Comment consilier entre les standards

Comment concilier entre les standards

Mohamed SAAD

2

COBITITILPMBoKISO 27 002

Les Bonnes Pratiques Informatiques

3

Les SI: l’évolution

4

0. [30..48]: l’informatique était essentiellement au service des départements militaires

1. Durant les 30 glorieuses: le modèle économique était essentiellement tourné vers l’industrie et la production pour construire l’après guerre:• L’informatique a suivi:

• les investissements informatiques avaient pour objectif l’automatisation des fonctions administratives telles que la comptabilité et la paie. L’informatique était avant tout une fonction de production et son impact sur l’organisation était alors limitée

L’évolution organisationnelle

5

2. Fin des années 70..années 90 : le modèle économique introduit les techniques marketing, l’analyse comportementale du client, La maîtrise des coûts…:• L’informatique a suivi:

• Durant cette phase, l’introduction d’outils de gestion de l’information (GPAO, BD, Data Warehouse…) a amené des changements dans le travail : émergence de nouveaux métiers, démocratisation des outils bureautiques, besoin de formation…


6

3. 21 siècle : les marchés sont devenus de mégas plateformes planétaires, avec des organisations d’entreprises multi culturelles. Les services représentent 70% de l’économie mondiale:• L’informatique n’a pas uniquement suivi mais elle est devenu

au cœur de l’implosion:• Nous sommes à présent dans une nouvelle phase, avec

des outils de plus en plus sophistiqués et interconnectés, les nouvelles formes d’applications de l’informatique sont le moteur d’une transformation en profondeur du marché et des entreprises


7

SI

conception

achats

productionlogistique

Clients

FournisseursOrganismes de contrôle

Partenaires

prospection

vente

réception

maintenance

services

Le S.I est au cœur de l’activité de l’entreprise

8

Politique Générale

de l’Entreprise

Politique Des S.I


de l’Entreprise

Politique Des S.I


de l’Entreprise

Politique Des S.I


de l’Entreprise

Politique Des S.I


de l’Entreprise

Politique Des S.I

Inexistence de

l’un ou de

l’autre

IndépendanceDe l’un

Par rapportÀ l’autre

Politique S.IDéduite

De La politique

Générale

L’un influence L’autre

Et Vice versa

Politique S.IEt politique

GénéraleDéveloppées

conjointement

L’alignement stratégique

(Source: Acadys – Enquête sur la Gouvernance des SI)

5 Cas de figures sont possibles

IT Governance

9

Infrastructure matérielle

10

Infrastructure matérielle: Évolution

45-60ENIAC

55-80Vax

PDP 11

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

Personal Computer

Super calculateur

Année 75 - 90

Network computer95-2000

Cluster de PCs2000-…

11

Infrastructure matérielle les 20 dernières années

L’extraordinaire explosion des microprocesseurs (loi de Gordon Moore) Moore prédit tout d’abord un doublement du nombre de

transistors dans une puce tous les 18 mois La montée en puissance des réseaux La montée en puissance des Minis puis des serveurs Le retour en puissance des centraux (C/S en 2/3, 3/3…) Les environnements hétérogènes

SNA ISO/OSI TCP/IP

12

Infrastructure matérielle Impacts de ces tendances Cette évolution a changé les organisations de travail:

Les monde de l’informatique centrale et de l’informatique micro ont cessé de vivre chacun de son côté :

Conciliation L’informatique est désormais partagée, elle n’appartient plus qu’aux

informaticiens Les DSI ont dû s’adapter:

Des compétences plus variées (Architectes S.I, Urbanisation S.I, veilles technologiques…)

Une organisation matricielle Des outils de travail indispensables Des solutions progiciel orientées métier (« MySap »…) Des organisations impliquant et responsabilisant l’utilisateur (Process

Owner, Project sponsor, maîtrise d’ouvrage / maîtrise d’œuvre…) Disparition des DOSI, DOI DSI, DPO… (le débat est toujours ouvert)

13

Rappels techniques des composantes d’un S.I

Stratégie, Gestion, Sécurité

Logiciels, applicatifs et données

Infrastructure

Logiciels de base

Matériels

Réseaux

Équipes

Études E

xploitation

14

Infrastructure matérielle Type d’Ordinateurs (1)

PC ou Personnel Computer, Portables, Palm (Personal Digital Assistant), Station de travail

15

Infrastructure matérielle Type d’Ordinateurs (2) Serveurs:

Des ordinateurs + services optimisés multi processeurs disques RAID Plusieurs équipements redondants multi ventilateur…

Mainframe: De grands ordinateurs faisant partie des premières générations des constructeurs

IBM, BULL, DEC…, ou l’informatique est essentiellement centralisée. Les utilisateurs opèrent à travers des terminaux (Écran/clavier)

Capable en terme d’espace d’occuper de larges surfaces Plusieurs équipements accompagnent les mainframes (robots de sauvegardes et de

stockage de bandes, unités d’entrée/sortie de bandes et de cartouches, de méga imprimantes…)

16

Infrastructure matérielle Quelques plateformes

Gros systèmes (Mainframe) IBM 3090 ES9000 zSeries BULL DPS7 DPS8 DPS9 DEC VAX 6XXX VAX 9XXX

MINI SYSTEMES IBM AS400 iSeries DEC MicroVAX VAX UNISYS A series HP HP 3000 (GX, LX)

SERVEURS IBM RISC 6000 BULL DPX 2 DEC ALPHA SUN SPARC STATION HP HP 9000, Proliant BL, ML, DL xxx…

17

Infrastructure matérielle Les tendances Des serveurs packagés (« appliance servers »)

matériel et logiciels préinstallés pour un service précis (gestion de fichiers, impression, travail coopératif, NAS, Web, sécurité, messagerie, cache, pare-feu, VPN, répartition de charges, SSL…. )

solutions peu coûteuses, sous Windows ou Linux ou BeOS, en versions allégées

Les serveurs lames (server blade) se multiplient en armoire ou en châssis pour un gain de place, de consommation et

d’argent un format 3U (13,3cm de haut) peut contenir 24 serveurs, un rack (2m)

Le multiprocessing est plus en vogue que jamais...

… et les techniques de grappes et de tolérance aux pannes Faire fonctionner plusieurs OS sur une seule machine virtuelle

Ex : Connectix (Virtual Server/Microsoft), VMware (GSX Server/IBM)

18

Infrastructure matérielle Quelles perspectives pour les Mainframes ? Des architectures basées sur des processeurs «standardisés» (Intel?)

et l’abandon des processeurs «propriétaires» Un des challenges des prochaines années

Des machines multi-processeurs permettant de faire tourner plusieurs OS (compatibilité avec l’existant, consolidation)

Gamme @server, zSeries 800 et 900 d’IBM Jusqu’à 512 processeurs Processeurs dédiés à certaines tâches (E/S) z/OS, 64 bits, permettant de faire tourner OS/390 Linux on zSeries z/VM, un hyperviseur supportant concurremment z/OS, OS/390, VSE/ESA,

Linux for S/390 et Linux for zSeries Concept « On demand » d’IBM

19

Informatique centralisée:• Salle machine

unique• Gros système• Utilisateurs

accédant à travers des terminaux

• Les supports de stockage sont centralisés…

Démocratisation de l’informatique:• Utilisateurs connectés au

sites/serveurs• PCs• Avènement du

Client/serveur• …

Autonomie de l’utilisateur:• Infocentre /

datawarehouse/ datamining…

• Développements locaux

• Partage de données

• Sauvegarde non contrôlée

• OS peu fiables…

Années 50, 60, 70 Années 80 Années 90

Le pendule des Architectures Informatiques

20

Informatique centralisée:• Maîtrise des

plateformes• Centralisation de

l’information• Contrôle de

l’infrastructure• Maîtrise et

centralisation des sauvegardes / Performances / fiabilités des supports / machines

• Baies de stockage• Backups / PCA /

sites secours• …

Démocratisation de l’informatique:• Utilisateurs

connectés au sites/serveurs

• PCs• Avènement du

Client/serveur• …

SécuritéAutonomie de l’utilisateur:• Infocentre /

datawarehouse/ datamining…

• Développements locaux

• Partage de données

• Sauvegarde non contrôlée

• OS peu fiables…

Sécurité

Années 90Ces 10 dernières années

Le pendule des Architectures Informatiques

21

Les Standards

22

Bonne Pratique Une bonne pratique d’un domaine donné est une pratique conforme

à l’état de l’art de ce domaine. Fruit de l’expérience et de la recherche, son efficacité et sa fiabilité sont avérées,ont été éprouvées et sont reconnues par tous.

Dans le domaine des systèmes d’information, il existe de nombreuses bonnes pratiques dont l’application permet la performance du SI et par incidence la performance de l’organisation.

Il est possible de définir une bonne pratique comme une Règle possédant trois propriétés : conformité à l’état de l’art performance et fiabilité éprouvées reconnaissance par tous

Un ensemble de bonnes pratiques constitue un référentiel

23

Référentiel

Un Référentiel est un ensemble de règles et d’usages que les professionnels reconnaissent comme vrais et considèrent qu’elles devraient être appliquées

Pour piloter efficacement l’informatique il faut appliquer les règles efficaces et qui ont fait leurs preuves

Ces règles permettent de mesurer la distance entre ce qui est observé et ce qui devrait se faire

Pour effectuer un audit il est nécessaire de disposer d’un

référentiel

Les référentiels sont des recueilles de bonnes pratiques

24

Adapter les outils aux situations variées

Traduction :

en retard

bourré

traces de rouge à lèvres

25

Les technologies de l'information ont

changé la façon dont les gens créent de

la valeur économique

Pensées

AlanGreenspan

Sans objectif de productivité il n’y a pas

d’orientation pour l’entreprise; sans

mesure de la productivité il n’y a pas de

contrôle

PaulStrasmann

26

IT Governance

27

Les origines historiques : depuis l’antiquité…

Origine publique du terme gouvernance: l’art ou la manière de gouverner- Français: gouverner, gouvernement, gouvernance,…. - Anglais: govern, government, governance…..

Ve siècle av J.C

Origine Grecque : « la citée idéale », Hérodote, Platon…Le verbe « Kubernàn »,« gubermare, gubermantia » = piloter un navire ou un char)

1789Les philosophes des lumières: pour les grands révolutionnaires(Montesquieu, Rousseau, Diderot), la séparation des pouvoirs estle fondement de la bonne gouvernance

XIVe siècle Sous l’Ancien régime : la gouvernance = despotisme, féodalité

XIIIe siècle

28

L’origine de la Gouvernance d’entreprise

D’hier…

… à aujourd’hui !

Enron's Kenneth Lay & Jeffrey Skilling

29

Les origines contemporaines : depuis 1929…..

- Travaux de Adolf Berle et Gardiner Means (The Modern Corporation and Private Property), et Ronald Coase (The nature of the firm) : introduction de la notion de « corporate governance ».

1934

Crash boursier : « le jeudi noir »1929

« Corporate Governance » née dans les milieux d'affaires US.1980

2000

- Lancement du New Deal par le président Franklin D. Roosevelt : création de la Securities Exchange Commission (SEC) – Autorité de contrôle des marchés financiers.

Début des scandales Financiers

30

Ce que c’est…

Depuis l’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré

efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens.

Depuis l’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré

efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens.

31

Ce que ce n’est pas…

La Gouvernance amène avant tout une perspectivedite « exogène » du système et ne peux être assimilée aux bonnes pratiques de gestion interne (vision « endogène »), n’intéressant pas forcément les actionnaires ou citoyens.

Il est dangereux et erroné de confondre, gestion opérationnelle et management stratégique.

La Gouvernance amène avant tout une perspectivedite « exogène » du système et ne peux être assimilée aux bonnes pratiques de gestion interne (vision « endogène »), n’intéressant pas forcément les actionnaires ou citoyens.

Il est dangereux et erroné de confondre, gestion opérationnelle et management stratégique.

Aujourd’hui, le concept de gouvernance est largement utilisé mais aussi dévoyé, en obérant ses racines et sa véritable raison d’être.

En particulier, une confusion importante a lieu en mélangeant les notions de « bonnes pratiques de gestion interne » et de « gouvernance ».

ITIL

CoBit

CMMI…

32

Définition :

La Gouvernance Informatique comme tout autre sujet de gouvernance, est la responsabilité directe des Dirigeants et des Actionnaires de l’entreprise représentés par le Conseil d’Administration.

Elle consiste dans le pilotage, les structures organisationnelles et les processus assurant que l’organisation informatique supporte parfaitement les objectifs et stratégies de l’entreprise.

L’ objectif de la gouvernance informatique est d’assurer que l’informatique répond bel et bien aux objectifs suivants :

• Alignement avec l’entreprise et atteinte des objectifs attendus• Permettre à l’entreprise d’exploiter les opportunités en

maximisant ses bénéfices• Optimisant l’utilisation des ressources informatiques• Gérant les risques de manière adéquate

La Gouvernance Informatique

33

Aujourd’hui, la gouvernance informatique telle que définie parl’ITGI et l’ISACA se résume aux 5 problématiques suivantes :

Alignement stratégique (« IT Strategic Alignment »)

Création de Valeur (« IT Value Delivery »)

Gestion du risque informatique (« IT Risk Management »)

Mesure de performance (« Performance Measurement »)

Gestion des ressources (« IT Resource Management » )

Les 5 piliers de la Gouvernance Informatique

34

Les piliers de la Gouvernance des SIAlignement stratégique ( IT Strategic Alignment )

Création de Valeur (IT Value Delivery )

Gestion du risque (Risk Management )

Mesure de performance (Performance

Measurement )

Gestion des ressources (IT Resource

Management )

35

Le concept d’industrie du savoir contient

suffisamment de dynamite pour envoyer les

économies traditionnelles sur orbite

Pensées

Ken Boulding

L’âge moderne a un faux sentiment de

supériorité, à cause de la masse considérable

de données mise à sa disposition. Mais le

seul critère de distinction est plutôt de

savoir dans quelle mesure l’homme sait

manier le matériau dont il dispose

Goethe

36

COBITControl OBjectives for Information &

related Technology

37

Traduit et publié en France par l’AFAI (Association Française de l’Audit Informatique, chapitre français de l’ISACA (Information System Audit and Control Association and Foundation), CobiT est le référentiel leader du monde de l’audit SI.

CobiT a pour mission de « rechercher, développer, faire connaître et promouvoir un ensemble d’objectifs de contrôle internationaux en technologies de l’information qui soient généralement acceptés, à jour, et fassent autorité, pour l’utilisation au jour le jour par les managers et les auditeurs »

De plus en plus, la pratique des affaires implique la pleine montée en puissance des responsables des processus de gestion, afin qu’ils exercent l’entière responsabilité de tous les aspects de processus de gestion. Ceci implique de mettre en place les contrôles adéquats.

C’est une des raisons qui ont amené CobiT à être orienté gestion

CobiT

38

Objectifs de Contrôles, Points de Contrôles et Bonnes Pratiques

CobiT est un Référentiel reposant sur trois concepts:

Objectifs de Contrôles : ce sont les questions que se posent les dirigeants

Points de Contrôles : ce sont les aspects qui sont effectivement vérifiés

Bonnes Pratiques : c’est la base des points de contrôle

39

Quel est le problème ? Quelle est la solution ? En quoi consiste-t-elle ? Est-ce que cela va fonctionner ? Comment vais-je procéder ?

40

“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”

Évaluation des performances - Quels sont les indicateurs de bonne performance ?

Définition du profil des contrôles informatiques - Quels sont les éléments importants ? Quels Facteurs Clés de Succès utiliser dans le domaine du contrôle ?

Sensibilisation - Quels risques encourons-nous en n'atteignant pas nos objectifs ?

Comparaison - Que font les autres ? Comment évaluer et comparer ?

41

“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”

Définir spécifiquement les éléments suivants va permettre de

déterminer et de gérer un niveau de contrôle et de sécurité

informatique approprié :

Tests Comparatifs des pratiques de contrôle informatique (sous

forme de Modèles de maturité)

Indicateurs de Performance des processus informatiques

(résultats et performances)

Facteurs Clés de Succès pour placer ces processus sous

contrôle

42

Modèles de maturité

43

AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.

ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure regulatory compliance.ME4 Provide IT governance.

DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.

MONITOR ANDEVALUATE

DELIVER AND SUPPORT

ACQUIRE AND IMPLEMENT

IT RESSOURCES

• Effectiveness• Efficiency• Confidentiality• Integrity• Availability• Compliance• Reliability

• Applications

• Information•

Infrastructure

• People

Gouvernance des Technologies de l’Information

Objectifs de l’entreprise

PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

CO

BIT

4.1 PLAN AND

ORGANISE

INFORMATION

44

Facteurs clés de succès (FCS)

Ils définissent les actions les plus importantes à entreprendre et les questions essentielles à soulever par

le management pour contrôler les processus informatiques dans leur ensemble et dans le détail. Ils

doivent constituer des guides de mise en œuvre orientés management et mettre en lumière les tâches les plus

importantes à entreprendre dans les domaines stratégiques, techniques, organisationnels et

procéduraux.

45

Facteurs clés de succès (FCS) En résumé les facteurs clés de succès sont :

Des facteurs centrés sur les processus, ou apportant un appui à l'environnement

Des choses, des conditions nécessaires, ou une activité recommandée, pour un succès optimum

Les choses les plus importantes à faire pour augmenter la probabilité de succès du processus

Les caractéristiques observables - habituellement quantifiables - de l'organisation et du processus

Par nature stratégiques, techniques, organisationnels ou procéduraux Centrés sur l'obtention, le maintien et la mobilisation des capacités et

des aptitudes Exprimés en termes de processus, et pas nécessairement en termes de

métier de l'entreprise

46

Indicateurs clés d’objectifs

Ils définissent les mesures qui indiqueront (a posteriori) au management si un processus informatique a répondu aux besoins de l'entreprise. Ils sont généralement exprimés en termes de critères d'information : Disponibilité des informations requises pour répondre aux

besoins métiers Absence de risques en matière d'intégrité et de confidentialité Rentabilité des processus et des opérations Confirmation de la fiabilité, de l'efficacité et de la conformité

47

Indicateurs clés d’objectifs

En résumé les Indicateurs Clés d'Objectif sont : Une manière de représenter le but du processus, c.-à-d. un chiffre ou une cible à

atteindre La description du résultat du processus, donc des indicateurs a posteriori, c.-à-d.

chiffrables une fois le processus terminé Des indicateurs immédiats de la réussite du processus ou des indicateurs

indirects des bénéfices qu'il apporte à l'entreprise Éventuellement une mesure chiffrée des conséquences de non atteinte des

objectifs du processus Focalisés sur les dimensions Client et Gestion Financière du Tableau de Bord

Équilibré Orientés vers l'informatique, mais centrés sur l 'activité de l'entreprise Exprimés en termes précis et chiffrés, chaque fois que possible Centrés sur les critères d'information qui ont été identifiés comme les plus

importants pour ce processus.

48

Indicateurs clés de performance

Ils définissent des mesures déterminant la qualité de fonctionnement du processus

informatique dans la réalisation des objectifs. Ils renseignent sur la probabilité d'atteindre un objectif. Ce sont de bons

indicateurs d'aptitudes, de pratiques et de compétences.

49

Indicateurs clés de performance

En résumé les Indicateurs Clés de Performance : Sont la mesure de la qualité de fonctionnement d'un processus Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs

a priori Sont orientés processus, mais mis en œuvre par l'informatique Se concentrent sur les dimensions processus et capacité d'information

du Tableau de Bord Équilibré S'expriment en termes mesurables avec précision Aident à l'amélioration des processus informatiques lorsqu'on les

mesure et qu'on agit en conséquence S'intéressent en priorité aux ressources identifiées comme les plus

importantes pour le processus

50

Planification et Organisation (PO)

PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects.

51

Acquisition et Mise en Place (AMP)

AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.

52

Distribution et Support (DS)

DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations.

53

Surveillance (S)

ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.

54

ITILActivities

COBITControl

WHAT

HOW

Les standards

+ -

ITIL IT processes Security, systems development, people requirements, roles and responsibilities

BS7799 Security controls Process flows (how), people requirements, roles and responsibilities

COBIT IT controls, IT metrics Process flows (how), people requirements, roles and responsibilities

BS7799Security

55

• Work instruction• 2• 3• 4,5,6….





XY

##

XY

##

XY

##

XY

##

XY

##

Strategique

COBIT

ITILCMMISO

27

00

0

Implémentation des contrôles

Execution des Processus

Instruction de travail

Les Standards

56

Gartner Advisory sur COBIT et ITIL

ITILActivities

BS7799Security

COBITControl

WHAT

HOW

57

Politique SécuritéDocumente, communique and régulièrement revoir la politique SI

Organisation de la SécuritéAllocation des rôles et responsabilités, tierce partie: risques/contrôles et sous traitance

Classification et Contrôle des actifsInventaire des actifs et classification basée sur la criticité/Impact

Sécurité du PersonnelScreening du Recrutement, sensibilisation et formation, reporting des incidents

Sécurité physique et environnementSécurité physique du périmètre, équipements, “clear desk et clear screen”

Management Comm/Ops Procédures de gestion des Incidents, séparation des tâches, planification et recettage, gestion et protection des SW, contrôles des e-mails

Contrôle d’accèsGestion des accès,

Développement et maintenance des applicationsProcédures de gestion du changement, séparation des environnements, spécifications de la sécurité

Continuité de l’activitéPlan de continuité de l’activité, le cadre PCA, rôles et équipes PCA, test du PCA, maintenance et mise à jour du PCA

ConformitéContrôles Copyright, rétention des enregistrements et de l’information, conformité avec la législation—confidentialité des données, conformité avec la politique d’entreprise

COBIT et ISO 27000

58

0%

5%

10%

15%

20%

25%

30%

PO 1

PO 2

PO 3

PO 4

PO 5

PO 6

PO 7

PO 8

PO 9

PO 1

0

PO 1

1

AI 1

AI 2

AI 3

AI 4

AI 5

AI 6

DS

1

DS

2

DS

3

DS

4

DS

5

DS

6

DS

7

DS

8

DS

9

DS

10

DS

11

DS

12

DS

13

M 1

M 2

M 3

M 4

Projection de BS7799 surLes Process COBIT

Projection de BS7799 surLes Process COBIT

Obje

ctifs

de C

ontro

le

0

20

40

60

80

100

Proc

ess

IT

BS7799

Elements COBIT66

318

21

34

ISO 27000 se projette à 100%sur COBIT

ISO 27000 se projette à 100%sur COBIT

COBIT et ISO 27000

59

3.1.1 Information security policy document PO 6.8 3.1.2 Review and evaluation PO 6.5 4.1.1 Management information security forum PO 4.6 4.1.2 Information security co-ordination PO 4.6 4.1.3 Allocation of information security responsibilities PO 4.4 4.1.4 Authorization process for information processing facilities DS 5.4 4.1.5 Specialist information security advice PO 9.4 4.1.6 Co-operation between organizations DS 2.7 4.1.7 Independent review of information security M 4.1 4.2.1 Identification of risks from third party access PO 9.3 4.2.2 Security requirements in third party contracts DS 2.7 4.3.1 Security requirements in outsourcing contracts DS 2.7 5.1.1 Inventory of assets DS 1.6 5.2.1 Classification guidelines DS 5.8 5.2.2 Information labelling and handling DS 11.22 6.1.1 Including security in job responsibilities PO 4.4 6.1.2 Personnel screening and policy PO 7.6 6.1.3 Confidentiality agreements PO 6.6 6.1.4 Terms and conditions of employment PO 7.1 6.2.1 Information security education and training DS 7.3 6.3.1 Reporting security incidents DS 5.10 6.3.2 Reporting security weaknesses DS 5.10 6.3.3 Reporting software malfunctions DS 5.10 6.3.4 Learning from incidents DS 5.10 6.3.5 Disciplinary process PO 7.3 7.1.1 Physical security perimeter DS 12.1 7.1.2 Physical entry controls DS 12.1 7.1.3 Securing offices, rooms and facilities DS 12.1 7.1.4 Working in secure areas PO 6.10 7.1.5 Isolated delivery and loading areas DS 12.1 7.2.1 Equipment siting and protection DS 12.1 7.2.2 Power supplies DS 12.6 7.2.3 Cabling security PO 3.1

7.2.4 Equipment maintenance AI 3.2 7.2.5 Security of equipment off-premises PO 6.8 7.2.6 Secure disposal or re-use of equipment DS 11.18 7.3.1 Clear desk and clear screen policy PO 6.10 7.3.2 Removal of property AI 3.3 8.1.1 Documented operating procedures DS 13.2 8.1.2 Operational change control DS 13.1 8.1.3 Incident management procedures DS 10.1 8.1.4 Segregation of duties PO 4.10 8.1.5 Separation of development and operational facilities PO 3.1 8.1.6 External facilities management DS 2.3 8.2.1 Capacity planning DS 3.6 8.2.2 System acceptance AI 5.13 8.3.1 Controls against malicious software DS 5.19 8.4.1 Information back -up DS 11.25 8.4.2 Operator logs DS 13.6 8.4.3 Fault logging DS 10.1 8.5.1 Network controls DS 5.20 8.6.1 Management of removable computer media DS 5.21 8.6.2 Disposal of media DS 11.18 8.6.3 Information handling procedures DS 5.21 8.6.4 Security of system documentation DS 5.17 8.7.1 Information and software exchange agreements DS 9.5 8.7.2 Security of media in transit DS 11.17 8.7.3 Electronic commerce security PO 8.5 8.7.4 Security of electronic mail DS 11.27 8.7.5 Security of electronic office systems PO 6.8 8.7.6 Publicly available systems AI 3.3 8.7.7 Other forms of information exchange DS 11.17 9.1.1 Access control policy DS 5.3 9.2.1 User registration DS 5.4 9.2.2 Privilege management DS 5.4 9.2.3 User password management DS 5.4 9.2.4 Review of user access rights DS 5.5

ISO27000

Projeté sur les OC de COBIT

60

9.3.1 Password use PO 6.8 9.3.2 Unattended user equipment AI 3.3 9.4.1 Policy on use of network services PO 6.8 9.4.2 Enforced path DS 5.16 9.4.3 User authentication for external connections DS 5.20 9.4.4 Node authentication DS 5.16 9.4.5 Remote diagnostic port protection AI 3.3 9.4.6 Segregation in networks PO 3.1 9.4.7 Network connection control DS 5.20 9.4.8 Network routing control AI 3.3 9.4.9 Security of network services DS 5.2 9.5 OPERATING SYSTEM ACCE SS CONTROL AI 3.3 9.5.1 Automatic terminal identification DS 5.16 9.5.2 Terminal log-on procedures DS 5.2 9.5.3 User identification and authentication DS 5.2 9.5.4 Password management system DS 5.2 9.5.5 Use of system utilities AI 3.7 9.5.6 Duress alarm to safeguard users DS 10.1 9.5.7 Terminal time-out AI 3.3 9.5.8 Limitation of connection time DS 5.16 9.6.1 Information access restriction DS 5.3 9.6.2 Sensitive system isolation DS 5.1 9.7.1 Event logging DS 5.10 9.7.2 Monitoring system use DS 5.10 9.7.3 Clock synchronization AI 3.4 9.8.1 Mobile computing PO 6.10 9.8.2 Teleworking PO 6.10 10.1.1 Security requirements analysis and specification PO 9.3 10.2.1 Input data validation DS 11.6 10.2.2 Control of internal processing DS 11.9 10.2.3 Message authentication DS 11.28 10.2.4 Output data validation DS 11.15 10.3.1 Policy on the use of cryptographic controls PO 6.10 10.3.2 Encryption DS 5.18

10.3.3 Digital signatures DS 5.18 10.3.4 Non-repudiation services DS 11.27 10.3.5 Key management DS 5.18 10.4.1 Control of operational software DS 9.4 10.4.2 Protection of system test data AI 5.8 10.4.3 Access control to program source library AI 6.5 10.5.1 Change control procedures AI 6.1 10.5.2 Technical review of operating system changes AI 6.2 10.5.3 Restrictions on changes to software packages AI 6.3 10.5.4 Covert channels and Trojan code DS 5.19 10.5.5 Outsourced software development DS 2.5 11.1.1 Business continuity management process DS 4.1 11.1.2 Business continuity and impact analysis DS 4.1 11.1.3 Writing and implementing continuity plans DS 4.3 11.1.4 Business continuity planning framework DS 4.1 11.1.5 Testing, maintaining and re-assessing BCPs DS 4.6 12.1.1 Identification of applicable legislation PO 8.4 12.1.2 Intellectual property rights (IPR) PO 8.4 12.1.3 Safeguarding of organizational records DS 5.7 12.1.4 Data protection and privacy of personal information PO 8.4 12.1.5 Prevention of misuse of information processing facilities PO 6.8 12.1.6 Regulation of cryptographic controls PO 6.8 12.1.7 Collection of evidence PO 6.8 12.2.1 Compliance with security policy PO 6.6 12.2.2 Technical compliance checking PO 6.6 12.3.1 System audit controls M 4.1 12.3.2 Protection of system audit tools AI 3.7

ISO27000

Projeté sur les OC de COBIT

61

Plan and Organise

(PO Process Domain)

Plan and Organise

(PO Process Domain)

62

Acquire and Implement(AI Process Domain)


Plan and Organise

(PO Process Domain)

Plan and Organise

(PO Process Domain)

63

Deliver and Support(DS Process Domain)




Plan and Organise

(PO Process Domain)

Plan and Organise

(PO Process Domain)

64



Monitor and Evaluate

(M Process Domain)

Monitor and Evaluate

(M Process Domain)



Plan and Organise

(PO Process Domain)

Plan and Organise

(PO Process Domain)

65

Deliver and SupportDeliver and SupportMonitor and EvaluateMonitor and Evaluate

Planning & Organization

Acquire and Implement


Acquire and ImplementPlan and OrganisePlan and Organise

Define Strategic IT Plan


Define IT Organisation

and Relationships


and Relationships

Manage IT InvestmentManage IT

Investment

Determine Technological

Direction


Direction

Communicate Aims and Direction


Manage Human

Resource

Manage Human

Resource

Ensure Compliance with External

Standards


Standards

Assess RisksAssess

Risks

Manage ProjectsManage

Projects

Manage QualityManage

Quality

Identify Automated Solutions


Acquire and Maintain

Application Software




Technology Infrastructure



Develop and Maintain

IT Procedures


IT Procedures

Install and Accredit Systems


Manage ChangeManage

Change

Manage Performance and Capacity


Ensure Continuous

Service

Ensure Continuous

Service

Ensure System Security


Identify and Allocate

Costs


Costs

Manage Third-party

Services

Manage Third-party

Services

Define and Manage Service Levels


Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers

Manage ConfigurationManage

Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data

Manage FacilitiesManage

Facilities

Manage OperationsManage

Operations

Monitor the

Process

Monitor the

Process

Assess Internal Control

Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture

66









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture

ITILITILService DeliveryService DeliveryService SupportService Support

Service DeskService

Desk

Incident ManagementIncident

Management

Change ManagementChange

Management

Release ManagementRelease

Management

Problem ManagementProblem

Management

ConfigurationManagementConfiguration

Management

Service Level

Management

Service Level

Management

Availability ManagementAvailability

Management

FinancialManagementFinancial

Management

Continuity ManagementContinuity

Management

CapacityManagementCapacity

Management

67









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management

68









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management

69









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management

70









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management

plus PRINCE2 Project Managementplus PRINCE2 Project Management

71









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management

plus PRINCE2 Project Managementplus PRINCE2 Project Managementplus ISO 9001 Quality Managementplus ISO 9001 Quality Management

72









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management


plus Investors In People (IIP)plus Investors In People (IIP)

73









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management


plus Investors In People (IIP)plus Investors In People (IIP)plus ISO 17799Information Security

plus ISO 17799Information Security

74









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management



plus ISO 17799Information Securityplus Gartner’s 21 Best Practicesplus Gartner’s 21 Best Practices

75









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management



plus ISO 17799Information Securityplus Gartner’s 21 Best Practicesplus Gartner’s 21 Best Practicesplus EFQMplus EFQM

76









and Relationships


and Relationships


Investment


Direction


Direction



Manage Human

Resource

Manage Human

Resource


Standards


Standards

Assess RisksAssess

Risks


Projects


Quality












IT Procedures


IT Procedures



Manage ChangeManage

Change



Ensure Continuous

Service

Ensure Continuous

Service




Costs


Costs

Manage Third-party

Services

Manage Third-party

Services



Educate and

Train Users

Educate and

Train Users

Assist and Advise

IT Customers

Assist and Advise

IT Customers


Configuration

Manage Problems and

Incidents

Manage Problems and

Incidents

Manage DataManage

Data


Facilities


Operations

Monitor the

Process

Monitor the

Process


Adequacy


Adequacy

Obtain Independent

Assurance

Obtain Independent

Assurance

Provide Independent

Audit

Provide Independent

Audit

Define Information

Architecture

Define Information

Architecture


Service DeskService

Desk


Management


Management


Management


Management


Management

Service Level

Management

Service Level

Management


Management


Management


Management


Management



plus ISO 17799Information Securityplus Gartner’s 21 Best Practicesplus Gartner’s 21 Best Practicesplus EFQMplus EFQMplus SixSigmaplus SixSigma

77

The difficulty lies, not in the new ideas,

but in escaping from the old ones

Pensées

Aujourd’hui, la concurrence n’est plus

industrielle mais informationnelle

John Maynard Keynes

Robert

Kaplan

78

PMBOKProject Management Body Of Knowledge

79

Il ne faut jamais faire de projets,

surtout en ce qui concerne l’avenir !

Pensées

AlphonseAllais

L'homme n'est rien d'autre que son

projet, il n'existe que dans la mesure

où il se réalise.Jean-PaulSartre

80

Les débuts de la gestion de projet

Les pyramides d’Égypte

La muraille de Chine

Le Colisée de Rome

http://images.google.ca/imgres?imgurl=www.encarta.learnetix.de/learnetix/images/mathe/raetselhaftes/pyramide/pyramide.jpg&imgrefurl=http://www.encarta.learnetix.de/learnetix/ms_encarta/archiv/napoleon_55.html&h=338&w=479&sz=55&tbnid=oNUA0t6q5UEJ:&tbnh=88&tbnw=124&prev=/images%3Fq%3Dpyramide%26hl%3Den%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26sa%3DG

81

Historique de la gestion de projet

Période Appelation Variable dominante

1900-1960 Emergence Temps

1960-1980 Développement et professionalisation

Coûts

1980-1990 Diversification Qualité

1990-2000 Globalisation Délai de mise en marché

2000- Gestion par projet Optimisation du portefeuille

82

Définition

« Un projet est une entreprise temporaire décidée dans le but de créer un produit, un service

ou un résultat unique »PMBOK

83

Contexte

Mission: Opérations

Vision: Projets

Stratégie

Politiques opérationnelles

Surveillance et mesures

84

Contexte

Mission: Opérations« Nous fabriquons des trous bien faits »

« Nous offrons l’espoir »

Vision: Projets« Etre leader dans la zone MENA à horizon de 2010 »

« Ouvrir une centaine d’agences sur 5 ans »

« Construire 50 000 logements sur 10 ans »

« Atteindre le 1Mrd Dhs de CA sur 5 ans »

85

Aligner les projets à la stratégie

Entrepriseaujourd’hui

Entreprisedans 5 ans

PLAN STRATÉGIQUE

Projet A

Projet B

Projet D

Projet C

Portefeuille de projets

86

Au niveau stratégique: la gestion PAR projet

Vision globale

Optimisation des ressources

Hiérarchisation des projets

Pro-activité dans la gestion des risques

Meilleur contrôle et suivi des programmes

Permet de s’assurer que les résultats des programmes supportent la réflexion stratégique

87

Fonctions du bureau de projets

Donner un statut officiel à la gestion de projet Fournir une vision globale (portefeuille de projets) Mettre les projets en ordre de priorité Développer des mécanismes de contrôle et de suivi Optimiser les ressources Supporter et « coacher » toutes les personnes reliées de près

ou de loin aux projets Bâtir une mémoire corporative (leçons apprises) Instaurer une vigie

Intégration / Coordination / Communication

88

La gestion de projet dans le monde

Project Management Institute (PMI) Plus de 260 000 membres Dont 75 000 sont certifiés PMP (7 au Maroc répertoriés par

l’AMMP) Croissance annuelle de 35%

International Project Management Association (IPMA) Plus de 30 000 membres

89

PMI : PMBOK

Section I : Le cadre du Management de Projet Chapitre 1 : Introduction Chapitre 2 : Cycle de vie du projet et Organisation

Section II: Norme du management d’un projet Chapitre 3: processus de management d’un projet

90

PMI : Project Management Institute

Section III : Domaines de connaissance en management de projet Chapitre 4 : Management de l'intégration du projet Chapitre 5 : Management du contenu du projet Chapitre 6 : Management des délais du projet Chapitre 7 : Management des coûts du projet Chapitre 8 : Management de la qualité du projet

91

PMI : Project Management Institute

Section III : Domaines de connaissance en management de projet Chapitre 9 : Management des RH du projet Chapitre 10 : Management des communications Chapitre 11 : Management des risques du projet Chapitre 12 : Management des approvisionnements

92

PMI : Processus et Disciplines de Gestion de Projet

Init. Planif.

Contrôle Réal.

Clôture

Processus / Phases de la GP

Qualité

Risques Délais

Appro Contenu

Intégration

RH

Com Coûts

93

Démarrage Planification Réalisation Contrôle Clôture

4. Intégration du Management de Projet

4.1 Élaborer laCharte de projet4.2 Élaborer l ’énoncédu contenu préliminaire du projet

4.3 Élaborer le plan deManagement du Projet

4.4 Diriger et piloter l’exécution du projet

4.5 Surveiller et maîtriser leTravail du projet4.6 Maîtrise intégrée desmodifications

4.7 Clore le projet

5. Management du contenu de Projet

5.1 Planification du contenu5.2 Définition du contenu5.3 Créer la structure de découpage du projet

5.4 Vérification du contenu5.5 Maîtrise du contenu

6. Management des délais du Projet

6.1 Identification des activités6.2 Séquence ment des activités6.3 Estimation des ressources nécessaires aux activités6.4 Estimation de la durée des activités6.5 Élaboration de l’échéancier

6.6 Maîtrise de l’échéancier

7. Management des coûts du Projet

7.1 Estimation des coûts7.2 Budgétisation

7.3 Maîtrise des coûts

8. Management de la qualité du Projet

8.1 Planification de la Qualité 8.2 Mettre en œuvre l’assurance Qualité

8.3 Mettre en œuvre le contrôle Qualité

9. Management des RH du Projet

9.1 Planification des Ressources Humaines

9.2 Former l’équipe de projet9.3 Développer l’équipe de projet

9.4 Diriger l’équipe de projet

10. Management des communications du Projet

10.1 Planification des communications

10.2 Diffusion de l’information

10.3 Établissement des rapports d’avancement10.4 Manager les parties prenantes

11. Management des risques du Projet

11.1 Planification du management des risques11.2 Identification des risques11.3 Analyse Qualitative des risques11.4 Analyse Quantitative des risques11.5 Planification des réponses aux risques

11.6 Surveillance et maîtrise des risques

12. Management des approvisionnements du

Projet

12.1 Planifier les approvisionnements12.2 Planifier les contrats

12.3 Solliciter des offres ou des propositions des fournisseurs12.4 Choisir les fournisseurs

12.5 Administration des contrats 12.6 Clôture du contrat

44 2 21 7 12 2

94

Langage commun:A ce niveau de maturité, l’organisation reconnais l’importance de la gestion de projet

Des processus communs:L’organisation met en œuvre les éfforts pour utiliser la gestion de projet et développer les processus et les méthodologies pour supporter son efficacité

Une méthodologie unique:L’organisation reconnait que la synérgie et que le contrôle des processus peut être atteint à travers le développement d’une méthodologie de gestion de projet unique

Étalonnage concurrentiel (Benchmarking):L’organisation se comparent tous le temps en terme de pratiques de gestion de projet dans le but d’améliorer les performances

L’amélioration continue:L’organisation évalue les leçons apprises durant le benchmarking et implémente les changements nécessaires pour améliorer les processus de gestion de projet

Les 5 phases du Project Management Maturity Model (PMMM) de Kerzner

95

Le OPM3 du PMI

96

4. Intégration du management de projet

Charte projet: Enoncé du contenu préliminaire du projet Plan de management du projet

97

5. Management du contenu de projet

Contenu du projet: Structure de découpage de projet Dictionnaire SDP

98

6. Management des délais

Séquencement des activités Estimation des ressources nécessaires

aux activités Echéancier

99

7. Management des coûts de projet

Estimation des coûts Budgétisation

100

8. Management de la Qualité

Planification de la Qualité Assurance Qualité Contrôle Qualité

101

9. Management des RH

Planifier les RH Former l’équipe projet Développer l’équipe projet Diriger l’équipe projet

102

10. Management des communications du projet

Planification des communications Rapport d’avancement Management des parties prenantes

103

11. Management des coûts de projet

Planifier les approvisionnements Planifier les contrats Solliciter les offres Choix des fournisseurs

104

12. Management des approvisionnements

Identifier les risques Analyse qualitative des risques Analyse quantitative des risques Planification des réponses aux risques Surveillance et maîtrise des risques

105

Les comptes emails et les listes globales

Les comptes emails et les listes globales

Gestion des

enregistrements et

des fichiers

Gestion des

enregistrements et

des fichiers

Revue des Politiques et

des Procédures,

approbation et publication

Revue des Politiques et

des Procédures,

approbation et publication

Gestion de l'améliorati

on des processus

Gestion de l'améliorati

on des processus

Gestion de service de

parties Tierces sur ls sites S.I

Gestion de service de

parties Tierces sur ls sites S.I

Politique de nommage

des utilisateurs

Politique de nommage

des utilisateurs

Politique comptable

des dépenses et charges

S.I

Politique comptable

des dépenses et charges

S.I

Politique du Budget S.I

Politique du Budget S.I

Gestion des

réunion S.I

Gestion des

réunion S.I

Reporting mensuel

des activités S.I

Reporting mensuel

des activités S.I

Comité de Pilotage

S.I

Comité de Pilotage

S.I

Adhésion aux

standards PnPs

Adhésion aux

standards PnPs

Politiques des rôles et Responsab

ilités

Politiques des rôles et Responsab

ilités

Recrutement

Recrutement

FormationFormation

Politique de la propriété intellectuell

e

Politique de la propriété intellectuell

e

Transfert de tâches internes

entre employés

Transfert de tâches internes

entre employés

Rôles et responsabilités du DSI

Rôles et responsabilités du DSI

Politique d'utilisation

des PC portables

Politique d'utilisation

des PC portables

Vol/perte des PCs portables

Vol/perte des PCs portables

Orientation des

nouveaux recrutés

Orientation des

nouveaux recrutés

Gestion des heures supplément

aires

Gestion des heures supplément

aires

Cartes d'identificati

on du personnel

Cartes d'identificati

on du personnel

Politique des

déplacements

Politique des

déplacements

Règles d'utilisation

des espaces

S.I

Règles d'utilisation

des espaces

S.I

Transfert de

connaissance et

backup du personnel

Transfert de

connaissance et

backup du personnel

Politique de remplacem

ent du matériel

Politique de remplacem

ent du matériel

Politique des AchatsPolitique

des Achats

Politique de préparation des appels

d'Offres

Politique de préparation des appels

d'Offres

Politique d'évaluation technique

Politique d'évaluation technique

Pro

cess

us S

uppo

rtRessources Humaines

Achats

Communication

Budget & Finances

Administration

C I PM S

106

Politques et

procédures d'achat et

d'acquisition des

systèmes

Politques et

procédures d'achat et

d'acquisition des

systèmes

Politique PAB

Politique PAB

PnPs de la Gestion de

projet

PnPs de la Gestion de

projet

Convention de nomage des projets

Convention de nomage des projets

Politique de Gestion de

l'Active Directory et

de la Gestion des comptes Utilisateurs

Politique de Gestion de

l'Active Directory et

de la Gestion des comptes Utilisateurs

réparation de

l'infrastructure

réparation de

l'infrastructure

Politique backup

Politique backup

Planification de la

capacité

Planification de la

capacité

Politique de conformité des emails

Politique de conformité des emails

Politique de Gestion du

serveur des emails

Politique de Gestion du

serveur des emails

Politique de gestion de la

taille des boites mails

et des messages

Politique de gestion de la

taille des boites mails

et des messages

Mise à jour des

Systèmes d'Exploitati

on

Mise à jour des

Systèmes d'Exploitati

on

Gestion du réseau

Gestion du réseau

politique de gestion des supports de

stockage des

données

politique de gestion des supports de

stockage des

données

Politique de maintenanc

e

Politique de maintenanc

e

Gestion des

contrats de maintenanc

e

Gestion des

contrats de maintenanc

e

Gestion des

comptes de vendeurs support

Gestion des

comptes de vendeurs support

Pro

cess

us O

péra

tionn

els

Opérations

Management de projet

Les procédures opérationnelles et les responsabil

ités

Les procédures opérationnelles et les responsabil

ités

Politiques et procédures de l'upgrade de l'OS/400

Politiques et procédures de l'upgrade de l'OS/400

Politique de l'Outlook

Web Access

Politique de l'Outlook

Web Access

Politique de la

documentation des serveurs

Politique de la

documentation des serveurs

Politique du monitoring

des serveurs

Politique du monitoring

des serveurs

Gestion des

systèmes

Gestion des

systèmes

Politique de la vision

Conférence

Politique de la vision

Conférence

Les travaux Fin de

Journée; Fin de Mois et la gestion des

incidents

Les travaux Fin de

Journée; Fin de Mois et la gestion des

incidents

Monitoring des

services et escalade

des incidents

Monitoring des

services et escalade

des incidents

Interface du logiciel

central

Interface du logiciel

central

Gestion des mails de masse

Gestion des mails de masse

Les Contrôles

techniques

Les Contrôles

techniques

Les pistes d'Audit

Les pistes d'Audit

Len environnem

ents de production

et les autorisations

d'accès

Len environnem

ents de production

et les autorisations

d'accès

Politique Post

Implémentation et

revue des systèmes

Politique Post

Implémentation et

revue des systèmes

Migration des

systèmes aux

environnements de production

Migration des

systèmes aux

environnements de production

C I PM S

107

Politique de manageme

nt de la disponibilité


nt de la disponibilité


nt de la capacité


nt de la capacité


nt du changeme

nt


nt du changeme

nt


nt du configuratio

n


nt du configuratio

n

Manuel sécurité

de l’Informa

tion

Manuel sécurité

de l’Informa

tion

Administration des mots de passe de

haut niveau

Administration des mots de passe de

haut niveau

Sécurité de l'AS/400

Sécurité de l'AS/400

Politique de la salle

machine

Politique de la salle

machine

Politique du PCA

Politique du PCA

Sécurité Internet

Sécurité Internet

Gestion des

autorisations

utilisateurs

Gestion des

autorisations

utilisateurs

Confidentialité des donnés

de production utilisés pour les tests et le développeme

nt

Confidentialité des donnés

de production utilisés pour les tests et le développeme

nt

Politique de protection

virus

Politique de protection

virus

Désignation des

administrateurs système et sécurité

Désignation des

administrateurs système et sécurité

Monitoring des

systèmes, accès et utilisation

Monitoring des

systèmes, accès et utilisation

Contrôle d'accès sur

les OS

Contrôle d'accès sur

les OS

Politique des

comptes privilégiés

Politique des

comptes privilégiés

Pro

cess

us O

péra

tionn

els

Sécurité

Service Management

Politique de gestion des

licences SW

Politique de gestion des

licences SW

Politique de changeme

nt des valeurs système

Politique de changeme

nt des valeurs système

Politique de scanning du réseau

Politique de scanning du réseau


nt des problèmes


nt des problèmes

Service Desk et

gestion des Incidents

Service Desk et

gestion des Incidents

Gestion des

niveaux de Services

Gestion des

niveaux de Services

Politique de la

satisfaction client

Politique de la

satisfaction client

Gestion des audits

IT

Gestion des audits

IT

C I PM S

108

Standards des

serveurs INTEL

Standards des

serveurs INTEL

Standards des

serveurs dual

processeurs

Standards des

serveurs dual

processeurs

Standards des

serveurs racks dual processeur

s

Standards des

serveurs racks dual processeur

s

Standards des

serveurs Quadri

processeurs

Standards des

serveurs Quadri

processeurs

SDLC PnPs

SDLC PnPs

Convention de

nommage de la

documentation SDLC

Convention de

nommage de la

documentation SDLC

Politiques et procédures

du processus

d'expression de besoin

Politiques et procédures

du processus

d'expression de besoin

Politique du processus

de test

Politique du processus

de test

Politique et procédure

du processus

de déploiement


du processus

de déploiement


de la gestion du changeme

nt


de la gestion du changeme

nt

Audit et revue du

processus Assurance

Qualité

Audit et revue du

processus Assurance

Qualité

Politique du processus analyse et conception

Politique du processus analyse et conception

Pro

cess

us O

péra

tionn

els

SDLC

IT Standards

Standards des

serveurs racks Quadri processeurs

Standards des

serveurs racks Quadri processeurs

Standards des PCs portables

et PC

Standards des PCs portables

et PC

Standard Salle

informatique

Standard Salle

informatique

AS/400 valeurs

systèmes

AS/400 valeurs

systèmes

C I PM S

109

I am captivated more by dreams of the

future than by the history of the past

Pensées

Si j’ai vu plus loin que les autres, c’est

parce que j’étais juché sur les épaules

de géants

Thomas

Jefferson

Isaac Newton

Comment consilier entre les standards

Documents

Transcript of Comment consilier entre les standards