1. République Algérienne Démocratique et Populaire
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Université Mentouri de Constantine2
Département d’informatique
LMD Option : SITW
Présenter par:
Achouri Kaoutar Diriger par:
Allem Leila Mme Hacini
Boughlima Samah
2. Plan
Introduction
La méthode PDCA
La norme ISO 2000
La norme 27001
Conclusion générale
1
3. Introduction
Plusieurs normes, méthodes et référentiels de bonnes pratiques en
matière de sécurité des systèmes d’information sont disponibles.
Ils constituent des guides méthodologiques ainsi que le moyen de
fournir l'assurance d'une démarche de sécurité cohérente.
L’ISO a entrepris un vaste effort de rationalisation des travaux
existants donnant naissance des multitudes de normes sur une
grande variété de sujets comme :
La famille ISO 9000: gestion de la qualité
La famille de normes ISO 27000 concerne la sécurité de
l’information.
2
4. La méthode PDCA
PDCA ou roue de Deming est une méthode d’amélioration
continue. Elle a pour but d’améliorer les processus, les produits
et les services. Elle concerne tous les domaines de l’entreprise.
Elle est complémentaire aux normes et référentiels ISO
9001:2000, ISO 14001:2004, ISO 27001…
C’est une méthode pour aider à apprendre, ainsi que pour conduire
l’amélioration d’un produit ou d’un processus.
3
5. Etapes de cycle PDCA 1/2
Le cycle comporte quatre étapes dont les noms : Plan, Do, Check, Act.
• Plan (planifier) cette phase définit l’objectif principal qui consiste à
identifier et à préciser les besoins du maitre d’ouvrage. Elle effectue
l’inventaire des moyens nécessaires à sa réalisation, son cout et son
planning.
• Do (réaliser, déployer) c’est la partie opérationnelle de la méthode.
Elle comporte :
– L’allocation de ressources en personnes, temps et budget,
– La rédaction de la documentation,
– La formation du personnel concerné,
– La gestion du risque,
– L’exécution des taches. 4
6. Etapes de cycle PDCA 2/2
• CHECK (mesurer et contrôler): c’est ici que les opérations réalisées
précédemment sont vérifiées pour qu’elles correspondent aux
besoins exprimés, dans les délais et les couts précisés à la première
étape.
• ACT (améliorer, agir): recherche les améliorations à apporter au
projet global de changement. Des mesures sont évoluées à partir
des bilans ou des constatations relevées lors de la phase de
vérification. Des actions possibles sont élaborées selon les cas :
Passage à la phase de planification : si de nouveaux risques ou
modifications ont été identifiés.
Passage à la phase d’exécution : si la phase de vérification en
montre le besoin. 5
8. A quoi sert ?
Cette méthode sert à structurer une démarche de progrès ; elle
évite d’oublier des étapes essentielles comme celle de préparer
avant d’agir. La préparation est en effet essentielle et très liée à
la phase de vérification : on ne pourra vérifier que par rapport à
la préparation.
Le PDCA est encore la base des méthodes de résolution de
problèmes. Cet outil est fondamental pour maîtriser les
changements dans nos organisations. Trivialement, on peut dire
que P = dire ce que l’on va faire, D = faire ce que l’on a dit, C =
vérifier que l’on a bien fait ce que l’on a dit, A = on en a tiré
parti.
7
9. Exemple d’utilisation de la méthode PDCA
PDCA Les étapes Résultats
1-Plan/ Définir des objectifs. Ouvrir un agenda de travail. Identifier vos
prévoir cibles, vos contacts, vos relais de communication, vos
prescripteurs potentiels
2-Do/ Mettre en œuvre un plan d’action et toutes les actions nécessaires
Faire pour atteindre vos objectifs.
Analyser votre fichier de prospection. prendre des rendez-vous,
rencontrer vos futurs clients, aux conférences, etc.
3-Check/ Vérifier que les actions mises en place sont efficaces et atteignent
Contrôler l’objectif défini. Analyser chaque rendez-vous, chaque contrat
pour valider les processus et les résultats.
4-Act/ Recherche des améliorations à apporter au projet global de
Agir changement. Capitaliser votre savoir-faire et continuer à
progresser 8
10. Conclusion
L’utilisation du cycle PDCA est une méthode qui donne
d’excellents résultats à condition d’accorder à la phase de
préparation toute l’importance nécessaire.
C’est la principale manifestation du style de management orienté
vers la connaissance.
Quand une entreprise pratique le leadership, c’est la direction qui
amorce la mise en marche de chaque cycle à partir des
informations du cycle précédent.
9
11. Présentation du norme ISO 9001:
2000
Norme internationale qui spécifie les exigences pour un SMQ qui
peuvent être utilisées par un organisme.
Vise à accroître l’importance à donner pour assurer la satisfaction
des clients
La version 2000 de l'ISO 9001 est une aide qui permet à tout
dirigeant de mesurer l'efficacité des processus.
Elle pose le principe d'amélioration continue c'est-à-dire :établir
les objectifs et les processus nécessaires, mettre en œuvre ces
processus, surveiller et mesurer les processus, les produits ou
les services et entreprendre les actions correctrices pour
améliorer en permanence le système.
10
12. système de management de qualité
Un système de management définit ce qu'une entreprise a mis en place pour
maîtriser ses processus et ses activités et apporter une réponse de nature à
satisfaire ses clients.
La version 2000 s'adapte au mode de fonctionnement de toutes les
entreprises.
Elle est un fil directeur vers une meilleure fluidité dans son mode de
fonctionnement, une plus grande efficacité et une meilleure rentabilité.
Dans cette optique, la direction de l'entreprise doit jouer un rôle de
leadership tout en motivant ses collaborateurs.
Elle doit fixer des objectifs et les démultiplier à différents niveaux ; un
objectif devant être une action réaliste, mesurable et limitée dans le
temps.
11
14. Structure de la norme ISO 9001:2000
MANAGEMENT
REALISATION du
MESURES,
Définir les
des
responsabilitésou autorités
PRODUIT et
ANALYSE
visant à assurer la
RESSOURCES
SERVICE
AMELIORATION
définition, l'application et
Déterminer et les
Porte sur tous Système
Les principales
l'amélioration du
fournir en relatifs au
processus tempsla
nouveautés portent
de Management de
utilel'exigence est de
client et ressources
sur les au cycle
Qualité dont elle de
nécessaires
responsable pour
vie du produit/service
mesurer l'efficacité
Assurer laœuvre et
mettre en
de la conception au
des processus (des
communication interne
améliorer les .
contrôle final
indicateurs de
relative au SMQ,
processus du SMQ
performances
Identifier les attentes du
client ; être prévus)
doivent
Assurer que la
et la satisfaction du
documentation qualité
client.
ainsi que les
enregistrements sont
maîtrisés 13
15. Principes de la norme ISO 9001 version 2000
La version 2000 de la norme ISO 9001, s’appuie sur une « approche processus »
et intègre les huit principes de management de la qualité suivantes:
Orientation client.
Leadership.
Relation mutuellement bénéfique avec les fournisseurs .
Implication du personnel.
Approche processus.
Approche système.
Approche factuelle.
Amélioration continue.
14
16. Les enjeux de la norme ISO 9001:2000
Les enjeux en externe:
• Satisfaire et fidéliser le client, en conquérir de nouveaux
• Instaurer avec lui un climat de confiance
• Refléter vers l’extérieur une image forte de l’entreprise
Les enjeux en interne:
• Fournir la qualité attendue pour le client = s’assurer de répondre à ses
exigences
• Mettre en œuvre la boucle de l’amélioration continue (par la définition
d’objectifs mesurables)
• Définir une organisation efficace et des méthodes de travail communes
15
17. Conclusion
• Le système qualité appartient à tous
• Les procédures sont simplement du gros bon sens
• Le système qualité vise à prévenir les erreurs
• L'uniformisation vise à réduire les variations, assurer la
constance
• Améliorer constamment la qualité doit devenir un
automatisme
16
18. Présentation du ISO 27001
La norme ISO 27001 publiée en octobre 2005. Elle s’adresse à tous les types
d’organismes (entreprises commerciales, administrations…).
La norme ISO 27001 décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l'Information (SMSI).
Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection
des biens sensibles d'une entreprise sur un périmètre défini.
C'est le modèle de qualité PDCA qui est recommandé pour établir un SMSI afin
d'assurer une amélioration continue de la sécurité du système d'information.
17
19. Comment mettre en œuvre ISO 27001 ?
Les SMSIs fonctionnent selon un modèle cyclique en 4 étapes appelé « PDCA »
c’est-à-dire Plan, Do, Check, Act:
• Phase Plan : consiste à planifier les actions que l’entreprise va entreprendre en
termes de sécurité
• Phase Do : l’entreprise réalise ce qu’elle a planifié dans ce domaine
• Phase Check : l’entreprise vérifie qu’il n’existe pas d’écart entre ce qu’elle a
dit et ce qu’elle a fait
• Phase Act : consiste à entreprendre des actions correctives pour les écarts
qui ont été constatés précédemment
18
20. Structure de la norme ISO 27001
Responsabilité Amélioration du
du SGSI
management
Mise en
œuvre du
SGSI
Amélioration Implémentation
du SGSI et exploitation
du SGSI
Contrôle et
revue du
SGSI
Audit Contrôles
interne du périodiques par la
SGSI direction
19
21. Objectifs de la norme ISO 27001
Evaluer et définir les besoins de protection et définir les objectifs et directives de
sécurité de l’information
• Implémenter et gérer des contrôles permettant de réduire les
risques de perte, de vol, ou de compromission de l’information
• Surveiller et réviser les performances et l’efficacité des mesures
de sécurité gérées avec l’ISMS
• Mesurer objectivement et améliorer continuellement le processus
ISMS
20
22. Conclusion
la norme ISO 27001 est indéniablement devenue le modèle de
gouvernance de la sécurité de l’information.
Amenant un pilotage de la sécurité par les risques couplé à une
approche système de management.
Elle permet de structurer et rationaliser le pilotage de la sécurité
tout en construisant une vision stratégique à moyen terme.
21
23. Conclusion générale
Le modèle de qualité PDCA assure une amélioration continue de
la qualité
La norme internationale ISO 27001 respecte le principe de la roue
de Deming, issue du monde de la qualité.
Ce concept permet d’établir un parallèle avec les normes relatives
aux systèmes de management de la qualité (ISO 9001).
22
24. Références
• Mémoire Mastère Professionnel Mise en œuvre d’un système
de management de la sécurité de l’information (SMSI) au sein
de l’Ambassade du Royaume du Maroc à Tunis.
• Sécurité informatique: principes et méthodes par Laurent Bloch,
Christophe Wolfhugel
• http://www.iso27001security.com/html/27002.html
• http://www.itpedia.fr/206-implementer-iso-27001.html
23