Bonnes pratiques : choisir son référentiel

Afin d'apporter aux investisseurs les meilleures garanties concernant leur système d'information, les directions générales ont désormais la responsabilité impérieuse de protéger leur informatique sur 2 niveaux :

patrimonial : l'informatique est un enjeu économique fondamental, aussi bien directement (budget informatique), qu'indirectement (risque d'arrêt de la production en cas d'incident). Ces différents aspects patrimoniaux sont désormais surveillés par les investisseurs.

légal : conscient de la nécessité d'obliger l'entreprise à protéger la valeur du capital investi et à garantir la sincérité des rapports annuels, de nombreuses législations imposent désormais aux entreprises de prendre des dispositions de protection du système d'information (Sarbanes-Oxley, LSF, NRE, IAS/IFRS, Bâle II...)

Le système d'information est concerné par ces obligations, essentiellement sur 3 axes :

- la réalité du patrimoine que constitue l'investissement informatique lui-même.,
- la garantie que le patrimoine global de l'entreprise ne peut être anéanti par une incurie informatique,
- l'absolue certitude que les rapports d'activité et les comptes financiers sont réalisés à l'aide d'outils performants, fiables et sécurisés.

Aussi, si aucune méthodologie ou certification particulière n'est imposée par l'actionnaire ou le législateur, ceux-ci attendent cependant de la direction générale et de la direction informatique que des méthodes efficaces et reconnues soient implémentées. Le recours aux bonnes pratiques est donc synonyme d'assurance collective.

A quoi sert un référentiel de bonnes pratiques en informatique

Le système d'information peut, à priori, parfaitement se passer de la mise en place d'un référentiel de bonnes pratiques. Toutefois, il doit répondre à de multiples contraintes :

  • satisfaction des utilisateurs,
  • optimisation de sa gestion financière,
  • rassurer la direction générale sur sa fiabilité et sa pérennité,
  • rassurer les investisseurs sur la sécurité des investissements,
  • organisation compatible avec une évolutivité et une adaptabilité permanentes.

Le recours aux bonnes pratiques est à la fois un support méthodologique efficace et également une sorte de label que le décideur informatique pourra mettre en avant pour démontrer qu'il a pris les meilleures dispositions possibles.

Choisir un référentiel de bonnes pratiques

Les pricipaux référentiels de bonnes pratiques, actuellement en vogue, sont :

  • COBIT (Control Objectives for Business & Related Technology),
  • ITIL (Information Technology Infrastructure Library),
  • CMMi (Capability Maturity Model intégration).

Très complémentaires, ils sont destinés chacun à un domaine particulier.

Outre ces trois référentiels, il en existe d'autres, plus ou moins spécifiques ou plus moins "à la mode":

  • PMI (Project Management Institute),
  • Prince2 (PRojects INControlled Environments),
  • Spice (ISO 15504),
  • ISO 17799,
  • ISO 9000,
  • CEI/ISO 20000.

Même si chaque système a plus ou moins été étendu aux différentes facettes de l'activité informatique, chaque référentiel trouve son efficacité dans un domaine particulier. Il n'est pas donc pas trop difficile de se tourner vers celui qui sera pertinent dans le cadre spécifique qui préoccupe l'entreprise.

CobiT

Le COBIT (Control Objectives for Business & Related Technology), est utilisé pour la gouvernance et l'audit des systèmes d'information.

Il analyse le système informatique suivant 4 axes :

  • planning et organisation,
  • acquisition et mise en place,
  • fourniture du service et support,
  • surveillance.

Il est important de noter que la loi américaine Sarbanes Oxley impose d'utiliser l'infrastructure de contrôle interne COSO (Committee of Sponsoring Organizations). En l'absence de méthodologie précisée, beaucoup de grandes entreprises ont considéré que le CobiT était la meilleure voie pour rendre le système d'information conforme aux exigences du COSO.
On peut donc probablement voir dans le CobiT une bonne façon de rendre la gouvernance IT, et même partiellement la gouvernance d'entreprise, compatible avec les nouvelles exigences financières et légales mondiales.
CobiT a été traduit en français par l'AFAI, ce qui est un atout indéniable.

ITIL

ITIL (Information Technology Infrastructure Library), s'intéresse à la production, qu'il s'agisse de fourniture de services informatiques ou d'exploitation interne.
C'est donc une voie pour s'assurer de la satisfaction des utilisateurs et/ou des clients (internes ou externes) des services informatiques.

CMMi

CMMi (Capability Maturity Model intégration) est le référentiel dédié au développement de systèmes et logiciels.
CMMi permet d'évaluer la maturité de l'entreprise sur 5 niveaux :

  • initial,
  • reproductible,
  • défini,
  • maîtrisé.
  • optimisé.

PMI

Le PMI (Project Management Institute) a développé le standard PMBOK (Project Management Body of Knowledge, élaboré sur la base des meilleures pratiques du management de projet.
Il est organisé suivant 6 domaines :

  • intégration du projet ,
  • contenu du projet ,
  • délais du projet ,
  • communication du projet,
  • risques du projet,
  • approvisionnements du projet.

Le PMI propose une certification en management de projet correspondante, le PMP (Project Management Professionals).

Prince, Prince2

Prince (PRojects INControlled Environments) est un guide des meilleures pratiques en direction de projet, utilisé par l'administration britannique.
Chaque processus est défini avec ses entrées et sorties caractéristiques ainsi qu'avec les objectifs spécifiques à remplir et les tâches à accomplir.
La méthode Prince est dans le domaine public.

Spice, ISO 15504

Spice est une norme créée par l’ISO (International Organization for Standardization) pour standardiser l'évaluation des processus logiciels (Norme ISO/CEI 15504).
Spice est moins une méthodologie de travail qu’un outil d'évaluation du niveau de maîtrise du processus de conduite du projet.

ISO 9000

Les certifications de la famille ISO 9000 constituent désormais un ensemble de références de qualité, incontestées sur le plan mondial.
Très généralistes, ces spécifications ne sont pas forcément les plus productives pour l'informatique.

ISO 17799

Catalogue de bonnes pratiques assurant un client que ses informations sont gérées de manière sécurisée par son fournisseur.
Elle est présentée dans cette liste comme complément de réponse aux obligations de sécurité des systèmes d'information.

ISO 20000

Conçue dès le début comme un complément d'ITIL, le norme CEI/ISO 20000 a été élaborée par British Standards Institute. C'est la première norme de gestion des services informatiques
La norme ISO 20000 se compose de deux parties :

  • La première partie consacrée à la spécification de la gestion des services précise les conditions qu'une oragnisation doit remplir pour être conforme à la norme et obtenir une certification,
  • La deuxième partie, Code de pratique de gestion de services, dépasse la simple description de la condition de conformité et offre des conseils pratiques aux fournisseurs de services qui souhaitent devenir conformes à la norme.



AB Consulting & bonneaud.net/// © 2005-2008 - Tous droits réservés
| Nous contacter | Plan du site | Informations légales