Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

2. La méthode PDCA appelée aussi Roue de Deming La méthode PDCA (Plan, Do, Chec

2. La méthode PDCA appelée aussi Roue de Deming La méthode PDCA (Plan, Do, Check, Act) issue de l’ISO 9000 est également appelée roue de l’amélioration de la qualité ou « roue de Deming », du nom de W. Edwards DEMING, statisticien et philosophe américain, inventeur des principes de la qualité et de Walter Andrew Shewhart Statisticien américain, inventeur de la roue de Deming. Le principe propose de maîtriser et d’améliorer un processus par l’utilisation d’un cycle continu en quatre étapes visant à réduire le besoin de corrections. Cette méthode démontre aussi que les bonnes pratiques doivent être mises en oeuvre, documentées, appliquées et améliorées dans le temps. Elle comporte les étapes suivantes : l PLAN (planifier) Cette phase définit l’objectif principal qui consiste à identifier et à préciser les besoins du maître d’ouvrage. Elle effectue l’inventaire des moyens nécessaires à sa réalisation, son coût et son planning. l DO (réaliser, déployer) C’est la partie opérationnelle de la méthode. Elle comporte : l l’allocation de ressources en personnes, temps et budget, l la rédaction de la documentation, l la formation du personnel concerné, l la gestion du risque, l l’exécution des tâches. l CHECK (mesurer et contrôler) C’est ici que les opérations réalisées précédemment sont vérifiées pour qu’elles correspondent aux besoins exprimés, dans les délais et les coûts précisés à la première étape. Elle comprend : l Une évaluation à partir de ce qui a déjà été implémenté dans d’autres environnements. l Un contrôle global des résultats produits. l Un audit de l’environnement du système de gestion de la sécurité du système d’information, soit un audit annuel, sur la base de documents et de traces d’évènements produits par les outils de supervision. l ACT (améliorer, agir) Cette étape recherche les améliorations à apporter au projet global de changement. Des mesures sont évaluées à partir des bilans ou des constatations relevées lors de la phase de vérification. Des actions possibles sont élaborées selon les cas : l Passage à la phase de planification : si de nouveaux risques ou modifications ont été identifiés. l Passage à la phase d’exécution : si la phase de vérification en montre le besoin. l Après la constatation de non conformité, des actions correctives ou préventives sont déployées. Cette méthode, utilisée dans la nouvelle version de ITIL (V3) et dans la mise en place d’un système de gestion de la sécurité informatique, permet de réaliser des changements progressifs et continus à partir d’un point ou objectif de départ. Celuicipeut être l’élément du système d’information qui a été défini, après un état des lieux, comme le plus critique ou le plus urgent à traiter ou encore le plus facile à mettre en oeuvre. Elle est, à l’opposé des changements brutaux ou pris dans l’urgence, toujours délicate à mettre en oeuvre et parfois source de dysfonctionnements. 3. La norme ISO 20000 Cette norme, décomposée en ISO 20001,ISO 20002, s’appuie sur les bonnes pratiques ITIL (Information Technology Infrastructure Library) et comprend un ensemble de bonnes pratiques en matière de gestion des services informatiques. Elle prend comme principe la roue de Deming ou PDCA (PlanDoCheckAct) et s’inscrit dans un processus de formalisation de normes de qualité (ISO 9000) ou de sécurité des systèmes d’information (ISO 27001). Il s’agit d’un système de gestion complémentaire avec une architecture identique composé d’un guide de bonnes pratiques (ISO200002). Ce système complète la norme ISO 20000-1. 4. La norme ISO 27001 et le système de gestion de la sécurité informatique La série des normes ISO 27000 est composée des éléments suivants : ISO 27000 Vocabulaire et définitions. ISO 27001 La norme principale des besoins en système de gestion de la sécurité de l’information, plus connue sous la forme BS77992. Elle correspond au principe de certification des organisations. ISO 27002 (connue sous la forme ISO 17799) Il s’agit de la description des bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information.ISO 27003 Comprend le guide d’implémentation détaillé relatif à l’adoption de la série complète de la norme ISO 27000. ISO 27004 Contient la norme qui définit les principes d’évaluation de ce qui a été implémenté dans le cadre de la gestion de la sécurité de l’information pour mesurer l’efficacité du système de gestion de la sécurité mis en place. ISO 27005 Contient la norme de gestion du risque dans le cadre de la sécurité de l’information. Il remplace la norme BS 77993. L’objectif de cette norme consiste à établir un système de gestion de la sécurité de l’information, c’estàdire définir et identifier tous les actifs, mettre en place toutes les mesures adéquates pour protéger les données de l’entreprise. Elle donne une idée sur les bonnes pratiques à utiliser par une approche basée sur des procédures et des processus. Elle constitue un bon moyen d’organiser et de structurer la politique de sécurité informatique dans l’entreprise. Elle formalise : l l’amélioration continue, l les audits internes, l l’appréciation des risques, l le traitement des incidents, l les indicateurs. Les domaines et normes associés La mise en oeuvre de solutions de protection et de sécurité requiert de prendre des références par rapport à des normes ou des préconisations. 1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library) ITIL se compose d’un ensemble de livres qui liste, condense et présente les meilleures pratiques à utiliser dans le cadre de l’ensemble des services informatiques dédiés à une entreprise. Elle se décline en plusieurs versions depuis ses origines. La plus récente est la version N°3. La méthodologie décrite en version 2 est composée des processus suivants : Service Support Support des Services, il s’agit de la gestion opérationnelle des services. Il comprend les thèmes suivants : l Centre de Services (Service Desk) l Gestion des Incidents (Incident Management) l Gestion des Problèmes (Problem Management) l Gestion des Configurations (Configuration Management) l Gestion des Changements (Change Management) l Gestion des Mises en Production (Release Management) Service Delivery Fourniture des Services, cet ensemble de processus concerne les aspects contractuels et l’amélioration des services à long terme : l Gestion des Niveaux de Service (Service Level Management) l Gestion des Capacités (Capacity Management) l Gestion Financière des Services de l’Information (Financial Management for IT Services) l Gestion de la Disponibilité (Availability Management) l Gestion de la Continuité des Services de l’Information (IT Service Continuity Management) La version 3 s’inscrit dans un domaine plus large et comprend les processus suivants : Stratégie des Services (Service Strategy) l Définition Stratégique (Strategy Generation) l Gestion financière des services (Financial Management) l Gestion de la demande (Demand Management) l Gestion du portefeuille des services (Service Portfolio Management) Conception de Service (Service Design) l Gestion du catalogue des services (Service Catalogue Management) l Gestion des niveaux de service (Service Level Management) l Gestion des fournisseurs (Supplier Management) l Gestion de capacité (Capacity Management) l Gestion de la disponibilité (Availability Management) l Gestion de la continuité de service (IT Service Continuity Management) l Gestion de la sécurité (Information Security Management) Transition des Services (Service Transition) l Transition Planning and Support l Gestion des Changements (Change Management) l Gestion des Actifs et des Configurations (Service Asset and Configuration Management) l Gestion des Mises en Production et Déploiements (Release and Deployment Management) l Gestion des tests et validation (Validation and Testing Management) l Évaluation l Gestion de Connaissance (Knowledge Management) Exploitation des Services (Service Operation) l Gestion des événements (Event Management) l Gestion des incidents (Incident Management) l Gestion des problèmes (Problem Management) l Exécution des requêtes (Request Fulfilment) l Gestion des accès (Access Management) Amélioration continue de Service (Continual Service Improvement) Il s’appuie sur les processus suivants : l Évaluation de la qualité de service l Évaluation des processus mis en place l Développement des initiatives d’amélioration des services et des processus l Surveillance des initiatives d’amélioration, mesures de correction Dans l’optique de cet ouvrage, les processus suivants en lien avec la sécurité informatique peuvent être utilisés dans le cadre de la gestion de systèmes dans une PME : l La gestion des configurations. l La gestion de la disponibilité. l La gestion des applications Elle traite du cycle de développement de ces applications. l La gestion de la sécurité Elle comporte les aspects de sécurité, de manière transversale, avec les autres processus. - uploads/Management/ securte.pdf