SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC, profile picture
Téléchargé parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
PPTX, PDF476 vues

Comment consilier entre les standards

Le document présente l'évolution de l'informatique et son intégration croissante dans la stratégie des entreprises, soulignant l'importance de la gouvernance informatique pour aligner les objectifs technologiques avec ceux de l'entreprise. Il décrit aussi les tendances du marché, les infrastructures nécessaires, ainsi que les bonnes pratiques liées à la gestion des systèmes d'information. Enfin, il met en avant le rôle des référentiels tels que COBIT pour garantir la performance et la conformité des processus informatiques.

Intégrer la présentation

Téléchargé 41 fois
1 / 109
2 / 109
3 / 109
4 / 109
5 / 109
6 / 109
7 / 109
8 / 109
9 / 109
10 / 109
11 / 109
12 / 109
13 / 109
14 / 109
15 / 109
16 / 109
17 / 109
18 / 109
19 / 109
20 / 109
21 / 109
22 / 109
23 / 109
24 / 109
25 / 109
26 / 109
27 / 109
28 / 109
29 / 109
30 / 109
31 / 109
32 / 109
33 / 109
34 / 109
35 / 109
36 / 109
37 / 109
38 / 109
39 / 109
40 / 109
41 / 109
42 / 109
43 / 109
44 / 109
45 / 109
46 / 109
47 / 109
48 / 109
49 / 109
50 / 109
51 / 109
52 / 109
53 / 109
54 / 109
55 / 109
56 / 109
57 / 109
58 / 109
59 / 109
60 / 109
61 / 109
62 / 109
63 / 109
64 / 109
65 / 109
66 / 109
67 / 109
68 / 109
69 / 109
70 / 109
71 / 109
72 / 109
73 / 109
74 / 109
75 / 109
76 / 109
77 / 109
78 / 109
79 / 109
80 / 109
81 / 109
82 / 109
83 / 109
84 / 109
85 / 109
86 / 109
87 / 109
88 / 109
89 / 109
90 / 109
91 / 109
92 / 109
93 / 109
94 / 109
95 / 109
96 / 109
97 / 109
98 / 109
99 / 109
100 / 109
101 / 109
102 / 109
103 / 109
104 / 109
105 / 109
106 / 109
107 / 109
108 / 109
109 / 109
Comment concilier entre les standards Mohamed SAAD
Les Bonnes Pratiques Informatiques COBIT ITIL PMBoK ISO 27 002 2
Les SI: l’évolution 3
L’évolution organisationnelle 0. [30..48]: l’informatique était essentiellement au service des départements militaires 1. Durant les 30 glorieuses: le modèle économique était essentiellement tourné vers l’industrie et la production pour construire l’après guerre: • L’informatique a suivi: • les investissements informatiques avaient pour objectif l’automatisation des fonctions administratives telles que la comptabilité et la paie. L’informatique était avant tout une fonction de production et son impact sur l’organisation était alors limitée 4
L’évolution organisationnelle 2. Fin des années 70..années 90 : le modèle économique introduit les techniques marketing, l’analyse comportementale du client, La maîtrise des coûts…: • L’informatique a suivi: • Durant cette phase, l’introduction d’outils de gestion de l’information (GPAO, BD, Data Warehouse…) a amené des changements dans le travail : émergence de nouveaux métiers, démocratisation des outils bureautiques, besoin de formation… 5
L’évolution organisationnelle 3. 21 siècle : les marchés sont devenus de mégas plateformes planétaires, avec des organisations d’entreprises multi culturelles. Les services représentent 70% de l’économie mondiale: • L’informatique n’a pas uniquement suivi mais elle est devenu au cœur de l’implosion: • Nous sommes à présent dans une nouvelle phase, avec des outils de plus en plus sophistiqués et interconnectés, les nouvelles formes d’applications de l’informatique sont le moteur d’une transformation en profondeur du marché et des entreprises 6
Le S.I est au cœur de l’activité de l’entreprise Clients prospection vente Partenaires services conception SI maintenance achats réception Fournisseurs Organismes de contrôle logistique production 7
L’alignement stratégique IT Governance Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Des S.I Politique Des S.I Politique Des S.I Politique Des S.I Inexistence de l’un ou de l’autre Indépendance De l’un Par rapport À l’autre Politique S.I Déduite De La politique Générale Politique Des S.I L’un influence L’autre Et Vice versa Politique S.I Et politique Générale Développées conjointement 5 Cas de figures sont possibles (Source: Acadys – Enquête sur la Gouvernance des SI) 8
Infrastructure matérielle 9
Infrastructure matérielle: Évolution 45-60 ENIAC Personal Computer Network computer 95-2000 Cluster de PCs 2000-… HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD Année 75 - 90 HEWLETT PACKARD 55-80 Vax PDP 11 Super calculateur 10
Infrastructure matérielle les 20 dernières années  L’extraordinaire explosion des microprocesseurs (loi de Gordon Moore)      Moore prédit tout d’abord un doublement du nombre de transistors dans une puce tous les 18 mois La montée en puissance des réseaux La montée en puissance des Minis puis des serveurs Le retour en puissance des centraux (C/S en 2/3, 3/3…) Les environnements hétérogènes    SNA ISO/OSI TCP/IP 11
Infrastructure matérielle Impacts de ces tendances  Cette évolution a changé les organisations de travail:  Les monde de l’informatique centrale et de l’informatique micro ont cessé de vivre chacun de son côté :    Conciliation L’informatique est désormais partagée, elle n’appartient plus qu’aux informaticiens Les DSI ont dû s’adapter:       Des compétences plus variées (Architectes S.I, Urbanisation S.I, veilles technologiques…) Une organisation matricielle Des outils de travail indispensables Des solutions progiciel orientées métier (« MySap »…) Des organisations impliquant et responsabilisant l’utilisateur (Process Owner, Project sponsor, maîtrise d’ouvrage / maîtrise d’œuvre…) Disparition des DOSI, DOI  DSI, DPO… (le débat est toujours ouvert) 12
Rappels techniques des composantes d’un S.I Stratégie, Gestion, Sécurité Études Logiciels, applicatifs et données Réseaux Matériels Exploitation Logiciels de base Équipes Infrastructure 13
Infrastructure matérielle Type d’Ordinateurs (1)  PC ou Personnel Computer, Portables, Palm (Personal Digital Assistant), Station de travail 14
Infrastructure matérielle Type d’Ordinateurs (2)  Serveurs:  Des ordinateurs +       services optimisés multi processeurs disques RAID Plusieurs équipements redondants multi ventilateur… Mainframe:  De grands ordinateurs faisant partie des premières générations des constructeurs IBM, BULL, DEC…, ou l’informatique est essentiellement centralisée. Les utilisateurs opèrent à travers des terminaux (Écran/clavier)  Capable en terme d’espace d’occuper de larges surfaces  Plusieurs équipements accompagnent les mainframes (robots de sauvegardes et de stockage de bandes, unités d’entrée/sortie de bandes et de cartouches, de méga imprimantes…) 15
Infrastructure matérielle Quelques plateformes  Gros systèmes (Mainframe)  IBM  BULL  DEC  ES9000 DPS8 VAX 9XXX zSeries DPS9 MINI SYSTEMES  IBM  DEC  UNISYS  HP  3090 DPS7 VAX 6XXX AS400  iSeries MicroVAX VAX A series HP 3000 (GX, LX) SERVEURS      IBM BULL DEC SUN HP RISC 6000 DPX 2 ALPHA SPARC STATION HP 9000, Proliant BL, ML, DL xxx… 16
Infrastructure matérielle Les tendances  Des serveurs packagés (« appliance servers »)    matériel et logiciels préinstallés pour un service précis (gestion de fichiers, impression, travail coopératif, NAS, Web, sécurité, messagerie, cache, pare-feu, VPN, répartition de charges, SSL…. ) solutions peu coûteuses, sous Windows ou Linux ou BeOS, en versions allégées Les serveurs lames (server blade) se multiplient   en armoire ou en châssis pour un gain de place, de consommation et d’argent un format 3U (13,3cm de haut) peut contenir 24 serveurs, un rack (2m)  Le multiprocessing est plus en vogue que jamais...  … et les techniques de grappes et de tolérance aux pannes  Faire fonctionner plusieurs OS sur une seule machine virtuelle Ex : Connectix (Virtual Server/Microsoft), VMware (GSX Server/IBM) 17
Infrastructure matérielle Quelles perspectives pour les Mainframes ?  Des architectures basées sur des processeurs «standardisés» (Intel?) et l’abandon des processeurs «propriétaires»  Un des challenges des prochaines années  Des machines multi-processeurs permettant de faire tourner plusieurs OS (compatibilité avec l’existant, consolidation)  Gamme @server, zSeries 800 et 900 d’IBM       Jusqu’à 512 processeurs Processeurs dédiés à certaines tâches (E/S) z/OS, 64 bits, permettant de faire tourner OS/390 Linux on zSeries z/VM, un hyperviseur supportant concurremment z/OS, OS/390, VSE/ESA, Linux for S/390 et Linux for zSeries Concept « On demand » d’IBM 18
Le pendule des Architectures Informatiques Autonomie de l’utilisateur: • Infocentre / datawarehouse/ datamining… • Développements locaux • Partage de données • Sauvegarde non contrôlée • OS peu fiables… Informatique centralisée: • Salle machine unique • Gros système • Utilisateurs accédant à travers des terminaux • Les supports de stockage sont centralisés… Démocratisation de l’informatique: • Utilisateurs connectés au sites/serveurs • PCs • Avènement du Client/serveur •… Années 50, 60, 70 Années 80 Années 90 19
Le pendule des Architectures Informatiques  Sécurité  Sécurité Informatique centralisée: • Maîtrise des plateformes • Centralisation de l’information • Contrôle de l’infrastructure • Maîtrise et centralisation des sauvegardes / Performances / fiabilités des supports / machines • Baies de stockage • Backups / PCA / sites secours •… Ces 10 dernières années Autonomie de l’utilisateur: • Infocentre / datawarehouse/ datamining… • Développements locaux • Partage de données • Sauvegarde non contrôlée • OS peu fiables… Démocratisation de l’informatique: • Utilisateurs connectés au sites/serveurs • PCs • Avènement du Client/serveur •… Années 90 20
Les Standards 21
Bonne Pratique  Une bonne pratique d’un domaine donné est une pratique conforme à l’état de l’art de ce domaine. Fruit de l’expérience et de la recherche, son efficacité et sa fiabilité sont avérées,ont été éprouvées et sont reconnues par tous.  Dans le domaine des systèmes d’information, il existe de nombreuses bonnes pratiques dont l’application permet la performance du SI et par incidence la performance de l’organisation.  Il est possible de définir une bonne pratique comme une Règle possédant trois propriétés :  conformité à l’état de l’art  performance et fiabilité éprouvées  reconnaissance par tous Un ensemble de bonnes pratiques constitue un référentiel 22
Référentiel  Un Référentiel est un ensemble de règles et d’usages que les professionnels reconnaissent comme vrais et considèrent qu’elles devraient être appliquées  Pour piloter efficacement l’informatique il faut appliquer les règles efficaces et qui ont fait leurs preuves  Ces règles permettent de mesurer la distance entre ce qui est observé et ce qui devrait se faire  Pour effectuer un audit il est nécessaire de disposer d’un référentiel  Les référentiels sont des recueilles de bonnes pratiques 23
Adapter les outils aux situations variées Traduction : en retard bourré traces de rouge à lèvres 24
Pensées Les technologies de l'information ont changé la façon dont les gens créent de la valeur Alan Greenspan économique Sans objectif de productivité il n’y a pas d’orientation pour l’entreprise; sans mesure de Paul Strasmann la productivité il n’y a pas de contrôle 25
IT Governance 26
Les origines historiques : depuis l’antiquité… 1789 Les philosophes des lumières: pour les grands révolutionnaires (Montesquieu, Rousseau, Diderot), la séparation des pouvoirs est le fondement de la bonne gouvernance XIVe siècle Sous l’Ancien régime : la gouvernance = despotisme, féodalité XIIIe siècle Origine publique du terme gouvernance: l’art ou la manière de gouverner - Français: gouverner, gouvernement, gouvernance,…. - Anglais: govern, government, governance….. Ve Origine Grecque : « la citée idéale », Hérodote, Platon… siècle Le verbe « Kubernàn »,« gubermare, gubermantia » = piloter un navire ou un char) av J.C 27
L’origine de la Gouvernance d’entreprise Enron's Kenneth Lay & Jeffrey Skilling D’hier… … à aujourd’hui ! 28
Les origines contemporaines : depuis 1929….. 2000 1980 1934 Début des scandales Financiers « Corporate Governance » née dans les milieux d'affaires US. - Lancement du New Deal par le président Franklin D. Roosevelt : création de la Securities Exchange Commission (SEC) – Autorité de contrôle des marchés financiers. - Travaux de Adolf Berle et Gardiner Means (The Modern Corporation and Private Property), et Ronald Coase (The nature of the firm) : introduction de la notion de « corporate governance ». 1929 Crash boursier : « le jeudi noir » 29
Ce que c’est… Depuis l’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens. 30
Ce que ce n’est pas… Aujourd’hui, le concept de gouvernance est largement utilisé mais aussi dévoyé, en obérant ses racines et sa véritable raison d’être. En particulier, une confusion importante a lieu en mélangeant les notions de « bonnes pratiques de gestion interne » et de « gouvernance ». La Gouvernance amène avant tout une perspective dite « exogène » du système et ne peux être assimilée aux bonnes pratiques de gestion interne (vision « endogène »), n’intéressant pas forcément les actionnaires ou citoyens. Il est dangereux et erroné de confondre, gestion opérationnelle et management stratégique. 31
La Gouvernance Informatique Définition : La Gouvernance Informatique comme tout autre sujet de gouvernance, est la responsabilité directe des Dirigeants et des Actionnaires de l’entreprise représentés par le Conseil d’Administration. Elle consiste dans le pilotage, les structures organisationnelles et les processus assurant que l’organisation informatique supporte parfaitement les objectifs et stratégies de l’entreprise. L’ objectif de la gouvernance informatique est d’assurer que l’informatique répond bel et bien aux objectifs suivants : • Alignement avec l’entreprise et atteinte des objectifs attendus • Permettre à l’entreprise d’exploiter les opportunités en maximisant ses bénéfices • Optimisant l’utilisation des ressources informatiques • Gérant les risques de manière adéquate 32
Les 5 piliers de la Gouvernance Informatique Aujourd’hui, la gouvernance informatique telle que définie par l’ITGI et l’ISACA se résume aux 5 problématiques suivantes :  Alignement stratégique (« IT Strategic Alignment »)  Création de Valeur (« IT Value Delivery »)  Gestion du risque informatique (« IT Risk Management »)  Mesure de performance (« Performance Measurement »)  Gestion des ressources (« IT Resource Management » ) 33
Les piliers de la Gouvernance des SI Alignement stratégique ( IT Strategic Alignment ) Gestion des ressources (IT Resource Management ) Mesure de performance (Performance Measurement ) Création de Valeur (IT Value Delivery ) Gestion du risque (Risk Management ) 34
Pensées Le concept d’industrie du savoir contient suffisamment de dynamite pour envoyer les économies traditionnelles sur orbite Ken Boulding L’âge moderne a un faux sentiment de supériorité, à cause de la masse considérable de données mise à sa disposition. Mais le seul critère de distinction est plutôt de savoir dans quelle mesure l’homme sait Goethe manier le matériau dont il dispose 35
COBIT Control OBjectives for Information & related Technology 36
CobiT  Traduit et publié en France par l’AFAI (Association Française de l’Audit Informatique, chapitre français de l’ISACA (Information System Audit and Control Association and Foundation), CobiT est le référentiel leader du monde de l’audit SI.  CobiT a pour mission de « rechercher, développer, faire connaître et promouvoir un ensemble d’objectifs de contrôle internationaux en technologies de l’information qui soient généralement acceptés, à jour, et fassent autorité, pour l’utilisation au jour le jour par les managers et les auditeurs »  De plus en plus, la pratique des affaires implique la pleine montée en puissance des responsables des processus de gestion, afin qu’ils exercent l’entière responsabilité de tous les aspects de processus de gestion. Ceci implique de mettre en place les contrôles adéquats.  C’est une des raisons qui ont amené CobiT à être orienté gestion 37
Objectifs de Contrôles, Points de Contrôles et Bonnes Pratiques  CobiT est un Référentiel reposant sur trois concepts:  Objectifs de Contrôles : ce sont les questions que se posent les dirigeants  Points de Contrôles : ce sont les aspects qui sont effectivement vérifiés  Bonnes Pratiques : c’est la base des points de contrôle 38
Quel est le problème ?  Quelle est la solution ?  En quoi consiste-t-elle ?  Est-ce que cela va fonctionner ?  Comment vais-je procéder ?  39
“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”  Évaluation des performances - Quels sont les indicateurs de bonne performance ?  Définition du profil des contrôles informatiques - Quels sont les éléments importants ? Quels Facteurs Clés de Succès utiliser dans le domaine du contrôle ?  Sensibilisation - Quels risques encourons-nous en n'atteignant pas nos objectifs ?  Comparaison - Que font les autres ? Comment évaluer et comparer ? 40
“Jusqu'où devons-nous aller, et le coût est-il justifié par le bénéfice ?”  Définir spécifiquement les éléments suivants va permettre de déterminer et de gérer un niveau de contrôle et de sécurité informatique approprié :  Tests Comparatifs des pratiques de contrôle informatique (sous forme de Modèles de maturité)  Indicateurs de Performance des processus informatiques (résultats et performances)  Facteurs Clés de Succès pour placer ces processus sous contrôle 41
Modèles de maturité 42
Objectifs de l’entreprise Gouvernance des Technologies de l’Information ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. COBIT 4.1 INFORMATION • Effectiveness • Efficiency • Confidentiality • Integrity • Availability • Compliance • Reliability PLAN AND ORGANISE MONITOR AND EVALUATE DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. IT RESSOURCES • Applications • Information • Infrastructure • People DELIVER AND SUPPORT ACQUIRE AND IMPLEMENT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. 43
Facteurs clés de succès (FCS) Ils définissent les actions les plus importantes à entreprendre et les questions essentielles à soulever par le management pour contrôler les processus informatiques dans leur ensemble et dans le détail. Ils doivent constituer des guides de mise en œuvre orientés management et mettre en lumière les tâches les plus importantes à entreprendre dans les domaines stratégiques, techniques, organisationnels et procéduraux. 44
Facteurs clés de succès (FCS)  En résumé les facteurs clés de succès sont :  Des facteurs centrés sur les processus, ou apportant un appui à l'environnement  Des choses, des conditions nécessaires, ou une activité recommandée, pour un succès optimum  Les choses les plus importantes à faire pour augmenter la probabilité de succès du processus  Les caractéristiques observables - habituellement quantifiables - de l'organisation et du processus  Par nature stratégiques, techniques, organisationnels ou procéduraux  Centrés sur l'obtention, le maintien et la mobilisation des capacités et des aptitudes  Exprimés en termes de processus, et pas nécessairement en termes de métier de l'entreprise 45
Indicateurs clés d’objectifs  Ils définissent les mesures qui indiqueront (a posteriori) au management si un processus informatique a répondu aux besoins de l'entreprise. Ils sont généralement exprimés en termes de critères d'information :  Disponibilité des informations requises pour répondre aux besoins métiers  Absence de risques en matière d'intégrité et de confidentialité  Rentabilité des processus et des opérations  Confirmation de la fiabilité, de l'efficacité et de la conformité 46
Indicateurs clés d’objectifs  En résumé les Indicateurs Clés d'Objectif sont :  Une manière de représenter le but du processus, c.-à-d. un chiffre ou une cible à atteindre  La description du résultat du processus, donc des indicateurs a posteriori, c.-à-d. chiffrables une fois le processus terminé  Des indicateurs immédiats de la réussite du processus ou des indicateurs indirects des bénéfices qu'il apporte à l'entreprise  Éventuellement une mesure chiffrée des conséquences de non atteinte des objectifs du processus  Focalisés sur les dimensions Client et Gestion Financière du Tableau de Bord Équilibré  Orientés vers l'informatique, mais centrés sur l 'activité de l'entreprise  Exprimés en termes précis et chiffrés, chaque fois que possible  Centrés sur les critères d'information qui ont été identifiés comme les plus importants pour ce processus. 47
Indicateurs clés de performance Ils définissent des mesures déterminant la qualité de fonctionnement du processus informatique dans la réalisation des objectifs. Ils renseignent sur la probabilité d'atteindre un objectif. Ce sont de bons indicateurs d'aptitudes, de pratiques et de compétences. 48
Indicateurs clés de performance  En résumé les Indicateurs Clés de Performance :  Sont la mesure de la qualité de fonctionnement d'un processus  Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs a priori  Sont orientés processus, mais mis en œuvre par l'informatique  Se concentrent sur les dimensions processus et capacité d'information du Tableau de Bord Équilibré  S'expriment en termes mesurables avec précision  Aident à l'amélioration des processus informatiques lorsqu'on les mesure et qu'on agit en conséquence  S'intéressent en priorité aux ressources identifiées comme les plus importantes pour le processus 49
Planification et Organisation (PO)  PO1 Define a strategic IT plan.  PO2 Define the information architecture.  PO3 Determine technological direction.  PO4 Define the IT processes, organisation and relationships.  PO5 Manage the IT investment.  PO6 Communicate management aims and direction.  PO7 Manage IT human resources.  PO8 Manage quality.  PO9 Assess and manage IT risks.  PO10 Manage projects. 50
Acquisition et Mise en Place (AMP)  AI1 Identify automated solutions.  AI2 Acquire and maintain application software.  AI3 Acquire and maintain technology infrastructure.  AI4 Enable operation and use.  AI5 Procure IT resources.  AI6 Manage changes.  AI7 Install and accredit solutions and changes. 51
Distribution et Support (DS)              DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. 52
Surveillance (S)  ME1 Monitor and evaluate IT performance.  ME2 Monitor and evaluate internal control.  ME3 Ensure regulatory compliance.  ME4 Provide IT governance. 53
Les standards + - ITIL IT processes BS7799 Security controls COBIT IT controls, IT metrics Security, systems development, people requirements, roles and responsibilities Process flows (how), people requirements, roles and responsibilities Process flows (how), people requirements, roles and responsibilities WHAT HOW BS7799 Security COBIT Control ITIL Activities 54
Les Standards Strategique Implémentation des contrôles XY XY ## ## Execution des Processus Instruction de travail • Work instruction •2 •3 • 4,5,6…. COBIT CMM ITIL • Work instruction •2 •3 • 4,5,6…. XY XY XY ## ## ## • Work instruction •2 •3 • 4,5,6…. • Work instruction •2 •3 • 4,5,6…. • Work instruction •2 •3 • 4,5,6…. 55
Gartner Advisory sur COBIT et ITIL BS7799 COBIT Control Security ITIL Activities WHAT HOW 56
COBIT et ISO 27000 Politique Sécurité Documente, communique and régulièrement revoir la politique SI Organisation de la Sécurité Contrôle d’accès Allocation des rôles et responsabilités, tierce partie: risques/contrôles et sous traitance Gestion des accès, Classification et Contrôle des actifs Inventaire des actifs et classification basée sur la criticité/Impact Sécurité du Personnel Screening du Recrutement, sensibilisation et formation, reporting des incidents Sécurité physique et environnement Sécurité physique du périmètre, équipements, ―clear desk et clear screen‖ Management Comm/Ops Procédures de gestion des Incidents, séparation des tâches, planification et recettage, gestion et protection des SW, contrôles des e-mails Développement et maintenance des applications Procédures de gestion du changement, séparation des environnements, spécifications de la sécurité Continuité de l’activité Plan de continuité de l’activité, le cadre PCA, rôles et équipes PCA, test du PCA, maintenance et mise à jour du PCA Conformité Contrôles Copyright, rétention des enregistrements et de l’information, conformité avec la législation— confidentialité des données, conformité avec la politique d’entreprise 57
COBIT et ISO 27000 318 100 34 80 ISO 27000 se projette à 100% sur COBIT 60 40 20 66 0 30% 25% 21 Projection de BS7799 sur Les Process COBIT 20% 15% 10% M4 M3 M2 M1 DS 12 DS 13 DS 11 DS 10 DS 9 DS 8 DS 7 DS 6 DS 5 DS 4 DS 3 DS 2 DS 1 AI 6 AI 5 AI 4 AI 3 AI 2 AI 1 PO 11 PO 10 PO 9 PO 8 PO 7 PO 6 PO 5 PO 4 PO 3 PO 1 0% PO 2 5% 58
ISO27000 Projeté sur les OC de COBIT 3.1.1 Information security policy document PO 6.8 3.1.2 Review and evaluation PO 6.5 4.1.1 Management information security forum PO 4.6 4.1.2 Information security co-ordination PO 4.6 4.1.3 Allocation of information security responsibilities PO 4.4 4.1.4 Authorization process for information processing facilities DS 5.4 4.1.5 Specialist information security advice PO 9.4 4.1.6 Co-operation between organizations DS 2.7 4.1.7 Independent review of information security M 4.1 4.2.1 Identification of risks from third party access PO 9.3 4.2.2 Security requirements in third party contracts DS 2.7 4.3.1 Security requirements in outsourcing contracts DS 2.7 5.1.1 Inventory of assets DS 1.6 5.2.1 Classification guidelines DS 5.8 5.2.2 Information labelling and handling DS 11.22 6.1.1 Including security in job responsibilities PO 4.4 6.1.2 Personnel screening and policy PO 7.6 6.1.3 Confidentiality agreements PO 6.6 6.1.4 T erms and conditions of employment PO 7.1 6.2.1 Information security education and training DS 7.3 6.3.1 Reporting security incidents DS 5.10 6.3.2 Reporting security weaknesses DS 5.10 6.3.3 Reporting software malfunctions DS 5.10 6.3.4 Learning from incidents DS 5.10 6.3.5 Disciplinary process PO 7.3 7.1.1 Physical security perimeter DS 12.1 7.1.2 Physical entry controls DS 12.1 7.1.3 Securing offices, rooms and facilities DS 12.1 7.1.4 Working in secure areas PO 6.10 7.1.5 Isolated delivery and loading areas DS 12.1 7.2.1 Equipment siting and protection DS 12.1 7.2.2 Power supplies DS 12.6 7.2.3 Cabling security PO 3.1 7.2.4 Equipment maintenance 7.2.5 Security of equipment off-premises 7.2.6 Secure disposal or re-use of equipment 7.3.1 Clear desk and clear screen policy 7.3.2 Removal of property 8.1.1 Documented operating procedures 8.1.2 Operational change control 8.1.3 Incident management procedures 8.1.4 Segregation of duties 8.1.5 Separation of development and operational facilities 8.1.6 External facilities management 8.2.1 Capacity planning 8.2.2 System acceptance 8.3.1 Controls against malicious software 8.4.1 Information back -up 8.4.2 Operator logs 8.4.3 Fault logging 8.5.1 Network controls 8.6.1 Management of removable computer media 8.6.2 Disposal of media 8.6.3 Information handling procedures 8.6.4 Security of system documentation 8.7.1 Information and software exchange agreements 8.7.2 Security of media in transit 8.7.3 Electronic commerce security 8.7.4 Security of electronic mail 8.7.5 Security of electronic office systems 8.7.6 Publicly available systems 8.7.7 Other forms of information exchange 9.1.1 Access control policy 9.2.1 User registration 9.2.2 Privilege management 9.2.3 User password management 9.2.4 Review of user access rights AI 3.2 PO 6.8 DS 11.18 PO 6.10 AI 3.3 DS 13.2 DS 13.1 DS 10.1 PO 4.10 PO 3.1 DS 2.3 DS 3.6 AI 5.13 DS 5.19 DS 11.25 DS 13.6 DS 10.1 DS 5.20 DS 5.21 DS 11.18 DS 5.21 DS 5.17 DS 9.5 DS 11.17 PO 8.5 DS 11.27 PO 6.8 AI 3.3 DS 11.17 DS 5.3 DS 5.4 DS 5.4 DS 5.4 DS 5.5 59
ISO27000 Projeté sur les OC de COBIT 9.3.1 Password use 9.3.2 Unattended user equipment 9.4.1 Policy on use of network services 9.4.2 Enforced path 9.4.3 User authentication for external connections 9.4.4 Node authentication 9.4.5 Remote diagnostic port protection 9.4.6 Segregation in networks 9.4.7 Network connection control 9.4.8 Network routing control 9.4.9 Security of network services 9.5 OPERAT ING SYST EM ACCE SS CONTROL 9.5.1 Automatic terminal identification 9.5.2 T erminal log-on procedures 9.5.3 User identification and authentication 9.5.4 Password management system 9.5.5 Use of system utilities 9.5.6 Duress alarm to safeguard users 9.5.7 T erminal time-out 9.5.8 Limitation of connection time 9.6.1 Information access restriction 9.6.2 Sensitive system isolation 9.7.1 Event logging 9.7.2 Monitoring system use 9.7.3 Clock synchronization 9.8.1 Mobile computing 9.8.2 T eleworking 10.1.1 Security requirements analysis and specification 10.2.1 Input data validation 10.2.2 Control of internal processing 10.2.3 Message authentication 10.2.4 Output data validation 10.3.1 Policy on the use of cryptographic controls 10.3.2 Encryption PO 6.8 AI 3.3 PO 6.8 DS 5.16 DS 5.20 DS 5.16 AI 3.3 PO 3.1 DS 5.20 AI 3.3 DS 5.2 AI 3.3 DS 5.16 DS 5.2 DS 5.2 DS 5.2 AI 3.7 DS 10.1 AI 3.3 DS 5.16 DS 5.3 DS 5.1 DS 5.10 DS 5.10 AI 3.4 PO 6.10 PO 6.10 PO 9.3 DS 11.6 DS 11.9 DS 11.28 DS 11.15 PO 6.10 DS 5.18 10.3.3 Digital signatures 10.3.4 Non-repudiation services 10.3.5 Key management 10.4.1 Control of operational software 10.4.2 Protection of system test data 10.4.3 Access control to program source library 10.5.1 Change control procedures 10.5.2 T echnical review of operating system changes 10.5.3 Restrictions on changes to software packages 10.5.4 Covert channels and T rojan code 10.5.5 Outsourced software development 11.1.1 Business continuity management process 11.1.2 Business continuity and impact analysis 11.1.3 Writing and implementing continuity plans 11.1.4 Business continuity planning framework 11.1.5 T esting, maintaining and re-assessing BCPs 12.1.1 Identification of applicable legislation 12.1.2 Intellectual property rights (IPR) 12.1.3 Safeguarding of organizational records 12.1.4 Data protection and privacy of personal information 12.1.5 Prevention of misuse of information processing facilities 12.1.6 Regulation of cryptographic controls 12.1.7 Collection of evidence 12.2.1 Compliance with security policy 12.2.2 T echnical compliance checking 12.3.1 System audit controls 12.3.2 Protection of system audit tools DS 5.18 DS 11.27 DS 5.18 DS 9.4 AI 5.8 AI 6.5 AI 6.1 AI 6.2 AI 6.3 DS 5.19 DS 2.5 DS 4.1 DS 4.1 DS 4.3 DS 4.1 DS 4.6 PO 8.4 PO 8.4 DS 5.7 PO 8.4 PO 6.8 PO 6.8 PO 6.8 PO 6.6 PO 6.6 M 4.1 AI 3.7 60
Plan and Organise (PO Process Domain) 61
Acquire and Implement Plan and Organise (AI Process Domain) (PO Process Domain) 62
Acquire and Implement Plan and Organise (AI Process Domain) (PO Process Domain) Deliver and Support (DS Process Domain) 63
Acquire and Implement (AI Process Domain) Plan and Organise (PO Process Domain) Monitor and Evaluate Deliver and Support (DS Process Domain) (M Process Domain) 64
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Ensure Compliance with External Standards Acquire and Maintain Application Software Install and Accredit Systems Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures Communicate Aims and Direction Manage Human Resource Identify Automated Solutions Assess Risks Manage Projects Manage Quality Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 65
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 66
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 67
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 68
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 69
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Desk Change Management Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 70
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Financial Management Continuity Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 71
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 72
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 73
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 74
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices plus EFQM Deliver and Support Monitor and Evaluate Monitor the Process Install and Accredit Systems Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 75
Acquire and Implement Plan and Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices plus EFQM plus SixSigma Deliver and Support Monitor and Evaluate Monitor the Process Install and Accredit Systems Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 76
Pensées The difficulty lies, not in the new ideas, but in escaping from the old ones John Maynard Keynes Aujourd’hui, la concurrence n’est plus industrielle mais informationnelle Robert Kaplan 77
PMBOK Project Management Body Of Knowledge 78
Pensées Il ne faut jamais faire de projets, surtout en ce qui concerne l’avenir ! Alphonse Allais L'homme n'est rien d'autre que son projet, il n'existe que dans la mesure où il se réalise. Jean-Paul Sartre 79
Les débuts de la gestion de projet  Les pyramides d’Égypte  La muraille de Chine  Le Colisée de Rome 80
Historique de la gestion de projet Période Appelation Variable dominante 1900-1960 Emergence Temps 1960-1980 Développement et professionalisation Coûts 1980-1990 Diversification Qualité 1990-2000 Globalisation Délai de mise en marché Gestion par projet Optimisation du portefeuille 2000- 81
Définition « Un projet est une entreprise temporaire décidée dans le but de créer un produit, un service ou un résultat unique » PMBOK 82
Contexte Mission: Opérations Vision: Stratégie Politiques opérationnelles Surveillance et mesures Projets 83
Contexte Mission: Opérations « Nous fabriquons des trous bien faits » « Nous offrons l’espoir » Vision: Projets « Etre leader dans la zone MENA à horizon de 2010 » « Ouvrir une centaine d’agences sur 5 ans » « Construire 50 000 logements sur 10 ans » « Atteindre le 1Mrd Dhs de CA sur 5 ans » 84
Aligner les projets à la stratégie Portefeuille de projets Projet A Entreprise dans 5 ans Projet B Projet C Entreprise aujourd’hui Projet D 85
Au niveau stratégique: la gestion PAR projet Vision globale Optimisation des ressources Hiérarchisation des projets Pro-activité dans la gestion des risques Meilleur contrôle et suivi des programmes Permet de s’assurer que les résultats des programmes supportent la réflexion stratégique 86
Fonctions du bureau de projets  Donner un statut officiel à la gestion de projet  Fournir une vision globale (portefeuille de projets)  Mettre les projets en ordre de priorité  Développer des mécanismes de contrôle et de suivi  Optimiser les ressources  Supporter et « coacher » toutes les personnes reliées de près ou de loin aux projets  Bâtir une mémoire corporative (leçons apprises)  Instaurer une vigie Intégration / Coordination / Communication 87
La gestion de projet dans le monde  Project Management Institute (PMI)  Plus de 260 000 membres  Dont 75 000 sont certifiés PMP (7 au Maroc répertoriés par l’AMMP)  Croissance annuelle de 35%  International Project Management Association (IPMA)  Plus de 30 000 membres 88
PMI : PMBOK  Section I : Le cadre du Management de Projet  Chapitre 1 : Introduction  Chapitre 2 : Cycle de vie du projet et Organisation  Section II: Norme du management d’un projet  Chapitre 3: processus de management d’un projet 89
PMI : Project Management Institute  Section III : Domaines de connaissance en management de projet  Chapitre 4 : Management de l'intégration du projet  Chapitre 5 : Management du contenu du projet  Chapitre 6 : Management des délais du projet  Chapitre 7 : Management des coûts du projet  Chapitre 8 : Management de la qualité du projet 90
PMI : Project Management Institute  Section III : Domaines de connaissance en management de projet  Chapitre 9 : Management des RH du projet  Chapitre 10 : Management des communications  Chapitre 11 : Management des risques du projet  Chapitre 12 : Management des approvisionnements 91
PMI : Processus et Disciplines de Gestion de Projet Intégration Contenu Appro Processus / Phases de la GP Init. Planif. Délais Risques Contrôle Réal. Clôture Com RH Coûts Qualité 92
Démarrage 4. Intégration du Management de Projet 5. Management du contenu de Projet 6. Management des délais du Projet 7. Management des coûts du Projet 8. Management de la qualité du Projet 9. Management des RH du Projet 10. Management des communications du Projet 11. Management des risques du Projet 12. Management des approvisionnements du Projet 4.1 Élaborer la Charte de projet 4.2 Élaborer l ’énoncé du contenu préliminaire du projet Planification 4.3 Élaborer le plan de Management du Projet Réalisation 4.4 Diriger et piloter l’exécution du projet Contrôle 4.5 Surveiller et maîtriser le Travail du projet 4.6 Maîtrise intégrée des modifications 5.1 Planification du contenu 5.2 Définition du contenu 5.3 Créer la structure de découpage du projet 6.6 Maîtrise de l’échéancier 7.1 Estimation des coûts 7.2 Budgétisation 4.7 Clore le projet 5.4 Vérification du contenu 5.5 Maîtrise du contenu 6.1 Identification des activités 6.2 Séquence ment des activités 6.3 Estimation des ressources nécessaires aux activités 6.4 Estimation de la durée des activités 6.5 Élaboration de l’échéancier Clôture 7.3 Maîtrise des coûts 8.1 Planification de la Qualité 8.2 Mettre en œuvre l’assurance Qualité 8.3 Mettre en œuvre le contrôle Qualité 9.1 Planification des Ressources Humaines 9.2 Former l’équipe de projet 9.3 Développer l’équipe de projet 9.4 Diriger l’équipe de projet 10.1 Planification des communications 10.2 Diffusion de l’information 10.3 Établissement des rapports d’avancement 10.4 Manager les parties prenantes 11.1 Planification du management des risques 11.2 Identification des risques 11.3 Analyse Qualitative des risques 11.4 Analyse Quantitative des risques 11.5 Planification des réponses aux risques 12.1 Planifier les approvisionnements 12.2 Planifier les contrats 11.6 Surveillance et maîtrise des risques 12.3 Solliciter des offres ou des propositions des fournisseurs 12.4 Choisir les fournisseurs 12.5 Administration des contrats 12.6 Clôture du contrat 93
Les 5 phases du Project Management Maturity Model (PMMM) de Kerzner Langage commun: A ce niveau de maturité, l’organisation reconnais l’importance de la gestion de projet Des processus communs: L’organisation met en œuvre les éfforts pour utiliser la gestion de projet et développer les processus et les méthodologies pour supporter son efficacité Une méthodologie unique: L’organisation reconnait que la synérgie et que le contrôle des processus peut être atteint à travers le développement d’une méthodologie de gestion de projet unique Étalonnage concurrentiel (Benchmarking): L’organisation se comparent tous le temps en terme de pratiques de gestion de projet dans le but d’améliorer les performances L’amélioration continue: L’organisation évalue les leçons apprises durant le benchmarking et implémente les changements nécessaires pour améliorer les processus de gestion de projet 94
Le OPM3 du PMI 95
4. Intégration du management de projet Charte projet:  Enoncé du contenu préliminaire du projet  Plan de management du projet  96
5. Management du contenu de projet Contenu du projet:  Structure de découpage de projet  Dictionnaire SDP  97
6. Management des délais Séquencement des activités  Estimation des ressources nécessaires aux activités  Echéancier  98
7. Management des coûts de projet Estimation des coûts  Budgétisation  99
8. Management de la Qualité Planification de la Qualité  Assurance Qualité  Contrôle Qualité  100
9. Management des RH Planifier les RH  Former l’équipe projet  Développer l’équipe projet  Diriger l’équipe projet  101
10. Management des communications du projet Planification des communications  Rapport d’avancement  Management des parties prenantes  102
11. Management des coûts de projet Planifier les approvisionnements  Planifier les contrats  Solliciter les offres  Choix des fournisseurs  103
12. Management des approvisionnements Identifier les risques  Analyse qualitative des risques  Analyse quantitative des risques  Planification des réponses aux risques  Surveillance et maîtrise des risques  104
C I PM S Processus Support Recruteme nt Formation Ressources Humaines Politique des déplaceme nts Règles d'utilisation des espaces S.I Gestion des réunion S.I Rôles et responsabil ités du DSI Cartes d'identificat ion du personnel Politique des Achats Reporting mensuel des activités S.I Politique de préparation des appels d'Offres Comité de Pilotage S.I Les comptes emails et les listes globales Gestion des enregistre ments et des fichiers Politique d'utilisation des PC portables Gestion des heures supplément aires Gestion de l'améliorati on des processus Orientation des nouveaux recrutés Politiques des rôles et Responsab ilités Politique du Budget S.I Revue des Politiques et des Procédures, approbation et publication Vol/perte des PCs portables Politique d'évaluatio n technique Adhésion aux standards PnPs Politique comptable des dépenses et charges S.I Budget & Finances Administration Transfert de tâches internes entre employés Transfert de connaissan ce et backup du personnel Politique de remplacem ent du matériel Achats Communication Politique de la propriété intellectuell e Gestion de service de parties Tierces sur ls sites S.I Politique de nommage des utilisateurs 105
Processus Opérationnels C I PM S réparation de l'infrastruct ure Politique backup Planificatio n de la capacité Politique de maintenanc e Opérations Politique de Gestion de l'Active Directory et de la Gestion des comptes Utilisateurs Gestion des contrats de maintenanc e Gestion des comptes de vendeurs support politique de gestion des supports de stockage des données Politiques et procédures de l'upgrade de l'OS/400 Politique de l'Outlook Web Access Politique de la documenta tion des serveurs Politique du monitoring des serveurs Les pistes d'Audit Len environnem ents de production et les autorisations d'accès Les Contrôles techniques Gestion des mails de masse Politique de conformité des emails Politique de Gestion du serveur des emails Politique de gestion de la taille des boites mails et des messages Gestion du réseau Mise à jour des Systèmes d'Exploitati on Les procédures opérationn elles et les responsabil ités Gestion des systèmes Politique de la vision Conférence Les travaux Fin de Journée; Fin de Mois et la gestion des incidents Interface du logiciel central Monitoring des services et escalade des incidents Politique Post Implément ation et revue des systèmes Migration des systèmes aux environne ments de production Management de projet Politques et procédures d'achat et d'acquisitio n des systèmes Politique PAB PnPs de la Gestion de projet Convention de nomage des projets 106
Processus Opérationnels C I PM S Sécurité Manuel sécurité de l’Informa tion Monitoring des systèmes, accès et utilisation Administrat ion des mots de passe de haut niveau Contrôle d'accès sur les OS Sécurité de l'AS/400 Politique de la salle machine Politique du PCA Sécurité Internet Gestion des autorisation s utilisateurs Politique des comptes privilégiés Désignation des administrate urs système et sécurité Politique de protection virus Confidentialité des donnés de production utilisés pour les tests et le développeme nt Politique de gestion des licences SW Service Desk et gestion des Incidents Gestion des niveaux de Services Politique de changeme nt des valeurs système Service Management Politique de manageme nt de la disponibilit é Politique de manageme nt de la capacité Politique de manageme nt du changeme nt Politique de scanning du réseau Politique de manageme nt du configuratio n Politique de la satisfaction client Politique de manageme nt des problèmes Gestion des audits IT 107
Processus Opérationnels C I PM S SDLC PnPs Convention de nommage de la documenta tion SDLC Politiques et procédures du processus d'expression de besoin SDLC IT Standards Politique du processus de test Politique et procédure du processus de déploiement Politique et procédure de la gestion du changeme nt Audit et revue du processus Assurance Qualité Standards des serveurs racks Quadri processeurs Standards des PCs portables et PC Standard Salle informatiqu e Politique du processus analyse et conception Standards des serveurs INTEL Standards des serveurs dual processeur s Standards des serveurs racks dual processeur s Standards des serveurs Quadri processeur s AS/400 valeurs systèmes 108
Pensées I am captivated more by dreams of the future than by the history of the past Thomas Jefferson Si j’ai vu plus loin que les autres, c’est parce que j’étais juché sur les épaules de géants Isaac Newton 109

Contenu connexe

PDF
Gestion de parc
parPatrick Ostertag
 
PDF
Masi intro csi
parMohamed Trad
 
PPTX
Presentation of Modular Datacenter in Container DCM20 ISO
parOlivier Paulhiac
 
PPT
Cours chapitre2 2012
parYves Caseau
 
PPT
Cours chapitre1 2012
parYves Caseau
 
PPTX
Reshaping the data center v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
Audit des projets informatiques
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
04 préparer le pmp management de la qualité
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Gestion de parc
parPatrick Ostertag
 
Masi intro csi
parMohamed Trad
 
Presentation of Modular Datacenter in Container DCM20 ISO
parOlivier Paulhiac
 
Cours chapitre2 2012
parYves Caseau
 
Cours chapitre1 2012
parYves Caseau
 
Reshaping the data center v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Audit des projets informatiques
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
04 préparer le pmp management de la qualité
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 

En vedette

PPT
01 préparer le pmp management du contenu
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PDF
Open Data - e-Madina 07 Avril 2016
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Présentation IT Governance cobit - IT BSC
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
05 préparer le pmp management des rh
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
06 préparer le pmp management de de la communication
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
07 préparer le pmp management des risques
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Le management de projet
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
01 management du contenu pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
00 préparer le pmp contexte gén - management de l'intégration
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
M03 mise en place d'un projet si dans une pme-ms - 20
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
00 contexte gén management de l'intégration
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
M01 avantages strategiques-24- ms
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
02 management des délais pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
09 responsabilité professionnelle pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
03 préparer le pmp management des coût
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Cobit v4.1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPT
M09 tendances et evolution métiers-ms-27
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Audit des si
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
10 management des parties prenantes pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
M02 les solutions informatques erp-ms - 20
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
01 préparer le pmp management du contenu
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Open Data - e-Madina 07 Avril 2016
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Présentation IT Governance cobit - IT BSC
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
05 préparer le pmp management des rh
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
06 préparer le pmp management de de la communication
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
07 préparer le pmp management des risques
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Le management de projet
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
01 management du contenu pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
00 préparer le pmp contexte gén - management de l'intégration
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
M03 mise en place d'un projet si dans une pme-ms - 20
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
00 contexte gén management de l'intégration
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
M01 avantages strategiques-24- ms
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
02 management des délais pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
09 responsabilité professionnelle pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
03 préparer le pmp management des coût
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Cobit v4.1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
M09 tendances et evolution métiers-ms-27
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Audit des si
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
10 management des parties prenantes pm bo-k v5
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
M02 les solutions informatques erp-ms - 20
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 

Similaire à Comment consilier entre les standards

PDF
It metrics part 1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Cours de Management des Systèmes d'information
parpapediallo3
 
PPT
Chapitre 4 Exploitation Entretien Soutien SI.ppt
parNajah Idrissi Moulay Rachid
 
PPT
Histoinfo
parAntoineMarceau
 
PDF
L'informatique de gestion-nassih CHAPITRE 1
parmouadbahssou
 
PDF
Let’s do IT differently !
parRASOLOFOMANANA Rivo
 
PPT
Technologies & Systèmes
parPaulin CHOUDJA
 
PPT
Si 1
parPDGUEYE
 
PDF
Innovation pour une DSI plus agile
parLaurent MEURISSE
 
PDF
LA GESTION DES SYSTEME D'INFORMATION pdf
parLilia Hedfi-Khayati
 
PPT
Exploitation Entretien et Soutien des SI
parArsène Ngato
 
PPT
Client serveur pour administration de réseau informatique
parSaidOusguine1
 
PPT
Smart ibm.15.09 10
parClub Alliances
 
PDF
web conference sur la finance des marchés
parHAMAAbass
 
PDF
Partie1-ASE-Intro-la partie introductive géné.pdf
parnihedbahria3
 
PPT
Introduction aux systèmes d’information des entreprises
parMessaoud Hatri
 
PPTX
Opportunité pour le DSI CIO dans ce nouveau monde digital
parBertrand Petit
 
PPTX
Chp2 - Vers les Architectures Orientées Services
parLilia Sfaxi
 
PDF
Ce que nous apprend l'histoire de l'informatique
parAlain Lefebvre
 
PPTX
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l'IT
parMicrosoft Technet France
 
It metrics part 1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Cours de Management des Systèmes d'information
parpapediallo3
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
parNajah Idrissi Moulay Rachid
 
Histoinfo
parAntoineMarceau
 
L'informatique de gestion-nassih CHAPITRE 1
parmouadbahssou
 
Let’s do IT differently !
parRASOLOFOMANANA Rivo
 
Technologies & Systèmes
parPaulin CHOUDJA
 
Si 1
parPDGUEYE
 
Innovation pour une DSI plus agile
parLaurent MEURISSE
 
LA GESTION DES SYSTEME D'INFORMATION pdf
parLilia Hedfi-Khayati
 
Exploitation Entretien et Soutien des SI
parArsène Ngato
 
Client serveur pour administration de réseau informatique
parSaidOusguine1
 
Smart ibm.15.09 10
parClub Alliances
 
web conference sur la finance des marchés
parHAMAAbass
 
Partie1-ASE-Intro-la partie introductive géné.pdf
parnihedbahria3
 
Introduction aux systèmes d’information des entreprises
parMessaoud Hatri
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
parBertrand Petit
 
Chp2 - Vers les Architectures Orientées Services
parLilia Sfaxi
 
Ce que nous apprend l'histoire de l'informatique
parAlain Lefebvre
 
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l'IT
parMicrosoft Technet France
 

Comment consilier entre les standards

  • 1.
    Comment concilier entre lesstandards Mohamed SAAD
  • 2.
    Les Bonnes PratiquesInformatiques COBIT ITIL PMBoK ISO 27 002 2
  • 3.
  • 4.
    L’évolution organisationnelle 0. [30..48]:l’informatique était essentiellement au service des départements militaires 1. Durant les 30 glorieuses: le modèle économique était essentiellement tourné vers l’industrie et la production pour construire l’après guerre: • L’informatique a suivi: • les investissements informatiques avaient pour objectif l’automatisation des fonctions administratives telles que la comptabilité et la paie. L’informatique était avant tout une fonction de production et son impact sur l’organisation était alors limitée 4
  • 5.
    L’évolution organisationnelle 2. Fin desannées 70..années 90 : le modèle économique introduit les techniques marketing, l’analyse comportementale du client, La maîtrise des coûts…: • L’informatique a suivi: • Durant cette phase, l’introduction d’outils de gestion de l’information (GPAO, BD, Data Warehouse…) a amené des changements dans le travail : émergence de nouveaux métiers, démocratisation des outils bureautiques, besoin de formation… 5
  • 6.
    L’évolution organisationnelle 3. 21 siècle: les marchés sont devenus de mégas plateformes planétaires, avec des organisations d’entreprises multi culturelles. Les services représentent 70% de l’économie mondiale: • L’informatique n’a pas uniquement suivi mais elle est devenu au cœur de l’implosion: • Nous sommes à présent dans une nouvelle phase, avec des outils de plus en plus sophistiqués et interconnectés, les nouvelles formes d’applications de l’informatique sont le moteur d’une transformation en profondeur du marché et des entreprises 6
  • 7.
    Le S.I estau cœur de l’activité de l’entreprise Clients prospection vente Partenaires services conception SI maintenance achats réception Fournisseurs Organismes de contrôle logistique production 7
  • 8.
    L’alignement stratégique IT Governance Politique Générale del’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Générale de l’Entreprise Politique Des S.I Politique Des S.I Politique Des S.I Politique Des S.I Inexistence de l’un ou de l’autre Indépendance De l’un Par rapport À l’autre Politique S.I Déduite De La politique Générale Politique Des S.I L’un influence L’autre Et Vice versa Politique S.I Et politique Générale Développées conjointement 5 Cas de figures sont possibles (Source: Acadys – Enquête sur la Gouvernance des SI) 8
  • 9.
  • 10.
    Infrastructure matérielle: Évolution 45-60 ENIAC PersonalComputer Network computer 95-2000 Cluster de PCs 2000-… HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD HEWLETT PACKARD Année 75 - 90 HEWLETT PACKARD 55-80 Vax PDP 11 Super calculateur 10
  • 11.
    Infrastructure matérielle les 20dernières années  L’extraordinaire explosion des microprocesseurs (loi de Gordon Moore)      Moore prédit tout d’abord un doublement du nombre de transistors dans une puce tous les 18 mois La montée en puissance des réseaux La montée en puissance des Minis puis des serveurs Le retour en puissance des centraux (C/S en 2/3, 3/3…) Les environnements hétérogènes    SNA ISO/OSI TCP/IP 11
  • 12.
    Infrastructure matérielle Impacts deces tendances  Cette évolution a changé les organisations de travail:  Les monde de l’informatique centrale et de l’informatique micro ont cessé de vivre chacun de son côté :    Conciliation L’informatique est désormais partagée, elle n’appartient plus qu’aux informaticiens Les DSI ont dû s’adapter:       Des compétences plus variées (Architectes S.I, Urbanisation S.I, veilles technologiques…) Une organisation matricielle Des outils de travail indispensables Des solutions progiciel orientées métier (« MySap »…) Des organisations impliquant et responsabilisant l’utilisateur (Process Owner, Project sponsor, maîtrise d’ouvrage / maîtrise d’œuvre…) Disparition des DOSI, DOI  DSI, DPO… (le débat est toujours ouvert) 12
  • 13.
    Rappels techniques descomposantes d’un S.I Stratégie, Gestion, Sécurité Études Logiciels, applicatifs et données Réseaux Matériels Exploitation Logiciels de base Équipes Infrastructure 13
  • 14.
    Infrastructure matérielle Type d’Ordinateurs(1)  PC ou Personnel Computer, Portables, Palm (Personal Digital Assistant), Station de travail 14
  • 15.
    Infrastructure matérielle Type d’Ordinateurs(2)  Serveurs:  Des ordinateurs +       services optimisés multi processeurs disques RAID Plusieurs équipements redondants multi ventilateur… Mainframe:  De grands ordinateurs faisant partie des premières générations des constructeurs IBM, BULL, DEC…, ou l’informatique est essentiellement centralisée. Les utilisateurs opèrent à travers des terminaux (Écran/clavier)  Capable en terme d’espace d’occuper de larges surfaces  Plusieurs équipements accompagnent les mainframes (robots de sauvegardes et de stockage de bandes, unités d’entrée/sortie de bandes et de cartouches, de méga imprimantes…) 15
  • 16.
    Infrastructure matérielle Quelques plateformes  Grossystèmes (Mainframe)  IBM  BULL  DEC  ES9000 DPS8 VAX 9XXX zSeries DPS9 MINI SYSTEMES  IBM  DEC  UNISYS  HP  3090 DPS7 VAX 6XXX AS400  iSeries MicroVAX VAX A series HP 3000 (GX, LX) SERVEURS      IBM BULL DEC SUN HP RISC 6000 DPX 2 ALPHA SPARC STATION HP 9000, Proliant BL, ML, DL xxx… 16
  • 17.
    Infrastructure matérielle Les tendances  Desserveurs packagés (« appliance servers »)    matériel et logiciels préinstallés pour un service précis (gestion de fichiers, impression, travail coopératif, NAS, Web, sécurité, messagerie, cache, pare-feu, VPN, répartition de charges, SSL…. ) solutions peu coûteuses, sous Windows ou Linux ou BeOS, en versions allégées Les serveurs lames (server blade) se multiplient   en armoire ou en châssis pour un gain de place, de consommation et d’argent un format 3U (13,3cm de haut) peut contenir 24 serveurs, un rack (2m)  Le multiprocessing est plus en vogue que jamais...  … et les techniques de grappes et de tolérance aux pannes  Faire fonctionner plusieurs OS sur une seule machine virtuelle Ex : Connectix (Virtual Server/Microsoft), VMware (GSX Server/IBM) 17
  • 18.
    Infrastructure matérielle Quelles perspectivespour les Mainframes ?  Des architectures basées sur des processeurs «standardisés» (Intel?) et l’abandon des processeurs «propriétaires»  Un des challenges des prochaines années  Des machines multi-processeurs permettant de faire tourner plusieurs OS (compatibilité avec l’existant, consolidation)  Gamme @server, zSeries 800 et 900 d’IBM       Jusqu’à 512 processeurs Processeurs dédiés à certaines tâches (E/S) z/OS, 64 bits, permettant de faire tourner OS/390 Linux on zSeries z/VM, un hyperviseur supportant concurremment z/OS, OS/390, VSE/ESA, Linux for S/390 et Linux for zSeries Concept « On demand » d’IBM 18
  • 19.
    Le pendule desArchitectures Informatiques Autonomie de l’utilisateur: • Infocentre / datawarehouse/ datamining… • Développements locaux • Partage de données • Sauvegarde non contrôlée • OS peu fiables… Informatique centralisée: • Salle machine unique • Gros système • Utilisateurs accédant à travers des terminaux • Les supports de stockage sont centralisés… Démocratisation de l’informatique: • Utilisateurs connectés au sites/serveurs • PCs • Avènement du Client/serveur •… Années 50, 60, 70 Années 80 Années 90 19
  • 20.
    Le pendule desArchitectures Informatiques  Sécurité  Sécurité Informatique centralisée: • Maîtrise des plateformes • Centralisation de l’information • Contrôle de l’infrastructure • Maîtrise et centralisation des sauvegardes / Performances / fiabilités des supports / machines • Baies de stockage • Backups / PCA / sites secours •… Ces 10 dernières années Autonomie de l’utilisateur: • Infocentre / datawarehouse/ datamining… • Développements locaux • Partage de données • Sauvegarde non contrôlée • OS peu fiables… Démocratisation de l’informatique: • Utilisateurs connectés au sites/serveurs • PCs • Avènement du Client/serveur •… Années 90 20
  • 21.
  • 22.
    Bonne Pratique  Une bonnepratique d’un domaine donné est une pratique conforme à l’état de l’art de ce domaine. Fruit de l’expérience et de la recherche, son efficacité et sa fiabilité sont avérées,ont été éprouvées et sont reconnues par tous.  Dans le domaine des systèmes d’information, il existe de nombreuses bonnes pratiques dont l’application permet la performance du SI et par incidence la performance de l’organisation.  Il est possible de définir une bonne pratique comme une Règle possédant trois propriétés :  conformité à l’état de l’art  performance et fiabilité éprouvées  reconnaissance par tous Un ensemble de bonnes pratiques constitue un référentiel 22
  • 23.
    Référentiel  Un Référentiel estun ensemble de règles et d’usages que les professionnels reconnaissent comme vrais et considèrent qu’elles devraient être appliquées  Pour piloter efficacement l’informatique il faut appliquer les règles efficaces et qui ont fait leurs preuves  Ces règles permettent de mesurer la distance entre ce qui est observé et ce qui devrait se faire  Pour effectuer un audit il est nécessaire de disposer d’un référentiel  Les référentiels sont des recueilles de bonnes pratiques 23
  • 24.
    Adapter les outilsaux situations variées Traduction : en retard bourré traces de rouge à lèvres 24
  • 25.
    Pensées Les technologies del'information ont changé la façon dont les gens créent de la valeur Alan Greenspan économique Sans objectif de productivité il n’y a pas d’orientation pour l’entreprise; sans mesure de Paul Strasmann la productivité il n’y a pas de contrôle 25
  • 26.
  • 27.
    Les origines historiques: depuis l’antiquité… 1789 Les philosophes des lumières: pour les grands révolutionnaires (Montesquieu, Rousseau, Diderot), la séparation des pouvoirs est le fondement de la bonne gouvernance XIVe siècle Sous l’Ancien régime : la gouvernance = despotisme, féodalité XIIIe siècle Origine publique du terme gouvernance: l’art ou la manière de gouverner - Français: gouverner, gouvernement, gouvernance,…. - Anglais: govern, government, governance….. Ve Origine Grecque : « la citée idéale », Hérodote, Platon… siècle Le verbe « Kubernàn »,« gubermare, gubermantia » = piloter un navire ou un char) av J.C 27
  • 28.
    L’origine de laGouvernance d’entreprise Enron's Kenneth Lay & Jeffrey Skilling D’hier… … à aujourd’hui ! 28
  • 29.
    Les origines contemporaines: depuis 1929….. 2000 1980 1934 Début des scandales Financiers « Corporate Governance » née dans les milieux d'affaires US. - Lancement du New Deal par le président Franklin D. Roosevelt : création de la Securities Exchange Commission (SEC) – Autorité de contrôle des marchés financiers. - Travaux de Adolf Berle et Gardiner Means (The Modern Corporation and Private Property), et Ronald Coase (The nature of the firm) : introduction de la notion de « corporate governance ». 1929 Crash boursier : « le jeudi noir » 29
  • 30.
    Ce que c’est… Depuisl’antiquité, l’objectif fondamental de la Gouvernance est d’assurer qu’un état ou un système soit juste, libre et géré efficacement, à la fois pour les instances dirigeantes (CA, actionnaires) ainsi que pour les citoyens. 30
  • 31.
    Ce que cen’est pas… Aujourd’hui, le concept de gouvernance est largement utilisé mais aussi dévoyé, en obérant ses racines et sa véritable raison d’être. En particulier, une confusion importante a lieu en mélangeant les notions de « bonnes pratiques de gestion interne » et de « gouvernance ». La Gouvernance amène avant tout une perspective dite « exogène » du système et ne peux être assimilée aux bonnes pratiques de gestion interne (vision « endogène »), n’intéressant pas forcément les actionnaires ou citoyens. Il est dangereux et erroné de confondre, gestion opérationnelle et management stratégique. 31
  • 32.
    La Gouvernance Informatique Définition: La Gouvernance Informatique comme tout autre sujet de gouvernance, est la responsabilité directe des Dirigeants et des Actionnaires de l’entreprise représentés par le Conseil d’Administration. Elle consiste dans le pilotage, les structures organisationnelles et les processus assurant que l’organisation informatique supporte parfaitement les objectifs et stratégies de l’entreprise. L’ objectif de la gouvernance informatique est d’assurer que l’informatique répond bel et bien aux objectifs suivants : • Alignement avec l’entreprise et atteinte des objectifs attendus • Permettre à l’entreprise d’exploiter les opportunités en maximisant ses bénéfices • Optimisant l’utilisation des ressources informatiques • Gérant les risques de manière adéquate 32
  • 33.
    Les 5 piliersde la Gouvernance Informatique Aujourd’hui, la gouvernance informatique telle que définie par l’ITGI et l’ISACA se résume aux 5 problématiques suivantes :  Alignement stratégique (« IT Strategic Alignment »)  Création de Valeur (« IT Value Delivery »)  Gestion du risque informatique (« IT Risk Management »)  Mesure de performance (« Performance Measurement »)  Gestion des ressources (« IT Resource Management » ) 33
  • 34.
    Les piliers dela Gouvernance des SI Alignement stratégique ( IT Strategic Alignment ) Gestion des ressources (IT Resource Management ) Mesure de performance (Performance Measurement ) Création de Valeur (IT Value Delivery ) Gestion du risque (Risk Management ) 34
  • 35.
    Pensées Le concept d’industriedu savoir contient suffisamment de dynamite pour envoyer les économies traditionnelles sur orbite Ken Boulding L’âge moderne a un faux sentiment de supériorité, à cause de la masse considérable de données mise à sa disposition. Mais le seul critère de distinction est plutôt de savoir dans quelle mesure l’homme sait Goethe manier le matériau dont il dispose 35
  • 36.
    COBIT Control OBjectives forInformation & related Technology 36
  • 37.
    CobiT  Traduit et publiéen France par l’AFAI (Association Française de l’Audit Informatique, chapitre français de l’ISACA (Information System Audit and Control Association and Foundation), CobiT est le référentiel leader du monde de l’audit SI.  CobiT a pour mission de « rechercher, développer, faire connaître et promouvoir un ensemble d’objectifs de contrôle internationaux en technologies de l’information qui soient généralement acceptés, à jour, et fassent autorité, pour l’utilisation au jour le jour par les managers et les auditeurs »  De plus en plus, la pratique des affaires implique la pleine montée en puissance des responsables des processus de gestion, afin qu’ils exercent l’entière responsabilité de tous les aspects de processus de gestion. Ceci implique de mettre en place les contrôles adéquats.  C’est une des raisons qui ont amené CobiT à être orienté gestion 37
  • 38.
    Objectifs de Contrôles,Points de Contrôles et Bonnes Pratiques  CobiT est un Référentiel reposant sur trois concepts:  Objectifs de Contrôles : ce sont les questions que se posent les dirigeants  Points de Contrôles : ce sont les aspects qui sont effectivement vérifiés  Bonnes Pratiques : c’est la base des points de contrôle 38
  • 39.
    Quel est leproblème ?  Quelle est la solution ?  En quoi consiste-t-elle ?  Est-ce que cela va fonctionner ?  Comment vais-je procéder ?  39
  • 40.
    “Jusqu'où devons-nous aller,et le coût est-il justifié par le bénéfice ?”  Évaluation des performances - Quels sont les indicateurs de bonne performance ?  Définition du profil des contrôles informatiques - Quels sont les éléments importants ? Quels Facteurs Clés de Succès utiliser dans le domaine du contrôle ?  Sensibilisation - Quels risques encourons-nous en n'atteignant pas nos objectifs ?  Comparaison - Que font les autres ? Comment évaluer et comparer ? 40
  • 41.
    “Jusqu'où devons-nous aller,et le coût est-il justifié par le bénéfice ?”  Définir spécifiquement les éléments suivants va permettre de déterminer et de gérer un niveau de contrôle et de sécurité informatique approprié :  Tests Comparatifs des pratiques de contrôle informatique (sous forme de Modèles de maturité)  Indicateurs de Performance des processus informatiques (résultats et performances)  Facteurs Clés de Succès pour placer ces processus sous contrôle 41
  • 42.
  • 43.
    Objectifs de l’entreprise Gouvernancedes Technologies de l’Information ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. COBIT 4.1 INFORMATION • Effectiveness • Efficiency • Confidentiality • Integrity • Availability • Compliance • Reliability PLAN AND ORGANISE MONITOR AND EVALUATE DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. IT RESSOURCES • Applications • Information • Infrastructure • People DELIVER AND SUPPORT ACQUIRE AND IMPLEMENT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. 43
  • 44.
    Facteurs clés desuccès (FCS) Ils définissent les actions les plus importantes à entreprendre et les questions essentielles à soulever par le management pour contrôler les processus informatiques dans leur ensemble et dans le détail. Ils doivent constituer des guides de mise en œuvre orientés management et mettre en lumière les tâches les plus importantes à entreprendre dans les domaines stratégiques, techniques, organisationnels et procéduraux. 44
  • 45.
    Facteurs clés desuccès (FCS)  En résumé les facteurs clés de succès sont :  Des facteurs centrés sur les processus, ou apportant un appui à l'environnement  Des choses, des conditions nécessaires, ou une activité recommandée, pour un succès optimum  Les choses les plus importantes à faire pour augmenter la probabilité de succès du processus  Les caractéristiques observables - habituellement quantifiables - de l'organisation et du processus  Par nature stratégiques, techniques, organisationnels ou procéduraux  Centrés sur l'obtention, le maintien et la mobilisation des capacités et des aptitudes  Exprimés en termes de processus, et pas nécessairement en termes de métier de l'entreprise 45
  • 46.
    Indicateurs clés d’objectifs  Ilsdéfinissent les mesures qui indiqueront (a posteriori) au management si un processus informatique a répondu aux besoins de l'entreprise. Ils sont généralement exprimés en termes de critères d'information :  Disponibilité des informations requises pour répondre aux besoins métiers  Absence de risques en matière d'intégrité et de confidentialité  Rentabilité des processus et des opérations  Confirmation de la fiabilité, de l'efficacité et de la conformité 46
  • 47.
    Indicateurs clés d’objectifs  Enrésumé les Indicateurs Clés d'Objectif sont :  Une manière de représenter le but du processus, c.-à-d. un chiffre ou une cible à atteindre  La description du résultat du processus, donc des indicateurs a posteriori, c.-à-d. chiffrables une fois le processus terminé  Des indicateurs immédiats de la réussite du processus ou des indicateurs indirects des bénéfices qu'il apporte à l'entreprise  Éventuellement une mesure chiffrée des conséquences de non atteinte des objectifs du processus  Focalisés sur les dimensions Client et Gestion Financière du Tableau de Bord Équilibré  Orientés vers l'informatique, mais centrés sur l 'activité de l'entreprise  Exprimés en termes précis et chiffrés, chaque fois que possible  Centrés sur les critères d'information qui ont été identifiés comme les plus importants pour ce processus. 47
  • 48.
    Indicateurs clés deperformance Ils définissent des mesures déterminant la qualité de fonctionnement du processus informatique dans la réalisation des objectifs. Ils renseignent sur la probabilité d'atteindre un objectif. Ce sont de bons indicateurs d'aptitudes, de pratiques et de compétences. 48
  • 49.
    Indicateurs clés deperformance  En résumé les Indicateurs Clés de Performance :  Sont la mesure de la qualité de fonctionnement d'un processus  Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs a priori  Sont orientés processus, mais mis en œuvre par l'informatique  Se concentrent sur les dimensions processus et capacité d'information du Tableau de Bord Équilibré  S'expriment en termes mesurables avec précision  Aident à l'amélioration des processus informatiques lorsqu'on les mesure et qu'on agit en conséquence  S'intéressent en priorité aux ressources identifiées comme les plus importantes pour le processus 49
  • 50.
    Planification et Organisation(PO)  PO1 Define a strategic IT plan.  PO2 Define the information architecture.  PO3 Determine technological direction.  PO4 Define the IT processes, organisation and relationships.  PO5 Manage the IT investment.  PO6 Communicate management aims and direction.  PO7 Manage IT human resources.  PO8 Manage quality.  PO9 Assess and manage IT risks.  PO10 Manage projects. 50
  • 51.
    Acquisition et Miseen Place (AMP)  AI1 Identify automated solutions.  AI2 Acquire and maintain application software.  AI3 Acquire and maintain technology infrastructure.  AI4 Enable operation and use.  AI5 Procure IT resources.  AI6 Manage changes.  AI7 Install and accredit solutions and changes. 51
  • 52.
    Distribution et Support(DS)              DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. 52
  • 53.
    Surveillance (S)  ME1 Monitorand evaluate IT performance.  ME2 Monitor and evaluate internal control.  ME3 Ensure regulatory compliance.  ME4 Provide IT governance. 53
  • 54.
    Les standards + - ITIL ITprocesses BS7799 Security controls COBIT IT controls, IT metrics Security, systems development, people requirements, roles and responsibilities Process flows (how), people requirements, roles and responsibilities Process flows (how), people requirements, roles and responsibilities WHAT HOW BS7799 Security COBIT Control ITIL Activities 54
  • 55.
    Les Standards Strategique Implémentation des contrôles XY XY ## ## Execution desProcessus Instruction de travail • Work instruction •2 •3 • 4,5,6…. COBIT CMM ITIL • Work instruction •2 •3 • 4,5,6…. XY XY XY ## ## ## • Work instruction •2 •3 • 4,5,6…. • Work instruction •2 •3 • 4,5,6…. • Work instruction •2 •3 • 4,5,6…. 55
  • 56.
    Gartner Advisory surCOBIT et ITIL BS7799 COBIT Control Security ITIL Activities WHAT HOW 56
  • 57.
    COBIT et ISO27000 Politique Sécurité Documente, communique and régulièrement revoir la politique SI Organisation de la Sécurité Contrôle d’accès Allocation des rôles et responsabilités, tierce partie: risques/contrôles et sous traitance Gestion des accès, Classification et Contrôle des actifs Inventaire des actifs et classification basée sur la criticité/Impact Sécurité du Personnel Screening du Recrutement, sensibilisation et formation, reporting des incidents Sécurité physique et environnement Sécurité physique du périmètre, équipements, ―clear desk et clear screen‖ Management Comm/Ops Procédures de gestion des Incidents, séparation des tâches, planification et recettage, gestion et protection des SW, contrôles des e-mails Développement et maintenance des applications Procédures de gestion du changement, séparation des environnements, spécifications de la sécurité Continuité de l’activité Plan de continuité de l’activité, le cadre PCA, rôles et équipes PCA, test du PCA, maintenance et mise à jour du PCA Conformité Contrôles Copyright, rétention des enregistrements et de l’information, conformité avec la législation— confidentialité des données, conformité avec la politique d’entreprise 57
  • 58.
    COBIT et ISO27000 318 100 34 80 ISO 27000 se projette à 100% sur COBIT 60 40 20 66 0 30% 25% 21 Projection de BS7799 sur Les Process COBIT 20% 15% 10% M4 M3 M2 M1 DS 12 DS 13 DS 11 DS 10 DS 9 DS 8 DS 7 DS 6 DS 5 DS 4 DS 3 DS 2 DS 1 AI 6 AI 5 AI 4 AI 3 AI 2 AI 1 PO 11 PO 10 PO 9 PO 8 PO 7 PO 6 PO 5 PO 4 PO 3 PO 1 0% PO 2 5% 58
  • 59.
    ISO27000 Projeté sur les OC deCOBIT 3.1.1 Information security policy document PO 6.8 3.1.2 Review and evaluation PO 6.5 4.1.1 Management information security forum PO 4.6 4.1.2 Information security co-ordination PO 4.6 4.1.3 Allocation of information security responsibilities PO 4.4 4.1.4 Authorization process for information processing facilities DS 5.4 4.1.5 Specialist information security advice PO 9.4 4.1.6 Co-operation between organizations DS 2.7 4.1.7 Independent review of information security M 4.1 4.2.1 Identification of risks from third party access PO 9.3 4.2.2 Security requirements in third party contracts DS 2.7 4.3.1 Security requirements in outsourcing contracts DS 2.7 5.1.1 Inventory of assets DS 1.6 5.2.1 Classification guidelines DS 5.8 5.2.2 Information labelling and handling DS 11.22 6.1.1 Including security in job responsibilities PO 4.4 6.1.2 Personnel screening and policy PO 7.6 6.1.3 Confidentiality agreements PO 6.6 6.1.4 T erms and conditions of employment PO 7.1 6.2.1 Information security education and training DS 7.3 6.3.1 Reporting security incidents DS 5.10 6.3.2 Reporting security weaknesses DS 5.10 6.3.3 Reporting software malfunctions DS 5.10 6.3.4 Learning from incidents DS 5.10 6.3.5 Disciplinary process PO 7.3 7.1.1 Physical security perimeter DS 12.1 7.1.2 Physical entry controls DS 12.1 7.1.3 Securing offices, rooms and facilities DS 12.1 7.1.4 Working in secure areas PO 6.10 7.1.5 Isolated delivery and loading areas DS 12.1 7.2.1 Equipment siting and protection DS 12.1 7.2.2 Power supplies DS 12.6 7.2.3 Cabling security PO 3.1 7.2.4 Equipment maintenance 7.2.5 Security of equipment off-premises 7.2.6 Secure disposal or re-use of equipment 7.3.1 Clear desk and clear screen policy 7.3.2 Removal of property 8.1.1 Documented operating procedures 8.1.2 Operational change control 8.1.3 Incident management procedures 8.1.4 Segregation of duties 8.1.5 Separation of development and operational facilities 8.1.6 External facilities management 8.2.1 Capacity planning 8.2.2 System acceptance 8.3.1 Controls against malicious software 8.4.1 Information back -up 8.4.2 Operator logs 8.4.3 Fault logging 8.5.1 Network controls 8.6.1 Management of removable computer media 8.6.2 Disposal of media 8.6.3 Information handling procedures 8.6.4 Security of system documentation 8.7.1 Information and software exchange agreements 8.7.2 Security of media in transit 8.7.3 Electronic commerce security 8.7.4 Security of electronic mail 8.7.5 Security of electronic office systems 8.7.6 Publicly available systems 8.7.7 Other forms of information exchange 9.1.1 Access control policy 9.2.1 User registration 9.2.2 Privilege management 9.2.3 User password management 9.2.4 Review of user access rights AI 3.2 PO 6.8 DS 11.18 PO 6.10 AI 3.3 DS 13.2 DS 13.1 DS 10.1 PO 4.10 PO 3.1 DS 2.3 DS 3.6 AI 5.13 DS 5.19 DS 11.25 DS 13.6 DS 10.1 DS 5.20 DS 5.21 DS 11.18 DS 5.21 DS 5.17 DS 9.5 DS 11.17 PO 8.5 DS 11.27 PO 6.8 AI 3.3 DS 11.17 DS 5.3 DS 5.4 DS 5.4 DS 5.4 DS 5.5 59
  • 60.
    ISO27000 Projeté sur les OC deCOBIT 9.3.1 Password use 9.3.2 Unattended user equipment 9.4.1 Policy on use of network services 9.4.2 Enforced path 9.4.3 User authentication for external connections 9.4.4 Node authentication 9.4.5 Remote diagnostic port protection 9.4.6 Segregation in networks 9.4.7 Network connection control 9.4.8 Network routing control 9.4.9 Security of network services 9.5 OPERAT ING SYST EM ACCE SS CONTROL 9.5.1 Automatic terminal identification 9.5.2 T erminal log-on procedures 9.5.3 User identification and authentication 9.5.4 Password management system 9.5.5 Use of system utilities 9.5.6 Duress alarm to safeguard users 9.5.7 T erminal time-out 9.5.8 Limitation of connection time 9.6.1 Information access restriction 9.6.2 Sensitive system isolation 9.7.1 Event logging 9.7.2 Monitoring system use 9.7.3 Clock synchronization 9.8.1 Mobile computing 9.8.2 T eleworking 10.1.1 Security requirements analysis and specification 10.2.1 Input data validation 10.2.2 Control of internal processing 10.2.3 Message authentication 10.2.4 Output data validation 10.3.1 Policy on the use of cryptographic controls 10.3.2 Encryption PO 6.8 AI 3.3 PO 6.8 DS 5.16 DS 5.20 DS 5.16 AI 3.3 PO 3.1 DS 5.20 AI 3.3 DS 5.2 AI 3.3 DS 5.16 DS 5.2 DS 5.2 DS 5.2 AI 3.7 DS 10.1 AI 3.3 DS 5.16 DS 5.3 DS 5.1 DS 5.10 DS 5.10 AI 3.4 PO 6.10 PO 6.10 PO 9.3 DS 11.6 DS 11.9 DS 11.28 DS 11.15 PO 6.10 DS 5.18 10.3.3 Digital signatures 10.3.4 Non-repudiation services 10.3.5 Key management 10.4.1 Control of operational software 10.4.2 Protection of system test data 10.4.3 Access control to program source library 10.5.1 Change control procedures 10.5.2 T echnical review of operating system changes 10.5.3 Restrictions on changes to software packages 10.5.4 Covert channels and T rojan code 10.5.5 Outsourced software development 11.1.1 Business continuity management process 11.1.2 Business continuity and impact analysis 11.1.3 Writing and implementing continuity plans 11.1.4 Business continuity planning framework 11.1.5 T esting, maintaining and re-assessing BCPs 12.1.1 Identification of applicable legislation 12.1.2 Intellectual property rights (IPR) 12.1.3 Safeguarding of organizational records 12.1.4 Data protection and privacy of personal information 12.1.5 Prevention of misuse of information processing facilities 12.1.6 Regulation of cryptographic controls 12.1.7 Collection of evidence 12.2.1 Compliance with security policy 12.2.2 T echnical compliance checking 12.3.1 System audit controls 12.3.2 Protection of system audit tools DS 5.18 DS 11.27 DS 5.18 DS 9.4 AI 5.8 AI 6.5 AI 6.1 AI 6.2 AI 6.3 DS 5.19 DS 2.5 DS 4.1 DS 4.1 DS 4.3 DS 4.1 DS 4.6 PO 8.4 PO 8.4 DS 5.7 PO 8.4 PO 6.8 PO 6.8 PO 6.8 PO 6.6 PO 6.6 M 4.1 AI 3.7 60
  • 61.
  • 62.
    Acquire and Implement Planand Organise (AI Process Domain) (PO Process Domain) 62
  • 63.
    Acquire and Implement Planand Organise (AI Process Domain) (PO Process Domain) Deliver and Support (DS Process Domain) 63
  • 64.
    Acquire and Implement (AIProcess Domain) Plan and Organise (PO Process Domain) Monitor and Evaluate Deliver and Support (DS Process Domain) (M Process Domain) 64
  • 65.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Ensure Compliance with External Standards Acquire and Maintain Application Software Install and Accredit Systems Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures Communicate Aims and Direction Manage Human Resource Identify Automated Solutions Assess Risks Manage Projects Manage Quality Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 65
  • 66.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 66
  • 67.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 67
  • 68.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 68
  • 69.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL Service Support Service Desk Change Management Service Delivery Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 69
  • 70.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Manage Quality Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Desk Change Management Incident Problem Management Management Service Level Management Availability Capacity Management Management Release Management Financial Management Continuity Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 70
  • 71.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Monitor and Evaluate Monitor the Process Install and Accredit Systems Configuration Management Financial Management Continuity Management Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 71
  • 72.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 72
  • 73.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 73
  • 74.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Install and Accredit Systems Communicate Aims and Direction Manage Projects Assess Risks Manage Change Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures ITIL plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices Monitor and Evaluate Monitor the Process Obtain Independent Assurance Assess Internal Control Adequacy Provide Independent Audit Deliver and Support Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 74
  • 75.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices plus EFQM Deliver and Support Monitor and Evaluate Monitor the Process Install and Accredit Systems Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 75
  • 76.
    Acquire and Implement Planand Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organisation and Relationships Manage IT Investment Manage Human Resource Ensure Compliance with External Standards Identify Automated Solutions Acquire and Maintain Application Software Communicate Aims and Direction Manage Projects Assess Risks Obtain Independent Assurance Provide Independent Audit Acquire and Maintain Technology Infrastructure Develop and Maintain IT Procedures plus PRINCE2 Project Management Service Support Service Delivery Service Availability Capacity Service Incident plus ISO Problem Quality Management 9001 Level Management Management Desk Management Management Management Manage Quality Assess Internal Control Adequacy Manage Change ITIL Change Management Release Management Configuration Management Financial Management Continuity Management plus Investors In People (IIP) plus ISO 17799 Information Security plus Gartner’s 21 Best Practices plus EFQM plus SixSigma Deliver and Support Monitor and Evaluate Monitor the Process Install and Accredit Systems Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure System Security Identify and Allocate Costs Educate and Train Users Assist and Advise IT Customers Manage Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations 76
  • 77.
    Pensées The difficulty lies,not in the new ideas, but in escaping from the old ones John Maynard Keynes Aujourd’hui, la concurrence n’est plus industrielle mais informationnelle Robert Kaplan 77
  • 78.
  • 79.
    Pensées Il ne fautjamais faire de projets, surtout en ce qui concerne l’avenir ! Alphonse Allais L'homme n'est rien d'autre que son projet, il n'existe que dans la mesure où il se réalise. Jean-Paul Sartre 79
  • 80.
    Les débuts dela gestion de projet  Les pyramides d’Égypte  La muraille de Chine  Le Colisée de Rome 80
  • 81.
    Historique de lagestion de projet Période Appelation Variable dominante 1900-1960 Emergence Temps 1960-1980 Développement et professionalisation Coûts 1980-1990 Diversification Qualité 1990-2000 Globalisation Délai de mise en marché Gestion par projet Optimisation du portefeuille 2000- 81
  • 82.
    Définition « Un projetest une entreprise temporaire décidée dans le but de créer un produit, un service ou un résultat unique » PMBOK 82
  • 83.
  • 84.
    Contexte Mission: Opérations « Nous fabriquonsdes trous bien faits » « Nous offrons l’espoir » Vision: Projets « Etre leader dans la zone MENA à horizon de 2010 » « Ouvrir une centaine d’agences sur 5 ans » « Construire 50 000 logements sur 10 ans » « Atteindre le 1Mrd Dhs de CA sur 5 ans » 84
  • 85.
    Aligner les projetsà la stratégie Portefeuille de projets Projet A Entreprise dans 5 ans Projet B Projet C Entreprise aujourd’hui Projet D 85
  • 86.
    Au niveau stratégique:la gestion PAR projet Vision globale Optimisation des ressources Hiérarchisation des projets Pro-activité dans la gestion des risques Meilleur contrôle et suivi des programmes Permet de s’assurer que les résultats des programmes supportent la réflexion stratégique 86
  • 87.
    Fonctions du bureaude projets  Donner un statut officiel à la gestion de projet  Fournir une vision globale (portefeuille de projets)  Mettre les projets en ordre de priorité  Développer des mécanismes de contrôle et de suivi  Optimiser les ressources  Supporter et « coacher » toutes les personnes reliées de près ou de loin aux projets  Bâtir une mémoire corporative (leçons apprises)  Instaurer une vigie Intégration / Coordination / Communication 87
  • 88.
    La gestion deprojet dans le monde  Project Management Institute (PMI)  Plus de 260 000 membres  Dont 75 000 sont certifiés PMP (7 au Maroc répertoriés par l’AMMP)  Croissance annuelle de 35%  International Project Management Association (IPMA)  Plus de 30 000 membres 88
  • 89.
    PMI : PMBOK  SectionI : Le cadre du Management de Projet  Chapitre 1 : Introduction  Chapitre 2 : Cycle de vie du projet et Organisation  Section II: Norme du management d’un projet  Chapitre 3: processus de management d’un projet 89
  • 90.
    PMI : ProjectManagement Institute  Section III : Domaines de connaissance en management de projet  Chapitre 4 : Management de l'intégration du projet  Chapitre 5 : Management du contenu du projet  Chapitre 6 : Management des délais du projet  Chapitre 7 : Management des coûts du projet  Chapitre 8 : Management de la qualité du projet 90
  • 91.
    PMI : ProjectManagement Institute  Section III : Domaines de connaissance en management de projet  Chapitre 9 : Management des RH du projet  Chapitre 10 : Management des communications  Chapitre 11 : Management des risques du projet  Chapitre 12 : Management des approvisionnements 91
  • 92.
    PMI : Processuset Disciplines de Gestion de Projet Intégration Contenu Appro Processus / Phases de la GP Init. Planif. Délais Risques Contrôle Réal. Clôture Com RH Coûts Qualité 92
  • 93.
    Démarrage 4. Intégration du Managementde Projet 5. Management du contenu de Projet 6. Management des délais du Projet 7. Management des coûts du Projet 8. Management de la qualité du Projet 9. Management des RH du Projet 10. Management des communications du Projet 11. Management des risques du Projet 12. Management des approvisionnements du Projet 4.1 Élaborer la Charte de projet 4.2 Élaborer l ’énoncé du contenu préliminaire du projet Planification 4.3 Élaborer le plan de Management du Projet Réalisation 4.4 Diriger et piloter l’exécution du projet Contrôle 4.5 Surveiller et maîtriser le Travail du projet 4.6 Maîtrise intégrée des modifications 5.1 Planification du contenu 5.2 Définition du contenu 5.3 Créer la structure de découpage du projet 6.6 Maîtrise de l’échéancier 7.1 Estimation des coûts 7.2 Budgétisation 4.7 Clore le projet 5.4 Vérification du contenu 5.5 Maîtrise du contenu 6.1 Identification des activités 6.2 Séquence ment des activités 6.3 Estimation des ressources nécessaires aux activités 6.4 Estimation de la durée des activités 6.5 Élaboration de l’échéancier Clôture 7.3 Maîtrise des coûts 8.1 Planification de la Qualité 8.2 Mettre en œuvre l’assurance Qualité 8.3 Mettre en œuvre le contrôle Qualité 9.1 Planification des Ressources Humaines 9.2 Former l’équipe de projet 9.3 Développer l’équipe de projet 9.4 Diriger l’équipe de projet 10.1 Planification des communications 10.2 Diffusion de l’information 10.3 Établissement des rapports d’avancement 10.4 Manager les parties prenantes 11.1 Planification du management des risques 11.2 Identification des risques 11.3 Analyse Qualitative des risques 11.4 Analyse Quantitative des risques 11.5 Planification des réponses aux risques 12.1 Planifier les approvisionnements 12.2 Planifier les contrats 11.6 Surveillance et maîtrise des risques 12.3 Solliciter des offres ou des propositions des fournisseurs 12.4 Choisir les fournisseurs 12.5 Administration des contrats 12.6 Clôture du contrat 93
  • 94.
    Les 5 phasesdu Project Management Maturity Model (PMMM) de Kerzner Langage commun: A ce niveau de maturité, l’organisation reconnais l’importance de la gestion de projet Des processus communs: L’organisation met en œuvre les éfforts pour utiliser la gestion de projet et développer les processus et les méthodologies pour supporter son efficacité Une méthodologie unique: L’organisation reconnait que la synérgie et que le contrôle des processus peut être atteint à travers le développement d’une méthodologie de gestion de projet unique Étalonnage concurrentiel (Benchmarking): L’organisation se comparent tous le temps en terme de pratiques de gestion de projet dans le but d’améliorer les performances L’amélioration continue: L’organisation évalue les leçons apprises durant le benchmarking et implémente les changements nécessaires pour améliorer les processus de gestion de projet 94
  • 95.
    Le OPM3 duPMI 95
  • 96.
    4. Intégration dumanagement de projet Charte projet:  Enoncé du contenu préliminaire du projet  Plan de management du projet  96
  • 97.
    5. Management ducontenu de projet Contenu du projet:  Structure de découpage de projet  Dictionnaire SDP  97
  • 98.
    6. Management desdélais Séquencement des activités  Estimation des ressources nécessaires aux activités  Echéancier  98
  • 99.
    7. Management descoûts de projet Estimation des coûts  Budgétisation  99
  • 100.
    8. Management dela Qualité Planification de la Qualité  Assurance Qualité  Contrôle Qualité  100
  • 101.
    9. Management desRH Planifier les RH  Former l’équipe projet  Développer l’équipe projet  Diriger l’équipe projet  101
  • 102.
    10. Management descommunications du projet Planification des communications  Rapport d’avancement  Management des parties prenantes  102
  • 103.
    11. Management descoûts de projet Planifier les approvisionnements  Planifier les contrats  Solliciter les offres  Choix des fournisseurs  103
  • 104.
    12. Management desapprovisionnements Identifier les risques  Analyse qualitative des risques  Analyse quantitative des risques  Planification des réponses aux risques  Surveillance et maîtrise des risques  104
  • 105.
    C I PM S ProcessusSupport Recruteme nt Formation Ressources Humaines Politique des déplaceme nts Règles d'utilisation des espaces S.I Gestion des réunion S.I Rôles et responsabil ités du DSI Cartes d'identificat ion du personnel Politique des Achats Reporting mensuel des activités S.I Politique de préparation des appels d'Offres Comité de Pilotage S.I Les comptes emails et les listes globales Gestion des enregistre ments et des fichiers Politique d'utilisation des PC portables Gestion des heures supplément aires Gestion de l'améliorati on des processus Orientation des nouveaux recrutés Politiques des rôles et Responsab ilités Politique du Budget S.I Revue des Politiques et des Procédures, approbation et publication Vol/perte des PCs portables Politique d'évaluatio n technique Adhésion aux standards PnPs Politique comptable des dépenses et charges S.I Budget & Finances Administration Transfert de tâches internes entre employés Transfert de connaissan ce et backup du personnel Politique de remplacem ent du matériel Achats Communication Politique de la propriété intellectuell e Gestion de service de parties Tierces sur ls sites S.I Politique de nommage des utilisateurs 105
  • 106.
    Processus Opérationnels C I PMS réparation de l'infrastruct ure Politique backup Planificatio n de la capacité Politique de maintenanc e Opérations Politique de Gestion de l'Active Directory et de la Gestion des comptes Utilisateurs Gestion des contrats de maintenanc e Gestion des comptes de vendeurs support politique de gestion des supports de stockage des données Politiques et procédures de l'upgrade de l'OS/400 Politique de l'Outlook Web Access Politique de la documenta tion des serveurs Politique du monitoring des serveurs Les pistes d'Audit Len environnem ents de production et les autorisations d'accès Les Contrôles techniques Gestion des mails de masse Politique de conformité des emails Politique de Gestion du serveur des emails Politique de gestion de la taille des boites mails et des messages Gestion du réseau Mise à jour des Systèmes d'Exploitati on Les procédures opérationn elles et les responsabil ités Gestion des systèmes Politique de la vision Conférence Les travaux Fin de Journée; Fin de Mois et la gestion des incidents Interface du logiciel central Monitoring des services et escalade des incidents Politique Post Implément ation et revue des systèmes Migration des systèmes aux environne ments de production Management de projet Politques et procédures d'achat et d'acquisitio n des systèmes Politique PAB PnPs de la Gestion de projet Convention de nomage des projets 106
  • 107.
    Processus Opérationnels C I PMS Sécurité Manuel sécurité de l’Informa tion Monitoring des systèmes, accès et utilisation Administrat ion des mots de passe de haut niveau Contrôle d'accès sur les OS Sécurité de l'AS/400 Politique de la salle machine Politique du PCA Sécurité Internet Gestion des autorisation s utilisateurs Politique des comptes privilégiés Désignation des administrate urs système et sécurité Politique de protection virus Confidentialité des donnés de production utilisés pour les tests et le développeme nt Politique de gestion des licences SW Service Desk et gestion des Incidents Gestion des niveaux de Services Politique de changeme nt des valeurs système Service Management Politique de manageme nt de la disponibilit é Politique de manageme nt de la capacité Politique de manageme nt du changeme nt Politique de scanning du réseau Politique de manageme nt du configuratio n Politique de la satisfaction client Politique de manageme nt des problèmes Gestion des audits IT 107
  • 108.
    Processus Opérationnels C I PMS SDLC PnPs Convention de nommage de la documenta tion SDLC Politiques et procédures du processus d'expression de besoin SDLC IT Standards Politique du processus de test Politique et procédure du processus de déploiement Politique et procédure de la gestion du changeme nt Audit et revue du processus Assurance Qualité Standards des serveurs racks Quadri processeurs Standards des PCs portables et PC Standard Salle informatiqu e Politique du processus analyse et conception Standards des serveurs INTEL Standards des serveurs dual processeur s Standards des serveurs racks dual processeur s Standards des serveurs Quadri processeur s AS/400 valeurs systèmes 108
  • 109.
    Pensées I am captivatedmore by dreams of the future than by the history of the past Thomas Jefferson Si j’ai vu plus loin que les autres, c’est parce que j’étais juché sur les épaules de géants Isaac Newton 109