Comment faire une analyse de risques ?

Qu’est-ce que le risque ?

Rien n’est moins sûr que l’incertain.
Pierre Dac (l’os à moelle)

Définition : Le risque est un danger éventuel plus ou moins prévisible qui peut affecter l’issue du projet. Il ne sera pas possible de tous les éliminer, le risque zéro n’existe pas.
Source : Le chef de projet efficace

Toute la question repose sur la capacité d’anticiper le risque:
Somme-nous capables d’estimer la probabilité d’occurrence du risque et d’en anticiper les éventuelles impacts en terme de gravité si jamais le pire arrivait. Comment les prévenir ? Et, le cas échéant, comment y remédier pour amortir les impacts ?
Voilà des questions qui méritent des réponse précises.

Mais attention, tous les risques ne sont pas prévisibles, il faudra bien compter avec les impondérables.

Comment évaluer les risques ?

Bien entendu, il est inconcevable d’envisager de se prémunir de tous les dangers inhérents à la conduite d’un projet complexe. Il est toutefois indispensable de procéder à une étude complète et raisonnée des risques potentiels plus ou moins prévisibles, afin de dépasser le stade des croyances fondées ou non. Une analyse rigoureuse est une bonne garantie de réussite. la démarche la plus simple se déroule en cinq temps majeurs.

La carte de « chaleur » pour classifier

La table qui suit est un exemple de ventilation des risques inventoriés en tenant compte de la criticité ou impact et de la probabilité d’occurrence :

• La zone rouge, de haute chaleur répertorie les risques inacceptables à aucun prix.
• La zone orange, de chaleur élevée identifie ceux qui nécessitent des palliatifs urgents.
• La zone jaune, de chaleur moyenne identifie ceux qui nécessitent des palliatifs préalablement définis.
• Ceux de la zone verte sont acceptables mais à surveiller selon les conditions définis au moment de l’élaboration de la table, ceux en vert le plus sombre peuvent être ignorés.

Table de classification des risques

Les 5 étapes de la méthode d’Analyse

Voyons maintenant comment dérouler la démarche afin de démarrer le projet en limitant autant que faire ce peut les risques d’échecs. Cette démarche se déroule en 5 temps majeurs, tous aussi importants l’un que l’autre.

1. Établir l’inventaire des risques

Il s’agit de ratisser large et de considérer toutes les formes de risques (humain, financier, organisationnel, technologique…)

Type de risques potentiels pour un projet : financiers, organisationnels, techniques, sociaux, environnementaux sont pris en considération sans aucune exception.

• Sources d’information : Enquêtes de terrain, exploration des archives, analyse de la mémoire des réalisations antérieures, consultation d’experts, expérience du chef de projet. Une large consultation de tous ceux qui ont approché par le passé un projet similaire est une source précieuse d’information.
• C’est aussi lors de cette étude que l’on mesure l’importance d’établir une mémoire des projets réalisés qu’ils aient réussi ou échoué.

Tous les risques inventoriés seront placé dans une table avec leur description, la table sera ensuite complété tout au long de l’analyse.

2. Pondérer les risques

Tous les risques n’ont pas la même probabilité de survenance, tous les risques ne sont pas égaux en terme de criticité. Il s’agit au cours de cette étape d’effectuer un classement rationnel.

• Gravité ou Impact : Sur l’axe des ordonnés de la table de classification ci-dessus. Il s’agit évaluer la criticité de chacun des risques en terme d’impact, de dommages et de conséquences. Là encore on hésitera pas à explorer la mémoire collective des projets passés.
• Probabilité : Sur l’axe des abscises de la table de classification ci-dessus. Ensuite, on évalue la criticité en termes de probabilité d’occurrence. Cet exercice n’est pas le plus aisé, on s’en doute. la précision en est toute relative, là aussi l’xpérience du collectif peut s’avérer importante.

Chaque risque de la table doit donc être pondérer, chaque critère est évalué de 1 à 5, le poids du risque est calculé comme le produit des deux critères précédents, pour ensuie évaluer sa couleur dans la table de classification ci-dessus et en déduire l’action requise.

3. Définir les parades

Pour chacun des risques, on se posera ces 3 questions successives :
– Peut-on l’éliminer ?
– Peut-on en limiter les effets ?
– Doit-on modifier le déroulement du projet ?

• Éliminer le risque. Est-il possible de l’éliminer en augmentant les ressources ou en intégrant dans l’équipe de nouveaux intervenants spécialistes de la question et plus aguerris ? Le coût sera l’un des principaux critères de jugement.
• Limiter les effets dévastateurs des sinistres potentiels. De même, la solution est souvent du côté de l’optimisation de la gestion des ressources.
• Réviser le projet. Faut-il modifier les orientations, limiter les spécifications et trouver des alternatives plus paisibles quitte à modérer les ambitions et à procéder à des simplifications ? Une précaution à prendre au cas par cas.
• Il ne faut pas non plus hésiter à limiter le périmètre du projet pour gagner en visibilité. les projets courts et rapidement mis en oeuvre son plus aisés à gérer et à intégrer dans l’existant.

4. Identifier les points critiques

Une étape souvent oubliée dans les études de risques.

Les risques sont changeants. La probabilité et la criticité évoluent au fur et à mesure de l’avancement du projet. Certaines phases du projet sont plus à risques que d’autres. Il faut les identifier.

• Lieux et/ou moments où la probabilité et/ou la gravité sont les plus importants, les instants du déroulement où il faudra redoubler de vigilance.

On le constate dans le cycle de vie d’un projet ci-dessous, à chaque jalon important une réévaluation des risques est réalisée :

Cycle de développement sécurité

5. Réviser la table des risques

La table des risques n’est pas statique, il faut la réviser régulièrement.

• Suivre l’évolution dans le temps de la criticité.
  Cette table n’est pas statique, elle n’est pas non plus une assurance.
  Prévoir un danger n’est pas s’en protéger !
• En outre, la dangerosité potentielle tout comme la probabilité d’occurrence évoluent au fil du temps et de l’avancement.
  Cette table sera soigneusement suivie et mise à jour très régulièrement.

Voici un exemple de table d’analyse des risques réalisée pur une salle informatique déportée :

Afficher ce document sur Scribd

Comment s’y prendre ?

Et bien en impliquant un maximum de monde, en fouillant dans les archives, en incitant « les experts du moment» à la communication quels qu’ils soient, où qu’ils se trouvent ? Toutes les péripéties des projets passés, comme les difficultés et la manière de les solutionner sont une mine de ressources pour la réflexion préalable à l’analyse de risques. Mais encore faut-il avoir pris le soin d’enregistrer les expériences passées…

Le soin apporté lors du déroulement de chacune des étapes l’analyse de risques est d’une importance capitale pour la réussite du projet.

Il existe des méthodes spécialisées selon le domaine d’activité, par exemple pour un projet de sécurité des SI on pourra utiliser les méthodes EBIOS (ANSSI) ou MEHARI (CLUSIF), mais dans leurs principe elles se déroulent comme indiqué ci-dessus.

Sécurité en développement logiciel

Développement et maintenance des systèmes

La stratégie d’une entreprise développant des logiciels se doit d’envisager les propriétés et les implications de la sécurité des applications, des systèmes et des services utilisés ou fournis par l’entreprise tout au long du cycle de vie d’un projet.

La charte de sécurité de développement des applications, systèmes et services de l’entreprise doit prévoir que les équipes et les personnes mettent en œuvre les mesures de sécurité appropriées dans les applications, les systèmes et les services en cours de développement, en fonction des risques et préoccupations de sécurité identifiés. La charte doit mentionner que l’entreprise dispose des rôles et des responsabilité de sécurité dont la mission est de fournir des lignes directrices de sécurité et d’assurer l’évaluation des risques.

L’entreprise doit mettre en oeuvre un certain nombre de mesures visant à garantir que les produits logiciels et services quelle propose aux utilisateurs soient conformes aux normes les plus strictes sur la sécurité logicielle. Cet article décrit une approche en matière de sécurité logicielle, celle-ci peut s’adapter et évoluer en fonction de l’organisattion et de la culture de l’entreprise.

Consultation et revue de sécurité

S’agissant de la conception, du développement et du fonctionnement des applications et services, les rôles de sécurité inclus les catégories principales de services de consultation suivantes aux équipes de développement, techniques et production :

• Revues de sécurité au niveau de la conception : évaluations au niveau de la conception des risques de sécurité d’un projet et mesures d’atténuation correspondantes, tout en considérant leur caractère approprié et leur efficacité.
• Revues de sécurité au niveau de l’implémentation : évaluation au niveau de l’implémentation des artefacts de code pour mesurer leur fiabilité par rapport aux menaces de sécurité applicables.
• Consultation de sécurité : consultation en continu des risques de sécurité associés à un projet donné et solutions éventuelles aux problèmes de sécurité, souvent sous forme d’exploration de l’espace de conception dans les phases initiales des cycles de vie des projets.

Une multitude de types de problèmes de sécurité peuvent intervenir au niveau de la conception du produit, c’est pourquoi ils doivent être pris en considération et résolus au plus tôt lors de la phase de conception du produit ou du service. La finalité essentielle de la revue de sécurité au niveau conception est de garantir la prise en compte de ces considérations. 

Dans ce cadre, la revue de sécurité au niveau de la conception se fixe les objectifs suivants :

• Fournir une évaluation de haut-niveau des risques de sécurité associés au projet, sur la base d’une recherche des menaces réelles en réalisant une analyse des risques.
• Procurer aux décideurs du projet les informations nécessaires afin qu’ils puissent faire des choix éclairés en matière de gestion des risques et intégrer les considérations de sécurité dans les objectifs d’un projet.
• Fournir des lignes directrices quant au choix et à la mise en œuvre correcte de contrôles de sécurité planifiés (par exemple : protocoles d’authentification ou chiffrement).
• S’assurer que l’équipe de développement dispose de la formation adéquate eu égard aux classes de vulnérabilités applicables, aux schémas d’attaque et aux stratégies d’atténuation appropriées.

Lorsque des projets impliquent des fonctionnalités ou des technologies innovantes, un des rôles de sécurité est chargé de rechercher et d’explorer les menaces, les schémas d’attaque potentiels et les classes de vulnérabilités spécifiques des technologies et fonctionnalités en question. Le cas échéant, l’entreprise peut sous-traiter à des prestataires la consultation de sécurité pour compléter les compétences de l’équipe de sécurité et obtenir une revue indépendante garante d’objectivité afin de valider les revues de sécurité internes.

Sécurité dans le contexte du cycle de vie des logiciels

La sécurité est au cœur du processus de conception et de développement que l’on nomme cycle de vie des logiciels ou Software Devlopment Life Cycle (SDLC) en anglais. L’organisation technique de l’entreprise ne requiert pas que les équipes de développement de produits suivent un processus de développement logiciel particulier, au contraire, les équipes choisissent et mettent en œuvre des processus adaptés aux besoins du projet. Dans ce cadre, un certain nombre de processus de développement logiciel sont utilisés, allant des méthodologies de développement Agile aux processus plus classiques : par étapes, en V ou en cascade.

Sur les illustrations ci-dessous vous pouvez découvrir comment l’intégration de la sécurité se fait dans un cycle en V :

Les processus du développement logiciel

Cycle de développement sécurité

Les processus de revue de la sécurité sont prévus pour fonctionner dans la structure choisie. Leur réussite dépend de la culture technique en matière de qualité et de quelques exigences définies par la direction technique des processus de développement de projet :

• Documentation de conception revue par les pairs.
• Conformité aux lignes directrices de style de codage.
• Revue de code par les pairs.
• Tests de sécurité multi-couches.

Les exigences ci-dessus représentent la culture d’ingénierie logicielle, dans laquelle les objectifs clés sont la qualité, la fiabilité et la maintenabilité des logiciels. Tandis que la finalité première de ces exigences est d’encourager la création d’artefacts logiciels irréprochables en matière de qualité logicielle, les bonnes pratiques de sécurité suggèrent également qu’ils représentent des « moteurs » significatifs et évolutifs en faveur de la réduction de l’incidence de failles de sécurité dans la conception logicielle :

• L’existence d’une documentation de conception suffisamment détaillée constitue une condition préalable du processus de revue de sécurité au niveau de la conception, dans la mesure où lors des premières phases du projet, c’est en général le seul artefact disponible pour élaborer les évaluations de sécurité. Bon nombre de classes de failles de sécurité au niveau implémentation s’apparentent finalement à des défauts fonctionnels courants, à faible risque. La plupart des failles au niveau implémentation sont le résultat d’omissions très simples de la part du développeur.
• Avec des développeurs et des réviseurs de code formés aux schémas de vulnérabilité en vigueur et aux méthodes permettant de les éviter, une culture du développement basée sur la revue par les pairs, insistant sur la création d’un code de haute qualité est un moteur important et évolutif vers une base de code sécurisée.

Les développeurs logiciels de l’équipe de sécurité collaborent avec d’autres développeeurs de l’entreprise sur le développement et la validation de composants réutilisables conçus et implémentés pour permettre aux projets logiciels d’éviter certaines classes de vulnérabilités. Parmi les exemples figurent les couches d’accès aux données conçues pour résister aux failles d’injection de langage de requête SQL, ou les structures de modèles HTML avec défenses intégrées contre les vulnérabilités XSS.

Formation à la sécurité

Reconnaissant l’importance d’une main-d’oeuvre technique formée aux pratiques de codage sécurisé, le responsable sécurité met en place une campagne de communication et un programme de formation à l’intention des équipes, dont le contenu est le suivant :

• Formation des nouveaux développeurs à la sécurité
• Création et gestion d’une documentation complète sur les pratiques sécurisées de codage et de conception
• Références ciblées et contextuelles à la documentation et aux supports de la formation (par exemple, des outils automatisés de test des vulnérabilités fournissent aux ingénieurs des références à la documentation de formation et de fond en rapport avec les bugs ou classes de bugs spécifiques mis en évidence par l’outil)
• Présentations techniques sur les rubriques relatives à la sécurité
• Newsletter sur la sécurité distribuée à l’ensemble des équipes et destinée à informer la main-d’œuvre technique des menaces, schémas d’attaque, techniques d’atténuation, bibliothèques liées à la sécurité, meilleures pratiques et lignes directrices, etc. recensés récemment
• Ateliers sécurité, sous forme de conférences récurrentes à l’échelle de l’entreprise, qui réunit les développeurs des différentes équipes travaillant sur la sécurité et propose des présentations techniques détaillées sur les sujets de sécurité

Tests et revue de sécurité au niveau implémentation

L’entreprise doit appliquer un certain nombre d’approches pour continuer de réduire l’incidence de failles de la sécurité au niveau de l’implémentation dans ses produits et services :

• Revues de sécurité au niveau implémentation : réalisées par les rôles de sécurité, généralement lors des dernières phases du développement de produits, les revues de sécurité au niveau implémentation visent à valider la résistance d’un artefact logiciel aux menaces de sécurité applicables. Ces revues sont généralement constituées d’une réévaluation des menaces et contremesures identifiées lors de la revue de sécurité au niveau conception, de revues ciblées sur le code critique pour la sécurité, de revues de code sélectives permettant d’évaluer la qualité du code du point de vue de la sécurité, et de tests de sécurité ciblés.
• Tests automatisés des failles dans certaines classes de vulnérabilités pertinentes. Pour ces tests, il faut utiliser aussi bien des outils développés en interne que des outils disponibles sur le marché.
• Tests de sécurité réalisés par des ingénieurs de la qualité logicielle dans le contexte des actions menées en matière de test et d’évaluation de la qualité logicielle globale du projet.

Services de consulting

Nous menons les projets de conseils en sécurité avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :

• Audit des processus de développement logiciel
• Rédaction d’une charte sécurité pour les développeurs
• Sensibilisation à la sécurité des développements et du SI
• Mise en oeuvre des processus de revue de la sécurité
• Réalisation d’analyse de risques projet et produit

Sensibilisation à la sécurité des SI

Visionnez ce Teaser pour comprendre en quoi nous sommes tous concernés par les problèmes de cybersécurité et surtout quelles seraient les conséquences si nous ne restions pas vigilants :

Le site gouvernemental Cybermalveillance.gouv.fr nous offre ses conseils pour mettre en oeuvre des bonnes pratiques élémentaires pour protéger votre Système d’Information, qu’il soit personnel ou professionnel.

Les mots de passe

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.

Voici 10 bonnes pratiques à adopter pour gérer efficacement vos mots de passe :

1. Utilisez un mot de passe différent pour chaque service
2. Utilisez un mot de passe suffisamment long et complexe
3. Utilisez un mot de passe impossible à deviner
4. Utilisez un gestionnaire de mots de passe (voir Keepass)
5. Changez votre mot de passe au moindre soupçon
6. Ne communiquez jamais votre mot de passe à un tiers
7. N’utilisez pas vos mots de passe sur un ordinateur partagé
8. Activez la « double authentification » lorsque c’est possible
9. Changez les mots de passe par défaut des différents services auxquels vous accédez
10. Choisissez un mot de passe particulièrement robuste pour votre messagerie et les sites sensibles (voir le générateur de la CNIL  et cet outil pour tester HowSecureIsMyPassword)

Lien vers la page avec les fiches mémos :

LES MOTS DE PASSE

L’usage personnel et professionnel

La transformation numérique modifie en profondeur les usages et les comportements, être connecté est devenu le quotidien. Le développement des technologies mobiles, PC portables, tablettes, smartphones, offre désormais la possibilité d’accéder, depuis presque n’importe où, à ses informations personnelles mais aussi à son système informatique professionnel :

la frontière numérique entre la vie professionnelle et personnelle devient de plus en plus poreuse.

Face à cette évolution, il est nécessaire d’adapter vos pratiques afin de protéger tant votre entreprise ou votre organisation, que votre espace de vie privée.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos usages pro-perso :

1. Utilisez des mots de passe différents pour tous les services professionnels et personnels auxquels vous accédez
2. Ne mélangez pas votre messagerie professionnelle et personnelle
3. Ayez une utilisation responsable d’internet au travail
4. Maîtrisez vos propos sur les réseaux sociaux
5. N’utilisez pas de services de stockage en ligne personnel à des fins professionnelles
6. Faites les mises à jour de sécurité de vos équipements
7. Utilisez une solution de sécurité contre les virus et autres attaques
8. N’installez des applications que depuis les sites ou magasins officiels
9. Méfiez-vous des supports USB
10. Évitez les réseaux Wi-Fi publics ou inconnus

Lien vers la page avec les fiches mémos :

LA SÉCURITÉ DES USAGES PRO-PERSO

Les appareils mobiles

Les les téléphones mobiles intelligents (smartphones) et tablettes informatiques sont devenus des instruments pratiques du quotidien, tant pour un usage personnel que professionnel. Leurs capacités ne cessent de croître et les fonctionnalités qu’ils offrent s’apparentent, voire dépassent parfois, celles des ordinateurs de bureau. Ils contiennent tout autant ou plus d’informations sensibles ou permettent d’y accéder. Ils sont plus faciles à perdre ou à se faire voler.

Ces appareils mobiles sont, malgré tout, généralement bien moins sécurisés que les ordinateurs par leurs propriétaires.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos données sur les appareils mobiles :

1. Mettez en place les codes d’accès
2. Chiffrez les données de l’appareil
3. Appliquez les mises à jour de sécurité
4. Faites des sauvegardes
5. Utilisez une solution de sécurité contre les virus et autres attaques
6. N’installez des applications que depuis les sites ou magasins officiels
7. Contrôlez les autorisations de vos applications
8. Ne laissez pas votre appareil sans surveillance
9. Évitez les réseaux Wi-Fi publics ou inconnus
10. Ne stockez pas d’informations confidentielles sans protection

Lien vers la page avec les fiches mémos :

LA SÉCURITÉ DES APPAREILS MOBILES

Les attaques des cybercriminels

Hameçonnage (Phishing)

L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) ou bancaires en se faisant passer pour un tiers de confiance.

Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

Voici quelques conseils pour vous en prémunir :

1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone
2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce
   lien sans cliquer, le lien apparaît en bas de la fenêtre
3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur
4. En cas de doute, contactez si possible directement l’organisme ou la personne concerné
5. Utilisez des mots de passes différents et complexes pour chaque site et application
6. Vérifiez les date et heure de dernière connexion à votre compte
7. Activez la double authentification pour sécuriser vos accès

Lien vers la page avec les fiches mémos :

L’HAMEÇONNAGE

Les Ransomwares ou Cryptolockers

Un rançongiciel ou ransomware est un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès ou éviter leur diffusion sur Internet.

Que faire en cas de ransomware ? Isoler les équipements touchés, ne pas payer la rançon, préserver les preuves, identifier l’origine, déposer plainte…

Une attaque peut en cacher une autre, voici la technique des pirates expliquée en images simplement sur les Ransomwares :

Lien vers la page avec les fiches mémos :

RANÇONGICIELS OU RANSOMWARES

Quiz pour vérifier vos connaissance

Cliquez sur ce lien pour accéder au quiz qui vous permet de mesurer si vous avez bien acquis les bases de la sécurité des SI ou alors répondez au questionnaire suivant.

Si le formulaire ne s’affiche pas correctement, utiliser ce lien : https://forms.gle/4RRiEXvU4d43Umo4A

Pour compléter vos connaissances ou réviser les bonnes pratiques vous pouvez utiliser toutes les ressources proposées dans le kit de sensibilisation Cybermalveillance.

Vos systèmes d’information sont vulnérables face aux cyberattaques

Des attaques toujours plus sophistiquées.

Chefs d’entreprise, les cybercriminels sont embusqués derrière vos portes électroniques ! La révolution numérique a fait apparaître un nouveau type d’attaques: les attaques sur Internet qui, selon les statistiques, s’accroissent à un rythme exponentiel, tout autant que leur sophistication. C’est que la ressource électronique est considérable, voire inépuisable, qu’il devient facile techniquement d’y accéder, il suffit d’être connecté, que l’activité est particulièrement rentable et qu’elle s’effectue la plupart du temps en toute impunité.

Comme au temps des attaques de diligences, vous ne les voyez pas, mais ils vous guettent, ils cherchent à déceler vos vulnérabilités et le moment opportun pour dérober vos données sensibles et stratégiques; neutraliser votre système informatique, saboter votre site e-commerce ou votre entreprise; porter atteinte à son image; s’approprier vos innovations technologiques!

Ce sont les TPE-PME les plus vulnérables.

Selon les experts 14 millions de Français ont été les victimes de piratages informatiques en 2016, dans un récent rapport Symantec montre l’ampleur du phénomène en indiquant que 77% des PME ont fait l’objet d’attaques sur le territoire français cette année, et il précise que ce sont les TPE-PME qui sont les plus vulnérables. En effet, les grandes entreprises sont en général bien organisées contre ces nouvelles menaces grâce à la présence en leur sein de professionnels qui mettent en place un système optimum de sécurité numérique.

Les faits montrent, en revanche, que les TPE-PME, non seulement ne disposent pas d’une telle protection, mais surtout qu’elles ne sont pas informées sur la menace et, en conséquence, sur la nécessité de prendre urgemment des mesures d’organisation pour se protéger. En outre, faisant le plus souvent partie de l’écosystème de grandes entreprises, elles sont toujours les victimes collatérales des attaques informatiques régulières dirigées contre ces dernières.

Si votre entreprise était touchée, auriez-vous la capacité de tout reconstruire ? Que faire en cas d’attaque ? Et en cas de fuites de données confidentielles ? Comment gérer ce type de crise ?

Chefs d’entreprise de TPE et PME, comment vous protéger ?

Un exercice d’introspection préalable est nécessaire afin de déterminer ce que vous devez protéger, à quel degré, et dans quel ordre de priorité. C’est une évaluation des risques ou comme l’exige le RGDP une analyse d’impact qui s’accompagne d’une analyse des risques pour la sécurié des données.

Puis, en fonction des vulnérabilités constatées avec les spécialistes, il convient d’organiser votre espace et votre outil de travail. Une organisation efficace en terme de gestion de la sécurité des SI et de la qualité de ses processus opérationnels doit s’appuyer sur trois piliers : la Technologie, ses Processus et ses Ressources humaines.

L’objectif technologique est d’empêcher toute intrusion physique et électronique et garantir la résilience de l’entreprise, en agissant sur l’infrastructure et l’équipement des pièces, en définissant une architecture de réseau en fonction de vos besoins, et également en installant un arsenal défensif préventif (firewall, proxy, antivirus, antispam) ainsi que les outils permettant une sauvegarde professionnelle de vos données.

En parallèle de cette démarche technologique, il s’agira de mettre en place une politique de sécurité des systèmes d’information (SSI) pragmatique. Celle-ci devra spécifier la répartition des responsabilités SSI au sein de l’entreprise, l’ensemble des processus qui contribueront à maintenir la sécurité, l’organisation du site, des hommes et des réseaux, l’arsenal défensif préventif choisi, une charte informatique qui définisse l’usage professionnel et privé de l’entreprise avec des règles et des procédures de sécurité dont il faudra veiller à la stricte application, une stratégie de reprise après une attaque, fondée sur un arsenal défensif curatif (sauvegarde professionnelle, archivage, plan de reprise ou de continuité d’activité, …).

Finalement, il sera nécessaire de former et d’entraîner votre personnel afin de réduire les vulnérabilités et d’assurer un maîtrise des comportements en cas d’incident et des actions préventives.

A cet égard l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la CGPME présentent, dans leur Guide des bonnes pratiques de l’informatique, des règles essentielles et pragmatiques pour la sécurité des systèmes d’information des petites et moyennes entreprises que nous vous recommandons.

Services de consulting

Pour faire face aux dangers de la cybercriminalité et vous en prémunir, nous pouvons vous accompagner en vous apportant des conseils et des solutions adaptées et pragmatiques pour vous permettre d’assurer la sécurité de vos données sensibles et faire face aux menaces visant vos systèmes d’information, notamment en :

• établissant un diagnostic personnalisé au sein de votre entreprise ou avec vos prestataires (audit),
• organisant l’espace et les outils de travail pour une protection optimum,
• élaborant une politique et des processus de sécurisation des systèmes d’information,
• sensibilisant et en formant vos Managers et vos collaborateurs,
• rééquilibrant les trois piliers au sein de l’organisation, en particulier sur l’axe humain, pour rendre la prévention des risques plus efficiente et pérenne.

Évaluer la démarche de management des processus

Management des processus

Le management des processus est un mode de gestion d’entreprise prenant en compte la stratégie de celle-ci et toutes les activités requises pour les orienter vers les clients, les structurer, les affecter, les documenter, les analyser, les maîtriser et les optimiser. Ceci afin d’améliorer la performance globale de l’organisation.

Chaque processus se caractérise par des objectifs clairs, des tâches, des responsabilités, des enchaînements et des interfaces entre services identifiés et correctement gérés. Il implique la mesure de l’efficacité individuelle et globale des processus dans une optique de recherche permanente d’amélioration et de performance.

Besoin d’évaluation

Il est souhaitable d’évaluer régulièrement la démarche de management des processus à l’occasion par exemple d’une inflexion de la stratégie ou bien pour les structures certifiées à l’occasion d’un changement de version de la norme de certification.

Pour cela il faut commencer par la réalisation d’un état des lieux de l’organisation de l’entreprise et de la démarche de management des processus que ce soit pour : la qualité, la sécurité ou l’environnement. En effet, avant d’intégrer de nouvelles exigences et, le cas échéant, de nouvelles pratiques dans l’entreprise, l’expérience montre qu’il est toujours utile de procéder à une évaluation de l’existant, qui plus est partagée par les acteurs de l’entreprise.

Principes d’évaluation

Cet état des lieux ou diagnostic peut être réalisé en interne ou bien par un prestataire externe pour en garantir une plus grande objectivité. Le but est d’identifier les points forts de l’organisation et ses points faibles, ou si l’on préfère ses points à améliorer, afin d’intégrer ces résultats dans le plan de mise à niveau du système de management des processus. Le principal facteur de succès d’un diagnostic est l’appropriation des résultats et des actions d’amélioration qui en découlent par l’ensemble des acteurs de l’entreprise.

Les éléments pouvant être évalués, par exemple dans chaque secteur de l’entreprise, peuvent porter sur les points suivants :

• MISSION
  • Mission, responsabilités
  • Objectifs
  • Moyens humains, matériels, financiers
  • Perception de la stratégie de l’entreprise
  • Autorité sur le système
  • Horizon temporel, perspectives
• INDICATEURS
  • Quantités (incidents, réclamations, performance, …)
  • Satisfaction client
  • Éfficacité, qualité
  • Coûts
• PILOTAGE
  • Instances et moyens établis
• MAÎTRISE DES ACTIVITÉS
  • Activités et points-clés (Risques)
  • Planification
  • Ressources
  • Critères de réalisation, d’évaluation
  • Retours d’expériences
• DOCUMENTS, INFORMATIONS ET CONNAISSANCES
  • Documents, informations (reçus/émis)
  • Procédures, règles, savoir-faire et connaissances spécifiques
  • Normes et réglementations externes
• FORCES / FAIBLESSES, DIFFICULTÉS / AMÉLIORATIONS

La synthèse et le plan d’action

A l’issue de ces évaluations une synthèse doit être établie afin de valider et partager les résultats dans l’entreprise. Cette synthèse doit permettre d’identifier des axes de travail et d’éventuels prérequis qui viendront enrichir le plan d’action de mise à niveau du système de management des processus de l’entreprise.

Le modèle d’organisation des processus doit accompagner en priorité la stratégie de l’entreprise avant de définir les processus par une approche issue de l’analyse fonctionnelle technique. Cette approche doit être prise en compte dans l’amélioration et la redéfinition des processus à la suite de l’évaluation globale.

Toutes les parties prenantes de l’organisation doivent être impliquées pour le plan d’action : les clients, les fournisseurs, les actionnaires, les salariés et la société en général. Une organisation bien équilibrée s’appuie sur trois piliers pour bien fonctionner : la technologie, les processus et les ressources humaines. Chacun de ces piliers doit aussi être analysés à l’occasion de cette revue des processus pour garder un bon équilibre.

L’amélioration continue et la gestion des risques

Une fois les processus redéfinis et alignés pour soutenir la stratégie de l’entreprise puis cartographiés avec le niveau de détail nécessaire pour piloter leur performance, il reste à expliciter l’approche risques. Il s’agit d’identifier les risques avérés et potentiels par rapport aux objectifs à atteindre, puis d’évaluer leur impact afin d’identifier les moyens de maîtrise nécessaires et suffisants.

Ceci peut se faire, par exemple, au travers de revues de processus au cours desquelles les résultats des processus et les bilans des événements indésirables répertoriés permettront d’identifier les éventuels besoins de moyens de maîtrise complémentaires à ceux déjà existant.

Un plan de prévention des risques peut alors être établi, communiqué et suivi en accompagnement de la gestion du changement.

Services de consulting

Le consultant mettra en œuvre une méthodologie générique adaptable à toutes les situations de gestion de problèmes, de projets ou d’amélioration de processus de gouvernance ou de management. Cette méthodologie développée par Arts & Stratèges porte le nom de CASA^© et est schématisée comme suit :

Pour obtenir plus d’informations sur cette méthodologie, veuillez SVP utiliser le formulaire de contact.

 

Amélioration continue

Démarche d’amélioration continue

Mener une démarche d’amélioration continue ou de résolution de problème selon le cycle du « Plan-Do-Check-Act » ou PDCA permet d’avoir une méthode structurée pour mettre en oeuvre des solutions les plus adaptées et surtout pérennes.

Le PDCA est une démarche d’amélioration continue symbolisée par la roue de Deming.

Méthodes

Le PDCA se déroule en quatre grandes étapes.

Plan = Planifier ou Prévoir

La première étape est très importante, car elle consiste à bien définir le sujet ou le problème, on parle de périmètre ou de scope. Ceci afin d’identifier des solutions pérennes qui devront être évaluées et déployées. Cette étape est finalisée par un plan d’actions, incluant leur planification et les acteurs.

Do = Développer ou Réaliser

Cette étape consiste en la mise en oeuvre des actions définies précédemment. La rigueur dans le suivi du plan d’action au travers de mesures d’avancement et de jalons est un gage important de réussite.

Check = Contrôler ou Vérifier

Il s’agit de vérifier l’efficacité des actions menées. Ceci peut se faire par le biais de mesures, d’indicateurs, ou d’observations. Un délai peut-être défini selon la nature de l’action, un cas classique est d’évaluer les actions à 30,60 et 90 jours après le déploiement. Lorsque des actions se révèlent inefficaces suite aux vérifications, des ajustements pourront être réalisés, si nécessaire, en revenant à l’étape Plan dans une nouvelle itération.

Act = Ajuster, Assurer, Améliorer

Cette étape permet de finaliser la démarche afin d’assurer la pérennité des résultats des actions mises en oeuvre. Il s’agit le plus souvent d’élaborer ou mettre à jour des documents, tels que procédures, processus, guides de bonnes pratiques, ou formulaires.

Il s’agit également d’identifier des améliorations , en revenant à l’étape Plan dans une nouvelle itération pour les mettre en oeuvre. On peut ainsi exécuter plusieurs fois le cycle pour bien ancrer les changements.

Autres méthodes

Il existe d’autres méthodes d’amélioration continue des processus comme le DMAIC de Six Signa ou le Kaizen du Lean.

On peut aussi mettre en oeuvre des méthodes plus détaillées et expertes comme l’évaluation et l’étude d’impact, la résolution de problèmes ou un cycle de gestion de projet pour piloter des changements de grande échelle. Ou plus simplement des bonnes pratiques pour assurer le succès du changement.

Mission du responsable

Dans le cadre du déploiement d’un plan de progrès, la mission principale du responsable de l’amélioration consiste à piloter le projet et accompagner les managers opérationnels dans la mise en oeuvre et le suivi des chantiers de progrès avec des pilotes terrain, tout ceci en lien avec le programme global d’amélioration. Ceci est possible en :

• en établissant le plan d’action correspondant et en suivant son exécution au travers des revues et à l’aide d’indicateurs,
• en veillant au déploiement et à l’appropriation des objectifs de progrès,
• en animant la communication sur les démarches de progrès et d’amélioration continue,
• en rendant compte de l’efficacité des processus mis en place,
• en faisant la promotion des bonnes pratiques entre entités.

Le sens du relationnel, l’autonomie et la rigueur sont des qualités essentielles pour cette fonction, complétées par :

• Dynamique.
• Curieux.
• doté d’un bon sens de l’écoute.
• Affirmé.
• Force de conseil et de proposition.

Exemple de procédure d’Amélioration Continue

Cas du traitement des Actions Correctives et des Actions Préventives :

Afficher ce document sur Scribd

Services de consulting

Pour définir et déployer un processus d’amélioration continue efficient et pragmatique dans votre organisation nous pouvons vous accompagner sur :

• Évaluation ou audit de processus opérationnels existants.
• Assistance à la définition et au déploiement de plans d’action d’amélioration.
• Définition du processus opérationnel d’amélioration continue.
• Coaching du responsable de l’amélioration.

Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peuvent être mis en place pour :

• S’assurer de la conformité avec les réglementations applicables,
• Fournir un référentiel conforme avec les exigences de ses clients,
• Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
• Identifier, analyser et gérer tous les risques liés aux activités,
• Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
• Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

ISO 9001 la base du système de Management

Le système de Management des processus qui est embarqué dans toutes les normes ISO traitant de ce sujet est issu de la célèbre norme internationale qualité ISO 9001, voici une courte présentation qui vous explique les grands principes d’un SMQ ou Système de Management de la Qualité :

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité, en anglais c’est un QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

Ce qui donne en détails :

Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

Cliquez sur l’image pour agrandir

Services de consulting

Si vous souhaitez développer un système de management de processus intégré dans votre organisation ou évaluer son déploiement, nous pouvons vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards. Pour cela voici quelques exemples de services :

• Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
• Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
• Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
• Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
• Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

MPP Management Par Projet

Cet article vous présente les définitions principales et le référentiel d’un système de gouvernance de projet au sein d’une DSI en charge du développement d’applications logiciel et de la mise en production des Systèmes d’Information résultants. Ce référentiel complet, dont j’ai coordonné le développement et le déploiement avec le soutien de ACDE Conseil, a été évalué et reconnu CMMI niveau 2.

Définitions

Le Management Par Projet est un ensemble de processus destiné à assurer que les projets sont entrepris en adéquation maximale avec les objectifs stratégiques de la société et que les risques encourus sont identifiés et contrôlés.

Un projet se caractérise par une existence limitée dans le temps, un début, une fin et un objet parfaitement identifiés.

Lui est affecté un chef de projet ou Project Manager, responsable de la coordination de la production de l’ensemble des livrables, de l’organisation et de la bonne exécution de l’ensemble des tâches et intervenants concourant à la réalisation du projet, depuis son initialisation jusqu’à sa clôture.

Implicitement cela signifie qu’un projet inclue non seulement des travaux ayant trait au développement de logiciels, pour le cas qui nous intéresse, mais aussi toutes les activités de communication, de documentation et d’industrialisation du système d’information se tenant en amont ou en aval de la production du logiciel.

La décomposition en phases conclues par un jalon ou milestone permet d’évaluer les avantages potentiels et le niveau de risque des projets, de définir des responsabilités claires, de segmenter et d’organiser le travail à effectuer, d’impliquer avec pertinence l’intégralité des acteurs concernés, de maîtriser les engagements de ressources, de valider les travaux accomplis, de prononcer les arbitrages attendus, de décider de poursuivre, de stopper, de différer ou de recadrer certains projets.

Le franchissement du jalon marquant la fin de chaque phase est conditionné à l’approbation par la direction, ou par des instances agissant par délégation, d’un certain nombre de documents de gestions et livrables attestant que le travail convenu a été réalisé conformément aux objectifs fixés, dans les règles de l’art en terme de qualité, dans les limites de temps, de budget ou de charge convenus.

Remarque : Le processus global de management par projet se nourrit d’autres processus tels que les processus d’assurance qualité ou les processus d’ingénierie et de support.

Présentation du processus

Le processus global de Management Par Projet (MPP) se décompose en sept phases essentielles. Chaque phase se conclut par une réunion de revue évaluant la performance du projet en regard de ses objectifs et statuant sur sa continuation. Cette revue est marquée par le franchissement d’un jalon traduisant l’état de maturité du projet.

Le franchissement de chaque jalon est conditionné à :

• La production de certains livrables ou documents de gestion,
• L’approbation d’une autorité prédéterminée (GO/NOGO).

Tous deux dépendant des caractéristiques du projet : produit, maîtrise d’ouvrage, catégorie, criticité.

Les phases d’un projet classique sont les suivantes :

1 – INITIALISATION

Cette phase a pour objet de préciser les raisons prévalant à l’engagement potentiel du projet. Elle se conclut par le jalon « Business Review » marquant l’accord sur la pertinence économique du projet.

2 – ÉVALUATION

Cette phase a pour objet d’apprécier la faisabilité du projet en regard des orientations stratégiques de l’organisation, de ses capacités et du retour sur investissement envisageable. Elle se conclut par le jalon « Faisibility Review » marquant l’accord sur la faisabilité du projet.

3 – SPÉCIFICATION ou  DÉFINITION

Cette phase a pour objet de définir le contenu précis et d’arrêter les choix techniques du projet, elle est l’occasion de développer les exigences avec le client ou la maîtrise d’ouvrage. Elle se conclut par le jalon « Definition Review » marquant l’accord sur la définition du projet.

4 – RÉALISATION ou CONSTRUCTION

Cette phase recouvre la plupart des opérations de réalisation des composants (logiciels et non logiciels) du projet. Elle se conclut par le jalon « Realisation Review » marquant l’accord sur la réalisation du projet.

5 – PRÉPARATION ou VALIDATION

Cette phase recouvre l’ensemble des opérations intermédiaires séparant la production d’un code testé de sa mise à disposition des clients sous forme d’un produit fonctionnel, maintenable, documenté et supporté. Elle inclut les dernières étapes de documentation et la plupart des étapes de recette, d’industrialisation, de production, de mise en exploitation, de mise à disposition à des clients-tests (partenaires de développement, beta-tests), de transferts de connaissance et de responsabilité envers les divisions opérationnelles. Elle se conclut par le jalon « Validation Review » marquant l’accord sur la validation du projet et sur le fait que l’organisation dans son ensemble est prête pour la commercialisation et le support de la version.

6 – LANCEMENT ou PRODUCTION

Cette phase recouvre l’ensemble des opérations marketing, commerciales et de relation client entourant la mise sur le marché d’un nouveau produit ou d’une nouvelle version : actions presse, conférences, formation des utilisateurs. Elle se conclut par le jalon « Launch Review » marquant l’accord sur le fait que les opérations de lancement sont terminées et que la version est maintenant pleinement en exploitation.

7 – CLÔTURE ou BILAN

L’objet de cette phase est d’effectuer un bilan technique et organisationnel du projet afin principalement de recenser les difficultés rencontrées et de suggérer des axes d’évolution ou d’amélioration pour de futurs projets. Elle se conclut par le jalon « Final Project Review » marquant l’accord sur la fin du projet.

Le cycle de vie projet

Ce cycle d’enchaînement de phases et de jalons se nomme Cycle de Vie Projet, il a été synthétisé dans un poster que chaque membre de l’équipe projet peut afficher comme aide mémoire pragmatique pour les prises de décision et les livrables attendus. Dans cette version du poster la définition et le nommage des phases du projet ont été adaptés à un cycle de vie de développement logiciel (SDLC).

Afficher ce document sur Scribd

Une autre représentation de ce cycle de vie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent tout au long du cycle Phases/Jalons sur une disposition classique en « V » entièrement couvert par le processus PM :

Cliquez sur l’image pour agrandir

Le déploiement pratique de cette cartographie de processus en procédures opérationnelles standards peut être représenté comme suit :

Cliquez sur l’image pour agrandir

Organisation

Le choix a été fait de mettre en place une structure matricielle ou structure par projet, c’est une structure temporaire limitée à la durée d’un projet.

Son principe est le suivant : les services permanents, organisés par fonctions techniques (les ex silos), affectent leur personnel dans des équipes projet en fonctions de besoins. Quand le projet est achevé, chacun rejoint son service d’origine en attente d’une nouvelle affectation. Une ressource peut être affectée à plusieurs projets selon sa charge.

Dans une structure matricielle, la fonction de management n’est plus dans les mains d’une seule personne, mais d’au moins deux. Il est ainsi primordial que le partage des responsabilités, mais aussi et surtout de l’autorité, entre les managers soit clair et précis.

Les avantages de la structure matricielle par projet sont de:

• permettre une grande flexibilité dans la gestion des ressources humaines et le management,
• développer l’innovation par l’émulation des idées entre des profils différents,
• favoriser la collaboration,
• ouvrir des nouveaux champs de communication entre les fonctions.

Bref, elle est bien adaptée à un monde économique complexe qui exige adaptation, innovation, réactivité des entreprises.

Le référentiel MPP

Vous trouverez ci-dessous la documentation en anglais du référentiel de Management Par Projet tel qu’il a été utilisé pour l’évaluation CMMI, en particulier vous y découvrirez les instances de pilotage et de direction à mettre en place, ainsi que les rôles et responsabilités de tous les acteurs du projet. Enfin l’ensemble des processus et des livrables pour réaliser le projet est décrit.

Afficher ce document sur Scribd

Déploiement du Management Équitable

Construire un comportement homogène et éthique pour l’ensemble des acteurs de l’entreprise nécessite pour chacun une adhésion forte à des principes humains fondamentaux.

Valeurs

Aussi le Manager appliquant les principes du Management Équitable s’attache à développer une culture d’entreprise autour des valeurs suivantes :

Équité

Représente le sentiment naturel, spontané, du juste et de l’injuste. Il faut traiter chacun selon ce qui lui revient de droit, selon son mérite. Ceci spontanément et de façon égalitaire pour les hommes ou les idées en fonction de la justesse et du mérite.
C’est la volonté ferme et durable de reconnaître à chacun ses droits humains fondamentaux et de contribuer à les promouvoir.
Le manager fait preuve d’équité en particulier en replaçant l’humain au centre de ses pratiques de management.

Respect

Correspond au sentiment de considération, d’égard envers l’autre. Le souci de ne pas porter atteinte à l’autre. Il demande d’être à la hauteur et de ne pas porter atteinte aux hommes ou aux idées.
Le respect est la règle de base du comportement du manager dans tous ses actes : respect de soi, des autres collaborateurs, des clients, des tiers, des partenaires sociaux, de la société en général, des principes du groupe, des lois et des règlements, de l’environnement, de l’équité et de l’éthique au sens le plus large.

Partage

Littéralement c’est la division en plusieurs portions, réparties entre les participants. Le fait de partager, d’avoir quelque chose de commun avec quelqu’un.
Le manager est évidemment solidaire de son équipe et de ses collaborateurs mais il l’est également de l’entreprise. Il adopte une attitude résolument positive qui va de pair avec réalisme et courage, il favorise ainsi le développement de l’esprit d’équipe à  tous les niveaux.

Exemplarité

C’est la qualité de ce qui est exemplaire, de ce qui peut servir d’exemple, de modèle et qui peut être imité, répliqué. Ceci se traduit par donner le meilleur de soi-même, rechercher en permanence la qualité, faire preuve d’un professionnalisme exemplaire en exigence quotidienne.
Le manager doit être un responsable porteur de sens, en ayant une grande cohérence personnelle et en soutenant l’humanisation des règles. L’exemplarité est la condition nécessaire, indispensable, mais non suffisante, pour acquérir de la légitimité. A contrario, le manager illégitime fixe des règles qui ne sont valables que pour les autres.

Efficacité

Elle traduit le caractère de ce qui est efficace, de ce qui produit sont effet. C’est la capacité de produire le maximum de résultats avec le minimum d’efforts, et la plus grande valorisation des ressources.
Les leviers d’efficacité managériale sont d’associer des principes de comportement et des compétences, de gérer par des actes plutôt que des discours.

Audace

Mouvement de l’âme qui porte à des actions extraordinaires, au mépris des obstacles et des risques. Tendance à oser les actions difficiles.
Le bon manager est celui qui prend des risques, il sait être audacieux, dans la mesure où son destin individuel est la manifestation du destin collectif, il est celui qui prend le plus de risques pour le collectif. Ce n’est qu’à cette condition qu’il peut se prétendre manager et le prétendre aux autres.

Anticipation

Action de prévenir, de devancer. Il ne se dit que du Temps et, par ellipse, des Choses dont on prévient le temps.
Action de se représenter une chose future, considérée comme plus probable que le rêve en se basant sur le présent et plus proche de sa réalisation que le simple projet.
Le manager doit faire preuve d’anticipation en utilisant son expérience pour éviter de basculer dans la gestion de crise, mais aussi pour mieux informer, partager et impliquer. Associé à l’audace il doit être un bon gestionnaire de risques.

En synthèse

Les valeurs du Management Équitable privilégient la dimension humaine sans oblitérer la finalité de performance des organisations, elles se doivent d’être à la fois individuelles et collectives. Ces valeurs sont soutenues par des Managers forts d’une personnalité induite ou projetée de guide juste et sincère, qui mette en oeuvre ces principes afin d’instaurer une culture de Management exemplaire. La diffusion et le partage de cette culture commune et authentique constitue la clé de voûte des futurs succès de l’entreprise et de sa pérennité.

Ces valeurs sont celles de l’AFraME et de ses adhérents qui souhaitent les partager avec tous les Managers qui veulent les mettre en œuvre au travers de la Charte du Management Équitable dans leur organisation.

Services de consulting

Si vous souhaitez développer ces valeurs dans votre organisation ou évaluer leur déploiement, nous pouvons vous apporter conseils et expériences pour formaliser votre projet en utilisant la charte, le label et les bonnes pratiques du Management Équitable, par exemple :

• Sensibiliser à la mise en place des nouvelles pratiques de Management équitables.
• Animer des ateliers sur les bonnes pratiques de Management pour les ancrer.
• Présenter les entretiens-clés de Management opérationnels : motivation, kick-off, pilotage, évaluation annuelle, briefing, suivi d’activité…
• Définir des méthodes de priorisation de l’activité, de la gestion des risques.
• Définir et mettre en place des indicateurs de performance opérationnels efficaces.
• Préparer à l’évaluation régulière des pratiques de Management par un organisme spécialisé tel que l’AFraME.

Déploiement des processus ITIL

Dans cet article je présente une méthode projet à suivre pour réussir simplement le déploiement des processus de gestion et de support des Services IT en s’appuyant sur le référentiel ITIL. Dans ce domaine on parle de projet ITSM pour IT Service Management. Cette présentation est complétée par un document de retour d’expérience sur un projet ITSM majeur que j’ai coordonné au sein d’une DSI internationale.

L’état des lieux

Afin de démarrer un projet de type IT Services s’appuyant sur le référentiel ITIL, il est nécessaire de réaliser un état des lieux, si possible  avec l’aide d’un conseil externe qui apportera une vision objective de la situation.

La méthode utilisée classiquement est basée essentiellement sur des entretiens avec les dirigeants, les managers et des personnes clé de l’organisation. Elle est complétée par une analyse documentaire de l’existant.

Constats

Les constats suite à cet état des lieux se découpent en deux parties :

• Les points positifs,
• Les points d’amélioration.

Ces points seront autant d’éléments en entrée du projet de définition et de mise en place des processus IT.

Il est important de synthétiser ces constats sur une cartographie de processus existants qui permet souvent de bien visualiser la complexité d’une organisation et sa maturité en terme de rationalisation.

Les verbatim capturés pendant les interviews sont aussi très importants à conserver, comme par exemple :

• « On est dimensionnés pour des pics, on ne sait pas lisser la charge. »
• « On réinvente la roue sans cesse, parce qu’on bosse dans l’urgence. »
• « La culture interne n’impose pas de rendre des comptes sur l’activité. »

Fixation des objectifs

Un projet IT Services vise habituellement à accompagner la transformation d’une DSI en fournisseur de services en utilisant le référentiel ITIL comme guide.

Les principaux objectifs d’un projet doivent être clairement présentés à la direction pour obtenir son soutient, en voici quelques exemples :

• Changer la culture des équipes.
• Améliorer la qualité des services rendus et du support.
• Aligner les services sur les besoins métiers et ceux des clients finaux.
• Donner plus de visibilité à nos clients sur le fonctionnement de l’organisation.
• Contrôler, refacturer et optimiser les coûts.
• Centraliser le support afin de fournir un service de bout en bout.
• Clarifier les rôles.

Afin de suivre ces objectifs, des indicateurs ou KPI doivent être mis en place pour mesurer les progrès, ces indicateurs seront des éléments importants à restituer à la direction pour faire une mesure de ROI, en voici quelques exemples :

• Satisfaction des clients.
• Couverture du Catalogue de services standardisés.
• Pourcentage de services facturés et rationalisation de la capacité.
• Mise à jour de la nomenclature métier et des fiches de poste.
• Cartographie complète des processus.
• Point d’entrée unique pour le support et indicateurs de gestion d’incidents.

Rôles et responsabilité

Dans tout projet de mise en oeuvre de processus il est important de définir plusieurs rôles, essentiellement au niveau de la gestion des processus, qui complètent les rôles opérationnels classiques d’une DSI :

• Process Coordinator : Il anime la collaboration entre les responsables de processus du projet et contribue à la coordination dans le déploiement des processus. Il exerce un rôle de support des Process Owners et de responsable qualité du projet.
• Process Owner : C’est le propriétaire d’un processus dont il a la charge. Ses responsabilités incluent le soutient, la conception, la gestion des changements et l’amélioration continue du processus et de ses métriques. Son rôle est principalement de s’assurer que le processus utilisé est adapté aux besoins opérationnels. Il y a un Process Owner par processus défini.
• Process Manager : Il gére la bonne application de la mise en oeuvre opérationnelle des processus. Ceci en incluant la planification et la coordination de toutes les activités exigées pour effectuer, surveiller et rendre compte de l’application du processus en charge. Il peut y avoir plusieurs Process Managers pour un même processus.

La cartographie des processus

Une représentation de cette cartographie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent selon les cinq  domaines clefs du référentiel ITIL :

Cliquez sur l’image pour agrandir

Voici un exemple pragmatique de cette cartographie de processus, sous forme de procédures opérationnelle standards, mise en place sous ma responsabilité en utilisant en grande partie les bonnes pratiques du référentiel ITIL et ISO 27001 regroupées et rationalisées dans un référentiel qualité interne :

Cliquez sur l’image pour agrandir

Retour d’expérience

Le document suivant est la présentation complète du projet ITSM réalisé sous ma coordination pour la DSI de Cegedim, l’organisation de départ était principalement structurée en silos technologiques. L’étude, la mise en place progressive et la stabilisation des nouveaux processus se sont déroulées sur un cycle de trois ans, cycle nécessaire au changement de culture pour l’ancrer dans l’organisation.

Afficher ce document sur Scribd

Vous trouverez dans l’article de solutions-numeriques.com un témoignage sur ce projet plus orienté vers le choix de l’outil initial de gestion ITSM, support de la démarche de déploiement des processus.