netAktive

La sécurité des données est toujours en tête des problématiques traitée par les DSI et les RSSI, et dès lors qu’il s’agit de trouver les bons outils, les difficultés s’accumulent. Des solutions Open Sources répondent à certaines de ces problématiques.

Si les menaces exploitant les vulnérabilités du réseau et des logiciels augmentent à un rythme effréné, de bons outils de sécurité peuvent constituer une bonne défense contre la plupart des menaces qui trainent sur Internet. Voici une petite sélection de cinq solutions de sécurité Open Source.

Lire la suite…

Gouvernance des systèmes d’information

La gouvernance des systèmes d’information s’intéresse à la performance et à la gestion des risques associés aux systèmes d’information. Lors d’un projet informatique complexe, on peut craindre qu’un professionnel des technologies de l’information ne se retrouve seul pour prendre des décisions-clés. En effet, d’autres composantes de l’entreprises, bien que concernées, peuvent ne pas avoir les compétences techniques pour comprendre et intervenir à bon escient. Il s’agit donc de définir des outils permettant à l’ensemble des intervenants (directions générales, direction financière, conseil d’administration…) d’interagir avec le système d’information et de participer aux prises de décision les concernant. C’est ainsi que, suite à divers dysfonctionnements graves (Enron, Arthur Andersen et Worldcom…), les principes de bonne gouvernance (Sarbanes-Oxley, Bâle II) comportent un volet IT. Les objectifs principaux de la gouvernance des SI sont d’assurer que les investissements IT sont générateurs de valeur, de contrôler les risques et finalement, de piloter la DSI avec des indicateurs métiers. Les moyens pour atteindre ces objectifs comprennent la définition des infrastructures, responsabilités, processus, etc. Plusieurs outils sont actuellement disponibles et complémentaires :

Control Objectives for Information and related Technology (COBIT®)

Il s’agit d’un ensemble de bonnes pratiques (« best practices ») pour la gestion des systèmes d’information, créé par le Information Systems Audit and Control Association (ISACA) et le IT Governance Institute (ITGI) en 1992. COBIT permet aux managers et auditeurs de bénéficier d’indicateurs leur permettant de contribuer à la gouvernance de manière efficace. Dans sa 4e édition, COBIT a 34 objectifs de haut niveau couvrant 215 objectifs de contrôle catégorisés dans quatre domaines :
1. Planifier et organiser (Plan and Organize)
2. Acquérir et Implémenter (Acquire and Implement)
3. Livraison et support (Delivery and Support)
4. Contrôler et évaluer (Monitor and Evaluate)
Le guide d’audit permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Le guide de management fournit des indicateurs clés d’objectif et de performance et des facteurs clés de succès. Un modèle de maturité évalue l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :
Inexistant.
Existant mais non organisé (initialisé au cas par cas).
Décrit (reproductible mais intuitif).
Défini (avec documentation).
Surveillé et mesuré.
Optimisé.

Capability Maturity Model Integration (CMMI®)

Dans les années 1980, le Department of Defense (DoD) américain a demandé l’élaboration d’un référentiel de critères lui permettant d’évaluer ses fournisseurs de logiciel. Après une lente maturation, le Carnegie Mellon SEI (Software Engineering Institute) financé par le DoD a présenté en 1991 le CMM (Capability Maturity Model, désormais rebaptisé SW-CMM pour « software engineering »). Ce modèle de référence ne concernait que les bonnes pratiques du génie logiciel. Des déclinaisons ont ensuite vu le jour : systems engineering (SE), Integrated Product and Process Development (IPPD) et supplier sourcing (SS). Le CMMI, proposé en 2001, regroupe l’ensemble de ces modèles (sauf la gestion des ressources humaines – People CMM – qui n’est pas encore intégrée). Les bonnes pratiques préconisées par le modèle sont rassemblées en 24 macro-processus eux-mêmes regroupés en niveaux de maturité au nombre de cinq :

Initial : Les facteurs de réussite des projets ne sont pas identifiés, la réussite ne peut donc être répétée (par dérision, ce niveau est aussi nommé héroïque ou chaotique).
Piloté : Les projets sont pilotés individuellement et leurs succès sont répétables.
Standardisé : Les processus de pilotage des projets sont mis en place au niveau de l’organisation par l’intermédiaire de normes, procedures, outils et méthodes.
Quantifié : La réussite des projets est quantifiée. Les causes d’écart peuvent être analysées.
Optimisé : La démarche d’optimisation est continue. Il y a deux manières de représenter la progression : soit par étapes (maturity levels), soit de manière continue (capability levels).

Information Technology Infrastructure Library (ITIL®)

ITIL, développé par le UK Government’s Office of Government Commerce (OGC), consiste en une série de documents définissant sept ensembles de points-clé (les deux premières sont les plus souvent utilisées) :

Service Support (Soutien aux services) : – La gestion des changements (Change Management)
- La gestion des mises en production (Release Management)
- La gestion des problèmes (Problem Management)
- La gestion des incidents (Incident Management)
- La gestion des configurations (Configuration Management)
- Le centre de services (Service Desk)

Service Delivery (Fourniture aux services) : – La gestion financière des TI (IT Financial Management)
- La gestion des capacités (Capacity Management)
- La gestion de la disponibilité (Availability Management)
- La gestion de la continuité (IT Continuity Management)
- La gestion des niveaux de service (Service Level Management)

Gestion des infrastructures des TIC (ICT Infrastructure Management)

Planification pour la mise en œuvre des services (Planning To Implement)

Gestion des applications (Applications Management)

Objectif métier (Business Perspective)

Gestion de la sécurité (Security Management)

Les normes de gestion de services rendus sur la base d’une infrastructure informatique et de télécommunications, en suivant les recommandations ITIL, sont connues sous le nom de ITSM (IT Service Management). L’ITSM est normalisé au Royaume-Uni sous la référence BS 15000 et au niveau international est inclus dans la norme ISO 20000.

1. Introduction

L’objectif d’un référentiel comme ITIL est d’améliorer l’efficacité des services informatiques. L’utilisation d’un référentiel de bonnes pratiques permet :
La réduction des coûts
Le contrôle des coûts
La prise en compte de l’attente client
La qualité de service
La réponse aux besoins

En France, les bonnes pratiques (bests practices) d’ITIL s’imposent comme méthode de gestion des systèmes d’information par les processus.

Les meilleurs pratiques d’ITIL permettent de rationnaliser la gestion des incidents, des changements et des mises en production, d’éradiquer les pannes les plus fréquentes à leur source et d’éliminer les gestions de crise en mode « pompier ».

ITIL a permis à l’informatique Voyageurs (Socrate) de la SNCF d’améliorer la qualité et les performances globales du système, la fusion de la production et des équipes informatiques du Crédit Agricole et LCL s’est reposée sur les processus ITIL.

Renault a mis en œuvre des processus transversaux avec ses prestataires de services : HP pour la gestion des postes de travail, CSC pour l’infrastructure technique et Atos Origin pour le parc applicatif. ITIL a permis un alignement de toutes les parties prenantes sur un langage normé.

Le même constat est fait chez Accenture (cabinet de conseil) : ITIL permet un dialogue entre différentes organisations en instaurant un « langage commun et normé ». ITIL permet de passer d’une culture « orale » à une culture « écrite », chez Prisma Presse, depuis la mise en place d’ITIL, l’installation d’un serveur ou d’un poste de travail ne nécessite plus l’intervention d’une personne en particulier, la documentation permet à chacun d’installer et de configurer le matériel.

La rigueur des procédures d’ITIL empêche les changements et mises en production « sauvages » qui sont facteurs de fortes perturbations dans le SI. Renault constate une baisse des coûts des interventions et que le système d’information est arrêté moins longtemps.

Les utilisateurs d’ITIL sont convaincus que cette méthode leur permet de « faire plus avec les mêmes moyens », la capacité de production de la SNCF a pratiquement doublé en trois ans, Altaïr (groupe Natexis), traite des événements complexes avec une forte réactivité et une marge d’erreur réduite.

2. Historique

ITIL a été lancé à la fin des années 80 et est devenu un standard de fait dans la gestion des services de l’information. ITIL a été développé et conçu sur l’initiative du gouvernement britannique, il s’agit d’un ensemble de bonnes pratiques destinées a améliorer l’efficacité des services informatiques. Le CCTA (Central Computer & Telecommunication Agency) fut à l’origine de la création d’ITIL puis a été ensuite repris par l’OGC (Office of Government Commerce).

3. Présentation

ITIL & BS15000 (Norme britannique élaborée par l’office de normalisation britannique). La norme ISO associée à la qualité de service, l’exigence de fiabilité et de continuité de services est l’ISO 20000-1. Elle adopte les principes de management de l’ISO-9001 et les processus recensés dans ITIL. ITIL (Information Technology Infrastructure Library) est une bibliothèque d’infrastructure des technologies de l’information. Il s’agit d’un ensemble de livres dans lesquels sont référencés des pratiques, procédures et méthodes permettant de gérer les systèmes d’information. ITIL est dans le domaine public, son utilisation est libre. Seuls les livres sont vendus. ITIL est basé sur trois grands principes que sont l’orientation client, l’industrialisation des services et l’optimisation des ressources. ITIL permet de guider et d’orienter la transformation des Directions Informatique sur les plans organisationnels et techniques afin qu’elles puissent fournir des services dont la qualité, la productivité et la maîtrise des coûts soient conformes aux objectifs de l’entreprise. ITIL définit un langage commun à tous les utilisateurs du système d’information (utilisateurs et équipes techniques). La mise en place d’un projet ITIL passe par la création d’une base de données unique des configurations (CMDB) qui sera le socle commun à tous les processus de production. Cet inventaire débouche sur la rédaction de contrats de services (SLA – Service Level Agreement), un plan d’assurance qualité et un système de refacturation.

3.1. Les concepts ITIL repose sur cinq concepts fondamentaux :
La prise en compte de l’attente du client ITIL est basé sur l’importance de la qualité de service et l’alignement de ces services aux besoins de l’entreprise. La prise en compte des besoins du client et de son métier doit être la préoccupation d’un service informatique.
Les cycles de vie des projets informatiques ITIL propose la mise en place de processus dès le lancement d’un projet de façon à prendre en considération tous les aspects liés à un nouveau projet. ITIL préconise la prise en compte de la gestion des services dès les phases d’études et de définition des besoins d’un projet informatique.
La mise en place des processus ITIL La qualité de service, dans le cadre d’ITIL, est basée sur des processus interdépendants. Ces processus sont constitués d’activités : contrôles, actions, … .
La qualité de service La qualité de service est basée, et perçue par les utilisateurs, sur l’efficacité de la réponse face à la demande. Elle nécessite un dialogue permanent avec le client afin de prendre en compte les évolutions de ses besoins.
La communication ITIL définit un langage commun aux utilisateurs et aux membres des services informatiques. Ce langage définit les termes utilisés dans les rapports et contrats de service (SLA), de la sorte, chacun parle le même langage (utilisateurs et services informatiques).

La qualité de service est basée sur une structuration des activités en processus interdépendants. Un processus (ou procédure) peut être évalué (niveau de qualité ou de maturité). Un processus est un ensemble d’activités liées entre elles.

3.2. Les organismes et certifications Plusieurs organismes contribuent au support d’ITIL, on trouve :
OGC L’OGC est l’organisme propriétaire d’ITIL
EXIN,ISEB Ces deux organismes, l’un britannique et l’autre néerlandais assument le rôle de coordinateur des certifications ITIL.
ITSMF itSMF est une association internationale dédiée à la promotion d’ITIL et est représentée dans chaque pays
Les centres de formation Les certifications sont au nombre de trois :
Niveau de base, les fondations (Foundation Certificate in IT Service Management)
Niveau praticien expert (Practitioner Certificate in IT Service Management)
Niveau responsable/gestionnaire (Service Delivery Certificate & Service Support Certificate)

4. Le modèle de maturité

Le modèle de maturité d’ITIL permet d’évaluer le positionnement d’une organisation informatique. Le modèle propose d’évaluer chaque processus et de les situer sur un des niveaux de maturité. Le modèle de maturité d’ITIL est de type « escalier », chaque marche représentant un niveau de maturité d’un processus. ITIL dénombre cinq niveaux de maturité :
Niveau 1 : Initial (ou inexistant) Le processus n’est pas géré et ne dispose d’aucune ressource. Il s’agit du point de départ du processus pour la mise en place d’un projet ITIL.
Niveau 2 : Répétable Des moyens ont été alloués pour la gestion du processus. Les activités liées au processus ne sont pas coordonnées mais permettent d’atteindre un résultat.
Niveau 3 : Défini Le processus possède des objectifs, un propriétaire, des ressources lui sont allouées. Des rapports et des résultats sont disponibles et mis à disposition pour consultation.
Niveau 4 : Géré Le processus dispose d’objectifs basés sur les besoins de l’entreprise, il est géré et proactif. Le processus et ses liens avec les autres processus sont documentés.
Niveau 5 : Optimisé Le processus est totalement intégré à l’entreprise, ses objectifs sont alignés aux besoins de l’entreprise.

5. La structure d’ITIL

La librairie ITIL est architecturée autour de cinq éléments fondamentaux interdépendants (habituellement présentés sous forme de puzzle). Ces cinq éléments sont :
L’approche métier,
Gestion des applications,
Fourniture des services aux TI,
Soutien des services aux TI,
Gestion des infrastructures des TI

ITIL est composé de huit livres :
L’approche métier,
Planification de la mise en œuvre de la gestion des services
La fourniture des services,
Le soutien des services,
Gestion des infrastructures TIC
Gestion des applications
Gestion des actifs logiciels
Gestion de la sécurité Les deux principaux livres, ceux qui ont contribué au succès d’ITIL, étant la fourniture et le support des services aux TIC.

6. L’approche métier (The Business Perspective)

Principes et besoins des organisations métier et communication avec le service informatique :
Plans de continuité métiers (Business Continuity Management)
Externalisations et partenariats (Surviving Change)
Transformation des pratiques métiers au travers de changements radicaux (Transformation of Business Practice through radical change) L’approche de la fourniture des services informatiques selon la perspective métier est basée sur les besoins de l’entreprise. Cette approche permet d’assurer la fourniture des services au plus près des de la demande. L’objectif de cette approche est l’alignement de l’informatique avec les besoins de l’entreprise.

7. Le soutien des services aux TI (Service Support)

Le soutien des services aux TI est composé d’une fonction, le centre de services, et de cinq processus :
La gestion des configurations
La gestion des incidents,
La gestion des problèmes,
La gestion des changements,
La gestion des mises en production,

7.1. Le centre de services (Service Desk) Le rôle du centre de service est de prendre en charge les incidents qui surviennent au sein du système d’information afin d’en assurer un traitement rapide et de rétablir le service le plus rapidement possible. Le centre de services est le déclencheur de changements sur le SLA (Service Level Agreement).

7.2. La gestion des configurations (Configuration Management) La gestion des configurations est un processus de documentation indispensable, son but est de fournir une représentation la plus fidèle possible du système d’information en identifiant les versions de tous les composants de l’infrastructure (Configuration Item ou CI). Ce processus sert à constituer la base de données des configurations (Configuration Management Database : CMDB). Cette CMDB doit au moins contenir les informations suivantes :
Fournisseur
Coût
Date d’achat
Date de renouvellement de licence et de maintenance
Historique du CI : versions, incidents, problèmes et changements La constitution d’une bibliothèque logicielle de versions définitives (Definitive Software Library : DSL) permet de stocker les versions définitives et validées de tous les composants logiciels du système d’information.

7.3. La gestion des incidents (Incident Management) Un incident est un événement ne faisant pas partie du fonctionnement normal d’un service ou d’un équipement et qui cause ou peut causer une interruption de service. Le but principal de la gestion des incidents est de rétablir le fonctionnement normal du service et d’en minimiser l’impact pour l’entreprise. La gestion des incidents traite les conséquences et non les causes.

7.4. La gestion des problèmes (Problem Management) L’objectif de la gestion des problèmes est de minimiser les conséquences des dysfonctionnements du système d’information en identifiant les causes afin d’éviter qu’ils ne se reproduisent. La gestion des incidents agit pour résoudre au plus vite ou trouver un palliatif, la gestion des problèmes doit identifier les causes des dysfonctionnements et proposer les changements éventuels qui permettent de les corriger. La gestion des problèmes permet de trouver des solutions aux problèmes issus d’incidents signalés au centre de service.

7.5. La gestion des changements (Change Management) Les systèmes d’information sont soumis à des événements extérieurs et intérieurs. Les événements intérieurs peuvent être issus d’incidents, de problèmes ou d’évolutions du SI. Les événements extérieurs peuvent être des évolutions réglementaires, légales ou simplement des évolutions du marché. L’objectif de la gestion des changements est de maintenir un niveau de fonctionnement du système d’information conforme aux engagements de niveau de service (SLA : Service Level Agreement). Le but est d’éviter une régression suite à la mise en place de changements.

7.6. La gestion des mises en production (Release Management) La gestion de la mise en production permet de s’assurer que seules les versions autorisées et testées des logiciels et matériels sont mises en production. Ce processus permet aussi de s’assurer que tous les aspects d’une mise en production, aussi bien techniques que non techniques sont pris en considération, et permet également la traçabilité des changements. Ce processus intervient après la gestion des changements et la gestion des configurations.

8. La fourniture des services aux TI (Service Delivery)

Le module de fourniture des services correspond à l’interface entre les clients et l’informatique, il couvre les aspects prévisionnels de fourniture des services et correspond aux processus :
Gestion des niveaux de service (SLM – Service Level Management),
Gestion financière des services,
Gestion de la capacité,
Gestion de la continuité de service,
Gestion de la disponibilité.

8.1. La gestion des niveaux de service (Service Level Management) La gestion des niveaux de service permet de valider les besoins et les exigences des clients (SLR – Service Level Requirement). Le maintien et l’amélioration de la qualité des services seront assurer par des accords (contractuels) de niveaux de service (SLA – Service Level Agreement)

8.2. La gestion de la capacité (Capacity Management) La gestion de la capacité est le processus permettant d’assurer que l’infrastructure du système d’information est en mesure de répondre aux besoins de l’entreprise. Les capacités de l’infrastructure du système d’information sont :
les performances des traitements,
les volumes de stockage,
le débit des liens de communication,
…

8.3. La gestion de la disponibilité (Availability Management) Ce processus doit assurer un niveau de disponibilité compatible avec les contrats de service (SLA). Pour atteindre cet objectif, il est indispensable de déterminer précisément les besoins métier et les fonctions vitales de l’entreprise (identifiés dans le SLA). A chacun de ces besoins doit correspondre une réponse technique et organisationnelle.

8.4. La gestion de la continuité des services aux TI (IT Continuity Management) Ce processus doit permettre d’assurer un niveau de service « convenu » en cas d’événement grave. La gestion de la continuité de service s’appuie sur des mesures d’analyses de risques, la mise en place de systèmes redondants, un plans de sauvegarde, plans de reprise d’activité (PRA), … .

8.5. La gestion financière des services aux TI (Financial Management for IT Services) La gestion financière des services remplit les rôles suivants :
Elle établit les budgets annuels de fonctionnement et d’investissement,
Elle suit et contrôle les dépenses des services,
Elle aide à concevoir une stratégie d’investissement,
Elle prend des décisions en fonction des investissements passés et de leurs conséquences sur le système d’information

9. Planification pour la mise en œuvre des services

Ce module concerne le projet d’implantation et d’amélioration de processus ITIL dans une entreprise. Elle est composée de six étapes :
Définition des objectifs,
Evaluation de la situation actuelle de l’organisation informatique (audit, benchmarking, …), niveau de maturité,
Définition des rôles et caractéristiques de la nouvelle organisation,
Elaboration du plan du projet d’implantation ou d’amélioration,
Evaluation des progrès,
Evaluation des améliorations à apporter, puis retour à l’étape 1.

Cycle des activités d’implantation :

10. Gestion de la sécurité

La gestion de la sécurité informatique est le processus permettant de gérer un niveau défini de sécurité des services informatiques, de l’infrastructure et de l’information qui y transite. La gestion de la sécurité concerne l’ensemble des processus de la gestion des services. Cet aspect est particulièrement important en France car le dirigeant de l’entreprise est pénalement responsable des problèmes de sécurité de l’entreprise.

11. Gestion des infrastructures des TIC

Gestion des composants techniques de l’infrastructure informatique :
Gestion des réseaux (Network Service Management),
Gestion des opérations (Operations Management),
Gestion des serveurs distants,
Installation et validation des serveurs,
Gestion des systèmes

12. La gestion des actifs logiciels

La gestion des actifs logiciels prend en charge les questions liées à l’utilisation des logiciels dans l’entreprise :
Logistique : – Evaluation, – Achat, – Déploiement, – Désinstallation,
Contrôle : – Audit, – Licences,
Sécurité
Liaisons : – Contrats, – Fournisseurs, – Développements externes

13. Gestion des applications

La gestion des applications permet de gérer le cycle de développement d’une application :
Définition des besoins, demandes,
Conception
Développement, fabrication,
Déploiement,
Mise en production,
Mise au point, optimisation,

14. Les relations entre les processus

Les processus ITIL sont tous interdépendants.

• Gestion des configurations La gestion des configurations fait partie de tous les autres processus de la gestion des services, elle fournit un ensemble d’informations sur tous les composants de l’infrastructure (matériels, logiciels, procédures, …)

• Centre de services Ce processus est le point de contact entre les utilisateurs et les fournisseurs de services. Toutes les demandes utilisateurs passent par le centre de services.

• Gestion des incidents Ce processus est lié à la gestion des problèmes afin d’identifier les causes, à la gestion des changements pour la mise en place de modifications.

• Gestion des problèmes Ce processus est lié à la gestion des incidents et à la gestion de la disponibilité.

• Gestion des changements Ce processus dépend des données de configuration afin de s’assurer de l’impact d’un changement sur l’infrastructure. • Gestion des mises en production Gestion des changements et gestion des configurations Gestion des incidents et des problèmes pour l’évaluation des régressions. • Gestion des niveaux de service (SLM) La gestion des niveaux de service est la charnière entre le soutien des services et la fourniture des services. • Gestion de la capacité Ce processus est sollicité par la gestion des incidents et des problèmes et est en relation avec la gestion des changements et de la mise en production lors de demandes d’évolution. • Gestion financière des services informatiques Ce processus est lié avec la gestion de la capacité pour identifier les investissements, la gestion de la configuration pour les amortissements matériels et la gestion des niveaux de service pour les dépenses de service. • Gestion de la disponibilité Un lien avec la gestion des incidents ainsi que la gestion des problèmes est nécessaire afin de comprendre les défaillances et d’évaluer les temps de reprise de service. • Gestion de la continuité de service La gestion de la continuité de service dépend de la gestion des configurations pour prévenir et planifier les procédures de sauvegarde et les plans de reprise d’activité. • Gestion de la sécurité La gestion de la sécurité est impliquée dans tous les processus, évaluation d’un changement sur la sécurité de l’infrastructure, … . • Gestion de l’infrastructure TIC Lien avec la majorité des processus pour lesquels des questions techniques se présentent : gestion de la capacité, gestion de la disponibilité, soutien des services, fourniture des services.

15. Acronymes

ACD Automatic Call Distribution
BSI British Standards Institution
CAB Change Advisory Board
CAB/EC Change Advisory Board/Emergency Committee CASE Computer-Aided Systems Engineering CCTA Central Computer and Telecommunications Agency CI Configuration Item CMDB Configuration Management Database COP Code of Practice CTI Computer Telephony Integration DHS Definitive Hardware Store DSL Definitive Software Library EDI Electronic Data Interchange EFQM European Foundation for Quality Management FSC Forward Schedule of Change GUI Graphical User Interface ICAM Integrated Computer-Aided Manufacturing ICT Information and Communications Technology IDEF ICAM Definition IP Internet Protocol IR Incident Report ISO International Standards Organisation IT Information Technology IVR Interactive Voice Response KER Known Error Record KPI Key Performance Indicator KSF Key Success Factors LAN Local Area Network MBNQA Malcolm Baldridge National Quality Award MTBF Mean Time Between Failures OLA Operational Level Agreement PC Personal Computer PIR Post-implementation Review PR Problem Record PRINCE Projects IN Controlled Environments PSA Projected Service Availability RFC Request for Change SCI Software Configuration Item SCM Software Configuration Management SIP Service Improvement Program SLA Service Level Agreement SLM Service Level Management TOR Terms of Reference TP Transaction Processing VOIP Voice Over Internet Protocol WAN Wide Area Network WIP Work in Progress WFD Work flow diagram

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l’information et du système d’information.

1. Risques et menaces

Sécuriser les systèmes d’information et les réseaux est devenu une préoccupation majeure des entreprises. De nombreux événements, très médiatisés, ne font que renforcer cette affirmation. Le tableau 1 compare les principaux résultats d’un sondage américain du CSI/FBI (Computer Security Institute/Federal Bureau of Investigation) réalisé en 1997 et en 2002, sur les délits informatiques et la sécurité. Ces sondages ont porté sur environ cinq cents responsables de la sécurité de réseaux d’entreprise. Les données concernant les dommages financiers estimés ne peuvent être considérées comme sûres, car peu d’entreprises procèdent à une évaluation précise des pertes après attaque, généralement en raison de la difficulté que cela représente.

1.1 Menaces fréquentes

Les menaces pesant sur les réseaux d’entreprise sont de plus en plus graves. Comme le sondage précédent le montre, deux types d’incidents de sécurité se dégagent.
Attaques de virus Environ 85% des personnes interrogées dans le sondage CSI/FBI déclarent au moins une attaque de virus en 2002.
Vols d’ordinateurs portables Le vol d’ordinateurs portables est moins fréquent qu’une attaque de virus, mais figure parmi les principaux risques pour la sécurité des données de l’entreprise (détournement de données, de mots de passe, …)

1.2 Attaques classiques

Les attaques classiques sont :
Intrusions dans les systèmes d’information Les attaques de systèmes d’information ont doublé au cours des sept dernières années. Ce constat est d’autant plus alarmant que la majorité des sondés déclarent être munis de pare-feux, censés empêcher ce genre d’intervention.

Attaques par saturation Lorsque les tentatives d’intrusion échouent, les « pirates » tentent d’empêcher les utilisateurs légitimes des systèmes d’information d’y accèder. Cette forme de vandalisme est appelée « attaque par saturation » (ou Déni de service : DOS (Deny of Service).
Accès non autorisés par un employé de l’entreprise Les accès non autorisés réalisés par des employés de l’entreprise sont courant et les conséquences peuvent être bénigne comme très destructrice.

2. Stratégie de sécurité

La sécurité est une question de gestion, et non de technologie. Les technologies les plus sophistiquées sont vouées à l’échec sans l’adoption des règles nécessaires au bon fonctionnement des dispositifs de sécurité mis en place.

2.1 Approche cohérente

L’aspect le plus important dans la gestion de la sécurité est l’adoption d’une politique de sécurité cohérente, impliquant tous les échelons de l’entreprise.

2.1.1 Initiative de la direction

La mise en place d’un système de sécurité performant dépend nécessairement d’un engagement de la direction, sans quoi les ressources et les actions entreprises risquent d’être insuffisantes. Les responsables de services des TIC doivent être pleinement gagnés à la cause.

2.1.2 Respect des consignes

Il est important de s’assurer que tout le monde est bien informé des consignes de sécurité et les respecte. La plupart des attaques profitent des brèches engendrées par des erreurs ou des oublis au moment de l’installation ou de la configuration des dispositifs de sécurité ou par un recours aux correctifs fournis par les fabricants. Ces mesures impliquent l’organisation de formations auprès du personnel.

2.2 Sécurité globale

Un système de sécurité n’est réellement efficace que s’il est global, c’est-à-dire s’il assure une protection contre toutes les possibilités d’attaques. A défaut, il ne pourra rien contre des pirates ayant trouvé ou détecté une faille précise. Les entreprises doivent envisager et trouver une parade à toutes les formes d’attaques possibles, les pirates n’ont qu’à détecter une seule faille pour infiltrer un réseau. Une manière efficace d’augmenter le niveau de sécurité d’un réseau consiste à mettre en place un dispositif composé de plusieurs lignes de défenses. L’installation de pare-feux installés à plusieurs niveaux du réseau offre plusieurs points de résistance aux attaquants.

2.3 Cycle PPR (Planification Protection Réaction)

Toute entreprise soucieuse de bien protéger ses données doit se soumettre à un cycle PPR (Planification Protection Réaction).

2.3.1 Planification

La raison d’être d’un système de sécurité est d’empêcher l’accès de personnes non autorisées, il faut par conséquent prendre en compte tous les points d’accès à mettre sous verrous et constamment rechercher des failles éventuelles sur le système en place. Il est recommandé de procéder à une analyse des risques, il est en effet inutile d’investir des sommes importantes dans la sécurité pour protéger des données ne représentant pas au moins ce coût. Il est important de comparer les coûts des systèmes de sécurité et le coût estimé des menaces.

2.3.2 Protection

Les différents dispositifs de protection doivent être sélectionnés, installés et configurés. La configuration est une opération très complexe et la moindre erreur peut rendre le dispositif complètement inefficace. Les menaces évoluent, les dispositifs doivent être mis à jour régulièrement (Pare-feux, antivirus, …) La complexité de configuration de ces systèmes de sécurité impose une vérification de leur bon fonctionnement : Audit de sécurité après installation.

2.3.3 Réaction

Même avec un bon système de protection, il est toujours possible qu’une personne mal intentionnée s’infiltre dans le système d’information de l’entreprise (Incident de sécurité). Il est donc impératif de disposer de procédures concernant la diffusion d’informations sur les incidents, l’endiguement des attaques, la restauration et la réparation des failles.

2.4 Arbitrages budgétaires

2.5.1 Analyse quantitative des risques

La gravité de la menace (pertes escomptées) est le coût d’une attaque, si elle réussit, multiplié par la probabilité qu’elle réussisse. La valeur de la protection compare la gravité de la menace au coût des contre-mesures. Si le coût annuel de la protection est inférieur à la gravité annuelle de la menace, la valeur de la protection est positive et la contre-mesure est économiquement viable. En général, une entreprise n’a pas les moyens d’appliquer toutes les contre-mesures valables. Il faut donc les hiérarchiser selon leur valeur de protection en euros et commencer par celle qui affiche la plus grande valeur. Il est également possible de choisir les dispositifs à mettre en place en fonction du retour sur investissement. Si l’on considère une période d’un an, il faut diviser la valeur de la protection par le coût du dispositif. Le pourcentage obtenu est comparable à celui du taux d’intérêt des investissements.

2.5.2 Analyse qualitative des risques

L’analyse quantitative des risques est importante mais il faut aussi faire une analyse qualitative, c’est-à-dire évaluer leur dangerosité.

2.5.2.1 Cessation des activités de l’entreprise Les attaques susceptibles de provoquer l’arrêt des activités de l’entreprise sont inacceptables. Il faut prendre en compte de telles menaces même si leur probabilité est très faible.

2.5.2.2 Perte de réputation La confiance des partenaires et clients représente une part importante de l’avantage concurrentiel d’une société (banque, …), il peut être envisageable d’installer des dispositifs de sécurité même s’ils en sont pas économiquement rentables.

3 Sécurité des postes de travail

Le piratage de serveurs devient de plus en plus difficile, les attaquants se dirigent donc vers des proies plus faciles : les postes clients. De plus en plus de postes clients, contenant les identifiants et mots de passe de leurs utilisateurs, se connectent à distance à des réseaux d’entreprise. La prise de contrôle d’un tel poste permet l’accès à l’ensemble des applications et des fichiers utilisés par le titulaire de l’ordinateur. Un seul poste client piraté suffit à court-circuiter toutes les barrières de protection d’un réseau d’entreprise (les pare-feux acceptent les connexions de ces postes). Les mises à jour de sécurité disponibles, tant pour le système d’exploitation que pour les applications utilisées (Internet Explorer, Outlook, Office, …), doivent être installées par les utilisateurs. De même, l’installation d’un antivirus est indispensable, sa mise à jour, l’analyse régulière du système ainsi que de l’ensemble des documents téléchargés (courriels, fichiers, pages Web). La limitation des logiciels clients à une liste de logiciels autorisés contribue aussi à l’amélioration de la sécurité. Les dernières versions de Windows permettent l’enregistrement automatique de mots de passe. Cette pratique dangereuse permet à n’importe quelle personne ayant un accès physique à un ordinateur d’utiliser les ressources qu’il renferme.

4 Sécurité des serveurs

4.1 Sécurisation réseau

La sécurisation des serveurs passe nécessairement par la sécurisation du réseau, il s’agit de protéger les serveurs contre les attaques externes.

4.1.1 Pare feux

Les pare-feux examinent tous les paquets entrants et choisissent de les accepter ou de les bloquer (filtrage) selon leur nature. Le filtrage entrant s’applique aux paquets circulants de l’extérieur du réseau vers l’intérieur. La même opération est effectuée en sortie (intérieur du réseau vers l’extérieur). Cette mesure de protection permet d’empêcher les connexions non autorisées à des serveurs externes. Les pare-feux se présentent à la fois sous forme de logiciels spécialisés (Check Point FireWall-1) et de matériels (CISCO Pix).

4.1.2 Translation d’adresses réseau (NAT)

Les pare-feux assurent souvent ce type de protection (Network Address Translation). Le principe est de masquer les adresses internes du réseau vis-à-vis de l’extérieur.

4.1.3 Zone démilitarisée (DMZ)

La DMZ constitue un emplacement de choix pour les serveurs publics d’une entreprise. La DMZ est une zone intermédiaire entre le ou les réseaux internes et Internet.

4.1.4 Les réseaux privés virtuels (VPN)

Lorsque les réseaux s’étendent sur plusieurs emplacements géographiques distincts, les communications sont généralement établies en passant par Internet. La construction de réseaux privés virtuels permet de sécuriser les échanges de données.

4.2 Désactivation des services superflus
Il est recommandé d’arrêter tous les services inutilisés, en effet, plus nombreux sont les services actifs, plus nombreux sont les risques d’intrusion.
D’une manière générale, il vaut mieux installer peu de services et les compléter au fur et à mesure des besoins plutôt que d’en installer trop et devoir les retirer par la suite.

4.3 Administration des comptes utilisateurs
Dans un système sécurisé, chaque utilisateur doit disposer de son propre compte. Un mode d’organisation en groupes d’utilisateurs permet d’appliquer des règles de sécurité globales à une équipe, un service ou à un ensemble d’utilisateurs souhaitant accéder aux mêmes ressources.

4.4 Administration des droits d’accès
Il faut attribuer aux comptes et groupes d’utilisateurs des droits d’accès à chaque répertoire ou fichier dont il se servent. Au moment d’attribuer des droits d’accès, le principe des droits minimaux stipule que chaque utilisateur doit bénéficier uniquement des permissions nécessaires à son travail. Il est plus sûr d’alléger des restrictions au fur et à mesure que de supprimer des privilèges avec le temps.

4.5 Journalisation
La journalisation est le fait de garder une trace de tous les événements se produisant au sein d’un système donné. Ces informations sont regroupées dans un fichier accessible par l’administrateur, ce dernier peut le consulter afin de détecter des failles de sécurité, des échecs de connexion, des tentatives de modification des droits d’accès de fichiers.

4.6 Sauvegarde
La sauvegarde est un aspect fondamental de la sécurisation des serveurs. Les serveurs contiennent toutes les données de l’entreprise.

4.7 Le chiffrement
Lors d’une intrusion, l’ensemble des fichiers et des ressources des systèmes sont accessibles. La dernière mesure possible pour empêcher leur utilisation est de les chiffrer. Le principe du chiffrement est de rendre les données inutilisables.

4.8 Vérificateur d’intégrité de fichiers
Lorsqu’un pirate parvient a s’infiltrer dans un système, il tente de remplacer certains fichiers par des chevaux de Troie ou à les infecter par des virus. Les responsables sécurité doivent être capables de déceler rapidement les changements effectués sur les ordinateurs victimes d’attaques.

5 Sécurité des communications

La sécurisation des communications permet de protéger les échanges de données entre l’entreprise et l’extérieur. Ceci concerne les courriels, les fichiers, … . Un système de chiffrement assure quatre types de protections des messages :
Confidentialité : Assurance qu’un intrus n’est pas en mesure d’interpréter les messages interceptés.
Authentification : Assurance que l’expéditeur d’un message est bien la personne qu’il prétend être.
Intégrité : Assurance que les messages reçus n’ont pas été altérés en cours de transport. On peux distinguer deux principaux types de chiffrement : le chiffrement à clé symétrique et le chiffrement à clé publique.

5.1 Chiffrement à clé symétrique Les deux utilisateurs utilisent la même clé pour chiffrer et déchiffrer un message. Les principaux algorithmes de chiffrement à clé symétrique sont :
DES (Data Encryption Standard)
CBC (Cipher Block Chaining)
3DES (Triple DES), AES (Advanced Encryption Standard)
IDEA : Système PGP (Pretty Good Privacy)
RC4

5.2 Chiffrement à clé publique Les messages envoyés par l’expéditeur sont cryptés avec la clé publique du destinataire, le destinataire déchiffre le message avec sa clé privée. Une fois un message envoyé chiffré avec la clé publique du destinataire, nul autre que lui ne peut le déchiffrer, pas même l’expéditeur.

Les principaux algorithmes de chiffrement à clé publique sont :
RSA (Rivest Shamir Adleman)
ECC (Elliptic Curve Cryptosystem)

5.3 Authentification Le chiffrement peut être utilisé pour vérifier l’identité de l’expéditeur d’un message. On appel prouveur l’interlocuteur essayant de démontrer son identité, l’interlocuteur responsable de la procédure d’authentification étant le vérificateur. Dans une communication à deux voies, chaque partie assume à son tour le rôle de prouveur et de vérificateur. 5.3.1 Certificats numériques Lors d’une authentification à clé publique, le vérificateur doit connaître la clé publique de son interlocuteur. Il ne doit par contre pas lui demander dans la mesure où une usurpation d’identité serait possible. Le vérificateur doit s’adresser à une autorité de certification, une instance fiable et indépendante chargée de gérer les clés publiques des interlocuteurs de confiance. L’autorité de certification procure un certificat numérique contenant le nom de l’interlocuteur et la clé publique de confiance. La norme gérant les certificats numériques est appelée X.509. 5.3.2 Infrastructures à clés publiques La gestion des clés publiques est un processus complexe : création des couples de clé publiques/clés privées, distribution des clés à l’aide certificats numériques, sécurisation des transmissions, vérification des listes de révocation de certificats, … . Les infrastructures à clés publiques (ICP ou PKI) assurent une prise en charge intégrale de la gestion des clés. Aujourd’hui, toutes les infrastructures à clés publiques sont des solutions propriétaires, incomplètes et peu compatibles entre elles, ce qui limite leur adoption.

6 Validation et contrôle du modèle de sécurité

La mise en place d’un système de sécurité est une tâche relativement laborieuse au cours de laquelle de nombreuses erreurs de configuration sont susceptibles d’être commises. Il est donc nécessaire d’effectuer des tests de sécurité pour vérifier la robustesse des dispositifs installés. Ces tests sont réalisés par des spécialistes travaillant officiellement pour l’entreprise dans le but de détecter d’éventuelles failles.

7 Continuité de l’exploitation

Chaque entreprise doit posséder un plan de continuité des activités, qui décrit la façon de restaurer au moins les activités principales après un sinistre. La première étape de réalisation d’un tel plan est d’identifier les processus majeurs de l’entreprise et de déterminer ceux à restaurer en priorité. Il est important d’identifier les interrelations des processus pertinents. La hiérarchisation des processus permettra de déterminer la sensibilité aux temps d’arrêt : les systèmes de saisie de commande sont essentiels et devront être remis en place rapidement sous peine de perdre des commandes. En revanche, l’interruption momentanée de la facturation n’entravera pas le fonctionnement de l’entreprise. Une fois le plan de continuité de l’exploitation déterminé, il faudra le tester et le mettre à jour. Les plans de continuité négligent souvent quelques actions vitales. La seule façon de les mettre au point est de les tester. Les tests réels sont souvent impossibles à réaliser, il faut donc réaliser des parcours structurés au cours desquels les personnes impliquées se réunissent et suivent les actions que chacun doit entreprendre. Ces parcours structurés sont des projets importants car ils impliquent des intervenants de nombreux services (services concernés et service informatique). Le plan de continuité doit être fréquemment mis à jour car l’entreprise se réorganise constamment, les conditions de travail changent. Des services se créent, d’autres disparaissent, pendant une crise, il faut réagir vite et pouvoir contacter tous les intervenants rapidement.

8 Reprise après panne

Même avec un bon système de sécurité en place, il est possible qu’il y ait une infiltration, appelée « incident de sécurité ». Lors d’un incident de sécurité, une certaine tension s’installe et l’administrateur réseau de l’entreprise est contraint de résoudre le problème au plus vite. L’expérience montre que la qualité des réactions dépend d’une bonne planification et de l’entraînement des intervenants. Il est impératif de disposer de procédures clairement établies concernant la diffusion d’informations sur les incidents. Dans le cas d’un incident majeur, l’entreprise doit pouvoir faire appel à un CERT (Computer Emergency Response Team) connaissant bien les formes d’attaques récentes. La première priorité est de stopper l’attaque, puis de procéder à une restauration rapidement. Dans le cas d’une infection par un virus, il faut procéder à un nettoyage avant toute restauration. Le succès de ce type d’opérations dépend souvent de sa vitesse d’exécution. Ceci implique que le responsable sécurité doit travailler vite et bien, l’expérience acquise au cours d’exercices d’entraînement peut faire toute la différence.

Lorsqu’une installation majeure de l’entreprise devient inutilisable, le travail doit être déplacé vers une installation de secours située à un autre endroit : salles blanches, ressources partagées.

9 Aspects juridiques et sociaux

Bien que les gouvernements travaillent au développement de lois concernant les crimes informatiques, la situation juridique actuelle est loin d’être satisfaisante. La création du traité sur la cybercriminalité de 2001 par le Conseil de l’Europe est le développement international le plus important. Les signataires de ce traité s’engagent à rédiger des lois relatives aux attaques informatiques et à la protection des copyrights. L’objectif des lois est de sanctionner les fraudes une fois que les faits ont eu lieu. En France :
Loi Informatique et Libertés : Première loi réglementant les systèmes d’information (loi n° 78-774 du 6 janvier 1978 dite ‘Informatique et Libertés’). Elle a été élaborée pour éviter le recoupement des fichiers gérés par les entreprises et administrations.
Loi Godfrain (Loi sur la fraude informatique) : Avec le développement des réseaux de communication, de nombreux cas d’intrusion dans les systèmes d’information ont conduits à adopter la loi 5 janvier 1988. Les peines encourues peuvent aller jusqu’à trois ans d’emprisonnement et 45000 € d’amende.
Secret professionnel : Articles 226-13 et 226-14 du Code Pénal, réglementation en matière de chiffrement des données, protection des logiciels au titre du droit d’auteur.

1. Présentation

CMMi, Capability Maturity Model Integration (Modèle intégré du niveau de maturité), est une extension de la spécification CMM, créée pour le ministère de la Défense américain en 1989 afin de déterminer si un projet interne ou tiers serait terminé dans les temps, selon le budget et les spécifications prévus. Ce dispositif contribue à l’amélioration des processus et à l’évaluation du niveau de maturité de l’entreprise, c’est-à-dire son aptitude à maîtriser le développement et la maintenance de produits. CMMi intègre les spécifications SW, SE, IPPD et SS établies pour pallier les manques de CMM :
SW (Software) couvre le développement de logiciels,
SE (System Engineering) couvre le développement de systèmes (incluant ou non une partie logicielle), l’objectif est de couvrir les demandes clients en terme de produits et de support,
IPPD (Integrated Product and Process Development) couvre la gestion des processus, la gestion de projets et le support,
SS (Supplier Sourcing) couvre l’appel à des fournisseurs pour la réalisation de fonctions

CMMi est une approche d’ingénierie des systèmes couvrant les compétences et processus techniques et managériaux permettant de transformer des besoins utilisateurs en un produit technique. C’est un modèle de développement et de maintenance des systèmes et des applications informatiques. Il a été conçu à partir des meilleures pratiques du logiciel, par le SEI (Software Engineering Institute) et des représentants de l’industrie du logiciel.

CMMI est un référentiel d’évaluation de la capacité à gérer et terminer un projet (ou un produit) correctement (dans les temps et dans les budgets définis), proposant nombre de bonnes pratiques liées à la gestion, au développement et à la maintenance d’applications et de systèmes. Ces bonnes pratiques sont regroupées en 24 processus, eux-mêmes regroupés en 4 types (Process Management, Project Management, Engineering et Support) et 5 niveaux de maturité.

2. Les organismes et certifications

Les évaluateurs sont accrédités par le SEI (Software Engineering Institut). Il n’y a pas de certificat délivré par un organisme, mais des évaluations conduites par un « lead assessor », qui délivre une attestation indiquant le niveau de maturité atteint.

3. Les composants de CMMi

Cette section décrit les différents types d’informations rencontrés dans le modèle CMMi ainsi que leur importance. 3.1. Les domaines de processus L’élément fondamental de CMMi est le « domaine de processus », CMMi regroupe un ensemble de processus (ou procédures) regroupés dans des domaines. Un processus a :
un but : gérer un projet, définir des besoins clients, …
Des objectifs qui décrivent le résultat à atteindre,
Des pratiques qui permettent d’atteindre ce résultat,

3.2. Classification Un modèle d’amélioration des processus doit inclure une échelle de valeur permettant de donner une importance à chaque élément. Dans le modèle CMMi, les termes « required », « expected » et « informative » permettent de définir l’importance d’un élément.

3.3. Les pré requis Le principal composant pré requis dans CMMi est l’objectif, le but à atteindre. Le but représente un état final, il indique qu’un projet et que des processus ont atteint un certain niveau. Chaque processus CMMi a entre un et quatre objectifs spécifiques, le modèle CMMi possède 55 objectifs spécifiques.

3.4. Informative materials

3.5. Les documents

4. Les représentations de CMMi

Un modèle est une représentation simplifiée de la réalité ; un modèle de maturité CMM® (Capability Maturity Model®) contient les éléments essentiels des processus opérationnels pour un ou plusieurs corpus de compétence. Comme les autres modèles CMM, les modèles CMMi (Capability Maturity Model Integration®) proposent un guide de développement des processus. Les modèles CMMi ne sont ni des processus, ni des représentations de processus. Les processus effectifs exécutés dans une organisation dépendent de multiples facteurs – domaine(s) applicatif(s), caractéristiques de structure et taille de l’entreprise, etc. Pour sélectionner un modèle adapté à l’entreprise, il faut choisir une représentation, qui sera dite « continue » ou « étagée », et déterminer les corpus de compétences qui y seront intégrés. Plusieurs raisons peuvent conduire au choix d’une représentation ou de l’autre ; les avantages et désavantages respectifs des deux approches sont synthétisés ci-dessous. Cependant, qu’il s’agisse d’évaluation ou d’amélioration des processus, les deux représentations offrent des résultats sensiblement équivalents. Chaque représentation est composée de niveaux correspondants à des objectifs à atteindre, pour chacun de ces objectifs, CMMi propose des pratiques générales (« generic pratices » ou GPs) ainsi que des pratiques spécifiques (« specific practices » ou SPs). Les pratiques générales s’appliquent à tous les processus tandis que les pratiques spécifiques sont particulières à un processus.

4.1. La représentation étagée La représentation étagée définit un plan d’évolution et permet de réaliser les opérations suivantes :
Fournir une séquence d’améliorations, débutant par des pratiques de management élémentaires et progressant à travers un cheminement éprouvé de passages d’un niveau à l’autre.
Favoriser les comparaisons internes et externes à travers les niveaux de maturité.
Fournir une notation unique synthétisant les résultats d’évaluation et permettant des comparaisons. Ce plan d’évolution est décrit à l’aide d’une série d’étapes appelées « Niveaux de maturité » (MLs). A chaque niveau de maturité correspond un ensemble de processus indiquant des objectifs à atteindre pour améliorer l’organisation. La représentation est faite par le niveau de maturité de l’entreprise et composée de cinq niveaux :
ML1 : Initial Les projets ne sont pas gérés, les processus sont chaotiques, ce niveau est souvent appelé « niveau héroïque ». Les budgets et plannings de réalisation sont souvent dépassés, on parle souvent de mode « pompier ».
ML2 : Géré Des procédures sont mises en place pour chaque projet.
ML3 : Défini Les processus sont définis et documentés au niveau de l’organisation.
ML4 : Maitrisé L’organisation se fixe des objectifs quantitatifs et qualitatifs et se dote de moyens pour contrôler qu’ils sont atteints. Niveau 5 – En optimisation Les processus sont en conti
ML5 : En optimisation Les processus sont en continuelle amélioration.

Les niveaux de maturité sont représentés dans le schéma suivant :

Regroupement des processus dans la représentation étagée : Regroupement étagé Acronymes Domaines de Processus Niveau de maturité 2 REQM Requirements Management (Gestion des exigences) PP Project Planning (Planification du projet) PMC Project Monitoring and Control (Conduite et maitrise du projet) SAM Supplier Agreement Management (Gestion des achats) MA Measurement and Analysis (Production et analyse les indicateurs) PPQA Process and Product Quality Assurance (Assurance qualité des processus et des produits) CM Configuration Management (Gestion de configuration) Niveau de maturité 3 RD Requirements Development (Expression des besoins) TS Technical Solution (Solution technique) PI Product Integration (Intégration du produit) VER Verification (Recette technique) VAL Validation (Recette fonctionnelle) OPF Organizational Process Focus (Gestion de l’organisation des processus) OPD Organizational Process Definition (Définition de l’organisation) OT Organizational Training (Formation à l’organisation) IPM Integrated Project Management (Gestion multidisiplinaire de projet) RSKM Risk Management (Gestion des risques) IT Integrated Teaming (Gestion d’une équipe intégrée) ISM Integrated Supplier Management (Intégration de la gestion des achats) DAR Decision Analysis and Resolution (Méthode de prise de décision) OEI Organizational Environment for Integration (Organisation de l’intégration) Niveau de maturité 4 OPP Organizational Process Performance (Performance des processus) QPM Quantitative Project Management (Gestion quantitative du projet) Niveau de maturité 5 OID Organizational Innovation and Deployment (Innovation organisationnelle) CAR Causal Analysis and Resolution (Analyse causale et solution des problèmes)

La représentation continue comprend 12 pratiques générales (Generic practices) réparties dans les 5 niveaux de maturité (CLs). Ces pratiques (GP) représentent les objectifs à atteindre pour obtenir un niveau de maturité.

4.2. La représentation continue La représentation continue permet de réaliser les opérations suivantes :
Sélectionner l’ordre d’amélioration le plus adapté aux objectifs de l’entreprise et limiter les zones de risque.
Permettre les comparaisons internes et externes sur un domaine de processus ou par comparaison des résultats (équivalence étagée).
Simplifier la migration de EIA/IS 731 (Electronic Industries Alliance/Interim Standard) vers CMMi.
Simplifier la comparaison de l’amélioration des processus avec le standard ISO/IEC 15504 (issue de SPiCE) – en raison de l’organisation similaire des domaines de processus.

La représentation continue regroupe les processus en quatre grandes catégories : Gestion de processus, gestion de projets, ingénierie et support. L’évaluation suivant le modèle continu s’effectue par processus. Les pratiques sont regroupées en « Niveaux de capacité » (CLs). Le modèle continu de CMMi dénombre six niveaux de capacité :
CL0 : Incomplet Ce niveau ne contient aucun objectif, il s’agit du niveau initial d’un processus.
CL1 : Réalisé Les objectifs sont atteints, mais cette réussite repose essentiellement sur les individus.
CL2 : Géré Les objectifs sont remplis en suivant des plans pré-établi.
CL3 : Défini Une politique de normalisation des processus est mise en place au niveau de l’organisation.
CL4 : Maitrisé Des mesures sont effectuées pour contrôler les processus et agir en cas de déviation par rapport aux objectifs de l’organisation.
CL5 : En optimisation Les processus sont sans cesse remis en question afin d’être toujours en adéquation avec les objectifs de l’organisation.

Il s’agit d’une représentation par amélioration des processus.

Regroupement des processus dans la représentation continue : Regroupement continu Acronymes Domaines de Processus Gestion des processus OPF Organizational Process Focus OPD Organizational Process Definition OT Organizational Training OPP Organizational Process Performance OID Organizational Innovation and Deployment Gestion de projet PP Project Planning PMC Project Monitoring and Control SAM Supplier Agreement Management IPM Integrated Project Management RSKM Risk Management IT Integrated Teaming ISM Integrated Supplier Management QPM Quantitative Project Management Engineering REQM Requirements Management RD Requirements Development TS Technical solution PI Product Integration VER Verification VAL Validation Support CM Configuration Management PPQA Process and Product Quality Assurance MA Measurement and Analysis DAR Decision Analysis and Resolution Niveau de maturité 5 OEI Organizational Environment for Integration CAR Causal Analysis and Resolution

La représentation continue comprend 17 pratiques générales (Generic practices) réparties dans les 5 niveaux de capacité (CLs). Ces pratiques (GP) représentent les objectifs à atteindre pour obtenir un niveau de capacité.

5. Les processus CMMi

Un processus atteint un niveau lorsqu’il répond à tous les objectifs prédéfinis à un niveau donné. Pour chaque processus et chaque niveau, un document CMMi (contrat) est établit, ce document contient :
Un but (objet du processus)
Une note d’introduction décrivant les objectifs à atteindre
Des références à d’autres documents d’autres processus
Les pratiques et buts associés à atteindre (Liste des Generic practices & Specific practices)

5.1. Le domaine gestion des processus Le domaine gestion des processus contient les pratiques relatives à la définition, la planification, le déploiement, l’implémentation, le contrôle et l’amélioration des processus. Les cinq processus qui le compose sont :
Organizational Process Definition (OPD),
Organizational Process Focus (OPF),
Organizational Process Performance (OPP),
Organizational Innovation and Deployment (OID),
Organizational Training (OT).

5.1.1. Définition de l’organisation (Organizational Process Definition) Le but de ce processus est de définir et de maintenir l’ensemble des objectifs financiers des processus. Il s’agit d’établir une description du cycle de vie du projet, des critères de mise en production. Les buts sont :
Définition du cycle de vie de chaque projet
Etablissement des processus standards de l’organisation,
Budget des procédures utilisées par les projets

5.1.2. Gestion de l’organisation des processus (Organizational Process Focus) L’objectif est de planifier et d’implémenter des processus d’amélioration de l’organisation. Les buts sont :
Etablissement des besoins,
Planification et mise en place des activités d’amélioration des processus

5.1.3. Performance des processus (Organizational Process Performance) Il s’agit d’établir et de maintenir un niveau de performance des processus standards de l’organisation. Les buts sont :
Gestion de la qualité et de la performance des processus,
Fourniture de données sur la performance

5.1.4. Innovation organisationnelle (Organizational Innovation and Deployment) L’objectif de ce processus est de sélectionner et de déployer des améliorations qui augmentent le niveau des processus de l’organisation. Les améliorations doivent respecter le niveau de qualité fixé par les objectifs métiers de l’entreprise.

5.1.5. Formation à l’organisation (Organizational Training) L’objectif de ce processus est de former et développer le niveau de connaissance des intervenants du SI afin qu’ils puissent remplir leur rôle efficacement.

5.2. Le domaine gestion des projets Le domaine gestion des projets couvre les activités de planification, et suivi du projet. Le modèle CMMi comprend six domaines de processus de gestion de projet :
Project Planning (PP),
Project Monitoring and Control (PMC),
Integrated Project Management (IPM),
Quantitative Project Management (QPM),
Supplier Agreement Management (SAM),
Risk Management (RSKM),

5.2.1. Planification de projet (Project Planning) Il s’agit de définir les variables qui permettent de mesurer l’avancement du projet, après avoir éventuellement découpé celui-ci en phases, et d’estimer chemin faisant les coûts et délais restants prévisibles. L’accent est mis sur le caractère rationnel des évaluations (elles doivent être quantitatives, on doit pouvoir les justifier et les expliquer). Un plan de projet permettra de suivre la consommation du budget et le calendrier de réalisation. Les risques, les ressources et les connaissances nécessaires doivent être gérés. Les parties prenantes doivent être impliquées et informées, notamment les responsables de ceux des autres projets avec lesquels le projet considéré est en relation.

5.2.2. Conduit et maîtrise de projet (Project Monitoring and Control) Il s’agit de suivre l’évolution du projet selon le schéma construit lors de sa planification. Les décisions prises en cours de route (corrective actions) sont définies et gérées. C’est là un point important : il arrive trop souvent, dans l’entreprise, que des décisions soient ignorées ou indéfiniment remises en cause.

5.2.3. Gestion de projet (Integrated Project Management) Le but de ce processus est d’établir et de gérer un projet

5.2.4. Gestion quantitative d’un projet (Quantitative Project Management) L’objectif est de quantifier la gestion des processus définis dans un projet afin d’évaluer les objectifs de qualité et de performance du projet.

5.2.5. Gestion des achats (Supplier Agreement Management) Les fournisseurs sont choisis à partir d’une évaluation de leurs aptitudes (en s’appuyant sur SCAMPI – Evaluation). Un contrat est passé avec chaque fournisseur, précisant les engagements mutuels entre le client et lui. Enfin, le produit du fournisseur doit être intégré dans l’architecture du système d’information et les équipes de l’entreprise doivent être formées aux techniques particulières le concernant.

5.2.6. Gestion des risques (Risk Management) L’objectif de la gestion des risques est d’évaluer les problèmes potentiels avant qu’ils surviennent, la gestion des risques doit être planifiée et utilisée tout au long de la vie d’un projet.

5.3. Le domaine Engineering Le domaine engineering couvre le développement ou la réalisation d’un produit ou d’un service. Le processus Engineering est compose de six domaines de processus :
Requirements Management (REQM),
Requirements Development (RD),
Technical Solution (TS),
Product Integration (PI),
Verification (VER),
Validation (VAL)

5.3.1. Gestion des exigences (Requirements Management) L’objectif de la gestion des exigences est d’analyser la Par « gestion des exigences », CMMI entend la gestion de la cohérence entre les exigences et les produits de sortie du projet, le fait que les exigences soient bien comprises par les parties prenantes et que celles-ci s’engagent à les satisfaire, enfin la gestion des modifications apportées aux exigences en cours de projet.

5.3.2. Expression des besoins (Requirements Development) L’objectif de ce processus est d’analyser les besoins du client, le projet (ou produit) ainsi que les composants nécessaires à sa production.

5.3.3. Solution technique (Technical solution) L’objectif de ce processus est d’étudier et de réaliser les solutions techniques répondant aux besoins. Les solutions techniques englobent les processus, produits, composants et cycles de vie.

5.3.4. Intégration de produit (Product Integration) L’objectif de ce processus est de préparer et d’assembler les différents composants d’un projet afin d’obtenir un produit fini, de s’assurer que le produit fini est opérationnel et d’en assurer la livraison.

5.3.5. Vérification (Verification) L’objectif du processus de vérification est de s’assurer que le travail réalisé pour la réalisation du projet correspond aux besoins spécifiés (attentes client). Ce processus ne s’intéresse pas au projet ou au produit fini mais aux moyens mis en œuvre pour sa réalisation.

5.3.6. Validation (Validation) Le processus de validation assure que le produit ou le composant remplit toutes les fonctions attendues lorsqu’il est placé dans son environnement de fonctionnement.

5.4. Le domaine Support Le domaine support fournit des processus utilisés par les autres domaines de CMMi. Le domaine Support comprend cinq processus :
Configuration Management (CM),
Process and Product Quality Assurance (PPQA),
Measurement and Analysis (MA),
Decision Analysis and Resolution (DAR),
Causal Analysis and Resolution (CAR)

5.4.1. Gestion des configurations (Configuration Management) Ce processus consiste à identifier et décrire les produits que le projet doit fournir : il faut donc en construire le référentiel (définition des identifiants et des attributs), puis alimenter et tenir à jour la description des produits – et le référentiel lui-même, en cas de changement.

5.4.2. Assurance qualité des processus et des produits (Process and Product Quality Assurance) Ce processus évalue et compare les processus, le travail réalisé et les services par rapport aux objectifs prédéfinis.

5.4.3. Production et analyse des indicateurs (Measurement and Analysis) Les indicateurs dont il s’agit sont ceux relatifs à l’avancement du projet et non au fonctionnement du produit une fois qu’il aura été mis entre les mains des utilisateurs (ce fonctionnement n’est pas pris en compte par CMMI).

5.5. Méthode de prise de décision (Decision Analysis and Resolution) Ce processus analyse des décisions possibles en utilisant une évaluation des différentes alternatives par rapport à des critères établis. Les buts sont :
Etablissement des critères d’évaluation des alternatives,
Identification des solutions alternatives,
Sélection de méthodes d’évaluation des alternatives,
Evaluation des solutions alternatives en utilisant les méthodes et critères précédemment définis,
Sélection des solutions en fonction des critères d’évaluation

5.6. Analyse causale et solution des problèmes (Causal Analysis and Resolution) L’objectif est d’identifier les causes de défauts et de tout problème rencontré et d’éviter qu’ils se reproduisent. Les buts sont :
Déterminer la cause initiale d’un défaut,
Implémentation d’une action,
Evaluation des effets de l’implémentation de l’action sur les performances des processus

6. Evaluations avec CMMi (SCAMPI)

La méthode d’évaluation proposée par CMMi est SCAMPI (Standard CMMi Appraisal Method for Process Improvement).

ITIL (Information Technology Infrastructure Library) est un référentiel des meilleures pratiques informatiques utilisées et collectées dans le monde, pour résoudre les questions organisationnelles liées à la gestion du système d’information, telles que l’efficacité du système d’information, la qualité des services informatiques et la réduction des risques et des coûts.

Les avantages d’ITIL

Ce que les anglo-saxons appellent  » l’alignement du business et de l’informatique « , autrement dit faire en sorte que l’informatique soit au service de l’entreprise
L’amélioration de la qualité de service rendue par l’informatique
Et la réduction des coûts, à moyen comme à long terme

Le référentiel ITIL est un fil conducteur permettant à chacun de parler le même langage et qui, en premier, a mis le client « au centre des préoccupations de l’informatique ».

Avantages de la gestion optimisée des services informatiques

l’expérience d’une méthodologie qui depuis 15 ans a fait ses preuves
un gain de temps sur la prise en compte et la résolution des incidents
une structure clarifiant les procédures à suivre
la génération de tableaux de bord pour un meilleur suivi des services entraînant une réduction des coûts opérationnels
un suivi des composants de l’infrastructure qui permet une meilleure gestion du patrimoine du S.I.
une diminution du coût par poste de travail (TCO) sur toute leur durée de vie
une amélioration des services rendus aux clients, une meilleure rentabilité
le renforcement de la cohésion d’équipe
un dynamisme et un moral accru du personnel informatique, d’où potentiellement moins de « turnover »
la qualité du service va s’améliorer et la réputation de la Direction des Services Informatiques en sera d’autant valorisée

Bénéfices d’ITIL pour les entreprises

Augmenter la satisfaction du client grâce aux procédures déployées permettant de respecter les SLA
Améliorer le taux d’utilisation des ressources
Fournir les services dont l’organisation a vraiment besoin par l’intermédiaire d’un catalogue précis
Identifier et fournir des indicateurs clés éprouvés
Réduire le nombre de modifications
Réduire le coût grâce au développement des bonnes pratiques et des procédures appliquées
Établir une meilleure communication entre le personnel informatique et les « clients »
Avoir une plus grande productivité et une meilleure utilisation des qualifications et de l’expérience
Tirer les leçons des expériences
Justifier les coûts de fourniture de services de qualité.

Liens

IT Service Management
IT Service Management Zone
Forum ITIL