10 réponses

  1. Florent de EO.TV
    26 août 2011

    Bonsoir Pascal et merci pour cet article très complet.

    Je ne reviendrais pas trop sur les éléments que tu as cités, car je ne maitrise pas les exigences de différentes normes…

    En revanche, en tant qu’ex-responsable informatique, je ne peux pas être indifférent à la thématique.

    Dans les points que tu évoques, tu parles d’intégrité des données. Je ne sais pas quel est le niveau de préconisation de l’ISO27001, mais il est hallucinant de constater à quel point les systèmes de mesures qui alimentent les systèmes de données sont si peu fiables. Personnellement, je n’ai jamais fait un projet lean six sigma sans avoir à valider à deux reprises le système de mesure tant les données étaient erronées lors du premier test.

    Mon deuxième point de réflexion concerne la paperasserie… Quand je te lis, j’ai le sentiment qu’il y a beaucoup de choses à écrire, à vérifier, à contrôler (Contrat, Contrôle…). N’hésite pas à me reprendre si j’ai mal lu entre les lignes… ;-)
    Or dans le Lean Software par exemple, les cahiers des charges à l’ancien, et toute la paperasserie administrative ca va à la poubelle pour laisser place à la vélocité, c’est à dire les développements au plus vite avec un système de test automatisé qui permet à chaque incrémentation de s’assurer que le soft n’a pas perdu en fonctionnalité…

    Bref, tout ça reste encore à murir de mon côté… ;-)

    Au plaisir d’échanger avec toi sur le sujet.
    Florent.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
  2. Jérémy CICERO
    7 septembre 2011

    Bonjour Pascal,

    Excellent article complet et clair sur une thématique majeure trop souvent négligée par les entreprises qui confient les clés de leur informatique sans évaluer l’aptitude du prestataire à maîtriser leurs données.

    Une autre thématique connexe qu’il convient de maîtriser avec autant de rigueur est celle de la propriété intellectuelle des solutions développées sur le web (sites et autres applications) par ses prestataires.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
  3. DRP Security
    29 février 2012

    Je viens de tomber sur ce post très intéressant.

    Vous ne parlez pas de l’importance d’avoir des clauses juridiques fortes avec ses prestataires, et d’automatiser ce process « à la source » en insérant des clauses types dans l’ensemble des contrats IT.

    C’est pourtant une bonne manière d’automatiser et de faire entrer dans les mœurs le principe d’audit !

    Mathieu

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    • Pascal Weber
      1 mars 2012

      Bonjour Mathieu,

      Vous avez parfaitement raison. En fonction de l’impact des services du prestataire informatique, il est fondamental de contractualiser les services rendus avec des clauses juridiques. La mise en place d’indicateurs de performance permettra de « piloter » le contrat avec son prestataires informatique.

      Au plaisir de vous lire.

      Pascal Weber

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)
  4. Ivision
    23 avril 2014

    Bonjour,

    Excellent article, très didactique, en particulier la partie concernant la norme ISO 27002, a mettre en parallèle avec une éventuelle phase d’analyse des risques, et la mise en place d’indicateurs propres à l’entreprise concernant la mesure du niveau de disponibilité, de l’intégrité et de la confidentialité du système d’information.

    Nous avons abordé le sujet du choix et de l’évaluation du prestataire informatique dans un de nos articles : « Comment externaliser son SI en toute sécurité ?  » http://www.ivision.fr/comment-externaliser-son-si-en-toute-securite/. Peut-être cela pourra-t-il intéresser vos lecteurs.

    Bien cordialement,

    Nathalie, chargée de communication Ivision

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    • Pascal Weber
      28 avril 2014

      Bonjour Nathalie,
      En parcourant votre site Internet, j’ai trouvé une rubrique consacrée aux certifications. Elles concernent des solutions techniques. Je suppose que les normes ISO 27000 vous intéressent également pour maîtriser la sécurité de l’information de vos clients par la mise en place d’un système y de management. La certification ISO 27001 est un élément différenciant pour donner confiance à vos clients.

      Au plaisir de vous lire.
      Pascal Weber

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)
  5. amina
    13 septembre 2014

    Bonjour Pascal
    j’aime beaucoup votre façon d’expliquer la démarche ISO, d »ailleurs elle m’a aidé énormément pour la mise en place dans l’entreprise ou je travaille. On m’a nommé responsable Qualité et je ne connaissais rien de la norme. Petit à petit je lisais vos explications de la norme et je suivais vos conseils et voilà aujourd’hui nous sommes certifiés ISO 9001 et ISO 14001, par contre je voudrais vous posez une question concernant la revue de direction,
    Est ce que les tableaux récapitulatif suffisent dans les éléments d’entrées ou ils faut rajouter des commentaires? Où Faut-il éviter les tableaux et mettre uniquement les commentaires devant chaque point?
    Merci de votre aide précieuse et continuer à nous éclaircir les points qui nous semblent sombres.
    Amina

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    • Pascal Weber
      16 septembre 2014

      Bonjour Amina,

      Merci pour votre retour d’information.
      Pour éviter un point à traiter en termes de données d’entrée de la revue de direction (exigences ISO 9001 et ISO 14001), il est intéressant de tous les lister. La forme n’a pas d’importance en soit. Vous pouvez utiliser un tableau Excel ou un fichier Word. L’essentiel est de les passer en revue.

      J’ai un doute, mais j’espère avoir compris le sens de votre question. Si cela n’est pas le cas, n’hésitez pas à revenir vers moi.

      Au plaisir de vous lire.
      Pascal Weber

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)
  6. ABDELKADER
    19 février 2015

    BONJOUR PASCAL .
    – COMMENT PEUT ON GARANTIR L’EFFICACITÉ DU PROCESSUS AUDIT?
    – COMMENT PEUT ON FAIRE LA REVUE DES NC?

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    • Pascal Weber
      19 février 2015

      Bonjour,

      La mise en place des audits internes permet de s’assurer de la conformité de l’organisation à ses règles de gestion (origine référentiel ISO, exigences réglementaires et légales, règles internes) et l’efficacité de l’approche processus. On peut imaginer des outils qui permettront de démontrer que l’approche processus est bien en place et que l’organisation est conforme à un ensemble de règles. Ces informations sont intéressantes pour les clients de l’audit internes, la direction de l’entreprise et les managers.

      Votre question est très pertinente. Comment mesurer cette fois-ci l’efficacité des audits internes? Pour ma part, pour tout indicateur, je pose la question de la finalité de l’activité à mesurer. Les audits ont pour client la direction et les managers. Quelles sont les attentes / besoins de ces clients? Ils veulent avoir des rapports d’audit qui leur donnent satisfaction : des points forts, des non conformités (pas tous, c’est une question de culture), des opportunités d’amélioration.

      Les auditeurs apportent une vision extérieure du fonctionnement des activités auditées. Les managers souhaitent ainsi avoir des éléments factuels sur les points forts de leur organisation et des pistes qui pourraient amener des gains économiques et qualitatifs.

      Pour mesurer l’efficacité des audits internes, regarder les résultats obtenus. On peut rappeler l’exigence des normes de management (ISO 9001, ISO 14001, ISO 27001, OHSAS 18001, ISO 22000, …) concernant une des données d’entrée de la revue de direction : Prendre en compte les résultats des audits

      Votre deuxième question porte sur la revue des NC? A quoi ça sert de les revoir? Cela permet de voir s’il est nécessaire d’engager des actions correctives. Dans le monde opérationnel de tous les jours, un produit non conforme est mis en évidence. On va s’attacher à le traiter rapidement afin que le client ne soit pas pénalisé. On mène alors que des actions curatives permettant de remettre une situation en l’état. On ne parle pas encore d’action corrective (recherches de causes permettant la mise en place d’actions évitant l’apparition future du même produit non conforme). Rien ne vous empêche d’engager une action corrective suite au traitement d’un produit non conforme. Vous aurez alors jugé que l’impact de cette situation était top importante pour seulement traiter et classer l’affaire. D’où l’importance de revoir les non conformités.

      Au plaisir de vous lire.
      Pascal Weber

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)

Laisser une réponse

 

 

 

Retour au début
mobile bureau