

Les 5 forces

HISTORIQUE
Le modle des 5 forces a t dvelopp par lconomiste Michael Porter en 1979.

DFINITION
Le modle synthtise les facteurs inuant sur la performance dune entreprise par cinq forces : le pouvoir de ngociation des clients, le pouvoir de ngociation des fournisseurs, la menace des nouveaux entrants, la menace des produits de substitution et lintensit de la concurrence du secteur.

Les 5 forces
Les clients Les clients ont la possibilit dinuencer les cots de vente, mais aussi la qualit de production et les dlais de livraison des produits nis. Les fournisseurs La gestion des fournisseurs ou supplier management (SM) est le processus consistant grer les fournitures et les services an dobtenir une qualit de service sans discontinuit, et dassurer la valeur des investissements.
Groupe Eyrolles

Les nouveaux entrants Un secteur attractif est porteur de nouveaux concurrents. Lentreprise face ces rivaux doit ragir par la mise en place de barrires pour les

304

Les modles

nouveaux prtendants. Une nouvelle entreprise doit payer un lourd tribut an de stablir sur le secteur. Les produits de substitution Ces produits sont une alternative loffre principale ; gnralement, ils rpondent une demande semblable. Exemple : une entreprise de produits laitiers peut proposer la vente des biscuits au lait. La concurrence Sur un secteur identique, les entreprises se livrent une comptition an de survivre ou damliorer leur statut.

APPLICATION
CIBLE ATTEINDRE
Le modle des 5 forces est utilis pour laborer une analyse stratgique externe.

Dautres forces peuvent venir enrichir les 5 forces principales ; dautres acteurs comme les institutions publiques, les administrations, les collectivits locales
Nouveaux entrants

Les fournisseurs

Concurrents du secteur

Les clients

Produits de substitution

Groupe Eyrolles

Chapitre 10

Les 7S

HISTORIQUE
Ce modle date de la n des annes 1970, Richard Pascale et Anthony Athos stant demand les raisons de la russite des entreprises japonaises. peu prs la mme poque, Tom Peter et Robert Waterman, dans leur clbre ouvrage Le Prix de lexcellence, staient pos la mme question. Ds lors, ces quatre auteurs ont travaill la mise en place de ce modle, appel les 7S, repris depuis par lentreprise de conseil McKinsey.

DFINITION
Ce modle des 7S aide saisir la dynamique dune organisation, qui permet dorienter globalement et efcacement les objectifs des raisons du changement.

APPLICATION
Le modle est compos de 7 lments, dont tous les termes anglais commencent par un S : Shared value : Les valeurs partages de lentreprise, qui sont au centre du modle. Cet lment est en interaction avec les 6 autres concepts dtermins dans le modle des 7S.
Groupe Eyrolles

Strategy : La stratgie de lentreprise (rpondre aux buts avec des moyens). Skills : Le savoir-faire (lutilisation des connaissances). Staff : Le personnel (lutilisation des comptences).

306

Les modles

Style : Le style ou la manire du personnel dirigeant de se comporter dans la ralisation des buts de lentreprise. Systems : Le systme indique le comment de la ralisation dune tche au travers dun ensemble de procdures, de modes opratoires, de tches distinctives. Structure : La structure qui rvle lagencement des diffrentes sections de lentreprise, et la faon dont elles interagissent les unes par rapport aux autres.

Structure

Stratgie Valeurs partages Savoir-faire Personnel (staff)

Systme

Style

Source : R. H. Waterman, Jr.Thomas, The 7 framework.

Groupe Eyrolles

Chapitre 11

Matrice Atouts/Attraits

HISTORIQUE
Le modle de la matrice Atouts/Attraits doit sa conception James OI. McKinsey en 1926 ; il sagit dun outil daide la dcision.

DFINITION
Cette matrice permet de savoir si lentreprise possde sufsamment datouts pour rpondre un march o les attraits sont levs pour les clients.

APPLICATION
Ce modle est reprsent dans une matrice o, gnralement, les Atouts sont en abscisse et les Attraits en ordonne. Attrait comme Atout sont spars en faible , moyen et fort ; ce qui permet de positionner la stratgie de lentreprise sur lventuelle prise de dcision.

Fort

Attraits
Groupe Eyrolles

Moyen Faible Faible Moyen Fort

Atouts
Source : Kenichi Ohmae, Le Gnie du stratge, Dunod, 1992.

Chapitre 12

Matrice Croissance/ Part de march

HISTORIQUE
Lvaluation et la classication des produits se font en utilisant le modle danalyse du Boston Consulting Group (BCG), qui porte le nom de Growth Share Matrix. Le modle a t mis au point au cours des annes 1970 par le BCG. Les produits sont reprsents dans une matrice comme celle reprsente ci-dessous.
Taux de croissance du march

Forte

Vedette

Dilemme

Faible

Vache lait

Poids mort
Part du march relative

Groupe Eyrolles

Forte

Faible

310

Les modles

DFINITION
Quand une entreprise prend une dcision stratgique en rapport avec le segment de march, elle doit sassurer de deux lments : la croissance du march et la part quelle y dtient. RETENIR
Le modle matrice Croissance/Part de march permet de croiser les deux aspects. Sur laxe du taux de croissance, la valeur mdiane correspond au taux du march qui est concern. Laxe Part de march indique le rapport en volume au principal concurrent.

Il y a quatre types de positions : les vedettes ou les stars, produits leaders dans un march croissance rapide ; les vaches lait, produits leaders dans un march faible croissance ; les dilemmes, produits peu comptitifs sur un march croissance rapide et forte ; les poids morts, produits peu comptitifs sur un march croissance faible. Le lien qui existe avec le cycle de vie est le suivant : les vedettes deviennent des vaches lait qui deviennent des poids morts. Il faut savoir que plus la croissance est rapide, plus les besoins de liquidits sont forts et importants, plus la position de la concurrence est bonne, plus elle gnre des liquidits. Les entreprises ont donc intrt rentabiliser et traire les vaches lait pour investir dans les vedettes ou les dilemmes qui peuvent devenir des leaders, et abandonner peu peu les autres dilemmes et les poids morts.

APPLICATION
Ce modle permet dvaluer des stratgies, des dcisions stratgiques.
Groupe Eyrolles

Chapitre 13

Matrice Importance/ Urgence

HISTORIQUE
Cette matrice est galement connue sous le nom de matrice ABC. Pour rsoudre les problmes de surcharge de travail, D. Eisenhower (18901969), commandant en chef des forces allies en Europe, a mis au point la matrice Importance/Urgence.

DFINITION
RETENIR
Les activits peuvent se classer la fois selon leur degr durgence et leur degr dimportance.

Le critre urgence est primordial ; il permet de grer les priorits, car de nombreuses erreurs et dysfonctionnements existent, des confusions ont lieu entre limportance et lurgence, ce qui rend difcile lordonnancement des priorits. Une organisation est prconise an de faire prvaloir le critre importance ; cela demande un traitement spcique : il faut prendre sufsamment de temps pour traiter les activits dites importantes et urgentes, puis traiter les autres activits non urgentes. La matrice est utilise par le management oprationnel.

Groupe Eyrolles

312

Les modles

APPLICATION
Sur une matrice, lurgence est indique en abscisse et limportance en ordonne. Chaque lment, urgence ou importance , est divis en deux parties, faible ou fort . Ds lors, nous avons : Priorit Priorit Priorit Priorit 1 2 3 4 : : : : Tche Tche Tche Tche importante et urgente. importante mais pas urgente. urgente mais pas importante. non urgente et non importante.

Importance

Forte

Faible

4
Urgence

Forte

Faible

Groupe Eyrolles

Chapitre 14

MSP-SPC

HISTORIQUE
La Matrise statistique des procds (MSP) ou Statistical Process Control (SPC) date du milieu des annes 1920 grce Walter A. Shewart, ingnieur la Western Electric, qui fut le premier travailler sur les techniques statistiques de contrle de la qualit des produits nis. Il a eu comme lve Edwards Deming, le fondateur de la clbre roue (PDCA). MSP est un modle fond sur lanalyse statistique ; cet outil permet de matriser la production.

DFINITION
RETENIR
MSP-SPC a une approche culturelle concernant la comprhension des notions dintervalles de tolrance et une approche plus technique concernant les outils. Tous les procds ne sont pas capables de reproduire exactement le mme produit (rglage de la machine, humidit, chaleur).

Groupe Eyrolles

Le MSP-SPC utilise le modle 5M ; il sagit dun outil qui permet de distinguer les cinq lments principaux qui sont la base des dispersions possibles lors dun procd industriel. Le 5M a pour objectif de travailler sur les cinq causes fondamentales responsables des diffrentes dispersions (non-qualit) : machine, main-duvre, matire, mthodes, milieu. Beaucoup de variations, souvent alatoires, dune caractristique suivent une courbe dite en cloche.

314

Les modles

On distingue deux types de causes : les causes communes : il sagit de nombreuses sources de variations qui sont difcilement matrisables et qui sont prsentes dans diffrents procds. Ces causes communes forment la variabilit intrinsque du procd, cette variabilit suivant souvent la loi de Gauss ; les causes spciales : il sagit de dispersions identiables, irrgulires, instables, imprvisibles. Cela ncessite une intervention sur le procd ; heureusement, ces dispersions sont limites. Par exemple, la machine est drgle suite lusure dun outil.

APPLICATION
tape 1 But : connatre la variabilit naturelle du procd. Comment : raliser une carte de contrle sans limite. Aller ltape 2. tape 2 But : xer les limites des variations gnres par les causes communes. Comment : en utilisant la moyenne des variations observes en 1 ou 4. Aller ltape 3. tape 3 But : prvenir lapparition des causes spciales, dcouvrir les actions susceptibles damliorer la capabilit du procd. Comment : dtecter sur les cartes les variations de rglage et de capabilit. Aller ltape 4. tape 4 But : amliorer la capabilit du procd. Comment : en rsolvant les problmes mis en vidence par ltape 2.
Groupe Eyrolles

Chapitre 15

PEST

HISTORIQUE
Le modle PEST est apparu dans les annes 1960 aux tats-Unis, il est aussi appel lanalyse PEST. Il concerne quatre grandes activits : la politique, la technologie, le social et lconomie ; activits qui ont des impacts directs sur le fonctionnement des entreprises. Le modle sest rapidement rpandu en Europe et, de nos jours, il est mondialement connu.

DFINITION
RETENIR
Les impacts sur le fonctionnement de lentreprise, les performances de lentreprise ainsi que tous les facteurs lis lenvironnement sont prsents dans le modle PEST.

Il sagit des facteurs : politiques (P) : orientations politiques, actions des pouvoirs publics conomiques (E) : ination, conjoncture, chmage, taux de change sociaux (S) : comportements ou attentes des clients et des salaris
Groupe Eyrolles

technologiques (T) : volution des technologies, des produits et services, des mthodes de travail Les facteurs types, nationaux, march conomique, mondialisation sont galement pris en compte.

316

Les modles

APPLICATION
Les relations entre lentreprise et lenvironnement sont analyses au travers du modle PEST : les changements, les volutions, le tout avec une vision futuriste par rapport aux objectifs de lentreprise. Des rapprochements sont possibles entre des critres environnementaux et les expertises sur les futures menaces. Les critres lis aux changements sont associs au domaine de lenvironnement. Des rapprochements sont possibles aussi concernant le positionnement de lentreprise par rapport aux concurrents.
Facteurs politiques

Facteurs technologiques

Entreprise

Facteurs conomiques

Facteurs sociaux

Groupe Eyrolles

Chapitre 16

Principe de Pareto ou loi des 80/20

HISTORIQUE
Cest lconomiste Vilfredo Pareto qui a dcouvert ce phnomne de distribution ingale, en analysant la rpartition des diffrentes richesses dans plusieurs pays des priodes diffrentes. Le qualiticien Juran a t un fervent promoteur de cette analyse.

DFINITION
Le principe de Pareto est une analyse qui permet de classer les causes dun dysfonctionnement, dun problme, dun incident ou dune situation, par ordre dcroissant. Dans de nombreux domaines, une forte proportion des rsultats est due une petite proportion des ressources ou des causes. Par exemple, 20 % des fonctions dun tlphone portable correspondent 80 % de son utilisation.

APPLICATION
Cet outil est utilis pour dnir des priorits et des stratgies daction qui correspondent aux managements stratgique, oprationnel et de la performance (qualit).
Groupe Eyrolles

318

Les modles

20 %

80 %

Ressources Causes

Rsultats Effets

Groupe Eyrolles

Chapitre 17

RACI

HISTORIQUE
Il ny a pas de date spcique, ce quil faut retenir est que cette mthode est utilise depuis longtemps dans la gestion de projets, en gnral, les plans daction. Elle est employe de manire rgulire dans la rpartition des tches ou des activits.

DFINITION
RETENIR
Mthode dorganisation qui a pour but didentier les intervenants pour la ralisation dune tche. Souvent le qui fait quoi est utilis.

R = Responsable, A = Approbation, C = Consultation, I = Information Responsable : cest la personne qui ralise la tche ou laction. Il peut y avoir plusieurs personnes qui ralisent la tche. Approbation : il y a toujours un seul approbateur de la tche. Il doit donner un retour sur lavancement de la tche. Consultation : la consultation est faite par les participants. Information : ce sont les personnes qui doivent tre informes.
Groupe Eyrolles

APPLICATION
Lutilisation du modle RACI permet didentier le qui fait quoi . Il est souvent employ sous forme de matrice.

320

Les modles

Acteurs
Activits
Dfinir le pilote Mettre en place le pilote Former les utilisateurs du site pilote Dployer la solution PDCA sur le site pilote Observer le site pilote Bilan du dploiement du site pilote

Direction qualit

Direction support

Direction projet

Sous-traitant

I I R/A I I R/A

C C R R R/A I

A A C C C C

R R I R/A I I

Groupe Eyrolles

Chapitre 18

SMED

HISTORIQUE
Aprs la Seconde Guerre mondiale, le modle SMED a t dvelopp par Shigeo Shingo pour le compte de lentreprise Toyota, son employeur.

DFINITION
RETENIR
Le modle SMED (Single Minute Exchange of Die) est un modle dorganisation visant rduire les temps de changement des outillages.

La dure des changements des outillages sur les lignes de fabrication a pour consquence la taille minimale des lots lancs en production. Rduire ces temps entrane une vritable optimisation du cot global de revient des produits fabriqus. Single Minute signie un temps infrieur dix minutes.

APPLICATION
Les quatre tapes du modle SMED sont les suivantes : faire linventaire de toutes les tches raliser pour effectuer le changement ; raliser en temps masqu toutes les tches externes ; rduire les temps internes (temps attribu larrt des machines) par des actions cibles damlioration ; rduire la charge des temps externes (pendant le fonctionnement des machines).

Groupe Eyrolles

322

Les modles

Lobjectif est de diminuer le temps de mise en train (MET), cest--dire la partie consacre au rglage de la machine. Les effets bnques que le SMED engendre sont nombreux : une forte augmentation de la exibilit globale des quipements ou des lignes de fabrication, une grande diminution des temps de dlement

Groupe Eyrolles

Chapitre 19

SIPOC ou les relations client-fournisseur

HISTORIQUE
Le SIPOC est n en mme temps que le Six Sigma dans les annes 19801990 aux tats-Unis.

DFINITION
Le sigle SIPOC correspond aux cinq lments permettant danalyser la relation client-fournisseur : Supplier (sous-traitant ou fournisseur) : la personne ou le groupe de personnes qui fournit linformation, le produit, ou toute autre ressource indispensable au bon fonctionnement du processus. Input (entres) : ce qui est apport par le sous-traitant ou le fournisseur. Processus : ce qui concerne le processus, cest--dire la bote noire. Output (sorties) : le produit nal du processus. Customer (client) : la personne, le groupe de personnes ou le processus qui reoit le produit nal. La qualit dun service est lcart qui existe entre le service reu, tel que le client le peroit, et le service attendu par ce client.
Groupe Eyrolles

APPLICATION
Il sagit dun des outils de la mthode Six Sigma.

324

Les modles

CIBLE ATTEINDRE
Le modle SIPOC permet de clarier correctement le primtre des processus. Il identie un ensemble dlments (les acteurs, les fournisseurs, les clients, les quipes). Cet outil est utilis pour le management du changement et le management de projet.

Supplier (fournisseur)

Input Entres

Processus (processus)

Output Sorties

Customer (client)

Groupe Eyrolles

Chapitre 20

SWOT

HISTORIQUE
Cest au dbut des annes 1950 que la rexion sur un modle stratgique a vu le jour. Il faudra attendre dix ans, pour quen 1960 Albert Humphrey en fasse un modle.

DFINITION
Lacronyme SWOT signie : Strengths (forces), Weaknesses (faiblesses), Opportunities (opportunits), Threats (menaces).

APPLICATION
La russite dune entreprise dpend de la faon dont elle gre lensemble de ses ressources internes, sources de forces et de faiblesses, en relation directement avec son environnement, sources dopportunits et de menaces. Un des objectifs du modle SWOT est dviter de passer ct lors dun diagnostic en analysant uniquement les points faibles. Le modle SWOT doit, bien entendu, tre en mesure dintgrer une part dite subjective, voire pragmatique (le modle est ouvert). Une force pour certains un moment peut devenir une faiblesse un autre moment et pour dautres. Des menaces peuvent tre transformes en opportunits (cela fait partie de ltat de lart du management). Le modle permet de donner une vision rapide et synthtique de la situation dans laquelle se trouve lentreprise.

Groupe Eyrolles

326

Les modles

Le modle SWOT est employ dans plusieurs cas : pour ltude dune organisation, dune entreprise, dun processus, dun dpartement, dun service, dun planning stratgique et dcisionnel.
lments internes lments externes

lments positifs

Forces

Opportunits

lments ngatifs

Faiblesses

Menaces

Groupe Eyrolles

Chapitre 21

TPM

HISTORIQUE
Le modle TPM a vu le jour dans les annes 1970, au Japon.

DFINITION
Le sigle TPM signie Total Productive Maintenance ; il sagit de lvolution des mthodes de maintenance : Total : concerne tout le monde. Productive : assurer et garantir la maintenance, tout en perturbant le moins possible la production. Maintenance : maintenir en bon tat et bon usage, nettoyer, rparer. Le but de la TPM est darriver zro accident, zro panne, zro dfaut. Les indicateurs cls de la TPM sont : le taux de rendement conomique (TRE) = U/Temps total ; le taux de rendement global (TRG) = U/P ; le taux de rendement synthtique (TRS) = U/R. TRS prend en compte la disponibilit, la performance et la qualit qui affecte le rendement de la machine. Le TRS est souvent utilis dans le milieu industriel ; cest le produit de trois indicateurs : Taux de marge brut Taux net de fonctionnement Taux de qualit.

Groupe Eyrolles

328

Les modles

P = temps douverture

R = temps requis

Arrts planifis

F = temps de fonctionnement

Pannes, pertes

E = temps net

Perte cadence

U = temps utile

Nonqualit

Temps total = Temps thorique de fonctionnement maximum (24 h/jour). P = Temps total Fermeture, soit lamplitude de travail pour une machine/un atelier. R = Temps dit brut de fonctionnement. F = Temps de fonctionnement avec n alas venant gner la production. E = Temps de fonctionnement cart de cadence. U = Temps net Perte de qualit.

Il est demand avec la TPM que les diffrents acteurs (utilisateurs de machine, pilote, oprateur) puissent tre mme de pouvoir intervenir un premier niveau sur leur environnement pour les aspects maintenance. Dans de nombreux domaines, le ct autonomie permet de responsabiliser les personnes et de ltrer les vrais problmes des autres.

APPLICATION
Le sponsor
La mise en application de la TPM seffectue en plusieurs tapes. La premire tape concerne limplication de la direction : elle a le devoir de montrer lensemble du personnel que la TPM a toute son importance au sein de lentreprise. La direction se doit de faire connatre et de porter la TPM auprs de lensemble du personnel et plus particulirement auprs des dpartements et des services de production.
Groupe Eyrolles

TPM

329

Le meilleur moyen pour cela est didentier et de lister le nombre de pannes machine sur un mois, les dlais dintervention et de rparation que doivent assurer, dans bien des cas, lunique quipe de maintenance de lentreprise. Dautres critres peuvent venir sinscrire dans cette tude, comme la disponibilit des pices de rechange.

Les enjeux
Une fois que cette tude est ralise, la deuxime tape consiste, pour la direction et plus particulirement les responsables de production, dnir et xer des objectifs atteignables damlioration. Cest partir de l que la TPM rentre en jeu, elle permet de rduire les pannes machine, les arrts de chanes de production intempestifs, bref les pertes de temps et dargent. Quelques mois aprs avoir mis en application la TPM, les pannes machine sont sous contrle et de vritables bnces apparaissent : de nouvelles connaissances pour le personnel, des gains de productivit, moins darrts machine, une meilleure matrise de lenvironnement de travail Toutes les amliorations lies la productivit apportent directement ou indirectement des bnces nanciers lentreprise.

Les acteurs
La troisime tape concerne la motivation des quipes oprationnelles. An que celles-ci sapproprient rellement la TPM, il est conseill de nommer un ou plusieurs pilotes par quipe, recevant une formation plus approfondie sur la TPM et ayant pour rle de former les autres membres de son quipe la TPM.

Lacclrateur
La quatrime tape consiste sappuyer sur les 5S, car ces derniers sinscrivent tout fait dans une dmarche TPM. Par exemple, le rangement des pices, de son poste de travail, le nettoyage de sa machine ou de son robot vitent davoir un ensemble de dysfonctionnements, perturbations sur les lignes de production, les 5S sont dvelopps plus en dtail dans notre ouvrage.
Groupe Eyrolles

Lorganisation
La cinquime tape concerne les ressources dont doivent disposer les quipes de production qui devront faire de la maintenance de premier

330

Les modles

niveau dans le cadre de la TPM. Il faudra en effet prvoir quelques pices de rechange, outils, moteurs disposition sur place, prs des lignes de production, an de pouvoir intervenir rapidement, en interrompant le moins possible la production. Un mini-stock de pices ou doutils disposition des quipes TPM sera rang dans une armoire ou un coffre spcique. Il ne sagit en aucun cas de crer des stocks tampons un peu partout dans lusine. Il existe gnralement un magasin de pices de rechange, localis un endroit prcis de lusine.

Lintervention
La TPM demandant une grande autonomie de la part des quipes de maintenance de premier niveau, la sixime tape porte sur ce point. Cela se traduit par des consignes, des procdures et des process entre les quipes. Les comptences et les astuces mtiers sont partages, une vritable polyvalence mtiers est ralise entre les quipes. Laspect visuel est trs important : des repres de couleur sur les machines, comme un trait rouge pour indiquer le niveau minimum dhuile sur une machine, permettent aux quipes de production ou de maintenance dintervenir pour effectuer des oprations de maintenance prventives (avant un incident) ou correctives (suite un incident).

Lamlioration
La septime et dernire tape de la TPM concerne la dmarche damlioration continue. Le premier niveau de maintenance est important mais certaines quipes souhaitent aller plus loin, on parle alors de deuxime niveau de maintenance. Les activits seront alors plus spciques, voire plus pointues lors des interventions sur les machines, robots On se rapproche de lexpertise.

Le calendrier
Pour mettre en place la TPM dans une entreprise, il faut compter entre cinq et huit mois selon la taille de lentreprise, des dpartements et des services de production ; cela demande de linvestissement en temps et en hommes mais, trs rapidement, des amliorations oprationnelles et organisationnelles apparaissent.

Groupe Eyrolles

Conclusion

Nous esprons maintenant que le monde des NRMM est beaucoup plus comprhensible pour vous et que des portes se sont enn ouvertes. Un des objectifs de louvrage est dapporter aux lecteurs une vision globale des NRMM. Nous vous demandons de faire un rapprochement avec votre propre exprience ; comme dans beaucoup de domaines, sa propre exprience professionnelle acquise en entreprise permet de mieux comprendre limportance des NRMM dans le monde professionnel. Cela dit, la richesse de cet ouvrage est de permettre aux non-initis dacqurir des bases lmentaires de manire rapide et simple. Les NRMM peuvent tre utilises de manire globale, face aux besoins dune norme, dun rfrentiel, de plusieurs mthodes et modles, ou de manire modulable ; dans ce cas, il est alors possible de nutiliser que la partie mthode ou modle dont on a besoin. Cet ouvrage doit vous servir de guide ; il prsente un rel avantage en vous proposant un large choix de mthodes et de modles. Pour une lecture plus facile, nous vous dconseillons de lire cet ouvrage du dbut la n, mais de lire en priorit ce dont vous avez besoin. Un autre avantage est que chacun puisse se reconnatre et se retrouver ; cet ouvrage concerne toutes les directions : direction gnrale (exemple : BSC) ; direction nancire (exemple : Sarbanes-Oxley) ; direction du marketing (exemple : benchmarking) ; direction du SI (exemples : ITIL V3, CMMI) ;
Groupe Eyrolles

direction RH (exemple : OHSAS) ; direction mthodes & qualit (exemples : PDCA, Kaizen) ; direction industrielle (exemples : Six Sigma, Lean, 5S) ; direction logistique (exemple : JAT) ;

332

Les modles

direction commerciale (exemple : 5F) ; direction achats (exemple : TCO). Le rle de la direction gnrale est de montrer le chemin suivre pour lentreprise ; NRMM apporte connaissances et mthodes auprs des femmes et des hommes de lentreprise, et cela quel que soit le service, le dpartement, ou la direction.

CLIENTS ET FOURNISSEURS DIRECTION DE LENTREPRISE 1 2 3 4 NORMES RFRENTIEL MTHODES MODLES Le personnel 5


Femmes et hommes de lentreprise

March conomique national et international

Aprs la suite logique de la prsentation des tapes 1 (les normes), 2 (les rfrentiels), 3 (les mthodes), 4 (les modles), nous arrivons aux deux dernires tapes qui sont les tapes 5 (les femmes et les hommes de lentreprise) et 6 (le march conomique) dcrites ci-dessous.

Le personnel
Sans ladhsion des femmes et des hommes de lentreprise, malgr les NRMM, la partie est perdue davance. Toute la stratgie NRMM repose

Groupe Eyrolles

Conclusion

333

sur limplication du personnel ; on a souvent tendance loublier. Nous attirons votre attention sur cette tape 5, qui est cruciale pour la bonne mise en uvre, lutilisation et loptimisation des NRMM au sein de lentreprise. Nous prendrons limage du cur qui est assez reprsentative. Il faut bien comprendre que les femmes et les hommes de lentreprise reprsentent le cur de lentreprise et, sans cur, personne ne peut vivre, mme si lentreprise a les meilleurs outils ; ainsi, sans limplication du personnel rien nest possible. On pense souvent que tout est acquis, tout va se passer facilement, alors que ce nest pas toujours le cas. Mettre en place les NRMM au sein de son entreprise met en jeu de nombreux facteurs : la stratgie, lorganisation, la communication, la formation tous les niveaux hirarchiques de lentreprise sont impliqus. Il sagit dune rvolution organisationnelle, structurelle et culturelle pour lentreprise, et an dviter des problmes, complications et autres, le passage dun ancien rgime un nouveau rgime requiert un travail important de prparation car la culture dentreprise est remise en cause. En rgle gnrale, quand on annonce aux personnes quelles vont devoir effectuer de nouvelles activits, suivre une nouvelle organisation elles sont sur leurs gardes : cest humain, nous avons nos habitudes, nous matrisons ce que nous faisons, nous pensons connatre tout le primtre de nos activits, et tout coup, sur une dcision de la direction, nous devons revoir notre mode de travail et de fonctionnement. ce moment-l, plusieurs questions nous viennent lesprit : et pour moi, quest-ce que cela va avoir comme effet ? Que vais-je devoir faire ? Serai-je la hauteur ? Cest alors que nous passons par diffrentes phases de comportement : la peur, lincomprhension, la remise en cause de ses comptences, le manque de savoir, la crainte de ne pas tre la hauteur, le refus Pour certaines personnes, cela a leffet inverse : nouveau challenge, dcouverte pour dautres, il y aura de la rsistance, de la reconnaissance. Tous les cas de gure sont possibles. Nous vous prsentons deux schmas reprsentatifs du comportement humain face aux changements dans un contexte professionnel. Le premier schma reprsente la courbe du changement chez lindividu.

Groupe Eyrolles

334

Les modles

Attitude face aux changements INFORMATION ET ATTENTE

APPROPRIATION ET ALLIANCE

Temps

OPPOSITION ET RSISTANCE

RFLEXION ET PRISE DE CONSCIENCE

La courbe du changement

An de rduire et de limiter ltape opposition/rsistance, une bonne communication est faire auprs de lensemble du personnel de lentreprise. Le second schma reprsente ltape de rexion, de changement et dappropriation ; il sagit de toutes nos actions an de transformer le changement en solution doptimisation pour notre activit professionnelle.

couter Appliquer

Comprendre

crire

Contrler Corriger

Communiquer

Capitaliser

Amliorer

La peur du changement, avec son cycle de remise en question

Groupe Eyrolles

Conclusion

335

La direction se doit de travailler en troite collaboration avec lensemble du personnel ; il faut que tout le personnel se retrouve dans le choix fait par la direction. Cela saccompagne par un changement plus ou moins fort des mentalits et de la culture de lentreprise ; il faut que le personnel passe dun tat statique et passif (rsistance, opposition) un tat actif et volontaire (participation, suggestion damlioration).

Le march conomique
La vision globale permet de mieux comprendre limportance des NRMM dans lorganisation et la stratgie des entreprises. Le march conomique est national (europen) et international (mondial). Les acteurs des marchs nationaux et internationaux utilisent les NRMM. On constate que chaque domaine a son propre NRMM, et que des mutualisations se font : production (ITIL V3, Prince 2, ISPL, ISO 20000, PDCA, COBIT, CMMI, e-SCM) ; industrie (Kaizen, Lean) ; environnement (ISO 9000, ISO 14000, ISO 26000) ; audit (ISO 20000, CMMI, ISO 19011) ; tudes (CMMI, SPICE, ISO 15504, ISO 12207) ; scurit (ISO 15408, ISO 27000, ITIL V3) ; risques (SOX, COBIT, ISO 31000). Dans beaucoup dentreprises nationales et internationales, les organisations, les institutions, les administrations sappuient sur des normes, des rfrentiels, des mthodes et des modles pour rester dans la course. Nous esprons que cet ouvrage vous a plu et vous est utile dans votre vie professionnelle, dans vos tudes ou dans vos recherches de tous les jours. Un dernier conseil : il ne faut pas tout apprendre, les symboles sont l pour vous simplier la lecture et la comprhension, mais savoir que vous disposez dun ensemble dinformations dans un seul et mme ouvrage est important. Merci de votre conance et bientt.

Groupe Eyrolles

ANNEXES

Annexe 1

Cartographie des NRMM

Groupe Eyrolles

Risques
ISO 38500 COBIT SAS 70 eSCM SOX ITIL ISO 20000

NORMES ET RFRENTIELS

340

MOF

Annexes

CMMI ISO 15504

SPICE BOOTSTRAP PRINCE 2 SA-CMM SW-CMM TRILLIUM BILL

ISPL

ISO 19501 COSO IPD-CMM SSE-CMM ISO 21827

ZACHMAN

PROMPT

tudes
ISO 18044 ASL ISO 31000 ISO 17799 ISO 13335 BS7799 TQM TICKIT EFQM ISO 8402 ISO 25000 ISO 9126

Production
ISO 10005 ISO 10006 HAS

ISO 10007 ISO 9001 /2000 ISO 9004 BS 8800 PMBOK PMP PMI

ISO 27000 ISO 15408 ITSEC CISSP OHSAS

ISO 10011 SA 8000 ISO 26000 DSDM ISO 38500 ISO 14001 PCIE

ISO 19011

Scurit
LGENDE
Normes Rfrentiels

Qualit

Projet

Groupe Eyrolles

Groupe Eyrolles

MTHODES ET MODLES

Services
PCDA KAIZEN Chane de profit dans les services

chelle dinfrences Cartes mentales Matrice Importance/ Urgence

Matrice defficience

Chane de valeurs 7S

5S AMDEC TPM

ISHIKAWA

5S

Matrice Croissance

Matrice Atouts/ Attraits

SMED

TDBSSI Chane de la performance

TCO

HOSHIN SIX SIGMA MSP/SPC

5P

5P

Matrice Importance/ Performance 3C

BSC

Matrice constante 8P SWOT

5F

PEST KAIZEN PDCA Six Sigma Lean

LEAN

JusteTemps

Stratgie
TDBSSI

KNOWLEDGE MANAGEMENT

Production

BENCHMARK

RACI BPM OCTAVE BP-GP 5P JUSTETEMPS BENCHMARK

BP-GP PARETO CRAMM MEHARI MARION EBIOS PSSI ITBPM 5S ISHIKAWA Processus analyse des problmes et prise de dcisions Modle des carts de la qualit de service HOSHIN SIPOC KNOWLEDGE MANAGEMENT

Cartographie des NRMM

341

Scurit
LGENDE
Mthodes Modles

Qualit

Projet

Annexe 2

Les nouveauts normes et rfrentiels

LES NORMES
Rfrence de la norme Chapitre Publication

ISO 9001:2008 ISO/IEC 20000:2010 ISO 26000 ISO 27003 ISO 27004 ISO 27005 ISO 27006 IS0 31000:2009 ISO/IEC 38500:2008
Rfrence de la norme

3 9 11 12 12 12 12 13 14
Chapitre

15 novembre 2008 2010 Octobre 2010 Septembre 2009 2008 Juin 2008 Fvrier 2007 Septembre 2009 Avril 2008
Rvision

ISO 19011
Rfrence de la norme

8
Chapitre

2011
Abandon

SSE-CMM
Groupe Eyrolles

10

2008

344

Annexes

LES RFRENTIELS
Intitul du rfrentiel Chapitre Publication

P- CMM
Intitul du rfrentiel

3
Chapitre

Novembre 2008
Rvision

COBIT V4.1 ITIL V3 BS OHSAS 18001:2007 BS OHSAS 18002:2000 TICKIT V5.5


Intitul de lassociation

5 10 12 12 17
Chapitre

Mars 2008 Fin 2007 Juillet 2009 2008 2007-2008


Cration

AeSCM (Association franaise des utilisateurs de leSCM)

Fin 2007

N.B. Les tableaux ci-dessus prennent en compte les publications ou rvisions lies aux normes et rfrentiels depuis juillet 2007.

Groupe Eyrolles

Annexe 3

Sites Internet

PARTIE 1 LES NORMES


AFNOR : http://www.afnor.fr BS 7799 : http://www.bsi-global.com ISO : http://www.iso.ch SAS 70 : http://www.guideinformatique.com/denition-2274.htm SOX : http://www.guideinformatique.com/denition-sarbanes_ oxley_act-1579.htm

PARTIE 2 LES RFRENTIELS


COBIT Site de lISACA : http://www.isaca.org EFQM : http://www.afnor.org/efqm ITIL : http://www.itil-itsm-world.com ou http://www.ogc.gov.uk MOF : http://www.microsoft.com/technet/itsolutions/cits/mo/mof/ default.mspx SPICE : http://www.sqi.gu.edu.au/spice/ et http://www.isospice.com SSE-CMM : http://www.sse-cmm.org TQM : http://www.qualite.velay.greta.fr/tqm ZACHMAN : http://www.journaldunet.com/solutions/acteurs
Groupe Eyrolles

PARTIE 3 LES MTHODES


AMDEC : http://www.cyber.uhp-nancy.fr/demos/MAIN-003/chap_ deux/index

346

Annexes

BSC : http://www.balancedscorecard.org CRAMM : http://www.cramm.com EBIOS Site de la DCSSI : http://www.ssi.gouv.fr/fr/conance/ ebios.html Kaizen : http://www.kaizen.com MEHARI Site du Clusif : http://www.clusif.asso.fr/fr/production/ mehari/ OCTAVE/OCTAVE-S : http://www.cert.org/octave/ TDBSSI : http://www.ssi.gouv.fr/fr/conance/tdbssi.html

PARTIE 4 LES MODLES


Chane de la valeur : http://fr.wikipedia.org/wiki/Chane_de_valeur 5S : http://fr.wikipedia.org/wiki/5S 7S : http://www.bwatt.eu/index.php MSP : http://fr.wikipedia.org/wiki/Matrise_statistique_des_procds PARETO : http://membres.lycos.fr/hconline/pareto.htm SMED : http://www.cyber.uhp-nancy.fr/demos/PROD-001/smed/ index.html TPM : http://membres.lycos.fr/hconline/maintenance/tpm_fr

Groupe Eyrolles

Annexe 4

Organismes de certication

AB Certication. AFAQ : Association franaise pour lassurance de la qualit. AOQC Moody France. APMG : Certications ITIL. Bureau Veritas Certication : le Bureau Veritas Quality International est devenu le Bureau Veritas Certication depuis le 20 septembre 2006. COFRAC : Comit franais daccrditation. DEKRA Intertek Certication SAS. DNV Certication France : Det Norske Veritas Certication France. EXIN : Certications ITIL. LRQA : Lloyds Register Quality Assurance. SGS-ICS SA : Socit gnrale de surveillance International Certication Service. UTAC : Union technique de lautomobile du motocycle et du cycle.

Groupe Eyrolles

Annexe 5

Acronymes

AFAQ : Association franaise dassurance qualit AFNOR : Association franaise de normalisation AIAG : Automotive Industry Action Group AMDEC : Analyse des mthodes de dfaillance, de leurs effets, et de leur criticit BP : Base Practices BS : British Standard BSC : Balanced Scorecard BSI : British Standard Institute BVQI : organisme certicateur ISO 9000 V 2000 CC : Critres communs CCTA : Central Computer and Telecommunications Agency CLUSIF : Club de la scurit des systmes dinformation franais CMM : Capability Maturity Model COBIT : Control OBjectives for Information and related Technology COFRAC : Comit franais daccrditation CRAMM : CCTA Risk Analysis and Management Method
Groupe Eyrolles

DCSSI : Direction centrale de la scurit des systmes dinformation EAL : Evaluation Assurance Level EBIOS : Expression des besoins et identication des objectifs de scurit

350

Annexes

EFQM : European Foundation for Quality Management FEROS : Fiche dexpression rationnelle des objectifs de scurit des systmes dinformation FDA : Food and Drug Administration GMITS : Guidelines for the Management of Information Technology Security GP : Generic Practices HACCP : Hazard Analysis Critical Control Point IA-CMM : INFOSEC Assurance Capability Maturity Model IETF : Internet Engineering Task Force ISACA : Information Systems Audit and Control Association ISMS : Information Security Management System ISO : International Organization for Standardization ISSEA : International Systems Security Engineering Association ITBPM : Information Technology Baseline Protection Manual ITIL : IT Infrastructure Library ITSEC : Information Technology Security Evaluation Criteria ITSM : IT Service Management Forum KM : Knowledge Management KPI : Key Performance Indicator LRQA : Lloyds Register Quality Assurance MARION : Mthodologie danalyse de risques informatiques oriente par niveaux MEHARI : Mthode harmonise danalyse de risques
Groupe Eyrolles

MELISA : Mthode dvaluation de la vulnrabilit des systmes dinformation MFQ : Mouvement franais pour la qualit MOF : Microsoft Operations Framework

Acronymes

351

MSP : Matrise statistique des processus NIST : National Institute of Standards and Technology NSA : National Security Agency OCDE : Organisation de coopration et de dveloppement conomiques OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation OGC : Ofce of Government Commerce OHSAS 1801 : Occupational Health and Safety Assessment Series OMS : Organisation mondiale de la sant PDCA : Plan-Do-Check-Act POE : Plan oprationnel dentreprise PSI : Politique de scurit interne PSS : Plan stratgique de scurit PSSI : Politique de scurit des systmes dinformation QCD : Qualit, cot, dlai QQOQCCP : Qui quoi o quand comment combien pourquoi QRQC : Quick Response Quality Control RFC : Request For Change ROI : Return On Investment ou ROIC : Return On Invested Capital SA 8000 : Social Accountability International SCM : Supply Chain Management SE-CMM : Systems Engineering and software CMM SEI : Software Engineering Institute SI : Systme dinformation
Groupe Eyrolles

SLA : Service Level Agreement SME : Systme de management environnemental SMED : Single Minute Exchange of Die

352

Annexes

SOA : Architecture oriente services SSE-CMM : Systems Security Engineering-Capability Maturity Model SSIC : Scurit des systmes de linformation et de la communication SST : Sant scurit au travail ST : Security Target TCO : Total Cost of Ownership TDBSSI : Tableaux de bord de scurit des systmes dinformation TI : Technologie de linformation TQM : Total Quality Management

Groupe Eyrolles

Annexe 6

Glossaire

5M : modle qualit qui permet de rsoudre un problme. Il existe dautres noms comme arte de poisson, diagramme dIshikawa. 5 Pourquoi : modle du Kaizen qui permet de trouver la cause dun problme en posant la question pourquoi cinq fois. 5S : modle qualit, originaire du Japon, issu du Kaizen, qui permet dtablir des rgles organisationnelles au sein de son travail an de dgager une relle plus-value. Le premier S , sieri, signie dbarrasser linutile, le deuxime S , seiton, veut dire ranger, le troisime S , seiso, se traduit par nettoyer, le quatrime S , seiketsu, a comme sens ordonner et le cinquime S , shitsuke, veut dire rigueur. Agilit : tre capable de sadapter trs vite aux nouveaux environnements. Andon : systme qui permet dtre inform quand un technicien a un problme sur sa ligne de production. Architecture oriente service (SOA) : architecture qui repose sur un ensemble de services transverses. Asset : ressources (personnes, matriels). Assurance de la qualit : position du management renforcer lesprit de conance des quipes en matire de dmarche qualit. Audit : enqute et contrle du respect par lentreprise de lensemble des exigences dune norme ou dune directive rglementaire. Laudit peut tre interne (auditeurs de lentreprise) ou externe par une tierce partie (organisme de certication). Laudit est conduit par des auditeurs habilits et certis dans la plupart des cas (audit de certication pour la qualit, lenvironnement, audit de scurit, audit nancier).

Groupe Eyrolles

354

Annexes

Autonomation : systme automatique darrt dune machine en cas de problme ou de dysfonctionnement technique, lors de son fonctionnement. Best practices : activits ou processus dont le succs a t dmontr et qui sont utiliss par de nombreuses organisations (exemples : ITIL V2, V3, COBIT). Cercle de qualit : ensemble de personnes qui se runissent rgulirement an de traiter un problme qui est en rapport avec leurs activits professionnelles. Certication : activit qui permet de prouver quune entreprise, une institution, une structure conomique, une personne a les comptences et les connaissances ncessaires pour appliquer et pour faire appliquer lensemble des exigences dune norme dans son domaine professionnel (suite un audit, un examen). Exigences : ce que demande une norme, une directive, en termes de mise en place des personnes au sein des entreprises. Flux tendu : en production, livraison sans perte de temps, sans temps mort, en rduisant les encours ; zro stockage. Flux tir : production qui attend une demande du client avant de produire ; la demande vient de laval. Par exemple, avoir une commande avant de produire. Gemba : dcrit le lieu o se passe laction. Se rendre sur le terrain : pour louvrier, cest aller dans les ateliers, les lignes de production, pour le commercial, cest se rendre chez les clients. Gembutsu : concerne la vrication, le contrle des diffrentes pices, les objets indispensables pour le travail. Gouvernance TI : concerne lensemble des processus lis au systme dinformation, en interne et en externe lentreprise. Elle fait partie de la politique et de la stratgie de lentreprise. Hoshin Kanri (ou Policy deployment) : mthode de management de la qualit qui permet daller jusquau bout de lobjectif, en prenant en compte les situations passes, prsentes et futures. Indicateur de performance (KPI) : mesure souvent destine la hirarchie.

Groupe Eyrolles

Glossaire

355

Jidoka : mot japonais qui veut dire autonomation, cest--dire que la machine est capable de sarrter toute seule si un dysfonctionnement arrive, sans intervention humaine. Juste--Temps : produire un bien, un service, au bon moment, avec la bonne quantit, et livrer cette production au bon moment la bonne personne, au bon endroit et au moindre cot. Kaizen : philosophie (origine japonaise) sur lamlioration continue au sein de lentreprise. (Beaucoup de mthodes, de modles sont issus du Kaizen. Exemple : Hoshin, Juste--Temps, Kanban, 5M, 5S, 5P, Andon, Poka-Yoke). Kanban : systme dtiquettes qui permet de grer les ux de production. Lean : mthode damlioration continue, trs employe dans le milieu industriel, visant rduire le gaspillage et optimiser les ux lis la production. Lean ofce : Lean appliqu aux tches administratives ayant pour principal avantage de rduire les temps de traitement des dossiers (facturation). Matrise de la qualit : management de la qualit fond sur la conformit de lensemble des exigences propres la qualit. Management : Activits coordonnes pour orienter et contrler un organisme (Dnition ISO 9001:2000). Matrice des responsabilits : correspond au RACI (Responsible, Accountable, Consulted, Informed). Maturit : tat dune structure, dune organisation, dun processus qui a obtenu un certain niveau de matrise pour une ou plusieurs activits. Muda (les gaspillages) : gaspillage tous les niveaux de lentreprise. Les 7 Muda sont : productions excessives, attentes, transports et manutentions inutiles, usinages inutiles, stocks, mouvements inutiles, productions. Niveau : mesure la progression dun processus, dun service et/ou dune personne.
Groupe Eyrolles

Objectif qualit : Ce qui est recherch ou vis, relatif la qualit. (Dnition ISO 9001:2000). Opration externe (voir SMED) : opration pouvant tre mene sans le moindre risque (accident, interruption, perte de temps) durant lutilisation de la machine.

356

Annexes

Opration interne (voir SMED) : opration ne pouvant tre effectue que lorsque la machine est arrte. Organisme certicateur : Organisme, tierce partie, grant un systme de certication de produits (processus ou services) (Dnition norme NF EN 45011). Poka-Yoke : systme anti-erreur, prsent sur les machines, dont lobjectif est de limiter les erreurs (emplacement des pices). Politique qualit : Orientations et intentions gnrales dun organisme relatives la qualit telles quelles sont ofciellement formules par la direction (Dnition ISO 9001:2000). Procdure : manire spcie deffectuer une activit ou un processus. Processus : ensemble dactivits corrles ou interactives qui transforment des lments dentre en lments de sortie (Dnition ISO 9001: 2000). Qualication : Processus ou son rsultat permettant de dmontrer la capacit satisfaire des exigences. La qualication professionnelle concerne gnralement les personnes ou les entreprises (Dnition ISO 9001:2000). Qualit : Aptitude dun ensemble de caractristiques intrinsques satisfaire des exigences. Le terme qualit peut tre utilis avec des qualicatifs tels que mdiocre, bon ou excellent (Dnition ISO 9001: 2000). Quick Response Quality Control (QRQC) : mthode de traitement rapide (sans perte de temps) des problmes sur les lieux o ils sont apparus. Request For Change (RFC) : demande de changement. Return On Investment (ROI) ou Return On Invested Capital (ROIC) : retour sur investissement ou taux de rendement du capital investi. Shingo Price : le Shingo Prize for Manufacturing a t cr en 1988 en lhonneur de Shigeo Shingo. Le prix promeut le World Class Manufacturing et reconnat les socits ayant atteint un haut niveau de satisfaction client et de rsultats conomiques. Single Minute Exchange of Die (SMED) : rduction du temps de changement pour les sries en cours de production. Modle qui est utilis dans lindustrie.

Groupe Eyrolles

Glossaire

357

Systme de management de la qualit : Ensemble dlments corrls ou interactifs permettant dtablir une politique et des objectifs en matire de qualit et datteindre ces objectifs (Dnition ISO 9001:2000). Total Cost of Ownership (TCO) ou cot total de possession : ensemble des cots concernant la possession dun lment de conguration (informatique) de son achat son obsolescence. Toyota Production System (TPS) ou Toyota Seisan Houchiki en japonais : systme de management de la qualit, initialement mis en place et dvelopp par le groupe Toyota, et ax sur la qualit des produits, la satisfaction du client, lamlioration continue. Traabilit : systme qui permet de suivre lensemble des tapes dun lment ou dune information durant toute sa vie dans lentreprise, y compris les tapes de transformation (de son entre sa sortie). Valeur ajoute : rsultat dun traitement qui permet dapporter un gain ou un bnce sur les livrables, dans le but de rpondre aux attentes du march. Value Stream Mapping (VMS) ou Material and Information Flow Analysis (MIFA) : outil de cartographie du groupe Toyota, indispensable pour une bonne gestion des ux de matire et dinformation.

Groupe Eyrolles

Bibliographie

GNRALITS
AFNOR, Les rfrentiels qualit. La voie de lexcellence, AFNOR, 1997. Balantzian G., Le plan de gouvernance du SI, Dunod, 2006. Caseau Y., Performance du systme dinformation, Dunod 01 Informatique, 2007. Club URBA-EA, Urbanisme des SI et gouvernance, Dunod, 2006. Conti T., Lautodiagnostic de lentreprise, ditions JVDS, 1998. Froman B., Du manuel qualit au manuel de management : loutil stratgique, AFNOR, 2007. Froman B., Gourdon G., Dictionnaire de la qualit, AFNOR, 2003. Georgel F., IT gouvernance, Dunod, 2006. Leroux B., Paumier J., La gouvernance de lvolution du SI, Lavoisier, 2006. Prigord M., Fournier J.-P., Dictionnaire de la qualit, AFNOR, 1993. Shoji S., Jouslin de Noray B., Morel M., Noy D., La conception lcoute du march, Insep ditions, 1996. Sidi J., Otter M., Hanaud L., Guide des certications SI. Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM, Dunod 01 Informatique, 2006. Teneau G., La rsistance au changement organisationnel. Perspectives sociocognitives, lHarmattan, 2005.
Groupe Eyrolles

360

Guide comment des normes et rfrentiels

PARTIE 1 LES NORMES


Qualit
AFAQ, Guide de lecture des normes ISO 9001, 9002, 9003 lusage des PME/PMI, AFAQ, 1995. AFNOR, La certication qualit lusage des TPE-PME-PMI. Guide de lecture de la norme ISO 9001:2000, AFNOR, 2003. Baruche J.-P., La qualit du service dans lentreprise, ditions dOrganisation, 1992. Blanc D., Sant et social. LISO 9001 votre porte, AFNOR, 2008. Buch Jensen P., Montoya V., Guide dinterprtation des normes ISO 9000, AFNOR, 2002. Deming E., Quality, Productivity and Competitive Position, Massachusetts Institute of Technology, 1982. Gogue J.-M., Fey R., La matrise de la qualit, Economica, 1999. Hosotani K., Les 20 lois de la qualit, lexprience japonaise au service de votre entreprise, Dunod, 1994. Juran J.-M., Gestion de la qualit, AFNOR, 1989. Krebs G., Ressources humaines. Nouvelles pratiques selon lISO 9001, AFNOR, 2007. Lamprecht James L., ISO 9000. Se prparer la certication, AFNOR, 2002. Lyonnet P., Les outils de la qualit totale, Lavoisier, 1991. Mathieu S., Comprendre les normes ISO 9000 version 2000, AFNOR, 2002. Monteil B., Alexandre G., Ryon P., Cercles de qualit et de progrs, ditions dOrganisation, 1989. Pinet C., 10 cls pour russir sa certication ISO 9001, AFNOR, 2006.
Groupe Eyrolles

Sgot J., Gasquet C., Assurer le passage la norme ISO 9001 version 2000, AFNOR, 2001. Stora, Qualit totale, ditions dOrganisation, 1986. Sussland W., Le manager, la qualit et les normes ISO, Presses Polytechniques et Universitaires Romandes, 1995.

Bibliographie

361

Todorov B., ISO 9000. Une force de management, Morin, 2000. Ziane E., Matrise de la qualit totale. Outils de la matrise statistique des processus, Herms, 1993.

Audit
Bon J. V., ISO/IEC 20000 : a pocket guide, Van Haren Publishing, 2006. Joing J.-L., Auditer lthique et la qualit. Pour un dveloppement durable ! AFNOR, 2003. Jonquires M., Russir les audits Qualit et Environnement. La norme ISO 19011, AFNOR, 2003. Jonquires M., Manuel de laudit des systmes de management lusage des auditeurs et des audits, AFNOR, 2006. Mitonneau H., Russir laudit qualit, AFNOR, 2001.

Responsabilit entreprise
AFNOR, Qualit et systmes de management, AFNOR, 2005. Faucher S., Systme intgr de management. Qualit Scurit Environnement, AFNOR, 2006. Froman B., Gey J.-M., Laurans B., Qualit et environnement, AFNOR, 2003. Froman B., Gey J.-M., Bonnifet F., Qualit, scurit, environnement. Construire un systme de management intgr, AFNOR, 2007. Madoz J.-P., thique professionnelle, AFNOR, 2007. Pribre B., Le guide de la scurit au travail ! Les outils du responsable, AFNOR, 2008. Vaute L., Grevche M.-P., Certication ISO 14001, les 10 piges viter, AFNOR, 2005.

Risques
Groupe Eyrolles

Kerebel P., Mise en uvre dun contrle interne efcace via un ERP, AFNOR, 2007. Locketz J. S., Wold G. H, Practical Guide to SAS 70 Engagements, John Wiley & Sons, 2008.

362

Guide comment des normes et rfrentiels

Louisot J.-P., Gestion des risques, AFNOR, 2005. Louisot J.-P., Gaultier-Gaillard S., Diagnostic des risques. Identier, analyser et cartographier les vulnrabilits, AFNOR, 2007. Vaute L., Grevche M.-P., Certication ISO 14001, les 10 piges viter, AFNOR, 2005. Welytok J. G., Sarbanes-Oxley for Dummies, For Dummies, 2008.

Scurit
Bennasar M., Champenois A., Arnould P., Rivat T., Ballenghien Y., Manager la scurit du SI, Dunod 01 Informatique, 2007. Cal S., Touitou P., La scurit informatique, rponses techniques, organisationnelles et juridiques, Hermes Lavoisier, 2007. Fernandez-Toro A., Management de la scurit de linformation : implmentation ISO 27001, Eyrolles, 2007. Lamre J.-M., La scurit informatique. Approche mthodologique, Dunod, 2007. Linlaud D., Scurit de linformation. laboration et gestion de la politique de lentreprise suivant lISO 17799, AFNOR, 2003.

Logiciels
ADELI, ISO 9001 et dveloppement du logiciel, AFNOR, 1996. Gray L., Guidebook to IEEE/EIA 12207 Software Life Cycle Processes, Abella Corp. Martin J.-P., Qualit du logiciel et systme qualit, Masson, 1997. Wallmller E., SPI Software Process Improvement mit CMMI und ISO 15504, Hanser, 2006.

PARTIE 2 LES RFRENTIELS


AFAI, COBIT, Gouvernance, contrle et audit de linformation et des technologies associes, AFAI, 2002. (cdrom) AFITEP, Le management de projet. Principes et pratique, AFNOR, 1998. Basque R., CMMI, un itinraire ch vers le Capability Maturity Model Integration Version 1.2, Dunod, 2006. Bentley C., Prince 2 Quality Management, Handbook, 2001.
Groupe Eyrolles

Bibliographie

363

Chamfrault T., Durand C., ITIL et la gestion des services, Dunod, 2006. Chrissis M. B., Konrad R., Shru S., CMMI Guide des bonnes pratiques, Campus Press, 2008. Dumont C., ITIL pour un service informatique optimal, Eyrolles, 2007. Gey J.-M., Courdeau D., Pratiquer le management de la sant et de la scurit au travail. Matriser et mettre en uvre lOHSAS 18001, AFNOR, 2007. Hall T. J., The Quality Systems Manual : The Denitive Guide to the Iso 9000 Family and Tickit, John Wiley & Sons, 1995. Harris S., CISSP All-in-one Exam Guide, McGraw Hill/Osborne Media, 2007. Lamnabhi M., valuer avec CMMI, AFNOR, 2008. Noirault C., ITIL (version 3), ENI, 2008. ORourke C., Fishman N., Selkow W., Enterprise Architecture Using the Zachman Framework, Course Technology, 2003. Phillips J., CAPM/PMP Project Management Certication : Exam Guide, McGraw Hill/Osborne Media, 2007. Pinet C., 10 cls pour la gestion des services. De lITIL ISO 20000, AFNOR, 2007. PMI, Management de projet. Un rfrentiel de connaissances, AFNOR, 2001. Pultorak D., MOF, Van Haren Publishing, 2005. Richards K., Agile Project Management : Running Prince2 Projects with DSDM, Keith Richards Consulting, 2007. Shiba S., Le management par perce. Mthode HOSHIN, Insep Consulting, 2007. Shiba S., Graham A., Walden D., TQM : 4 rvolutions du management, Dunod, 2003. Sidi J., Otter M., Hanaud L., Guide des certications SI, Dunod 01 Informatique, 2006.
Groupe Eyrolles

Teneau G., ITIL, Mise en place dun centre de service, Oboulo.com, 2007. Tudor D. J., Tudor I. J., DSDM Student Workbook, Galatea Training Services, 2002. Tuinenga P. W., SPICE, Dunod, 1997.

364

Guide comment des normes et rfrentiels

Van Bon J. V., Coul J. C. (de) (sous la direction de), Van der Veen A. (sous la direction de), IT Services Procurement Based on ISPL, Van Haren Publishing, 2005. Verdoux S., Iribarne P., Prix, modle & dmarches EFQM, AFNOR, 2005.

PARTIE 3 LES MTHODES


AFNOR, Processus management : Tome 1, Identier et mettre en place ; Tome 2, Manager une politique qualit ; Tome 3, valuer, matriser et amliorer, AFNOR, 2008. Arnould P., Renaud J., Juste--temps. Approches modernes, concepts et outils damlioration, AFNOR, 2002. Carillon J.-P., Le Juste--temps dans la gestion industrielle, Hommes et Techniques, 2008. Caseau Y., Urbanisation et BPM, Dunod, 2005. Faucher J., Pratique de lAMDEC. Assurez la qualit et la sret de fonctionnement de vos produits, quipements et procds, Dunod, 2004. Gitlow H. et S., Le guide Deming pour la qualit et la comptitivit, AFNOR Gestion, 1991. Hermel L., Achard P., Le Benchmarking, AFNOR, 2007. Landy G, AMDEC Guide pratique, AFNOR, 2007. Masaaki I., Kaizen, La cl de la comptitivit japonaise, Eyrolles, 1992. Molet H., Comment matriser sa productivit, Presses de lcole des mines, 1988. Monden Y., Toyota Production System, An Integrated Approach to JustIn-Time, Inst of Industrial Engineers, 1993. Mondon C., Supply Chain Management en PMI. Le chanon manquant, AFNOR, 2005. Ohno T., Lesprit Toyota, Masson, 1997. Prax J.-Y., Le guide du knowledge management, Dunod, 2000. Rosenberg D., Metzen H., Le Lean Management, ditions dOrganisation, 1994. Schonberger R., Moisy C., Comment appliquer les techniques de gestion japonaises, ditions de lEntreprise, 1983.
Groupe Eyrolles

Bibliographie

365

Sekine K., Sugiura K., Carillon J.-P., Kanban. Gestion de production stock zro, Hommes et Techniques, 1983. Sharma A., Moody P., La transformation LeanSigma, Maxima, 2002. Shingo S., Le systme Poka-Yoke, ditions dOrganisation, 1987. Shingo S., SMED, une rvolution en gestion de production, ditions dOrganisation, 1987. Suzaki K., Produire Juste temps. Les sources de la productivit industrielle japonaise, Masson, 2000. Womack J., Jones D., Systme Lean, Pensez lentreprise au plus juste, Village Mondial, 2007.

PARTIE 4 LES MODLES


Blake R. R., Mouton J. S., Devillers A., Les deux dimensions du management, ditions dOrganisation, 1980. Eckes G., Objectif Six Sigma, Village Mondial, 2001. George M. L., Lean Six Sigma pour les services, Maxima, 2005. Heskett J. L., Sasser W. E. Jr, Schlesinger A., The service prot chain, Free Press, 1997. Ishikawa K., La gestion de la qualit, Dunod, 2006. Kaplan R., Norton D., The Balanced ScoreCard Measure that drives performances , Harward Business Review, 1992. Kepner C. H., Tregoe B. B., Le nouveau manager rationnel, Interditions, 1999. Koch R., The 80/20 principle, Brealey Nicholas Publishing, 2007. Kotter J. P., Leading change, Harvard Business School Press, 1996. Masaaki I., Gemba Kaizen, JV & DS, 1997. Masaaki I., KAIZEN, la cl de la comptitivit japonaise, Eyrolles, 1992 Osada T., Les 5S. Premire pratique de la qualit totale, Dunod, 1993.
Groupe Eyrolles

Pande P. S., Neuman R. P., Cavanagh R. R., The Six Sigma way, McGraw Hill, 2000. Porter M. E., Competitive strategy, Free Press, 1985. Prax J.-Y., Le manuel du knowledge management, Dunod, 2007. Vandeville P., Audit qualit - scurit - environnement, AFNOR, 2003.

Index

Numriques
3C 298 5 forces 303 5P 301 5S 299, 346 7S 305, 346

C
CERT (Computer Emergency Response Team) 261 Certification 20 Chane ~ de la performance 291 ~ de la valeur 287, 346 CHSCT (Comit dhygine, de scurit et des conditions de travail) 23 CISSP (Certified Information System Security Professional) 109 CMM (Capability Maturity Model) 43, 111, 219, 345, 349, 352 CMMI (Capability Maturity Model Integration) 30, 111, 133 COBIT (Control Objectives for Information and related Technology) 87, 119, 133, 345 COSO (Committee Of Sponsoring Organizations of the treadway commission) 100 CRAMM 223, 346, 349

A
Accrditation 20 ~ COFRAC (Comit franais daccrditation) 35 AMDEC (Analyse des modes de dfaillance, de leurs effets et de leur criticit) 194, 197, 345, 349 Andon 244 ASL (Bibliothque de services dapplication) 105106

B
Benchmark 216 BiSL (Bibliothque de services dinformation daffaires) 106 BP (Base Practices) 66, 219, 349 BPM (Business Processus Management) 203 BS ~ 15000 61 ~ 7799 73, 345 ~ 8800 23 BSC (Balanced Scorecard) 209, 346, 349

D
DSDM (Dynamic Systems Development Method) 123, 126

Groupe Eyrolles

E
EBIOS (Expression des besoins et identification des objectifs de scurit) 225, 346, 349

368

Guide comment des normes et rfrentiels

EFQM (European Foundation for Quality Management) 127, 182, 345, 350 eSCM-CL 133, 139 eSCM-SP 133, 139 Euromthode 141142

G
GP (Generic Practices) 66, 219, 350

H
Hoshin 229

I
IEEE (Institute of Electrical and Electronics Engineers) 16 iKM 252 ILO-OHSAS 2001 71 ISC2 (International Information Systems Security Certification Consortium) 109 Ishikawa 283 ISO ~ 10005 39 ~ 10006 37 ~ 10007 39 ~ 14000 29, 52, 59, 94 ~ 14001 48, 51, 57, 71, 163, 263 ~ 14010 59 ~ 14011 59 ~ 14012 59 ~ 15408 226 ~ 17799 73, 226 ~ 19011 57 ~ 27000 79, 84 ~ 27003 76 ~ 27004 76 ~ 27007 77 ~ 27799 77 ~ 38500 85

~ 9000 2, 27, 29, 43, 59, 9495, 197, 349 ~ 9001 27, 31, 35, 43, 52, 57, 59, 73, 76, 84, 128, 130, 163, 167, 179, 182, 263 ~ 9002 27, 31 ~ 9003 27, 31 ~ 9004 43, 59, 177 ISO/DIS 31000 81, 84 ISO/IEC ~ 12207 43, 45 ~ 13335 76 ~ 15504 53, 175 ~ 20000 35, 61, 79, 87 ~ 21827 65 ~ 27001 7374, 76, 79, 263 ~ 27002 75, 7779 ~ 27005 7576, 79 ~ 27006 77 ISO/IEC FDIS 27011 77 ISO/WD 26000 69, 72 ISPL (Information Services Procurement Library) 142 ISSEA (International Systems Security Engineering Association) 65 ITBPM 233, 350 ITIL (Information Technology Infrastructure Library) 30, 4546, 63, 79, 87, 133, 139, 143, 149, 152, 155, 174, 263, 345, 347, 350 ITSMF (Information Technology Infrastructure Service & Management Forum) 143

J
Juste--Temps 237, 254

K
Kaizen 241, 263, 299, 301, 346 Kanban 244 Knowledge Management 247

Groupe Eyrolles

Index

369

L
Lean 241, 253, 263 Loi Sarbanes-Oxley (SOX) 75, 84, 89, 99, 345

P
PCIE (Passeport de comptences informatique europen) 165166 PDCA (Plan-Do-Check-Act) 32, 35, 63, 76, 78, 153, 204, 212, 244, 263, 351 PEST 315 PMBOK (Project Management Body of Knowledge) 167 PMI (Project Management Institute) 167 PMP (Project Management Professional) 167 Poka-Yoke 244 PRINCE 2 (PRojects IN Controlled Environments) 169, 174 Principe de Pareto 317, 346 PROMPT 169

M
Matrice ~ ABC 311 ~ Atouts/Attraits 307 ~ Croissance/Part de march 310 ~ Importance/Urgence 311 MEHARI (Mthode harmonise danalyse de risques) 259, 346, 350 Mind Mapping 281 Modle des carts de la qualit de service 293 MOF (Microsoft Operations Framework) 157, 345, 350 MSP 346 MSP-SPC 313

Q
QQQOCP (qui, quoi, quand, o, comment, pourquoi) 187

N
Norme de management 18 RACI 319

R S
SA 8000 9394, 97, 351 SAI (Social Accountability International) 93 SAS 70 84, 89, 91, 100, 345 SCAMPI (Standard CMMI Appraisal Method for Process Improvement) 111 SCE (Software Capability Evaluation) 111 SCM (Supply Chain Management) 291 SD 21000 131 SEI (Software Engineering Institute) 111, 351

O
OCTAVE 261, 346, 351 OHSAS 25, 161, 351 OIT (Organisation internationale du travail) 71 Organisme de normalisation ~ AFNOR (Association franaise de normalisation) 19 ~ BSI (British Standards Institution) 61 ~ CEN (Comit europen de normalisation) 17, 19 ~ ISO (International Organization for Standardization) 16, 20

Groupe Eyrolles

370

Guide comment des normes et rfrentiels

SIPOC 323 Six Sigma 267 SME (Systme de management de lenvironnement) 49, 51, 58 SMED (Single Minute Exchange of Die) 244, 321, 346, 351 SMQ (Systme de management de la qualit) 32, 58 SMSI (Systme de management de la scurit de linformation) 73 SPICE (Software Process Improvement and Capability dEtermination) 43, 53, 175176, 345 SQE (Systme de la qualit de lentreprise) 35 SSE-CMM 65 SWOT 325

T
TCO (Total Cost of Ownership) 271 TDBSSI (Tableau de bord de scurit des systmes dinformation) 275, 346, 352 TICKIT 179 TPM (Total Productive Maintenance) 244, 327, 346 TPS (Toyota Productive System) 241 TQM (Total Quality Management) 181, 183, 345, 352

V
VSM (Value Stream Mapping) 255

Z
Zachman 187

Compos par Sandrine Rnier N dditeur : 3899 Dpt lgal : aot 2009