Méthodes de gouvernance et référentiels

1. Présentation

Le référentiel CMMI (Capability Maturity Model Integration) a été créé à l’origine par le département de la Défense des États-Unis d’Amérique afin d’assurer le suivi des développements et des budgets associés, d’abord sous l’appellation CMM puis CMMI (avec Integration).

Son usage a été étendu pour pouvoir être utilisé par toute entreprise dont le métier essentiel consiste en le développement de logiciels et d’applications informatiques, principalement par toute organisation proposant des services de sous-traitance.

La méthodologie décrite dans ce référentiel propose une démarche d’ingénierie comportant un modèle d’évaluation du niveau de maturité de l’entreprise ou du département informatique dans le cadre du développement et de la maintenance des applications qui y ont été développées.

Son objectif clé consiste à donner de bonnes pratiques afin de mieux contrôler les processus, à utiliser le principe de l’amélioration continue ou PDCA (Plan-Do-Check-Act) et à évaluer ceux-ci sur une échelle à cinq niveaux de maturité (proposée par CMMI). Le concept du PDCA est aussi connu sous la forme de roue de Deming.

La finalité de CMMI consiste à contrôler le déroulement des projets applicatifs de façon à ce qu’ils puissent être réalisés de façon rigoureuse en termes de délais, de fonctionnalités et de budget.

Ce référentiel répond donc aux questions que peuvent se poser les responsables de systèmes...

1. Présentation

ITIL (Information Technology Infrastructure Library), développé à l’origine au Royaume-Uni, consiste en une bibliothèque de bonnes pratiques pour les processus IT de façon à améliorer l’efficience et l’efficacité du système d’information, l’objectif principal étant de réduire les coûts des opérations effectuées au quotidien. Les activités opérationnelles peuvent consommer entre 60 et 75 % de l’ensemble du budget IT. ITIL est devenu un standard incontournable utilisé partout dans le monde.

La version V3/2011 est la suite améliorée de la version 2. L’objectif principal de cette dernière version consiste à aligner la stratégie du système d’information avec celle de l’entreprise en permettant d’optimiser les situations opérationnelles spécifiques avec l’environnement de l’organisation.

L’apport principal de cette version réside dans une meilleure prise en compte du métier de l’entreprise par rapport à son informatique, en opérant conjointement avec les autres référentiels, réglementations et conformités.

Des applicatifs ont été créés par différents éditeurs pour mettre en œuvre de façon pratique cette méthode. Toutefois, une réflexion sur l’état des lieux et la méthodologie à mettre en œuvre doit être entreprise avant d’utiliser ces outils. 

ITIL est considéré comme le standard pour le management du système d’information dans les organisations. Il comprend cinq domaines distincts et stratégiques qui donnent des indications sur la façon de concevoir, de développer et d’implémenter la gestion des services délivrés par le département informatique, non seulement selon des possibilités organisationnelles mais aussi comme un actif stratégique.

Il s’agit d’une démarche de création de services qui fournit des bonnes pratiques pour des processus de conception et de développement. Il couvre aussi les principes et méthodes destinés à convertir les objectifs stratégiques...

1. Présentation

L’ISO/IEC 38500:2008 est, pour la gouvernance du système d’information, une norme au plus haut niveau d’abstraction de recommandations.

La diffusion de ce référentiel est due à l’importance généralisée et croissante du développement du système d’information.

Cette norme a pour origine plusieurs sources, en particulier celle provenant d’Australie : AS 8015:2005. Celle-ci était destinée à l’origine aux responsables d’entreprises utilisant les données dans le but de les assister dans l’application efficace, efficiente et acceptable de l’informatique dans leurs organisations. L’expression « utilisation de la technologie de l’information » signifie planification, développement, administration et exploitation de l’informatique tout en se focalisant sur les besoins de leur activité métier.

La norme ISO/IEC 38500:2008 comprend trois parties : périmètre, cadre, ligne directrice. Dans ces trois modules, les principes de base sont décrits par détails croissants. La norme est applicable pour tous les types d’organisation (publique ou privée) indépendamment de la taille ou de la forme et de la façon dont leur système d’information est utilisé.

ISO 38500 couvre l’aspect gouvernance du système d’information (pas la gestion ni l’opérationnel) en même temps sur l’aspect demande et fourniture de services informatiques (internes et externes). Le point essentiel consiste en la distinction entre cette gouvernance et la gestion.

L’aspect management comprend les actions et processus nécessaires pour réaliser les objectifs stratégiques de l’organisation. Ces aspects opérationnels et les conditions préalables réunies sont mis en place par la direction qui, par la suite, contrôle la conformité.

À côté du pilotage et de la supervision du management, la gouvernance inclut aussi l’évaluation des objectifs et des conditions préalables. Bien que la norme ne se concentre pas sur le management, elle se focalise sur la gouvernance. Il est intéressant...

1. Présentation

Le modèle COBIT (Control Objectives for Information and related Technology) est présenté comme un modèle de gouvernance et de contrôle dans les technologies de l’information. C’est donc un cadre qui fournit un ensemble de mesures, d’indicateurs, de processus et de bonnes pratiques. Créé par l’ITGI (IT Governance Institute) et l’ISACA (Information Systems Audit and Control Association), COBIT a été adopté par beaucoup d’entreprises internationales.

Toutefois, de par son concept, il est mis en œuvre dans les grandes organisations. En effet, il s’adresse principalement aux responsables et aux auditeurs susceptibles d’intervenir en apportant une méthodologie pour :

Dans le cas classique de COBIT, l’ensemble du modèle comprend quatre domaines et trente-quatre processus associés :

1. Présentation

La norme de base ISO 27001 s’est imposée comme référence en matière de sécurité des systèmes d’information principalement pour la mise en œuvre d’un système de gestion de la sécurité de l’information (ISO 27005). Elle peut être considérée comme la transposition en sécurité informatique de la démarche qualité ISO 9001.

La série des normes ISO/IEC 27000 est publiée par l’Organisation internationale pour la standardisation en partenariat avec la Commission électrotechnique internationale.

Ces référentiels fournissent aux organisations les meilleures recommandations de bonnes pratiques pour les systèmes de gestion de sécurité de l’information.

2. La série des normes ISO 27xxx

Pour suivre les technologies émergentes, l’ensemble des normes ISO 27xxx s’est étoffé, ces dernières années, de façon significative. La liste suivante représente la situation actuelle sur les normes ISO 270xx. Naturellement, cette liste va encore s’étendre dans le futur.