CMPI-CMSI - qualité et sécurité informatique (Didier Hallépée)

auteur : Didier HALLÉPÉE
Titre : CMPI-CMSI - QUALITÉ ET SÉCURITÉ INFORMATIQUE
éditeur : Carrefour du Net
parution : 2009
commande en ligne : http://carrefour-du-net.com/boutique/
Prix : 50 euros

Vous pouvez également commander cette oeuvre auprès de son auteur en envoyant un mail à dhallepee [@] orange.fr
Si vous souhaitez une dédicace, précisez-le dans votre mail
Payement par paypal en utilisant cette même adresse email
Merci d'ajouter les frais de port (3,15€ pour la France)

Didier HALLÉPÉE, ancien élève de l’école Polytechnique, PhD of Mathematics, Phd of Computer Sciences et premier prix du concours général de mathématiques, a dirigé des grands projets informatiques dans des métiers aussi divers que la grande distribution, le marketing, le monde bancaire, le crédit, la monétique, la billettique, le prépaiement, la bourse, la loterie instantanée.

Il a également œuvré à maintes reprises comme responsable qualité ou comme responsable sécurité tant au niveau projet ou exploitation qu’au niveau global de l’informatique.

Les méthodes CMPI et CMSI sont le fruit de plus de trente années d’expérience. Elles ont été affinées à l’occasion des nombreuses missions au cours desquelles elles ont été utilisées.

Didier HALLÉPÉE, ancien élève de l’école Polytechnique, PhD of Mathematics, Phd of Computer Sciences, œuvre comme consultant depuis plus de 30 ans dans la monétique et les moyens de paiement, à la fois du côté bancaire, du côté commerçant et du côté grands réseaux bancaires, privatifs ou internationaux.

Il est présent dans nombre d’organisations phares de ce secteur :

- vice-président d’EESTEL, l’association des Experts Européens en Systèmes de Transactions Electroniques
http://www.eestel.com
- vice-président de l’APTES, le pôle de compétitivité dédié aux Transactions Electroniques Sécurisées
http://www.pole-tes.com
- représentant d’Eestel auprès du CONCERT, l’association des grands acteurs de la monétique (industriels, opérateurs, prestataires)
http://www.concert.asso.fr
- expert monétique auprès de MERCATEL, l’association en charge des grands dossiers monétiques pour le Commerce et la Distribution
http://www.mercatel.info

Les méthodes CMPI et CMSI ont déjà fait l'objet de nombreuses formations.

Ces formations ont été notamment prodiguées dans divers pays d'Afrique où ces deux méthodes continuent à être utilisées.

C'est probablement au Congo Brazzaville, en Côte d'Ivoire et au Cameroun que l'auteur a gardé le plus de relations avec les utilisateurs de ces méthodes.

La cindynique ou gestion du risque recouvre l’ensemble des actions visant à identifier les différents risques, à les évaluer, à proposer des méthodes susceptibles d’en réduire les impacts, à fournir les éléments de décision correspondants

Objectifs
Les risques sont les événements potentiels qui peuvent empêcher l’interruption totale ou partielle des activités de l’entreprise ou avoir des impacts importants sur la rentabilité, la pérennité ou la qualité de ces activités.

La gestion du risque recouvre l’ensemble des actions visant
 à identifier les différents risques pouvant survenir au cours de la vie de l’entreprise
 à évaluer ceux-ci
 à proposer des méthodes susceptibles d’en réduire les impacts
 à fournir les éléments de décision correspondants

Les différents types de risque susceptibles d’impacter l’activité de l’entreprise sont :
 les risques sociétaux, c’est-à-dire relatifs au monde extérieur à l’entreprise (catastrophes naturelles, évènements politiques, évènements sociaux, évènements économiques…)
 les risques liés à l’infrastructure (bâtiments, organisation géographique, énergies, télécommunications…)
 les risques humains (malveillances et défaillances internes ou externes, Relations Humaines, inadéquation des Ressources Humaines ou de l’Organisation,…)
 les risques techniques (défaillances matérielles, logicielles ou conceptuelles, sensibilité aux attaques…)

Recueil de connaissance
La gestion du risque demande la connaissance des activités de l’entreprise, du domaine où s’exerce cette activité et du tissu sociétal qui l’entoure.

La première étape est donc une étape de prise de connaissance de ces différents éléments. Elle repose principalement sur l’entretien des différents responsables concernés. L’interviewer en retire les connaissances qui lui sont nécessaires pour la poursuite de sa mission et la compréhension des enjeux qui sous-tendent ces activités.

Identification des risques
La deuxième étape est l’identification des risques.

Une partie des risques apparaissent explicitement ou implicitement au travers des entretiens. La connaissance de la cindynique (étude des risques et leurs préventions) et l’expérience du consultant permettent d’identifier les risques cachés.

Evaluation des risques
Les risques identifiés sont évalués en tenant compte de la possibilité d’apparition, l’impact.

Impact
 Risque vital
Met en péril de manière potentiellement définitive tout ou partie des activités de l’entreprise avec
 Risque majeur
Met en péril de manière provisoire tout ou partie des activités de l’entreprise
 Risque gênant
Conduit à des résultats erronés ou à des dysfonctionnements qui perturbent de manière significative l’activité
 Risque annexe
Conduit à des résultats incomplets ou à des dysfonctionnements mineurs

Au niveau de l’entreprise, l’analyse de risque ne prend en compte que les risques vitaux ou majeurs.

A ce stade, la prise en compte de risques gênants ne se justifie que s’ils ont une probabilité forte d’apparition ou un facteur de récurrence important. Dans ce cas, ils sont requalifiés en risques majeurs.

Une analyse quantitative des risques vitaux n’a qu’une pertinence limitée et peut donc être omise.

Recherche de solutions
La connaissance des risques encourus conduit à la recherche de solutions. La réduction des risques se fait par le moyen de plusieurs types d’action.

Types d’action
 Action d’évitement
L’action d’évitement consiste à modifier l’activité de façon à ce que le risque identifié n’existe plus.
Exemple : transfert des activités en dehors des zones dangereuses.
 Action préventive
L’action préventive peut être mise en œuvre tout au long du projet. Elle conduit à une diminution ou une disparition du risque.
Exemples : centre de secours, doublement des réseaux, etc.
 Action curative
L’action curative est mise en œuvre lorsque le risque se réalise. Elle permet de faire face aux conséquences de l’événement.
Exemples : remplacement des éléments techniques défectueux, fermeture des voies d’accès compromises, appel à la sous-traitance.
 Action de partage du risque
Dans la mesure où plusieurs partenaires participent au projet, une partie du risque peut être assumée par ces partenaires.
Exemples : appel à ressources consommables ou remplaçables dans les activités à risque.
 Paiement du risque
Si le risque se concrétise, on ne cherche pas à le résoudre, mais on impute le coût au budget ad hoc (fonction assurance).
Exemples : assurances diverses, abandon de projet trop ambitieux.

Elaboration d’un plan d’action
Celui-ci se fait en concertation avec la direction de l’entreprise et les différents responsables concernés. Prenant en compte la connaissance des risques, il organise les actions à mener pour assurer la continuité des activités.

Cette concertation permet de trancher entre les différents types d’action envisageables en tenant compte des critères de choix stratégiques de l’entreprise et des contraintes économiques, structurelles, techniques, humaines et sociétales.

Lorsque la stratégie de sécurité de l’entreprise est clairement identifiée, celle-ci fournit une partie des réponses attendues. On s’assurera de la cohérence entre l’analyse de risques et la stratégie de sécurité.

Des méthodes pragmatiques et efficaces pour réussir les projets informatiques et la sécurité informatique !

Vu la mauvaise qualité de bien des programmes, les retards, les surcoûts, il y en a beaucoup qui devraient lire ça. Mais comme le souci de la qualité se perd...

J'espère que nombreux seront ceux qui liront et appliqueront ce livre : ça nous changerait de ce qu'on voit aujourd'hui...

Merci de ce commentaire

En effet, la maîtrise de la qualité entraîne celui des coûts et des délais.

Souvent, la pratique essaie de maîtriser le budget, ce qui provoque des dérives de qualité et de délai. Et comme le budget concerné ne représente qu'une partie du projet, on se retrouve avec une dérive globale des coûts que nul ne veut voir.

Parfois même, la seule véritable maîtrise qu'il y ait, c'est la maîtrise des avenants...

Mais ceci est une autre histoire.