Modèle PAQ Plan Assurance Qualité
April 13, 2017 | Author: Eric Soudy | Category: N/A
Short Description
Download Modèle PAQ Plan Assurance Qualité...
Description
Plan d’Assurance Qualité « Prestation » Version 0
Plan d’Assurance Qualité
Page 1
SOMMAIRE SOMMAIRE ........................................................................................................................................................................ 2 LISTE DES FIGURES ............................................................................................................................................................. 6 1
OBJET, DOMAINE D’APPLICATION ET RESPONSABILITE ............................................................................................. 7 1.1
INTRODUCTION ............................................................................................................................................................. 7
1.2
OBJET ......................................................................................................................................................................... 7
1.3
DOMAINE D’APPLICATION ............................................................................................................................................... 7
1.4
RESPONSABILITES LIEES AU PLAN D’ASSURANCE QUALITE ...................................................................................................... 7
1.4.1
CLIENT .................................................................................................................................................................. 7
1.4.2
Directeur de la prestation .................................................................................................................................... 8
1.4.3
Comité de Direction.............................................................................................................................................. 8
1.4.4
Chef de Projet Sécurité ......................................................................................................................................... 8
1.4.5
Responsable de la Sécurité SI ............................................................................................................................... 8
1.4.6
Correspondant Qualité ......................................................................................................................................... 8
1.4.7
Correspondants Locaux de la Qualité .................................................................................................................. 9
1.4.8
Responsables de processus .................................................................................................................................. 9
1.4.9
Responsables Locaux de Processus ...................................................................................................................... 9
1.4.10
Personnel & Intervenants du projet ................................................................................................................. 9
2
DESCRIPTION DU CONTEXTE DE LA PRESTATION DANS LE CADRE DU PROJET ......................................................... 10
3
EXIGENCES DU CLIENT – ENGAGEMENTS DU TITULAIRE .......................................................................................... 10 3.1
OBJECTIFS QUALITE ..................................................................................................................................................... 11
3.2
INDICATEURS QUALITE ................................................................................................................................................. 11
3.2.1
Définitions des indicateurs ................................................................................................................................. 11
3.2.2
Liste des indicateurs de niveau direction en phase Build ................................................................................... 12
3.2.3
Analyse des indicateurs ...................................................................................................................................... 14
3.3 4
TABLEAUX DE BORD ..................................................................................................................................................... 14
ÉLABORATION, EVOLUTIONS ET DEROGATIONS AU PLAN D’ASSURANCE QUALITE ................................................. 17 4.1 4.1.1
ÉLABORATION, VALIDATION ET DIFFUSION DU PAQ ............................................................................................................ 17 Élaboration & Validation du PAQ ....................................................................................................................... 17
4.2
ÉVOLUTION DU PAQ ................................................................................................................................................... 17
4.3
DIFFUSION DU PAQ..................................................................................................................................................... 18
4.4
DEROGATION AU PAQ ................................................................................................................................................. 18
4.4.1
Non-application du PAQ..................................................................................................................................... 18
4.4.2
Demande de dérogation .................................................................................................................................... 18
4.4.3
Demande de dérogation Sécurité des SI (SSI)..................................................................................................... 19
Plan d’Assurance Qualité
Page 2
5
DOCUMENTATION................................................................................................................................................... 20 5.1
DOCUMENTS CONTRACTUELS ......................................................................................................................................... 20
5.2
CORPUS LEGAL, NORMES ET STANDARDS .......................................................................................................................... 20
5.2.1
Corpus normatif, législatif & juridique ............................................................................................................... 20
5.2.2
Normes & Standards .......................................................................................................................................... 20
5.3 6
7
TERMINOLOGIE, GLOSSAIRE, ABREVIATIONS ET SIGLES EMPLOYES ......................................................................... 22 6.1
DEFINITIONS............................................................................................................................................................... 22
6.2
ACRONYMES .............................................................................................................................................................. 22
ORGANISATION SPECIFIQUE MISE EN PLACE DANS LE CADRE DE LA PRESTATION ................................................... 25 7.1
PERIMETRE D’ACTION................................................................................................................................................... 25
7.2
COMITOLOGIE ............................................................................................................................................................ 25
7.2.1
Règles de fonctionnement ................................................................................................................................. 26
7.2.2
Comitologie de Surveillance & de Suivi – Interface Client –Fournisseur de services .......................................... 26
7.2.3
Comitologie de Direction de la prestation.......................................................................................................... 33
7.2.4
Comitologie de Pilotage de la prestation ........................................................................................................... 36
7.2.5
Procédure d’escalade ......................................................................................................................................... 40
7.3
MODALITES DE REALISATION ET DE SUIVI QUALITE ............................................................................................................. 42
7.3.1
Traçabilité des référentiels et des exigences au sein du système de management ........................................... 42
7.3.2
Maîtrise des risques ........................................................................................................................................... 44
7.3.3
Audits Internes & Externes ................................................................................................................................. 45
7.3.4
Contrôles permanents & Audits de référentiel ................................................................................................... 46
7.3.5
Suivi des décisions et des actions Qualité .......................................................................................................... 46
7.3.6
Assurance Qualité des Produits, Services & Livrables ........................................................................................ 47
7.3.7
Enquête de satisfaction ...................................................................................................................................... 47
7.4
8
DOCUMENTS QUALITE APPLICABLES ................................................................................................................................ 21
PLANIFICATION ET SUIVI DU PAQ ................................................................................................................................... 48
7.4.1
Calendrier des évènements Qualité ................................................................................................................... 48
7.4.2
Planification et suivi de la Comitologie .............................................................................................................. 49
7.4.3
Planification et suivi des Actions & des Décisions .............................................................................................. 49
7.4.4
Planification et suivi des livraisons ..................................................................................................................... 49
7.4.5
Calendrier des révisions documentaires ............................................................................................................. 49
7.4.6
Audits Qualité & Conformité aux Référentiels ................................................................................................... 49
GESTION DES RESSOURCES ...................................................................................................................................... 50 8.1
RESSOURCES HUMAINES ............................................................................................................................................... 50
8.1.1
Composition de l’équipe du projet ..................................................................................................................... 50
8.1.2
Gestion des Ressources Humaines ..................................................................................................................... 52
Plan d’Assurance Qualité
Page 3
8.1.3
Le recrutement ................................................................................................................................................... 53
8.1.4
La gestion du personnel ..................................................................................................................................... 54
8.1.5
La gestion des prestataires ................................................................................................................................ 54
8.1.6
Maintien des compétences ................................................................................................................................ 56
8.1.7
Formation........................................................................................................................................................... 56
8.2
9
RESSOURCES MATERIELLES ............................................................................................................................................ 59
8.2.1
Les locaux ou bâtiments ..................................................................................................................................... 59
8.2.2
Les équipements logiciels et matériels ............................................................................................................... 60
8.2.3
Les services support ........................................................................................................................................... 60
MAITRISE DOCUMENTAIRE ..................................................................................................................................... 61 9.1
APPROBATION & DIFFUSION DES DOCUMENTS .................................................................................................................. 61
9.2
PARTAGE DE L’INFORMATION ET MODES DE COMMUNICATION ............................................................................................. 61
9.3
DEROGATION A LA PROCEDURE DOCUMENTAIRE ................................................................................................................ 62
10
ENVIRONNEMENT BUREAUTIQUE ........................................................................................................................... 63
11
DESCRIPTION DES PROCESSUS DE FONCTIONNEMENT/DEROULEMENT DE LA PRESTATION ................................... 64 11.1
SYSTEME DE MANAGEMENT .......................................................................................................................................... 64
11.2
PROCESSUS DU MODE BUILD ......................................................................................................................................... 65
11.2.1
Activité de Conception ................................................................................................................................... 65
11.2.2
Activité de Développement ............................................................................................................................ 68
11.2.3
Activité de VABF - Intégration et recette ....................................................................................................... 70
11.2.4
Activité de VABF - Mise en production........................................................................................................... 73
11.3
ACTIVITE DU MODE « RUN » - PRODUCTION .................................................................................................................... 76
11.4
PROCESSUS DE MANAGEMENT....................................................................................................................................... 79
11.4.1
Manager la prestation ................................................................................................................................... 79
11.4.2
Manager la Sûreté et la Sécurité ................................................................................................................... 80
11.4.3
Manager la Performance & l’Amélioration permanente ............................................................................... 81
11.5
PROCESSUS DE REALISATION.......................................................................................................................................... 82
11.5.1
Gérer & tracer les demandes et les exigences ............................................................................................... 82
11.5.2
Gérer le portefeuille de services..................................................................................................................... 83
11.5.3
Piloter les coûts des demandes et des services .............................................................................................. 85
11.5.4
Gérer le catalogue de services ....................................................................................................................... 86
11.5.5
Gérer les niveaux de services ......................................................................................................................... 87
11.5.6
Gérer les fournisseurs SI ................................................................................................................................ 88
11.5.7
Garantir la sécurité SI .................................................................................................................................... 89
11.5.8
Garantir la disponibilité SI ............................................................................................................................. 90
11.5.9
Garantir la continuité SI ................................................................................................................................. 91
Plan d’Assurance Qualité
Page 4
11.5.10
Garantir la capacité SI ................................................................................................................................... 92
11.5.11
Réaliser les mises en production et les déploiements .................................................................................... 93
11.5.12
Gérer & garantir les changements SI ............................................................................................................. 94
11.5.13
Gérer les actifs et la configuration SI ............................................................................................................. 95
11.5.14
Traiter les requêtes ........................................................................................................................................ 96
11.5.15
Gérer les accès ............................................................................................................................................... 97
11.5.16
Gérer la supervision ....................................................................................................................................... 98
11.5.17
Traiter les incidents........................................................................................................................................ 99
11.5.18
Traiter les problèmes ...................................................................................................................................101
11.6
12
13
14
15
16
17
PROCESSUS DE SOUTIEN..............................................................................................................................................102
11.6.1
Gérer les Ressources RH & Former ..............................................................................................................102
11.6.2
Gérer les Ressources Matérielles .................................................................................................................103
11.6.3
Gérer les éléments administratifs & financiers ............................................................................................104
GESTION DES LIVRABLES ....................................................................................................................................... 105 12.1
LISTE DES LIVRABLES DUS AU TITRE DE LA PRESTATION .......................................................................................................105
12.2
VALIDATION DES LIVRABLES DOCUMENTAIRES .................................................................................................................105
12.3
VALIDATION DES LIVRABLES MATERIELS ..........................................................................................................................105
12.4
VALIDATION DES SYSTEMES .........................................................................................................................................105
CLASSIFICATION, REPRODUCTION ET PROTECTION DES DOCUMENTS PRODUITS.................................................. 108 13.1
CLASSIFICATION DES DOCUMENTS .................................................................................................................................108
13.2
REPRODUCTION DES DOCUMENTS .................................................................................................................................108
13.3
PROTECTION DES DOCUMENTS .....................................................................................................................................108
MAITRISE DU PRODUIT / SERVICE NON CONFORME ............................................................................................. 110 14.1
TRAITEMENTS DES NON-CONFORMITES ET ACTIONS CORRECTIVES .......................................................................................110
14.2
TRAITEMENT DES ACTIONS PREVENTIVES ........................................................................................................................110
MESURE & AMELIORATION PERMANENTE DES SERVICES...................................................................................... 111 15.1
METROLOGIE ...........................................................................................................................................................111
15.2
GESTION DES TABLEAUX DE BORD .................................................................................................................................111
15.3
ÉVOLUTION & AMELIORATION PERMANENTE ..................................................................................................................112
RELATION AVEC LES SOUS-TRAITANTS .................................................................................................................. 115 16.1
CONTRATS DE SOUS-TRAITANCE ...................................................................................................................................115
16.2
VERIFICATION DES PRESTATIONS DE SERVICES ..................................................................................................................116
16.3
REPERCUSSION DES OBLIGATIONS EN MATIERE DE QUALITE ................................................................................................116
MAITRISE DES DOCUMENTS ET DES ENREGISTREMENTS ....................................................................................... 117 17.1
ROLES ET RESPONSABILITES DANS LA GESTION D’UN DOCUMENT .........................................................................................117
17.2
MODELE DE DOCUMENTS & DOCUMENTS DE REFERENCE ..................................................................................................117
Plan d’Assurance Qualité
Page 5
17.3
18
MAITRISE DES ENREGISTREMENTS ................................................................................................................................118
17.3.1
Classement des enregistrements .................................................................................................................118
17.3.2
Archivages des enregistrements ..................................................................................................................118
17.4
MISE A DISPOSITION & DIFFUSION DES DOCUMENTS ........................................................................................................118
17.5
DEROGATION A LA PROCEDURE DOCUMENTAIRE ..............................................................................................................118
ANNEXES ............................................................................................................................................................... 119
LISTE DES FIGURES Figure 1 : Déclinaison de la Politique de Management en Objectifs Qualité .......................................................................... 11 Figure 2 : Fiche de Définition d'Indicateur (FIDI) ..................................................................................................................... 12 Figure 3 : Illustration du Tableau de Bord ............................................................................................................................... 16 Figure 4 : Élaboration, Évolutions & Validation du PAQ .......................................................................................................... 17 Figure 5 : Procédure de Dérogation au PAQ ............................................................................................................................ 19 Figure 6 : Comitologie .............................................................................................................................................................. 25 Figure 7 : Traçabilité des référentiels ...................................................................................................................................... 43 Figure 8 : Application & Réalisation des référentiels au sein des processus ........................................................................... 43 Figure 9 : exemple simple de matrice des risques ................................................................................................................... 44 Figure 10 : Procédure d'audit .................................................................................................................................................. 45 Figure 11 : Exemple de tableau de suivi des actions ............................................................................................................... 47 Figure 12 : Exemple de calendrier de la Qualité ...................................................................................................................... 48 Figure 13 : Organigramme de l’organisation en mode projet ................................................................................................. 50 Figure 14 – Processus continu de formation des ressources et de maintien en compétences ............................................... 57 Figure 15 – La gestion de la formation .................................................................................................................................... 58 Figure 16 : Exemples d’éléments selon les différents modes de Communication & d'Échanges ............................................ 62 Figure 17 : Cartographie des processus ................................................................................................................................... 64 Figure 18 : Portefeuille des services ........................................................................................................................................ 83 Figure 19 : Cycle de vie des projets & Jalons de décision ........................................................................................................ 84 Figure 20 : Amélioration Permanente ...................................................................................................................................113 Figure 21 : Revues de Direction & des Processus ..................................................................................................................114
Plan d’Assurance Qualité
Page 6
1
Objet, domaine d’application et responsabilité
1.1
Introduction
Présenter le contexte du projet et de la prestation et ses enjeux de manière générale.
1.2
Objet
Le présent document décrit le Plan d'Assurance Qualité (PAQ), conforme à la Norme NF X 50-164. Le Plan d’Assurance Qualité assure les exigences du client en matière de qualité et de niveau de maîtrise nécessaire à la réussite du projet. Il a pour objet de décrire l’organisation, les méthodes et des moyens basés sur le système qualité répondant notamment aux exigences de la norme ISO 9001. Le Plan d’Assurance de la Qualité s’applique à l’ensemble des processus permettant la mise en place, le suivi, la correction et l’amélioration continue du projet. Ce document est indispensable au bon déroulement de la mise en place du livrable produit et il permet d’atteindre les objectifs suivants :
constituer une référence commune à tous les membres de l'équipe projet. Il permettra d'assurer une bonne cohérence et une homogénéité dans les méthodes de travail. garantir la qualité du produit et des prestations. Cette qualité s'exprime par des critères de qualité à respecter dans le cadre de ce projet. définir les procédures à suivre, les outils à utiliser, les normes à respecter, la méthodologie de développement du produit et les contrôles prévues pour chaque activité.
La première version du PAQ est transmise avec l’offre, il s’agit du PAQ V0. Puis, elle est mise à jour dans le mois qui suit la notification du premier ordre de service. Cette version fait l’objet d’une validation par le client. L’ensemble des éléments liés au système de management de la qualité du client sera transmis à afin de lui permettre notamment de mettre à jour son Plan Assurance Qualité en conséquence. Le PAQ est modifié ou complété, après accord du client, tout au long de l’exécution de la prestation, lorsque l'évolution des Prestations ou du Service rend cette modification nécessaire et dans le respect des stipulations du cahier des charges initial.
1.3
Domaine d’application
Ce Plan d’Assurance Qualité est applicable dans le cadre de la prestation portant sur la mise en œuvre de …. Le système de management défini ci-après est organisé pour assurer l’application de l’ensemble des exigences listées au chapitre 5 Documentation en page 20. Le périmètre couvert par le contrat concerne les prestations ou services suivants :
…
Le périmètre ne couvre pas les prestations ou services suivants :
…
1.4
Responsabilités liées au Plan d’Assurance Qualité
Le management de la Qualité et des référentiels choisis prennent appui sur les responsabilités, rôles et autorités décrites dans les paragraphes ci-dessous.
1.4.1 CLIENT Le client fournira à toutes les exigences, les référentiels et les objectifs nécessaires à l’établissement du système de management de la prestation, de sa politique de management et des objectifs opérationnels.
Plan d’Assurance Qualité
Page 7
Le client validera les documents et les éléments qui lui sont fournis, conformément aux dispositions décrites dans le présent document.
Tâches en matière d’assurance qualité Rédaction / Actualisation du PAQ Validation du PAQ Diffusion des nouvelles versions et retrait des anciennes Mise en application du PAQ Mise en œuvre du suivi qualité et bilan qualité Planification et mise en œuvre des actions préventives et correctives relatives à la qualité Suivi des actions qualité et des dérogations
Responsabilités CLIENT
X
X X
X X X X X
1.4.2 Directeur de la prestation Il est le responsable de l’ensemble du système de management du projet. Il définit la politique de management du projet, notamment celle de la Qualité et de la Sécurité.
1.4.3 Comité de Direction Il désigne les responsables des processus et des référentiels. Il aide à la définition de la politique de management du projet et de la Qualité. Il valide les objectifs du système de management.
1.4.4 Chef de Projet Sécurité Il est le garant d’un niveau de couverture satisfaisant des objectifs et exigences fonctionnelles de sécurité pendant tout le cycle de vie du système. Il représente le point de contact privilégié du responsable SSI du client pour traiter de tous les aspects liés à l’acceptabilité des mesures de couverture des objectifs et des exigences fonctionnelles de sécurité proposées par le titulaire. Il est en charge la supervision et le contrôle de la production de fiches de couverture des exigences de sécurité au niveau de chacune des équipes identifiées dans l’organisation projet mise en place. Ces fiches de couverture des exigences viennent alimenter le processus de traitement des risques SSI mis en œuvre dans le cadre du Comité de gestion des Risques SSI.
1.4.5 Responsable de la Sécurité SI Il est le garant du fonctionnement général du système de management de la Sécurité et des Risques. Il aide et supporte les responsables de processus dans :
l’identification des risques opérationnels de leur processus, la mise en œuvre des actions de couverture des risques, la détermination des points de contrôle et la mise en œuvre des contrôles nécessaires pour prévenir et repérer les risques, l’implémentation de la politique de Sécurité et des référentiels de Sécurité.
1.4.6 Correspondant Qualité Il est le garant du fonctionnement général du système de management de la Qualité et des référentiels rattachés au sein de ce système. Il s’assure du bon management de tous les processus. Le Correspondant Qualité assure un soutien auprès du directeur de projet et des responsables de processus dans :
la définition et l’évolution des processus et de la documentation des processus, la mise en œuvre des démarches et des méthodologiques Qualité au sein des processus, la préparation des Revues de Processus et de la Revue de Direction.
Il anime le réseau des correspondants ou responsables locaux de la qualité. Plan d’Assurance Qualité
Page 8
Le PAQ est rédigé par la cellule qualité sous la responsabilité du Correspondant Qualité qui s’engage sur son contenu. Le Correspondant Qualité s’assure que tous les membres du projet ont pris connaissance du présent PAQ. Il est assisté dans cette tache par l’ensemble des acteurs managers du projet et en particulier par la cellule PMO ou « bureau de projet ».
1.4.7 Correspondants Locaux de la Qualité Les éventuels Correspondants Locaux Qualité sont garants du fonctionnement de la démarche d’amélioration permanente sur le périmètre qui leur est alloué. Ce rôle sera mis en œuvre dans les cas de sous-traitance ou d’équipe déportée.
1.4.8 Responsables de processus Tous les responsables de processus doivent veiller à ce que les dispositions énoncées dans ce document soient appliquées. Outre les missions inhérentes à leur poste, s’ils sont désignés pour assurer la mission d’un Responsable de processus, ils veilleront à :
Établir et communiquer les objectifs de performance du processus, en concertation avec les Directeurs contributeurs le cas échéant, Garantir la maîtrise des éléments suivants : o Gestion des Risques, o Sécurité et de sûreté o Impacts environnementaux liés aux activités du processus, o Engagements délivrés par le processus, o Contrôles internes financiers associés aux activités du processus, o interfaces avec les autres processus. Mesurer la performance du processus, Décider et s’assurer de la mise en œuvre des actions d’amélioration de la performance, Rendre compte de la performance du processus, Animer le réseau des Responsables de processus au niveau local.
1.4.9 Responsables Locaux de Processus La mission de responsable local de processus est confiée à un manager local qui rend compte au responsable de processus. Il a comme responsabilités de :
piloter opérationnellement le processus, mesurer la performance du processus, alimenter la Revue de Processus globale.
1.4.10 Personnel & Intervenants du projet Tous les intervenants sur le projet ont pour responsabilité de prendre connaissance et d’appliquer dans le cadre de leur activité les dispositions énoncées dans ce document, ainsi que les règles édictées pour leur périmètre ou leurs activités. Ils sont acteurs des processus et connaissent leur contributions à la politique de management et aux objectifs du projet ; ils contribuent à l’amélioration permanente :
ils signalent les voies de progrès (non conformité ou suggestion d’amélioration), ils sont le garant de la confidentialité des données Client (ils signent un engagement de confidentialité), Ils connaissent les impacts environnementaux de leurs activités et s’appliquent à les minimiser d’eux-mêmes et en suivant la politique environnementale du projet.
Plan d’Assurance Qualité
Page 9
2
Description du contexte de la prestation dans le cadre du projet
Présenter le contexte du projet et de la prestation de manière détaillée.
Plan d’Assurance Qualité
Page 10
3
Exigences du Client – Engagements du titulaire
3.1
Objectifs Qualité
Les objectifs dits Qualité sont déclinés de la politique de management édictée en Revue de Direction. Les responsables de processus traduisent la politique en objectifs de performance et en plans d’amélioration et les officialisent au sein de leur processus au cours d’une Revue de Processus (RdP). Le cas échéant, ces objectifs et les plans sont déclinés sur les processus locaux.
Figure 1 : Déclinaison de la Politique de Management en Objectifs Qualité
La politique de management définie pour répondre aux enjeux du client est conduite selon trois axes majeurs :
Objectif de qualité des produits : il faut assurer une qualité des produits et des services conforme aux attendus dans le respect des coûts et délais ;
Objectif de satisfaction du client : il faut rendre les services attendus dans les meilleures conditions, tant en niveau et qualité de service, en gestion des risques et application du juste niveau de sécurité ;
Objectif sur le Système de Management de la Qualité et de la Sécurité : il faut veiller à l'efficience de l’ensemble des processus de l’organisation, ainsi qu'à leur amélioration continue.
La démarche qualité mise en œuvre pour répondre à cette politique de management est définie et pilotée par le client, s’inscrit et s’engage pleinement dans cette démarche au travers des dispositions et moyens mis en œuvre dans ce Plan d’Assurance Qualité.
3.2
Indicateurs Qualité
Les indicateurs Qualité seront groupés en plusieurs ensembles aptes à répondre aux différents niveaux de pilotage de la prestation. Seront ainsi distingués les indicateurs de :
pilotage du la prestation, fonctionnement et qualité des services du fournis, conformité aux référentiels, activités, performance et efficacité/productivité des processus.
3.2.1 Définitions des indicateurs Un indicateur Qualité prend sens uniquement quand il est corrélé à un processus ou un référentiel de rattachement. Plan d’Assurance Qualité
Page 11
Le Directeur du projet et chaque responsable de processus identifieront les indicateurs propres à les aider à assurer :
le pilotage de son activité, le respect des référentiels s’y appliquant, la performance opérationnelle et la productivité du processus, l’analyse du fonctionnement et de l’efficacité.
A l’exception des indicateurs contractuels ou exigés par les comités de surveillance et de suivi, le Directeur du Projet, les responsables de processus et le Correspondant Qualité pourront décider de :
choisir et mettre en œuvre de nouveaux indicateurs, réviser les indicateurs existants, évincer les indicateurs existants jugés inefficaces.
Chaque indicateur sera identifié par une fiche de définition d’indicateur, dont un exemple est fourni ci-dessous. Sigle Initiale ou Abréviation de l’indicateur Dénomination Nom de l’indicateur (sert pour construire le sigle) Processus Processus auquel l’indicateur est rattaché (si c’est un indicateur de référentiel il est rattaché à un processus de management de la Qualité) Leader de processus Nom du responsable du processus Type Type de l’indicateur : Activité, Contrôle/Qualité/Satisfaction, Performance, Analyse Nature Qualité de service Engagement ISO 9001, ISO 17025… Finalité Texte expliquant la finalité de l’indicateur (à quoi sert la mesure de l’indicateur) Définition Texte expliquant ce que mesure l’indicateur Reporting Document dans lequel l’indicateur est disponible (ex: Tableau de Bord du processus ou du SMQ) Fréquence Fréquence d’extraction et de parution de l’indicateur validé le Date de validation de l’indicateur et de sa mise en œuvre Formule Formule mathématique permettant de calculer l’indicateur Unité Format numérique de l’indicateur (unité, pourcentage, nombre de zéro après la virgule) Explication Texte expliquant comment interpréter les valeurs de l’indicateur Modalités d'extraction Provenance des données permettant de calculer l’indicateur Préciser si le calcul est manuel ou automatique (préciser l’application ou la base de données donnant le chiffres) Responsable de la Responsable(s) de la fourniture des données et du calcul de l’indicateur fourniture des données Figure 2 : Fiche de Définition d'Indicateur (FIDI)
L’objectif et le seuil d’alerte des indicateurs sera définis et validés en instance de direction du projet (voir 7.2.3 en page 33) ; ils sont portés sur les tableaux de bord de rattachement. préconise une périodicité bimensuelle des collectes de données du moins, lors des douze premiers mois de prestation. Les indicateurs en mode récurrent (mode run) seront soumis au client pour validation dans la PAQ v1.
3.2.2 Liste des indicateurs de niveau direction en phase Build Des indicateurs de niveaux Projet et Direction seront suivis afin de s’assurer du bon déroulement des activités selon les processus retenus et validés par le client se dotant ainsi d’outils viables de management de programme. Lors de la phase de préparation du projet, il conviendra d’analyser les règles de fonctionnement de ces indicateurs en termes : D’objectif des mesures,
Plan d’Assurance Qualité
Page 12
D’origine des données, De processus de collecte des données, De stockage, D’analyse, De seuil d’alerte, D’instance décisionnelle apte à prendre les mesures correctives.
La liste des indicateurs suivis est la suivante : Valeur métier, Qualité des processus, Qualité des livrables, Stabilité des exigences, Délais, Budget, Risques, Compétences. Ces indicateurs sont intégrés dans une feuille de calcul pour en faciliter la synthèse. 3.2.2.1.1
Valeur métier
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de réalisation des fonctionnalités apportant la plus grande valeur ajoutée métier. Le fait de positionner ces fonctionnalités en début de projet permet de : tester les modules du cœur de métier au plus vite, le coût de la correction d’anomalies évoluant de façon exponentielle au fil du temps, apporter de la valeur au métier dans les plus brefs délais, proposer un socle stable pour les autres itérations. Ces fonctionnalités à forte valeur métier auront été priorisées par le client. 3.2.2.1.2
Conformité & Performance des processus
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de respect des normes et bonnes pratiques des référentiels du projet. Les non-conformités seront identifiées et feront l’objet d’un suivi jusqu’à leur correction, diffusion et clôture. 3.2.2.1.3
Qualité des livrables
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de respect de l’adéquation des livrables documentaires et techniques versus exigences. Toute dérive est ainsi identifiée au plus tôt pour mise en œuvre d’actions correctives. La qualité est assujettie à : L’adéquation des livrables des différentes prestations versus les exigences, La conformité des livrables techniques lors des phases de recettes en termes d’anomalies catégorisées par degrés de sévérité, La conformité des modules mis en production en termes d’anomalies catégorisées par degrés de sévérité. Les non-conformités seront identifiées et feront l’objet d’un suivi jusqu’à leur correction, diffusion et clôture. 3.2.2.1.4
Stabilité des exigences
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de stabilité des exigences dans les itérations. Tout changement fonctionnel ou technique significatif devra faire l’objet d’une étude d’impacts. La maitrise des exigences participera à la garantie du respect des trois axes principaux de pilotage : Plan d’Assurance Qualité
Page 13
Délais Coût Qualité
3.2.2.1.5
Délais
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de suivi du planning. Il assure que les temps de conception, de réalisation, de recette et de diffusion soient cohérents avec les engagements pris. Les activités réalisées sont tenues à jour quotidiennement via la saisie des comptes-rendus d’activités par l’ensemble des parties prenantes du projet. Le Directeur de projet tient à jour, avec l’aide du PMO, l’état d’avancement du projet en intégrant la mise à jour périodique des restes à faire permettant la validation ou non de la date estimée de livraison. 3.2.2.1.6
Budget
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de coûts. Tout écart par rapport au budget initial sera alors identifié au plus tôt permettant les réajustements jugés nécessaires. Ce suivi de postes budgétaires intègre les coûts de réalisations, de frais de déplacements si nécessaires et des coûts annexes. Ces paramètres sont revus périodiquement lors des Comités de projet en fonction des activités réalisées et des restes à faire pouvant modifier le coût ré-estimé du projet. Sur cette base, le Directeur de projet donnera une visibilité totale sur le coût prévisionnel du projet à sa hiérarchie qui alertera sur l’apparition d’éventuels écarts. 3.2.2.1.7
Risques
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de risques et actions mises en œuvre pour annuler ces risques ou les rendre acceptables. 3.2.2.1.8
Compétences
L’objectif de cet indicateur est de donner de la visibilité au Management du client en matière de compétences de chacun des intervenants du programme sur un ensemble d’axes qui pourront être validés et/ou proposés par le client.
3.2.3 Analyse des indicateurs Nom de l’indicateur Valeur métier Conformité & Performance des processus Qualité livrables Stabilité des exigences Délais Budget Risques Compétences
3.3
Objectif Suivi de l’implémentation des exigences à forte valeur métier priorisées par le client
Exemple de seuil d’alerte Nombre d’exigences en retard < 5%
Suivi des non-conformités liées au non respect des processus qualité
Nombre de non-conformités < 10
Suivi des anomalies constatées
Aucune anomalie bloquante ou grave
Suivi de la stabilité des exigences limitant ainsi les impacts
Ratio d’évolution des exigences < 5%
Suivi des délais de livraison selon planning initial Suivi du budget Suivi en continu des risques du projet à des fins de mise en œuvre de mesures préventives Suivi des compétences déployées par la Direction projet versus compétences requises pour le projet.
Décalage d’une semaine Dépassement budgétaire < + 10 % Aucun risque sévère A définir lors de la phase de lancement du projet
Tableaux de bord
propose l’implémentation d’un tableau de bord issu des indicateurs retenus. Plan d’Assurance Qualité
Page 14
L’ensemble des indicateurs proposé ainsi que leur formalisation via le tableau de bord ci-dessous proposée restent sujet à validation par le client et doivent s’inscrire dans la politique Assurance Qualité déployée. L’ensemble de ces indicateurs a été pensé en fonction des processus de management de projet. Les chefs de projets se verront assistés par la cellule Bureau de Management de Projets et la cellule Assurance Qualité qui mettront à leur disposition les outils et processus nécessaires. Lors des Comités de suivi d’activités que les chefs de projets mettront en œuvre avec leur équipe, les données à la base des indicateurs seront collectées et formalisées dans l’outil cible. Une tendance périodique sera déduite afin de contrôler les points sur lesquels il conviendra d’agir en préventif. Lors des Comités de suivi, les chefs de projets feront remonter ces données auprès du Directeur de projet qui procèdera à leur agrégation dans le cadre des Comités de niveau supérieur.
Plan d’Assurance Qualité
Page 15
L’outil de tableau de bord se décompose en un ensemble d’onglets du tableur pour chacun des indicateurs reliés dynamiquement à une vision globale et synthétique.
Figure 3 : Illustration du Tableau de Bord
Plan d’Assurance Qualité
Page 16
4
Élaboration, évolutions et dérogations au plan d’Assurance Qualité
4.1
Élaboration, validation et diffusion du PAQ
Figure 4 : Élaboration, Évolutions & Validation du PAQ
4.1.1 Élaboration & Validation du PAQ Ce document est sous la responsabilité du Correspondant Qualité qui le diffuse pour validation au client. Celui-ci dispose alors d’un délai de quinze jours ouvrés pour émettre ses remarques ou demandes de modifications. A réception des remarques et demandes de modification, le correspondant Qualité a un délai de cinq jours ouvrés pour :
Prendre en compte les remarques et demandes de modifications, Justifier de leur non prise en compte.
Les points non résolus ou non justifiés sous cinq jours ouvrés sont soumis au Comité de Pilotage pour décision. La validation formelle du PAQ par le client est requise. Une fois validé, le PAQ est applicable et diffusé à tous les acteurs du projet.
4.2
Évolution du PAQ
Le PAQ est un document vivant qui décrit les méthodes de travail utilisées sur le projet et la prestation. Ainsi, il est susceptible d’évoluer en vue de simplifier des processus décrits ou de le compléter par des processus qui feraient défaut, en particulier pour les raisons suivantes :
certaines informations ne sont pas connues ou ne sont pas suffisamment stabilisées au moment de sa rédaction (mention « complété ultérieurement », et l’action correspondante est tracée dans le Relevé d’Informations / Décisions / Actions (RIDA) il s’agit d’une phase qui est engagée ultérieurement (mention « Rédaction réservée ») des événements techniques ou organisationnels survenant lors du déroulement du projet. o évolution, modification d’organisation, o évolutions de ou du Client, o mise en place de nouvelles directives ou procédures,
Plan d’Assurance Qualité
Page 17
o o o
modification de directives ou procédures existantes, évolutions du contenu fonctionnel et/ou technique, évolutions des documents applicables ou des documents de référence.
Le PAQ est susceptible d’évoluer suite à sa revue en fin de phase projet ou du fait d’évènements structurants. On entend par évolution du PAQ toute modification de procédure ou de document type faisant partie intégrante du PAQ. Toutefois, lorsqu’une évolution concerne un des documents type du PAQ, seul ce document évolue en version / révision. Tout acteur du projet peut formuler une demande d’évolution du PAQ à l’aide de la fiche de demande de changement (FDC) qui est soumise à l’avis du Correspondant Qualité. Celui-ci soumet la demande au comité de pilotage pour décision. La procédure régissant les évolutions du PAQ est identique à celle décrite au chapitre 9 Maîtrise documentaire.
4.3
Diffusion du PAQ
L’application des règles de diffusion est sous la responsabilité du Correspondant Qualité. Il veillera particulièrement à suivre les principes suivants.
le PAQ est diffusable dès lors qu’il est validé par le client ; le document papier comportant les visas fait foi ; une version magnétique scannée est diffusée par le Correspondant Qualité qui est garant de la version mise à disposition ; il est stocké sur la base de gestion documentaire intranet ; La diffusion partielle du document (extrait du document) n’est pas autorisée ; Les anciennes versions sont archivées et retirées de la circulation.
Le Correspondant Qualité organisera la présentation des dispositions du PAQ à l’ensemble des équipes du projet. Il diffusera le PAQ selon les modalités de la procédure de « Maîtrise documentaire » (voir 9 Maîtrise documentaire en page 61).
4.4
Dérogation au PAQ
4.4.1 Non-application du PAQ La non-application de dispositions du PAQ est justifiée par une dérogation. La non-application de dispositions du PAQ non justifiée par une dérogation constitue un écart. Tout écart est notifié à l’instance concernée selon la gravité de l’écart et fera l’objet d’un point particulier dans le compte-rendu d’instance, puis suivi en actions consignées dans le Relevé d’Informations / Décisions / Actions (RIDA). Les dispositions sont alors prises par le Correspondant Qualité pour :
faire respecter les procédures, mener les actions correctives nécessaires pour lever l’écart, faire évoluer le PAQ, établir ou faire établir une demande de dérogation.
4.4.2 Demande de dérogation En cas de demande de dérogation au PAQ par l’un des responsables de processus, le Correspondant Qualité enregistre et étudie la justification à cette dérogation. Si la demande correspond à un cas de dérogation standard, entrant dans le périmètre de responsabilité du Correspondant Qualité, celui-ci autorise ou refuse la dérogation. Dans le cas où la demande excède cette responsabilité, le Correspondant Qualité soumet la demande de dérogation au Comité de Pilotage pour décision.
Plan d’Assurance Qualité
Page 18
Figure 5 : Procédure de Dérogation au PAQ
Dans tous les cas, la demande et la décision sont notifiées au demandeur après enregistrement de la décision. La durée de la dérogation autorisée sera précisée systématiquement. Une dérogation n’est jamais permanente. La liste des dérogations standards sous la responsabilité du Correspondant Qualité seront définies, puis soumises à validation au le Comité de Pilotage. Cette liste pourra être actualisée à chaque sollicitation du Comité de Pilotage.
4.4.3 Demande de dérogation Sécurité des SI (SSI) La demande de dérogation de Sécurité SI a un caractère exceptionnel et ponctuel ; elle est revue à la date de fin de dérogation et au minimum tous les ans. La dérogation SSI peut concerner :
le non respect d'une ou plusieurs dispositions définies et validées dans la Politique Sécurité de , une demande de livraison d'un produit non conforme (exemple : livraison d'un lot de logiciels contenant des anomalies identifiées mais non clôturées).
La demande de dérogation s’appuie sur la base documentaire suivante : Référence ISO CASSIS PSSI
Titre / Lien ISO 27001 / ISO 27799 Chartes sécurité de l’information et Manuel de Sécurité Politique de Sécurité du Système d’Information
La demande de dérogation SSI suivra la procédure de dérogation standard au PAQ, définie dans le présent chapitre en incluant le comité de gestion des risques SSI pour évaluation et acceptation ou non de la dérogation.
Plan d’Assurance Qualité
Page 19
5
Documentation
L’ensemble de la documentation décrite ci-dessous constitue ce qui est nommé par la suite sous le terme de «Référentiels».
5.1
Documents contractuels
Document contractuels dans sont dans l’ordre décroissant de priorité N° Date Documents contractuels ### Jj/mm/aaaa Cahier des charges
5.2
Référence xxxxxx
Corpus légal, normes et standards
Ce chapitre présente l’ensemble des corpus s’appliquant au projet et à la gestion des services relatifs à la prestation. Il liste les textes de loi, décrets, arrêtés, référentiels de normes, de standards et autres documents de référence.
5.2.1 Corpus normatif, législatif & juridique L’application de ces textes se fera selon l’ordre habituel d’applicabilité des textes légaux. Identifiant CNIL
Textes Loi dite « Informatique & Liberté » du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
5.2.2 Normes & Standards Les listes suivantes identifient les normes et les référentiels s’appliquant au développement et à la fourniture de la prestation.
5.2.2.1 Normes Identifiant ISO 13407
ISO 16982 ISO 20000 ISO 27001 ISO 9001 ISO 9126
Textes Norme sur les Processus de conception centrée sur l’opérateur humain pour les systèmes interactifs : notamment dans les § 7.4, 7.5 et l’annexe B (exemple de structure d’un rapport d’évaluation relatif à l’utilisabilité) pour : Les inspections ergonomiques (ou évaluations d’experts) ISO 16982 : 2002, norme relative à l’Ergonomie de l'interaction homme-système - Méthodes d'utilisabilité pour la conception centrée sur l'opérateur humain Norme relative aux technologies de l'information — Gestion des services Ensemble du corpus des ISO/CEI 27001, 27002, version 2005 relatif à la Sécurité des Systèmes d’information Ensemble du corpus des normes relatives à un système de management de la Qualité de ISO 9000 à 9004, version 2000 ou version 2008 Définit les exigences qualité d’un logiciel (Génie du logiciel -- Qualité des produits -- Partie 1: Modèle de qualité)
Plan d’Assurance Qualité
Page 20
Identifiant NF X 50-164 IHE XDS HL7 H PRIM DICOM CDA ISO 27799 ISO 19011 ISO 10006
Textes NF X 50-164 (juin 1990) - Guide pour l´établissement d´un plan d´assurance qualité Partage de documents entre acteurs de santé (XDS)- Cross Entreprise Document Sharing Norme de message entre systèmes d’information de santé Norme de transmission des examens de biologie (Harmoniser et PRomouvoir l'Informatique Médicale) Norme d’enregistrement des images médicales sur support numérique (Digital Imaging and Communications in Medicine) Définition de l’Architecture de documents cliniques (Clinical Document Architecture) de la norme HL7 fournit des lignes directrices permettant d'interpréter et de mettre en œuvre l'ISO/CEI 270022) dans le domaine de l'informatique de santé et constitue un complément à cette dernière ISO 19011 :2002 - Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental ISO 10006 :2003 - Systèmes de management de la qualité -- Lignes directrices pour le management de la qualité dans les projets.
5.2.2.2 Standards & Référentiels publics Identifiant ITIL CMM-I COBIT EBIOS
5.3
Textes Référentiel de bonnes pratiques en gestion des services Modèle de mesure et d’amélioration de processus qui fournit un ensemble de meilleures pratiques dans le cadre de projets de développement de produits ou services COBIT 4.1 : Objectifs de contrôle de l'Information et des technologies associées. Référentiel de gouvernance des technologies de l’information. Méthode dite d’« expression des besoins et identification des objectifs de sécurité », qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information.
Documents qualité applicables
Ce paragraphe liste les référentiels et les documents fondateurs de démarches standardisées, qui seront appliqués au développement et à la fourniture de la prestation. Identifiant CgMM POLQUA DOCQUA
RISK PCA
Textes Modèle de Maturité Politique de Qualité du client Documentation du système de management de la Qualité du client : - Politique Qualité, exprimant la volonté de la Direction, - Manuel de Management de la Qualité Les autres éléments exigées par ISO 9001 :2008 et définis pour le client sont amendés par le présent document. Matrice des risques, présentant l’ensemble des risques identifiés sur la prestation Plan de continuité d’activité
Plan d’Assurance Qualité
Origine Client Client
Page 21
6
Terminologie, glossaire, abréviations et sigles employés
Cette partie sera complétée dans la PAQ version 1
6.1
Définitions
Maître d'œuvre (MOE) Maître d'Ouvrage (MOA) MOA Mode opératoire MOE Procédure
Processus
Référentiel
6.2
Personne ou entreprise qui est chargée de réaliser un ouvrage ou des travaux pour le compte du Maître d’Ouvrage, ou d’en diriger la réalisation. Personne (morale) pour le compte de laquelle l’ouvrage (la prestation) est réalisé. Voir maître d’ouvrage Document illustré et détaillé décrivant les actions nécessaires à l'obtention d'un résultat, ainsi que le déroulement des opérations à effectuer. Voir maître d’œuvre Ensemble formalisé d'étapes à appliquer pour réaliser une activité ou un processus. Façon de procéder, clairement définie (rôles et responsabilités), pour exécuter un ensemble d’actions aboutissant à un résultat (service ou produit). Les procédures sont multi acteurs et se situent à un niveau de détail plus fin que les processus. Ensemble des ressources et des activités liés qui transforment des éléments entrants en éléments sortant. Toute tâche, toute activité qui génère un produit ou un service constitue un processus, ou un enchaînement de processus Ensemble partagé et généralement structuré d’informations : lexique, risques, compétences (requises par les tâches / acquises par le personnel), environnement légal, référentiels métier (vues processus et organisation), référentiels techniques (systèmes d’information et outils informatiques le plus souvent)
Acronymes
Acronyme ALD ANAP ARS ASIP BAM CCAP CCTP CDA CDC CNAMTS CNAV CNDA CNIE CNIL CPS CRH CSP CSS DAAT DAF DCC DCSSI DGME DICA
Définition Affection de longue durée Agence nationale d’appui à la performance des établissements de santé et médico-sociaux Agence régionale de santé Agence des systèmes d’information partagés de santé Bénéficiaire de l’assurance maladie Cahier des clauses administratives particulières Cahier des clauses techniques particulières Clinical document architecture Cahier Des Charges Caisse nationale d’assurance maladie des travailleurs salariés Caisse nationale d’assurance vieillesse Centre national de dépôt et d’agrément Carte nationale d’identité électronique Commission nationale informatique et libertés Carte de professionnel de santé Compte-rendu d’hospitalisation Code de la santé publique Code de la sécurité sociale Dossier d’Architecture Applicative et Technique Dossier d’Architecture Fonctionnelle Dossier communicant de cancérologie Direction centrale de la sécurité des systèmes d’information Direction générale de la modernisation de l’état Disponibilité, intégrité, confidentialité, auditabilité
Plan d’Assurance Qualité
Domaine Santé-Social Santé-Social Santé-Social Santé-Social Santé-Social Qualité & Projet Qualité & Projet Santé-Social Santé-Social Santé-Social Santé-Social Légal Santé-Social Santé-Social Légal Légal TIC TIC Santé-Social Qualité & Projet Page 22
DIE DII DIM DMP DOM DP DRASS DRESS DS EBIOS
ENRS ES FDC FISS FSE GIE GIP GMSIH HAD HL7 HR IHE INS LABM LGC LGO LPS MCO MT OTP PACS PAQ PGC PMP PMSI PMSI PNSS PR PS PSSI RIS RNIAM RPPS RSSI SAMU SFD
Dossier d’Interface par interface Externe Dossier d’Interface par interface Interne Département d’information médicale Dossier médical personnel Département d’outre-mer Dossier pharmaceutique Direction régionale des affaires sanitaires et sociales Direction de la recherche, des études, de l'évaluation et des statistiques Dossier Sécurité SI (analyse des risques, choix de solution, risques non couverts) Méthode dite d’« expression des besoins et identification des objectifs de sécurité (EBIOS) », qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information Espace numérique régional de santé Etablissement de santé : terme recouvrant les établissements de soins publics et privés, incluant les plateaux techniques en ville et en hôpital Fiche de demande de changement Fournitures d’infrastructure santé sociale Feuille de soins électronique Groupement d’intérêt économique Groupement d’intérêt public Groupement pour la modernisation du système d’information hospitalier Hospitalisation à domicile Health Level 7 Historique de remboursement Integrating the healthcare enterprise Identifiant national de santé Laboratoire d’analyses de biologie médicale Logiciel de gestion de cabinet Logiciel de gestion d’officine Logiciel des professionnels de santé. Recouvre les logiciels de gestion de cabinet (LGC), les logiciels de gestion d’officine (LGO), les systèmes d’information hospitaliers (SIH). Médecine, chirurgie, obstétrique Médecin traitant One time password Picture archiving and communicating system Plan d’Assurance Qualité Plan de Gestion des Configurations Plan de management de projet Programme de médicalisation des systèmes d’information Plan de Management de la Sécurité Portail national des systèmes de santé Plan de réversibilité Professionnel de santé Politique de sécurité des systèmes d’informations Radiology information system Répertoire national interrégimes des bénéficiaires de l’assurance maladie Répertoire partagé des professionnels de santé Responsable de la sécurité des systèmes d’information Service d'aide médicale urgente Spécifications Fonctionnelles Détaillées
Plan d’Assurance Qualité
TIC TIC Santé-Social Santé-Social Santé-Social Santé-Social TIC TIC
Santé-Social Santé-Social Qualité & Projet Santé-Social Santé-Social Santé-Social Santé-Social Santé-Social Norme Santé-Social Norme Santé-Social Santé-Social Santé-Social Santé-Social Santé-Social Santé-Social Santé-Social TIC TIC Qualité & Projet Qualité & Projet Qualité & Projet Santé-Social Qualité & Projet Santé-Social Qualité & Projet Santé-Social Qualité & Projet Santé-Social Santé-Social Santé-Social Rôle Santé-Social Qualité & Projet Page 23
SFG SGL SIH SLD SMUR SOAP SSI SSL SSR ST STD TIC TLS VABF VIHF VSR XDS
Spécifications Fonctionnelles Générales Système de gestion de laboratoire Système d’information hospitalier Soins de longue durée Service mobile d'urgence et de réanimation Simple object access protocol Sécurité des systèmes d’information Secure sockets layer Soins de suite et de réadaptation Stratégie de Tests Spécifications Techniques Détaillées Technologies de l’information et de la communication Transport layer security Vérification d’aptitude au bon fonctionnement Vecteur d’Identification et d'Habilitation Formel Vérification de service régulier Cross enterprise document sharing
Plan d’Assurance Qualité
Qualité & Projet Santé-Social Santé-Social Santé-Social Santé-Social TIC TIC TIC Santé-Social Qualité & Projet Qualité & Projet TIC TIC Qualité & Projet Qualité & Projet Qualité & Projet TIC
Page 24
7
Organisation spécifique mise en place dans le cadre de la prestation
7.1
Périmètre d’action
Le PAQ couvre l’ensemble des activités et des prestations réalisées dans le cadre de la prestation.
7.2
Comitologie
Ce paragraphe présente l’ensemble des organes et des comités nécessaires à la Gouvernance du Projet et du Système de Management de Qualité du projet. Ces comités s’organisent en trois domaines :
Comités de Surveillance et de suivi du projet, permettant l’interface avec la maîtrise d’ouvrage, Comités de Direction du projet, gérant l’organisation et la performance du système de management et des processus mis en œuvre, Comités de Pilotage opérationnel de la prestation, gérant la réalisation et les activités des processus.
Tous les comités opérationnels pour coordonner les activités et les chantiers opérationnels ne sont pas décrits ici. Ils seront mis en place de façon opportuniste selon le déroulement et les besoins en accord avec le client.
Figure 6 : Comitologie
Pour chaque comité, sont décrits les éléments suivants :
Nom et surnom de l’instance, Fréquence a minima de l’instance, Organes et instances servant d’escalade aux arbitrages de l’instance, responsabilité et objectifs de l’instance, intrants, extrants et ordre du jour standard de l’instance, Présidence de l’instance,
Plan d’Assurance Qualité
Page 25
Instance d’escalade, habilité à transiger sur les divergences de l’instance, Participants formant le socle permanent de l’instance, auxquels peuvent être ajoutés des participants occasionnels, Règles spécifiques à l’instance Commentaires sur les ajustements de l’instance au cours du cycle de vie du projet.
7.2.1 Règles de fonctionnement Le tableau ci-dessous présente les règles de fonctionnement communes à toutes les instances. Les éléments présents dans la description de chaque instance sont mentionnés pour remettre l’accent sur un élément ou pour informer d’un élément spécifique. Calendrier Les instances de surveillance seront programmées six (6) mois à l’avance. Ce calendrier sera ajusté à chaque tenue de l’instance. Convocation Voir 7.2.5.2 Escalade urgente en page 41 exceptionnelle Participants En sus des participants mentionnés, d’autres parties prenantes précisées dans le PAQ peuvent intervenir dans les instances. Intrants Les comptes rendus des instances précédents, le plan d’actions mis à jour et le registre des décisions et des dérogations sont les intrants standards à toutes les instances. Extrants Le compte rendu de la séance, le plan d’actions et le registre des décisions et des dérogations mis à jour avec les décisions de l’instance sont des extrants standards à toutes les instances. Attribution d’actions Aucune action ne pourra être attribuée à une personne qui n’a pas été invitée ou qui n’est pas représentée à une instance. Rédaction & Le compte-rendu sera rédigé par le responsable de l’instance dans les trois jours ouvrés suivant Validation du CR le comité. Il sera soumis au client et validé sous cinq jours ouvrés. Aucune validation implicite n’est possible. Diffusion du CR La diffusion des comptes rendus et des annexes visera les participants, les membres de l’instance d’escalade et toutes les personnes concernés par un sujet abordé lors de l’instance.
7.2.2 Comitologie de Surveillance & de Suivi – Interface Client –Fournisseur de services 7.2.2.1 Comité de Surveillance
Comité de Surveillance - COSUR Responsabilité
Trimestriel
Prendre toute décision relative entre autres à la nécessité de passer un avenant ou au remplacement du Directeur du projet.
Décider des solutions aux litiges et aux divergences d’interprétation de la prestation qui n’ont pas été réglés par le Comité de pilotage.
Prononcer les arbitrages ou l’identification de solutions en cas de difficultés majeures dans l’exécution de la prestation (orientations techniques de fond, interprétations conflictuelles…)
Présidence
Participants
Direction projet du client ou son représentant
Client - Membre de la direction projet client. - Un représentant de la Direction du projet.
Ordre du Jour Standard
Selon les points remontés par le Comité de Pilotage
Plan d’Assurance Qualité
Page 26
Comité de Surveillance - COSUR Intrants -
Trimestriel Extrants
Comptes-rendus de Comités de Pilotage
-
Règles
-
Instance d’escalade
Non applicable
Compte rendu, notamment pour les arbitrages et leur motivation et pour l’explicitation des exigences. Plan d’actions Registre de décisions et de dérogation
L’ordre du jour sera rédigé et diffusé par la Direction du projet cinq jours avant la tenue du comité.
Plan d’Assurance Qualité
Page 27
7.2.2.2 Comité de Pilotage
Comité de Pilotage - COPIL Responsabilité
Mensuel
Prendre toute décision en rapport avec les points permettant de :
échanger les informations nécessaires au bon déroulement de la prestation définir les critères d’avancement des travaux au regard de chacune des fournitures ainsi que les justifications associées, en vue de permettre de constituer les rapports d’avancement vérifier le contenu des rapports d’avancement présenté, au regard des pièces justificatives produites émettre un avis sur l’état d’avancement visé dans le rapport d’avancement et la valorisation des travaux associés s’assurer du respect du calendrier global du projet et des niveaux d’engagement de résultat demander des expertises ou missions particulières au responsable de la prestation décider du degré de confidentialité applicable aux documents dont le caractère confidentiel n’a pas été défini par ailleurs suivre, coordonner et contrôler l’exécution des prestations gérer les risques liés au pilotage de la prestation (hors risques SSI) vérifier la cohérence des tâches et synchroniser les opérations nécessaires à l’exécution des prestations sur la base des délais impératifs du client et des délais fixés dans la proposition technique et méthodologique examiner l’adéquation des moyens aux besoins : moyens humains et logistiques affectés au projet examiner l’opportunité de recourir à d’autres prestations alternative valider les tableaux de bord proposés par le comité de suivi et de procéder aux arbitrages éventuellement remontés par ce dernier s’assurer de la mise en œuvre continue des dispositions fixées au Plan Assurance Qualité vérifier la mise en œuvre des processus de gestion de projet et des indicateurs de pilotage définis en début de projet s’assurer que les actions d’amélioration proposées par le Comité de suivi sont effectuées conformément aux engagements pris lors du dit comité convenir des sujets à porter au niveau du Comité de surveillance convenir des sujets et alertes à porter au niveau du Comité de gestion des risques SSI assurer le suivi contractuel du déroulement de la prestation (émission des ordres de service, des bons de commande, des PV de réception, …) apporter une solution de premier niveau aux litiges et aux divergences d’interprétation de la prestation avant de les remonter, si nécessaire, au Comité de surveillance acter la mise en œuvre des pénalités coordonner la mise en œuvre des avenants dans le cadre du Comité de surveillance décider des mises à jour et dérogations au plan d’assurance qualité
Valider les étapes et les documents suivants :
Liste des dérogations standards
les montées de version, leurs périmètres, les conditions de leurs VABF et VSR dans les limites fixées au cahier des charges
les commandes d’unités d’œuvres définies à la grille de prix
Présidence
Participants
Direction projet du client ou son représentant
Client - Membre de la direction projet client. - Un représentant de la Direction du projet.
Plan d’Assurance Qualité
Page 28
Comité de Pilotage - COPIL Ordre du Jour Standard
A compléter
Intrants -
Extrants
Rapport d’avancement de la prestation
Règles
Instance d’escalade
Mensuel
-
-
Décision de priorisation Plan d’actions pour pallier à des écarts entre l’avancement et les engagements
Le premier comité tiendra séance deux semaines après le début de la prestation Le rapport d’avancement de la prestation sera rédigé et diffusé deux jours ouvrés avant la tenue du Comité
Comité de Surveillance
Plan d’Assurance Qualité
Page 29
7.2.2.3 Comité de Suivi
Comité de Suivi - COSUIVI Responsabilité
bimensuel
Prendre toute décision en rapport avec les points permettant de :
assurer le suivi d’activité du projet : o Suivi des différents calendriers o Suivi des plans d’actions o Suivi des livrables o Compte-rendu des travaux proposer les tableaux de bord et outils nécessaires au suivi d’activité du projet ; mettre en place et assurer l’utilisation continue et l’évolution de ces outils suivre la production des tableaux de bord expliquer les tendances et les écarts constatés pour chaque tableau de bord et proposer des actions d’amélioration suivre les travaux de conception, de développement, de maintenance, de validation et d'intégration planifier les mises en production suivre les incidents, mesurer l’impact sur les niveaux de service identifier les actions prises ou à prendre pour pallier ou corriger définitivement l’incident mettre en place et maintenir en condition opérationnelle le processus d’escalade et vérifier sa bonne application convenir des sujets et alertes à porter au niveau du Comité de pilotage convenir des sujets et alertes à porter au niveau du Comité de gestion des risques SSI définir le contenu détaillé des livrables attendus au titre de la prestation et d’organiser la validation définir le contenu, planifier et suivre les audits que le client est susceptible de commanditer sur toute la durée d’exécution de la prestation. Les tests d’intrusion et de robustesse des mesures de sécurité sont suivis via le comité de gestion des risques SSI.
Décider de la création de comités ad hoc dédiés à des sujets particuliers, par exemple (liste non exhaustive) :
Un comité de validation en charge de la préparation et du suivi des campagnes de VABF Un comité « Exploitation/supervision », à compter de la mise en exploitation des sous-systèmes, pour procéder à des revues régulières des niveaux de services, des incidents survenus, … Un comité « Planification », afin de préparer les évolutions fonctionnelles et leur mise en œuvre Un comité « Communication » Un comité « Gestion de crise » (réuni sur demande du client ou de , selon les besoins) Un comité « Support » pour effectuer des revues régulières du niveau de réactivité du support et, le cas échéant, des mesures de la satisfaction des utilisateurs.
Présidence
Participants
Direction projet du client ou son représentant
Client - RSSI - Directeur du projet - Chefs de projets concernés par les travaux en cours
Ordre du Jour Standard
points portés en escalade ou pour information marquante durant le Comité de Gestion des Risques SSI
Intrants -
compte rendu de Comité de Gestion des Risques SSI
Plan d’Assurance Qualité
Extrants -
A définir
Page 30
Comité de Suivi - COSUIVI
bimensuel
Commentaires
-
Afin de mener à bien les missions de tests d’intégration, le chef de projet « Tests Intégration » sera amené à coordonner ses activités via les informations issues du présent comité.
Instance d’escalade
Comité de pilotage / Comité de gestion des risques SSI (selon l’alerte)
7.2.2.4 Comité de Gestion des Risques SSI
Comité de Gestion des Risques SSI - CORISQ Responsabilité
bimensuel
Prendre toute décision en rapport avec les points permettant de :
mettre à jour de l’analyse des risques SSI mettre en œuvre et suivre les mesures organisationnelles pour la couverture des exigences de sécurité suivre l'avancement des actions de traitement des risques SSI en cours examiner les tableaux de bord de sécurité de la prestation définir les contenus et la planification des tests d’intrusion, de vulnérabilité et d’audit de robustesse des mesures de sécurité sur les aspects d’ordre technique et organisationnel décider d'amendement de règles et exigences de sécurité de la prestation dans un objectif d'amélioration permanente du niveau de sécurisation de la prestation décider des points d'arbitrage ou d'alerte à remonter au Comité de Suivi
Présidence
Participants
Responsable SSI du client
Client - RSSI - Chef de Projet Gestion des Risques SSI - RSSI
Ordre du Jour Standard
Analyse des tableaux de bord de sécurité Incidents de sécurité majeurs Évaluation des demandes de dérogation SSI
Intrants -
Extrants
Incidents de sécurité
Règles
-
-
points d'arbitrage ou d'alerte à remonter au Comité de Suivi
La fréquence du comité pourra être ajustée en fonction du cycle de vie du projet et de son état d’avancement, avec notamment des pics lors des phases de conception et de spécifications Toute autre personne peut être invitée à l'initiative d'un des membres permanents en fonction de ses responsabilités ou compétences vis-à-vis de la gestion des risques SSI de la prestation ou des sujets inscrits à l’ordre du jour des réunions (par exemple : participation de responsables d’équipes ou d’experts techniques concernés par les mesures de sécurité qui doivent être analysées lors d’une réunion du Comité)
Plan d’Assurance Qualité
Page 31
Comité de Gestion des Risques SSI - CORISQ Commentaires
Instance d’escalade
bimensuel
Les activités du comité évolueront sensiblement en fonction du cycle de vie du projet et de son niveau d’avancement : - En phase de conception et de spécification générale, le comité travaille essentiellement à la validation des travaux itératifs d’identification des risques et au raffinement des objectifs et exigences fonctionnelles de sécurité de la prestation qui doivent suivre la description de plus en plus précise du système ; - En phase de conception et de spécifications détaillées, le comité se concentre plus particulièrement sur les travaux de validation des mesures de sécurité organisationnelles, techniques ou physiques proposées par le titulaire pour répondre à l’ensemble des objectifs et exigences fonctionnelles de sécurité et permettre ainsi de couvrir les risques identifiés pour la prestation ; - En phase de réalisation et de recette du système, ce comité doit prendre en compte les difficultés éventuellement rencontrées lors des développements, de l’intégration et des tests, difficultés qui pourraient nécessiter de revenir sur certains des choix de mesures sécurité qui auraient été validé lors des étapes précédentes ; - En phase d’exploitation du système, ce Comité peut commanditer la réalisation de tests d’intrusion et de vulnérabilité ou d’audits de robustesse des dispositions de sécurité. En fonction des résultats obtenus, des plans d’actions de correction ou d’amélioration des mesures de sécurité sont établis. Comité de Suivi
Plan d’Assurance Qualité
Page 32
7.2.3 Comitologie de Direction de la prestation 7.2.3.1 Revue de Direction
Revue de Direction – RDD Responsabilité
semestriel
Synthétiser les axes stratégiques proposés par les revues de processus et de référentiels et par le comité de surveillance Évaluer l’efficacité du système de management Fixer les objectifs et les axes d’amélioration Valider le budget et les actions et les chantiers des processus Piloter les actions
Présidence
Participants
Directeur du projet
Client - Direction projet - RSSI - Responsables locaux du processus - Responsables des principaux processus en interface - Responsables des référentiels impactés, dont le RSSI - Responsable du Management de la Qualité
Ordre du Jour Standard
Agenda RDD Stratégique
Orientations stratégiques Enjeux du budget Bilan de l’année passée par processus Présentation des axes de chantiers d’amélioration permanente
Agenda RDD SMQ & Budget
Politique de management Qualité Engagements de la Direction Axes majeurs pour l’année future Objectifs & Budget répondant aux axes Analyse du fonctionnement /Performances Contribution des processus Écoute Client Bilan des audits internes Prévention des risques o Plan de continuité o Sécurité o Réglementaire & Juridique Chantiers d’amélioration & Plan d’actions
Intrants -
Politique de management annuel Budget prévisionnel & prévu Comptes rendus des revues de processus Résultats des audits du système de management et des processus Évaluation de la performance du système de management et des processus
Plan d’Assurance Qualité
Extrants -
Objectifs & budget à décliner par processus Définition des chantiers d’amélioration Plan d’actions d’amélioration et de changement
Page 33
Revue de Direction – RDD Règles
-
Instance d’escalade
Conseil de Surveillance
semestriel
7.2.3.2 Revues de Processus Chaque processus doit mener une revue selon la fréquence établie.
Revue de Processus – RDP Responsabilité
semestriel
Analyser les données d’entrées du processus Évaluer la mise en œuvre & l’efficacité du processus Partager sur les causes structurelles, fonctionnelles ou opérationnelles, réelles ou potentielles pouvant mettre en cause la performance du processus Évaluer & Fixer les objectifs & les actions Faire évoluer selon les objectifs & les référentiels
Présidence
Participants
Responsable du processus
Client - Représentant de la Direction projet - Responsables locaux du processus - Responsables des principaux processus en interface - Responsables des référentiels impactés, dont le RSSI - Responsable du Management de la Qualité
Ordre du Jour Standard
Faits Marquants Satisfaction des Clients & Réclamations Principales Évolutions Réglementaires touchant le processus Conformité aux référentiels o Résultats des derniers audits o Alertes de référentiels o Sécurité des locaux, Réglementation Management des Risques Analyse du fonctionnement /Performances o Revue Documentaire du processus o Tableau de Bord Activités & Performances o SWOT o Efficacité du processus Politique de management Qualité à décliner Plan d’Amélioration Décisions
Intrants -
Politique de management annuel Budget & objectifs annuels Résultats des audits du système de management et des processus Évaluation de la performance du processus
Plan d’Assurance Qualité
Extrants -
Plan d’actions d’amélioration et de changement Registre des Décisions & des Dérogations
Page 34
Revue de Processus – RDP
semestriel
Règles
-
La tenue de la Revue de processus peut être augmentée à une fois par mois pour les activités nécessitant des revues d’organisation fréquente, notamment en période de changement majeur du processus
Instance d’escalade
Revue de direction Comité de Direction, si un point opérationnel nécessite arbitrage
7.2.3.3 Revues de Référentiel(s) Chaque référentiel doit faire l’objet d’une revue régulière ; plusieurs référentiels peuvent être gérés au sein d’une même revue de référentiels.
Revue de Référentiel(s) – RDR Responsabilité
Mensuel
Évaluer l’efficacité des pratiques & des règles permettant d’être conforme au référentiel Faire évoluer & adapter ces pratiques et ces règles pour rendre l’application du référentiel la plus opérationnelle et fluide possible Proposer et valider les modifications visant à améliorer le référentiel
Présidence
Participants
Responsable de référentiel(s)
Client - RSSI éventuellement - Responsables des principaux processus impactés - Responsables des référentiels impactés, dont le RSSI - Responsable du Management de la Qualité
Ordre du Jour Standard
Faits Marquants Principales Évolutions Réglementaires Conformité au référentiel Management des Risques Analyse du fonctionnement /Performances o Tableau de Bord o SWOT o Présentation des cas d’écart Actions pour porter les objectifs Plan d’Amélioration
Intrants -
Extrants
Politique de management annuel Résultats des audits du système de management et des processus Évaluation des risques
Règles
-
-
-
Plan d’actions d’amélioration et de changement Décision de mise en place de contrôles permanents & ad hoc
La tenue de la Revue de Référentiel(s) peut être augmentée à une fois par mois pour les activités nécessitant des revues d’organisation fréquente, notamment en période de changement majeur du processus Les référentiels traitant des risques de toute nature et de la sécurité et de la sûreté feront l’objet d’une revue commune
Plan d’Assurance Qualité
Page 35
Revue de Référentiel(s) – RDR Instance d’escalade
Mensuel
Revue de direction Comité de Direction, si un point opérationnel nécessite arbitrage Comité de Gestion des Risques SSI, dans le cas de la revue de référentiels de Risques ou ISO 27001
7.2.4 Comitologie de Pilotage de la prestation 7.2.4.1 Comité de Direction
Comité de Direction – CODIR Responsabilité
Hebdomadaire
Analyser le tableau de bord et définir les actions d’amélioration rapides nécessaires Communiquer les informations importantes issues du client Partager les informations importantes issues de Identifier les responsables de processus, des chantiers ou des actions nécessaires et examiner l’avancement des actions prévues ou décidées
Présidence
Participants
Directeur de projet
Client - RSSI - Responsables des principaux processus - Responsables des référentiels majeurs, dont le RSSI - Responsable du Management de la Qualité
Ordre du Jour Standard
Échange des points marquants Suivi du plan d’actions Décision & Arbitrages sur les escalades Points à escalader
Intrants
Extrants
-
-
Règles
-
Instance d’escalade
Comité de Surveillance Comité de Pilotage
7.2.4.2 Comités de Pilotage de Processus Chaque processus peut avoir un ou plusieurs comités de pilotage selon le découpage et l’organisation des activités.
Comité de Pilotage Opérationnel de Processus – COPOP Responsabilité
Hebdomadaire
Prendre les décisions entrant dans les responsabilités du responsable du processus ou du comité Définir les priorités opérationnels : gestion et allocation de ressources, priorisation des actions
Plan d’Assurance Qualité
Page 36
Comité de Pilotage Opérationnel de Processus – COPOP
Hebdomadaire
Présidence
Participants
Responsable du processus
- Responsable du processus - Responsables / pilotes locaux du processus - Personnel opérationnel du processus
Ordre du Jour Standard
Recueil des points marquants : passage de jalons, livraisons, point bloquant Étude de l’avancement des activités Décision & Arbitrages sur les activités opérationnelles Suivi du plan d’actions en cours Points à escalader
Intrants
Extrants
-
-
Règles
-
Instance d’escalade
Comité de Surveillance Comité de Suivi
Compte rendu Plan d’actions opérationnelles Décisions de priorisation et d’allocation des ressources Points à escalader
Parmi les différents COPOP existants, trois d’entre eux sont à noter : Comité de pilotage Comité de Performance & d’Amélioration permanente Comité de Pilotage de la Sûreté et la Sécurité Comité des Projets 7.2.4.2.1
Processus Gérer la Performance & l’amélioration permanente Gérer la Sûreté et la Sécurité et les audits de sécurité Gérer le Portefeuille de Services
Comité de Performance et d’Amélioration permanente
Comité de Performance & d’Amélioration permanente COPOP Management & Perf Responsabilité
Hebdomadaire
Prendre les décisions entrant dans les responsabilités du responsable du processus ou du comité Définir les priorités opérationnels : gestion et allocation de ressources, priorisation des actions
Présidence
Participants
Correspondant Qualité
Client - Responsable du processus - Responsables / pilotes locaux du processus - Personnel opérationnel du processus
Plan d’Assurance Qualité
Page 37
Comité de Performance & d’Amélioration permanente COPOP Management & Perf Ordre du Jour Standard
Recueil des points marquants : passage de jalons, livraisons, point bloquant Étude de l’avancement des activités Décision & Arbitrages sur les activités opérationnelles Suivi du plan d’actions en cours Points à escalader
Intrants -
Extrants
Registre des Informations, des Décisions et des Actions (RIDA)
Règles
-
Instance d’escalade
Comité de Surveillance Comité de Suivi
7.2.4.2.2
Hebdomadaire
-
Compte rendu Plan d’actions opérationnelles Décisions de priorisation et d’allocation des ressources Points à escalader
Le COPOP Perf héberge une fois par mois le COREF Man-Perf
Comité de Pilotage de la Sûreté et de la Sécurité
Comité de Pilotage de la Sûreté et de la Sécurité – COPOP Sécurité Responsabilité
Hebdomadaire
Prendre les décisions entrant dans les responsabilités du responsable du processus ou du comité Définir les priorités opérationnels : gestion et allocation de ressources, priorisation des actions
Présidence
Participants
Chef de projet SSI ou RSSI
Client - RSSI éventuellement - Responsable du processus - Responsables / pilotes locaux du processus - Personnel opérationnel du processus
Ordre du Jour Standard
Recueil des points marquants : passage de jalons, livraisons, point bloquant Étude de l’avancement des activités Décision & Arbitrages sur les activités opérationnelles Suivi du plan d’actions en cours Points à escalader
Intrants
Extrants
-
-
Règles
-
Instance d’escalade
Comité de Gestion des Risques SSI
Plan d’Assurance Qualité
Compte rendu Plan d’actions opérationnelles Décisions de priorisation et d’allocation des ressources Points à escalader
Page 38
7.2.4.2.3
Comité des Projets
Comité des Projets – CO Proj Responsabilité
À fixer
Décider des projets, fonctions, produits et services portés au portefeuille des services et ceux qui en sortent Nommer les chefs de projets Décider du passage des jalons et du lancement des phases suivantes des projets Définir les priorités opérationnels : gestion et allocation de ressources, priorisation des projets
Présidence
Participants
Directeur de projet
Client - Responsable du processus Gérer le portefeuille de services - Responsables des processus ou de domaine de processus
Ordre du Jour Standard
Présentation de la feuille de route des projets mis à jour Présentations des projets selon l’ordre du jour établi, pour les projets devant passer un jalon
Intrants -
Extrants
Calendrier / feuille de route du portefeuille des projets et des services Présentation de passage de jalons et présentation de l’avancement
Règles
-
Instance d’escalade
Comite de Suivi
-
Compte rendu & décision de passage de jalon Plan d’actions par projet Décisions de priorisation et d’allocation des ressources Points à escalader
Les jalons des projets sont les suivants :
7.2.4.3 Comités de Gestion de Référentiel L’application et le respect des référentiels seront suivis et pilotés « quotidiennement » au sein de comité de gestion de référentiel.
Plan d’Assurance Qualité
Page 39
Comité de Gestion de Référentiel(s) – COREF Responsabilité
Mensuel
Suivre l’implémentation et l’application des règles de gestion du référentiel Analyser les rapports des audits internes ou externes Analyser les contrôles permanents Planifier les contrôles ad hoc et les audits Prendre les décisions pour corriger les écarts constatés et renforcer les points forts Contrôler l’efficacité des actions définis au niveau des processus et concernant le référentiel Définir des actions à mener et leur priorité pour couvrir les risques de non-conformité au référentiel Rapporter les indicateurs mesurant la conformité des activités et la couverture des risques
Présidence
Participants
Responsable de référentiel(s)
- Responsables de processus majeurs pour le référentiel - Responsables locaux de processus majeurs pour le référentiel - Responsables / pilotes locaux de référentiel - Responsable Qualité
Ordre du Jour Standard
Recueil des points marquants : passage de jalons, livraisons, point bloquant Étude de l’avancement des activités Décision & Arbitrages sur les activités opérationnelles Suivi du plan d’actions en cours Points à escalader
Intrants -
Extrants
Rapport d’audits & de contrôle ad hoc Indicateurs de contrôle permanent
Règles
-
Instance d’escalade
-
Tableau de bord du référentiel Points à escalader Plan d’audits et de contrôle
Des règles de gouvernance, de délégation de décision et de signature, peuvent être définies pour certains processus et certaines activités ; elles sont validés, notifiées et décrites clairement. Le compte rendu des comités ou des documents ad hoc servent de preuve de contrôle d’application des règles.
Comité de Direction
Certains de COREF se tiendront au sein de comités de pilotage de processus ; ils sont présentés dans les tableaux suivants : Nom du COREF
COPOP hébergeant
COREF Management & Perf
COPOP Perf
COREF Sécurité
COPOP Sécurité
Référentiel ISO 9001 ISO 20000 ITIL ISO 27001 Informatique & Liberté
7.2.5 Procédure d’escalade Une escalade sera déclenchée d’une instance vers son instance d’escalade lors d’un cas suivant : Plan d’Assurance Qualité
Page 40
l’instance n’est pas habilitée à prendre une décision ; les membres de l’instance n’ont pas réussi à faire émerger un consensus pour prendre une décision ; une information majeure ou contractuelle doit être transmise à l’instance supérieure ; un blocage, un retard ou un écart est constaté et remet en cause le fonctionnement des services selon les exigences et les échéances fixées ; un incident grave ou répété est constaté dans le système d’information.
La liste de ces cas d’escalade sera précisée et complétée en coordination avec le client dans le PAQ v1. Pour chaque cas, il sera précisé le type d’escalade à réaliser, standard ou urgente. A l’issu de la tenue de l’instance d’escalade, le Relevé d’Informations / Décisions / Actions (RIDA) sera mis à jour ; le déclencheur de l’escalade et les responsables de processus impactés par la décision ou les actions décidées seront informés.
7.2.5.1 Escalade normale Les équipes opérationnelles ou une instance escaladera une information ou une demande de décision, en faisant porter un point spécifique à l’ordre du jour de son instance d’escalade suivante.
7.2.5.2 Escalade urgente Une « escalade urgente » sera déclenchée lorsque :
un cas définis comme « urgent » apparait ; une information à transmettre ou une décision à prendre ne s’accommode pas des délais prévus d’escalade.
L’instance d’escalade sera convoquée de manière exceptionnelle en dehors du calendrier établi. La tenue de l’instance aura lieu dans les deux jours suivant la convocation.
7.2.5.3 Escalade de crise Dans le cas d’une crise majeure, un Comité de Crise sera convoqué au sein duquel le client et le seront représentés par :
le Directeur de projet du client, le Directeur de projet de et les RSSI dans un premier niveau, Un membre du comité de direction du client et un membre de la direction de dans un deuxième niveau,
La gestion de la crise se fera selon les modalités définies dans le Plan de Continuité de l’activité (PCA).
Plan d’Assurance Qualité
Page 41
Le processus d’escalade de crise est décrit ci-dessous :
Le retour à la normale est prononcé par le Directeur de projet du client qui prévient le Directeur de projet de . Un bilan sera réalisé par et validé par le client, résumant les éléments de déclanchement de l’escalade, les actions entreprises et éventuellement des recommandations d’actions futures. Le Relevé d’Informations / Décisions / Actions (RIDA) est mis à jour.
7.3
Modalités de réalisation et de suivi Qualité
La démarche et les règles Qualité sont réalisées et suivies au travers des différentes activités et actions et des évènements prévus dans le système de management décliné à la prestation.
7.3.1 Traçabilité des référentiels et des exigences au sein du système de management La traçabilité des référentiels et des exigences est réalisée par deux types d’activité :
la définition et la mise en œuvre du système de management et des processus, la validation et la recette des applications et des services développés.
Plan d’Assurance Qualité
Page 42
Figure 7 : Traçabilité des référentiels
7.3.1.1 Traçabilité des référentiels Les exigences du corpus légal et normatif sont prises en compte par l’identification et la mise en œuvre des référentiels applicables au sein du système de management. Tous les référentiels applicables sont suivis par le Correspondant Qualité, le Responsable de la Sécurité du SI et des Responsables de référentiels. Ils sont les garants de la prise en compte, de l’application et du contrôle des référentiels au sein des processus et du système de management.
Figure 8 : Application & Réalisation des référentiels au sein des processus
Plan d’Assurance Qualité
Page 43
Des éléments d’information à fournir, des contrôles opérationnels, des items obligatoires sont définis et positionnés au sein des processus, afin de veiller et de tracer l’application des exigences issues des référentiels. Les audits et le contrôle des processus et des produits des processus permettent de s’assurer de la prise en compte et l’intégration des référentiels. Des actions d’amélioration sont définies pour traiter les non-conformités, les écarts et les points sensibles détectés durant ces audits et le contrôle permanent. Les tableaux de bord spécifiques aux référentiels aident tous les responsables à s’assurer de la conformité de ses activités et de son périmètre.
7.3.1.2 Traçabilité des exigences La prise en compte, l’application, la traçabilité et le contrôle d’implémentation des exigences relatives au cahier des charges applicatives sont traités par tous les processus de réalisation, durant les phrases de :
définition (stratégie), conception, réalisation, validation et déploiement (transition), exploitation.
La traçabilité des exigences applicatives est assurée grâce à une matrice de traçabilité des exigences. Les chefs de projet assurent la mise en œuvre, le maintien et le contrôle de cette matrice.
7.3.2 Maîtrise des risques Afin de déterminer le plus tôt possible les risques associés à la prestation et à son fonctionnement, les responsables de processus, sous la coordination du Responsable des Risques, assisté du Correspondant Qualité, analysent régulièrement leur processus et le déroulement des activités concourant à la conception, au développement, à l’hébergement et à l’exploitation de la prestation. Dès la définition et la mise en œuvre des processus et des activités, seront identifiés les risques potentiels pouvant impactés la prestation et induire des dysfonctionnements ou des écarts par rapport aux exigences. Dans le cas de risques réalisés, de dysfonctionnement constatés ou d’écarts repérés, les causes sont identifiés et le risque analysé. Parallèlement à ces identifications, la probabilité et l’impact des risques sont évalués ; des actions préventives ou palliatives sont proposées pour :
#
prévenir et permettre d’éviter que les risques de dysfonctionnements ne deviennent réalité. corriger la cause ou contourner ou minimiser les impacts, éviter que les risques ne se réalisent à nouveau, le cas échéant.
Description du risque
1 2 3 4 5 6 7
Processus Impacté(s)
Impacts possibles
Gravité
Probabilité
2
3
Type Risque 6 0 0 0 0 0 0
Actions de couverture
Figure 9 : exemple simple de matrice des risques
Un « Registre des Risques » permet le suivi des risques, des écarts et des dysfonctionnements avérés, il propose :
pour chaque risque, une action préventive, une parade ou des actions réduisant les impacts, pour chaque dysfonctionnement et écart avéré, une action corrective s’attaquant à la cause, pour chaque item, il est possible d’y associer un poids afin de quantifier l’importance des conséquences, fonction de l’impact (niveau de gravité du risque) et de la probabilité de survenance.
Plan d’Assurance Qualité
Page 44
Au moins à chaque revue des risques, l’ensemble des actions non closes sont passées en revue afin de s’assurer de leur prise en compte effective ; les risques couverts sont conservés dans le Registre et évalués régulièrement à nouveau. De même, tout nouveau risque identifié donne lieu à la création d’un item dans le « Registre des Risques ».
7.3.3 Audits Internes & Externes Les audits internes permettent de vérifier que le Système de Management, les processus et leurs interactions sont conformes et efficaces, mis en œuvre et entretenus à tous les niveaux. Ils ont pour but de contrôler l’application, le respect et la conformité aux règles définies et aux référentiels choisis, présentés dans le PAQ. Ils permettent d’évaluer la maturité de tout ou partie du système de management, sa capacité à s’adapter et à répondre aux objectifs fixés. Ils permettent également de vérifier l’efficacité et la conformité en matière de sécurité et en matière environnementale. Dans le cas d’audit externe, s’engage à délivrer, le cas échéant, les accès nécessaires à tout document ou système permettant la préparation, la réalisation et le suivi de l’audit. Dans le cadre de test d’intrusion, de vulnérabilité ou de Figure 10 : Procédure d'audit robustesse, le Chef de Projet gestion des risques SSI de ou le RSSI est l’interlocuteur privilégié de l’auditeur, du directeur de projet et du RSSI du client, tant pour l’organisation, la mise en œuvre que le suivi des audits. Pour tous les autres audits, le Correspondant Qualité du projet est l’interlocuteur privilégié de l’auditeur, du directeur de projet et du responsable Qualité du client, tant pour l’organisation, la mise en œuvre que le suivi des audits.
7.3.3.1 Fréquence des audits Les processus liés à la prestation – y compris au sein des entités sous-traitantes pour lesquelles les processus sont externalisés – sont audités au minimum 1 fois par an, de façon interne ou externe.
7.3.3.2 Dispositions des audits Les dispositions définies pour la mise en œuvre des audits internes sont décrites ci-après. Les auditeurs seront mandatés par lettre de mission, détaillant :
L’auditeur principal (responsable de la coordination et du rapport), le processus et le périmètre à auditer, la date de l’audit, les référentiels audités sur le processus, les objectifs et les points d’attention de l’audit.
Les audités seront prévenus de l’audit et recevront l’agenda et le calendrier de l’audit au moins cinq jour ouvrés avant le début de l’audit par les auditeurs. Lors de la réunion d’ouverture de l’audit, l’auditeur rappellera aux audités l’agenda, le calendrier et les objectifs. A l’issue de l’audit en réunion de clôture, les auditeurs présenteront leurs constats et leurs conclusions quant à la conformité et à la maturité du périmètre audité. Cette réunion sera l’occasion éventuelle pour les audités d’apporter des explications ou des preuves complémentaires, de lever les incompréhensions éventuelles. Chaque audit fera l’objet d’un rapport selon un formalisme établi, qui sera diffusé aux audités, au responsable de processus, au responsable de la Qualité et des référentiels audités. Plan d’Assurance Qualité
Page 45
7.3.3.3 Traitement des résultats d’audit Les points forts, les points sensibles, les écarts / remarques et les non-conformités seront tracés dans un registre dédié aux résultats d’audits. Les points en faiblesse feront l’objet d’un plan d’actions Qualité afin de corriger ou prévenir les dysfonctionnements. Les résultats d’audit seront par ailleurs présentés lors des Revues de Processus et de la Revue de Direction.
7.3.4 Contrôles permanents & Audits de référentiel Lors des activités et des tâches des processus, des preuves de réalisation, des preuves de conformité, des preuves de contrôle sont à produire. Directement inclus dans la définition et la documentation des processus, ces points de contrôles permettent de suivre l’application des référentiels et la traçabilité des exigences. Chaque point de contrôle est documenté dans une Fiche de Contrôle ; ils apparaissent sur les logigrammes des processus, afin d’être clairement repérés par les acteurs du processus et par les auditeurs. Cette fiche de point de contrôle décrit :
la nature et l’objectif du contrôle, le ou les référentiels auxquels le contrôle est rattaché, les modalités pour réaliser le contrôle, produire et sauver la preuve du contrôle, les modalités pour auditer le contrôle et les preuves du contrôle.
Ces points de contrôle sont un des outils majeurs de l’intégrité des référentiels, qui sont transversaux aux processus de réalisation. Chaque point de contrôle s’intègre dans au moins un cheminement logique, propre à un référentiel. Lors d’un audit de référentiel, l’auditeur remonte alors ce cheminement logique, vérifiant chaque point de contrôle selon les modalités décrites dans la Fiche de Contrôle liées. Un tableau de bord peut être constitué à partir des métriques des points de contrôles, présentant la conformité, l’étanchéité et l’exhaustivité des flux logiques transverses aux processus et traçant les exigences d’un référentiel.
7.3.5 Suivi des décisions et des actions Qualité L’ensemble des décisions et des actions prises au sein des comités de référence (voir 7.2 Comitologie en page 25) sont tracés et suivies au sein du Registre des Informations, des Décisions et des Actions (RIDA). Ce registre inclut l’ensemble des actions correctives, préventives et palliatives issues des revues, des audits et des contrôles. Il est mis à jour régulièrement par les porteurs de projet, éventuellement sur sollicitation du Correspondant Qualité. Lors du Comité de Performance et d’Amélioration permanente, le Correspondant Qualité mènera une revue de ce registre, notamment des actions présentes. Des contrôles sont programmés pour vérifier l’effectivité et efficacité d’un certain nombre des actions réalisées.
Plan d’Assurance Qualité
Page 46
#
Thème
Actions Verbe + compléments (l'action doit aboutir à un livrable tangible) Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions Actions
Dates Début Réel Fin Prévue
Resp
Définition
Début Prévu
XXXX
11/10/2006
11/10/2006
Fin Réelle
Contrôle
XXXX
11/10/2006
11/10/2006
XXXX
11/10/2006
11/10/2006
20/12/2006
Efficace
XXXX
11/10/2006
20/11/2006
30/10/2006
Efficace
XXXX
11/10/2006
11/10/2006
20/12/2006
Efficace
XXXX
11/10/2006
11/10/2006
31/03/2007
Efficace
XXXX
11/10/2006
11/10/2006
31/01/2007
Efficace
XXXX
11/10/2006
11/10/2006
31/03/2007
Efficace
31/01/2007 12/10/2006
30/10/2006
Etat Efficace
13/11/2006
13/11/2006
Efficace
Figure 11 : Exemple de tableau de suivi des actions
7.3.6 Assurance Qualité des Produits, Services & Livrables Les actions Qualité des produits, services et livrables, à la charge du Correspondant qualité ou de tout autre intervenant compétent, sont les suivantes :
Revue de documentation : o Relecture des documents par sondage, en sus des relectures prévues et planifiées par la direction de projet. o Vérification du respect des normes de rédaction, de la qualité de rédaction (forme) et du contenu (fond). Revue de code : o Relecture des sources de programme par sondage, en sus des relectures prévues et planifiées par la direction de projet. o Vérification du respect des normes de codage (forme) et des algorithmes (fond). Revue de tests : o Relecture du cahier de recette et documents de test pour validation de la couverture des engagements contractuels (fonctionnalités, performance, sécurité, réversibilité, …). o Relecture des documents de suivi de la bonne exécution des tests prévus et planifiés : vérification de la totale exécution des tests prévus au cahier de recette. Inspection de la gestion de configuration : o Vérification de la bonne mise en œuvre de la gestion de configuration. o Tests en conditions réelles (régénérer un source particulier en une version particulière, régénérer une version particulière, figer une version, vérification de l’existence des sauvegardes prévues, …). Inspection de la gestion des anomalies et modifications : o Vérification de la bonne mise en œuvre de la gestion des anomalies et modifications par inspection des documents de suivi. o Vérification de l’adéquation entre « gestion de configuration » et « gestion des anomalies et modifications ».
7.3.7 Enquête de satisfaction En coordination et sur la demande du client, pourra piloter un organisme spécialisé et diligenté par le client à cet escient, afin d’effectuer une enquête de satisfaction sur les services fournis pour la prestation. Les résultats de cette enquête serviront de mesures complémentaires aux mesures de la Qualité et aux mesures indirectes de la satisfaction Client, portées par les processus.
Plan d’Assurance Qualité
Page 47
7.4
Planification et suivi du PAQ
Le système de management de la qualité sera ponctué par des évènements requis par la norme ISO 9001 :2008 et servant aussi les autres référentiels. Ces événements ont pour but d’assurer :
l’adaptation de l’organisation et son amélioration permanente, le respect des éléments Qualité définis dans et par ce PAQ, la prise en compte de la satisfaction et des réclamations de tous les clients du projet.
D’autres calendriers Qualité sont mis en œuvre soit dans un document officiel, soit par la planification d’actions ou d’instances dans le présent PAQ. Ces planifications et calendriers ont pour but d’imposer un rythme et un systématisme aux évènements et aux actions d’amélioration permanente, en plus des actions courantes.
7.4.1 Calendrier des évènements Qualité Un calendrier des évènements Qualité est produit et publié chaque année au moment d’une Revue de Direction ; il est révisé tous les six mois et les dates précisées ou révisées selon les contraintes calendaires ou les jalons opérationnels. Ce calendrier programme les évènements et les instances majeurs du système de management, pour l’année à venir :
les Revues de Direction, les Revues de Processus, les Revues de Référentiels, les audits internes et externes, les processus et les périmètres audités, les études de satisfaction et d’écoute Client, le cas échéant.
Ce calendrier permet aussi de synchroniser les instances les unes par rapport aux autres, afin d’opérer efficacement les remontées d’informations et les escalades.
Figure 12 : Exemple de calendrier de la Qualité
Plan d’Assurance Qualité
Page 48
7.4.2 Planification et suivi de la Comitologie Les instances majeures font l’objet d’une planification annuelle, révisé tous les 3 mois. Ces instances seront portées au calendrier des évènements Qualité dans la version 1 du PAQ, afin d’assurer la synchronisation avec les instances en interaction. Les instances ayant des fréquences plus élevées (hebdomadaire, bimensuelle, mensuelle) sont planifiées six mois à l’avance, les dates sont révisées et précisées d’un comité sur l’autre et n’apparaissent pas dans le calendrier.
7.4.3 Planification et suivi des Actions & des Décisions Le registre des informations, des décisions et des actions est revu à chaque Comité de Performance et d’Amélioration permanente (voir 7.2.4.2.1 Comité de Performance et d’Amélioration permanente en page 37). Afin de mieux suivre l’application des actions et de mesurer leur résultat, chaque action fait l’objet d’une planification. (Voir 7.3.5 Suivi des décisions et des actions Qualité en page 46) avec des dates de début et de fin prévisionnelle. Ainsi planifiées et les ressources affectées, les actions sont plus efficaces que pour une définition classique. De même, chaque décision prise est tracée et une date de fin de validité est renseignée et ainsi forcer son suivi et la révision de la décision.
7.4.4 Planification et suivi des livraisons Dans le cadre de tous les projets, évolutions et développements complémentaires, chaque processus impliqués suivra la méthodologie projet et produira un planning des tâches et des jalons de livraison. Ces plannings et suivis seront agrégés par le chef de projet, responsable du projet en question. Ces plannings sont des enregistrements Qualité et seront visés et audités au même titre que les autres documents enregistrés. Ils feront l’objet de contrôle permanent. (Voir 7.3.4 Contrôles permanents & Audits de référentiel en page 46).
7.4.5 Calendrier des révisions documentaires Outre les changements et modifications opérées pour s’adapter constamment aux contraintes opérationnelles, la documentation du système de management et le corpus des exigences sont revus périodiquement selon un calendrier des revues de processus. L’ensemble des documents spécifiques, tels que les contrats, les accords (notamment les SLA), les documents à révision programmée, fera l’objet d’un calendrier dédié, afin que les actions de révision ou de renouvellement anticipent les dates butoirs.
7.4.6 Audits Qualité & Conformité aux Référentiels Les audits internes et externes seront programmés annuellement, puis planifiés plus précisément dans les délais nécessaires aux auditeurs et aux audités. Les points de contrôle permanents sont contrôlés au cours d’audits de référentiels ou d’audits normatifs.
Plan d’Assurance Qualité
Page 49
8
Gestion des ressources
8.1
Ressources humaines
L’ensemble des acteurs du projet ont une conscience aiguë de l’importance de leur activité pour l’atteinte de la satisfaction du client à travers la réalisation les tâches qui leurs sont confiées.
8.1.1 Composition de l’équipe du projet propose une équipe, regroupant les compétences nécessaires à la gestion et au pilotage des projets identifiés pour livrer la prestation. Ces projets sont les suivants :
Organisation transverse et direction Projet Support Projet Portail Projet Décisionnel Projet Architecture Projet Risques SSI Projet Recette Intégration
Le management et la maîtrise du projet sont assurés grâce à l’organisation suivante : Direction
Un Directeur du projet, responsable de la prestation,
Un Responsable Qualité validant l’adéquation des processus mis en œuvre versus exigences du client.
Pôles Transverses de Référence & de Contrôles
Une cellule Qualité, dirigé par le Correspondant Qualité, garante du système de management et de sa conformité aux référentiels choisis,
Une cellule Sécurité, dirigée par le Responsable Sécurité SI, garante de l’application des normes et exigences de sécurité, ainsi que des référentiels légaux ou internes relatifs au système d’information.
Pôles d’Expertise Technique
Une cellule Bureau de Management de Projets (PMO), dirigé par le Référent PMO, regroupant les experts correspondants de management de projet,
Une cellule dirigée par le Responsable Architecture, garant de l’architecture des infrastructures et des équipements,
Une cellule dirigée par le Responsable Intégration Solution, garant de l’architecture des applications et leur intégration. Directeur de projet Correspondant Qualité
Chef de projet Chantier 1
Chef de projet Chantier n
Référent PMO
Responsable Sécurité SI
Responsable Architecture
Responsable Intégration Solution
Responsable Exploitation
Responsable Support
Figure 13 : Organigramme de l’organisation en mode projet
Chaque profile de l’organisation est décrit dans un référentiel de fonctions et de rôles. Liste des profiles de compétences par domaines : Plan d’Assurance Qualité
Page 50
PMO - Projet Directeur de projet (Directeur de mission) Chef de projet Solution Chef de projet Support Chef de projet Pilotage décisionnel Chef de projet Architecture Correspondant Qualité Responsable Bureau de Management de Projets (PMO) PMO Assistant Développement Chef d'équipe Dev. Services Métiers et Notifications Adjoint Chef d'équipe Services Métiers Architecte Services Métiers et Notifications Architecte IHM Riche Architecte IHM de consultation HTML et mobilité Architecte Web Services Architecte Dev. Logistique Tests pour VABF et Formation Architecte Dev. Métiers BPEL Chef d'équipe Dev. Services techniques Architecte Sécurisation des accès utilisateurs Architecte Solutions de sécurité documentaire Architecte Services Identités et Habilitations Architecte ESB & ETL Architecte Traces techniques Architecte Interfaces Internes (Alimentation Pilotage…) Architecte Interfaces Externes Architecte DBA Chef d'équipe Dev. Support Chef d'équipe Dev. Pilotage décisionnel Chef d'équipe Dev. Portail/Système de diffusion et de publication Chef d'équipe Dev. Administration fonctionnelle Chef d'équipe Dev. Outils d’interopérabilité Chef d'équipe Intégration globale et VABF Adjoint Int & VABF IHM Web Adjoint Int & VABF Web Services Adjoint Int & VABF Support Adjoint Int & VABF Pilotage décisionnel Adjoint Int & VABF Portail/Système de diffusion et de publication Adjoint Int & VABF Administration fonctionnelle Adjoint Int & VABF Outils d’interopérabilité Ergonome
Plan d’Assurance Qualité
Page 51
Développeur Senior Développeur Concepteur de tests Testeur Expert technologie (TIBCO, Oracle, Sealweb…) Expert normalisation Expert fonctionnel Support - Exploitation Directeur des opérations Responsable Gestion des environnements Responsable Gestion de l'exploitation Chef d'équipe Interopérabilité Ingénieur d'assistance à l’interopérabilité Technicien d'assistance à l’interopérabilité Secrétariat à l’interopérabilité Chef de projet Intégration et recette Expert intégration produits tiers Chef de projet Hébergement Chef de projet Réversibilité Chef de projet Reprise des données Administrateur Base de données Administrateur fonctionnel Responsable équipes TMA Architecte Système & Réseau Architecte Sécurité (technologie) Portail Chef de projet Portail Chef de projet Diffusion d'Informations Sécurité Responsable sécurité SI Chef de projet Gestion des risques SSI Architecte sécurité SI Expert gestion des risques SSI (EBIOS) Expert sécurité - Audit d'Intrusion Expert Technique authentification forte et signature électronique Organisation Responsable Qualité Responsable de la conduite du changement et des ressources humaines (Office Manager)
8.1.2 Gestion des Ressources Humaines Ce paragraphe décrit la gestion des ressources humaines au sein du projet. Il décrit la manière de trouver l’adéquation entre les compétences requises pour le projet et les compétences actuelles. Les besoins client évoluent engendrant de nouveaux produits et faisant appel à de nouvelles compétences. A travers ces mutations et ces évolutions technologiques, il est indispensable pour de prendre en compte l’importance du Plan d’Assurance Qualité
Page 52
capital humain, de former les ressources, développer ses compétences des salariés afin qu’ils restent compétitifs sur un marché très évolutif. Quatre phases impactent les Ressources Humaines : - La formation - Le recrutement - La gestion du personnel - La gestion des prestataires
8.1.3 Le recrutement Chaque responsable de projet identifie son besoin en recrutement au sein d’une équipe, d’un projet. Il détermine les compétences nécessaires aux besoins spécifiques. Les Ressources Humaines gèrent le recrutement de nouvel arrivant en fonction des besoins exprimés par les responsables de projet.
Plan d’Assurance Qualité
Page 53
Logigramme du recrutement :
QUI
QUAND
QUOI
Manager
1 : Identification du besoin en nouvelle ressource
Manager
2 : Remplissage de la demande de recrutement
RH
Template / enregistrement / Bases de données / …
Demande de recrutement
3 : Analyse de la demande
4 : Gestion du recrutement, des entretiens et de la sélection
RH
RH
5 : Intégration du nouvel arrivant dans le groupe
Manager
Contrat de travail et autre
6 : Intégration du nouvel arrivant dans le service
8.1.4 La gestion du personnel L’Office Manager (ou Responsable de la conduite du changement et des ressources humaines) joue un rôle d’intermédiaire, il suit les ressources du projet et leurs compétences. Les ressources sont suivies par l’Office Manager de la manière suivante :
Il tient à jour un fichier de suivi RH général pour le projet. Les différents Manager sont chargés d’informer mensuellement l’Office Manager des modifications de leurs équipes par l’intermédiaire d’un fichier de suivi RH spécifique à chacune des équipes. Grace à ce fichier général, il met à jour l’organigramme fonctionnel mensuellement. Il transmet les modifications de rattachement hiérarchique au service en charge de la RH Globale.
8.1.5 La gestion des prestataires Lorsqu’un Manager estime avoir besoin d’un complément de ressource temporaire, il fait une demande de prestataire directement auprès d’un cabinet de prestation, répertorié dans le projet. Lors de la mise à jour des ressources de son équipe, le Manager mentionne le nombre des prestataires dans son fichier de suivi RH et le transmet à l’Office Manager pour la mise à jour ensuite du fichier de suivi RH général et de l’organigramme.
Plan d’Assurance Qualité
Page 54
8.1.5.1 Équipe projet L’équipe projet fait intervenir trois types de profils :
Un profil directeur de projet Le directeur de projet sera le point unique de contact avec le client. Il est garant de l‘avancement du projet versus exigences et plans établis et validés par l’ensemble des parties prenantes. Un profil chef de projet Le chef de projet sera responsable de la structure qui sera mise en place au niveau de chaque projet. Il sera l’interlocuteur unique pour le directeur projet quant à l’état d’avancement de son projet, des risques et de la qualité des livrables et processus. Un profil PMO Assistant Le PMO assistant sera en charge des activités récurrentes de pilotage de projet (avancement, planning, coûts, AQ …) permettant ainsi au chef de projet de pouvoir se repositionner sur les axes stratégiques de son management. L’assistant aura également un devoir de conseil en matière de processus et de prise de décision. Un profil PMO référent Le PMO référent fournira les processus, formations et outils à l’ensemble des parties prenantes des projets (direction et chefferie) permettant ainsi une standardisation des « façons de faire » Il procèdera également en liaison avec la cellule Assurance Qualité à des audits en prévention de ceux que pourra diligenter le client.
8.1.5.2 Compétences des collaborateurs et niveau d’expérience ; La gestion des ressources humaines et leur évaluation sur le projet doit être approchée selon deux axes :
Compétences fonctionnelles et ou techniques en fonction des projets identifiés et des structure de management, Nombre de ressources par profils selon les délais de réalisation, les plannings et la capacité à mutualiser les ressources entre projets.
Ces évaluations peuvent également être mises en rapport avec les souhaits du client en matière de compétences requises. La gestion des ressources fera l’objet d’un suivi via une matrice des ressources prenant en compte les contraintes ci-dessus mentionnées.
Figure 1 : Adéquation des ressources en nombres et en compétences versus attente client
Plan d’Assurance Qualité
Page 55
Figure 2 : Identification des ressources en nombres et en compétences
8.1.6
Maintien des compétences
Afin de facilité l’intégration de toute nouvelle ressource il sera mis en œuvre un kit d’intégration permettant de :
diminuer la durée de l’intégration et de la montée en compétence, définir des règles pour rationaliser cette intégration, diminuer l’impact sur l’équipe projet de l’intégration, en réduisant la sollicitation des sachants, de créer un référentiel Méthode, outils et documentaire, de gérer le départ des consultants sans perte de connaissance, de compétence et d’efficacité de l’équipe, de capitaliser.
Selon les cas, ces formations sont disponibles :
en interne sur l’intranet, en présentiel sur quelques jours, sur le terrain, dans le cadre du projet, en version numérique, sous format kit d’autoformation.
Le processus d’intégration dure de quelques jours à 2 semaines, en fonction de la complexité du poste à intégrer, alternant les sessions de formation présentiel, l’autoformation et des entretiens avec quelques « sachants » de l’équipe selon les sujets traités. Le kit d’intégration de ressources contiendra les éléments suivants principaux :
Introduction Processus administratif Processus de montée en compétence Processus de départ de ressource Description du projet Les outils utilisés La méthode utilisée Référentiel documentaire du projet Organisation du projet (fiches de poste, organigramme, acteurs et structures concernés) Des kits de formation des systèmes Quiz Glossaire terminologique et sigles
Des vidéos pourront être réalisées pour faire les présentations des différents acteurs du projet.
8.1.7 Formation met en œuvre un plan de formation afin de maintenir le savoir et le savoir-faire de ses équipes. Il a pour objectif de :
Programmer les formations et de cibler les populations à former Suivre les formations
Plan d’Assurance Qualité
Page 56
Améliorer ce sous-processus.
Figure 14 – Processus continu de formation des ressources et de maintien en compétences
Ces formations recouvrent les domaines suivants : Modules de formation Méthodologique o Formation en gestion de projet – certification PMI – CAPM – PRINCE2 o Formation en gestion des services – certification ITIL (foundation, practitioner), ISO 20000 o Formation en gestion de planification – Ms-Project, o Formation en gestion du temps. Modules de formation Comportementale o Formation en communication, en gestion du stress o Formation en Management d’équipe, Gestion des ressources Modules de formation Technique o Formation à la recette outillée par la gamme HP Mercury o Formation aux outils et techniques à l’aide de livret d’intégration Ces formations sont selon les besoins : des sensibilisations des formations poussées des préparations à une certification Selon les cas, ces formations sont disponibles : en interne, en e-learning (via un catalogue de formations) ou via des centres de formations externes L’ensemble des formations seront produites et dispensées selon les processus élaborés dans la présent PAQ.
Plan d’Assurance Qualité
Page 57
8.1.7.1 Programmation des sessions de formation Le calendrier des formations est fixé en accord avec les exigences des projets par l’Office Manager, il a pour objectif : - De fixer le nombre de participants - De programmer le calendrier des sessions - D’assurer les sessions de formation - D’assurer le suivie des formations La revue détaillée de l’organisation des sessions de formation et de leur contenu sera réalisée par le comité de pilotage ad hoc, qui validera et statuera sur la programmation finale des sessions de formation et du calendrier.
8.1.7.2 Suivi de la population à former L’Office Manager proposera : - La formation des « nouveaux arrivants » pour garantir le maintien des compétences et de l’efficacité, - La formation dite « d’évolution » pour o combler une insuffisance, o monter en compétences dans le cadre d’une gestion de carrière, o répondre à une évolution du marché (règlementation, technologie, méthodologie), o intégrer un nouveau savoir-faire.
Figure 15 – La gestion de la formation
8.1.7.3 Communication, animation et réalisation des formations Une fois le calendrier des formations arrêté pour une période donnée, l’Office Manager diffusera le calendrier et réceptionnera les réponses des potentiels participants avec l’accord de leur responsable hiérarchique, selon les modalités décidées en Comité ad hoc. L’animation et la réalisation des formations se dérouleront comme définis par l’institut de formation validé en instance ad hoc.
Plan d’Assurance Qualité
Page 58
8.1.7.4 Évaluation des formations L’Office Manager présentera une synthèse de l’évaluation des formations à chaque instance ad hoc. Cette évaluation s’articule autour de deux outils : évaluation à chaud et évaluation à froid. Exemple :
Évaluation « à chaud » : à la fin de chaque session de formation, les formateurs animeront un tour de table, afin que chaque participant exprime un point remarquable sur la formation ; ce point pourra être une connaissance spécifique abordée, un élément pédagogique, un exercice, etc. Un exemple de fiche d’évaluation à chaud est présenté en annexe§ .
8.1.7.5 Évaluation des compétences La compétence de la population, avant et après formation, sera évaluée selon des questionnaires prenant la forme de QCM évaluant les connaissances des participants sur les sujets de formation. Ces questionnaires sont spécifiques aux sujets abordés lors des formations, et seront construits par l’institut de formation. Exemple :
Évaluation « à froid » : A l’issu de la campagne d’évaluation à froid, l’Office Manager présentera en instance de pilotage une synthèse des évaluations et des verbatims. Un exemple de fiche d’évaluation à froid est présenté en annexe § .
8.1.7.6 Amélioration des formations Le bilan : A l’issu de chaque formation, l’Office Manager recueillera les évaluations fournies par les participants et les reportera dans un outil de synthèse globale. Il sera ainsi en mesure de fournir un tableau de bord sur : le suivi du plan de formation, le suivi de la population à former une synthèse des évaluations à chaud des formations et une liste des verbatim. L’Office Manager produira une synthèse des évaluations à froid. La capitalisation d’expériences et de retour de formation : Dans le cas où plusieurs formateurs interviennent sur une même formation, l’institut de formation organisera entre eux des points de synchronisation régulière, afin que ceux-ci échange de façon informelle sur : - les points ou les questions abordés lors des formations et qui ne sont pas prévus dans le contenu validé, - les modifications de déroulement opérées de façon opportuniste au regard de la population formée et des questions soumises, l’intérêt et l’apport de ces modifications, - les illustrations que chacun tire de ses expériences personnelles ou des expériences des participants et qui présentent un intérêt à être réutilisées… A l’issu de ces échanges, l’institut de formation propose des ajustements de formations et les fait valider. L’amélioration : les actions d’amélioration identifiées par l’institut de formation seront réalisées selon le calendrier décidé. Un retour sur la réalisation et les résultats de l’action seront présentés au comité ad Hoc.
8.2
Ressources matérielles
Selon les principes de ISO 9001, détermine, fourni et entretien les infrastructures nécessaires pour obtenir la conformité du produit. Les infrastructures sont décrite dans le volet architecture technique de la réponse. Ces différents chapitres seront compléter dans la version 1.0 du PAQ.
8.2.1 Les locaux ou bâtiments Les bâtiments, les espaces de travail et les installations associées dont précisé dans l’annexe décriant les sites de impliqués dans la prestation.
Plan d’Assurance Qualité
Page 59
8.2.2 Les équipements logiciels et matériels La liste des équipements tant logiciels que matériels associés aux processus est décrite dans le volet architecture technique de la réponse.
8.2.3 Les services support La liste des services support associés à la prestations est décrite dans le volet support de la réponse.
Plan d’Assurance Qualité
Page 60
9
Maîtrise documentaire
La documentation est un des éléments essentiels dans le déroulement du projet et la mise en œuvre de la prestation :
Elle constitue le support des relations entre les différents intervenants, Elle définit les produits à réaliser, Elle définit la façon de les réaliser, Elle matérialise l’avancement des travaux, Elle peut faire partie des produits à livrer, Elle est la mémoire de l’opération et par conséquent son ciment.
La maîtrise de la documentation vise à garantir la disponibilité du document approprié en réduisant les risques d’utilisation d’informations périmées ou non encore validées. La documentation du système de management sera disponible dans l'intranet du projet. Seule cette documentation en ligne est gérée et est considérée valide. Le processus de gestion documentaire sera conforme aux règles de gestion documentaire en vigueur au sein du projet, définies dans le document intitulé « Maîtrise des documents et enregistrements ».
9.1
Approbation & Diffusion des documents
Les documents livrés nécessitent une approbation de la part du client pour poursuivre les travaux, les différentes entités concernées par ces circuits sont :
la direction projet client, la direction projet , les équipes projet .
La liste des personnes attachées à chacun de ces groupes est tenue à jour et disponible dans l’annuaire projet figurant dans le tableau de bord de suivi du projet. La liste des documents diffusés ou reçus est tenue à jour et diffusée dans le tableau de bord de suivi du projet. Les livrables vérifiés et approuvés sont mis à disposition de tous les acteurs du projet sur la base documentaire du projet sous la responsabilité du Directeur de Projet. La livraison documentaire d’une nouvelle version applicable s’effectue sous la responsabilité du Directeur de Projet, par l’envoi d’un exemplaire papier et électronique, sur support magnétique ou par messagerie (fichier attaché, url), accompagné d’un procès verbal de livraison comprenant les éventuellement restrictions de livraison et les évolutions et corrections apportées. Le Registre des Livrables est mis à jour avec l’information de livraison attachée au livrable concerné.
9.2
Partage de l’information et modes de communication
La mise à disposition et la diffusion des documents, des enregistrements et des informations de management seront adaptées selon leur portée et leur importance. Des outils adaptés seront mis en œuvre pour partager les informations, diffuser les documents, mais aussi capitaliser les pratiques et les expertises de chacun. Quatre modes de communication et d’échanges peuvent être utilisées :
Mise à disposition & diffusion passive L’ensemble des documents, productions, enregistrements, informations utiles est sauvegardé et archivé au sein de bibliothèques physiques et électroniques, consultables par chacun selon son niveau d’accès. Diffusion active L’ensemble des documents, comptes rendus, informations issus des processus est diffusé aux personnes concernés, pour action ou information. Lors des évènements majeurs, des séances de formation ou d’information sont organisés pour diffuser un message unique et clair à l’ensemble des collaborateurs.
Plan d’Assurance Qualité
Page 61
Diffusion pro-active Pour des évènements et des activités spécifiques, les informations et les documents sont diffusées en avance de phase pour aider les acteurs à aborder et réaliser les actions selon les procédures édictées et avec les outils et les documents recommandés. Communication inter-active tracée Pour capitaliser des informations moins formelles ou pour permettre la remontée d’informations et des retours d’expériences réactifs, un ensemble d’outils de communication collaboratifs sont mis à disposition des collaborateurs. Des réseaux de collaboration sur des chantiers transverses ou des réseaux d’expertise seront mis en œuvre et animés, si besoin est.
Figure 16 : Exemples d’éléments selon les différents modes de Communication & d'Échanges
9.3
Dérogation à la procédure documentaire
Toute dérogation à la procédure documentaire fera l’objet d’une validation des deux parties, suivant la procédure de dérogation exposée au paragraphe 4.4 Dérogation au PAQ.
Plan d’Assurance Qualité
Page 62
10
Environnement bureautique
La documentation sera produite, par tous les acteurs, sur micro-ordinateur compatible PC. Elles seront aux formats standards suivants : - .doc / .xls / .pdf, pour les documents d’ordre technique et de suivi projet (courrier, fax, comptes-rendus, tableaux de bord, ...), - .ppt/ .pdf pour construire les figures insérées dans les documents, ou pour les présentations faites lors des différents comités, - .mpp/ .pdf pour générer la planification du projet. Les applications de la suite Microsoft Office ou Open Office pourront être utilisées pour réaliser ces documentations.
Plan d’Assurance Qualité
Page 63
11
Description des processus de fonctionnement/déroulement de la prestation
11.1 Système de Management Le système de management de la Qualité et de la Sécurité regroupe l’ensemble des processus nécessaires au développement et à l’hébergement et l’exploitation des services de la prestation. Le système de management veillera à l’intégration des exigences décrites dans la documentation définissant et s’appliquant au projet (voir § 5 Documentation).
Figure 17 : Cartographie des processus
Les processus sont de trois types. Les processus de management participent et contribuent à la détermination, à l'élaboration de la politique de management et au déploiement des objectifs dans l'organisme. Ils sont les fils conducteurs de tous les processus de réalisation et de support. Les processus de réalisation ou opérationnels sont liés directement au produit, à la prestation, au service ou au client à servir. Les processus de soutien concernent les étapes et systèmes dédiés aux ressources humaines (contractualisation, implication, formation et qualification) et aux ressources matérielles, ainsi que les services internes administratifs et financiers. Ils ne sont pas liés directement à une contribution de la valeur ajoutée du produit, mais sont indispensables pour tous les autres processus. Plan d’Assurance Qualité
Page 64
Les processus de réalisation présentés ici sont issus des bonnes pratiques d’ITIL, ils sont regroupés selon les quatre phases d’ITIL version 3. Cette cartographie est établie sur la base du modèle de maturité de processus CgMM ( Maturity Model), défini dans le respect des bonnes pratiques du modèle CMM-I, de la démarche ITIL et des normes ISO 9001, ISO 20000 et ISO 27001. Ce système permet de coupler les deux étapes majeures « Build » et « Run » du projet et de la prestation, tout en assurant la continuité entre ces deux étapes et une capitalisation continue de savoir-faire. Durant l’étape « Build », quatre activités de conception du système qui se succéderont :
la conception, basée sur les exigences et les demandes du cahier des charges, le développement, produisant les applicatifs, la vérification d'aptitude au bon fonctionnement : VABF – Intégration & Recette, qui assure la validation des applicatifs, prépare leur déploiement et coordonne tous les acteurs au changement (conduite du changement), la VABF – Mise en production, qui valide l’exploitabilité des infrastructures actives, des systèmes d’information et des applicatifs, puis prépare leur configuration finale et leur mise en production.
L’étape « Run » regroupe l’ensemble des activités d’exploitation du système et de la prestation :
La validation en service régulier : VSR – Production, qui assure la validation des livrables dans l’environnement complet de production. l’ouverture des accès aux utilisateurs, l’assistance aux utilisations, le pilotage, la supervision et le traitement des évènements des infrastructures (maintenance proactive et réactive, sauvegarde, transfert de données…), le traitement des dysfonctionnements, que ce soit des incidents ponctuels ou des problèmes plus importants.
Cette étape comprend aussi la gestion de nouvelles demandes de services et des évolutions, qui seront traitées, conçues, développées et mises en production selon le même cheminement et la même rigueur de Qualité et de Sécurité que la demande et les exigences initiales.
11.2 Processus du mode Build 11.2.1 Activité de Conception Activité Conception Établir et valider les besoins de la solution cible Décliner les besoins en spécifications fonctionnelles et matérielles, générales, puis détaillées. - Réaliser les ateliers de conception générale/détaillée - Tracer les besoins fonctionnels et gérer les écarts Activités - Identifier les besoins de développements (Interfaces temporaires de reprise de données, interfaces générales permanentes - Construire les environnements techniques de développement Intrants Extrants - Cahier des charges - Livrables du projet complétés et validés - Experts client sur chacun des domaines fonctionnels, - Spécifications fonctionnelles générales techniques, sécurité - Spécifications fonctionnelles détaillées - Dossier d’architecture fonctionnelle - dossier d’architecture applicative et technique - spécifications techniques détaillées - dossier d’interface par interface interne - dossier d’interface par interface externe - politique de sécurité SI (PSSI) - plan de management de la sécurité - Dossier sécurité SI - Plateforme de développement Référentiels, Contraintes légales & réglementaires Risques majeurs Finalité
Plan d’Assurance Qualité
Page 65
Activité Conception - ISO 9001 - CMMI, ISO 13047 - Référentiels de sécurité, ISO 27001 - Référentiels de protocoles et d’ergonomie Instances de Gouvernance Directrice - Comité de Pilotage - Revues des processus porteurs Opérationnelles - Comité de suivi Conditions de passage au processus aval - Validation des livrables
-
Non validation des livrables dans les temps Non respect des exigences fonctionnelles
Interfaces du processus Interne - Piloter le portefeuille de services et de projets - Piloter les coûts des demandes et des services - Les processus de Transition - Les processus d’Exploitation Externe - Client - Fournisseurs Indicateurs de pilotage & performances Activités - Avancement des livrables Qualité Performances -
11.2.1.1 Description générale de l’activité Cette activité consiste à établir et valider les besoins de la solution cible : Réaliser les ateliers de conception générale/détaillée Établir la liste des écarts fonctionnels Identifier les besoins de développements (Interfaces temporaires de reprise de données, interfaces permanentes Construire les environnements techniques de développement
11.2.1.2 Description détaillée de l’activité La phase de conception prend en entrée les spécifications fonctionnelles validées par le client. Des groupes de travail composés de représentants du client, d’utilisateurs et de partenaires institutionnels et techniques seront constitués. Afin d’accélérer la prise de décision, l’équipe projet mettra en place une méthode de travail « RSW » (Rapid Solution Workshop). Cette méthode a montré son efficacité sur de nombreux projets informatiques complexes. Animés par les facilitateurs et les acteurs clés du projet, ces ateliers ont les objectifs suivants :
Décrire l'ensemble des traitements découpés en unités élémentaires. Consolider le modèle de données en fonction de l’évolution demandée. Préparer le plan de validation en rapport des composants modifiés ou créés et afin de s’assurer d’une non-régression de l’application modifiée.
Le dossier de conception rédigé est le document qui décrit la solution informatique retenue pour répondre aux besoins décrits dans le dossier de spécification technique. Il est en permanence tenu à jour et conforme à l’état de traitement des évolutions. Il est également le document qui permet, lors de la phase suivante:
De traduire la logique des traitements et les structures de données en langage de programmation. D’élaborer les plans de tests qui permettront de vérifier l’adéquation entre la conception et le logiciel réalisé.
Une fois consolidé, le dossier de conception peut être livré aux équipes du client pour validation. Ensuite l’équipe projet préparera une plateforme de test de l’environnement technique d’exécution et la plateforme de développement.
Plan d’Assurance Qualité
Page 66
11.2.1.3 Documents ou produits en entrée
Cahier des charges. Experts client sur chacun des domaines fonctionnels, techniques, sécurité.
11.2.1.4 Documents ou produits en sortie
Spécifications fonctionnelles générales Spécifications fonctionnelles détaillées Dossier d’architecture fonctionnelle dossier d’architecture applicative et technique spécifications techniques détaillées dossier d’interface par interface interne dossier d’interface par interface externe politique de sécurité SI (PSSI) plan de management de la sécurité Dossier sécurité SI Plateforme de développement
Validation des livrables
11.2.1.5 Condition de passage à l’étape suivante
Plan d’Assurance Qualité
Page 67
11.2.2 Activité de Développement Processus Développement Finalité Activités générales
Réaliser la solution cible -
Développer les applicatifs et services de la prestation Intrants
Livrables de l’activité de Conception - Spécifications fonctionnelles générales - Spécifications fonctionnelles détaillées - Dossier d’architecture fonctionnelle - dossier d’architecture applicative et technique - spécifications techniques détaillées - dossier d’interface par interface interne - dossier d’interface par interface externe - politique de sécurité SI (PSSI) - plan de management de la sécurité - Dossier sécurité SI Contraintes légales & Réglementaires -
ISO 9001 CMMI, ISO 13047 Référentiels de sécurité, ISO 27001 Référentiels de protocoles et d’ergonomie
Instances de Gouvernance Directrice - Comité de Pilotage - Revues des processus porteurs Opérationnelles - Comité de suivi -
Conditions de passage au processus aval Validation des livrables Validation du code
-
Extrants Livrables du projet complétés et validés Plan de gestion de la configuration Dossier des normes et règles de développement Manuel d’installation du système et des interfaces Guide et procédures d’exploitation du système et des interfaces Mise à jour du dossier sécurité Dossier des modalités de tests Mise en œuvre des outils de tests Solution développée
Risques majeurs Non validation des livrables dans les temps Écarts fonctionnelles Brèche de Sécurité Incompatibilité entre les composants Incohérences des données inter-applicatifs Interfaces du processus Interne - Les processus de Stratégie - Les processus de Conception - Les processus d’Exploitation Externe - Client - Fournisseurs Indicateurs de pilotage & performances Activités - Avancement des livrables Qualité Performances -
11.2.2.1 Description générale de l’activité Réaliser la solution cible selon les bonnes pratiques de développement logiciel et informatique.
11.2.2.2 Description détaillée de l’activité Deux phases de tests sont principalement nécessaires dans le but de développer et pré-valider les applicatifs :
Plan d’Assurance Qualité
Page 68
Tests unitaires : Les tests unitaires ont pour vocation de vérifier une à une les fonctions et leur usage. Ils sont réalisés par le développeur sur la base d’un scénario défini dès les spécifications détaillées. Ces tests sont déroulés manuellement dans un premier temps puis au moyen d’outils dans une deuxième étape. Tests fonctionnels : Les tests fonctionnels ont pour objet de s’assurer de la conformité du système par rapport à ses spécifications, donc du respect des exigences en termes de capacités : existence de toutes les fonctions et exécution correcte dans les cas d’utilisation nominaux. Dans ce type de test, les jeux d’essais sont sélectionnés à partir des spécifications, ce qui leur confère une indépendance par rapport à la structure du code et garantit le maintien de leur pertinence si celle-ci évolue. Une spécification repose sur un ensemble de propriétés. Le terme de propriété est utilisé pour caractériser des fonctionnalités, par exemple des enchaînements d’actions, des valeurs de seuil ou des contraintes de fonctionnement. Chaque propriété identifie un point précis dans la spécification. La sélection d’un jeu d’essais pour chaque propriété de la spécification assure une certaine couverture des fonctionnalités.
11.2.2.3 Documents ou produits en entrée
Spécifications fonctionnelles générales Spécifications fonctionnelles détaillées Dossier d’architecture fonctionnelle dossier d’architecture applicative et technique spécifications techniques détaillées dossier d’interface par interface interne dossier d’interface par interface externe politique de sécurité SI (PSSI) plan de management de la sécurité Dossier sécurité SI
Plan de gestion de la configuration dossier des normes et règles de développement manuel d’installation du système et des interfaces guide et procédures d’exploitation du système et des interfaces Mise à jour du dossier sécurité dossier des modalités de tests Mise en œuvre des outils de tests Solution développée
Validation des livrables
11.2.2.4 Documents ou produits en sortie
11.2.2.5 Condition de passage à l’étape suivante
Plan d’Assurance Qualité
Page 69
11.2.3 Activité de VABF - Intégration et recette Processus VABF – Intégration et recette Finalité Activités générales
Intégrer la solution cible - Exécuter les tests d’intégration et de recette - Préparer les formations utilisateurs - Préparer l’organisation au changement - Préparer le plan de bascule Intrants
Livrables de la phase Développement - Plan de gestion de la configuration - dossier des normes et règles de développement - manuel d’installation du système et des interfaces - guide et procédures d’exploitation du système et des interfaces - Mise à jour du dossier sécurité - dossier des modalités de tests - Mise en œuvre des outils de tests - Solution développée
Référentiels, Contraintes légales & réglementaires ISO 9001 CMMI, ISO 13047 Référentiels de sécurité, ISO 27001 Référentiels de protocoles et d’ergonomie Instances de Gouvernance Directrice - Comité de pilotage Opérationnelles - Comité de suivi -
Plan d’Assurance Qualité
Extrants Livrables du projet complétés et validés : - Définition des procédures de gestion d’anomalies - Mise à disposition l’outil de gestion d’anomalies - Mise en place du référentiel de tests - Rédaction des plans de tests fonctionnels - Rédaction des plans de tests fonctionnels pour les interfaces - Rédaction des plans de tests techniques - Mise à disposition de l’environnement de validation d’un système - Construction des jeux de tests techniques y compris les interfaces entre systèmes - Exécution des plans de tests fonctionnels, interfaces et techniques - Maintenances correctives nécessaires aux anomalies détectées - Fourniture des indicateurs de pilotage de la VABF - Fourniture du bilan de la recette - Mise à jour le dossier de sécurité - Mise à jour la documentation associée aux projets (plan de gestion des changements, plan de réversibilité…) - Mise à disposition de l’environnement de pré-production Risques majeurs - Non validation des livrables dans les temps - Indisponibilité de la MOA - Indisponibilité des plateformes Interfaces du processus Interne - Les processus de Conception - Les processus de Production Externe - Client - Fournisseurs
Page 70
Processus VABF – Intégration et recette Conditions de passage au processus aval - Validation des livrables - Solutions développée corrigée, ajustée et validée
Indicateurs de pilotage & performances Activités - Avancement des livrables Qualité Performances -
11.2.3.1 Description générale de l’activité Intégrer la solution cible dans l’environnement technique de pré-production.
11.2.3.2 Description détaillée de l’activité Exécuter les tests d’intégration et de recette Préparer les formations utilisateurs Préparer l’organisation au changement Préparer le plan de bascule Tests d’intégration applicative : Ces tests permettent de valider le bon enchaînement des fonctions et des programmes en modules métiers cohérents, dans le respect des spécifications fonctionnelles. Ces tests sont menés sur la base de scénarios prédéfinis et déroulés en lien avec une intelligence métier (obligatoire pour bien anticiper les usages). Tests de qualité logicielle : Ces tests ne touchent pas, ou peu, aux spécifications métiers mais ont pour objet de valider la qualité de la réalisation du code en lui-même, en particulier le respect des normes et règles de développement en terme de qualité et de sécurité. Tests de non-régression : Les tests de non régression ont pour objet de vérifier dans une version N+1 d’un module ou d’une application l’absence de dégradation fonctionnelle liée aux corrections apportées par rapport à une version N précédente. L’objectif est de permettre de ne pas avoir à balayer de nouveau l’ensemble des tests fonctionnels lors de la fourniture d’une nouvelle version. Ces tests consistent à identifier et à rejouer des tests fonctionnels sur les composants non directement touchés par des modifications afin de s'assurer de leur bon fonctionnement. Les tests de non régression sont préalablement identifiés au cours de la description des tests et au cours de l’exécution des tests initiaux. Ils sont rejoués, après les tests des modifications, pour tous les cas de régénération du logiciel. On distingue deux types de tests de non régression : Le test de non régression « contextuel » sur les composants interfacés avec les composants modifiés (et qui risquent d’être impactés par les modifications). Le test de non régression « systématique » sur les composants indépendants (a priori non touchés par les modifications).
Plan d’Assurance Qualité
Page 71
11.2.3.3 Documents ou produits en entrée
Plan de gestion de la configuration dossier des normes et règles de développement manuel d’installation du système et des interfaces guide et procédures d’exploitation du système et des interfaces Mise à jour du dossier sécurité dossier des modalités de tests Mise en œuvre des outils de tests Solution développée
11.2.3.4 Documents ou produits en sortie
Définition des procédures de gestion d’anomalies Mise à disposition l’outil de gestion d’anomalies Mise en place du référentiel de tests Rédaction des plans de tests fonctionnels Rédaction des plans de tests fonctionnels pour les interfaces Rédaction des plans de tests techniques Mise à disposition de l’environnement de validation d’un système Construction des jeux de tests techniques y compris les interfaces entre systèmes Exécution des plans de tests fonctionnels, interfaces et techniques Maintenances correctives nécessaires aux anomalies détectées Fourniture des indicateurs de pilotage de la VABF Fourniture du bilan de la recette Mise à jour le dossier de sécurité Mise à jour la documentation associée aux projets (plan de gestion des changements, plan de réversibilité, …) Mise à disposition de l’environnement de pré-production
Validation des livrables
11.2.3.5 Condition de passage à l’étape suivante
Plan d’Assurance Qualité
Page 72
11.2.4 Activité de VABF - Mise en production Processus VABF - Mise en production Finalité Activités générales
Préparer la mise en production de la solution - Installer le système de production - Préparer à la mise en production - Mettre en place le support utilisateurs - Valider l’exploitabilité des systèmes - Former des utilisateurs Intrants
Livrables de la phase précédente - Définition des procédures de gestion d’anomalies - Mise à disposition l’outil de gestion d’anomalies - Mise en place du référentiel de tests - Rédaction des plans de tests fonctionnels - Rédaction des plans de tests fonctionnels pour les interfaces - Rédaction des plans de tests techniques - Mise à disposition de l’environnement de validation d’un système - Construction des jeux de tests techniques y compris les interfaces entre systèmes - Exécution des plans de tests fonctionnels, interfaces et techniques - Maintenances correctives nécessaires aux anomalies détectées - Fourniture des indicateurs de pilotage de la VABF - Fourniture du bilan de la recette - Mise à jour le dossier de sécurité - Mise à jour la documentation associée aux projets (plan de gestion des changements, plan de réversibilité…) - Mise à disposition de l’environnement de pré-production Référentiels, Contraintes légales & réglementaires - ISO 9001 - CMMI, ISO 13047 - Référentiels de sécurité, ISO 27001 - Référentiels de protocoles et d’ergonomie Instances de Gouvernance Directrice - Comité de pilotage Opérationnelles - Comité de suivi
Plan d’Assurance Qualité
Extrants Livrables du projet complétés et validés - Définition et mise en place du plan de continuité de service - Définition et mise en place de la gestion de la capacité - Définition et mise en place de la gestion des incidents - Définition et mise en place de la supervision des systèmes et services - Définition et mise en place de la gestion des problèmes - Définition et mise en place de la gestion de la qualité de service - Plans de tests de charge et de performance - Construction des jeux de test associés - Exécution des tests de charge - Bilan des tests de charge et de performance - Mise à jour du guide et les procédures d’exploitation - Mise à disposition de l’environnement de production - Mise à jour du dossier de sécurité - Fourniture du bilan de la mise en pré-production
-
Risques majeurs Non validation des livrables dans les temps
Interfaces du processus Interne - Les processus de Stratégie - Les processus de Conception - Les processus d’Exploitation Externe - Client - Fournisseurs
Page 73
Processus VABF - Mise en production Conditions de passage au processus aval - Validation des livrables - Livraison du système de production
Indicateurs de pilotage & performances Activités - Avancement des livrables Qualité Performances -
11.2.4.1 Description générale de l’activité Préparer la mise en production de la solution
11.2.4.2 Description détaillée de l’activité Tests de sécurité applicative : Les tests de sécurité applicative sont des tests techniques dont l’objet est de détecter les points de fragilité du code pouvant prêter le flanc à des attaques et constituant des failles de sécurité (codes malicieux, back-door, chevaux de Troie, …). Pour chaque module ou application, il est nécessaire de vérifier s’il fait bien ce pourquoi il est programmé, mais également qu’il ne peut pas répondre à d’autres sollicitations détournées. C’est l’objet des tests de sécurité que de s’assurer qu’une sollicitation erronée (intentionnelle ou non). Typiquement, ce type de tests à pour objectifs :
De vérifier que les utilisateurs sont bien identifiés ; De contrôler le niveau d’accessibilité en fonction des habilitations (accès aux fonctions, accès aux données, actions autorisées, etc.) ; D’évaluer la résistance à différentes attaques.
Tests techniques : Les tests liés aux plates-formes techniques sont l’aboutissement de la démarche préparatoire initiée dès le lancement du projet. Au-delà de ces vérifications réglementaires, procède également à des contrôles réguliers préventifs portant notamment sur la qualité du courant délivré et sur d’éventuelles apparitions de points chauds par contrôle thermographique infrarouge.
Plan d’Assurance Qualité
Page 74
11.2.4.3 Documents ou produits en entrée
Définition des procédures de gestion d’anomalies Mise à disposition l’outil de gestion d’anomalies Mise en place du référentiel de tests Rédaction des plans de tests fonctionnels Rédaction des plans de tests fonctionnels pour les interfaces Rédaction des plans de tests techniques Mise à disposition de l’environnement de validation d’un système Construction des jeux de tests techniques y compris les interfaces entre systèmes Exécution des plans de tests fonctionnels, interfaces et techniques Maintenances correctives nécessaires aux anomalies détectées Fourniture des indicateurs de pilotage de la VABF Fourniture du bilan de la recette Mise à jour le dossier de sécurité Mise à jour la documentation associée aux projets (plan de gestion des changements, plan de réversibilité …) Mise à disposition de l’environnement de pré-production
Définition et mise en place du plan de continuité de service Définition et mise en place de la gestion de la capacité Définition et mise en place de la gestion des incidents Définition et mise en place de la supervision des systèmes et services Définition et mise en place de la gestion des problèmes Définition et mise en place de la gestion de la qualité de service Plans de tests de charge et de performance Construction des jeux de test associés Exécution des tests de charge Bilan des tests de charge et de performance Mise à jour du guide et les procédures d’exploitation Mise à disposition de l’environnement de production Mise à jour du dossier de sécurité Fourniture du bilan de la mise en pré-production Installer le système de Production
11.2.4.4 Documents ou produits en sortie
11.2.4.5 Condition de passage à l’étape suivante
Validation des livrables
Plan d’Assurance Qualité
Page 75
11.3 Activité du mode « Run » - Production Processus Finalité Activités générales
VSR - Production Préparer la mise en production de la solution - Exploiter et piloter le système - Corriger les anomalies dans le niveau de service défini Intrants
Livrables de la phase précédente - Définition et mise en place du plan de continuité de service - Définition et mise en place de la gestion de la capacité - Définition et mise en place de la gestion des incidents - Définition et mise en place de la supervision des systèmes et services - Définition et mise en place de la gestion des problèmes - Définition et mise en place de la gestion de la qualité de service - Plans de tests de charge et de performance - Construction des jeux de test associés - Exécution des tests de charge - Bilan des tests de charge et de performance - Mise à jour du guide et les procédures d’exploitation - Mise à disposition de l’environnement de production - Mise à jour du dossier de sécurité - Fourniture du bilan de la mise en pré-production - Système de Production installé Référentiels, Contraintes légales & réglementaires - ISO 9001 - Référentiels de sécurité, ISO 27001 - Référentiels de protocoles et d’ergonomie Instances de Gouvernance Directrice - Comité de pilotage Opérationnelles - Comité de suivi
Conditions de passage au processus aval Vers Gérer & Tracer les demandes & les exigences - Demande d’évolutions
Extrants
Livrables du projet complétés et validés - Bilan de la mise en production - Mise à jour du dossier de sécurité - Maintenances correctives nécessaires aux anomalies détectées - Indicateurs de pilotage de la période de VSR - Bilan de la période de VSR - Rapport d’exploitation avec notamment : Incidents et problèmes, Qualité de service
-
Risques majeurs Non validation des livrables dans les temps
Interfaces du processus Interne - Les processus de Stratégie - Les processus de Conception - Les processus de Transition Externe - Client - Fournisseurs Indicateurs de pilotage & performances Activités - Avancement des livrables Qualité Performances -
11.3.1.1 Description générale de l’activité Préparer la mise en production de la solution et exploiter la presstation.
11.3.1.2 Description détaillée de l’activité Exploiter et piloter le système Plan d’Assurance Qualité
Page 76
Corriger les anomalies dans le niveau de service défini Ce chapitre décrit les dispositifs mis en œuvre en terme de maintenance préventive et corrective pour répondre aux exigences du cahier des charges pendant toute la phase de production des systèmes. Maintenance préventive : La maintenance préventive logicielle a pour objet de prévenir et simplifier la maintenance corrective et évolutive. Cette maintenance s’appuie sur des processus de « nettoyage » des codes sources ayant pour objectif de les débarrasser des bras de codes morts, des éléments et boucles logicielles inutiles ou ré-entrantes. L’objectif de la maintenance préventive est de planifier des opérations de contrôle des codes sources dans des plages de disponibilité des équipements, afin d’anticiper toute défaillance ayant pour conséquence directe une dégradation ou une interruption du service. Cette maintenance préventive est appliquée au travers de processus méthodologiques et qualité dans plusieurs cas :
Lors de la détection et de la correction de dysfonctionnements dans le cadre d’une maintenance corrective, l’ensemble des routines présentant les mêmes similarités que celles venant d’être corrigées sont passées en revue et éventuellement corrigées à leur tour ; Lors d’opérations de contrôles généraux planifiés (audits qualité) ou l’ensemble des codes, librairies, documentations et supports est passé en revue en termes de contenu et de cohérence ; Lors d’opérations de montée de versions majeures dans les mêmes conditions que celles des audits qualité.
Maintenance corrective :La maintenance corrective fait l’objet d’une attention toute particulière et est affectée à une partie spécialisée de l’équipe de maintenance applicative, dont les compétences et l’expérience permettent la réalisation des corrections dans les règles de l’art, avec le niveau d’autonomie requis pour la livraison de corrections exemptes d’effets de bord et dans le respect des délais imposés dans le CCTP. On peut distinguer deux types de maintenance corrective :
La production d’une version corrective de l’application ; La production d’une version corrective urgente « EBF » (Emergency Bug Fix).
Le but d’une version corrective est d’améliorer la qualité du produit. Une version corrective ne contient que des corrections et jamais d’amélioration, afin d’éviter l’introduction de nouveaux bugs. Ayant un spectre moins large qu’une version évolutive, une version corrective est plus rapide à développer. Gestion des versions correctives urgentes (EBF) : Le rythme de production des versions correctives ne permet pas forcément d’apporter une solution aussi rapidement que nécessaire à une anomalie de type bloquante. En effet, corriger plusieurs bugs demande plus de temps de développement et de test que corriger un seul bug. En cas de besoin (blocage par exemple), il est donc possible de créer une version corrective urgente (EBF ou « Emergency Bug Fix ») qui est une version corrective dédiée à la correction d’un seul bug grave. En synthèse, toute maintenance corrective, même « à chaud » donne lieu à la création d’une version intermédiaire mineure, afin de rester en conformité avec les exigences de traçabilité. Seul le processus de livraison du correctif peut être allégé au maximum, afin de respecter des délais de mise en production extrêmement courts liés à l’urgence de la correction. En aucun cas, un correctif ne peut être livré en production sans avoir subi les tests appropriés en environnement de recette et de pré-production.
Plan d’Assurance Qualité
Page 77
11.3.1.3 Documents ou produits en entrée
Définition et mise en place du plan de continuité de service Définition et mise en place de la gestion de la capacité Définition et mise en place de la gestion des incidents Définition et mise en place de la supervision des systèmes et services Définition et mise en place de la gestion des problèmes Définition et mise en place de la gestion de la qualité de service Plans de tests de charge et de performance Construction des jeux de test associés Exécution des tests de charge Bilan des tests de charge et de performance Mise à jour du guide et les procédures d’exploitation Mise à disposition de l’environnement de production Mise à jour du dossier de sécurité Fourniture du bilan de la mise en pré-production Installer le système de Production
Bilan de la mise en production Mise à jour du dossier de sécurité Maintenances correctives nécessaires aux anomalies détectées Indicateurs de pilotage de la période de VSR Bilan de la période de VSR Rapport d’exploitation avec notamment : Incidents et problèmes, Qualité de service
Validation des livrables
11.3.1.4 Documents ou produits en sortie
11.3.1.5 Condition de passage à l’étape suivante
Plan d’Assurance Qualité
Page 78
11.4 Processus de Management 11.4.1 Manager la prestation Processus Manager la prestation Déterminer, élaborer et décider de la politique de management, des objectifs, des actions et des ressources pour mener à bien les engagements du projet en termes budgétaires et qualitatifs. - Élaborer la stratégie de l’organisation Activités - Définir la politique et les objectifs opérationnels en relation avec les engagements générales - Définir et réaliser le budget - Sélectionner et suivre l’avancement et la réalisation des objectifs Intrants Extrants - Cahier des Charges - Politique de management - Contrat de service - Planning Directeur - Choix des Référentiels Référentiels, Contraintes légales & réglementaires Risques majeurs - Tous les référentiels et les corpus légaux et - Non traitement des exigences du client réglementaires s’appliquant à la prestation Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Direction (RDD) - Tous les autres processus Opérationnelles Externe - Comité de Direction - Client Conditions de passage au processus aval Indicateurs de pilotage & performances Vers tous les processus Activités - Décisions et arbitrage en Comité de Direction À compléter en version 1 Qualité À compléter en version 1 Performances À compléter en version 1 Finalité
Plan d’Assurance Qualité
Page 79
11.4.2 Manager la Sûreté et la Sécurité Processus Manager la Sûreté et la Sécurité Déterminer, élaborer et décider de la politique management de la sûreté et de la sécurité, des objectifs, des actions et des ressources pour mener à bien l’application de cette politique et l’atteinte des objectifs. Activités - Élaborer la stratégie de sécurité et définir les chantiers « Sécurité » générales - Définir la politique et les objectifs opérationnels relatifs à la sécurité Intrants Extrants - Politique de management - Proposition de référentiels de sécurité (architecture SI, - Planning Directeur liste des risques…) - Référentiels de sécurité - Politique de sécurité - Cahier des Charges - Rapport d’audits sécurité - Dossier sécurité SI - Plan de management de la sécurité Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 27001 - Non-conformité et écarts par rapport à un référentiel - Informatique & Liberté de sécurité ou de risques. - Décret d’hébergement de données de santé à caractère personnel, code de santé publique. - Plan de management de la sécurité client (si applicable) Instances de Gouvernance Interfaces du processus Directrice Interne - Revue du Processus « Manager la Sécurité » - Garantir la sécurité SI - Comité de Gestion des Risques SSI - Tous les processus de réalisation Opérationnelles Externe - Comité de Gestion de la Sécurité - Client - Revue de référentiels Sécurité - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Garantir la sécurité SI Activités - Validation de la politique de management de la À compléter en version 1 sécurité - Mise à jour des référentiels de sécurité et de Qualité couverture de risques À compléter en version 1 Vers les processus de Transition & d’Exploitation - Validation de la politique de management de la Performances sécurité À compléter en version 1 - Mise à jour des référentiels de sécurité et de couverture de risques Finalité
Plan d’Assurance Qualité
Page 80
11.4.3 Manager la Performance & l’Amélioration permanente Processus Manager la Performance & l’Amélioration permanente Déterminer, élaborer et décider de la politique Qualité, des objectifs, des actions et des ressources pour mener à bien l’application de cette politique et l’atteinte des objectifs. - Élaborer la stratégie de management de la performance et de l’amélioration permanente, en fonction de Activités la Politique de management. générales - Définir la politique Qualité et les objectifs Qualité. Intrants Extrants - Manuel de management et procédures Qualité du - Politique de management client (si applicable) - Planning Directeur - Choix des Référentiels - Rapports d’audits - Plan d’Assurance Qualité de la prestation Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non-conformité ou écart par rapport à l’un des - ITIL, ISO 20000 référentiels - Référentiels qualités applicables à la prestation Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Direction (RDD) - Tous les processus. Opérationnelles Externe - Comité de Direction - Système de management du client - Système de management des fournisseurs - Organisme d’audit externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers tous les processus Activités - Tous les processus sont auditables. - Tous les processus doivent appliquer les règles Qualité édictées par le processus Qualité et le PAQ. - Nombre de non-conformités, d’écarts, de points faibles et de points forts lors des audits Performances Finalité
Pour plus de détails sur l’amélioration permanente, voir 15 Mesure & Amélioration permanente des services.
Plan d’Assurance Qualité
Page 81
11.5 Processus de Réalisation 11.5.1 Gérer & tracer les demandes et les exigences Processus Gérer & tracer les demandes et les exigences Gérer les demandes d’un point de vue technique et non-technique. Garantir que les relations entre les demandes et leurs changements d’une part et le plan projet et les livrables d’autre part sont identifiées. - Comprendre les demandes et les qualifier Activités - Informer sur la prise en compte des demandes et des exigences générales - S’assurer que les demandes sont testables. - Maintenir la traçabilité des demandes Intrants Extrants - Exigences clients (du cahier des charges et de clients - Exigences approuvées internes au projet) - Matrice de traçabilité - Évolutions aux exigences déjà validées - RFC (Request For Change/ Demande d’Évolution) Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9 001, ITIL - Non traitement d’une demande - CMMI - Non traçage d’une exigence fonctionnelle Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer le portefeuille des services Opérationnelles - Gérer le catalogue de services - Comité de Pilotage opérationnelle - Gérer les fournisseurs SI - Tous les processus de Transition - Tous les processus d’Exploitation Externe - Client Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer le portefeuille des services Activités - Une demande de service qui n’est pas dans le catalogue déclenche les activités du processus Gérer le Qualité portefeuille des services afin de l’étudier Vers Gérer les fournisseurs SI Performances - Les activités du processus Gérer les fournisseurs peuvent être concomitantes aux activités du processus Gérer les demandes si celles-ci nécessitent un produit/service d’un fournisseur Vers Gérer les actifs et la configuration SI - Les livrables du processus Gérer les demandes sont gérés en versions et contrôlés selon le processus Gérer les actifs et la configuration SI. Finalité
Plan d’Assurance Qualité
Page 82
11.5.2 Gérer le portefeuille de services Processus Gérer le portefeuille de services Finalité
Décider et piloter des projets (fonctions, produits et services) mis en œuvre et de leur planification initiale - Recevoir les demandes et les faire étudier avant de prononcer leur inscription au portefeuille des services - Gérer le portefeuille de services et la planification des étapes de la vie des services Activités - Assurer la gouvernance des projets générales - Assurer le management des projets et des services inscrits dans le portefeuille des services - Veiller à l’ajustement et l’amélioration des produits / services au cours de leur vie - Piloter l’arrêt et la déconstruction d’un produit / service Intrants Extrants - Demande de services, produits et fonctions - Portefeuille de Services à jour - Exigences et Cahier des Charges du client - Management des services inscrits dans le portefeuille de services - Reporting d’avancement des travaux Référentiels, Contraintes légales & réglementaires Risques majeurs - Référentiels en vigueur sur la prestation - Inadéquation du Calendrier du portefeuille - Inadéquation des produits/services avec les exigences et les attentes des Clients (utilisateurs, MOA). Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer & Tracer les demandes et les exigences Opérationnelles - Piloter les coûts des demandes et des services - Comité des Projets - Gérer le catalogue de services - Tous les autres processus de réalisation Externes - Client - Comité de suivi Conditions de passage au processus aval Indicateurs de pilotage & performances Vers tous les autres processus de réalisation Activités - Après la décision de passage du J-1 Qualité Performances -
Le processus « Gérer le portefeuille de services » gère les demandes de services en provenance du processus « Gérer & Tracer les demandes et les exigences » et il se prononce sur leurs inscriptions au portefeuille de service, au cours du Comité des Projets (voir 7.2.4.2.3 Comité des Projets).
Une demande inscrite est portée dans la partie « pipeline » du portefeuille. Quand le service lié à la demande est mis en production, il apparait au « Catalogue » des services disponibles. Quand il est décidé du retrait du service, il est porté dans la partie « Services retirés ».
Figure 18 : Portefeuille des services
Plan d’Assurance Qualité
Page 83
Le processus gère l’ensemble des projets et des services inscrits au sein du portefeuille, selon un cycle de vie établie autour de neufs jalons majeurs, ponctuant et servant de passages obligatoires au cours des huit étapes de la vie d’un service.
Figure 19 : Cycle de vie des projets & Jalons de décision
Jalons J-1
J0
J1
J2
J3
J4
J5
J6
J7
Étapes & Nom des Jalons Demande : Processus Gérer les demandes Revue d’Opportunité Jalon décidant le lancement des études de faisabilité et de conception générale Études : Études & Qualification de la demande Revue de Faisabilité Jalon décidant le lancement des études de conception détaillées Conception Revue de Conception Jalon décidant du lancement du développement (incluant les tests, la recette et la VABF) Développement Revue de Développement Jalon décidant du déploiement, avec ou sans phrase pilote, et de la VSR Déploiement Revue de Lancement Jalon portant revue sur le déploiement et décidant de l’ouverture du service Exploitation Revues d’Exploitation Jalons de revue de l’exploitation, décidant des ajustements et des modifications à apporter au service et à son exploitation pour l’améliorer Du constat de ce jalon peut émerger une demande pour initier le produit ou le service de génération suivante Exploitation ajustée Décision de fin de vie Jalon décidant de la déconstruction d’un produit ou d’un service Migration des utilisateurs & des données sur le produit/service de substitution Revue de Migration Jalon décidant de la fermeture du service et de la déconstruction des infrastructures le portant Dépose Revue de Déconstruction Jalon prononçant la fin de la déconstruction et tirant bilan de l’opération de déconstruction
Plan d’Assurance Qualité
Page 84
11.5.3 Piloter les coûts des demandes et des services Processus Piloter les coûts des demandes et des services Établir et mettre à jour le coût des demandes de service Prévoir, ajuster et suivre le coût des services une fois la demande traitée, conçue, développée et mise en production - Établir le coût de conception et de développement d’une demande - Établir le coût prévisionnel de production, d’exploitation et de maintenance d’un service relative à une Activités demande générales - Suivre ces coûts et les mettre à jour au cours du cycle de vie de la demande jusqu’au service en exploitation Intrants Extrants - Demande de service - Coût prévisionnel d’une demande - Éléments de coûts des services - Coût d’un service Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9 001, ITIL - Erreur dans l’établissement du coût prévisionnel de - CMMI conception et de développement d’un service, dérapage de budget. Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer le portefeuille des services Opérationnelles - Gérer les fournisseurs SI - Comité de Pilotage opérationnelle - Gérer le catalogue de services - Gérer les éléments administratifs et financiers Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer le portefeuille de services Activités - Fourniture des coûts prévisionnels de la demande de service Qualité Vers Gérer les fournisseurs SI - Besoin d’un chiffrage pour établir les coûts Performances prévisionnels d’une demande de service - Besoin de coût à jour pour mettre à jour les coûts d’un service Vers Gérer le catalogue de service - Fourniture des coûts et du budget prévisionnel d’un service à développer Gérer les éléments administratifs et financiers - Inscription d’une demande au portefeuille de service : le processus fournit le budget prévisionnel de conception et de développement du service à Gérer les éléments administratifs et financiers Finalité
Plan d’Assurance Qualité
Page 85
11.5.4 Gérer le catalogue de services Processus Gérer le catalogue de services Assurer que les nouveaux services et les changements apportés aux services peuvent être livrés et gérés conformément aux demandes du client Finalité Assurer que les processus et les outils de la gestion de service permettent la conception et la maintenance des services dans le cadre de travail de la gestion du service Activités - Développer un service selon les critères de disponibilité, de continuité et de capacité générales - Valider et surveiller les services Intrants Extrants - Demande de service porté au portefeuille des services - Catalogue de services. - Évolutions apportées au SLA. - Plan de gestion des services. - Demande d’évolution mineure d’un service déjà porté - Rapport concernant la validation des services. au catalogue de service - Critères d’acceptation d’un service. Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Catalogue de service non à jour - ITIL - Retard de développement d’un service à apporter au catalogue Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer les niveaux de service Opérationnelles - Réaliser les mises en production et les déploiements - Comité de Pilotage opérationnelle - Gérer & Garantir les changements - Garantir la continuité - Garantir la capacité Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les niveaux de service Activités - Quand un service est à inscrire au catalogue, des SLA peuvent être négociés entre le fournisseur et le client. Qualité Vers Réaliser les mises en production et les déploiements - Quand un service est à inscrire au catalogue, le Performances fournisseur doit garantir au client la compatibilité du service avec l’environnement propre au client. Vers Gérer & Garantir les changements - Quand un service est à inscrire au catalogue, Gérer les changements évalue les impacts sur les services existants Vers le processus Garantir la continuité et Garantir la capacité - Quand un service est à inscrire au catalogue, la demande est transmise à ces processus pour établir les spécifications fonctionnelles et techniques détaillées
Plan d’Assurance Qualité
Page 86
11.5.5 Gérer les niveaux de services Processus Gérer les niveaux de service Établir les SLA Surveiller les niveaux de services définis dans les SLA Activités - Négocier les SLA et les OLA générales - Surveiller les SLA et les OLA Intrants Extrants - Demande du service à inscrire au catalogue de service - SLA, OLA signés - Spécifications fonctionnelles et techniques attendue - Contrats signés avec les fournisseurs sur une demande - Reporting de suivi des SLA et des OLA - Données pour suivre les OLA et les SLA - Plan d’actions pour garantir les SLA et les OLA - Retour sur les actions à réaliser pour garantir les SLA et les OLA Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Niveau de service incompatible avec des demandes - ITIL exprimées ou latentes - ISO 27001 Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer le catalogue de service Opérationnelles - Gérer les fournisseurs SI - Comité de Pilotage opérationnelle - Garantir la sécurité, Garantir la disponibilité SI, Garantir la continuité SI, Garantir la capacité SI - Tous les processus de Transition - Gérer la supervision - Gérer les évènements - Traiter les incidents Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers les processus Gérer le catalogue de service, Gérer la Activités supervision, Gérer les évènements, Traiter les incidents - SLA et OLA signés transmis pour prise en compte Qualité Vers Garantir la sécurité, Garantir la disponibilité SI, Garantir la continuité SI, Garantir la capacité SI Performances - SLA et OLA demandés - SLA et OLA signés transmis pour prise en compte Vers les processus de Transition - SLA et OLA signés transmis pour prise en compte - Actions pour corriger le niveau de service non tenu Vers le processus Gérer les fournisseurs SI - Si le niveau de service négocié dépend de fournisseurs / sous-traitants alors les activités du processus s’enclenchent. Finalité
Plan d’Assurance Qualité
Page 87
11.5.6 Gérer les fournisseurs SI Processus Gérer les fournisseurs SI Finalité
Sélectionner, évaluer et gérer les fournisseurs - Identifier les besoins pour lesquels un fournisseur est nécessaire. Activités - Contractualiser la fourniture de service et des produits générales - Évaluer les fournisseurs et les fournitures - Gérer la performance et les contrats du fournisseur. Intrants Extrants - Demande de service avec Identification d’un produit ou - Contrats signés service externe - Liste des fournisseurs agréés - Spécifications fonctionnelles et techniques détaillées - Rapports d’audit des Fournisseurs de la demande - Évaluation des fournisseurs (qualité de - Contrat avec un fournisseur service/produits, coût, délais, relations) - Livraison d’un produit ou d’un service par un fournisseur Référentiels, Contraintes légales & réglementaires Risques majeurs - Corpus légal et réglementaire sur la sous-traitance - Perte d'alimentation énergétique - Référentiels & règles de sous-traitance du client - Dysfonctionnement du matériel - Incomplétude de service - SLA non tenu Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer le catalogue de services Opérationnelles - Gérer les niveaux de service - Comité de Pilotage opérationnelle - Tous les processus de Transition Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer le catalogue de services Activités - Signature avec un fournisseur de service pour inscrire au catalogue le service négocié Qualité Vers Gérer les niveaux de Service - Signature avec un fournisseur de service pour mettre à Performances jour les SLA et les OLA du service Vers tous les processus de transition - Mise à jour de la liste des fournisseurs
Plan d’Assurance Qualité
Page 88
11.5.7 Garantir la sécurité SI Processus Garantir la sécurité de l’information Évaluer les risques liés à la sécurité d’un service Définir et mettre en place des mesures et des contrôles appropriés Contrôler et évaluer les risques à intervalles réguliers - Concevoir et faire déployer les infrastructures nécessaires pour garantir la conservation des données. Activités - Concevoir et faire déployer les méthodes pour le respect de la politique sécurité. générales - Réaliser régulièrement des revues et des audits de sécurité Intrants Extrants - Exigences et référentiels de sécurité du client - Politique sécurité et d’accès - Exigences par services demandées - Indicateurs sécurité - Risques opérationnels et technologiques - Enregistrements des incidents liés à la sécurité de - Information et alerte sur les brèches technologiques l’information - Formation et orientation destinées à concevoir et déployer les politiques de sécurité - Dossier de sécurité Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Pertes de moyens de télécommunications - ISO 27001 - Intrusion - CNIL, Code de la sécurité sociale - Écoute passive - Référentiels de la sécurité - Perte de données - Non respect des exigences réglementaires sur les données Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Manager la Sûreté et la Sécurité - Comité de Pilotage de la Sûreté et de la sécurité - Gérer les fournisseurs SI Opérationnelles - Gérer les accès - Comité de Pilotage opérationnelle - Tous les processus de Transition - Tous les processus d’Exploitation Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers les processus de Transition et d’Exploitation Activités - Actions pour corriger une brèche de sécurité - Spécifications pour développer et exploiter les services Qualité Vers Gérer les fournisseurs SI - Spécifications pour la fourniture des services et des Performances produits Vers Gérer les fournisseurs SI - Politique de gestion des accès et des refus d’accès Vers Manager la Sûreté et la Sécurité - Les problématiques de management de la Sécurité peuvent être associées à des risques qui requièrent évaluation et reporting au niveau du processus Manager la sûreté et la sécurité Finalité
Plan d’Assurance Qualité
Page 89
11.5.8 Garantir la disponibilité SI Processus Garantir la disponibilité SI Évaluer les risques liés à la disponibilité d’un service Définir et mettre en place des mesures et des contrôles appropriés Finalité Contrôler et évaluer les risques à intervalles réguliers Surveiller la disponibilité des services - Traiter les demandes de SLA et OLA - Évaluer l’impact d’un nouveau service et de l’évolution d’un service sur l’ensemble des SLA et OLA Activités - Répondre aux demandes sur les SLA et OLA possibles ou négociés générales - Prendre en compte les SLA et les OLA signés - Suivre les SLA et les OLA des services Intrants Extrants - SLA et OLA demandés sur un service - SLA et OLA négociés - SLA et OLA signés - Rapport de disponibilité des services - Données de mesure de supervision - Liste des évènements relatifs à la disponibilité Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non disponibilité d’un service - ITIL - Non respect des SLA et OLA négociés - ISO 27001 Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus Gérer les niveaux de services - Gérer les niveaux de service Opérationnelles - Gérer la supervision - Comité de Pilotage opérationnelle Gérer les niveaux de - Gérer les évènements services - Traiter les incidents - Traiter les problèmes Externe - Aucune relation externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les niveaux de services Activités - Fourniture des SLA et des OLA possibles ou négociés Vers Traiter les incidents et Traiter les problèmes Qualité - Réponse sur les causes d’incident ou un problème Performances -
Plan d’Assurance Qualité
Page 90
11.5.9 Garantir la continuité SI Processus Garantir la continuité SI Évaluer les risques liés à la continuité d’un service Définir et mettre en place des mesures et des contrôles appropriés Finalité Contrôler et évaluer les risques à intervalles réguliers Surveiller la continuité des services - Traiter les demandes de SLA et OLA - Évaluer l’impact d’un nouveau service et de l’évolution d’un service sur l’ensemble des SLA et OLA Activités - Répondre aux demandes sur les SLA et OLA possibles ou négociés générales - Prendre en compte les SLA et les OLA signés - Suivre les SLA et les OLA des services Intrants Extrants - SLA et OLA demandés sur un service - SLA et OLA négociés - SLA et OLA signés - Rapport de continuité des services - Données de mesure de supervision - Liste des évènements relatifs à la continuité Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Discontinuité d’un service - ITIL - Perte de données - ISO 27001 - Non respect des SLA et OLA négociés Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus Gérer les niveaux de services - Gérer les niveaux de service Opérationnelles - Gérer la supervision - Comité de Pilotage opérationnelle Gérer les niveaux de - Gérer les évènements services - Traiter les incidents - Traiter les problèmes Externe - Aucune relation externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les niveaux de services Activités - Fourniture des SLA et des OLA possibles ou négociés Vers Traiter les incidents et Traiter les problèmes Qualité - Réponse sur les causes d’incident ou un problème Performances -
Plan d’Assurance Qualité
Page 91
11.5.10 Processus
Garantir la capacité SI Garantir la capacité SI
Évaluer les risques liés à la capacité de l’infrastructure et des temps de réponse applicative d’un service Définir et mettre en place des mesures et des contrôles appropriés Finalité Contrôler et évaluer les risques à intervalles réguliers Surveiller la capacité des services - Traiter les demandes de SLA et OLA - Évaluer l’impact d’un nouveau service et de l’évolution d’un service sur l’ensemble des SLA et OLA Activités - Répondre aux demandes sur les SLA et OLA possibles ou négociés générales - Prendre en compte les SLA et les OLA signés - Suivre les SLA et les OLA des services Intrants Extrants - SLA et OLA demandés sur un service - SLA et OLA négociés - SLA et OLA signés - Rapport de mesures de capacité des services - Données de mesure de supervision - Liste des évènements relatifs à la capacité Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Discontinuité d’un service - ITIL - Perte de données - ISO 27001 - Non respect des SLA et OLA négociés Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus Gérer les niveaux de services - Gérer les niveaux de service Opérationnelles - Gérer la supervision - Comité de Pilotage opérationnelle Gérer les niveaux de - Gérer les évènements services - Traiter les incidents - Traiter les problèmes Externe - Aucune relation externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les niveaux de services Activités - Fourniture des SLA et des OLA possibles ou négociés Vers Traiter les incidents et Traiter les problèmes Qualité - Réponse sur les causes d’incident ou un problème Performances -
Plan d’Assurance Qualité
Page 92
11.5.11 Processus
Réaliser les mises en production et les déploiements Réaliser les mises en production et les déploiements
Réaliser et contrôler les mises en production de nouveaux éléments de configuration Réaliser et contrôler l’intégration de nouveaux composants. - Planifier, prévoir, effectuer et contrôler les mises en production d’un nouvel élément de configuration ou l’intégration d’un nouveau composant. Activités - Effectuer les tests générales - S’assurer que les nouveaux services remplissent les exigences en termes de fonctionnalité et de qualité et que leur déploiement et leur fonctionnement sont reproductibles. Intrants Extrants - Spécifications fonctionnelles et techniques détaillées - Enregistrements du contenu et des impacts des mises - Accords sur les niveaux de service SLA. en production - Accords sur les niveaux opérationnels OLA. - Enregistrements de la CMDB actualisée - Changements dans la CMDB (base gestion des - Matrice de traçabilité des exigences configurations). - Rapport sur les changements de la CMDB - Composants et infrastructure installés et en installation - Résultats et analyses des tests - Produit/service testé et validé. - Mise à disposition de l’environnement de pré-production - Mise en production Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non prise en compte d’une exigence - ISO 27001, CNIL - Non test d’une exigence - CMMI - Dysfonctionnement logiciel - Référentiels d’architecture et de protocoles - Incompatibilité matériel-logiciel Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer le catalogue de services Opérationnelles - Gérer les niveaux de services - Comité de Pilotage opérationnelle - Garantir la sécurité SI - Gérer les changements - Gérer les actifs et la configuration SI - Tous les processus d’Exploitation Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les changements Activités - Spécifications fonctionnelles et techniques développé et à mettre en production Qualité - Spécifications fonctionnelles et techniques développé et mis en production Performances Vers Gérer les actifs et la configuration SI et Garantir la sécurité des SI - Spécifications fonctionnelles et techniques développé et à mettre en production - Spécifications fonctionnelles et techniques développé et mis en production Vers tous les processus d’Exploitation - Spécifications fonctionnelles et techniques développé et à mettre en production - Spécifications fonctionnelles et techniques développé et mis en production Finalité
Plan d’Assurance Qualité
Page 93
11.5.12 Processus
Gérer & garantir les changements SI Gérer & garantir les changements SI
Contrôler le cycle de vie des changements. Normaliser les méthodes et les procédures nécessaires à une gestion efficace des changements. - Analyser l’impact des changements Activités - Enregistrer et trier les changements générales - Planifier, développer et vérifier les changements Intrants Extrants - Demandes de changements - Demandes de changements clôturées - Spécifications fonctionnelles et techniques développé - Mise à jour de la documentation associée aux projets et à mettre en production (plan de gestion des changements, plan de - Spécifications fonctionnelles et techniques développé réversibilité, …) et mis en production - Base de configuration CMDB Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Mauvaise évaluation de l’impact de la mise en - CMMI, ITIL production d’un nouveau service - ISO 27001 - Référentiels des architectures et des protocoles Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer les actifs et la configuration SI. Opérationnelles - Tous les processus de Conception - Comité de Pilotage opérationnelle - Tous les processus d’Exploitation Externe - Aucune relation externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les actifs et la configuration Activités - Ce processus est enclenché si la CMDB doit être modifiée. Qualité Vers Gérer les incidents - Si un changement engendre un incident alors ce Performances processus démarre. Finalité
Plan d’Assurance Qualité
Page 94
11.5.13 Processus
Gérer les actifs et la configuration SI Gérer les actifs et la configuration Si
Établir le système de gestion des configurations. Suivre et contrôler les éléments de configuration afin d’en maintenir l’intégrité. - Établir et gérer le système de gestion des configurations Activités - Installer, maintenir et désinstaller les matériels et les infrastructures générales - Auditer les installations et les configurations SI Intrants Extrants - CMDB en place - Liste des éléments de configuration - Demandes de changements - Rapport d’audit de configuration - Spécifications fonctionnelles et techniques détaillées - Rapport comptable des statuts de configuration - Accords sur les niveaux de service. - Mise à jour de la CMDB - Accords sur les niveaux opérationnels. - Demande de fourniture - Changements dans la CMDB. - Composants et infrastructure à installer Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non mise à jour de la CMDB - CMMI, ITIL - ISO 27001 Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer & Garantir les changements Opérationnelles - Réaliser les mises en production et les déploiements - Comité de Pilotage opérationnelle - Gérer les fournisseurs SI - Tous les processus d’Exploitation - Piloter les coûts des demandes et des services - Gérer les éléments administratifs et financiers Externe - Fournisseur Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer & garantir les changements Activités - Prévision d’installation de nouveaux équipements et de changement de configuration Qualité Vers Réaliser les mises en productions et les déploiements - Information d’installation et de changement de Performances configuration Vers tous les processus d’Exploitation - Information d’installation et de changement de configuration Vers Gérer les éléments administratifs et financiers - Information sur les coûts des matériels installés - Information sur l’état des stocks Vers Gérer les fournisseurs SI - Information sur les coûts des matériels installés - Information sur l’état des stocks Finalité
Plan d’Assurance Qualité
Page 95
11.5.14
Traiter les requêtes Processus Traiter les requêtes Finalité
Traiter tous les demandes des utilisateurs - Recevoir, enregistrer les demandes Activités - Aiguiller les requêtes relatives à un incident générales - Aiguiller les requêtes relatives à une demande d’accès - Aiguiller les requêtes relatives à une demande d’évolution Intrants Extrants - Requêtes d’un utilisateur interne ou externe - Requêtes aiguillées - Base de données des requêtes - Information vers l’utilisateur du traitement de sa requête Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non traitement d’une requête - ISO 27001 - Non détection d’un incident - ITIL - CNIL et Code de la sécurité sociale Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Tous les processus Opérationnelles - Gérer les accès - Comité de Pilotage opérationnelle - Gérer les incidents - Gérer & tracer les demandes & les exigences - Tous les collaborateurs Externe - Utilisateurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les accès, Gérer les incidents, Gérer & Tracer les Activités demandes et les exigences - Nombre de requêtes traités - Transmission d’une requête relevant du processus aval Qualité - Nombre de requêtes en attente de traitement Performances - Tendance de temps de réponse par type de requête
Plan d’Assurance Qualité
Page 96
11.5.15 Processus Finalité
Gérer les accès Gérer les accès
Gérer les accès des utilisateurs et des systèmes tiers - Octroyer les accès Activités - Refuser les accès générales - Tracer les accès - Supprimer les accès Intrants Extrants - Demande d’accès - Contrôle des accès et de l'utilisation du système Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 27001, CNIL - Intrusion - ITIL - Vol de supports ou de documents - Abus de droit - Usurpation de droit - Reniement d’action Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Traiter les requêtes Opérationnelles - Gérer la sécurité SI - Comité de Pilotage opérationnelle Externe - utilisateurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Traiter les requêtes Activités - Information sur l’octroi d’accès Vers Gérer la sécurité SI Qualité - Information sur les refus d’accès Performances -
Plan d’Assurance Qualité
Page 97
11.5.16 Processus
Gérer la supervision Gérer la supervision
Gérer la supervision des systèmes et réseaux pour prévenir les incidents Gérer les opérations de maintenance et de sauvegarde - Gérer la supervision des systèmes et réseaux pour prévenir les incidents - Déclencher des évènements d’administration Activités - Avertir d’incidents ou de problèmes générales - Supervision la sécurité, la disponibilité, la continuité et la capacité des systèmes - Gérer les opérations de maintenance et de sauvegarde Intrants Extrants - SLA et OLA signés - Évènements spécifiques - CMDB - Déclaration d’incidents - Information des outils de supervision - Déclaration de problème - Rapport de mesure de disponibilité, de continuité et de capacité et les SLA Référentiels, Contraintes légales & réglementaires Risques majeurs - ITIL - Non détection d’événements imprévus - ISO 27001 Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Tous les processus d’Exploitation Opérationnelles - Gérer les niveaux de services, Garantir la sécurité SI, - Comité de Pilotage opérationnelle Garantir la disponibilité SI, Garantir la continuité SI, Garantir la capacité SI Externe - Aucune relation externe Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Tous les processus d’Exploitation Activités - Selon le processus aval ciblé : déclaration d’incidents, déclaration de problème, déclaration d’accès Qualité frauduleux, brèche de sécurité Vers Gérer les niveaux de services, Garantir la sécurité SI, Performances Garantir la disponibilité SI, Garantir la continuité SI, Garantir la capacité SI - Rapport de mesures sur les SLA - Brèche de sécurité Finalité
Plan d’Assurance Qualité
Page 98
11.5.17 Processus
Traiter les incidents Traiter les incidents
Recevoir, enregistrer et traiter les incidents Répondre aux utilisateurs pour corriger les incidents - Restaurer, au plus vite, le fonctionnement normal d’un Service, en minimisant l’impact sur l’activité Métier. - Assurer que les niveaux de services négociés (SLA) soient respectés - Garantir que tous les incidents soient qualifiés et affectés à une équipe, en utilisant des méthodes et procédures standardisées, afin que les meilleurs niveaux de qualité de service et de disponibilité soient maintenus. Activités - Améliorer l’interaction des différentes équipes au sein du groupe générales - Fournir une visibilité sur la prise en compte, les délais et la résolution d’un incident afin de pouvoir informer les utilisateurs impactés. - Garantir la traçabilité de la résolution d’incident en décrivant la solution de l’incident pour pouvoir la réutiliser. - Fournir un reporting afin de tracer les points de faiblesse du SI ou de l’organisation (Robustesse). - Établir un plan d’action et escalader vers le processus de gestion des problèmes en cas d’incidents récurrents. Intrants Extrants - Appel par un utilisateur - Enregistrement des incidents. - Détection d’un incident soit par un agent de support, - Détails de résolution. une équipe de production, un outil de surveillance ou - Rapports sur la gestion et la communication aux l’utilisateur lui-même clients. - Base des erreurs connues Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001, ITIL - Mauvais traitement d’un incident - ISO 27001 - Insatisfaction d’un utilisateur Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus Gérer les incidents - Gérer & tracer les demandes et les exigences Opérationnelles - Traiter les problèmes - Comité de Pilotage opérationnelle - Gérer les actifs et la configuration SI - Gérer les niveaux de Service - Réaliser des mises en production & les déploiements Externe - Utilisateurs Finalité
Plan d’Assurance Qualité
Page 99
Processus Traiter les incidents Conditions de passage au processus aval Vers Traiter les problèmes - La base d’incidents sert de point d’entrée pour la gestion des problèmes afin d’éviter que les incidents récurrents ne se reproduisent. Vers Gérer & Tracer les demandes & les exigences - Ré-aiguillage d’une requête d’incident qui est en fait une demande d’évolution Vers Gérer les actifs et la configuration SI - La gestion des configurations doit veiller à ce que la CMDB soit à jour afin que les analyses d’impact soient rapides Vers Gérer & garantir les changements - Lorsque la remise en service nécessite la mise en œuvre d’un changement, celui-ci suit le processus de gestion des changements défini - Le centre de Services doit être informé de tout changement majeur afin de pouvoir pallier aux éventuelles perturbations que cela pourrait engendrer Vers Gérer les niveaux de Service - A chaque Service doit être associé des délais de résolution : « Gérer les niveaux de Service » est donc « donneur d’ordre »» pour la gestion des incidents - Le processus « Gérer les niveaux de Service » suit également la qualité de service de la gestion des incidents Vers Réaliser des mises en production & les déploiements - A chaque nouveau service mise en production, le centre de services doit être en possession de toutes les informations nécessaires à son support
Plan d’Assurance Qualité
Indicateurs de pilotage & performances Activités Qualité Performances -
Page 100
11.5.18 Processus
Traiter les problèmes Traiter les problèmes
Résoudre les causes primaires (racines) des incidents. Minimiser l’impact des incidents et des problèmes sur le business. Prévenir la récurrence des incidents. - Analyser les tendances des incidents. Activités - Identifier les causes primaires (racines). générales - Enregistrer les problèmes et les prioriser. - Résoudre les problèmes et mettre à jour la base de connaissance. Intrants Extrants - Détails des incidents irrésolus - Erreurs connues (Base de connaissance) - Statistiques de survenance des incidents - Demande de changement - Clôture du problème - Définition des procédures de gestion des anomalies - Mise à disposition de l’outil de gestion des anomalies - Mise en place du référentiel de test - Maintenance correctives nécessaires aux anomalies détectées Référentiels, Contraintes légales & réglementaires Risques majeurs - ITIL - ISO 27001 Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Traiter les incidents Opérationnelles - Tous les processus de Conception - Comité de Pilotage opérationnelle - Tous les processus de Transition - Gérer & tracer les demandes & les exigences Externe - Fournisseur Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Traiter les incidents Activités - Information sur la résolution d’un problème Vers tous les processus de Conception Qualité - Avertissement du problème - Requête d’investigation Performances - Information sur la résolution d’un problème Vers tous les processus de Transition - Avertissement du problème - Requête d’investigation - Information sur la résolution d’un problème - Demande de changement - Demande de configuration Vers Gérer & tracer les demandes & les exigences - Demande d’évolution Finalité
Plan d’Assurance Qualité
Page 101
11.6 Processus de soutien 11.6.1 Gérer les Ressources RH & Former Processus Gérer les ressources RH & Former Finalité
Gérer les ressources RH et maintenir les compétences des collaborateurs - Recruter - Intégrer les nouvelles recrues Activités - Gérer les ressources humaines générales - Évaluer les compétences - Planifier, faire réaliser et évaluer les formations Intrants Extrants - Demande de recrutement - Calendrier des entretiens annuels - Calendrier des entretiens annuels - Calendrier des formations - Calendriers des formations - Contrats de travail - Intégration RH - Plan des Formations Référentiels, Contraintes légales & réglementaires Risques majeurs - Tous les référentiels - Traitement illicite des données - Erreur d'utilisation Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Tous les processus Opérationnelles - Gérer les éléments administratifs et financiers - Comité de Pilotage opérationnelle Externe - Organismes de formation Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les éléments administratifs et financiers Activités - Déclenchement de paiement de salaire - Déclenchement de paiement des fournisseurs de Qualité formation Performances -
Des activités de ce processus sont détaillées au chapitre 8.1.2 Gestion des Ressources Humaines.
Plan d’Assurance Qualité
Page 102
11.6.2 Gérer les Ressources Matérielles Processus Gérer les ressources matérielles Gérer les stocks Émettre les demandes d’achats Réceptionner les fournitures - Gérer les stocks Activités - Traiter les demandes de fournitures, émettre les demandes de budget, émettre les commandes générales - Réceptionner et valider la qualité des fournitures - Évaluation des fournisseurs Intrants Extrants - Demande de fourniture - Demande de budget - Commande & Déclenchement de paiement - matériels reçus Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 27001 - Écart de stocks - ISO 9001 - Écart entre les demandes et les fournitures - Écart entre les commandes et les fournitures Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer les fournisseurs SI Opérationnelles - Gérer les actifs & la configuration SI - Comité de Pilotage opérationnelle - Gérer les éléments administratifs et financiers - Piloter les coûts des demandes et des services - Tous les processus Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Piloter les coûts des demandes et des services Activités - Information sur les coûts des matériels Vers Gérer les éléments administratifs et financiers Qualité - Demande de budget - Déclenchement de paiement Performances Vers Gérer les actifs & la configuration SI - Devis - Fourniture des matériels commandés Vers tous les processus - Devis - Fourniture des matériels commandés Finalité
Des activités de ce processus sont détaillées au chapitreErreur ! Source du renvoi introuvable. Erreur ! Source du renvoi introuvable. Erreur ! Signet non défini.. Des activités de ce processus sont détaillées au chapitreErreur ! Source du renvoi introuvable. Erreur ! Source du renvoi introuvable. Erreur ! Signet non défini..
Plan d’Assurance Qualité
Page 103
11.6.3 Gérer les éléments administratifs & financiers Processus Gérer les éléments administratifs & financiers Gérer les budgets, les salaires, les demandes d’achats Gérer les facturations et le recouvrement - Gérer les budgets Activités - Gérer les salaires générales - Effectuer les paiements - Gérer les facturations et le recouvrement Intrants Extrants - Commandes - Factures - Contrats de recrutement - Budget - Déclenchement de Paiements - Paiements & salaires Référentiels, Contraintes légales & réglementaires Risques majeurs - ISO 9001 - Non paiement - Non facturation Instances de Gouvernance Interfaces du processus Directrice Interne - Revue de Processus - Gérer les ressources RH & Former Opérationnelles - Gérer les fournisseurs SI - Comité de Pilotage opérationnelle - Gérer les ressources matérielles Externe - Fournisseurs Conditions de passage au processus aval Indicateurs de pilotage & performances Vers Gérer les ressources RH & Former Activités - Information sur les problèmes de paiement des salaires Vers Gérer les fournisseurs SI Qualité - Informations sur les paiements des fournisseurs - Informations sur les problèmes liés aux fournisseurs Performances Vers Gérer les ressources matérielles - Informations sur les demandes d’achats et sur les commandes - Informations sur les paiements des fournisseurs - Informations sur les problèmes liés aux fournisseurs Finalité
Plan d’Assurance Qualité
Page 104
12
Gestion des livrables
12.1 Liste des livrables dus au titre de la prestation Livrable Cartographie des processus et du système de management Organigramme Règles de Gouvernance Politique de management Qualité pour la prestation, mis à jour chaque année Calendrier du Système de Management de la Qualité de la prestation Résultats des audits internes ou externes Registre des actions Qualité (RAQ) Registre des décisions, incluant la Base des dérogations Qualité / Sécurité Supports & Comptes rendus des instances de direction et de pilotage de projet Tableau de bord du projet Lettre de mission du responsable de processus Fiche d’identité et Logigramme du processus Procédures et mode opératoires du processus Documents et enregistrements du processus Supports & Comptes rendus des instances de direction et de pilotage de projet : Revue de Direction, Comité de Direction Tableau de bord des processus
Type Management projet Management projet Management projet Management projet Management projet Management projet Management projet Management projet Management projet Management projet Processus Processus Processus Processus Processus Processus
A réviser et compléter en version 1.0 du PAQ
12.2 Validation des livrables documentaires Tout livrable est sous la responsabilité du Directeur de projet qui le diffuse pour validation au client. Celui-ci dispose alors d’un délai de quinze jours ouvrés pour émettre ses remarques ou demandes de modifications. Les livrables documentaires sont fournis sous format papier et électronique, ils sont accompagnés d’un PV de livraison. A réception des remarques et demandes de modification, le Directeur de projet a un délai de cinq jours ouvrés pour :
Prendre en compte les remarques et demandes de modifications, Justifier de leur non prise en compte.
Les points non résolus ou non justifiés sous cinq jours ouvrés sont soumis au Comité de Pilotage pour statuer sur ce différent. La validation formelle du livrable documentaire par le client est requise.
12.3 Validation des livrables matériels Les livrables matériels, c'est-à-dire les environnements, sont fourni en suivant strictement le processus de Mise en production et enregistrés dans le système de Gestion des configurations (CMDB). Une phase de validation des systèmes formelle est requise avant toute mise en production.
12.4 Validation des systèmes Le schéma ci-après décrit l’ensemble des phases de test. La terminologie utilisée pour la dénomination des phases de test est celle proposée par l’ISTQB (International Software Testing Qualification Board). Le glossaire des termes définis par l’ISTQB peut être consulté sur le site du Comité Français des Tests Logiciels à l’adresse suivante http://www.cftl.net/index.php?id=26. Plan d’Assurance Qualité
Page 105
Le terme de système est ici utilisé en référence aux systèmes composant la prestation :
Système d’hébergement, Système de diffusion et de publication d’informations, Système de gestion de support, Système d’information de pilotage.
Tests unitaires : Les tests unitaires ont pour objectif de valider la conformité des composants logiciels à leurs spécifications. Tests d’intégration et qualimétrie : Les tests d’intégration ont pour objectif de valider les interfaces entre les composants et la capacité du système à entrée en phase de tests système. La qualité du code est mesurée à l’aide d’outil d’analyse statique du code source. L’évaluation de la qualité du code est effectuée selon les axes « santé » du modèle qualimétrique qui s’appuie sur la norme ISO-9126 :
Facteur de « Santé »
Caractéristiques évaluées par l’indicateur
Lisibilité/ Transférabilité
Capacité à transférer la connaissance technique contenue dans le code source.
Capacité d’évolution
Efforts nécessaires pour modifier une application, en totalité ou en partie.
Robustesse : stabilité, et testabilité
Efforts nécessaires pour valider et tester une application, Evaluation des risques que des modifications pourraient entraîner sur sa stabilité, Evaluation de la résistance aux erreurs (intégrité des données, gestion des erreurs…).
Sécurité
Probabilité de violations potentielles de la sécurité liées aux pratiques de codage et au code source de l'application.
Performances
Identification de goulots d'étranglement potentiels des performances.
Maintenabilité
Estimation du coût de maintenance.
Tests systèmes : Les tests systèmes ont pour objectif la validation de la conformité d’un système à ses spécifications, hors interfaces avec les autres systèmes et les systèmes externes. Ils sont exécutés sur la plate-forme d’intégration/recette. Plan d’Assurance Qualité
Page 106
Les tâches à réaliser dans le cadre de cette phase sont :
Installer les packages logiciels, Vérifier le bon fonctionnement technique des flux internes du système : Exécuter les tests de vérification préliminaire. Cette tâche consiste à exécuter un sous ensemble réduit de la campagne de test de façon à s’assurer de la capacité de la livraison à entrer en phase de test. L’échantillon de test exécuté est généralement choisi en raison de sa priorité élevée ou du caractère fondamental du processus faisant l’objet du test (par exemple un processus dont le fonctionnement est nécessaire pour pouvoir exécuter une grande partie des tests). Exécuter la recette du système. Il s’agit de dérouler l’ensemble des scénarios de test locaux au système à tester.
Tests d'intégration système : Les tests d’intégration système ont pour objectif de valider la conformité des interfaces des systèmes entre eux et avec les systèmes externes. Ils sont exécutés sur la plate-forme d’intégration/recette. Les tâches à réaliser dans cette phase sont :
Installer les packages logiciels, Vérifier le bon fonctionnement technique de l’interface en exécutant des cas passants d’appel à l’interface, Valider la conformité de l’interface a ses spécifications en exécutant les scénarios de test de l’interface.
Tests d'acceptance utilisateur : Les tests d’acceptance utilisateur ont pour objectif de valider la conformité des systèmes intégrés aux besoins métiers. Ils consistent à exécuter des tests « de bout en bout » déroulant des scénarios faisant intervenir plusieurs systèmes, conformément à la logique métier d’utilisation en condition réelle des systèmes. Ils sont exécutés sur la plate-forme d’intégration/recette. Test d'acceptation opérationnelle : Les tests d’acceptation opérationnelle ont pour objectif de valider les exigences d'exploitabilité et de préparer la mise en production. Ils sont exécutés sur la plate-forme de pré-production. Les types de tests réalisés dans cette phase sont :
Les tests de performance, Les tests de sécurité, Les tests de haute disponibilité, Les tests des procédures d’exploitation, Les tests de sauvegarde et de restauration, Les tests du plan de production, Les tests de mise en production
Plan d’Assurance Qualité
Page 107
13
Classification, reproduction et protection des documents produits
13.1 Classification des documents qualifie la sensibilité de l’information des documents selon trois niveaux :
Public : Informations du domaine public (rapports annuels, communication externe, ...) ou utilisées pour la communication avec les clients. Il faut un accord du responsable hiérarchique avant diffusion. Usage interne : Ceci concerne la majorité des informations, sans autre mention un document produit est considéré comme d'usage interne et ne peut être communiqué à l'extérieur de l’organisation sans autorisation explicite. (Exemple : notes internes, compte rendus de réunion, rapports de projets internes, documentations techniques, ...). Un document non classé est considéré par défaut comme étant à usage interne. Confidentiel : Informations vitales pour l’opérationnel. (Ex : business plans, informations comptables, données clients, dossiers médicaux). Ce type d’information ne peut être copié ou retiré du contrôle opérationnel de sans autorisation spéciale. Ils sont conservés et protégés sur des systèmes soumis à autorisation.
Les données clients sont par défaut sensibles. La confidentialité des données est indiquée dans les contrats qui lient le au client. Les clauses contractuelles sont de 3 sortes :
secret d’affaire, information nominatives, secret professionnel.
La déclaration à la CNIL concerne seulement les données classées nominatives. Tout document dont la sensibilité n’est pas définie, est soumis au comité de pilotage qui statue sur cette sensibilité. Le registre des livrables documentaires est mis à jour avec la nouvelle sensibilité du document concerné. Le responsable Qualité est responsable de la diffusion de l’information aux équipes. Tout propriétaire doit classifier les documents qu’il est amené à publier, de manière à déterminer les personnes qui ont le droit d’en connaître le contenu. Tout utilisateur d’informations sensibles doit leur appliquer les règles de sécurité adéquates, de même qu’il doit respecter ces mêmes règles pour tous les documents auxquels il a accès dans le cadre de ses fonctions.
13.2 Reproduction des documents Le Directeur de Projet fera établir le registre de reproduction documentaire dans lequel il sera indiquer pour chaque livrable les conditions de reproduction en fonction de la classification du document ou de la sensibilité des données du document.
13.3 Protection des documents Les impressions doivent être limitées. Privilégier les présentations électroniques pour les réunions. Les documents confidentiels destinés aux réunions, sont récupérés- à la fin de la réunion et détruits. Les modèles de documents confidentiels seront équipés d’un filagramme indiquant le niveau de classification du document. Une politique de gestion des droit d’accès documentaire avancée peut être mise en place, elle permet de définir les autorisations de fichiers à différents niveaux et changer le niveau pour des utilisateurs spécifiques et des groupes d’utilisateurs. Elle peut aussi
Restreindre les impressions de fichiers pour réduire le nombre de copies papier Limiter la période durant laquelle un fichier peut être ouvert. Empêcher que les fichiers transférés (mail) soient ouverts par un destinataire sans autorisation
Plan d’Assurance Qualité
Page 108
Elle peut aussi permettre de gérer le courrier électronique et les pièces jointes, même après envoi. Elle peut empêcher que les courriels soient copiés, transférés ou imprimés.
Plan d’Assurance Qualité
Page 109
14
Maîtrise du produit / service non conforme
14.1 Traitements des non-conformités et actions correctives Les non-conformités relatives aux produits logiciels et actions correctives associées sont traitées dans le cadre de la gestion des anomalies. Les non-conformités relatives aux documents livrables et les actions correctives associées sont traitées dans le cadre des relectures des documents livrables. Les non-conformités relatives aux processus mis en œuvre, sont traitées dans le cadre des contrôles des processus, des revues et comités et des audits qualité. Dans ce dernier cas, le processus de traitement comprend les étapes suivantes :
Enregistrement de la non-conformité, Analyse des causes racines de la non-conformité et analyse des risques, Détermination de l’action corrective à engager et désignation des responsables de la conduite de l’action et des responsables de son contrôle, Réalisation de l’action corrective, Contrôle des résultats produits par l’action corrective, Clôture de l’action corrective.
L’ensemble de ces actions est placé sous la responsabilité du Correspondant Qualité qui en assure le pilotage, la mise en œuvre et le contrôle.
14.2 Traitement des actions préventives Les actions préventives engagées ont pour objectif d’éliminer, dans la mesure du possible et selon les risques associés, les causes potentielles d’une non-conformité, d’un défaut ou de tout autre événement indésirable. Une action préventive peut être proposée par tous les collaborateurs et soumise pour validation et enregistrement au :
Correspondants Qualité, Direction (directeur de projet, responsable sécurité, responsables opérationnels),
Une action peut être engagée :
Dès constatation d’un défaut ou identification d’un risque potentiel de non-conformité, Dès constatation d’une dérive des indicateurs de performance ou de qualité, Dès perception d’une diminution (réelle ou perçue) du niveau de satisfaction du client.
Ce processus comprend les étapes suivantes :
Évaluer les risques, Analyser les causes racines, Évaluer le besoin d’amélioration, Déterminer l’action préventive, Réaliser l’action préventive, Analyser les résultats.
L’ensemble de ses actions reste placé sous la responsabilité du Correspondant Qualité qui en assure le pilotage, la mise en œuvre et le contrôle. Les enregistrements de la nature des non-conformités et de toutes actions ultérieures entreprises sont conservés conformément au chapitre 17.3 Maîtrise des Enregistrements
Plan d’Assurance Qualité
Page 110
15
Mesure & Amélioration permanente des services
La finalité de la mesure et l’amélioration permanente des services est d'identifier des pistes d'améliorations, puis de planifier et d'exécuter les plans d'actions permettant soit au Service soit au Processus d'atteindre ses objectifs.
15.1 Métrologie Pour créer une solution d’amélioration continue des services, il faut d’abord déterminer quelles analyses de processus (indicateurs et rapports) sont nécessaires à la gestion de chaque processus. La direction de projet mettra en œuvre des indicateurs dans le respect des trois règles de base: Vous ne pouvez pas gérer ce que vous ne pouvez pas contrôler, Vous ne pouvez pas contrôler ce que vous ne pouvez pas mesurer, Vous ne pouvez pas mesurer ce que vous n'avez pas défini. Il faut distinguer deux types d'indicateurs : Indicateurs de Performance : Il s'agit d'indicateurs qui permettent de surveiller le résultat attendu (l'objectif) pour un Processus ou le Service. Indicateurs de Surveillance : Il s'agit d'indicateur qui permettent de surveiller les dérives du Processus ou du Service pendant son exécution. Deux natures d’ indicateurs : Qualitatif : Ils permettent de statuer sur la Qualité du Processus ou du Service. Exemple : Temps de traitement d'un incident. Quantitatif : Ils permettent de statuer sur la Quantité produite par le Processus ou le Service. Exemple : nombre d'incident traités par mois. Trois domaines d'indicateurs : Indicateurs de Ressources : Il s'agit des indicateurs relatifs aux composants d'infrastructure (CI). Exemple : Nombre de pannes d'un équipement lambda. Indicateurs de Processus : Il s'agit des indicateurs relatifs aux Processus (ou aux activités). Ex: Nombre d'incidents résolus par le processus de gestion des Incidents. Indicateurs de Services : Il s'agit des indicateurs relatifs aux Services. Exemple : Taux de disponibilité du Service. Pour chacun de ces éléments, la création de bases de données regroupant des indicateurs axés sur les processus contribue considérablement à l’amélioration continue des services par analyse statistique des mesures. Les évaluations régulières jouent un rôle essentiel dans la détermination des indicateurs. Une fois les mesures appropriées créées, chaque responsable doit produire un certain nombre de modèles de tableaux de bord. A intervalles spécifiés ou avant leur utilisation les bases de données seront vérifiées, par rapport à des références de mesure qui auront fait l'objet d'un enregistrement.
15.2 Gestion des tableaux de bord Dans le cadre de la gestion des Services, nombre d’intervenants sont impliqués : le directeur informatique, le responsable du service desk, le responsable des niveaux de service, le directeur de l’exploitation, le responsable des incidents et le responsable des modifications. Tous partagent un seul et même objectif : éliminer la génération de rapports trop complexes et, parallèlement, permettre aux responsables d’accélérer leurs prises de décision et de donner un aperçu constructif des performances. Ainsi à l’aide de ces rapports, le client aura toutes les données en main pour comprendre comment et pourquoi son SI progresse ou régresse. Il est impératif donc de prendre en considération les audiences cibles :
les données sont collectées au niveau opérationnel, souvent techniques, il est nécessaire de les transformer en informations pouvant être appréciées à tous les niveaux de l’organisation et comparées aux besoins et attentes de chacun.
Plan d’Assurance Qualité
Page 111
En conformité avec ITIL, la Direction de Projet distinguera quatre niveaux de tableaux de bord : Information opérationnelle:
Rapport à l’intérieur de chacun des processus o Centre de service, incidents, problèmes, changements...
Information de performance des processus et des équipes :
Tableaux répondant à leurs préoccupations o Atteintes des objectifs fixés o Performance des équipes o Performance des processus o Charges des équipes o Initiatives d’amélioration o etc.
Information stratégique pour l’organisation :
Tableau résumant les faits marquants d’une période o Identifier comment les processus supportent les besoins métiers o Prévenir très tôt des situations mettant en risque les activités métiers o Aligner les résultats sur les représentations du niveau stratégique o etc.
Information fondamentale pour les métiers :
Tableau concis, rapide à lire et alignés sur leurs préoccupations o Diminuer les risques o Protéger l’image et la qualité des services produits o Profitabilité o etc.
15.3 Évolution & Amélioration permanente La base d’un système de management de la Qualité est la définition des processus, doublé d’une démarche d’amélioration permanente de type PDCA (Plan Do Ckeck Act – préparer, développer, contrôler, ajuster). Cette démarche s’applique à tous les niveaux : système de management, processus, activités, développement et produits des processus, soit en continu à travers les remontées quotidiennes, soit par le biais des planifications Qualité.
Plan d’Assurance Qualité
Page 112
Figure 20 : Amélioration Permanente
15.3.1.1 Évolutions Les évolutions internes et externes sont l’occasion d’évaluer l’organisation et les pratiques internes pour pouvoir les modifier en gérant les impacts des risques. Elles déclenchent une remise en cause profonde de système de management et de production, poussant à l’améliorer. Ces évolutions peuvent être dues à un changement réglementaire, légal ou sur demande du client. proposera et soumettra aussi au client des évolutions technologiques ou des améliorations matériels ou logiciels, toujours dans le souci d’améliorer le service et la productivité.
Plan d’Assurance Qualité
Page 113
15.3.1.2 Revues de Direction et de Processus Les revues régulières organisées sont autant d’occasion d’évaluer le fonctionnement et la performance du système de management et des processus. Ce sont les moments privilégies de l’amélioration permanente :
Figure 21 : Revues de Direction & des Processus
Ces revues permettent de mettre en distance l’organisation, les objectifs, les indicateurs, les documents, les interfaces avec les autres processus, les ressources et les compétences disponibles.
15.3.1.3 Chantiers d’Amélioration Permanente Au cours des revues de processus, de référentiels ou de direction, des chantiers d’amélioration peuvent être définis et initiés (Lean, 6 sigma, démarche ABC, démarche BPM, réorganisation, évolutions de matériels d’exploitation,…). Ces chantiers seront menés comme un projet de développement d’un nouveau service, afin de passer par le circuit standard de validation, sous la validation du client.
15.3.1.4 Gestion de la performance & de la productivité – Gestion des ressources Chaque mois, l’activité, la performance, l’efficacité et la productivité des services et des processus sont évaluées via la production et l’évaluation des indicateurs et des tableaux de bord. Les responsables de processus pilotent ainsi l’activité du processus et les ressources nécessaires pour négocier les pics de charge ou le respect des engagements.
15.3.1.5 Capitalisation de savoir-faire Que ce soit de façon libre entre les collaborateurs via des outils collaboratifs (Wiki, Blog, FAQ, …) ou de façon guidée et formalisée en cours et en fin de projet, augmentera son savoir-faire et le capitalisera, en ajustant ou en faisant évoluer les organisations, les processus, la documentation, les procédures, les dispositifs de conception, de développement ou d’exploitation.
Plan d’Assurance Qualité
Page 114
16
Relation avec les sous-traitants
16.1 Contrats de sous-traitance Les contrats de sous-traitance sont suivis à l’aide du processus des Gestion de la sous-traitance. Les grandes étapes de ce processus sont les suivantes :
Plan d’Assurance Qualité
Page 115
16.2 Vérification des prestations de services Les vérifications des prestations de services dans le cadre des contrats de sous-traitance sont suivies à l’aide du processus des Gestion de la sous-traitance.
16.3 Répercussion des obligations en matière de qualité Les dispositions en matière de qualité contenues dans le présent document sont applicables aux sous-traitants. S'y ajoutent des critères spécifiques de contrôle tels que :
habilitation, solvabilité références sur des projets similaires.
Plan d’Assurance Qualité
Page 116
17
Maîtrise des Documents et des Enregistrements
L’ensemble de la procédure décrite ci-dessous sera adapté dans le PAQ version 1 aux procédures en vigueur au sein de l’organisation du client.
17.1 Rôles et responsabilités dans la gestion d’un document Tous les documents produits par feront l’objet d’un circuit de relecture / vérification / approbation avant diffusion. Sur tous les documents, doivent ainsi figurer les éléments ci-dessous :
Nom, prénom et fonction du Rédacteur, auteur du document ou responsable de la rédaction du document, Nom, prénom et fonction du Vérificateur, responsable de la relecture du document, Nom, prénom et fonction de l’Approbateur, autorisant la diffusion du document.
Le Correspondant Qualité et le Responsable de la Sécurité portent la responsabilité de la sauvegarde, la mise à disposition, la diffusion et l’archivage :
des documents du système de management Qualité, des documents de management de la sécurité, des modèles de documents et des enregistrements, de tous les documents fondateurs et des exigences du projet.
Chaque Responsable de Processus est le garant de la maîtrise de la documentation relative à son processus, il :
identifie et diffuse aux personnes concernées les documents utiles aux acteurs pour la mise en œuvre du processus ou de l’activité, valide un nouveau document, une nouvelle version ou une annulation de document et en informe le Correspondant Qualité pour mise en ligne ou retrait, s’assure que les documents sont toujours d’actualité avant la Revue de Processus, autorise les personnes à consulter les archives selon le niveau de protection de l’information contenue.
Le Responsables de processus portent la responsabilité de la sauvegarde, la diffusion et l’archivage des enregistrements, version papier ou électronique, qui seront produits comme intrants ou extrants de leur processus.
17.2 Modèle de documents & Documents de référence met à disposition de l’ensemble des acteurs un référentiel documentaire constitué de modèles de documents. Le client remet à la Direction de Projet ses modèles de documents qui complèteront le référentiel documentaire. Ce référentiel sera ensuite complété au fil de l’eau en tant que de besoin.
Modèle standard / client Modèle de compte-rendu Modèle de présentation Modèle de tableau de bord projet Modèle de tableau de bord de suivi des prestataires etc.
Sur tous les documents, doivent figurer les éléments ci-dessous :
Le Maître d’Ouvrage et le projet, Le titre du document, Nom, prénom et fonction du Rédacteur Nom, prénom et fonction du Vérificateur Nom, prénom et fonction de l’Approbateur L’institution d’origine, L’identification du document, L’état du document (validé ou non), pour les documents qui n’ont pas de fiche de mise à jour, La date de création, Le numéro de version,
Plan d’Assurance Qualité
Page 117
Un bref résumé.
Les différentes typologies de documents émis et concernés par l’identification sont :
Les documents d’ordre technique (plans, documents de spécification, documents techniques, procédures de tests...) et les rapports d’avancement, les documents de gestion de projet externes ou internes (comptes rendus, notes, courriers, fax, ...),
L’identification des documents s’appuie sur la nomenclature suivante. Identifiant Identifiant Identifiant Identifiant complémentaire prestation sous-projet document (facultatif) 5 à 10 caractères 4 à 8 caractères 1à 5 caractères 5 à 10 caractères
Version (v)xx.yy
Les éléments d’identification sont séparés par un tiret. Exemple : CRMXT-SEC-SFG-v01.06 La version dont il est question est la version fonctionnelle. La règle applicable est la suivante : (v)xx.yy (Version / révision) : chaque élément géré en configuration possède une version (xx) et une révision (yy), indiquée au format vxx.yy. o xx = indice de version, allant de ‘00’ à ‘99’ : il est incrémenté à la validation o yy = indice de révision, allant de ‘00’ à ‘99’ : il est incrémenté dès modification du document
17.3 Maîtrise des Enregistrements Les enregistrements apportent la preuve de la réalisation d’une activité (ex : un contrat signé, un formulaire renseigné et daté, rapport des commissaires aux comptes, etc.). Tous les livrables listés dans le paragraphe 12.1 Liste des livrables dus au titre de la prestation sont considérés comme des enregistrements.
17.3.1 Classement des enregistrements Les enregistrements sont conservés durant leur durée d’utilisation à proximité des utilisateurs. Ils sont ensuite archivés pour une durée qui dépend des exigences réglementaires et légales.
17.3.2 Archivages des enregistrements La liste des enregistrements répertorie dans un tableau les informations relatives aux documents, elles sont essentielles pour l’archivage : Référence de l'enregistrement
Intitulé de l'enregistrement
Support
Durée d'archivage
Lieu d'archivage
Responsable de l’archivage
17.4 Mise à disposition & Diffusion des documents Les documents de références, les documents fondateurs du système de management et les modèles de documents et d’enregistrements pré-formalisés seront à disposition de l’ensemble des collaborateurs sur un système d’information dédié.
17.5 Dérogation à la procédure documentaire Toute dérogation à la procédure documentaire fera l’objet d’une validation des deux parties, suivant la procédure de dérogation exposée au paragraphe 4.4 Dérogation au PAQ.
Plan d’Assurance Qualité
Page 118
18
Annexes Fiche de dérogation Qualité / Sécurité SI Fiche de formation Fiche d’évaluation de formation « à chaud » Fiche d’évaluation de formation « à froid » Fiche d’évaluation récapitulative de la formation CgMM – Modèle de Maturité
Ces annexes seront finalisées avec la version 1.0 du PAQ
Plan d’Assurance Qualité
Page 119
View more...
Comments
