Guide Des Certifications SI

MANAGEMENT des SYSTMES DINFORMATION

Guide des

certifications

si

Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...

Martine Otter, Jacqueline Sidi, Laurent HanaudPrface de Jean-Pierre Corniou

2e dition

GUIDE DES

CERTIFICATIONS

SI

Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM...

ITIL et la gestion des services Mthodes, mise en uvre et bonnes pratiques Thierry Chamfrault, Claude Durand 336 pages Dunod, 2006

CMMI 1.2 Russir son parcours avec le modle IDEAL et la mthode SCAMPI Richard Basque 208 pages Dunod, 2009

Toutes les marques cites dans cet ouvrage sont des marques dposes par leurs propritaires respectifs : CGEIT, CISA,CISM,CISSP, CBK, CMMISM, CobiT, (ISC)2, ISACA, ITGI, ITIL, M_o_R, PMP, PRINCE marque dpose de I OGC, MSP, PRINCE2, Six sigma (Six Sigma est une marque dpose de la socit Motorola, Inc), Black Belt et Champion sont des marques de service de la socit Sigma Consultants, L.L.C. , CMM, SAS, SSE-CMM, SW-CMM, SCAMPISM, WebTrust, Systrust et SusTrust.

Illustration de couverture : Mountain lake Dmitry Pichugin - Fotolia.com

Dunod, Paris, 2006, 2009 ISBN 978-2-10-054182-9

Prface

Le dveloppement de la gouvernance des systmes dinformation est devenu une exigence incontournable dans les entreprises, tant le bon fonctionnement des systmes dinformation et leur volution raisonne travers linnovation fonctionnelle et technologique revtent un caractre critique au cur de la performance. Or la gouvernance impose une discipline collective fonde sur le partage doutils danalyse, de dcision et daction. Longtemps, la rigueur de la transparence sest arrte aux portes de linformatique pour dobscures raisons de technicit et de langage qui ont soustrait les questions informatiques aux rgles de contrle courantes dans toutes les fonctions de lentreprise. Cette situation nest videmment plus acceptable. Les DSI lont compris et ont engag une vritable rupture. La construction dune vision stratgique des relations entre la nalit de lentreprise et les systmes dinformation est devenue une constante des proccupations des DSI. La gouvernance vise rpondre une vive demande de clarication des relations entre les acteurs, et de transparence des dcisions. Ce souci mane bien sr des directions gnrales qui souhaitent tre rassures quant la bonne exploitation des ressources de lentreprise dans les technologies de linformation. Les directions utilisatrices et les informaticiens en attendent galement les conditions dun dialogue serein sur lvaluation des performances et la recherche dune meilleure efcacit. Enn, les rgulateurs publics ont compris les enjeux de la transparence des systmes et ne cessent de hausser leur niveau dexigence. Aussi la gouvernance des systmes dinformation est de mieux en mieux acclimate en France et les efforts conjoints du Cigref et de lAFAI runis au sein de lInstitut de la gouvernance des systmes dinformation contribuent activement en faire reconnatre les enjeux et les outils. Toutefois, si la gouvernance des systmes dinformation est dsormais reconnue pour apporter une rponse crdible au double d de linnovation et de la robustesse, il faut tre capable den dployer les outils de faon efcace et accessible pour tous les acteurs de lentreprise.

VI

Guide des certifications SI

Les objectifs de la gouvernance sont clairs. Le cadre de rfrence doit permettre de garantir simultanment : une meilleure valuation de la performance des SI, une gestion des ressources des SI plus efcace, une gestion des risques plus pertinente, une amlioration de la valeur des services de lentreprise par le biais de ses SI, une meilleure adquation des SI la stratgie de lentreprise.

Compte tenu de la diversit des mtiers de linformatique, de leurs rythmes dvolution diffrents, des degrs de maturit entre diffrents pays, il nexiste pas un cadre unique de rfrence, mais de multiples outils entre lesquels il peut paratre difcile de faire un choix pertinent, chacun ayant ses proprits, mais lensemble laissant aussi apparatre des lacunes et des redondances. Ce Guide des certications rpond parfaitement cette attente : comprendre les normes et rfrentiels, disposer dinformations claires et prcises sur les conditions de mise en uvre. Cest un guide, donc un document pratique et lisible, construit sous forme de ches construites sur le mme plan : prsentation, documentation, mise en uvre, retour dexprience. Cest un outil de rfrence qui permet aux DSI, mais aussi aux directions gnrales et aux acteurs du contrle, de comprendre aisment les objectifs associs chaque outil travers un panorama exhaustif. Appliquer linformatique dans lensemble de ses composantes des rgles de bonne gestion et de transparence donne conance aux acteurs de lentreprise sur la pertinence des objectifs et sur ladaptation des moyens engags ces objectifs. La gouvernance permet dapporter une rponse instrumente sur la stratgie informatique, les investissements, la qualit de service, la gestion des projets, la matrise des risques, la qualit de formation et la motivation des personnels, la politique dachats et la performance des fournisseurs... Ce guide permet dinstaurer un dialogue fcond au sein des quipes pour proposer une politique de gouvernance qui dnisse clairement les objectifs travers une slection pertinente doutils. La gouvernance des systmes dinformation met un terme une tradition dopacit de linformatique et permet den faire une ressource connue, matrise et respecte. Le Guide des certications SI en est dsormais un outil incontournable. Jean-Pierre C ORNIOU Ancien prsident du Cigref Directeur gnral adjoint de Sia Conseil

Table des matires

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

V XIII

Premire partie tude des dispositifsChapitre 1 Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Quelques dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Choisir son dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 2 Mta-modle danalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Prsentation du modle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.1.2 2.1.3 Rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contenu du rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modle dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 5 7 7 8 9 9 10 10 13 17 21

2.2 Acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Prsentation des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 3 AFITEP-CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 4 AFITEP-CGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 5 Certication de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VIII


Chapitre 6 CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 7 CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 8 CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 9 EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 10 eSCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 11 HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 12 ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 13 ISO 15408 Critres Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 14 ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 15 ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 16 ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 17 ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 18 ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 19 ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 20 MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 21 PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 22 PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 23 PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 24 Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 25 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 26 Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27 31 41 51 57 65 71 77 83 89 95 99 107 115 121 127 133 139 145 151 155

Table des matires

IX

Chapitre 27 SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 28 Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 29 TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

161 169 175

Deuxime partie Analyses et perspectivesChapitre 30 Regard sur la certication de personnes . . . . . . . . . . . . . . . . . . . . . . . . . 30.1 Gnralits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.2 Utilisabilit court terme ou employabilit par alternance ? . . . . . . . . . . . . . . . . . 30.3 Problmatique de langue ou de culture ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.4 Pour quel niveau dexpertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30.5 Et comment optimiser cette expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 31 Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1 Choix du dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 Concurrence ou complmentarit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 32 Regard sur la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1 Scurit ou scurits ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Produits certis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.3 Scurit des systmes dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.4 Scurit nancire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.5 Justication des comptences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.6 Risque professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.7 Processus et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.8 Organisation de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 33 Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.1 Certication du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.2 Reconnaissance et relation contractuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 183 184 185 186 188 191 191 192 199 199 200 201 201 202 203 203 203 205 205 207

X


Chapitre 34 Regard sur le lgislatif et le rglementaire . . . . . . . . . . . . . . . . . . . . . . . 34.1 Catgories de textes applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.1 Rglements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.2 Normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.1.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2 Rglementations applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.1 Ble II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.2 Solvabilit II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.2.3 CRBF n 97-02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

209 209 209 210 211 211 211 213 213 213 213 214 214 215 216 217 219 219 222 222 222 223 224 224 224 224 224 225 225 225

34.2.4 Rfrentiel de scurit du chque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3 Quelques lois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.1 Loi informatique et liberts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.2 Loi pour la conance dans lconomie numrique . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.3 Loi de scurit nancire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.4 Internet et droit dauteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34.3.5 Le lgislatif amricain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 35 Cartographies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.1 Positionnement des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.2 TickIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3 Relations entre les dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.1 Inuence de lISO 9001 sur les autres rfrentiels . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.2 HAS, ISO 9001 et certication de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.3 ISO 15504 et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.5 EFQM et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.6 ITIL et EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.7 Rfrentiels en management de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM . . . . . . . . . . . . . . . . . . . . . . . 35.3.9 Critres communs et ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.4 Porte des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table des matires

XI

Chapitre 36 Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1 Bnces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1.1 Bnces externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.1.2 Bnces internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2 Charges de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2.1 Charge de mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.2.2 Charge dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.3 Mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4 Processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.1 Vision Systme de management de lISO 9000 . . . . . . . . . . . . . . . . . . . . . . . . 36.4.2 Vision de la HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.3 Vision Ingnierie du logiciel de lISO 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.4 Vision du SEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.5 Vision du PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.6 Vision PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.7 Vision ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.8 Vision Scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.4.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.5 Accrditation des organismes de certication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36.6 Formation des auditeurs et valuateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 37 Gouvernance et responsabilit sociale de lentreprise . . . . . . . . . . . . . 37.1 Gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.2 mergence de la responsabilit sociale de lentreprise . . . . . . . . . . . . . . . . . . . . . . . 37.3 Responsabilit sociale et systme dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4 Rfrentiels pour la responsabilit sociale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4.1 Multiplicit des rfrentiels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4.2 Bientt lISO 26000 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rfrences bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

227 227 228 228 229 229 230 231 232 232 232 232 233 233 233 233 234 234 234 236 239 239 240 241 242 242 244 245 251 263 267

Avant-propos

Comment faire reconnatre la qualit de son travail pour conserver ses clients et gagner de nouvelles parts de march ? , sinterrogent les entreprises et leurs collaborateurs. Cette simple question appelle de nombreuses rponses, mais soulve de nouvelles questions : Comment choisir le dispositif de certication adapt son besoin ? Comment obtenir et conserver cette reconnaissance ? Et quel investissement pour quel rsultat ? Ces questions poses dans la premire dition du guide restent dactualit, le panorama des certications stant depuis enrichi de nouveaux dispositifs et de nouvelles rglementations. La certication est une procdure destine faire reconnatre par un organisme la conformit des exigences dans le but de donner conance des tiers. Dans les annes 1970, les compilateurs de langages de programmation taient certis par rapport aux normes les dnissant. La certication de personnes est apparue dans les annes 1980 avec celle des chefs de projet. La n des annes 1980 et le dbut des annes 1990 voient merger de nombreux dispositifs de reconnaissance dont les plus connus sont lISO 9001, le prix qualit EFQM et le CMM. Quil sagisse de certier un systme de management, des personnes, un produit ni, un processus de production ou des services, le choix dun systme de reconnaissance nest pas simple. Pour y rpondre, nous avons tudi 27 dispositifs de reconnaissance utiliss en France, an den tirer des analyses et des tendances. Le paysage foisonnant de la certication applique au domaine des systmes dinformation en France sest enrichi et complexi depuis la parution de la premire dition de ce guide, parue en 2006. Notre ambition, dans cette deuxime dition, est den prsenter un panorama actualis et complt, mais restant volontairement synthtique. Motivs par le dveloppement durable, la bonne gouvernance ou lexcellence, tous les responsables soucieux de lefcience et de la reconnaissance de leur entreprise trouveront ici des points de repre pour sorienter sereinement dans le labyrinthe des rfrentiels. Cette tude sadresse principalement aux responsables de systmes dinformation, de systmes de management de la qualit ou de systmes de management de la scurit. Les directeurs des ressources humaines et les responsables de

XIV


formation scolaire, universitaire ou professionnelle seront intresss par les aspects de certication de personnes. Enn, les consultants y trouveront un large panorama de dispositifs sur lesquels ils pourront appuyer leurs recommandations. Nous nous sommes concentrs sur des dispositifs applicables lensemble des secteurs dactivit ou quelques secteurs spciques couvrant les domaines des entreprises, des services, des produits et des personnes. Comme lexhaustivit est impossible, compte tenu de lexplosion du nombre de dispositifs, nous avons retenu ceux dentre eux qui avaient dj une certaine notorit ainsi que ceux qui, notre avis, allaient obtenir une renomme signicative dans les toutes prochaines annes. Enn, nous avons analys plus nement les dispositifs qui : peuvent avoir un impact dans le domaine des systmes dinformation, sans

toutefois obligatoirement sy limiter ; donnent en France lieu une reconnaissance du niveau atteint ; peuvent tre utiliss dans le cadre dun plan de progrs. Les dispositifs sont dcrits laide de ches standardises. Ces ches sont classes selon lordre alphabtique du nom du dispositif. Ces dispositifs, dcrits dans la premire partie, sont : la certication en direction de projet de lAFITEP (chapitre 3) ; la certication en gestion de projet de lAFITEP (chapitre 4) ; la certication de services (chapitre 5) ; la certication de personnes CISSP, applicable aux experts en scurit (cha

pitre 6) ; lvaluation CMMI qui concerne tous les processus dingnierie du logiciel et des systmes (chapitre 7) ; la dmarche CobiT qui concerne la gouvernance des systmes dinformation, avec les certications de personnes CISA et CISM (chapitre 8) ; la reconnaissance de lexcellence avec en particulier le prix europen de la qualit EFQM (chapitre 9) ; la certication eSCM, compose du volet eSCM-SP qui sadresse aux fournisseurs de services et du volet eSCM-CL qui formule les exigences ct client (chapitre 10) ; la certication HAS spcique aux tablissements de sant franais (chapitre 11) ; la certication ISO 9001 pour les systmes de management de la qualit (chapitre 12) ; lvaluation de la scurit des technologies de linformation selon lISO 15408, plus gnralement dsigne sous lappellation Critres communs (chapitre 13) ; lvaluation de processus partir de la norme ISO 15504 (chapitre 14) ; la certication ISO 20000 en matire de gestion de services (chapitre 15) ; la certication de progiciels sur la base de la norme ISO 25051, anciennement ISO 12119 (chapitre 16) ;

Avant-propos

XV

la certication ISO 27001 relative au systme de management de la scurit

(chapitre 17) ; la certication ITIL pour les managers de services informatiques (chapitre 18) ; lvaluation ITSEC sur la scurit des systmes informatiques (chapitre 19) ; la certication MSP pour les directeurs de programme (chapitre 20) ; la certication PCIE sur les comptences bureautiques (chapitre 21) ; les certications issues du PMBOK pour les directeurs de programme, chefs de projet et leurs assistants (chapitre 22) ; la certication PRINCE2 pour les chefs de projet (chapitre 23) ; la conformit aux exigences de la loi Sarbanes-Oxley relative au reporting nancier des entreprises (chapitre 24) ; lvaluation SAS 70 pour le contrle interne des services (chapitre 25) ; la certication des acteurs Six Sigma pour la matrise des processus (chapitre 26) ; lvaluation SSE-CMM du processus dingnierie de la scurit (chapitre 27) ; la certication de Testeur de logiciels, ISTQB, pour les professionnels de lingnierie du logiciel (chapitre 28) ; la certication TL 9000, complment lISO 9001 spcique au secteur des tlcommunications (chapitre 29).

Les ches relatives lvaluation SW-CMM qui est remplace par CMMI, Trillium qui est obsolte et TickIT qui est peu utilise ont t supprimes. Nous avons, en revanche, introduit la certication MSP, complt le dispositif eSCM et introduit Tickit Plus dans les cartographies du chapitre 35. Chaque che descriptive suit un plan en quatre points : prsentation, documentation, mise en uvre, retour dexprience. Le lecteur trouvera ici les moyens de sapproprier les systmes de reconnaissance existants, puis de btir le sien, spcique au contexte particulier de son march ou de son entreprise, en intgrant ses objectifs stratgiques et en respectant son systme de valeur. La seconde partie analyse les informations recueillies. Elle fournit ainsi des regards spciques sur la certication de personnes, le management de projet, la scurit, le service ainsi que le lgislatif. Nous poursuivons par des cartographies et des analyses dtailles. Nous concluons en tudiant les impacts de la gouvernance et de la responsabilit sociale de lentreprise sur les dispositifs de certication. Les acronymes et les organismes cits, les rfrences bibliographiques, ainsi quune liste de sites Internet et un index concluent ce Guide des certications SI. lexception des normes, tous les documents cits en italique dans le texte sont repris dans les rfrences bibliographiques.

XVI


RemerciementsCe guide naurait pas exist sans la contribution des experts des diffrents dispositifs. Cest pourquoi les auteurs tiennent remercier tous ceux qui ont consacr une partie de leur temps pour assurer la qualit et lexactitude du contenu, quil sagisse de contributeurs, de personnes qui nous ont fait partager leur exprience ou de re-lecteurs : Franois B AUDRAZ de FBA Conseil ; Christophe B EUCHARD de Kereval ; Hendrik C EULEMANS dInfogovernance ; Thierry C HAMFRAULT ditSMF France ; Anne C OAT de SEKOIA ; Didier C OGNET de Capgemini Sud ; Philippe C ROIX de Peregrine Systems ; Alain D ONJON de Capgemini Consulting ; Georgette D UBAIN de Thales ; Alain F EREY dIBM Global Services ; Frdric F RADET de Johnson Controls Automotive Electronics ; Patrick G EAI du Groupe La Poste ; Allan G EEKIE de Capgemini UK ; ric G LACE de Telindus ; John H IGHAM de Pmguru ; Bernard H OMS du Comit franais des tests de logiciels ; Pierre J OURDAN de Catalog-e-til ; Mathilde L AMBERT de QRP Management Methods International ; Robert L EMAY de Numeral Advance ; Martine M INY de lAFITEP ; Dominique M OISAND dASK Conseil et dAFAI ; Antoine N ARDZE dAlcyonix France ; Sophie R OBERT de BNP Paribas Personal Finance ; Francis R ONEZ dAxios Systems ; Jean-Christophe R OUZOUL de Sopra Group ; Bruno R UBY de Bouygues Telecom ; Kamel S EHRI de SELESTA ; Jean-Martin S IMON de Qualium ; Olivier T EITGEN dAFNOR ; Gilles T ROUESSIN dOppida ; Marc VANDENBERGHE de Belgacom. Des membres dADELI ont activement particip la relecture de ce guide : Dominique B ERGEROT, Alain C OULON et Jacky VATHONNE quils en soient remercis.

PREMIRE PARTIE

tude des dispositifs Comment faire reconnatre la qualit de nos produits et services , sinterrogent les entreprises. Comment faire reconnatre la qualit de notre travail , renchrissent leurs collaborateurs. Dans lventail des dispositifs de reconnaissance, anciens, rcents, mergents, comment choisir celui qui sera le plus appropri son contexte ? Tout dabord, il convenait de dnir ce quest un dispositif de reconnaissance. Ensuite, face au nombre de dispositifs existants et leur complexit, nous avons d renoncer lexhaustivit et slectionner les dispositifs dcrire rpondant aux besoins du march franais. Dernier volet de notre mthodologie, la description de chaque dispositif slectionn a fait lobjet dun plan-type, nous permettant de nous livrer ensuite des analyses comparatives.

1Dispositifs de reconnaissance

Comment choisir un dispositif de certication ? En fait, il sagit non pas de choisir le dispositif unique miracle, mais plutt de slectionner un ensemble de dispositifs complmentaires rpondant chacun un besoin spcique. Ainsi, la rponse cette question viendra naturellement de lanalyse dtaille des diffrents dispositifs. Mais avant daller plus loin, il nous a sembl ncessaire de dnir la terminologie utilise.

1.1 QUELQUES DFINITIONSDispositifNous avons utilis le terme dispositif dans lavant-propos, mais de quoi sagit-il exactement ? Pour illustrer cette notion, prenons lexemple dun skipper. Pour participer une course en mer, il doit runir plusieurs lments : le code de navigation en mer et le descriptif du droulement de la course : nous

appelons cela le rfrentiel ; son bateau ainsi que tous les lments ncessaires la course et sa survie en mer : ce sont les outils ; le rglement de la course qui dnit les rgles dattribution des trophes : cest le modle dvaluation.

4

Chapitre 1. Dispositifs de reconnaissance

Lensemble de ces trois lments constitue le dispositif. Le descriptif du droulement de la course peut tre inclus dans son rglement, alors que le code de navigation en mer ne lest pas. On peut ainsi avoir des ensembles disjoints. Dans le contexte de cet ouvrage, le terme dispositif dsigne globalement lensemble des lments associs au couple : rfrentiel modle dvaluation (gure 1.1). Nous parlerons par exemple du dispositif de certication ISO 9001 qui comprend la norme ISO 9001 comme rfrentiel, laudit comme type dvaluation et les normes complmentaires ISO 9000 et ISO 90003 comme outils. Selon les dispositifs, le modle dvaluation peut faire partie du rfrentiel en totalit, partiellement, ou encore lui tre compltement externe.

Figure 1.1 Dispositif de reconnaissance

Le rfrentiel est un document dexigences ou de recommandations que lentreprise a retenu, puis ventuellement adapt pour rpondre ses besoins stratgiques ; il peut sagir dun document dorigine externe (par exemple ISO 9001) ou interne (rfrentiel de certication de services rdig par lentreprise pour ses besoins). Les exigences contenues dans le rfrentiel servent de base aux oprations dvaluation conduisant une reconnaissance. Le modle sert lvaluation et, pour viter toute ambigut, nous utiliserons lexpression modle dvaluation. Modle dvaluation et rfrentiel sont intimement lis puisque lvaluation se fait par rapport un rfrentiel donn.

Audit valuation notre connaissance, aucune dnition claire de lvaluation ne permet de faire une distinction formelle entre ces deux termes. Le rsultat dun audit, comme celui dun examen, est binaire (conformit ou non-conformit, diplme attribu ou non). Celui dune valuation peut se prsenter sous la forme dune mesure sur une chelle dnie, par exemple dans le cas de lutilisation dun modle daptitude reprsentation continue comme dans le CMMI ou lISO 15504.

1.2 Choisir son dispositif

5

Il existe trois sortes daudits : laudit tierce partie ralis par un organisme indpendant de celui qui est valu,

par exemple laudit de certication dans le cadre dune dmarche ISO 9001 ou ISO 14001 ; laudit seconde partie ralis par un client ou sa demande, pour valuer son fournisseur ; laudit premire partie, ou auto-valuation, ralis par lentreprise ; il sagit alors dune auto-dclaration ce cas nest pas trait dans louvrage bien que la mise en uvre de tout dispositif devrait commencer par une auto-valuation comme cela est recommand dans le fascicule FD X50-186 Lignes directrices pour la mise en place dun processus dauto-valuation1.

ReconnaissanceLa reconnaissance peut prendre diffrentes formes telles quun certicat de conformit un rfrentiel, un diplme, un prix, un diagnostic, un label, une autorisation dexercer. Cette reconnaissance peut tre obtenue de diffrentes faons : de manire binaire et exclusive, tout ou rien, avoir ou non une attestation ; par un positionnement sur une chelle de valeurs, par exemple un nombre de

points obtenus sur un questionnaire dvaluation de type prix qualit, un prol de comptence comme les niveaux daptitude.

AttestationLe terme attestation est gnrique. Il dsigne indiffremment un certicat, une marque, un diagnostic daptitude ou de maturit, un prix ou simplement un rapport.

1.2 CHOISIR SON DISPOSITIFDans un souci defcacit, les entreprises cherchent afner leur choix de dispositifs avant de les intgrer dans leurs diffrents systmes de management. Pour comprendre ce mouvement, nous avons tudi les dispositifs de reconnaissance, accessibles aux entreprises et aux individus, en nous proccupant de leur complmentarit et de leurs interactions. Selon que nous nous intressons au produit, au service, au processus, une entreprise ou une personne, il faut choisir le dispositif qui rpond le mieux nos besoins actuels sans pnaliser nos besoins futurs. En la matire, le dispositif idal serait lattestation qui nous ouvrirait toutes les portes, rpondrait tous nos besoins

1. lexception des normes, tous les documents cits en italique dans le texte sont repris dans les rfrences bibliographiques.

6

Chapitre 1. Dispositifs de reconnaissance

en matire de qualit, de scurit, denvironnement. Quelles solutions pouvons-nous envisager ? En fait, il y a lembarras du choix. Cest en se posant les bonnes questions quune solution va sesquisser dautant plus facilement quil ny a pas vraiment dincompatibilit entre les diffrents dispositifs, mais seulement la ncessit dun ajustement et dune homognisation. Il faut donc dnir son besoin rel, sagit-il : dentreprendre une dmarche damlioration purement interne ? de rassurer ses clients et ses actionnaires ? Dans ce cas, lobjectivit dun

organisme tiers est-elle ncessaire ? de convaincre un client spcique dans sa dmarche de slection de fournisseurs ? de se mettre en conformit avec une rglementation ? dvaluer lentreprise, le personnel, les produits ou les services ?

2Mta-modle danalyse

2.1 PRSENTATION DU MODLELa comparaison des dispositifs de reconnaissance ncessite une clarication des concepts. La dnition dun mta-modle permet dordonner les diffrentes notions. En effet, au-del dun simple exercice de style, la modlisation, en imposant des contraintes formelles, soulve des questions que lon ne peut luder. Lorsquon souhaite modliser les dispositifs de reconnaissance, une premire question se pose : de quoi parlons-nous ? Nous avons tent de modliser le systme complet avec ses multiples acteurs et leurs inter-relations complexes. Dans la gure 2.1, nous prsentons le mta-modle issu de cette rexion. Comme tout modle, le rsultat est fonction des objectifs choisis et peut justement servir de base des discussions fructueuses entre experts et la production de variantes. Nous commenterons ce schma en prenant comme exemple le dispositif de reconnaissance le plus rpandu, celui de la certication des systmes de management de la qualit : lISO 9001.

8

Chapitre 2. Mta-modle danalyse

Figure 2.1 Mta-modle

2.1.1 RfrentielAu cur du dispositif de reconnaissance, nous trouvons un texte ou un ensemble de textes fondateurs que nous dsignerons par le terme de rfrentiel. Il peut sagir de textes normatifs ou lgislatifs aussi bien que de textes dorigine prive issus du monde industriel. Cet ensemble de documents peut tre caractris par un nom, une version, une date de cration. Dans le cas du dispositif ISO 9001, il sagit de la norme ISO 9001, version 2000, publie en dcembre 2000. Faisant des diffrences dinterprtation dues soit la traduction, soit ladaptation un secteur dactivit ou un pays particulier, nous reconnaissons lISO 9001 une existence universelle. Le rfrentiel peut tre li dautres documents qui lui servent de guide dapplication pour un domaine plus ou moins restreint. Le texte fondateur lui-mme est gnralement assez concis et peut ncessiter des interprtations. Ainsi, la lecture de la norme ISO 9001 nest possible que prcde ou accompagne de celle de lISO 9000 qui apporte les principes et les dnitions utiles sa comprhension. Dans la recherche de lamlioration des performances, nous nous inspirons des bonnes pratiques recommandes dans lISO 9004 ou de celles dun standard sectoriel mieux adapt notre mtier, tel que lISO 90003. Lorsque le rfrentiel est lui-mme un texte lgislatif, il faudra le lire la lumire de la jurisprudence issue de son application. Parmi les autres caractristiques du rfrentiel, nous avons not sa langue et les domaines dactivits auquel il se rapporte : le rfrentiel peut tre rdig en une ou plusieurs langues et sappliquer un ou plusieurs domaines dactivits. Ainsi lISO 9001

2.1 Prsentation du modle

9

est un rfrentiel gnrique qui peut tre mis en uvre dans tous les domaines. Dautres rfrentiels concernent des domaines particuliers dont les limites sont plus ou moins bien dnies.

2.1.2 Contenu du rfrentielCe qui fonde le rfrentiel en tant que tel, cest son contenu. Pour simplier, nous avons considr quun rfrentiel se composait dun ensemble de rgles qui peuvent tre soit des exigences, soit des recommandations. On distingue ces deux catgories en fonction du verbe utilis dans le document : lorganisme doit de lISO 9001 soppose au il convient que de lISO 9004. LISO 9001 spcie des exigences et lISO 9004 les complte par des recommandations. Seul le respect des exigences est vri lors de laudit qui conditionne la certication. Les exigences et les recommandations sappliquent un lment qui peut tre une personne, un produit ou une activit mene au sein dune entit qui peut tre une entreprise ou seulement une de ses parties. Chacun de ces lments, tels que la personne, le produit ou lactivit, peut ventuellement se dcomposer en souslments auxquels sappliquent des rgles particulires. La personne ne se dcomposant pas physiquement, les rgles portent sur les diffrents rles quelle peut jouer dans lentreprise. Mme lorsquil sagit dune orientation concernant la personne, le produit ou lactivit, un rfrentiel peut combiner ces diffrents types dexigences. Pour reprendre notre exemple, les exigences de lISO 9001 sappliquent au systme de management de la qualit de lentreprise dans sa globalit. Prises individuellement, les exigences peuvent ne concerner que certains processus ou activits, tels la conception ou les achats. Dautres exigences sappliquent directement le produit : les lments de sortie doivent vrier certaines conditions, le produit doit tre prserv. Dautres enn sont relatives aux personnes qui doivent avoir les comptences ncessaires la ralisation des tches qui leur sont affectes.

2.1.3 Modle dvaluationPour devenir dispositif de reconnaissance, le rfrentiel doit tre accompagn dun modle dvaluation qui indique la faon dont le rfrentiel est pris en compte dans un processus dvaluation et qui en prcise les rgles. Un rfrentiel donn peut tre utilis avec diffrents modles dvaluation, tel le SSE-CMM qui peut, suivant le contexte, tre employ avec le modle dvaluation dni dans lISO 15504 ou avec le SCAMPI. Mme un modle dvaluation peut tre associ diffrents rfrentiels, comme le SCAMPI utilis avec le SW-CMM, le CMMI ou le SSE-CMM. Le modle dvaluation peut se prsenter sous diffrentes formes : audit, diagnostic, valuation ou examen suivant le type dorganisation retenue.

10


2.2 ACTEURSLe nombre de types dacteurs impliqus dans le systme de reconnaissance de la qualit est important. Tout dabord, au cur du systme, nous trouvons deux acteurs. Selon le dispositif, il sagit de personnes morales ou physiques. Le premier acteur choisit et applique un rfrentiel. Ce rfrentiel comporte un modle dvaluation qui donne conance au second acteur, le client. Il y a deux choix effectuer : le choix des exigences qui vont tre appliques (le rfrentiel) et le choix du modle dvaluation. Lentreprise doit ensuite faire le choix dun troisime acteur : lorganisme de certication. Par exemple pour lISO 9001, il en existe plusieurs qui sont thoriquement quivalents bien que concurrents. Dans le cas des certications de personnes, lindividu choisit la fois le rfrentiel dexigences et le modle dvaluation, dans un cadre strict impos par son employeur ou dans une dmarche personnelle de gestion de son parcours professionnel pour amliorer son niveau demployabilit. Parmi les acteurs du systme de reconnaissance, nous trouvons galement le propritaire du rfrentiel, son distributeur par exemple AFNOR en France pour les normes ISO, le formateur qui transmet la connaissance, le contrleur, lorganisme qui attribue lattestation, lorganisme accrditeur, sans oublier les consultants et les entreprises de conseil. Le propritaire du rfrentiel, gnralement son crateur, est parfois un organisme de normalisation tel que lISO, mais il peut aussi sagir dune entreprise dans le cas dun rfrentiel de services, dun institut universitaire comme le SEI ou dune association professionnelle comme lIPMA. Le contrleur qui vrie lapplication des exigences peut tre un auditeur, un valuateur ou un examinateur. La personne morale ou physique, gnralement un organisme de certication attribue lattestation au vu du rapport dvaluation ; il peut tre ou non accrdit. Lorganisme accrditeur est garant de la valeur de lattestation accorde en donnant son label lorganisme de certication. Souvent national, cet organisme permet, par le jeu daccords de reconnaissance mutuelle, de faire bncier les organismes accrdits dune porte internationale.

2.3 PRSENTATION DES DISPOSITIFSLes particularits des dispositifs tudis apparatront la lumire de ce mta-modle. Ainsi nous remarquerons lexistence de dispositifs sans rfrentiel en matire de management de projet, ainsi que des liens multiples entre dispositifs : par exemple entre ITIL et ISO 20000, ou encore entre CobiT, SAS 70 et Sarbanes-Oxley. Dans la suite de cet ouvrage, la prsentation de chaque dispositif est introduite par un schma simpli (gure 2.2) qui synthtise les principaux lments. gauche du rfrentiel, cur du dispositif, nous trouverons des lments directement descriptifs.

2.3 Prsentation des dispositifs

11

Dabord le secteur conomique de lentreprise ou de lindividu qui utilise le rfrentiel lorsquil ne sapplique que de manire sectorielle. Si le rfrentiel est dapplication gnrique, ce champ indiquera Tous secteurs. Le propritaire du rfrentiel peut tre un organisme de normalisation tel que AFNOR, ISO, IEEE ou BSI. Il peut sagir aussi dune association, dun organisme priv ou gouvernemental, comme lAFITEP, le SEI, lOGC. La diffusion du rfrentiel est effectue soit directement par son propritaire, soit par des intermdiaires spcialiss ou des librairies techniques. La porte du rfrentiel indique la nature des rgles quil contient et dont les mentions peuvent tre les suivantes : le produit, lactivit ou les personnes. Certains rfrentiels ne sintressent quau produit, dautres uniquement lactivit et les plus exigeants possdent les trois types de rgles. En fonction du type de reconnaissance, le rfrentiel peut servir une autovaluation, une valuation tierce partie qui conduira une certication ou une valuation seconde partie entre un client et un fournisseur indpendamment de lexistence dun contrat. Au-dessus du nom du rfrentiel, gure lindication de son domaine dapplication. Il peut sagir, suivant le cas, de management de projet, de qualit, de scurit des systmes dinformation, de processus de systmes dinformation, de processus logiciel, dingnierie du logiciel, dingnierie systme, de production informatique, de dveloppement et scurit de systme informatis, de poste de travail informatique, de scurit des informations nancires, ou encore de services sous-traits. Mme, et surtout si certains de ces termes semblent synonymes premire vue, cette numration est rvlatrice des points de vue complmentaires adopts par les diffrents dispositifs.

Figure 2.2 Schma standard de prsentation dun dispositif

Sur la gure 2.2, droite du rfrentiel, se trouvent les lments descriptifs du processus dvaluation.

12


Tout dabord lobjet de la reconnaissance. Ce peut tre une personne physique reconnue pour ses capacits, connaissances et exprience dans un certain domaine. Ce peut tre une personne morale reconnue suivant le cas pour : la mise en uvre dun systme de management de la qualit, dun systme de

management de la scurit, dun service, dun ou plusieurs processus ; la conformit ou le niveau de scurit dun produit ou dun systme ; ses dispositifs de contrle interne. Le type de reconnaissance peut tre une certication, un diagnostic daptitude ou de maturit, un prix ou un simple rapport qui a une dure de validit dnie ou non. Le type dvaluation peut correspondre un examen pass en franais ou en anglais, associ ou non une valuation dexprience, un audit seconde ou tierce partie ou encore une auto-valuation. Une valuation peut dboucher sur un ou diffrents niveaux dattestation dont la slection se fait, soit en amont de lvaluation lors du dpt de dossier, soit en aval en fonction du rsultat obtenu. Le dispositif peut avoir une porte qui est souvent internationale, mais peut tre limite la France ou lEurope. Enn, la mthode dvaluation et son propritaire sont indiqus lorsque ces informations sont dnies. Sans reprendre la totalit des informations prsentes sur le mta-modle, le schma simpli de la gure 2.2 offre ainsi une vue sufsamment complte du dispositif.

3AFITEP-CDP

Le dispositif AFITEP-CDP permet une personne physique dobtenir une certication en matire de management de projet.

Figure 3.1 Dispositif CDP de lAFITEP

PrsentationLa Certication en direction de projet (CDP) a pour objet de faire reconnatre une comptence de type managrial fonde sur une exprience danimation dquipe et darbitrage dans le but de mener son terme un projet : cest--dire une opration

14

Chapitre 3. AFITEP-CDP

caractre spcique et unique dont les objectifs, la dure et le cot sont pralablement dnis. Cette certication est ralise par lAssociation francophone de management de projet (AFITEP), reprsentant ofciel de lIPMA (International Project Management Association) en France. En 1985, lIPMA a dvelopp un programme de certication international quatre niveaux. Ses membres sont des associations nationales qui appliquent le dispositif de lIPMA dans leur pays respectif avec leur langue. Les rgles de lIPMA sont nonces dans lIPMA Competence Baseline (Guide IPMA de comptences). Leur application seffectue dans chaque pays par la formalisation dun guide national de comptences. En France, il sagit du Rfrentiel de comptences en management de projet de lAFITEP. Ce rfrentiel dcrit les connaissances, lexprience et le comportement attendus des chefs de projet. Il reprend lensemble des lments dcrits dans lIPMA Competence Baseline pour valuer les comptences en management de projet. La version 2006, troisime version du rfrentiel, a t remanie dans sa structure et comporte 46 lments, rpartis en trois domaines : les comptences techniques (20 lments) les comptences contextuelles (11 lments) les comptences comportementales (15 lments)

Le management de projet consiste planier, organiser, suivre et matriser tous les aspects dun projet. Le cycle de dveloppement du projet peut diffrer selon la branche dactivit et le type de projet. Des mtriques sont dnies dans llment de connaissances Mesure des performances du Rfrentiel de comptences en management de projet. Le calcul et lvaluation de lavancement du projet reposent sur lanalyse de la valeur acquise.

DocumentationLe Rfrentiel de comptences en management de projet est librement tlchargeable sur le site de lAFITEP ainsi que dautres documents comme un formulaire dauto-valuation et de positionnement, des notes explicatives, etc. La version 2006 de lIPMA Competence Baseline est rdige en anglais. LAFITEP la traduite en franais et enrichie en particulier des rfrences normatives franaises (cf. corpus normatif AFNOR en management de projet) dans la version disponible en 2009 de son rfrentiel. Ces deux rfrentiels sont librement tlchargeables respectivement sur le site de lIPMA ou sur celui de lAFITEP.

Mise en uvreLIPMA fdre 45 associations nationales travers le monde, ce qui reprsente plus de 25 000 membres. la n de lanne 2007, environ 73 000 personnes avaient obtenu un certicat. On note une forte croissance du nombre de certis depuis 2002. La prvision pour 2008 est denviron 88 000 certis dans le monde.

AFITEP-CDP

15

LIPMA a tabli des accords de coopration avec lICEC (International Cost Engineering Council), lAIPM (Australian Institute of Project Management) et le PMI (Project Management Institute). LAFITEP dispose dune vingtaine de centres dexamens en France et ltranger (Maroc, mirats Arabes Unis, Algrie). Il y a quatre sessions programmes par an pour le premier niveau (niveau D) de lIPMA ; les dates des sessions de certication de niveaux C, B et A sont dnies en fonction des besoins. LIPMA accorde une trs haute priorit aux aptitudes personnelles ncessaires la fonction de chef de projet dans lvaluation des individus pour leur accorder la certication Cest pourquoi, le dispositif propose un systme dvaluation du comportement des personnes. Ce programme, dcrit dans la gure 3.2, a t conu pour valuer non seulement le savoir, le savoir-faire et lexprience du candidat, mais galement son savoir-tre.

Figure 3.2 Certification IPMA Source : rfrentiel de comptences en management de projet de lAFITEP.

Ce rfrentiel est unique : il sert indiffremment la certication des quatre niveaux de lIPMA ; cest pourquoi, en plus des critres dvaluation, on y trouve les valeurs cibles attendues pour chaque critre et chaque niveau. Les critres portent sur les lments suivants : capacits gnrales ; principes du management de projet ; comptences organisationnelles et sociales ; mthodes et procdures ; management gnral ; comportement personnel et limpression gnrale donne par le candidat.

16

Chapitre 3. AFITEP-CDP

Ce sont des experts en management de projet qui valuent les candidats. Ces valuateurs ont eux-mmes un niveau de certication au moins gal celui auquel postule le candidat et, parmi eux, il y a toujours un expert du secteur dactivit du candidat. Lentretien individuel tient une grande importance dans la dcision dattribution ou non du certicat. La certication AFITEP-CDP est accorde pour une priode de cinq ans susceptible dtre proroge sur dossier. La commission de certication de lAFITEP accepte le PMP (Project Management Professional) du PMI comme quivalence du niveau D de lIPMA.

Retour dexprienceMartine M INY, prsidente de lAFITEP, dclare : De plus en plus dentreprises choisissent la Certication en Direction de Projet, dune part parce quelle est personnalise au contexte local, dautre part, parce quelle est reconnue au niveau international dans plus de 45 pays (dont la Chine, lInde et la Russie), enn parce quelle permet dvaluer les comptences du candidat au regard de la complexit des projets mens. Les entreprises apprcient le fait que le rfrentiel soit structurant pour les comptences, mais nimpose aucune exigence en matire de modes opratoires ou dorganisation. La certication de comptences individuelles en direction de projet devient donc un lment cl de la reconnaissance du professionnalisme des chefs de projet. Cest aussi un vecteur damlioration du niveau de maturit du management de projet dans les organismes, la capacit mener bien les projets tant aujourdhui indispensable la prennit des entreprises. Le candidat a, par ailleurs, la possibilit dadhrer lAFITEP et de participer ainsi une communaut de chefs de projet qui publie une revue, organise des runions et des confrences et lui apporte ainsi une actualisation rgulire de ses connaissances . Grce son processus daccrditation, ce dispositif sadapte trs bien aux environnements culturels nationaux tout en maintenant une cohrence globale au niveau international. Il permet la reconnaissance dun certicat national dans 45 pays. Un des atouts de ce dispositif pour lemployeur est constitu par le modle dvaluation ; il ne se limite pas aux connaissances en management de projet, mais value aussi les comptences et la dimension comportementale. Pour le candidat, la certication par niveau lui permet de se situer en fonction de la responsabilit quil exerce. En revanche, le rfrentiel ne peut tre utilis par le candidat comme un recueil de bonnes pratiques : il sagit plutt dune grille danalyse de comptences. Toutefois, il peut servir doutil pour les responsables de ressources humaines, an dvaluer un candidat lors dun recrutement ou servir aux chefs de projets pour dtecter des potentiels en interne.

4AFITEP-CGP

Le dispositif AFITEP-CGP permet une personne physique dobtenir une certication en matire de management de projet.

Figure 4.1 Dispositif CGP de lAFITEP

PrsentationLobjectif de la Certication en gestion de projet (CGP) est dapporter lassurance que les titulaires sont des professionnels qualis en matrise de projet et en particulier

18

Chapitre 4. AFITEP-CGP

dans les domaines de lestimation, de la cotenance (ingnierie des cots) et de la planication. Coordonne par lICEC (International Cost Engineering Council), cette certication existe dans 43 pays. Elle prsente une particularit : lICEC ne disposant pas de son programme de certication, elle encourage le dveloppement de programmes de certication et de coopration entre les organisations membres. Ses membres sont des associations qui doivent rpondre des critres dacceptation pour tre accrdites ; ces critres sont documents dans un guide dnissant les exigences du processus daccrditation. Il nexiste donc pas de rfrentiel unique. Chaque association dveloppe son rfrentiel en conformit avec les standards et normes en vigueur dans son pays et le dclare lICEC qui ne fait que le reconnatre. LICEC a galement conclu des protocoles daccord avec diffrents organismes dont lIPMA (International Project Management Association). En France, lICEC est reprsente par lAssociation francophone de management de projet (AFITEP) sur la base du rfrentiel FD X50-107 Management de projet Certication du personnel en matrise de projet. Ce document dnit les comptences requises par les candidats et dtaille dans son annexe les thmes couverts par cette certication : connaissances gnrales ; connaissances en planication oprationnelle ; connaissances en valuation et en estimation ; connaissances en matrise des cots (ou cotenance).

DocumentationDisponible auprs dAFNOR, le rfrentiel FD X50-107 sappuie sur lensemble des documents AFNOR de la srie X50 et en particulier les FD X50-115 (management de projet-prsentation gnrale), 118 (recommandations pour le management dun projet), 137 (management des dlais) et 138 (management des cots). De plus, en France, lAFITEP publie des ouvrages de rfrence sur le management de projet sous la forme de documents de synthse ou de revue.

Mise en uvreToute personne titulaire de la CGP obtient ipso facto le certicat international de lICEC reconnu dans 46 pays. et dtenu par 30 000 membres. Il existe une vingtaine de centres dexamens en France et ltranger (Maroc, mirats Arabes Unis, Algrie). Le calendrier des sessions dexamens est dni annuellement et est disponible sur le site web de lAFITEP. Les dates des soutenances de mmoire sont dnies en fonction des besoins. Pour se prsenter la certication CGP, le prrequis est lobtention du certicat Assistant de Projet Certi (IPMA niveau D) qui atteste de connaissances gnrales sur les projets.

AFITEP-CGP

19

Dlivres sans limitation de dure, viennent ensuite trois qualications de spcialit : la qualication en planication ; la qualication en cotenance ; la qualication en estimation.

Ensuite, le candidat prsente un mmoire sur un sujet de son choix relatif son exprience en gestion de projet quil soutient devant un jury de professionnels. Si le mmoire est accept et si le candidat est ligible (il faut justier de trois sept ans dexprience en fonction du niveau de formation aprs le bac), la CGP est accorde pour une priode de cinq ans susceptible dtre proroge sur dossier.

Retour dexprienceMartine M INY, prsidente de lAFITEP, apporte sa vision : Lobtention de la CGP donne au candidat la reconnaissance dune spcialisation dans trois domaines et celle dun mtier. Cette certication prend tout son sens avec limportance croissante de la fonction de Project Management Ofce (un bureau des projets qui assure le support, le suivi et un contrle gnral dun ensemble de projets). Elle devient le garant de la qualit des projets et de lapplication des bonnes pratiques et mthodes de chaque entreprise . Tout comme pour lIPMA, la force de lICEC rside dans le fait que le modle dvaluation ne se rfre pas uniquement aux connaissances en matire de gestion de projet, mais aussi lvaluation de lexprience. En revanche, le fait quil ny ait pas de corpus de connaissances peut paratre droutant. Cependant, cette latitude donne une certaine souplesse au dispositif et lui permet de tenir compte des spcicits de chaque secteur dactivit.

5Certification de services

Le dispositif de certication de services permet une entreprise dobtenir une certication en matire de qualit de services.

Figure 5.1 Dispositif de certification de services

PrsentationLa certication de services est rgie par la Loi n 94-442 du 3 juin 1994 et le Dcret n 97-298 du 27 mars 1997 qui stipulent des exigences en termes de structuration de la dmarche.

22

Chapitre 5. Certification de services

Ce type de certication vise contrler un niveau de service fourni au client nal par rapport un ensemble dexigences (caractristiques et modalits de contrle) dcrites dans un rfrentiel de certication de services. Il sagit dun document technique tablissant les caractristiques dun produit ou dun service ; ce document dnit galement les modalits de contrle de la conformit du produit ou du service. La certication de services fait reconnatre le niveau de qualit quune entreprise dnit et sengage respecter vis--vis de ses clients. Cette dmarche est applicable quel que soit le secteur conomique. Elle sapplique toute activit de service quelle soit destine aux entreprises ou aux consommateurs. Le rfrentiel peut tre normatif ou priv. Un rfrentiel priv est dni soit localement par une entreprise pour ses besoins, soit collectivement, par exemple par un groupement ou par une association professionnelle. Chaque nouveau rfrentiel de certication de services fait lobjet dune mention au Journal ofciel de la Rpublique franaise et est contrl par un organisme habilit (accrdit ou ayant dpos un dossier auprs de lautorit administrative). On peut citer des certications de services trs diffrentes qui concernent le domaine des systmes dinformation, par exemple : rfrentiel priv : la tlphonie mobile dveloppe par Orange France en 2002 ; rfrentiels collectifs : transactions commerciales lectroniques dveloppes par

Webcert en 1999 ou Sauvegarde distance de donnes numriques labor par le Club de la scurit des systmes dinformation du Languedoc-Roussillon en 2001. Le rfrentiel peut aussi tre normatif lorsquune norme spcie les exigences permettant de dnir, de cibler et de mesurer la qualit de service. Cest par exemple le cas dans le domaine du transport public de voyageurs. Le rfrentiel de certication est rdig en se plaant du point de vue du client sous forme dengagements de service documents (gure 5.2). Il doit entre autres : clarier le rsultat attendu, cest--dire le contenu du service fourni ; dnir un niveau de qualit de service en termes de performances atteindre ; dnir les engagements de lentreprise vis--vis de ses clients.

Les textes de loi qui rgissent la certication de services nimposent rien en matire de dispositifs ou de moyens mettre en uvre par lentreprise candidate. De ce fait, celle-ci reste libre de la nature et du niveau de performance des engagements quelle prend vis--vis de ses clients. Il existe toutefois une restriction : reprsent par les associations de consommateurs, le client doit valider ces engagements de service sans quoi la dmarche de certication est arrte. La mise en uvre de cette dmarche permet de rendre visible la performance des services rendus par une entreprise ses clients. Elle marque le passage dune culture tourne vers linterne une culture oriente vers la satisfaction des clients. Les mtriques sont spciques chaque rfrentiel. Elles y sont dnies.

Certification de services

23

Figure 5.2 Dmarche de certification de services

DocumentationLes textes de loi sont accessibles sur le site de Legifrance. Les rfrentiels de certication de services normatifs sont disponibles auprs dAFNOR ; les rfrentiels privs (personnel ou collectif) sont dposs au Journal ofciel de la Rpublique franaise.

Mise en uvreCette dmarche sapplique dans le cadre du droit franais. Des efforts de communication et de promotion sont fournis par les organismes certicateurs ainsi que par certaines associations de consommateurs ; ces dernires voient dans ce mode de reconnaissance un signe de performance de lentreprise certie et donc de garantie pour le client. La certication de services est un outil qui se rpand car, dans une dmarche damlioration reconnue par un certicat, elle permet aux entreprises ou des secteurs dactivit de sengager de manire cible sur le service rendre. Elle stend en France : la reconnaissance en 2004 par la Haute autorit de sant (HAS) de lintrt de ce type de certication en est une preuve. La certication de services de certaines lignes dautobus et de mtro de la RATP constitue un exemple de mise en uvre de cette dmarche dont leffet est visible par tous les Parisiens. En fvrier 2003, pour la premire fois hors de France, une certication de services a t dlivre une socit belge, la Socit des transports intercommunaux de Bruxelles. Le rfrentiel utilis est la norme europenne NF 13816 relative au transport public de voyageurs.

24


Dans le domaine du e-commerce, il sagit par exemple dinformer lutilisateur nal de la valeur relle des outils capables de garantir rellement la scurit, la conance et la qualit du service. Pour cela plusieurs certications de ce type coexistent en France : Webcert dAFAQ, Elite Site Label de la socit Sysqua contient 148 critres de certication et Qualicert de la socit SGS qui se dveloppe aussi ltranger. La mise en uvre de cette dmarche implique soit de rdiger un rfrentiel spcique son domaine, soit den utiliser un dj existant. Il faut aussi former les oprationnels an de leur faire connatre et de leur apprendre atteindre en permanence le niveau de performance attendu des engagements de service auxquels ils contribuent. Essentiellement franaise, cette certication est ralise par un organisme de certication dlivrant lattestation sous la forme dune marque (logo) qui lui est propre. Pour raliser une valuation, diffrentes mthodes de contrle peuvent tre mises en uvre comme : lenqute de satisfaction client ; la mthode dite du client mystre qui est une enqute ralise sur le terrain par

un auditeur ne se faisant pas reconnatre et agissant comme un client ; la collecte automatique de mesures ; laudit de terrain effectu par une tierce partie. Lorsque des standards de contrle existent, les mthodes de contrle du rfrentiel de certication peuvent sy rfrer ; par exemple les standards du W3C/WAI (Web Accessibility Initiative) pour laccessibilit des sites web. Pour obtenir un service certi, le processus comprend soit llaboration dun rfrentiel suivi de sa publication, soit le choix de ce rfrentiel, puis son dploiement oprationnel et enn laudit de certication (gure 5.3). Llaboration dun rfrentiel priv peut prendre de huit douze mois et mobiliser une trentaine de personnes. Il faut compter ensuite environ neuf mois pour le dploiement oprationnel jusqu la certication. Et enn, trois semaines pour laudit de certication avec une quipe de dix auditeurs.

Certification de services

25

Figure 5.3 Droulement du processus

Retour dexprienceUn consultant dune socit de conseil commente : La certication de services peut venir en complment dune certication dentreprise de type ISO 9000. Cette double approche est dj mise en uvre dans des entreprises comme la RATP. Dans les petites structures, la certication ISO 9001 est parfois abandonne au prot de la certication de services. Parmi les motivations qui diffrencient ce dispositif dune certication ISO 9001, il y a la possibilit de dnir son rfrentiel, dutiliser un rfrentiel focalis sur une plus-value fournir au client et sur la capacit dune entreprise obtenir des rsultats constants visibles par le client. Par rapport aux exigences de lISO 9001, une autre diffrence rside dans lidentication pour chaque engagement de service, dun responsable qui rapporte directement au comit de direction sur le respect, sur lvolution de lengagement quil pilote et sur les moyens et actions quil met en uvre. Bien utilise, la certication peut tre un atout majeur au service des entreprises et des clients. Elle permet tant aux entreprises quaux clients datteindre leurs objectifs et de valoriser les services offerts par la conance quelle donne au client. Pour lentreprise, il sagit dune dmarche oriente vers la qute dun rsultat prcisment dni, mesurable et qui apporte un plus au client. Lutilisation de ce dispositif permet damliorer limage de lentreprise et de promouvoir de nouveaux services. La dmarche est innovante : elle est source de diffrenciation et damlioration permanente, surtout lorsque lentreprise participe la cration du rfrentiel. Comme tout projet dentreprise, elle permet la mobilisation du personnel autour dobjectifs concrets et une qualit de service homogne. De plus, avec ce type de certication, lentreprise peut communiquer sur les critres explicites du service objet de la certication.

26


Pour le client, utiliser un service certi garantit que ce service dispose effectivement des caractristiques dnies dans le rfrentiel et quelles sont contrles de manire rcurrente. La certication de services atteste du respect des promesses faites aux clients du service. Toutefois, il est important, avant de se lancer dans une telle dmarche, de prendre en compte le fait que cette dmarche est encore peu connue. Il sagit dune initiative franaise, sans quivalent vritable ltranger. Ceci implique quil nest pas toujours possible de faire reconnatre son certicat ltranger. Notons toutefois que dans le domaine du service appliqu lInternet, qui par nature a une vocation mondiale, il existe des quivalences europennes pour les certications franaises par le biais de lEuropean cooperation for Accreditation (EA). Ce type de montage ncessite toutefois de la part de lorganisme certicateur une expertise particulire, car des instances europennes doivent tre consultes, par exemple les associations de consommateurs . On saperoit que lapproche et linterprtation de la dmarche varient selon les organismes certicateurs. Le choix de lorganisme est donc important. Lorsque la certication recherche nexiste pas, il ne faut pas sous-estimer la difcult de rdaction du rfrentiel priv. Celui-ci doit tre la fois lisible et comprhensible par lentreprise, le client et lauditeur externe.

6CISSP

Le dispositif CISSP permet une personne physique dobtenir une certication en matire de scurit de systmes dinformation.

Figure 6.1 Dispositif CISSP

PrsentationLa Certication pour professionnel de la scurit des systmes dinformation (CISSP, Certied Information Systems Security Professional) est une certication internationale dorigine amricaine dont la nalit est la validation des connaissances gnralistes

28

Chapitre 6. CISSP

en matire de scurit de linformation. Elle permet dune part aux dirigeants et dcideurs de sassurer des comptences de leur personnel scurit et de slectionner les consultants extrieurs, et dautre part aux auditeurs et responsables de la scurit de valider leur expertise et daugmenter leur employabilit. Cre en 1995 et dveloppe par l(ISC)2 (International Information Systems Security Certication Consortium), dont Auditware est le membre franais, cette certication vise plusieurs objectifs : maintenir et faire voluer le tronc commun de connaissances en scurit (CBK,

Common Body of Knowledge for Information Security) ; faire certier les professionnels selon le CBK ; organiser la formation et la certication des professionnels de la scurit ; assurer le suivi du niveau de qualication des personnes certies.

Lexamen du CISSP porte sur les 10 chapitres suivants : systmes et mthodologies de contrle daccs ; scurit des tlcommunications et des rseaux ; pratiques de gestion de la scurit ; scurit des dveloppements dapplications et de systmes ; cryptographie ; architecture et modles de scurit ; scurit des oprations ; continuit des oprations et plan de reprise en cas de dsastre ; loi, investigations et thique ; scurit physique.

En outre, il existe trois spcialisations CISSP, qui peuvent sobtenir aprs avoir t certi CISSP : CISSP-ISSAP (Information Systems Security Architecture Professional), pour les

spcialistes en architecture ; CISSP-ISSEP (Information Systems Security Engineering Professional), pour les

spcialistes en ingnierie ; CISSP-ISSMP (Information Systems Security Management Professional), pour les spcialistes en management.

DocumentationLe CBK est disponible lachat. Ce document de plus de 1 000 pages, rdig en anglais, porte le nom dOfcial (ISC)2 Guide to the CISSP Exam. Il est disponible dans les librairies techniques. Le CBK volue presque tous les ans. Il nest pas traduit en franais car la connaissance de langlais crit est considre comme incontournable dans le domaine de la scurit informatique. Toutefois les cours

CISSP

29

sont dispenss en franais en France par Auditware et CA (Computer Associates) ; lexamen peut galement se drouler en franais.

Mise en uvreLa certication CISSP permet dvaluer les connaissances du candidat, tant sur les activits daudit de systmes dinformation et danalyse des risques que sur les aspects techniques de la scurit des systmes dinformation. Elle sadresse en particulier aux experts en scurit et aux responsables de la scurit des systmes dinformation. Cette certication existe depuis 1995. Son dveloppement sest accru de faon sensible depuis 2001, en stendant dans 104 pays. Le nombre de personnes certies est pass de 8 000 prs de 65 000 n 2008, soit plus de 60 % en 3 ans, dont prs de 700 personnes certies en France, soit une augmentation de 350 % en 3 ans. En novembre 2005, Microsoft Corp. a annonc que les certications (ISC)2 seraient incluses dans le programme de certication de ses ingnieurs. Un autre signe de la notorit internationale du CISSP est la prsence en librairie dun CISSP for Dummies, version originale de la collection Pour les nuls. En mars 2007, la certication CISSP a t formellement approuve par le Dpartement de la Dfense des tats-Unis dAmrique (US Department of Defense), la fois dans leurs catgories Information Assurance Technical (IAT) et Information Assurance Management (IAM) , aux niveaux les plus levs. Pour obtenir la certication, il faut russir lexamen et justier dau moins cinq ans de pratique de la scurit des systmes dinformation. Il porte sur 250 questions choix multiple (QCM) et dure 6 heures. An de faire voluer lexamen, les rponses 25 des questions ne sont pas prises en compte dans la notation, elles servent tester les volutions de lexamen. Pour russir lexamen, il faut obtenir 700 points sur un maximum de 1 000. Pour garder la certication, il faut sengager consacrer au moins 120 heures de formation continue (CPE, Continuing Professional Education) sur trois ans pour maintenir sa comptence. Depuis fvrier 2005, lexamen du CISSP peut tre pass en langue franaise, mais ncessite toutefois de bien comprendre les concepts amricains. Les questions en anglais restent disponibles lors de lexamen. Auditware et CA sont les deux seuls centres de formation agrs en France par l(ISC)2 . Les instructeurs sont certis CISSP, accrdits par l(ISC)2 et sont bilingues franais et anglais. En juin 2004, le programme CISSP a obtenu laccrditation ISO 17024.

Retour dexprienceUn responsable de la scurit des systmes dinformation tmoigne : Je travaille dans la liale franaise dune compagnie amricaine, la certication y est fortement recommande si lon veut occuper un poste de responsable de la scurit dans le dpartement informatique. Je ne serais pas surpris que cela devienne bientt obligatoire. Javoue navoir pas russi lexamen la premire tentative, mais

30

Chapitre 6. CISSP

la langue constituait un rel obstacle du fait que les questions en franais ntaient pas disponibles lpoque. Mon management a vraiment insist pour que je persvre pour russir cette certication, et jai compris que ctait mon intrt. Cette certication ne prtend pas que ses dtenteurs sont de vritables experts trs pointus, par contre elle garantit un ensemble de connaissances indispensables pour un gnraliste confront des problmatiques de la scurit des systmes dinformation. Bien qutant responsable de la scurit dans le dpartement informatique de mon entreprise depuis 1998, la formation ncessaire la prparation de lexamen ma permis de complter mes connaissances. Je suis certi CISSP depuis 2001. La certication ma apport une reconnaissance au sein de ma compagnie. De plus, cela me permet davoir un crdit de temps et de budget pour maintenir ma certication, cest--dire lobtention de 120 heures de CPE tous les trois ans. Assister aux vnements qui permettent de maintenir la certication me permet de rencontrer des personnes qui occupent des fonctions analogues dans dautres entreprises : cest une opportunit de partages dexpriences . Un point fort de ce dispositif provient des bonnes pratiques destines aux professionnels de terrain, couvrant aussi bien les domaines techniques que lanalyse de risques et laudit des systmes, dans une optique de gouvernance des systmes dinformation. Pour paraphraser la formule des commissaires aux comptes, la certication CISSP apporte aux tiers (dirigeants, dcideurs, organisations institutionnelles, administration) lassurance raisonnable que le titulaire de la certication a fait la preuve de sa comptence dans le domaine. Un autre point fort de cette certication est la frquence de ses examens. En France, trois sessions se sont tenues au premier semestre 2008, alors quil ny a que deux sessions par an pour lobtention du CISA (Certied Information System Auditor) ou du CISM (Certied Information Security Manager). En revanche, bien que lexamen puisse se drouler en franais, la principale faiblesse de ce dispositif est la difcult de comprhension de certains concepts, due la diffrence entre les cultures amricaine et franaise.

7CMMI

Le CMMI (Capability Maturity Model Integration) se dcompose en trois recueils de bonnes pratiques pour lamlioration continue de processus et permet galement une entreprise dobtenir un diagnostic daptitude ou de maturit de ses processus. Il sagit du CMMI-DEV pour les processus de dveloppement et de maintenance de produits, le CMMI-SVC, pour les processus de service et le CMMI-ACQ pour les processus dacquisition.

Figure 7.1 Modle CMMI

32

Chapitre 7. CMMI

PrsentationLe CMMI concerne tous les processus lis aux affaires et aux projets, de lacquisition au service rendu en passant par le dveloppement et la prparation de la production en srie. Toutefois, il ne concerne pas les fonctions administratives non directement lies aux processus oprationnels comme la direction nancire. En revanche, le CMMI sintresse aux processus de support du management (fournis par la direction des ressources humaines, la direction commerciale, ou encore la direction des systmes dinformation), an de sassurer que les processus mtiers disposent bien des moyens et ressources ncessaires. Le CMMI sintresse la qualit des processus de management et dingnierie dune entreprise, et donc globalement sa maturit. Le CMMI a t organis sous forme de constellations, un ensemble de composants CMMI regroupant un modle, sa formation et sa mthode dvaluation. Il existe trois constellations : la constellation dveloppement (CMMI-DEV, dveloppement de produits

et intgration systme) dnit un rfrentiel de bonnes pratiques pour une dmarche damlioration de gestion et de ralisation des projets et dingnierie systme ; la constellation services (CMMI-SVC, services informatiques, infogrance ou tierce maintenance, mais aussi de tous services professionnels, voire personnels, non lis linformatique) dnit un rfrentiel de bonnes pratiques compatibles avec ITIL et lISO 20000 pour la fourniture dun service ; la constellation acquisition (CMMI-ACQ, externalisation, outsourcing, offshore) dnit un rfrentiel de bonnes pratiques de gestion de la relation avec le fournisseur, depuis sa slection jusquau suivi de lexcution de sa mission en passant par la rdaction des contrats et la mise en place dindicateurs permettant de dtecter les ventuelles drives. La particularit des constellations est de proposer un noyau commun. Ainsi, 16 domaines de processus sont communs toutes les constellations. On retrouve ainsi dans le modle tag : Pour le niveau 2 Disciplin : gestion des exigences, planication de projet, surveillance et contrle de projet, mesure et analyse, assurance qualit processus et produit, gestion de conguration.

Pour le niveau 3 Ajust : focalisation sur le processus organisationnel, dnition du processus organisationnel,

CMMI

33

formation organisationnelle, gestion de projet intgre, gestion des risques, analyse et prise de dcision,

Pour le niveau 4 Gr quantitativement : performance du processus organisationnel, gestion de projet quantitative.

Pour le niveau 5 En optimisation : innovation et dploiement organisationnels, analyse causale et rsolution de problmes.

Le CMMI-DEV a t publi le 25 aot 2006. Cest la constellation la plus ancienne, celle sur laquelle il y a le plus de retours dexprience. Le CMMI-DEV (Capability Maturity Model Integration) apporte une solution complte et intgre pour les activits de dveloppement et de maintenance appliques aux produits. Il concerne les pratiques qui couvrent le cycle de vie du produit, de sa conception sa livraison et sa maintenance. La cration du CMMI-DEV a t coordonne par le SEI (Software Engineering Institute) de luniversit Carnegie Mellon aux tats-Unis avec un groupe denviron 30 industriels et des reprsentants de clients. Plusieurs modles prexistants sont la source de la conception du CMMI-DEV : en matire de logiciel, le SW-CMM Capability Maturity Model for Software ; en matire de systme, le SE-CMM Systems Engineering Capability Model qui a

t produit par un groupement dindustriels sous la rfrence EIA/IS 731 ; en matire dintgration, lIPD-CMM Integrated Product Development CMM

qui na pas t nalis, mais dont la version 0.98 est cependant disponible sur le site du SEI ; en matire dacquisition, le SA-CMM Software Acquisition Capability Maturity Model. Ces modles dorigine ne sont plus aujourdhui maintenus et sont remplacs par le CMMI-DEV. De plus, la compatibilit avec lISO 15504 est assure par la prise en compte des exigences de cette norme en matire de modle dvaluation de processus. Deux reprsentations sont proposes, gure 7.2, une par niveau de maturit (tage) et une autre dite continue par prol daptitude qui assure la compatibilit avec lISO 15504. Le rfrentiel nimpose aucun indicateur particulier, mais il exige que lentreprise dnisse des indicateurs de management et de performance avec les mtriques associes.

34

Chapitre 7. CMMI

Figure 7.2 Deux reprsentations du CMMI1

DocumentationTous les documents relatifs ce dispositif sont rdigs en anglais et accessibles gratuitement sur le site du SEI : le CMMI for Acquisition (CMMI-ACQ) ; le CMMI for Acquisition (CMMI-ACQ) Primer qui dnit les bases des bonnes

pratiques dacquisition ; le CMMI for Development (CMMI-DEV) ; le CMMI for Service (CMMI-SVC) ; lARC Appraisal Requirements for CMMI qui dnit les exigences applicables une mthode dvaluation ; le SCAMPI Standard CMMI Appraisal Method for Process Improvement qui dcrit la mthode dvaluation du SEI conforme lARC et donne des indications sur la charge de travail ncessaire pour raliser les valuations.

Depuis juin 2008, la version traduction en franais du CMMI-DEV v1.2, est disponible (CMMI 1.2 - Guide des bonnes pratiques pour lamlioration des processus, 2e dition, Pearson ducation France, ISBN 978-2-7440-7304-5). Il sagit de la traduction ofcielle, approuve par le SEI. Il existe galement une traduction du CMMI-DEV en japonais et une en chinois traditionnel. Par ailleurs, des livres en franais sont publis en particulier chez Dunod, dont CMMI 1.2 Laide-mmoire Les domaines de processus du CMMI-DEV par Richard Basque publi en octobre 2008.

CMMI

35

La documentation du CMMI est juge sufsante pour le mettre en uvre. Nanmoins, une formation permet plus facilement den comprendre lesprit et donc de naviguer dans la documentation trs bien faite et complte. La documentation de la mthode dvaluation (ARC et SCAMPI) est entirement et gratuitement disponible sur le site du SEI.

Mise en uvre mi-2008, des valuations CMMI en provenance de 63 pays ont t ralises dont les rsultats ont t transmis au SEI1 . LAsie vient en tte du nombre de rsultats transmis au SEI pour enregistrement avec 1593, puis lAmrique du Nord avec 1187, ensuite lEurope avec 457, lAmrique du Sud avec 243, puis lAfrique avec 42 et enn lOcanie avec 31. En France, on compte 125 valuations se rpartissant en 4 de niveau 1, 75 de niveau 2, 38 de niveau 3, 1 de niveau 4 et 2 de niveau 5. LInde avec 158 organisations de niveau 5 est suivie par les tats-Unis qui en ont 118. mi-2008, 3 553 valuations CMMI avaient t ralises sur une priode de 76 mois dans les cinq continents dont 70 % dans des socits non amricaines. La rpartition par niveau de maturit, montre que la majorit des valuations (V1.2) se situent au niveau 4 (44 %) et 3 (32 %). Les organismes concerns sont en majorit les socits commerciales avec 73 % dvaluations, alors que les sous-traitants des marchs publics amricains en ralisent 22 % et les marchs publics amricains 5 %. Ce dploiement trs rapide du CMMI sur lensemble des pays industrialiss est suprieur celui du CMM. Outre les pays traditionnellement matures, on voit aujourdhui une vritable explosion de lutilisation du CMMI en Chine, Inde, Espagne, Argentine, Brsil et Malaisie. En France, le CMMI-DEV est utilis dans des secteurs dactivits varis tels que larospatial, les tlcommunications, les banques, les assurances, les services, lautomobile, mais aussi dans le secteur public (DGI, DGA, MAP...). Lapplication du rfrentiel ncessite un accompagnement : formation au dispositif, dnition de nouvelles pratiques, accompagnement du changement, suivi de lavancement, vrication priodique de processus, etc. Ces actions sont le plus souvent coordonnes par une quipe de support interne. La charge de mise en uvre du CMMI dpend du niveau de maturit de lentreprise au tout dbut de sa dmarche damlioration. Nanmoins, le SEI fournit des statistiques issues de lensemble des valuations qui ont t enregistres. Ces donnes facilitent le chiffrage et la planication de la dmarche. La dure de la phase de mise en uvre du CMMI-DEV est en moyenne de 18 24 mois pour lobtention du niveau 2, ainsi que pour le passage du niveau 2 au niveau 3. Lvaluation CMMI est effectue par des quipes formes la mthode dvaluation SCAMPI du SEI, et conduite par un valuateur en chef (Lead Appraiser) form et autoris par le SEI.1. Source : rapport septembre 2008 www.sei.cmu.edu/appraisal-program/prole/prole.html.

36

Chapitre 7. CMMI

Depuis le 1er janvier 2006, SCAMPI est la seule mthode dvaluation reconnue par le SEI pour tous ses modles de maturit. La limite de validit dun niveau est aujourdhui de 3 ans, on peut penser qu lavenir il faille un audit de suivi tous les ans (comme dans ISO 9001). Si on publie le rsultat dune valuation SCAMPI hors de lentreprise, le Lead Appraiser doit maintenant tre externe au primtre valu, il nest plus possible de sauto valuer et proclamer les rsultats. Le SEI a conclu un accord avec certaines socits de service pour accompagner le dploiement du CMMI par la diffusion de formations et la ralisation dvaluations : ce sont les Partenaires du SEI (SEI Partners). La liste de ces socits partenaires gure sur le site du SEI. La mise en uvre du CMMI est formellement contrle par le SEI par lintermdiaire des Partenaires du SEI et des agrments dun valuateur en chef, le Lead Appraiser. Lvaluateur en chef doit tre enregistr auprs dun partenaire du SEI, partenaire qui doit avoir la licence de distribution des produits CMMI. Les valuateurs en chef doivent galement tre autoriss par le SEI au terme dun cursus de formation et dexprience x par le SEI. Cest un agrment difcile obtenir (une quinzaine de personnes en France sont aujourdhui rfrences en tant que SCAMPI Lead Appraiser), qui cote environ 80 000 $ et qui peut demander de 2 3 ans, dlai ncessaire pour suivre les diverses formations, obtenir lexprience de mise en uvre requise et faire valider lagrment lors dun SCAMPI sous observation du SEI.Tableau 7.1 Formation des valuateurs CMMI Pour devenir Lead Appraiser, il faut : pouvoir justifier dune certaine exprience (en tre form au CMMI (Introduction to particulier, avoir particip des SCAMPI en tant que CMMI) ; membre dquipe) ; tre form la mthode dvaluation appartenir une socit Partenaires du SEI ou travailler SCAMPI par un Lead Appraiser. pour lune delles ; tre form au CMMI (formations Introduction to CMMI et Intermediate CMMI ) et la mthode dvaluation SCAMPI par le SEI ; tre observ lors de la 1re valuation ; tre accept par le SEI, suite cette observation. Pour tre autoris relativement une constellation (DEV, ACQ ou SVC), il est de plus requis davoir suivi la formation correspondante et davoir une exprience significative dans ce domaine Pour devenir valuateur, il faut :

Le programme de formation au CMMI et son modle dvaluation est trs prcisment dcrit sur le site du SEI, il est rsum dans le tableau 7.1. Il ny a pas de dlivrance de certicat par un organisme

Guide Des Certifications SI

Documents

Transcript of Guide Des Certifications SI