3. ITIL ITIL INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY est le
fruit d'un travail conduit par l'Office Public du Commerce Britannique
(OGC Office of Government Commerce). Il s'agit d'une sélection de
bonnes pratiques orientées clients afin d'assurer une gestion efficace,
risques et qualité, des services informatiques.
CMMI CMMI CAPABILITY MODEL MATURITY MODEL INTEGRATION est un
modèle d'évaluation orienté processus de la capacité à atteindre les
objectifs en matière de réalisation informatique. Fondé sur un
référentiel de bonnes pratiques de la profession, il s'inscrit dans une
logique d'amélioration continue.
ISO 27001 La norme ISO 27001 : une norme relativement récente (2005) dédiée à la
gestion de la sécurité des systèmes d'information, SMSI Système de
Management de la Sécurité de l'Information.
COBIT COBIT, Control objectives for information and technology proposé par
l'ISACA, est un cadre de référence orienté processus de l'audit et de la
maîtrise du système d'information. COBIT propose les "meilleures
pratiques" pour gérer efficacement l'alignement des technologies dans une
logique de maîtrise des risques et des investissements.
4. Les différents « standards » ne sont pas concurrents
mais complémentaires!
COBIT est le standard intégrateur du SI de
l’entreprise.
COBIT concerne le SI de l’entreprise et donc
s’adresse à l’ensemble des directions de
l’entreprise.
COBIT est un outil de leadership du DSI sur le SI de
l’entreprise.
ITIL et CMMI s’adressent aux responsables internes
ou externes des opérations et du développement.
5.
6.
7. COBIT est conçu pour être l’outil innovant de
gouvernance des TI qui aide à comprendre et gérer
les risques et les avantages relatifs à l’information
et aux technologies associées.
10. Décider des investissements à effectuer pour assurer la sécurité et
la maitrise des TI.
Décider du niveau de risque acceptable en matière de TI
Faire des analyses comparative de l’environnement informatique
existant et envisagé.
Les utilisateurs ont besoin d’être rassuré quand à l’existence d’un
contrôle et un audit des services informatiques selon des
méthodes standards et approuvés
Le référentiel COBIT pour les managers
Le référentiel COBIT pour les utilisateurs
Le référentiel COBIT pour les auditeurs
Besoin de justifier leur opinion sur le contrôle interne auprès du
management
Besoin d’un cadre de référence
Les managers font de plus en plus appel aux auditeurs pour
expertise et conseil en matière de sécurité et de contrôle des TI.
11. Conçu et géré par l’IT Governance Institute.
http://www.itgi.org/
http://itgi-france.com/
Indépendant et libre de droits.
Forte évolution du positionnement.
Issu du milieu de l’audit SI (V1 : 1996).
Largement accaparé par le management des SI.
Intègre 41 Directives & Standards internationaux
Diffusion mondiale.
Traduit dans plusieurs langues
Utilisation importante et en forte croissance.
Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.
13. Planification et Organisation (PO)
Stratégie et tactique informatique
Contribution aux objectifs de l’entreprise
Planification, communication et gestion
Organisation adéquate et infrastructure technologique
Acquisition et Mise en Place (AMP)
Mise en œuvre de la stratégie informatique
Identification, développement ou acquisition, mise en place des
solutions
Intégration des solutions aux processus de gestion
Modification et maintenance des systèmes
Distribution et Support (DS)
Fourniture des services nécessaires
Sécurité de l’exploitation
Mise en place des processus de support
Traitement des données par les applications
Surveillance (S)
Evaluation régulière de tous les processus informatiques
Conformité aux exigences de contrôle et qualité des contrôles
19. 19
Cohérence technologique
Compatibilité et interopérabilité des ressources
SI
Raison économique (réutilisation des ressources
SI)
Eviter les gros gâchis
L’occasion de mener une réflexion approfondie
sur l’informatique au sein de l’entreprise.
20. Introduction: décisions à prendre
Première partie: Diagnostic de l’existant
Portefeuille des applications
Infrastructure actuelle
Projets en cours
Effectifs
Dépenses
Deuxième partie: Les problèmes de la situation actuelle
Les finalités fixées à l’informatique
Troisième partie: La cible d’architecture fonctionnelle
Applications anciennes conservées
Refonte d’application anciennes
Applications nouvelles liées aux projets en cours (selon les critères
coût/performance, compatibilité, interopérabilité…)
Applications nouvelles liées à de nouveaux projets selon mêmes critères
Quatrième partie: Les décisions détaillées
Projets nouveaux
Evolutions d’infrastructure
Contenu d’un SDI
Planification stratégique SI et Schéma
Directeur Informatique
22. 22
Un schéma directeur doit répondre à trois types de
préoccupations :
L’architecture :
Architecture technique (central, réseau, poste client,...)
Basée sur des standards reconnus
Architecture fonctionnelle (applications)
Les coûts :
Les investissements à effectuer
Les gains et la rentabilité
Les coûts de fonctionnement
La mise en œuvre:
La mise en place de l’architecture
Les développements
Le comité de pilotage
Planification stratégique SI et
Schéma Directeur Informatique
23. 23
Voir Domaine PO de COBIT
Trois bonnes pratiques importantes concernant la
planification des SI :
1. Existence d’un document
2. Fixation des orientations
3. Capacité d’évolution
Bien sûr il existe d’autres bonnes pratiques
24. 24
Il doit exister dans chaque entreprise un document
fixant les orientations en matière de SI à moyen terme
(Plan SI, Schéma Directeur, Plan à long terme,....)
Importance de disposer d’un écrit car le nombre
d’interlocuteurs est élevé
Les objectifs de développement du SI doivent être
cohérents avec les objectifs de l’entreprise
Les orientations doivent être cohérentes entre elles et
avec les moyens octroyés à l’informatique
Ce document doit être connu et approuvé par les
principaux décideurs de l’entreprise
De même les informaticiens et les principaux
utilisateurs doivent disposer du même document
25. 25
Le document de référence doit fixer des orientations
claires et comprises par les intéressées
Les choix technologiques doivent être réalistes et
conformes aux besoins
Les orientations fonctionnelles doivent être
cohérentes avec les orientations technologiques
Ces choix doivent périodiquement être mis à jour
Vérifier que les orientations prises correspondent bien
aux objectifs recherchés
S’assurer que les moyens disponibles sont suffisants
Tenir compte des évolutions pour réajuster les
objectifs et des moyens
26. 26
Il doit exister un suivi périodique de la planification
Evaluer la politique informatique. Apprécier
notamment les enjeux mesurés par les gains
Le document de planification doit être
périodiquement mis à jour à l’aide d’un processus
régulier
Capacité à faire évoluer ces règles et à saisir les
opportunités qui se présentent
Nécessité d’un lien entre la programmation à court
terme et la planification à moyen terme
27. 27
Essentiellement, les objectifs et points de contrôle
du domaine «Planification et Organisation »
peuvent être synthétisés comme suit:
La cohérence entre les objectifs du schéma
directeur et la stratégie de l’entreprise
Le processus de validation du schéma directeur
Le dispositif de pilotage du schéma directeur
Les méthodes de suivi du schéma directeur
Les procédures d’actualisation du schéma
directeur
Remarque: d’autres objectifs et points de contrôle
peuvent être identifiés
28. 28
Trop souvent il n’y pas convergence Et même parfois il
y a divergence
L'alignement stratégique est un enjeu majeur
Encore faut-il que l’organisme ait une stratégie
affichée !
Un schéma directeur qui n’est pas orienté vers les
préoccupations du management ne sera pas appliqué
Ces orientations doivent être connues des dirigeants
Analyser le schéma directeur et le document de
stratégie de l’entreprise.
Avoir des entretiens avec les principaux dirigeants de
l’Ese
29. 29
Effectué de manière participative
Démarche cohérente
Consensus sur les objectifs recherchés et sur les moyens pour les
atteindre
S’il reste des désaccords, ils doivent être limités
Analyser les comptes-rendus des réunions des groupes de travail
et du comité de pilotage
Entretiens avec quelques participants au processus
Analyse du contenu du document de synthèse
30. 30
Il doit exister un document précisant les modalités
pratiques de mise en place et de pilotage du schéma
directeur
Mesurer périodiquement l’avancement de la mise en
place du schéma directeur et un rapport doit être
établi
Un organe (généralement un comité de pilotage) doit
prendre, si c’est nécessaire, des mesures correctives
Examen du document définissant les modalités de
pilotage
S’assurer que la mise en œuvre du schéma directeur se
fait conformément à ce qui a été prévu
31. 31
Mesurer régulièrement son avancement
Démarche d’évaluation clairement définie
L’appréciation est différente selon le point de vue de chacun :
L’informaticien
L’utilisateur
Le décideur
Examiner le document définissant la méthode ou la démarche
d’évaluation du schéma directeur
Vérifier l’application de cette méthode
Avoir des entretiens avec quelques informaticiens, utilisateurs
et décideurs pour avoir leur appréciation du suivi du schéma
directeur
32. 32
Le schéma directeur doit être périodiquement mis à jour
Prendre en compte si c’est un plan à long terme glissant (long
range plan)
Cette mise à jour peut porter sur :
Les objectifs à atteindre
L’architecture mise en place
Les moyens affectés
Le nombre et l’importance des projets lancés
Le mode de déploiement
....
Examiner les différents documents de mise à jour du schéma
directeur
Apprécier leur pertinence
Détecter s’il n’y a pas une dérive des objectifs ou une fuite en
avant
34. Il sert à mesurer dans quelle mesure les
systèmes de gestion de l’information sont en
conformité avec le contrôle interne
Les niveaux de maturité ne sont pas des
objectifs mais un mécanisme d’évaluation et
d‘identification de l’écart à combler
A quoi sert le modèle de maturité ?