1. Comment concilier entre
les standards
Mohamed SAAD

2. Les Bonnes Pratiques Informatiques
COBIT
ITIL
PMBoK
ISO 27 002
2

3. Les SI: l’évolution
3

4. L’évolution organisationnelle
0. [30..48]: l’informatique était essentiellement au service
des départements militaires
1. Durant les 30 glorieuses: le modèle économique était
essentiellement tourné vers l’industrie et la production
pour construire l’après guerre:
•
L’informatique a suivi:
•
les investissements informatiques avaient pour objectif
l’automatisation des fonctions administratives telles que
la comptabilité et la paie. L’informatique était avant tout
une fonction de production et son impact sur
l’organisation était alors limitée
4

5. L’évolution organisationnelle
2.
Fin des années 70..années 90 : le modèle économique
introduit les techniques marketing, l’analyse
comportementale du client, La maîtrise des coûts…:
•
L’informatique a suivi:
•
Durant cette phase, l’introduction d’outils de gestion de
l’information (GPAO, BD, Data Warehouse…) a amené
des changements dans le travail : émergence de
nouveaux métiers, démocratisation des outils
bureautiques, besoin de formation…
5

6. L’évolution organisationnelle
3.
21 siècle : les marchés sont devenus de mégas
plateformes planétaires, avec des organisations
d’entreprises multi culturelles. Les services
représentent 70% de l’économie mondiale:
•
L’informatique n’a pas uniquement suivi mais elle est devenu
au cœur de l’implosion:
•
Nous sommes à présent dans une nouvelle phase, avec
des outils de plus en plus sophistiqués et
interconnectés, les nouvelles formes d’applications de
l’informatique sont le moteur d’une transformation en
profondeur du marché et des entreprises
6

7. Le S.I est au cœur de l’activité de l’entreprise
Clients
prospection
vente
Partenaires
services
conception
SI
maintenance
achats
réception
Fournisseurs
Organismes
de contrôle
logistique
production
7

8. L’alignement stratégique
IT Governance
Politique
Générale
de l’Entreprise
Politique
Générale
de l’Entreprise
Politique
Générale
de l’Entreprise
Politique
Générale
de l’Entreprise
Politique
Générale
de l’Entreprise
Politique
Des S.I
Politique
Des S.I
Politique
Des S.I
Politique
Des S.I
Inexistence
de
l’un ou
de
l’autre
Indépendance
De l’un
Par rapport
À l’autre
Politique S.I
Déduite
De
La politique
Générale
Politique
Des S.I
L’un influence
L’autre
Et
Vice versa
Politique S.I
Et politique
Générale
Développées
conjointement
5 Cas de figures sont possibles
(Source: Acadys – Enquête sur la Gouvernance des SI)
8

9. Infrastructure
matérielle
9

10. Infrastructure matérielle: Évolution
45-60
ENIAC
Personal Computer
Network computer
95-2000
Cluster de PCs
2000-…
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
Année 75 - 90
HEWLETT
PACKARD
55-80
Vax
PDP 11
Super calculateur
10

11. Infrastructure matérielle
les 20 dernières années

L’extraordinaire explosion des microprocesseurs (loi de
Gordon Moore)





Moore prédit tout d’abord un doublement du nombre de
transistors dans une puce tous les 18 mois
La montée en puissance des réseaux
La montée en puissance des Minis puis des serveurs
Le retour en puissance des centraux (C/S en 2/3, 3/3…)
Les environnements hétérogènes



SNA
ISO/OSI
TCP/IP
11

12. Infrastructure matérielle
Impacts de ces tendances

Cette évolution a changé les organisations de travail:

Les monde de l’informatique centrale et de l’informatique micro ont
cessé de vivre chacun de son côté :



Conciliation
L’informatique est désormais partagée, elle n’appartient plus qu’aux
informaticiens
Les DSI ont dû s’adapter:






Des compétences plus variées (Architectes S.I, Urbanisation S.I, veilles
technologiques…)
Une organisation matricielle
Des outils de travail indispensables
Des solutions progiciel orientées métier (« MySap »…)
Des organisations impliquant et responsabilisant l’utilisateur (Process
Owner, Project sponsor, maîtrise d’ouvrage / maîtrise d’œuvre…)
Disparition des DOSI, DOI  DSI, DPO… (le débat est toujours ouvert)
12

13. Rappels techniques des composantes d’un S.I
Stratégie, Gestion, Sécurité
Études
Logiciels, applicatifs et
données
Réseaux
Matériels
Exploitation
Logiciels de base
Équipes
Infrastructure
13

14. Infrastructure matérielle
Type d’Ordinateurs (1)

PC ou Personnel Computer, Portables, Palm (Personal
Digital Assistant), Station de travail
14

15. Infrastructure matérielle
Type d’Ordinateurs (2)

Serveurs:

Des ordinateurs +






services optimisés
multi processeurs
disques RAID
Plusieurs équipements redondants
multi ventilateur…
Mainframe:

De grands ordinateurs faisant partie des premières générations des constructeurs
IBM, BULL, DEC…, ou l’informatique est essentiellement centralisée. Les utilisateurs
opèrent à travers des terminaux (Écran/clavier)
 Capable en terme d’espace d’occuper de larges surfaces
 Plusieurs équipements accompagnent les mainframes (robots de sauvegardes et de
stockage de bandes, unités d’entrée/sortie de bandes et de cartouches, de méga
imprimantes…)
15

16. Infrastructure matérielle
Quelques plateformes

Gros systèmes (Mainframe)

IBM
 BULL
 DEC

ES9000
DPS8
VAX 9XXX
zSeries
DPS9
MINI SYSTEMES

IBM
 DEC
 UNISYS
 HP

3090
DPS7
VAX 6XXX
AS400  iSeries
MicroVAX
VAX
A series
HP 3000 (GX, LX)
SERVEURS





IBM
BULL
DEC
SUN
HP
RISC 6000
DPX 2
ALPHA
SPARC STATION
HP 9000, Proliant BL, ML, DL xxx…
16

17. Infrastructure matérielle
Les tendances

Des serveurs packagés (« appliance servers »)



matériel et logiciels préinstallés pour un service précis (gestion de
fichiers, impression, travail coopératif, NAS, Web, sécurité, messagerie,
cache, pare-feu, VPN, répartition de charges, SSL…. )
solutions peu coûteuses, sous Windows ou Linux ou BeOS, en versions
allégées
Les serveurs lames (server blade) se multiplient


en armoire ou en châssis pour un gain de place, de consommation et
d’argent
un format 3U (13,3cm de haut) peut contenir 24 serveurs, un rack (2m)

Le multiprocessing est plus en vogue que jamais...

… et les techniques de grappes et de tolérance aux pannes

Faire fonctionner plusieurs OS sur une seule machine virtuelle
Ex : Connectix (Virtual Server/Microsoft), VMware (GSX Server/IBM)
17

18. Infrastructure matérielle
Quelles perspectives pour les Mainframes ?

Des architectures basées sur des processeurs «standardisés» (Intel?) et
l’abandon des processeurs «propriétaires»

Un des challenges des prochaines années

Des machines multi-processeurs permettant de faire tourner plusieurs
OS (compatibilité avec l’existant, consolidation)

Gamme @server, zSeries 800 et 900 d’IBM






Jusqu’à 512 processeurs
Processeurs dédiés à certaines tâches (E/S)
z/OS, 64 bits, permettant de faire tourner OS/390
Linux on zSeries
z/VM, un hyperviseur supportant concurremment z/OS, OS/390, VSE/ESA,
Linux for S/390 et Linux for zSeries
Concept « On demand » d’IBM
18

19. Le pendule des Architectures Informatiques
Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…
Informatique
centralisée:
• Salle machine unique
• Gros système
• Utilisateurs accédant à
travers des terminaux
• Les supports de
stockage sont
centralisés…
Démocratisation de
l’informatique:
• Utilisateurs connectés au
sites/serveurs
• PCs
• Avènement du Client/serveur
•…
Années 50, 60, 70
Années 80
Années 90
19

20. Le pendule des Architectures Informatiques
 Sécurité
 Sécurité
Informatique
centralisée:
• Maîtrise des
plateformes
• Centralisation de
l’information
• Contrôle de
l’infrastructure
• Maîtrise et
centralisation des
sauvegardes /
Performances / fiabilités
des supports / machines
• Baies de stockage
• Backups / PCA / sites
secours
•…
Ces 10 dernières années
Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…
Démocratisation de
l’informatique:
• Utilisateurs connectés
au sites/serveurs
• PCs
• Avènement du
Client/serveur
•…
Années 90
20

21. Les Standards
21

22. Bonne Pratique

Une bonne pratique d’un domaine donné est une pratique conforme
à l’état de l’art de ce domaine. Fruit de l’expérience et de la
recherche, son efficacité et sa fiabilité sont avérées,ont été
éprouvées et sont reconnues par tous.

Dans le domaine des systèmes d’information, il existe de
nombreuses bonnes pratiques dont l’application permet la
performance du SI et par incidence la performance de l’organisation.

Il est possible de définir une bonne pratique comme une Règle
possédant trois propriétés :
 conformité à l’état de l’art
 performance et fiabilité éprouvées
 reconnaissance par tous
Un ensemble de bonnes pratiques
constitue un référentiel
22

23. Référentiel

Un Référentiel est un ensemble de règles et d’usages que les
professionnels reconnaissent comme vrais et considèrent
qu’elles devraient être appliquées

Pour piloter efficacement l’informatique il faut appliquer les
règles efficaces et qui ont fait leurs preuves

Ces règles permettent de mesurer la distance entre ce qui est
observé et ce qui devrait se faire

Pour effectuer un audit il est nécessaire de disposer d’un
référentiel

Les référentiels sont des recueilles de bonnes pratiques
23

24. Adapter les outils aux situations variées
Traduction :
en retard
bourré
traces de rouge à
lèvres
24

25. Pensées
Les technologies de l'information ont changé la
façon dont les gens créent de la valeur
Alan
Greenspan
économique
Sans objectif de productivité il n’y a pas
d’orientation pour l’entreprise; sans mesure de
Paul
Strasmann
la productivité il n’y a pas de contrôle
25

26. IT Governance
26

27. Les origines historiques : depuis l’antiquité…
1789
Les philosophes des lumières: pour les grands révolutionnaires
(Montesquieu, Rousseau, Diderot), la séparation des pouvoirs est
le fondement de la bonne gouvernance
XIVe
siècle
Sous l’Ancien régime : la gouvernance = despotisme, féodalité
XIIIe
siècle
Origine publique du terme gouvernance: l’art ou la manière de gouverner
- Français: gouverner, gouvernement, gouvernance,….
- Anglais: govern, government, governance…..
Ve
Origine Grecque : « la citée idéale », Hérodote, Platon…
siècle Le verbe « Kubernàn »,« gubermare, gubermantia » = piloter un navire ou un char)
av J.C
27

28. L’origine de la Gouvernance d’entreprise
Enron's Kenneth Lay
& Jeffrey Skilling
D’hier…
… à aujourd’hui !
28

29. Les origines contemporaines : depuis 1929…..
2000
1980
1934
Début des scandales Financiers
« Corporate Governance » née dans les milieux d'affaires US.
- Lancement du New Deal par le président Franklin D. Roosevelt : création de la Securities
Exchange Commission (SEC) – Autorité de contrôle des marchés financiers.
- Travaux de Adolf Berle et Gardiner Means (The Modern Corporation and Private
Property), et Ronald Coase (The nature of the firm) : introduction de la notion de
« corporate governance ».
1929
Crash boursier : « le jeudi noir »
29

30. Ce que c’est…
Depuis l’antiquité, l’objectif fondamental de la Gouvernance
est d’assurer qu’un état ou un système soit juste, libre et géré
efficacement, à la fois pour les instances dirigeantes (CA,
actionnaires) ainsi que pour les citoyens.
30

31. Ce que ce n’est pas…
Aujourd’hui, le concept de gouvernance est largement utilisé mais aussi
dévoyé, en obérant ses racines et sa véritable raison d’être.
En particulier, une confusion importante a lieu en mélangeant les notions
de « bonnes pratiques de gestion interne » et de « gouvernance ».
La Gouvernance amène avant tout une perspective
dite « exogène » du système et ne peux être assimilée aux
bonnes pratiques de gestion interne (vision « endogène »),
n’intéressant pas forcément les actionnaires ou citoyens.
Il est dangereux et erroné de confondre, gestion
opérationnelle et management stratégique.
31

32. La Gouvernance Informatique
Définition :
La Gouvernance Informatique comme tout autre sujet de gouvernance,
est la responsabilité directe des Dirigeants et des Actionnaires de
l’entreprise représentés par le Conseil d’Administration.
Elle consiste dans le pilotage, les structures organisationnelles et les
processus assurant que l’organisation informatique supporte
parfaitement les objectifs et stratégies de l’entreprise.
L’ objectif de la gouvernance informatique est d’assurer que
l’informatique répond bel et bien aux objectifs suivants :
•
Alignement avec l’entreprise et atteinte des objectifs attendus
•
Permettre à l’entreprise d’exploiter les opportunités en
maximisant ses bénéfices
•
Optimisant l’utilisation des ressources informatiques
•
Gérant les risques de manière adéquate
32

33. Les 5 piliers de la Gouvernance Informatique
Aujourd’hui, la gouvernance informatique telle que définie par
l’ITGI et l’ISACA se résume aux 5 problématiques suivantes :
 Alignement stratégique (« IT Strategic Alignment »)
 Création de Valeur (« IT Value Delivery »)
 Gestion du risque informatique (« IT Risk Management »)
 Mesure de performance (« Performance Measurement »)
 Gestion des ressources (« IT Resource Management » )
33

34. Les piliers de la Gouvernance des SI
Alignement stratégique
( IT Strategic Alignment )
Gestion des ressources
(IT Resource
Management )
Mesure de performance
(Performance
Measurement )
Création de Valeur
(IT Value Delivery )
Gestion du risque
(Risk Management )
34

35. Pensées
Le concept d’industrie du savoir contient
suffisamment de dynamite pour envoyer les
économies traditionnelles sur orbite
Ken Boulding
L’âge moderne a un faux sentiment de supériorité, à
cause de la masse considérable de données mise à sa
disposition. Mais le seul critère de distinction est
plutôt de savoir dans quelle mesure l’homme sait
Goethe
manier le matériau dont il dispose
35

36. COBIT
Control OBjectives for Information &
related Technology
36

37. CobiT

Traduit et publié en France par l’AFAI (Association Française de l’Audit
Informatique, chapitre français de l’ISACA (Information System Audit
and Control Association and Foundation), CobiT est le référentiel leader
du monde de l’audit SI.

CobiT a pour mission de « rechercher, développer, faire connaître et
promouvoir un ensemble d’objectifs de contrôle internationaux en
technologies de l’information qui soient généralement acceptés, à jour,
et fassent autorité, pour l’utilisation au jour le jour par les managers et
les auditeurs »

De plus en plus, la pratique des affaires implique la pleine montée en
puissance des responsables des processus de gestion, afin qu’ils
exercent l’entière responsabilité de tous les aspects de processus de
gestion. Ceci implique de mettre en place les contrôles adéquats.

C’est une des raisons qui ont amené CobiT à être orienté gestion
37

38. Objectifs de Contrôles, Points de Contrôles et Bonnes
Pratiques

CobiT est un Référentiel reposant sur trois concepts:
 Objectifs
de Contrôles : ce sont les questions que se
posent les dirigeants
 Points
de Contrôles : ce sont les aspects qui sont
effectivement vérifiés
 Bonnes
Pratiques : c’est la base des points de
contrôle
38

39. Quel est le problème ?
 Quelle est la solution ?
 En quoi consiste-t-elle ?
 Est-ce que cela va fonctionner ?
 Comment vais-je procéder ?

39

40. “Jusqu'où devons-nous aller, et le coût
est-il justifié par le bénéfice ?”

Évaluation des performances - Quels sont les
indicateurs de bonne performance ?

Définition du profil des contrôles informatiques - Quels
sont les éléments importants ? Quels Facteurs Clés de
Succès utiliser dans le domaine du contrôle ?

Sensibilisation - Quels risques encourons-nous en
n'atteignant pas nos objectifs ?

Comparaison - Que font les autres ? Comment évaluer
et comparer ?
40

41. “Jusqu'où devons-nous aller, et le coût
est-il justifié par le bénéfice ?”

Définir spécifiquement les éléments suivants va permettre de
déterminer et de gérer un niveau de contrôle et de sécurité
informatique approprié :

Tests Comparatifs des pratiques de contrôle informatique (sous
forme de Modèles de maturité)

Indicateurs de Performance des processus informatiques
(résultats et performances)

Facteurs Clés de Succès pour placer ces processus sous
contrôle
41

42. Modèles de maturité
42

43. Objectifs de l’entreprise
Gouvernance des Technologies de l’Information
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure regulatory compliance.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.
PO2 Define the information architecture.
PO3 Determine technological direction.
PO4 Define the IT processes, organisation and
relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
PO10 Manage projects.
COBIT 4.1
INFORMATION
• Effectiveness
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability
PLAN AND
ORGANISE
MONITOR AND
EVALUATE
DS1 Define and manage service levels.
DS2 Manage third-party services.
DS3 Manage performance and capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the configuration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
IT RESSOURCES
• Applications
• Information
• Infrastructure
• People
DELIVER AND
SUPPORT
ACQUIRE AND
IMPLEMENT
AI1 Identify automated solutions.
AI2 Acquire and maintain application software.
AI3 Acquire and maintain technology infrastructure.
AI4 Enable operation and use.
AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and changes.
43

44. Facteurs clés de succès (FCS)
Ils définissent les actions les plus importantes à
entreprendre et les questions essentielles à soulever par
le management pour contrôler les processus
informatiques dans leur ensemble et dans le détail. Ils
doivent constituer des guides de mise en œuvre orientés
management et mettre en lumière les tâches les plus
importantes à entreprendre dans les domaines
stratégiques, techniques, organisationnels et
procéduraux.
44

45. Facteurs clés de succès (FCS)

En résumé les facteurs clés de succès sont :

Des facteurs centrés sur les processus, ou apportant un appui à
l'environnement

Des choses, des conditions nécessaires, ou une activité recommandée,
pour un succès optimum

Les choses les plus importantes à faire pour augmenter la probabilité de
succès du processus

Les caractéristiques observables - habituellement quantifiables - de
l'organisation et du processus

Par nature stratégiques, techniques, organisationnels ou procéduraux

Centrés sur l'obtention, le maintien et la mobilisation des capacités et
des aptitudes

Exprimés en termes de processus, et pas nécessairement en termes de
métier de l'entreprise
45

46. Indicateurs clés d’objectifs

Ils définissent les mesures qui indiqueront (a posteriori)
au management si un processus informatique a répondu
aux besoins de l'entreprise. Ils sont généralement
exprimés en termes de critères d'information :

Disponibilité des informations requises pour répondre aux
besoins métiers

Absence de risques en matière d'intégrité et de confidentialité

Rentabilité des processus et des opérations

Confirmation de la fiabilité, de l'efficacité et de la conformité
46

47. Indicateurs clés d’objectifs

En résumé les Indicateurs Clés d'Objectif sont :

Une manière de représenter le but du processus, c.-à-d. un chiffre ou une cible à
atteindre

La description du résultat du processus, donc des indicateurs a posteriori, c.-à-d.
chiffrables une fois le processus terminé

Des indicateurs immédiats de la réussite du processus ou des indicateurs
indirects des bénéfices qu'il apporte à l'entreprise

Éventuellement une mesure chiffrée des conséquences de non atteinte des
objectifs du processus

Focalisés sur les dimensions Client et Gestion Financière du Tableau de Bord
Équilibré

Orientés vers l'informatique, mais centrés sur l 'activité de l'entreprise

Exprimés en termes précis et chiffrés, chaque fois que possible

Centrés sur les critères d'information qui ont été identifiés comme les plus
importants pour ce processus.
47

48. Indicateurs clés de performance
Ils définissent des mesures déterminant la
qualité de fonctionnement du processus
informatique dans la réalisation des
objectifs. Ils renseignent sur la probabilité
d'atteindre un objectif. Ce sont de bons
indicateurs d'aptitudes, de pratiques et de
compétences.
48

49. Indicateurs clés de performance

En résumé les Indicateurs Clés de Performance :

Sont la mesure de la qualité de fonctionnement d'un processus

Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs
a priori

Sont orientés processus, mais mis en œuvre par l'informatique

Se concentrent sur les dimensions processus et capacité d'information
du Tableau de Bord Équilibré

S'expriment en termes mesurables avec précision

Aident à l'amélioration des processus informatiques lorsqu'on les mesure
et qu'on agit en conséquence

S'intéressent en priorité aux ressources identifiées comme les plus
importantes pour le processus
49

50. Planification et Organisation (PO)

PO1 Define a strategic IT plan.

PO2 Define the information architecture.

PO3 Determine technological direction.

PO4 Define the IT processes, organisation and relationships.

PO5 Manage the IT investment.

PO6 Communicate management aims and direction.

PO7 Manage IT human resources.

PO8 Manage quality.

PO9 Assess and manage IT risks.

PO10 Manage projects.
50

51. Acquisition et Mise en Place (AMP)

AI1 Identify automated solutions.

AI2 Acquire and maintain application software.

AI3 Acquire and maintain technology infrastructure.

AI4 Enable operation and use.

AI5 Procure IT resources.

AI6 Manage changes.

AI7 Install and accredit solutions and changes.
51

52. Distribution et Support (DS)













DS1 Define and manage service levels.
DS2 Manage third-party services.
DS3 Manage performance and capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the configuration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
52

53. Surveillance (S)

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure regulatory compliance.

ME4 Provide IT governance.
53

54. Les standards
+
-
ITIL IT processes
BS7799 Security controls
COBIT IT controls, IT metrics
Security, systems development, people
requirements, roles and responsibilities
Process flows (how), people
requirements, roles and responsibilities
Process flows (how), people
requirements, roles and responsibilities
WHAT
HOW
BS7799
Security
COBIT
Control
ITIL
Activities
54

55. Les Standards
Strategique
Implémentation
des contrôles
XY
XY
##
##
Execution
des Processus
Instruction
de travail
• Work instruction
•2
•3
• 4,5,6….
COBIT
CMM
ITIL
• Work instruction
•2
•3
• 4,5,6….
XY
XY
XY
##
##
##
• Work instruction
•2
•3
• 4,5,6….
• Work instruction
•2
•3
• 4,5,6….
• Work instruction
•2
•3
• 4,5,6….
55

56. Gartner Advisory sur COBIT et ITIL
BS7799 COBIT
Control
Security
ITIL
Activities
WHAT
HOW
56

57. COBIT et ISO 27000
Politique Sécurité
Documente, communique and régulièrement
revoir la politique SI
Organisation de la Sécurité
Contrôle d’accès
Allocation des rôles et responsabilités, tierce
partie: risques/contrôles et sous traitance
Gestion des accès,
Classification et Contrôle des
actifs
Inventaire des actifs et classification basée
sur la criticité/Impact
Sécurité du Personnel
Screening du Recrutement, sensibilisation et
formation, reporting des incidents
Sécurité physique et
environnement
Sécurité physique du périmètre,
équipements, ―clear desk et clear screen‖
Management Comm/Ops
Procédures de gestion des Incidents,
séparation des tâches, planification et
recettage, gestion et protection des SW,
contrôles des e-mails
Développement et maintenance
des applications
Procédures de gestion du changement,
séparation des environnements,
spécifications de la sécurité
Continuité de l’activité
Plan de continuité de l’activité, le cadre
PCA, rôles et équipes PCA, test du PCA,
maintenance et mise à jour du PCA
Conformité
Contrôles Copyright, rétention des
enregistrements et de l’information,
conformité avec la législation—
confidentialité des données, conformité
avec la politique d’entreprise
57

58. COBIT et ISO 27000
318
100
34
80
ISO 27000 se projette à 100%
sur COBIT
60
40
20
66
0
30%
25%
21
Projection de BS7799 sur
Les Process COBIT
20%
15%
10%
M4
M3
M2
M1
DS 12
DS 13
DS 11
DS 10
DS 9
DS 8
DS 7
DS 6
DS 5
DS 4
DS 3
DS 2
DS 1
AI 6
AI 5
AI 4
AI 3
AI 2
AI 1
PO 11
PO 10
PO 9
PO 8
PO 7
PO 6
PO 5
PO 4
PO 3
PO 1
0%
PO 2
5%
58

59. ISO27000
Projeté
sur les OC
de COBIT
3.1.1 Information security policy document
PO 6.8
3.1.2 Review and evaluation
PO 6.5
4.1.1 Management information security forum
PO 4.6
4.1.2 Information security co-ordination
PO 4.6
4.1.3 Allocation of information security responsibilities
PO 4.4
4.1.4 Authorization process for information processing facilities DS 5.4
4.1.5 Specialist information security advice
PO 9.4
4.1.6 Co-operation between organizations
DS 2.7
4.1.7 Independent review of information security
M 4.1
4.2.1 Identification of risks from third party access
PO 9.3
4.2.2 Security requirements in third party contracts
DS 2.7
4.3.1 Security requirements in outsourcing contracts
DS 2.7
5.1.1 Inventory of assets
DS 1.6
5.2.1 Classification guidelines
DS 5.8
5.2.2 Information labelling and handling
DS 11.22
6.1.1 Including security in job responsibilities
PO 4.4
6.1.2 Personnel screening and policy
PO 7.6
6.1.3 Confidentiality agreements
PO 6.6
6.1.4 T erms and conditions of employment
PO 7.1
6.2.1 Information security education and training
DS 7.3
6.3.1 Reporting security incidents
DS 5.10
6.3.2 Reporting security weaknesses
DS 5.10
6.3.3 Reporting software malfunctions
DS 5.10
6.3.4 Learning from incidents
DS 5.10
6.3.5 Disciplinary process
PO 7.3
7.1.1 Physical security perimeter
DS 12.1
7.1.2 Physical entry controls
DS 12.1
7.1.3 Securing offices, rooms and facilities
DS 12.1
7.1.4 Working in secure areas
PO 6.10
7.1.5 Isolated delivery and loading areas
DS 12.1
7.2.1 Equipment siting and protection
DS 12.1
7.2.2 Power supplies
DS 12.6
7.2.3 Cabling security
PO 3.1
7.2.4 Equipment maintenance
7.2.5 Security of equipment off-premises
7.2.6 Secure disposal or re-use of equipment
7.3.1 Clear desk and clear screen policy
7.3.2 Removal of property
8.1.1 Documented operating procedures
8.1.2 Operational change control
8.1.3 Incident management procedures
8.1.4 Segregation of duties
8.1.5 Separation of development and operational facilities
8.1.6 External facilities management
8.2.1 Capacity planning
8.2.2 System acceptance
8.3.1 Controls against malicious software
8.4.1 Information back -up
8.4.2 Operator logs
8.4.3 Fault logging
8.5.1 Network controls
8.6.1 Management of removable computer media
8.6.2 Disposal of media
8.6.3 Information handling procedures
8.6.4 Security of system documentation
8.7.1 Information and software exchange agreements
8.7.2 Security of media in transit
8.7.3 Electronic commerce security
8.7.4 Security of electronic mail
8.7.5 Security of electronic office systems
8.7.6 Publicly available systems
8.7.7 Other forms of information exchange
9.1.1 Access control policy
9.2.1 User registration
9.2.2 Privilege management
9.2.3 User password management
9.2.4 Review of user access rights
AI 3.2
PO 6.8
DS 11.18
PO 6.10
AI 3.3
DS 13.2
DS 13.1
DS 10.1
PO 4.10
PO 3.1
DS 2.3
DS 3.6
AI 5.13
DS 5.19
DS 11.25
DS 13.6
DS 10.1
DS 5.20
DS 5.21
DS 11.18
DS 5.21
DS 5.17
DS 9.5
DS 11.17
PO 8.5
DS 11.27
PO 6.8
AI 3.3
DS 11.17
DS 5.3
DS 5.4
DS 5.4
DS 5.4
DS 5.5
59

60. ISO27000
Projeté
sur les OC
de COBIT
9.3.1 Password use
9.3.2 Unattended user equipment
9.4.1 Policy on use of network services
9.4.2 Enforced path
9.4.3 User authentication for external connections
9.4.4 Node authentication
9.4.5 Remote diagnostic port protection
9.4.6 Segregation in networks
9.4.7 Network connection control
9.4.8 Network routing control
9.4.9 Security of network services
9.5 OPERAT ING SYST EM ACCE SS CONTROL
9.5.1 Automatic terminal identification
9.5.2 T erminal log-on procedures
9.5.3 User identification and authentication
9.5.4 Password management system
9.5.5 Use of system utilities
9.5.6 Duress alarm to safeguard users
9.5.7 T erminal time-out
9.5.8 Limitation of connection time
9.6.1 Information access restriction
9.6.2 Sensitive system isolation
9.7.1 Event logging
9.7.2 Monitoring system use
9.7.3 Clock synchronization
9.8.1 Mobile computing
9.8.2 T eleworking
10.1.1 Security requirements analysis and specification
10.2.1 Input data validation
10.2.2 Control of internal processing
10.2.3 Message authentication
10.2.4 Output data validation
10.3.1 Policy on the use of cryptographic controls
10.3.2 Encryption
PO 6.8
AI 3.3
PO 6.8
DS 5.16
DS 5.20
DS 5.16
AI 3.3
PO 3.1
DS 5.20
AI 3.3
DS 5.2
AI 3.3
DS 5.16
DS 5.2
DS 5.2
DS 5.2
AI 3.7
DS 10.1
AI 3.3
DS 5.16
DS 5.3
DS 5.1
DS 5.10
DS 5.10
AI 3.4
PO 6.10
PO 6.10
PO 9.3
DS 11.6
DS 11.9
DS 11.28
DS 11.15
PO 6.10
DS 5.18
10.3.3 Digital signatures
10.3.4 Non-repudiation services
10.3.5 Key management
10.4.1 Control of operational software
10.4.2 Protection of system test data
10.4.3 Access control to program source library
10.5.1 Change control procedures
10.5.2 T echnical review of operating system changes
10.5.3 Restrictions on changes to software packages
10.5.4 Covert channels and T rojan code
10.5.5 Outsourced software development
11.1.1 Business continuity management process
11.1.2 Business continuity and impact analysis
11.1.3 Writing and implementing continuity plans
11.1.4 Business continuity planning framework
11.1.5 T esting, maintaining and re-assessing BCPs
12.1.1 Identification of applicable legislation
12.1.2 Intellectual property rights (IPR)
12.1.3 Safeguarding of organizational records
12.1.4 Data protection and privacy of personal information
12.1.5 Prevention of misuse of information processing facilities
12.1.6 Regulation of cryptographic controls
12.1.7 Collection of evidence
12.2.1 Compliance with security policy
12.2.2 T echnical compliance checking
12.3.1 System audit controls
12.3.2 Protection of system audit tools
DS 5.18
DS 11.27
DS 5.18
DS 9.4
AI 5.8
AI 6.5
AI 6.1
AI 6.2
AI 6.3
DS 5.19
DS 2.5
DS 4.1
DS 4.1
DS 4.3
DS 4.1
DS 4.6
PO 8.4
PO 8.4
DS 5.7
PO 8.4
PO 6.8
PO 6.8
PO 6.8
PO 6.6
PO 6.6
M 4.1
AI 3.7
60

61. Plan and
Organise
(PO Process Domain)
61

62. Acquire and Implement
Plan and
Organise
(AI Process Domain)
(PO Process Domain)
62

63. Acquire and Implement
Plan and
Organise
(AI Process Domain)
(PO Process Domain)
Deliver and Support
(DS Process Domain)
63

64. Acquire and Implement
(AI Process Domain)
Plan and
Organise
(PO Process Domain)
Monitor and
Evaluate
Deliver and Support
(DS Process Domain)
(M Process Domain)
64

65. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Ensure
Compliance
with External
Standards
Acquire and
Maintain
Application
Software
Install and
Accredit
Systems
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
Communicate
Aims and
Direction
Manage
Human
Resource
Identify
Automated
Solutions
Assess
Risks
Manage
Projects
Manage
Quality
Monitor and Evaluate
Monitor
the
Process
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
65

66. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Quality
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
Service Support
Service
Desk
Change
Management
Service Delivery
Incident
Problem
Management Management
Service
Level
Management
Availability
Capacity
Management Management
Release
Management
Financial
Management
Continuity
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
66

67. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Quality
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
Service Support
Service
Desk
Change
Management
Service Delivery
Incident
Problem
Management Management
Service
Level
Management
Availability
Capacity
Management Management
Release
Management
Financial
Management
Continuity
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
67

68. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Quality
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
Service Support
Service
Desk
Change
Management
Service Delivery
Incident
Problem
Management Management
Service
Level
Management
Availability
Capacity
Management Management
Release
Management
Financial
Management
Continuity
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
68

69. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Quality
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
Service Support
Service
Desk
Change
Management
Service Delivery
Incident
Problem
Management Management
Service
Level
Management
Availability
Capacity
Management Management
Release
Management
Financial
Management
Continuity
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
69

70. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Quality
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Desk
Change
Management
Incident
Problem
Management Management
Service
Level
Management
Availability
Capacity
Management Management
Release
Management
Financial
Management
Continuity
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
70

71. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Obtain
Independent
Assurance
Provide
Independent
Audit
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Assess
Internal
Control
Adequacy
Manage
Change
ITIL
Change
Management
Release
Management
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Configuration
Management
Financial
Management
Continuity
Management
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
71

72. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Install and
Accredit
Systems
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Change
Management
Release
Management
Configuration
Management
Financial
Management
Continuity
Management
plus Investors In People (IIP)
Monitor and Evaluate
Monitor
the
Process
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
72

73. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Install and
Accredit
Systems
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Change
Management
Release
Management
Configuration
Management
Financial
Management
Continuity
Management
plus Investors In People (IIP)
plus ISO 17799
Information Security
Monitor and Evaluate
Monitor
the
Process
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
73

74. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Install and
Accredit
Systems
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Manage
Change
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
ITIL
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Change
Management
Release
Management
Configuration
Management
Financial
Management
Continuity
Management
plus Investors In People (IIP)
plus ISO 17799
Information Security
plus Gartner’s 21 Best Practices
Monitor and Evaluate
Monitor
the
Process
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Deliver and Support
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
74

75. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Obtain
Independent
Assurance
Provide
Independent
Audit
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Assess
Internal
Control
Adequacy
Manage
Change
ITIL
Change
Management
Release
Management
Configuration
Management
Financial
Management
Continuity
Management
plus Investors In People (IIP)
plus ISO 17799
Information Security
plus Gartner’s 21 Best Practices
plus EFQM
Deliver and Support
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
75

76. Acquire and Implement
Plan and Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organisation
and
Relationships
Manage IT
Investment
Manage
Human
Resource
Ensure
Compliance
with External
Standards
Identify
Automated
Solutions
Acquire and
Maintain
Application
Software
Communicate
Aims and
Direction
Manage
Projects
Assess
Risks
Obtain
Independent
Assurance
Provide
Independent
Audit
Acquire and
Maintain
Technology
Infrastructure
Develop and
Maintain
IT
Procedures
plus PRINCE2 Project Management
Service Support
Service Delivery
Service
Availability
Capacity
Service
Incident
plus ISO Problem Quality Management
9001
Level
Management Management
Desk
Management Management
Management
Manage
Quality
Assess
Internal
Control
Adequacy
Manage
Change
ITIL
Change
Management
Release
Management
Configuration
Management
Financial
Management
Continuity
Management
plus Investors In People (IIP)
plus ISO 17799
Information Security
plus Gartner’s 21 Best Practices
plus EFQM
plus SixSigma
Deliver and Support
Monitor and Evaluate
Monitor
the
Process
Install and
Accredit
Systems
Define and
Manage
Service
Levels
Manage
Third-party
Services
Manage
Performance
and Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
and Allocate
Costs
Educate
and
Train Users
Assist and
Advise
IT
Customers
Manage
Configuration
Manage
Problems and
Incidents
Manage
Data
Manage
Facilities
Manage
Operations
76

77. Pensées
The difficulty lies, not in the new ideas,
but in escaping from the old ones
John Maynard
Keynes
Aujourd’hui, la concurrence n’est plus
industrielle mais informationnelle
Robert
Kaplan
77

78. PMBOK
Project Management
Body Of Knowledge
78

79. Pensées
Il ne faut jamais faire de projets, surtout en
ce qui concerne l’avenir !
Alphonse
Allais
L'homme n'est rien d'autre que son projet, il
n'existe que dans la mesure où il se réalise.
Jean-Paul
Sartre
79

80. Les débuts de la gestion de projet

Les pyramides d’Égypte

La muraille de Chine

Le Colisée de Rome
80

81. Historique de la gestion de projet
Période
Appelation
Variable
dominante
1900-1960
Emergence
Temps
1960-1980
Développement et
professionalisation
Coûts
1980-1990
Diversification
Qualité
1990-2000
Globalisation
Délai de mise en
marché
Gestion par projet
Optimisation du
portefeuille
2000-
81

82. Définition
« Un projet est une entreprise
temporaire décidée dans le but
de créer un produit, un service
ou un résultat unique »
PMBOK
82

83. Contexte
Mission:
Opérations
Vision:
Stratégie
Politiques opérationnelles
Surveillance et mesures
Projets
83

84. Contexte
Mission:
Opérations
« Nous fabriquons des trous bien faits »
« Nous offrons l’espoir »
Vision:
Projets
« Etre leader dans la zone MENA à horizon de 2010 »
« Ouvrir une centaine d’agences sur 5 ans »
« Construire 50 000 logements sur 10 ans »
« Atteindre le 1Mrd Dhs de CA sur 5 ans »
84

85. Aligner les projets à la stratégie
Portefeuille de projets
Projet A
Entreprise
dans 5 ans
Projet B
Projet C
Entreprise
aujourd’hui
Projet D
85

86. Au niveau stratégique: la gestion PAR projet
Vision globale
Optimisation des ressources
Hiérarchisation des projets
Pro-activité dans la gestion des risques
Meilleur contrôle et suivi des programmes
Permet de s’assurer que les résultats des
programmes supportent la réflexion stratégique
86

87. Fonctions du bureau de projets

Donner un statut officiel à la gestion de projet

Fournir une vision globale (portefeuille de projets)

Mettre les projets en ordre de priorité

Développer des mécanismes de contrôle et de suivi

Optimiser les ressources

Supporter et « coacher » toutes les personnes reliées de près
ou de loin aux projets

Bâtir une mémoire corporative (leçons apprises)

Instaurer une vigie
Intégration / Coordination / Communication
87

88. La gestion de projet dans le monde

Project Management Institute (PMI)
 Plus
de 260 000 membres
 Dont 75 000 sont certifiés PMP (7 au Maroc répertoriés par
l’AMMP)
 Croissance annuelle de 35%

International Project Management Association
(IPMA)
 Plus
de 30 000 membres
88

89. PMI : PMBOK

Section I : Le cadre du Management de Projet
 Chapitre
1 : Introduction
 Chapitre 2 : Cycle de vie du projet et Organisation

Section II: Norme du management d’un projet
 Chapitre
3: processus de management d’un projet
89

90. PMI : Project Management Institute

Section III : Domaines de connaissance en
management de projet
 Chapitre
4 : Management de l'intégration du projet
 Chapitre 5 : Management du contenu du projet
 Chapitre 6 : Management des délais du projet
 Chapitre 7 : Management des coûts du projet
 Chapitre 8 : Management de la qualité du projet
90

91. PMI : Project Management Institute

Section III : Domaines de connaissance en
management de projet
 Chapitre
9 : Management des RH du projet
 Chapitre 10 : Management des communications
 Chapitre 11 : Management des risques du projet
 Chapitre 12 : Management des approvisionnements
91

92. PMI : Processus et Disciplines de
Gestion de Projet
Intégration
Contenu
Appro
Processus / Phases
de la GP
Init.
Planif.
Délais
Risques
Contrôle
Réal.
Clôture
Com
RH
Coûts
Qualité
92

93. Démarrage
4. Intégration du
Management de
Projet
5. Management du
contenu de Projet
6. Management des
délais du Projet
7. Management des
coûts du Projet
8. Management de la
qualité du Projet
9. Management des RH
du Projet
10. Management des
communications
du Projet
11. Management des
risques du Projet
12. Management des
approvisionnements du
Projet
4.1 Élaborer la
Charte de projet
4.2 Élaborer
l ’énoncé
du contenu
préliminaire du
projet
Planification
4.3 Élaborer le plan de
Management du Projet
Réalisation
4.4 Diriger et piloter
l’exécution du projet
Contrôle
4.5 Surveiller et maîtriser le
Travail du projet
4.6 Maîtrise intégrée des
modifications
5.1 Planification du contenu
5.2 Définition du contenu
5.3 Créer la structure de
découpage du projet
6.6 Maîtrise de l’échéancier
7.1 Estimation des coûts
7.2 Budgétisation
4.7 Clore le projet
5.4 Vérification du contenu
5.5 Maîtrise du contenu
6.1 Identification des activités
6.2 Séquence ment des
activités
6.3 Estimation des ressources
nécessaires aux activités
6.4 Estimation de la durée des
activités
6.5 Élaboration de l’échéancier
Clôture
7.3 Maîtrise des coûts
8.1 Planification de la Qualité
8.2 Mettre en œuvre
l’assurance Qualité
8.3 Mettre en œuvre le
contrôle Qualité
9.1 Planification des
Ressources Humaines
9.2 Former l’équipe de
projet
9.3 Développer
l’équipe de projet
9.4 Diriger l’équipe de
projet
10.1 Planification des
communications
10.2 Diffusion de
l’information
10.3 Établissement des
rapports d’avancement
10.4 Manager les parties
prenantes
11.1 Planification du
management des risques
11.2 Identification des risques
11.3 Analyse Qualitative des
risques
11.4 Analyse Quantitative des
risques
11.5 Planification des réponses
aux risques
12.1 Planifier les
approvisionnements
12.2 Planifier les contrats
11.6 Surveillance et
maîtrise des risques
12.3 Solliciter des
offres ou des
propositions
des fournisseurs
12.4 Choisir les
fournisseurs
12.5 Administration des contrats
12.6 Clôture du contrat
93

94. Les 5 phases du Project Management Maturity Model (PMMM) de Kerzner
Langage commun:
A ce niveau de maturité, l’organisation reconnais l’importance de la
gestion de projet
Des processus communs:
L’organisation met en œuvre les éfforts pour utiliser la gestion de projet
et développer les processus et les méthodologies pour supporter son
efficacité
Une méthodologie unique:
L’organisation reconnait que la synérgie et que le contrôle des
processus peut être atteint à travers le développement d’une
méthodologie de gestion de projet unique
Étalonnage concurrentiel (Benchmarking):
L’organisation se comparent tous le temps en terme de pratiques de
gestion de projet dans le but d’améliorer les performances
L’amélioration continue:
L’organisation évalue les leçons apprises durant le benchmarking et
implémente les changements nécessaires pour améliorer les
processus de gestion de projet
94

95. Le OPM3 du PMI
95

96. 4. Intégration du management de projet
Charte projet:
 Enoncé du contenu préliminaire du projet
 Plan de management du projet

96

97. 5. Management du contenu de projet
Contenu du projet:
 Structure de découpage de projet
 Dictionnaire SDP

97

98. 6. Management des délais
Séquencement des activités
 Estimation des ressources nécessaires
aux activités
 Echéancier

98

99. 7. Management des coûts de projet
Estimation des coûts
 Budgétisation

99

100. 8. Management de la Qualité
Planification de la Qualité
 Assurance Qualité
 Contrôle Qualité

100

101. 9. Management des RH
Planifier les RH
 Former l’équipe projet
 Développer l’équipe projet
 Diriger l’équipe projet

101

102. 10. Management des communications
du projet
Planification des communications
 Rapport d’avancement
 Management des parties prenantes

102

103. 11. Management des coûts de projet
Planifier les approvisionnements
 Planifier les contrats
 Solliciter les offres
 Choix des fournisseurs

103

104. 12. Management des approvisionnements
Identifier les risques
 Analyse qualitative des risques
 Analyse quantitative des risques
 Planification des réponses aux risques
 Surveillance et maîtrise des risques

104

105. C I
PM S
Processus Support
Recruteme
nt
Formation
Ressources
Humaines
Politique
des
déplaceme
nts
Règles
d'utilisation
des
espaces
S.I
Gestion
des
réunion S.I
Rôles et
responsabil
ités du DSI
Cartes
d'identificat
ion du
personnel
Politique
des Achats
Reporting
mensuel
des
activités S.I
Politique
de
préparation
des appels
d'Offres
Comité de
Pilotage
S.I
Les
comptes
emails et
les listes
globales
Gestion
des
enregistre
ments et
des fichiers
Politique
d'utilisation
des PC
portables
Gestion
des heures
supplément
aires
Gestion de
l'améliorati
on des
processus
Orientation
des
nouveaux
recrutés
Politiques
des rôles et
Responsab
ilités
Politique
du Budget
S.I
Revue des
Politiques et
des
Procédures,
approbation
et publication
Vol/perte
des PCs
portables
Politique
d'évaluatio
n technique
Adhésion
aux
standards
PnPs
Politique
comptable
des
dépenses
et charges
S.I
Budget &
Finances
Administration
Transfert
de tâches
internes
entre
employés
Transfert
de
connaissan
ce et
backup du
personnel
Politique
de
remplacem
ent du
matériel
Achats
Communication
Politique
de la
propriété
intellectuell
e
Gestion de
service de
parties
Tierces sur
ls sites S.I
Politique
de
nommage
des
utilisateurs
105

106. Processus Opérationnels
C I
PM S
réparation
de
l'infrastruct
ure
Politique
backup
Planificatio
n de la
capacité
Politique
de
maintenanc
e
Opérations
Politique de
Gestion de
l'Active
Directory et
de la Gestion
des comptes
Utilisateurs
Gestion
des
contrats de
maintenanc
e
Gestion
des
comptes de
vendeurs
support
politique de
gestion des
supports de
stockage
des données
Politiques et
procédures
de l'upgrade
de l'OS/400
Politique
de
l'Outlook
Web
Access
Politique
de la
documenta
tion des
serveurs
Politique
du
monitoring
des
serveurs
Les pistes
d'Audit
Len
environnem
ents de
production
et les
autorisations
d'accès
Les
Contrôles
techniques
Gestion
des mails
de masse
Politique
de
conformité
des emails
Politique
de Gestion
du serveur
des emails
Politique de
gestion de la
taille des
boites mails
et des
messages
Gestion du
réseau
Mise à jour
des
Systèmes
d'Exploitati
on
Les
procédures
opérationn
elles et les
responsabil
ités
Gestion
des
systèmes
Politique
de la vision
Conférence
Les travaux
Fin de
Journée; Fin
de Mois et la
gestion des
incidents
Interface
du logiciel
central
Monitoring
des
services et
escalade
des
incidents
Politique
Post
Implément
ation et
revue des
systèmes
Migration
des
systèmes
aux
environne
ments de
production
Management
de projet
Politques
et
procédures
d'achat et
d'acquisitio
n des
systèmes
Politique
PAB
PnPs de la
Gestion de
projet
Convention
de nomage
des projets
106

107. Processus Opérationnels
C I
PM S
Sécurité
Manuel
sécurité
de
l’Informa
tion
Monitoring
des
systèmes,
accès et
utilisation
Administrat
ion des
mots de
passe de
haut niveau
Contrôle
d'accès sur
les OS
Sécurité de
l'AS/400
Politique
de la salle
machine
Politique
du PCA
Sécurité
Internet
Gestion
des
autorisation
s
utilisateurs
Politique
des
comptes
privilégiés
Désignation
des
administrate
urs système
et sécurité
Politique
de
protection
virus
Confidentialité
des donnés
de production
utilisés pour
les tests et le
développeme
nt
Politique
de gestion
des
licences
SW
Service
Desk et
gestion des
Incidents
Gestion
des
niveaux de
Services
Politique
de
changeme
nt des
valeurs
système
Service
Management
Politique
de
manageme
nt de la
disponibilit
é
Politique
de
manageme
nt de la
capacité
Politique
de
manageme
nt du
changeme
nt
Politique
de
scanning
du réseau
Politique
de
manageme
nt du
configuratio
n
Politique
de la
satisfaction
client
Politique
de
manageme
nt des
problèmes
Gestion
des audits
IT
107

108. Processus Opérationnels
C I
PM S
SDLC
PnPs
Convention
de
nommage
de la
documenta
tion SDLC
Politiques et
procédures
du
processus
d'expression
de besoin
SDLC
IT Standards
Politique
du
processus
de test
Politique et
procédure
du
processus
de
déploiement
Politique et
procédure
de la
gestion du
changeme
nt
Audit et
revue du
processus
Assurance
Qualité
Standards
des serveurs
racks Quadri
processeurs
Standards
des PCs
portables
et PC
Standard
Salle
informatiqu
e
Politique
du
processus
analyse et
conception
Standards
des
serveurs
INTEL
Standards
des
serveurs
dual
processeur
s
Standards
des
serveurs
racks dual
processeur
s
Standards
des
serveurs
Quadri
processeur
s
AS/400
valeurs
systèmes
108

109. Pensées
I am captivated more by dreams of the future
than by the history of the past
Thomas
Jefferson
Si j’ai vu plus loin que les autres, c’est parce
que j’étais juché sur les épaules de géants
Isaac Newton
109