MAN

AGEM

ENT

des

SYST

MES

DIN

FOR

MAT

ION

Guide des

certifications si

Comparatif, analyse et tendancesITIL, CobiT, ISO 27001, eSCM...

Martine Otter, Jacqueline Sidi, Laurent Hanaud

Prface de Jean-Pierre Corniou

2e dition

CMMI 1.2Russir son parcours

avec le modle IDEALet la mthode SCAMPI

Richard Basque208 pages

Dunod, 2009

ITIL et la gestion des servicesMthodes, mise en uvre et bonnes pratiquesThierry Chamfrault, Claude Durand336 pagesDunod, 2006

Dunod, Paris, 2006, 2009

Illustration de couverture : Mountain lake Dmitry Pichugin - Fotolia.com

Toutes les marques cites dans cet ouvrage sont des marques dposes par leurs propritaires respectifs :

CGEIT, CISA,CISM,CISSP, CBK, CMMISM, CobiT, (ISC)2, ISACA, ITGI, ITIL, M_o_R, PMP, PRINCE marque dpose de I

OGC, MSP, PRINCE2, Six sigma (Six Sigma est une marque dpose de la socit Motorola, Inc), Black Belt

et Champion sont des marques de service de la socit Sigma Consultants, L.L.C. , CMM, SAS, SSE-CMM, SW-CMM, SCAMPISM, WebTrust, Systrust

et SusTrust.

ISBN 978-2-10-054182-9

Prface

Le dveloppement de la gouvernance des systmes dinformation est devenu uneexigence incontournable dans les entreprises, tant le bon fonctionnement des systmesdinformation et leur volution raisonne travers linnovation fonctionnelle ettechnologique revtent un caractre critique au cur de la performance.

Or la gouvernance impose une discipline collective fonde sur le partage doutilsdanalyse, de dcision et daction. Longtemps, la rigueur de la transparence sest arrteaux portes de linformatique pour dobscures raisons de technicit et de langage quiont soustrait les questions informatiques aux rgles de contrle courantes dans toutesles fonctions de lentreprise. Cette situation nest videmment plus acceptable. LesDSI lont compris et ont engag une vritable rupture.

La construction dune vision stratgique des relations entre la finalit de lentrepriseet les systmes dinformation est devenue une constante des proccupations des DSI.La gouvernance vise rpondre une vive demande de clarification des relations entreles acteurs, et de transparence des dcisions. Ce souci mane bien sr des directionsgnrales qui souhaitent tre rassures quant la bonne exploitation des ressourcesde lentreprise dans les technologies de linformation. Les directions utilisatrices etles informaticiens en attendent galement les conditions dun dialogue serein surlvaluation des performances et la recherche dune meilleure efficacit. Enfin, lesrgulateurs publics ont compris les enjeux de la transparence des systmes et ne cessentde hausser leur niveau dexigence.

Aussi la gouvernance des systmes dinformation est de mieux en mieux acclimateen France et les efforts conjoints du Cigref et de lAFAI runis au sein de lInstitut de lagouvernance des systmes dinformation contribuent activement en faire reconnatreles enjeux et les outils.

Toutefois, si la gouvernance des systmes dinformation est dsormais reconnuepour apporter une rponse crdible au double dfi de linnovation et de la robustesse,il faut tre capable den dployer les outils de faon efficace et accessible pour tous lesacteurs de lentreprise.

VI Guide des certifications SI

Les objectifs de la gouvernance sont clairs. Le cadre de rfrence doit permettre degarantir simultanment :

une meilleure valuation de la performance des SI, une gestion des ressources des SI plus efficace, une gestion des risques plus pertinente, une amlioration de la valeur des services de lentreprise par le biais de ses SI, une meilleure adquation des SI la stratgie de lentreprise.

Compte tenu de la diversit des mtiers de linformatique, de leurs rythmesdvolution diffrents, des degrs de maturit entre diffrents pays, il nexiste pasun cadre unique de rfrence, mais de multiples outils entre lesquels il peut paratredifficile de faire un choix pertinent, chacun ayant ses proprits, mais lensemblelaissant aussi apparatre des lacunes et des redondances.

Ce Guide des certifications rpond parfaitement cette attente : comprendre lesnormes et rfrentiels, disposer dinformations claires et prcises sur les conditionsde mise en uvre. Cest un guide, donc un document pratique et lisible, construitsous forme de fiches construites sur le mme plan : prsentation, documentation, miseen uvre, retour dexprience. Cest un outil de rfrence qui permet aux DSI, maisaussi aux directions gnrales et aux acteurs du contrle, de comprendre aisment lesobjectifs associs chaque outil travers un panorama exhaustif.

Appliquer linformatique dans lensemble de ses composantes des rgles debonne gestion et de transparence donne confiance aux acteurs de lentreprise surla pertinence des objectifs et sur ladaptation des moyens engags ces objectifs. Lagouvernance permet dapporter une rponse instrumente sur la stratgie informatique,les investissements, la qualit de service, la gestion des projets, la matrise des risques,la qualit de formation et la motivation des personnels, la politique dachats et laperformance des fournisseurs... Ce guide permet dinstaurer un dialogue fcond au seindes quipes pour proposer une politique de gouvernance qui dfinisse clairement lesobjectifs travers une slection pertinente doutils.

La gouvernance des systmes dinformation met un terme une tradition dopacitde linformatique et permet den faire une ressource connue, matrise et respecte. LeGuide des certifications SI en est dsormais un outil incontournable.

Jean-Pierre CORNIOUAncien prsident du Cigref

Directeur gnral adjoint de Sia Conseil

Table des matires

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V

Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII

Premire partie tude des dispositifs

Chapitre 1 Dispositifs de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1 Quelques dfinitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2 Choisir son dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Chapitre 2 Mta-modle danalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1 Prsentation du modle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.1 Rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.2 Contenu du rfrentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1.3 Modle dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.2 Acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.3 Prsentation des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Chapitre 3 AFITEP-CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapitre 4 AFITEP-CGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Chapitre 5 Certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

VIII Guide des certifications SI

Chapitre 6 CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Chapitre 7 CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Chapitre 8 CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Chapitre 9 EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Chapitre 10 eSCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Chapitre 11 HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Chapitre 12 ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Chapitre 13 ISO 15408 Critres Communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Chapitre 14 ISO 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Chapitre 15 ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Chapitre 16 ISO 25051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Chapitre 17 ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Chapitre 18 ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Chapitre 19 ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Chapitre 20 MSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Chapitre 21 PCIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Chapitre 22 PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Chapitre 23 PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Chapitre 24 Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapitre 25 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Chapitre 26 Six Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Table des matires IX

Chapitre 27 SSE-CMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Chapitre 28 Testeur logiciels ISTQB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Chapitre 29 TL 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Deuxime partie Analyses et perspectives

Chapitre 30 Regard sur la certification de personnes . . . . . . . . . . . . . . . . . . . . . . . . . 183

30.1 Gnralits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

30.2 Utilisabilit court terme ou employabilit par alternance ? . . . . . . . . . . . . . . . . . 184

30.3 Problmatique de langue ou de culture ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

30.4 Pour quel niveau dexpertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

30.5 Et comment optimiser cette expertise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

Chapitre 31 Regard sur le management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

31.1 Choix du dispositif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

31.2 Concurrence ou complmentarit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Chapitre 32 Regard sur la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

32.1 Scurit ou scurits ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

32.2 Produits certifis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

32.3 Scurit des systmes dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

32.4 Scurit financire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

32.5 Justification des comptences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

32.6 Risque professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

32.7 Processus et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

32.8 Organisation de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

Chapitre 33 Regard sur le service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

33.1 Certification du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

33.2 Reconnaissance et relation contractuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

X Guide des certifications SI

Chapitre 34 Regard sur le lgislatif et le rglementaire . . . . . . . . . . . . . . . . . . . . . . . 209

34.1 Catgories de textes applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

34.1.1 Rglements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

34.1.2 Normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

34.1.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

34.2 Rglementations applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

34.2.1 Ble II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

34.2.2 Solvabilit II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

34.2.3 CRBF n 97-02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

34.2.4 Rfrentiel de scurit du chque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

34.3 Quelques lois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

34.3.1 Loi informatique et liberts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

34.3.2 Loi pour la confiance dans lconomie numrique . . . . . . . . . . . . . . . . . . . . . . . . . 214

34.3.3 Loi de scurit financire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

34.3.4 Internet et droit dauteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

34.3.5 Le lgislatif amricain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Chapitre 35 Cartographies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

35.1 Positionnement des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

35.2 TickIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

35.3 Relations entre les dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

35.3.1 Influence de lISO 9001 sur les autres rfrentiels . . . . . . . . . . . . . . . . . . . . . . . . . 222

35.3.2 HAS, ISO 9001 et certification de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

35.3.3 ISO 15504 et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

35.3.4 ITIL, ISO 20000, CobiT et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

35.3.5 EFQM et ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

35.3.6 ITIL et EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

35.3.7 Rfrentiels en management de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

35.3.8 ISO 15504, CMMI, CobiT, SSE-CMM et eSCM . . . . . . . . . . . . . . . . . . . . . . . 225

35.3.9 Critres communs et ITSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

35.4 Porte des dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

Table des matires XI

Chapitre 36 Analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

36.1 Bnfices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

36.1.1 Bnfices externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

36.1.2 Bnfices internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

36.2 Charges de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

36.2.1 Charge de mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

36.2.2 Charge dvaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

36.3 Mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

36.4 Processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

36.4.1 Vision Systme de management de lISO 9000 . . . . . . . . . . . . . . . . . . . . . . . . 232

36.4.2 Vision de la HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

36.4.3 Vision Ingnierie du logiciel de lISO 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

36.4.4 Vision du SEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

36.4.5 Vision du PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

36.4.6 Vision PRINCE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

36.4.7 Vision ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

36.4.8 Vision Scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

36.4.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

36.5 Accrditation des organismes de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

36.6 Formation des auditeurs et valuateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

Chapitre 37 Gouvernance et responsabilit sociale de lentreprise . . . . . . . . . . . . . 239

37.1 Gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

37.2 mergence de la responsabilit sociale de lentreprise . . . . . . . . . . . . . . . . . . . . . . . 240

37.3 Responsabilit sociale et systme dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

37.4 Rfrentiels pour la responsabilit sociale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

37.4.1 Multiplicit des rfrentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

37.4.2 Bientt lISO 26000 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Acronymes et organismes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Rfrences bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Sites internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Avant-propos

Comment faire reconnatre la qualit de son travail pour conserver ses clients et gagner denouvelles parts de march ? , sinterrogent les entreprises et leurs collaborateurs. Cettesimple question appelle de nombreuses rponses, mais soulve de nouvelles questions :Comment choisir le dispositif de certification adapt son besoin ? Comment obteniret conserver cette reconnaissance ? Et quel investissement pour quel rsultat ? Cesquestions poses dans la premire dition du guide restent dactualit, le panoramades certifications stant depuis enrichi de nouveaux dispositifs et de nouvellesrglementations.

La certification est une procdure destine faire reconnatre par un organisme laconformit des exigences dans le but de donner confiance des tiers. Dans les annes1970, les compilateurs de langages de programmation taient certifis par rapport auxnormes les dfinissant. La certification de personnes est apparue dans les annes 1980avec celle des chefs de projet. La fin des annes 1980 et le dbut des annes 1990voient merger de nombreux dispositifs de reconnaissance dont les plus connus sontlISO 9001, le prix qualit EFQM et le CMM.

Quil sagisse de certifier un systme de management, des personnes, un produit fini,un processus de production ou des services, le choix dun systme de reconnaissancenest pas simple. Pour y rpondre, nous avons tudi 27 dispositifs de reconnaissanceutiliss en France, afin den tirer des analyses et des tendances.

Le paysage foisonnant de la certification applique au domaine des systmesdinformation en France sest enrichi et complexifi depuis la parution de la premiredition de ce guide, parue en 2006. Notre ambition, dans cette deuxime dition,est den prsenter un panorama actualis et complt, mais restant volontairementsynthtique.

Motivs par le dveloppement durable, la bonne gouvernance ou lexcellence, tousles responsables soucieux de lefficience et de la reconnaissance de leur entreprisetrouveront ici des points de repre pour sorienter sereinement dans le labyrinthedes rfrentiels. Cette tude sadresse principalement aux responsables de systmesdinformation, de systmes de management de la qualit ou de systmes de mana-gement de la scurit. Les directeurs des ressources humaines et les responsables de

XIV Guide des certifications SI

formation scolaire, universitaire ou professionnelle seront intresss par les aspects decertification de personnes. Enfin, les consultants y trouveront un large panorama dedispositifs sur lesquels ils pourront appuyer leurs recommandations.

Nous nous sommes concentrs sur des dispositifs applicables lensemble dessecteurs dactivit ou quelques secteurs spcifiques couvrant les domaines desentreprises, des services, des produits et des personnes. Comme lexhaustivit estimpossible, compte tenu de lexplosion du nombre de dispositifs, nous avons retenuceux dentre eux qui avaient dj une certaine notorit ainsi que ceux qui, notreavis, allaient obtenir une renomme significative dans les toutes prochaines annes.Enfin, nous avons analys plus finement les dispositifs qui :

peuvent avoir un impact dans le domaine des systmes dinformation, sanstoutefois obligatoirement sy limiter ;

donnent en France lieu une reconnaissance du niveau atteint ; peuvent tre utiliss dans le cadre dun plan de progrs.

Les dispositifs sont dcrits laide de fiches standardises. Ces fiches sont classesselon lordre alphabtique du nom du dispositif.

Ces dispositifs, dcrits dans la premire partie, sont :

la certification en direction de projet de lAFITEP (chapitre 3) ; la certification en gestion de projet de lAFITEP (chapitre 4) ; la certification de services (chapitre 5) ; la certification de personnes CISSP, applicable aux experts en scurit (cha-

pitre 6) ; lvaluation CMMI qui concerne tous les processus dingnierie du logiciel et

des systmes (chapitre 7) ; la dmarche CobiT qui concerne la gouvernance des systmes dinformation,

avec les certifications de personnes CISA et CISM (chapitre 8) ; la reconnaissance de lexcellence avec en particulier le prix europen de la

qualit EFQM (chapitre 9) ; la certification eSCM, compose du volet eSCM-SP qui sadresse aux fournis-

seurs de services et du volet eSCM-CL qui formule les exigences ct client(chapitre 10) ;

la certification HAS spcifique aux tablissements de sant franais (cha-pitre 11) ;

la certification ISO 9001 pour les systmes de management de la qualit(chapitre 12) ;

lvaluation de la scurit des technologies de linformation selon lISO 15408,plus gnralement dsigne sous lappellation Critres communs (chapitre 13) ;

lvaluation de processus partir de la norme ISO 15504 (chapitre 14) ; la certification ISO 20000 en matire de gestion de services (chapitre 15) ; la certification de progiciels sur la base de la norme ISO 25051, anciennement

ISO 12119 (chapitre 16) ;

Avant-propos XV

la certification ISO 27001 relative au systme de management de la scurit(chapitre 17) ;

la certification ITIL pour les managers de services informatiques (chapitre 18) ; lvaluation ITSEC sur la scurit des systmes informatiques (chapitre 19) ; la certification MSP pour les directeurs de programme (chapitre 20) ; la certification PCIE sur les comptences bureautiques (chapitre 21) ; les certifications issues du PMBOK pour les directeurs de programme, chefs de

projet et leurs assistants (chapitre 22) ; la certification PRINCE2 pour les chefs de projet (chapitre 23) ; la conformit aux exigences de la loi Sarbanes-Oxley relative au reporting

financier des entreprises (chapitre 24) ; lvaluation SAS 70 pour le contrle interne des services (chapitre 25) ; la certification des acteurs Six Sigma pour la matrise des processus (cha-

pitre 26) ; lvaluation SSE-CMM du processus dingnierie de la scurit (chapitre 27) ; la certification de Testeur de logiciels, ISTQB, pour les professionnels de

lingnierie du logiciel (chapitre 28) ; la certification TL 9000, complment lISO 9001 spcifique au secteur des

tlcommunications (chapitre 29).

Les fiches relatives lvaluation SW-CMM qui est remplace par CMMI, Trillium qui est obsolte et TickIT qui est peu utilise ont t supprimes. Nousavons, en revanche, introduit la certification MSP, complt le dispositif eSCM etintroduit Tickit Plus dans les cartographies du chapitre 35.

Chaque fiche descriptive suit un plan en quatre points : prsentation, documenta-tion, mise en uvre, retour dexprience. Le lecteur trouvera ici les moyens desapproprier les systmes de reconnaissance existants, puis de btir le sien, spcifiqueau contexte particulier de son march ou de son entreprise, en intgrant ses objectifsstratgiques et en respectant son systme de valeur.

La seconde partie analyse les informations recueillies. Elle fournit ainsi des regardsspcifiques sur la certification de personnes, le management de projet, la scurit,le service ainsi que le lgislatif. Nous poursuivons par des cartographies et desanalyses dtailles. Nous concluons en tudiant les impacts de la gouvernance etde la responsabilit sociale de lentreprise sur les dispositifs de certification.

Les acronymes et les organismes cits, les rfrences bibliographiques, ainsi quuneliste de sites Internet et un index concluent ce Guide des certifications SI.

lexception des normes, tous les documents cits en italique dans le texte sontrepris dans les rfrences bibliographiques.

XVI Guide des certifications SI

Remerciements

Ce guide naurait pas exist sans la contribution des experts des diffrents dispositifs.Cest pourquoi les auteurs tiennent remercier tous ceux qui ont consacr unepartie de leur temps pour assurer la qualit et lexactitude du contenu, quil sagissede contributeurs, de personnes qui nous ont fait partager leur exprience ou dere-lecteurs :

Franois BAUDRAZ de FBA Conseil ; Christophe BEUCHARD de Kereval ;Hendrik CEULEMANS dInfogovernance ; Thierry CHAMFRAULT ditSMF France ;Anne COAT de SEKOIA ; Didier COGNET de Capgemini Sud ; Philippe CROIX dePeregrine Systems ; Alain DONJON de Capgemini Consulting ; Georgette DUBAINde Thales ; Alain FEREY dIBM Global Services ; Frdric FRADET de JohnsonControls Automotive Electronics ; Patrick GEAI du Groupe La Poste ; Allan GEEKIEde Capgemini UK ; ric GLACE de Telindus ; John HIGHAM de Pmguru ; BernardHOMS du Comit franais des tests de logiciels ; Pierre JOURDAN de Catalog-e-til ;Mathilde LAMBERT de QRP Management Methods International ; Robert LEMAYde Numeral Advance ; Martine MINY de lAFITEP ; Dominique MOISAND dASKConseil et dAFAI ; Antoine NARDZE dAlcyonix France ; Sophie ROBERT deBNP Paribas Personal Finance ; Francis RONEZ dAxios Systems ; Jean-ChristopheROUZOUL de Sopra Group ; Bruno RUBY de Bouygues Telecom ; Kamel SEHRI deSELESTA ; Jean-Martin SIMON de Qualium ; Olivier TEITGEN dAFNOR ; GillesTROUESSIN dOppida ; Marc VANDENBERGHE de Belgacom.

Des membres dADELI ont activement particip la relecture de ce guide :Dominique BERGEROT, Alain COULON et Jacky VATHONNE quils en soientremercis.

PREMIRE PARTIE

tudedes dispositifs

Comment faire reconnatre la qualit de nos produits et services , sinterrogent lesentreprises.

Comment faire reconnatre la qualit de notre travail , renchrissent leurs collabo-rateurs.

Dans lventail des dispositifs de reconnaissance, anciens, rcents, mergents,comment choisir celui qui sera le plus appropri son contexte ?

Tout dabord, il convenait de dfinir ce quest un dispositif de reconnaissance.

Ensuite, face au nombre de dispositifs existants et leur complexit, nous avons drenoncer lexhaustivit et slectionner les dispositifs dcrire rpondant aux besoinsdu march franais.

Dernier volet de notre mthodologie, la description de chaque dispositif slec-tionn a fait lobjet dun plan-type, nous permettant de nous livrer ensuite desanalyses comparatives.

Dispositifsde reconnaissance

1

Comment choisir un dispositif de certification ? En fait, il sagit non pas de choisirle dispositif unique miracle, mais plutt de slectionner un ensemble de dispositifscomplmentaires rpondant chacun un besoin spcifique.

Ainsi, la rponse cette question viendra naturellement de lanalyse dtaille desdiffrents dispositifs. Mais avant daller plus loin, il nous a sembl ncessaire de dfinirla terminologie utilise.

1.1 QUELQUES DFINITIONS

Dispositif

Nous avons utilis le terme dispositif dans lavant-propos, mais de quoi sagit-ilexactement ?

Pour illustrer cette notion, prenons lexemple dun skipper. Pour participer unecourse en mer, il doit runir plusieurs lments :

le code de navigation en mer et le descriptif du droulement de la course : nousappelons cela le rfrentiel ;

son bateau ainsi que tous les lments ncessaires la course et sa survie enmer : ce sont les outils ;

le rglement de la course qui dfinit les rgles dattribution des trophes : cestle modle dvaluation.

4 Chapitre 1. Dispositifs de reconnaissance

Lensemble de ces trois lments constitue le dispositif. Le descriptif du droule-ment de la course peut tre inclus dans son rglement, alors que le code de navigationen mer ne lest pas. On peut ainsi avoir des ensembles disjoints.

Dans le contexte de cet ouvrage, le terme dispositif dsigne globalement lensembledes lments associs au couple : rfrentiel modle dvaluation (figure 1.1). Nousparlerons par exemple du dispositif de certification ISO 9001 qui comprend lanorme ISO 9001 comme rfrentiel, laudit comme type dvaluation et les normescomplmentaires ISO 9000 et ISO 90003 comme outils. Selon les dispositifs, lemodle dvaluation peut faire partie du rfrentiel en totalit, partiellement, ouencore lui tre compltement externe.

Figure 1.1 Dispositif de reconnaissance

Le rfrentiel est un document dexigences ou de recommandations que lentreprisea retenu, puis ventuellement adapt pour rpondre ses besoins stratgiques ; il peutsagir dun document dorigine externe (par exemple ISO 9001) ou interne (rfrentielde certification de services rdig par lentreprise pour ses besoins). Les exigencescontenues dans le rfrentiel servent de base aux oprations dvaluation conduisant une reconnaissance.

Le modle sert lvaluation et, pour viter toute ambigut, nous utiliseronslexpression modle dvaluation. Modle dvaluation et rfrentiel sont intimementlis puisque lvaluation se fait par rapport un rfrentiel donn.

Audit valuation

notre connaissance, aucune dfinition claire de lvaluation ne permet de faireune distinction formelle entre ces deux termes. Le rsultat dun audit, comme celuidun examen, est binaire (conformit ou non-conformit, diplme attribu ou non).Celui dune valuation peut se prsenter sous la forme dune mesure sur une chelledfinie, par exemple dans le cas de lutilisation dun modle daptitude reprsentationcontinue comme dans le CMMI ou lISO 15504.

1.2 Choisir son dispositif 5

Il existe trois sortes daudits :

laudit tierce partie ralis par un organisme indpendant de celui qui est valu,par exemple laudit de certification dans le cadre dune dmarche ISO 9001 ouISO 14001 ;

laudit seconde partie ralis par un client ou sa demande, pour valuer sonfournisseur ;

laudit premire partie, ou auto-valuation, ralis par lentreprise ; il sagit alorsdune auto-dclaration ce cas nest pas trait dans louvrage bien que la miseen uvre de tout dispositif devrait commencer par une auto-valuation commecela est recommand dans le fascicule FD X50-186 Lignes directrices pour lamise en place dun processus dauto-valuation1.

Reconnaissance

La reconnaissance peut prendre diffrentes formes telles quun certificat de conformit un rfrentiel, un diplme, un prix, un diagnostic, un label, une autorisationdexercer.

Cette reconnaissance peut tre obtenue de diffrentes faons :

de manire binaire et exclusive, tout ou rien, avoir ou non une attestation ; par un positionnement sur une chelle de valeurs, par exemple un nombre de

points obtenus sur un questionnaire dvaluation de type prix qualit, un profilde comptence comme les niveaux daptitude.

Attestation

Le terme attestation est gnrique. Il dsigne indiffremment un certificat, une marque,un diagnostic daptitude ou de maturit, un prix ou simplement un rapport.

1.2 CHOISIR SON DISPOSITIF

Dans un souci defficacit, les entreprises cherchent affiner leur choix de dispositifsavant de les intgrer dans leurs diffrents systmes de management. Pour comprendrece mouvement, nous avons tudi les dispositifs de reconnaissance, accessibles auxentreprises et aux individus, en nous proccupant de leur complmentarit et de leursinteractions.

Selon que nous nous intressons au produit, au service, au processus, uneentreprise ou une personne, il faut choisir le dispositif qui rpond le mieux nosbesoins actuels sans pnaliser nos besoins futurs. En la matire, le dispositif idalserait lattestation qui nous ouvrirait toutes les portes, rpondrait tous nos besoins

1. lexception des normes, tous les documents cits en italique dans le texte sont repris dans lesrfrences bibliographiques.

6 Chapitre 1. Dispositifs de reconnaissance

en matire de qualit, de scurit, denvironnement. Quelles solutions pouvons-nousenvisager ?

En fait, il y a lembarras du choix. Cest en se posant les bonnes questionsquune solution va sesquisser dautant plus facilement quil ny a pas vraimentdincompatibilit entre les diffrents dispositifs, mais seulement la ncessit dunajustement et dune homognisation. Il faut donc dfinir son besoin rel, sagit-il :

dentreprendre une dmarche damlioration purement interne ? de rassurer ses clients et ses actionnaires ? Dans ce cas, lobjectivit dun

organisme tiers est-elle ncessaire ? de convaincre un client spcifique dans sa dmarche de slection de fournis-

seurs ? de se mettre en conformit avec une rglementation ? dvaluer lentreprise, le personnel, les produits ou les services ?

Mta-modle danalyse

2

2.1 PRSENTATION DU MODLE

La comparaison des dispositifs de reconnaissance ncessite une clarification desconcepts. La dfinition dun mta-modle permet dordonner les diffrentes notions.En effet, au-del dun simple exercice de style, la modlisation, en imposant descontraintes formelles, soulve des questions que lon ne peut luder.

Lorsquon souhaite modliser les dispositifs de reconnaissance, une premirequestion se pose : de quoi parlons-nous ?

Nous avons tent de modliser le systme complet avec ses multiples acteurs etleurs inter-relations complexes. Dans la figure 2.1, nous prsentons le mta-modleissu de cette rflexion. Comme tout modle, le rsultat est fonction des objectifschoisis et peut justement servir de base des discussions fructueuses entre experts et la production de variantes.

Nous commenterons ce schma en prenant comme exemple le dispositif dereconnaissance le plus rpandu, celui de la certification des systmes de managementde la qualit : lISO 9001.

8 Chapitre 2. Mta-modle danalyse

Figure 2.1 Mta-modle

2.1.1 Rfrentiel

Au cur du dispositif de reconnaissance, nous trouvons un texte ou un ensemble detextes fondateurs que nous dsignerons par le terme de rfrentiel. Il peut sagir detextes normatifs ou lgislatifs aussi bien que de textes dorigine prive issus du mondeindustriel. Cet ensemble de documents peut tre caractris par un nom, une version,une date de cration.

Dans le cas du dispositif ISO 9001, il sagit de la norme ISO 9001, version 2000,publie en dcembre 2000. Faisant fi des diffrences dinterprtation dues soit latraduction, soit ladaptation un secteur dactivit ou un pays particulier, nousreconnaissons lISO 9001 une existence universelle.

Le rfrentiel peut tre li dautres documents qui lui servent de guide dappli-cation pour un domaine plus ou moins restreint. Le texte fondateur lui-mme estgnralement assez concis et peut ncessiter des interprtations. Ainsi, la lecturede la norme ISO 9001 nest possible que prcde ou accompagne de celle delISO 9000 qui apporte les principes et les dfinitions utiles sa comprhension.Dans la recherche de lamlioration des performances, nous nous inspirons des bonnespratiques recommandes dans lISO 9004 ou de celles dun standard sectoriel mieuxadapt notre mtier, tel que lISO 90003.

Lorsque le rfrentiel est lui-mme un texte lgislatif, il faudra le lire la lumirede la jurisprudence issue de son application.

Parmi les autres caractristiques du rfrentiel, nous avons not sa langue et lesdomaines dactivits auquel il se rapporte : le rfrentiel peut tre rdig en une ouplusieurs langues et sappliquer un ou plusieurs domaines dactivits. Ainsi lISO 9001

2.1 Prsentation du modle 9

est un rfrentiel gnrique qui peut tre mis en uvre dans tous les domaines. Dautresrfrentiels concernent des domaines particuliers dont les limites sont plus ou moinsbien dfinies.

2.1.2 Contenu du rfrentiel

Ce qui fonde le rfrentiel en tant que tel, cest son contenu. Pour simplifier, nousavons considr quun rfrentiel se composait dun ensemble de rgles qui peuventtre soit des exigences, soit des recommandations.

On distingue ces deux catgories en fonction du verbe utilis dans le document : lorganisme doit de lISO 9001 soppose au il convient que de lISO 9004.LISO 9001 spcifie des exigences et lISO 9004 les complte par des recommandations.Seul le respect des exigences est vrifi lors de laudit qui conditionne la certification.

Les exigences et les recommandations sappliquent un lment qui peut treune personne, un produit ou une activit mene au sein dune entit qui peut treune entreprise ou seulement une de ses parties. Chacun de ces lments, tels quela personne, le produit ou lactivit, peut ventuellement se dcomposer en sous-lments auxquels sappliquent des rgles particulires. La personne ne se dcomposantpas physiquement, les rgles portent sur les diffrents rles quelle peut jouer danslentreprise. Mme lorsquil sagit dune orientation concernant la personne, le produitou lactivit, un rfrentiel peut combiner ces diffrents types dexigences.

Pour reprendre notre exemple, les exigences de lISO 9001 sappliquent au systmede management de la qualit de lentreprise dans sa globalit. Prises individuellement,les exigences peuvent ne concerner que certains processus ou activits, tels laconception ou les achats. Dautres exigences sappliquent directement le produit :les lments de sortie doivent vrifier certaines conditions, le produit doit treprserv. Dautres enfin sont relatives aux personnes qui doivent avoir les comptencesncessaires la ralisation des tches qui leur sont affectes.

2.1.3 Modle dvaluation

Pour devenir dispositif de reconnaissance, le rfrentiel doit tre accompagn dunmodle dvaluation qui indique la faon dont le rfrentiel est pris en compte dansun processus dvaluation et qui en prcise les rgles.

Un rfrentiel donn peut tre utilis avec diffrents modles dvaluation, tel leSSE-CMM qui peut, suivant le contexte, tre employ avec le modle dvaluationdfini dans lISO 15504 ou avec le SCAMPI.

Mme un modle dvaluation peut tre associ diffrents rfrentiels, comme leSCAMPI utilis avec le SW-CMM, le CMMI ou le SSE-CMM.

Le modle dvaluation peut se prsenter sous diffrentes formes : audit, diagnostic,valuation ou examen suivant le type dorganisation retenue.

10 Chapitre 2. Mta-modle danalyse

2.2 ACTEURS

Le nombre de types dacteurs impliqus dans le systme de reconnaissance de la qualitest important.

Tout dabord, au cur du systme, nous trouvons deux acteurs. Selon le dispositif,il sagit de personnes morales ou physiques. Le premier acteur choisit et applique unrfrentiel. Ce rfrentiel comporte un modle dvaluation qui donne confiance ausecond acteur, le client. Il y a deux choix effectuer : le choix des exigences qui vonttre appliques (le rfrentiel) et le choix du modle dvaluation.

Lentreprise doit ensuite faire le choix dun troisime acteur : lorganisme decertification. Par exemple pour lISO 9001, il en existe plusieurs qui sont thorique-ment quivalents bien que concurrents. Dans le cas des certifications de personnes,lindividu choisit la fois le rfrentiel dexigences et le modle dvaluation, dans uncadre strict impos par son employeur ou dans une dmarche personnelle de gestionde son parcours professionnel pour amliorer son niveau demployabilit.

Parmi les acteurs du systme de reconnaissance, nous trouvons galement lepropritaire du rfrentiel, son distributeur par exemple AFNOR en France pourles normes ISO, le formateur qui transmet la connaissance, le contrleur, lorganismequi attribue lattestation, lorganisme accrditeur, sans oublier les consultants et lesentreprises de conseil.

Le propritaire du rfrentiel, gnralement son crateur, est parfois un organismede normalisation tel que lISO, mais il peut aussi sagir dune entreprise dans le cas dunrfrentiel de services, dun institut universitaire comme le SEI ou dune associationprofessionnelle comme lIPMA.

Le contrleur qui vrifie lapplication des exigences peut tre un auditeur, unvaluateur ou un examinateur.

La personne morale ou physique, gnralement un organisme de certificationattribue lattestation au vu du rapport dvaluation ; il peut tre ou non accrdit.

Lorganisme accrditeur est garant de la valeur de lattestation accorde en donnantson label lorganisme de certification. Souvent national, cet organisme permet, par lejeu daccords de reconnaissance mutuelle, de faire bnficier les organismes accrditsdune porte internationale.

2.3 PRSENTATION DES DISPOSITIFS

Les particularits des dispositifs tudis apparatront la lumire de ce mta-modle.Ainsi nous remarquerons lexistence de dispositifs sans rfrentiel en matire demanagement de projet, ainsi que des liens multiples entre dispositifs : par exempleentre ITIL et ISO 20000, ou encore entre CobiT, SAS 70 et Sarbanes-Oxley.

Dans la suite de cet ouvrage, la prsentation de chaque dispositif est introduite parun schma simplifi (figure 2.2) qui synthtise les principaux lments. gauche durfrentiel, cur du dispositif, nous trouverons des lments directement descriptifs.

2.3 Prsentation des dispositifs 11

Dabord le secteur conomique de lentreprise ou de lindividu qui utilise lerfrentiel lorsquil ne sapplique que de manire sectorielle. Si le rfrentiel estdapplication gnrique, ce champ indiquera Tous secteurs.

Le propritaire du rfrentiel peut tre un organisme de normalisation tel queAFNOR, ISO, IEEE ou BSI. Il peut sagir aussi dune association, dun organisme privou gouvernemental, comme lAFITEP, le SEI, lOGC. La diffusion du rfrentiel esteffectue soit directement par son propritaire, soit par des intermdiaires spcialissou des librairies techniques.

La porte du rfrentiel indique la nature des rgles quil contient et dont lesmentions peuvent tre les suivantes : le produit, lactivit ou les personnes. Certainsrfrentiels ne sintressent quau produit, dautres uniquement lactivit et les plusexigeants possdent les trois types de rgles.

En fonction du type de reconnaissance, le rfrentiel peut servir une auto-valuation, une valuation tierce partie qui conduira une certification ou unevaluation seconde partie entre un client et un fournisseur indpendamment delexistence dun contrat.

Au-dessus du nom du rfrentiel, figure lindication de son domaine dapplication.Il peut sagir, suivant le cas, de management de projet, de qualit, de scurit dessystmes dinformation, de processus de systmes dinformation, de processus logiciel,dingnierie du logiciel, dingnierie systme, de production informatique, de dvelop-pement et scurit de systme informatis, de poste de travail informatique, de scuritdes informations financires, ou encore de services sous-traits. Mme, et surtout sicertains de ces termes semblent synonymes premire vue, cette numration estrvlatrice des points de vue complmentaires adopts par les diffrents dispositifs.

Figure 2.2 Schma standard de prsentation dun dispositif

Sur la figure 2.2, droite du rfrentiel, se trouvent les lments descriptifs duprocessus dvaluation.

12 Chapitre 2. Mta-modle danalyse

Tout dabord lobjet de la reconnaissance. Ce peut tre une personne physiquereconnue pour ses capacits, connaissances et exprience dans un certain domaine.Ce peut tre une personne morale reconnue suivant le cas pour :

la mise en uvre dun systme de management de la qualit, dun systme demanagement de la scurit, dun service, dun ou plusieurs processus ;

la conformit ou le niveau de scurit dun produit ou dun systme ; ses dispositifs de contrle interne.

Le type de reconnaissance peut tre une certification, un diagnostic daptitude oude maturit, un prix ou un simple rapport qui a une dure de validit dfinie ou non.

Le type dvaluation peut correspondre un examen pass en franais ou en anglais,associ ou non une valuation dexprience, un audit seconde ou tierce partie ouencore une auto-valuation.

Une valuation peut dboucher sur un ou diffrents niveaux dattestation dont laslection se fait, soit en amont de lvaluation lors du dpt de dossier, soit en avalen fonction du rsultat obtenu. Le dispositif peut avoir une porte qui est souventinternationale, mais peut tre limite la France ou lEurope.

Enfin, la mthode dvaluation et son propritaire sont indiqus lorsque cesinformations sont dfinies.

Sans reprendre la totalit des informations prsentes sur le mta-modle, le schmasimplifi de la figure 2.2 offre ainsi une vue suffisamment complte du dispositif.

AFITEP-CDP

3

Le dispositif AFITEP-CDP permet une personne physique dobtenir une certificationen matire de management de projet.

Figure 3.1 Dispositif CDP de lAFITEP

Prsentation

La Certification en direction de projet (CDP) a pour objet de faire reconnatre unecomptence de type managrial fonde sur une exprience danimation dquipe etdarbitrage dans le but de mener son terme un projet : cest--dire une opration

14 Chapitre 3. AFITEP-CDP

caractre spcifique et unique dont les objectifs, la dure et le cot sont pralablementdfinis.

Cette certification est ralise par lAssociation francophone de management deprojet (AFITEP), reprsentant officiel de lIPMA (International Project ManagementAssociation) en France. En 1985, lIPMA a dvelopp un programme de certificationinternational quatre niveaux. Ses membres sont des associations nationales quiappliquent le dispositif de lIPMA dans leur pays respectif avec leur langue.

Les rgles de lIPMA sont nonces dans lIPMA Competence Baseline (GuideIPMA de comptences). Leur application seffectue dans chaque pays par la forma-lisation dun guide national de comptences. En France, il sagit du Rfrentiel decomptences en management de projet de lAFITEP.

Ce rfrentiel dcrit les connaissances, lexprience et le comportement attendusdes chefs de projet. Il reprend lensemble des lments dcrits dans lIPMA CompetenceBaseline pour valuer les comptences en management de projet. La version 2006,troisime version du rfrentiel, a t remanie dans sa structure et comporte46 lments, rpartis en trois domaines :

les comptences techniques (20 lments) les comptences contextuelles (11 lments) les comptences comportementales (15 lments)

Le management de projet consiste planifier, organiser, suivre et matriser tous lesaspects dun projet. Le cycle de dveloppement du projet peut diffrer selon la branchedactivit et le type de projet.

Des mtriques sont dfinies dans llment de connaissances Mesure des perfor-mances du Rfrentiel de comptences en management de projet. Le calcul et lvaluationde lavancement du projet reposent sur lanalyse de la valeur acquise.

Documentation

Le Rfrentiel de comptences en management de projet est librement tlchargeable sur lesite de lAFITEP ainsi que dautres documents comme un formulaire dauto-valuationet de positionnement, des notes explicatives, etc.

La version 2006 de lIPMA Competence Baseline est rdige en anglais. LAFITEPla traduite en franais et enrichie en particulier des rfrences normatives franaises(cf. corpus normatif AFNOR en management de projet) dans la version disponibleen 2009 de son rfrentiel. Ces deux rfrentiels sont librement tlchargeablesrespectivement sur le site de lIPMA ou sur celui de lAFITEP.

Mise en uvre

LIPMA fdre 45 associations nationales travers le monde, ce qui reprsente plus de25 000 membres. la fin de lanne 2007, environ 73 000 personnes avaient obtenuun certificat. On note une forte croissance du nombre de certifis depuis 2002. Laprvision pour 2008 est denviron 88 000 certifis dans le monde.

AFITEP-CDP 15

LIPMA a tabli des accords de coopration avec lICEC (International CostEngineering Council), lAIPM (Australian Institute of Project Management) et le PMI(Project Management Institute).

LAFITEP dispose dune vingtaine de centres dexamens en France et ltranger(Maroc, mirats Arabes Unis, Algrie). Il y a quatre sessions programmes par an pourle premier niveau (niveau D) de lIPMA ; les dates des sessions de certification deniveaux C, B et A sont dfinies en fonction des besoins.

LIPMA accorde une trs haute priorit aux aptitudes personnelles ncessaires lafonction de chef de projet dans lvaluation des individus pour leur accorder la certification Cest pourquoi, le dispositif propose un systme dvaluation du comportement despersonnes.

Ce programme, dcrit dans la figure 3.2, a t conu pour valuer non seulementle savoir, le savoir-faire et lexprience du candidat, mais galement son savoir-tre.

Figure 3.2 Certification IPMASource : rfrentiel de comptences en management de projet de lAFITEP.

Ce rfrentiel est unique : il sert indiffremment la certification des quatreniveaux de lIPMA ; cest pourquoi, en plus des critres dvaluation, on y trouve lesvaleurs cibles attendues pour chaque critre et chaque niveau. Les critres portentsur les lments suivants :

capacits gnrales ; principes du management de projet ; comptences organisationnelles et sociales ; mthodes et procdures ; management gnral ; comportement personnel et limpression gnrale donne par le candidat.

16 Chapitre 3. AFITEP-CDP

Ce sont des experts en management de projet qui valuent les candidats. Cesvaluateurs ont eux-mmes un niveau de certification au moins gal celui auquelpostule le candidat et, parmi eux, il y a toujours un expert du secteur dactivitdu candidat. Lentretien individuel tient une grande importance dans la dcisiondattribution ou non du certificat.

La certification AFITEP-CDP est accorde pour une priode de cinq ans suscep-tible dtre proroge sur dossier.

La commission de certification de lAFITEP accepte le PMP (Project ManagementProfessional) du PMI comme quivalence du niveau D de lIPMA.

Retour dexprience

Martine MINY, prsidente de lAFITEP, dclare :

De plus en plus dentreprises choisissent la Certification en Direction de Projet,dune part parce quelle est personnalise au contexte local, dautre part, parce quelleest reconnue au niveau international dans plus de 45 pays (dont la Chine, lIndeet la Russie), enfin parce quelle permet dvaluer les comptences du candidat auregard de la complexit des projets mens. Les entreprises apprcient le fait que lerfrentiel soit structurant pour les comptences, mais nimpose aucune exigenceen matire de modes opratoires ou dorganisation. La certification de comptencesindividuelles en direction de projet devient donc un lment cl de la reconnaissancedu professionnalisme des chefs de projet. Cest aussi un vecteur damlioration duniveau de maturit du management de projet dans les organismes, la capacit mener bien les projets tant aujourdhui indispensable la prennit des entreprises.Le candidat a, par ailleurs, la possibilit dadhrer lAFITEP et de participer ainsi une communaut de chefs de projet qui publie une revue, organise des runions etdes confrences et lui apporte ainsi une actualisation rgulire de ses connaissances .

Grce son processus daccrditation, ce dispositif sadapte trs bien aux environ-nements culturels nationaux tout en maintenant une cohrence globale au niveauinternational. Il permet la reconnaissance dun certificat national dans 45 pays.

Un des atouts de ce dispositif pour lemployeur est constitu par le modledvaluation ; il ne se limite pas aux connaissances en management de projet, maisvalue aussi les comptences et la dimension comportementale.

Pour le candidat, la certification par niveau lui permet de se situer en fonction dela responsabilit quil exerce.

En revanche, le rfrentiel ne peut tre utilis par le candidat comme un recueilde bonnes pratiques : il sagit plutt dune grille danalyse de comptences. Toutefois,il peut servir doutil pour les responsables de ressources humaines, afin dvaluerun candidat lors dun recrutement ou servir aux chefs de projets pour dtecter despotentiels en interne.

AFITEP-CGP

4

Le dispositif AFITEP-CGP permet une personne physique dobtenir une certificationen matire de management de projet.

Figure 4.1 Dispositif CGP de lAFITEP

Prsentation

Lobjectif de la Certification en gestion de projet (CGP) est dapporter lassurance queles titulaires sont des professionnels qualifis en matrise de projet et en particulier

18 Chapitre 4. AFITEP-CGP

dans les domaines de lestimation, de la cotenance (ingnierie des cots) et de laplanification.

Coordonne par lICEC (International Cost Engineering Council), cette certificationexiste dans 43 pays. Elle prsente une particularit : lICEC ne disposant pas deson programme de certification, elle encourage le dveloppement de programmes decertification et de coopration entre les organisations membres. Ses membres sont desassociations qui doivent rpondre des critres dacceptation pour tre accrdites ;ces critres sont documents dans un guide dfinissant les exigences du processusdaccrditation.

Il nexiste donc pas de rfrentiel unique. Chaque association dveloppe sonrfrentiel en conformit avec les standards et normes en vigueur dans son pays et ledclare lICEC qui ne fait que le reconnatre.

LICEC a galement conclu des protocoles daccord avec diffrents organismesdont lIPMA (International Project Management Association).

En France, lICEC est reprsente par lAssociation francophone de managementde projet (AFITEP) sur la base du rfrentiel FD X50-107 Management de projet Certification du personnel en matrise de projet. Ce document dfinit les comptencesrequises par les candidats et dtaille dans son annexe les thmes couverts par cettecertification :

connaissances gnrales ; connaissances en planification oprationnelle ; connaissances en valuation et en estimation ; connaissances en matrise des cots (ou cotenance).

Documentation

Disponible auprs dAFNOR, le rfrentiel FD X50-107 sappuie sur lensemble desdocuments AFNOR de la srie X50 et en particulier les FD X50-115 (management deprojet-prsentation gnrale), 118 (recommandations pour le management dun projet), 137(management des dlais) et 138 (management des cots).

De plus, en France, lAFITEP publie des ouvrages de rfrence sur le managementde projet sous la forme de documents de synthse ou de revue.

Mise en uvre

Toute personne titulaire de la CGP obtient ipso facto le certificat international delICEC reconnu dans 46 pays. et dtenu par 30 000 membres.

Il existe une vingtaine de centres dexamens en France et ltranger (Maroc,mirats Arabes Unis, Algrie). Le calendrier des sessions dexamens est dfini annuel-lement et est disponible sur le site web de lAFITEP. Les dates des soutenances demmoire sont dfinies en fonction des besoins.

Pour se prsenter la certification CGP, le prrequis est lobtention du certificatAssistant de Projet Certifi (IPMA niveau D) qui atteste de connaissances gnrales surles projets.

AFITEP-CGP 19

Dlivres sans limitation de dure, viennent ensuite trois qualifications de spcia-lit :

la qualification en planification ; la qualification en cotenance ; la qualification en estimation.

Ensuite, le candidat prsente un mmoire sur un sujet de son choix relatif sonexprience en gestion de projet quil soutient devant un jury de professionnels. Si lemmoire est accept et si le candidat est ligible (il faut justifier de trois sept ansdexprience en fonction du niveau de formation aprs le bac), la CGP est accordepour une priode de cinq ans susceptible dtre proroge sur dossier.

Retour dexprience

Martine MINY, prsidente de lAFITEP, apporte sa vision :

Lobtention de la CGP donne au candidat la reconnaissance dune spcialisationdans trois domaines et celle dun mtier. Cette certification prend tout son sens aveclimportance croissante de la fonction de Project Management Office (un bureau desprojets qui assure le support, le suivi et un contrle gnral dun ensemble de projets).Elle devient le garant de la qualit des projets et de lapplication des bonnes pratiqueset mthodes de chaque entreprise .

Tout comme pour lIPMA, la force de lICEC rside dans le fait que le modledvaluation ne se rfre pas uniquement aux connaissances en matire de gestion deprojet, mais aussi lvaluation de lexprience.

En revanche, le fait quil ny ait pas de corpus de connaissances peut paratredroutant. Cependant, cette latitude donne une certaine souplesse au dispositif et luipermet de tenir compte des spcificits de chaque secteur dactivit.

Certification de services

5

Le dispositif de certification de services permet une entreprise dobtenir unecertification en matire de qualit de services.

Figure 5.1 Dispositif de certification de services

Prsentation

La certification de services est rgie par la Loi n 94-442 du 3 juin 1994 et le Dcretn 97-298 du 27 mars 1997 qui stipulent des exigences en termes de structuration dela dmarche.

22 Chapitre 5. Certification de services

Ce type de certification vise contrler un niveau de service fourni au clientfinal par rapport un ensemble dexigences (caractristiques et modalits de contrle)dcrites dans un rfrentiel de certification de services. Il sagit dun document techniquetablissant les caractristiques dun produit ou dun service ; ce document dfinitgalement les modalits de contrle de la conformit du produit ou du service.

La certification de services fait reconnatre le niveau de qualit quune entreprisedfinit et sengage respecter vis--vis de ses clients.

Cette dmarche est applicable quel que soit le secteur conomique. Elle sapplique toute activit de service quelle soit destine aux entreprises ou aux consommateurs.

Le rfrentiel peut tre normatif ou priv. Un rfrentiel priv est dfini soitlocalement par une entreprise pour ses besoins, soit collectivement, par exemple parun groupement ou par une association professionnelle. Chaque nouveau rfrentiel decertification de services fait lobjet dune mention au Journal officiel de la Rpubliquefranaise et est contrl par un organisme habilit (accrdit ou ayant dpos undossier auprs de lautorit administrative).

On peut citer des certifications de services trs diffrentes qui concernent ledomaine des systmes dinformation, par exemple :

rfrentiel priv : la tlphonie mobile dveloppe par Orange France en 2002 ; rfrentiels collectifs : transactions commerciales lectroniques dveloppes par

Webcert en 1999 ou Sauvegarde distance de donnes numriques labor parle Club de la scurit des systmes dinformation du Languedoc-Roussillon en2001.

Le rfrentiel peut aussi tre normatif lorsquune norme spcifie les exigencespermettant de dfinir, de cibler et de mesurer la qualit de service. Cest par exemplele cas dans le domaine du transport public de voyageurs.

Le rfrentiel de certification est rdig en se plaant du point de vue du clientsous forme dengagements de service documents (figure 5.2). Il doit entre autres :

clarifier le rsultat attendu, cest--dire le contenu du service fourni ; dfinir un niveau de qualit de service en termes de performances atteindre ; dfinir les engagements de lentreprise vis--vis de ses clients.

Les textes de loi qui rgissent la certification de services nimposent rien en matirede dispositifs ou de moyens mettre en uvre par lentreprise candidate. De ce fait,celle-ci reste libre de la nature et du niveau de performance des engagements quelleprend vis--vis de ses clients. Il existe toutefois une restriction : reprsent par lesassociations de consommateurs, le client doit valider ces engagements de service sansquoi la dmarche de certification est arrte.

La mise en uvre de cette dmarche permet de rendre visible la performance desservices rendus par une entreprise ses clients. Elle marque le passage dune culturetourne vers linterne une culture oriente vers la satisfaction des clients.

Les mtriques sont spcifiques chaque rfrentiel. Elles y sont dfinies.

Certification de services 23

Figure 5.2 Dmarche de certification de services

Documentation

Les textes de loi sont accessibles sur le site de Legifrance.

Les rfrentiels de certification de services normatifs sont disponibles auprsdAFNOR ; les rfrentiels privs (personnel ou collectif) sont dposs au Journalofficiel de la Rpublique franaise.

Mise en uvre

Cette dmarche sapplique dans le cadre du droit franais.

Des efforts de communication et de promotion sont fournis par les organismescertificateurs ainsi que par certaines associations de consommateurs ; ces derniresvoient dans ce mode de reconnaissance un signe de performance de lentreprisecertifie et donc de garantie pour le client.

La certification de services est un outil qui se rpand car, dans une dmarchedamlioration reconnue par un certificat, elle permet aux entreprises ou des secteursdactivit de sengager de manire cible sur le service rendre. Elle stend en France :la reconnaissance en 2004 par la Haute autorit de sant (HAS) de lintrt de cetype de certification en est une preuve.

La certification de services de certaines lignes dautobus et de mtro de la RATPconstitue un exemple de mise en uvre de cette dmarche dont leffet est visiblepar tous les Parisiens. En fvrier 2003, pour la premire fois hors de France, unecertification de services a t dlivre une socit belge, la Socit des trans-ports intercommunaux de Bruxelles. Le rfrentiel utilis est la norme europenneNF 13816 relative au transport public de voyageurs.

24 Chapitre 5. Certification de services

Dans le domaine du e-commerce, il sagit par exemple dinformer lutilisateur finalde la valeur relle des outils capables de garantir rellement la scurit, la confianceet la qualit du service. Pour cela plusieurs certifications de ce type coexistent enFrance : Webcert dAFAQ, Elite Site Label de la socit Sysqua contient 148 critresde certification et Qualicert de la socit SGS qui se dveloppe aussi ltranger.

La mise en uvre de cette dmarche implique soit de rdiger un rfrentielspcifique son domaine, soit den utiliser un dj existant.

Il faut aussi former les oprationnels afin de leur faire connatre et de leur apprendre atteindre en permanence le niveau de performance attendu des engagements deservice auxquels ils contribuent.

Essentiellement franaise, cette certification est ralise par un organisme decertification dlivrant lattestation sous la forme dune marque (logo) qui lui est propre.Pour raliser une valuation, diffrentes mthodes de contrle peuvent tre mises enuvre comme :

lenqute de satisfaction client ; la mthode dite du client mystre qui est une enqute ralise sur le terrain par

un auditeur ne se faisant pas reconnatre et agissant comme un client ; la collecte automatique de mesures ; laudit de terrain effectu par une tierce partie.

Lorsque des standards de contrle existent, les mthodes de contrle du rfrentielde certification peuvent sy rfrer ; par exemple les standards du W3C/WAI (WebAccessibility Initiative) pour laccessibilit des sites web.

Pour obtenir un service certifi, le processus comprend soit llaboration dunrfrentiel suivi de sa publication, soit le choix de ce rfrentiel, puis son dploiementoprationnel et enfin laudit de certification (figure 5.3).

Llaboration dun rfrentiel priv peut prendre de huit douze mois et mobiliserune trentaine de personnes. Il faut compter ensuite environ neuf mois pour ledploiement oprationnel jusqu la certification. Et enfin, trois semaines pour lauditde certification avec une quipe de dix auditeurs.

Certification de services 25

Figure 5.3 Droulement du processus

Retour dexprience

Un consultant dune socit de conseil commente :

La certification de services peut venir en complment dune certification dentreprisede type ISO 9000. Cette double approche est dj mise en uvre dans des entreprisescomme la RATP. Dans les petites structures, la certification ISO 9001 est parfoisabandonne au profit de la certification de services.Parmi les motivations qui diffrencient ce dispositif dune certification ISO 9001, ily a la possibilit de dfinir son rfrentiel, dutiliser un rfrentiel focalis sur uneplus-value fournir au client et sur la capacit dune entreprise obtenir des rsultatsconstants visibles par le client.Par rapport aux exigences de lISO 9001, une autre diffrence rside dans lidentifi-cation pour chaque engagement de service, dun responsable qui rapporte directementau comit de direction sur le respect, sur lvolution de lengagement quil pilote et surles moyens et actions quil met en uvre.Bien utilise, la certification peut tre un atout majeur au service des entreprises etdes clients. Elle permet tant aux entreprises quaux clients datteindre leurs objectifset de valoriser les services offerts par la confiance quelle donne au client.Pour lentreprise, il sagit dune dmarche oriente vers la qute dun rsultatprcisment dfini, mesurable et qui apporte un plus au client. Lutilisation de cedispositif permet damliorer limage de lentreprise et de promouvoir de nouveauxservices. La dmarche est innovante : elle est source de diffrenciation et damlio-ration permanente, surtout lorsque lentreprise participe la cration du rfrentiel.Comme tout projet dentreprise, elle permet la mobilisation du personnel autourdobjectifs concrets et une qualit de service homogne. De plus, avec ce type decertification, lentreprise peut communiquer sur les critres explicites du service objetde la certification.

26 Chapitre 5. Certification de services

Pour le client, utiliser un service certifi garantit que ce service dispose effectivementdes caractristiques dfinies dans le rfrentiel et quelles sont contrles de manirercurrente. La certification de services atteste du respect des promesses faites auxclients du service.Toutefois, il est important, avant de se lancer dans une telle dmarche, de prendreen compte le fait que cette dmarche est encore peu connue. Il sagit dune initiativefranaise, sans quivalent vritable ltranger. Ceci implique quil nest pas toujourspossible de faire reconnatre son certificat ltranger. Notons toutefois que dans ledomaine du service appliqu lInternet, qui par nature a une vocation mondiale,il existe des quivalences europennes pour les certifications franaises par le biaisde lEuropean cooperation for Accreditation (EA). Ce type de montage ncessitetoutefois de la part de lorganisme certificateur une expertise particulire, car desinstances europennes doivent tre consultes, par exemple les associations deconsommateurs .

On saperoit que lapproche et linterprtation de la dmarche varient selon lesorganismes certificateurs. Le choix de lorganisme est donc important.

Lorsque la certification recherche nexiste pas, il ne faut pas sous-estimer ladifficult de rdaction du rfrentiel priv. Celui-ci doit tre la fois lisible etcomprhensible par lentreprise, le client et lauditeur externe.

CISSP

6

Le dispositif CISSP permet une personne physique dobtenir une certification enmatire de scurit de systmes dinformation.

Figure 6.1 Dispositif CISSP

Prsentation

La Certification pour professionnel de la scurit des systmes dinformation (CISSP,Certified Information Systems Security Professional) est une certification internationaledorigine amricaine dont la finalit est la validation des connaissances gnralistes

28 Chapitre 6. CISSP

en matire de scurit de linformation. Elle permet dune part aux dirigeants etdcideurs de sassurer des comptences de leur personnel scurit et de slectionnerles consultants extrieurs, et dautre part aux auditeurs et responsables de la scuritde valider leur expertise et daugmenter leur employabilit.

Cre en 1995 et dveloppe par l(ISC)2 (International Information Systems SecurityCertification Consortium), dont Auditware est le membre franais, cette certificationvise plusieurs objectifs :

maintenir et faire voluer le tronc commun de connaissances en scurit (CBK,Common Body of Knowledge for Information Security) ;

faire certifier les professionnels selon le CBK ; organiser la formation et la certification des professionnels de la scurit ; assurer le suivi du niveau de qualification des personnes certifies.

Lexamen du CISSP porte sur les 10 chapitres suivants :

systmes et mthodologies de contrle daccs ; scurit des tlcommunications et des rseaux ; pratiques de gestion de la scurit ; scurit des dveloppements dapplications et de systmes ; cryptographie ; architecture et modles de scurit ; scurit des oprations ; continuit des oprations et plan de reprise en cas de dsastre ; loi, investigations et thique ; scurit physique.

En outre, il existe trois spcialisations CISSP, qui peuvent sobtenir aprs avoir tcertifi CISSP :

CISSP-ISSAP (Information Systems Security Architecture Professional), pour lesspcialistes en architecture ;

CISSP-ISSEP (Information Systems Security Engineering Professional), pour lesspcialistes en ingnierie ;

CISSP-ISSMP (Information Systems Security Management Professional), pour lesspcialistes en management.

Documentation

Le CBK est disponible lachat. Ce document de plus de 1 000 pages, rdig enanglais, porte le nom dOfficial (ISC)2 Guide to the CISSP Exam. Il est disponible dansles librairies techniques.

Le CBK volue presque tous les ans.

Il nest pas traduit en franais car la connaissance de langlais crit est considrecomme incontournable dans le domaine de la scurit informatique. Toutefois les cours

CISSP 29

sont dispenss en franais en France par Auditware et CA (Computer Associates) ;lexamen peut galement se drouler en franais.

Mise en uvre

La certification CISSP permet dvaluer les connaissances du candidat, tant sur lesactivits daudit de systmes dinformation et danalyse des risques que sur les aspectstechniques de la scurit des systmes dinformation. Elle sadresse en particulier auxexperts en scurit et aux responsables de la scurit des systmes dinformation.

Cette certification existe depuis 1995. Son dveloppement sest accru de faonsensible depuis 2001, en stendant dans 104 pays. Le nombre de personnes certifiesest pass de 8 000 prs de 65 000 fin 2008, soit plus de 60 % en 3 ans, dont prs de700 personnes certifies en France, soit une augmentation de 350 % en 3 ans.

En novembre 2005, Microsoft Corp. a annonc que les certifications (ISC)2

seraient incluses dans le programme de certification de ses ingnieurs. Un autre signede la notorit internationale du CISSP est la prsence en librairie dun CISSP forDummies, version originale de la collection Pour les nuls.

En mars 2007, la certification CISSP a t formellement approuve par le Dpar-tement de la Dfense des tats-Unis dAmrique (US Department of Defense), lafois dans leurs catgories Information Assurance Technical (IAT) et InformationAssurance Management (IAM) , aux niveaux les plus levs.

Pour obtenir la certification, il faut russir lexamen et justifier dau moins cinqans de pratique de la scurit des systmes dinformation. Il porte sur 250 questions choix multiple (QCM) et dure 6 heures. Afin de faire voluer lexamen, les rponses 25 des questions ne sont pas prises en compte dans la notation, elles servent testerles volutions de lexamen. Pour russir lexamen, il faut obtenir 700 points sur unmaximum de 1 000. Pour garder la certification, il faut sengager consacrer au moins120 heures de formation continue (CPE, Continuing Professional Education) sur troisans pour maintenir sa comptence.

Depuis fvrier 2005, lexamen du CISSP peut tre pass en langue franaise, maisncessite toutefois de bien comprendre les concepts amricains. Les questions enanglais restent disponibles lors de lexamen.

Auditware et CA sont les deux seuls centres de formation agrs en France parl(ISC)2. Les instructeurs sont certifis CISSP, accrdits par l(ISC)2 et sont bilinguesfranais et anglais.

En juin 2004, le programme CISSP a obtenu laccrditation ISO 17024.

Retour dexprience

Un responsable de la scurit des systmes dinformation tmoigne :

Je travaille dans la filiale franaise dune compagnie amricaine, la certificationy est fortement recommande si lon veut occuper un poste de responsable de lascurit dans le dpartement informatique. Je ne serais pas surpris que cela deviennebientt obligatoire. Javoue navoir pas russi lexamen la premire tentative, mais

30 Chapitre 6. CISSP

la langue constituait un rel obstacle du fait que les questions en franais ntaient pasdisponibles lpoque. Mon management a vraiment insist pour que je persvre pourrussir cette certification, et jai compris que ctait mon intrt. Cette certification neprtend pas que ses dtenteurs sont de vritables experts trs pointus, par contre ellegarantit un ensemble de connaissances indispensables pour un gnraliste confront des problmatiques de la scurit des systmes dinformation.Bien qutant responsable de la scurit dans le dpartement informatique de monentreprise depuis 1998, la formation ncessaire la prparation de lexamen mapermis de complter mes connaissances. Je suis certifi CISSP depuis 2001.La certification ma apport une reconnaissance au sein de ma compagnie. Deplus, cela me permet davoir un crdit de temps et de budget pour maintenir macertification, cest--dire lobtention de 120 heures de CPE tous les trois ans. Assisteraux vnements qui permettent de maintenir la certification me permet de rencontrerdes personnes qui occupent des fonctions analogues dans dautres entreprises : cestune opportunit de partages dexpriences .

Un point fort de ce dispositif provient des bonnes pratiques destines aux pro-fessionnels de terrain, couvrant aussi bien les domaines techniques que lanalysede risques et laudit des systmes, dans une optique de gouvernance des systmesdinformation.

Pour paraphraser la formule des commissaires aux comptes, la certification CISSPapporte aux tiers (dirigeants, dcideurs, organisations institutionnelles, administra-tion) lassurance raisonnable que le titulaire de la certification a fait la preuve de sacomptence dans le domaine.

Un autre point fort de cette certification est la frquence de ses examens. EnFrance, trois sessions se sont tenues au premier semestre 2008, alors quil ny a quedeux sessions par an pour lobtention du CISA (Certified Information System Auditor)ou du CISM (Certified Information Security Manager).

En revanche, bien que lexamen puisse se drouler en franais, la principalefaiblesse de ce dispositif est la difficult de comprhension de certains concepts, due la diffrence entre les cultures amricaine et franaise.

CMMI

7

Le CMMI (Capability Maturity Model Integration) se dcompose en trois recueils debonnes pratiques pour lamlioration continue de processus et permet galement uneentreprise dobtenir un diagnostic daptitude ou de maturit de ses processus. Il sagitdu CMMI-DEV pour les processus de dveloppement et de maintenance de produits,le CMMI-SVC, pour les processus de service et le CMMI-ACQ pour les processusdacquisition.

Figure 7.1 Modle CMMI

32 Chapitre 7. CMMI

Prsentation

Le CMMI concerne tous les processus lis aux affaires et aux projets, de lacquisitionau service rendu en passant par le dveloppement et la prparation de la productionen srie. Toutefois, il ne concerne pas les fonctions administratives non directementlies aux processus oprationnels comme la direction financire. En revanche, leCMMI sintresse aux processus de support du management (fournis par la directiondes ressources humaines, la direction commerciale, ou encore la direction des systmesdinformation), afin de sassurer que les processus mtiers disposent bien des moyenset ressources ncessaires.

Le CMMI sintresse la qualit des processus de management et dingnieriedune entreprise, et donc globalement sa maturit.

Le CMMI a t organis sous forme de constellations, un ensemble de composantsCMMI regroupant un modle, sa formation et sa mthode dvaluation.

Il existe trois constellations :

la constellation dveloppement (CMMI-DEV, dveloppement de produitset intgration systme) dfinit un rfrentiel de bonnes pratiques pour unedmarche damlioration de gestion et de ralisation des projets et dingnieriesystme ;

la constellation services (CMMI-SVC, services informatiques, infogrance outierce maintenance, mais aussi de tous services professionnels, voire personnels,non lis linformatique) dfinit un rfrentiel de bonnes pratiques compatiblesavec ITIL et lISO 20000 pour la fourniture dun service ;

la constellation acquisition (CMMI-ACQ, externalisation, outsourcing, off-shore) dfinit un rfrentiel de bonnes pratiques de gestion de la relation avecle fournisseur, depuis sa slection jusquau suivi de lexcution de sa mission enpassant par la rdaction des contrats et la mise en place dindicateurs permettantde dtecter les ventuelles drives.

La particularit des constellations est de proposer un noyau commun. Ainsi,16 domaines de processus sont communs toutes les constellations. On retrouveainsi dans le modle tag :

Pour le niveau 2 Disciplin :

gestion des exigences, planification de projet, surveillance et contrle de projet, mesure et analyse, assurance qualit processus et produit, gestion de configuration.

Pour le niveau 3 Ajust :

focalisation sur le processus organisationnel, dfinition du processus organisationnel,

CMMI 33

formation organisationnelle, gestion de projet intgre, gestion des risques, analyse et prise de dcision,

Pour le niveau 4 Gr quantitativement :

performance du processus organisationnel, gestion de projet quantitative.

Pour le niveau 5 En optimisation :

innovation et dploiement organisationnels, analyse causale et rsolution de problmes.

Le CMMI-DEV a t publi le 25 aot 2006. Cest la constellation la plus ancienne,celle sur laquelle il y a le plus de retours dexprience.

Le CMMI-DEV (Capability Maturity Model Integration) apporte une solution com-plte et intgre pour les activits de dveloppement et de maintenance appliquesaux produits. Il concerne les pratiques qui couvrent le cycle de vie du produit, de saconception sa livraison et sa maintenance.

La cration du CMMI-DEV a t coordonne par le SEI (Software EngineeringInstitute) de luniversit Carnegie Mellon aux tats-Unis avec un groupe denviron30 industriels et des reprsentants de clients.

Plusieurs modles prexistants sont la source de la conception du CMMI-DEV :

en matire de logiciel, le SW-CMM Capability Maturity Model for Software ; en matire de systme, le SE-CMM Systems Engineering Capability Model qui a

t produit par un groupement dindustriels sous la rfrence EIA/IS 731 ; en matire dintgration, lIPD-CMM Integrated Product Development CMM

qui na pas t finalis, mais dont la version 0.98 est cependant disponible sur lesite du SEI ;

en matire dacquisition, le SA-CMM Software Acquisition Capability MaturityModel.

Ces modles dorigine ne sont plus aujourdhui maintenus et sont remplacs par leCMMI-DEV.

De plus, la compatibilit avec lISO 15504 est assure par la prise en compte desexigences de cette norme en matire de modle dvaluation de processus.

Deux reprsentations sont proposes, figure 7.2, une par niveau de maturit (tage)et une autre dite continue par profil daptitude qui assure la compatibilit aveclISO 15504.

Le rfrentiel nimpose aucun indicateur particulier, mais il exige que lentreprisedfinisse des indicateurs de management et de performance avec les mtriquesassocies.

34 Chapitre 7. CMMI

Figure 7.2 Deux reprsentations du CMMI1

Documentation

Tous les documents relatifs ce dispositif sont rdigs en anglais et accessiblesgratuitement sur le site du SEI :

le CMMI for Acquisition (CMMI-ACQ) ; le CMMI for Acquisition (CMMI-ACQ) Primer qui dfinit les bases des bonnes

pratiques dacquisition ; le CMMI for Development (CMMI-DEV) ; le CMMI for Service (CMMI-SVC) ; lARC Appraisal Requirements for CMMI qui dfinit les exigences applicables

une mthode dvaluation ; le SCAMPI Standard CMMI Appraisal Method for Process Improvement qui

dcrit la mthode dvaluation du SEI conforme lARC et donne des indica-tions sur la charge de travail ncessaire pour raliser les valuations.

Depuis juin 2008, la version traduction en franais du CMMI-DEV v1.2, estdisponible (CMMI 1.2 - Guide des bonnes pratiques pour lamlioration des processus, 2e

dition, Pearson ducation France, ISBN 978-2-7440-7304-5). Il sagit de la traductionofficielle, approuve par le SEI.

Il existe galement une traduction du CMMI-DEV en japonais et une en chinoistraditionnel.

Par ailleurs, des livres en franais sont publis en particulier chez Dunod, dontCMMI 1.2 Laide-mmoire Les domaines de processus du CMMI-DEV par RichardBasque publi en octobre 2008.

CMMI 35

La documentation du CMMI est juge suffisante pour le mettre en uvre. Nan-moins, une formation permet plus facilement den comprendre lesprit et donc denaviguer dans la documentation trs bien faite et complte.

La documentation de la mthode dvaluation (ARC et SCAMPI) est entirementet gratuitement disponible sur le site du SEI.

Mise en uvre

mi-2008, des valuations CMMI en provenance de 63 pays ont t ralises dontles rsultats ont t transmis au SEI1. LAsie vient en tte du nombre de rsultatstransmis au SEI pour enregistrement avec 1593, puis lAmrique du Nord avec 1187,ensuite lEurope avec 457, lAmrique du Sud avec 243, puis lAfrique avec 42 etenfin lOcanie avec 31. En France, on compte 125 valuations se rpartissant en 4de niveau 1, 75 de niveau 2, 38 de niveau 3, 1 de niveau 4 et 2 de niveau 5. LIndeavec 158 organisations de niveau 5 est suivie par les tats-Unis qui en ont 118.

mi-2008, 3 553 valuations CMMI avaient t ralises sur une priode de76 mois dans les cinq continents dont 70 % dans des socits non amricaines. Larpartition par niveau de maturit, montre que la majorit des valuations (V1.2) sesituent au niveau 4 (44 %) et 3 (32 %). Les organismes concerns sont en majoritles socits commerciales avec 73 % dvaluations, alors que les sous-traitants desmarchs publics amricains en ralisent 22 % et les marchs publics amricains5 %. Ce dploiement trs rapide du CMMI sur lensemble des pays industrialissest suprieur celui du CMM. Outre les pays traditionnellement matures, on voitaujourdhui une vritable explosion de lutilisation du CMMI en Chine, Inde, Espagne,Argentine, Brsil et Malaisie.

En France, le CMMI-DEV est utilis dans des secteurs dactivits varis telsque larospatial, les tlcommunications, les banques, les assurances, les services,lautomobile, mais aussi dans le secteur public (DGI, DGA, MAP...).

Lapplication du rfrentiel ncessite un accompagnement : formation au dispositif,dfinition de nouvelles pratiques, accompagnement du changement, suivi de lavan-cement, vrification priodique de processus, etc. Ces actions sont le plus souventcoordonnes par une quipe de support interne.

La charge de mise en uvre du CMMI dpend du niveau de maturit de lentre-prise au tout dbut de sa dmarche damlioration. Nanmoins, le SEI fournit desstatistiques issues de lensemble des valuations qui ont t enregistres. Ces donnesfacilitent le chiffrage et la planification de la dmarche.

La dure de la phase de mise en uvre du CMMI-DEV est en moyenne de 18 24 mois pour lobtention du niveau 2, ainsi que pour le passage du niveau 2 auniveau 3.

Lvaluation CMMI est effectue par des quipes formes la mthode dvaluationSCAMPI du SEI, et conduite par un valuateur en chef (Lead Appraiser) form etautoris par le SEI.

1. Source : rapport septembre 2008 www.sei.cmu.edu/appraisal-program/profile/profile.html.

36 Chapitre 7. CMMI

Depuis le 1er janvier 2006, SCAMPI est la seule mthode dvaluation reconnuepar le SEI pour tous ses modles de maturit. La limite de validit dun niveau estaujourdhui de 3 ans, on peut penser qu l