Et CMMI ?
CMMi, sigle de Capability Maturity Model + Integration, est un modèle de référence, un ensemble structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des entreprises d'ingénierie.
CMMi a été développé par le Software Engineering Institute de l'université Carnegie Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les fournisseurs de logiciels informatiques du Département de la Défense US (DoD). Il est maintenant largement employé par les entreprises d'ingénierie informatique, les Directeurs des systèmes informatiques et les industriels pour évaluer et améliorer leurs propres développements de produits.
D'après la définition donnée dans le CMMI, la maturité d'une organisation est le degré auquel celle-ci a déployé explicitement et de façon cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement améliorés. Un niveau de maturité (Maturity Level) correspond à l'atteinte d'un niveau de capabilité uniforme pour un groupe de processus. Un niveau de capabilité (Capability Level) mesure l'atteinte des objectifs d'un processus pour le niveau donné
A propos de COBIT
Développé par l'ISACA (Information System Audit & Control Association) dont l'AFAI (Association Française de l'Audit et du conseil Informatique) assure la diffusion francophone, COBIT est un référentiel de gouvernance des systèmes d'information qui couvre 34 processus répartis en quatre domaines :
- planning et organisation,
- acquisition et mise en place,
- fourniture du service et support,
- surveillance.
A l'origine, les premières versions de COBIT ont été développées pour les auditeurs informatiques, dans la droite ligne des travaux de l'ISACA et du souci d'accompagner au mieux la profession des auditeurs des systèmes d'information. Notons d'ailleurs que l'ISACA avait depuis plus de 10 ans lancé une certification mondiale des auditeurs de système d'information (CISA). Dans cette logique, COBIT peut être utilisé pour mener toute forme d'investigation.
De la sécurité des systèmes d’information
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information.
Le terme « système informatique » désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur papier.
De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet.
De la stratégie de sécurisation
Il existe plusieurs méthodes pour assurer la continuité de service d'un système d'information. Certaines sont techniques (choix des outils, méthodes de protection d'accès et de sauvegarde des données), d'autres reposent sur le comportement individuel des utilisateurs (extinction des postes informatiques après usage, utilisation raisonnable des capacités de transfert d'informations, respect des mesures de sécurité), sur des règles et connaissances collectives (protection incendie, sécurité d'accès aux locaux, connaissance de l'organisation informatique interne de l'entreprise) et de plus en plus sur des conventions passées avec des prestataires (copie des programmes, mise à disposition de matériel de secours, assistance au dépannage).
Les méthodes se distinguent entre préventives (éviter la discontinuité) et curatives (rétablir la continuité après un sinistre). Les méthodes préventives sont souvent privilégiées, mais décrire les méthodes curatives est une nécessité car aucun système n'est fiable à 100 %.
Plan de reprise d'activités
En informatique, un plan de reprise d'activité (en anglais Disaster Recovery Plan ou DRP) permet d'assurer, en cas de crise majeure ou importante d'un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l'activité d'une organisation.
Le plan de reprise d'activité doit permettre, en cas de sinistre, de basculer sur un système de relève capable de prendre en charge les besoins informatiques nécessaires à la survie de l'entreprise. Il existe plusieurs niveaux de capacité de reprise, et le choix doit dépendre des besoins exprimés par l'entreprise. On le distingue du plan de continuité d'activité, qui permet plutôt de poursuivre l'activité SANS interruption du service.
A propos d'ITIL
Qu'est-ce que ITIL ?
ITIL est un acronyme pour Information Technology Infrastructure Library. ITIL est une série de livres et de manuels de formation, qui décrivent et expliquent les pratiques qui sont les plus bénéfiques pour les services de IT (généralement porté manager). L'objectif est d'ITIL pour les dirigeants d'avoir des normes très élevées en valeur IT, ainsi que des hauts dans la qualité financière au jour le jour les opérations informatiques. ITIL procédures sont indépendantes des fournisseurs et des matériels pédagogiques sur l'infrastructure IT, les opérations et les questions de développement.
Quelle en est l'origine ?
ITIL est née en Angleterre à la fin des années 80, à la suite de la politique de market testing (mise en concurrence systématique des prestations internes, notamment informatiques, avec l'offre du marché) imposée par le gouvernement Thatcher aux administrations et entreprises publiques britanniques.
Le modèle informatique de l'entreprise
Plusieurs motivations conduisent à se pencher sur le modèle informatique de l'entreprise :
- l'entreprise connaît des dysfonctionnements notables dans ses processus,
- il est nécessaire d'améliorer le rendement de tout ou partie de l'activité,
- l'outil informatique est devenu obsolète ou trop hétérogène et nécessite une modernisation massive.
Cette remise en cause de l'informatique peut trouver des réponses :
- par un processus de BPR (Business Process Reengineering),
- par la refonte globale des applicatifs à l'aide d'outils spécialisés (EAI, RAD),
- par l'installation d'un ERP.
L'informatique de l'entreprise est l'affaire des DSI, mais aussi de la direction générale et des utilisateurs. Lorsque l'on constate que l'informatique de l'entreprise n'est plus adaptée, chacun doit donc se poser des questions et "remonter ses manches". Notamment, l'action de la direction générale est fondamentale.
Parlons donc de Gouvernance...
A en croire le tapage médiatique, la gouvernance des systèmes d'information serait aujourd'hui LA préoccupation majeure des DSI. Mais que cache ce concept ?
A première vue, on découvre des notions plutôt floues et surtout une boîte à outils hétéroclite, véritable capharnaüm de normes (ISO, ITIL, CMM…), d'outils dits de gestion (tableaux de bords divers et variés, notions de gestion de portefeuille projets, gestion des risques), de procédures de contrôle (COBIT...).
Certes, ces outils peuvent contribuer ici ou là à résoudre cette grande problématique. Mais il ne faudrait pas, comme c'est trop souvent le cas, qu'un tel ensemble hétéroclite d'outils soit présenté comme capable de tout solutionner, y compris, les problèmes les plus mal posés.
Les DSI qui s'expriment sur la gouvernance la présentent comme un moyen de justifier voire de démontrer que les systèmes d'information sont "bien gérés, bien gouvernés" avec comme conséquence "logique" : une facture informatique (enfin ?) maîtrisée.
Mais suffit-il d'appliquer ou de prétendre appliquer tel référentiel ou telle procédure pour diriger les systèmes d'information, au mieux des intérêts de l'entreprise et donc aussi des collaborateurs qui y travaillent ? Bien sûr que non !