| Aspect | Gestion du Risque | Gestion de Projet |
|---|---|---|
| Objectif | Identifier, évaluer et traiter les menaces | Atteindre des objectifs dans les délais et le budget |
| Focus | Incertitudes et événements négatifs | Livrables et résultats |
| Horizon temporel | Continu tout au long du projet | Temporaire (début et fin définis) |
| Approche | Préventive et réactive | Planification et exécution |
| Outils clés | Matrice de risques, EBIOS RM, registre des risques | WBS, Gantt, Kanban, tableaux de bord |
| Critère | Cycle en V | Agile | Scrum |
|---|---|---|---|
| Type | Séquentiel | Itératif | Itératif (framework Agile) |
| Flexibilité | Faible | Élevée | Élevée |
| Documentation | Exhaustive | Légère | Légère |
| Implication client | Début et fin | Continue | Continue (Product Owner) |
| Livraison | Une seule fois (fin) | Fréquente (itérations) | Fréquente (Sprints 2-4 sem) |
| Gestion du changement | Difficile et coûteuse | Intégrée | Intégrée |
| Adapté pour | Exigences stables, projets critiques | Projets innovants, évolutifs | Développement logiciel agile |
| Tests | Phase dédiée en fin | Continus | Continus dans chaque Sprint |
| Taille équipe | Variable | Petites équipes | 3-9 personnes |
| Stratégie | Description | Exemple | Quand l'utiliser |
|---|---|---|---|
| Éviter | Éliminer le risque en modifiant le plan | Changer de technologie | Risque inacceptable |
| Atténuer | Réduire la probabilité ou l'impact | Formation, tests approfondis | Risque modéré à élevé |
| Transférer | Reporter le risque sur un tiers | Assurance, sous-traitance | Expertise externe nécessaire |
| Accepter | Assumer le risque | Prévoir budget de contingence | Risque faible ou coût de traitement élevé |
| Escalader | Remonter au niveau supérieur | Informer la direction | Hors périmètre du projet |
| Type | Données sauvegardées | Vitesse | Espace requis | Restauration | Fréquence typique |
|---|---|---|---|---|---|
| Complète | Toutes les données | Lente | Élevé | Rapide (1 fichier) | Hebdomadaire |
| Incrémentielle | Modifiées depuis dernière sauvegarde | Rapide | Faible | Lente (full + tous incr.) | Quotidienne |
| Différentielle | Modifiées depuis dernière complète | Moyenne | Moyen | Moyenne (full + dernière diff.) | Quotidienne |
| Miroir | Copie exacte en temps réel | Rapide | Élevé | Immédiate | Continue |
| Aspect | PCA (Plan de Continuité d'Activité) | PRA (Plan de Reprise d'Activité) |
|---|---|---|
| Périmètre | Organisation complète | Systèmes informatiques |
| Objectif | Maintenir les activités critiques | Restaurer les systèmes IT |
| Portée | Processus métier, ressources, locaux | Infrastructure, applications, données |
| Responsable | Direction générale | Direction des SI |
| Indicateurs | RTO, RPO, MTD pour activités | RTO, RPO pour systèmes |
| Relation | Englobe le PRA | Composant technique du PCA |
| Niveau | Description | Redondance | Espace utilisable | Pannes tolérées | Usage typique |
|---|---|---|---|---|---|
| RAID 0 | Agrégation (striping) | Non | 100% | 0 | Performance pure |
| RAID 1 | Miroir | Oui | 50% | 1 disque | Données critiques |
| RAID 5 | Parité distribuée | Oui | (n-1)/n | 1 disque | Bon compromis |
| RAID 6 | Double parité | Oui | (n-2)/n | 2 disques | Haute fiabilité |
| RAID 10 | Miroir + striping | Oui | 50% | 1 par miroir | Performance + fiabilité |
| Indicateur | Sigle | Description | Exemple |
|---|---|---|---|
| Recovery Time Objective | RTO | Durée max d'interruption acceptable | 4 heures |
| Recovery Point Objective | RPO | Perte de données max acceptable | 1 heure |
| Maximum Tolerable Downtime | MTD | Durée avant impact irréversible | 24 heures |
| Cost Performance Index | CPI | EV / AC (>1 = sous budget) | 1.2 = 20% sous budget |
| Schedule Performance Index | SPI | EV / PV (>1 = en avance) | 0.9 = 10% de retard |
| Disponibilité | Nom | Indisponibilité/an | Indisponibilité/mois | Usage |
|---|---|---|---|---|
| 99% | - | 3,65 jours | 7,2 heures | Basique |
| 99,9% | Three Nines | 8,76 heures | 43 minutes | Standard |
| 99,99% | Four Nines | 52,56 minutes | 4,3 minutes | Haute disponibilité |
| 99,999% | Five Nines | 5,26 minutes | 26 secondes | Très haute disponibilité |
| 99,9999% | Six Nines | 31,5 secondes | 2,6 secondes | Ultra haute disponibilité |
| Outil | Type | Points forts | Tarification | Meilleur pour |
|---|---|---|---|---|
| Jira | Complet | Agile, intégrations, bugs | Payant | Équipes dev agiles |
| Monday.com | Complet | Interface intuitive, automations | Payant | PME, tous secteurs |
| Asana | Gestion tâches | Simplicité, collaboration | Freemium | Équipes marketing/créatives |
| Microsoft Project | Planification | Gantt avancé, ressources | Payant | Projets complexes |
| Trello | Kanban | Simplicité, visuel | Freemium | Petites équipes, projets simples |
| ClickUp | Tout-en-un | Personnalisation, prix | Freemium | Polyvalence |
- Introduction
- La Gestion du Risque
- Introduction à EBIOS RM
- La Gestion de Projet
- Types de Projets IT
- Méthodologies de Gestion de Projet
- Outils de Gestion de Projet
- PCA et PRA
- Sauvegardes, Redondance et Supervision
La gestion du risque et la gestion de projet sont deux disciplines complémentaires essentielles dans le monde professionnel moderne, particulièrement dans le domaine informatique. Ces pratiques permettent aux organisations d'atteindre leurs objectifs tout en minimisant les incertitudes et en optimisant l'utilisation des ressources.
La gestion des risques est un ensemble d'activités et de procédures visant à identifier, analyser, contrôler et surveiller les risques tout au long du cycle de vie d'un projet. Un risque est défini comme un événement ou une condition possible dont la concrétisation aurait un impact négatif sur les objectifs du projet.
D'après la norme ISO 31000, la gestion des risques repose sur trois piliers fondamentaux :
- Transparence : toutes les informations doivent être clairement partagées
- Inspection : évaluation régulière des risques
- Adaptation : ajustement continu aux conditions réelles
Les risques projet peuvent être classés en plusieurs catégories :
Risques humains :
- Manque de compétences
- Absentéisme
- Démission au cours du projet
- Conflits au sein de l'équipe
Risques temporels :
- Retards des sous-traitants ou fournisseurs
- Mauvaise estimation des délais
- Dépendances entre tâches
Risques techniques :
- Pas d'accès aux technologies requises
- Complexité du projet
- Manque de moyens techniques
- Logiciel inadapté
- Pannes matérielles
Risques juridiques :
- Réglementations et lois à respecter
- Faillite d'un fournisseur
- Non-conformité réglementaire
Risques financiers :
- Dépassement de budget
- Coûts supplémentaires imprévus
Risques environnementaux :
- Impacts négatifs sur l'environnement
- Catastrophes naturelles (inondation, tempête)
Le processus de gestion des risques suit généralement cinq étapes principales :
- Planification de la gestion des risques : définir l'approche, les rôles et responsabilités
- Identification des risques : recenser tous les risques potentiels
- Analyse qualitative et quantitative : évaluer la probabilité et l'impact
- Planification des réponses : définir les stratégies de traitement
- Surveillance et contrôle : suivre l'évolution des risques
L'identification des risques est une étape cruciale qui nécessite la participation de plusieurs acteurs. Les méthodes d'identification incluent :
Brainstorming avec l'équipe :
- Réunir des profils variés et complémentaires
- Encourager la créativité et l'expression libre
- Ne pas censurer les idées au départ
Consultation des parties prenantes :
- Dirigeants et sponsors
- Fournisseurs et partenaires
- Utilisateurs finaux
- Clients
Analyse documentaire :
- Rapports de clôture de projets similaires
- Registres des risques de projets passés
- Retours d'expérience
Consultation d'experts :
- Collègues ayant une expérience similaire
- Experts métiers
- Consultants externes si nécessaire
Le résultat de cette phase est consigné dans un registre des risques, document central qui liste tous les risques identifiés avec leurs caractéristiques.
L'évaluation des risques combine deux dimensions :
Probabilité d'occurrence (Fréquence) :
- Rare (< 1%)
- Possible (1-10%)
- Probable (> 10%)
Gravité de l'impact :
- Faible : impact mineur, gérable avec les marges
- Moyen : contrat non respecté, objectifs partiellement atteints
- Fort : remise en cause du projet
Le niveau de criticité est calculé ainsi :
Criticité = Probabilité × Impact
Une matrice de criticité permet de prioriser les risques à traiter en priorité.
Quatre stratégies principales peuvent être appliquées :
Éviter le risque :
- Modifier le plan du projet pour éliminer le risque
- Changer de technologie ou d'approche
Atténuer le risque :
- Mettre en place des actions préventives
- Réduire la probabilité ou l'impact
- Exemple : formation des équipes, tests approfondis
Transférer le risque :
- Souscrire une assurance
- Sous-traiter la partie sensible
- Le responsable externe assume alors le risque
Accepter le risque :
- Pour les risques de faible criticité
- Prévoir un plan de contingence si le risque se réalise
Faire remonter le risque :
- Lorsqu'il dépasse le périmètre du projet
- Escalader vers le sponsor ou la direction
EBIOS Risk Manager (EBIOS RM) est la méthode française de référence pour l'analyse et le management des risques numériques, développée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
Objectifs d'EBIOS RM :
- Identifier et comprendre les risques numériques spécifiques à l'organisation
- Déterminer les mesures de sécurité adaptées à la menace
- Mettre en place un cadre de suivi et d'amélioration continue
- Obtenir une responsabilité partagée des risques entre décideurs et opérationnels
Principes clés :
- Approche de management du risque partant du plus haut niveau (missions de l'organisation)
- Synthèse entre conformité et scénarios
- Focus sur les menaces intentionnelles et ciblées
- Compatible avec les normes ISO 27001 et ISO 27005
La méthode EBIOS RM se déploie à travers 5 ateliers successifs :
Objectifs :
- Identifier l'objet de l'étude
- Définir les participants et le cadre temporel
- Recenser les missions et valeurs métier
- Identifier les biens supports
Livrables :
- Périmètre de l'étude défini
- Liste des événements redoutés
- Estimation de la gravité des impacts
- Socle de sécurité établi
Objectifs :
- Identifier les sources de risque (SR)
- Définir leurs objectifs visés (OV)
- Évaluer les couples SR/OV
Critères d'évaluation :
- Motivation de la source
- Ressources disponibles
- Activité et capacité d'action
Exemples de sources de risque :
- Hacktivistes
- Concurrents
- Cyber-mercenaires
- Personnel malveillant interne
- Cyber-terroristes
Objectifs :
- Cartographier l'écosystème et les parties prenantes
- Identifier les chemins d'attaque possibles
- Construire des scénarios stratégiques
Éléments analysés :
- Relations avec clients, partenaires, fournisseurs
- Points d'entrée potentiels dans le système
- Chemins d'attaque vers les valeurs métier
Objectifs :
- Détailler les modes opératoires d'attaque
- Structurer les scénarios avec la cyber kill chain
- Évaluer la vraisemblance de chaque scénario
Approche :
- Identification des actions élémentaires
- Évaluation de la difficulté de réalisation
- Probabilité de succès de chaque étape
- Cartographie globale du risque initial
Objectifs :
- Définir les stratégies de traitement
- Construire un Plan d'Amélioration Continue de la Sécurité (PACS)
- Mettre en place le suivi
Actions :
- Sélection des mesures de sécurité
- Priorisation des actions
- Définition des indicateurs de suivi
- Planification de la mise en œuvre
La gestion de projet est une discipline qui consiste à organiser, planifier et gérer des ressources pour atteindre des objectifs spécifiques dans un délai et un budget définis. Un projet est une entreprise temporaire visant à créer un produit, un service ou un résultat unique.
Caractéristiques d'un projet :
- Temporaire (début et fin définis)
- Unique (produit ou résultat spécifique)
- Progressif (élaboré par étapes successives)
- Nécessite des ressources
Le triangle de la gestion de projet : Le triptyque coût-qualité-délais représente les trois contraintes fondamentales :
- Coût : budget alloué
- Qualité : niveau de performance attendu
- Délais : échéances à respecter
Un projet suit généralement un cycle de vie en cinq phases :
Objectif : Évaluer la faisabilité et l'opportunité du projet
Activités :
- Étude d'opportunité
- Analyse de faisabilité
- Identification des parties prenantes
- Décision de lancement ou non
Livrable : Étude d'opportunité validée
Objectif : Définir le projet et obtenir l'autorisation de démarrer
Activités :
- Rédaction de la charte de projet
- Identification des objectifs et du périmètre
- Désignation du chef de projet
- Constitution de l'équipe initiale
Livrables :
- Charte de projet
- Équipe projet constituée
Objectif : Définir précisément comment le projet sera réalisé
Activités :
- Structuration des tâches (WBS)
- Estimation des durées et des coûts
- Ordonnancement des tâches
- Allocation des ressources
- Identification et planification des risques
- Définition des procédures de communication
Livrables :
- Planning détaillé (Gantt)
- Budget prévisionnel
- Plan de management des risques
- Plan de communication
Objectif : Réaliser les livrables conformément au plan
Activités :
- Développement du produit/service
- Coordination des équipes
- Gestion des ressources
- Communication avec les parties prenantes
Livrables : Produits/services définis dans le plan
Objectif : Surveiller l'avancement et prendre des mesures correctives
Cette phase se déroule en parallèle de l'exécution.
Activités :
- Mesure des progrès
- Comparaison avec le plan de référence
- Identification des écarts
- Actions correctives
- Gestion des changements
Outils :
- Tableaux de bord
- Indicateurs de performance (KPI)
- Rapports d'avancement
Objectif : Finaliser toutes les activités et tirer les leçons
Activités :
- Recette et validation finale
- Transfert des livrables au client
- Libération des ressources
- Documentation du projet
- Retour d'expérience
- Archivage
Livrables :
- Procès-verbal de recette
- Rapport de clôture
- Capitalisation des connaissances
Les projets informatiques se déclinent en plusieurs catégories selon leur nature et leurs objectifs.
Définition : Création de logiciels ou applications sur mesure adaptés aux besoins spécifiques d'une entreprise.
Caractéristiques :
- Démarrage de zéro avec un nouveau besoin
- Respect du cycle de vie complet
- Forte implication des utilisateurs finaux
- Adaptabilité aux évolutions
Exemples :
- Application métier personnalisée
- Logiciel de gestion spécifique
- Plateforme web sur mesure
- Application mobile native
Types de développement :
- Développement web : sites et applications web (front-end et back-end)
- Développement mobile : applications iOS, Android
- Développement desktop : logiciels pour ordinateurs
- Développement embarqué : systèmes dans des dispositifs physiques
Définition : Conception, mise en place ou modernisation des infrastructures techniques IT.
Objectifs :
- Scalabilité et fiabilité des systèmes
- Optimisation des coûts à long terme
- Renforcement de la sécurité
- Amélioration des performances
Exemples :
- Migration vers le cloud
- Mise en place d'un datacenter
- Déploiement de réseau
- Virtualisation de serveurs
- Consolidation d'infrastructure
Définition : Déploiement et paramétrage de solutions existantes dans l'environnement de l'organisation.
Caractéristiques :
- Solution déjà développée par un éditeur
- Adaptation au contexte et aux processus clients
- Paramétrage et configuration
- Formation des utilisateurs
- Migration de données
Exemples :
- Implémentation d'un ERP (SAP, Oracle)
- Déploiement d'un CRM (Salesforce, Microsoft Dynamics)
- Mise en place d'un PLM (Product Lifecycle Management)
- Intégration d'une solution de BI (Business Intelligence)
Projets de cybersécurité :
- Implémentation de pare-feu et antivirus
- Mise en place de chiffrement
- Formation à la sécurité
- Audit de sécurité
Projets de migration :
- Transfert de données entre systèmes
- Changement de plateforme
- Mise à niveau technologique
Projets de transformation digitale :
- Intégration de technologies numériques
- Amélioration de l'expérience client
- Optimisation des processus
Le cycle en V est une méthodologie linéaire et séquentielle apparue dans les années 1980, dérivée du modèle en cascade. Elle se caractérise par une approche structurée où chaque phase de conception est associée à une phase de validation correspondante.
Représentation : La forme en V symbolise la descente dans les détails techniques (branche gauche) puis la remontée via les différents tests (branche droite).
Branche descendante (Conception) :
-
Analyse des besoins :
- Recueillir les besoins du client
- Définir les fonctionnalités attendues
- Validation : Tests d'acceptation
-
Spécifications fonctionnelles :
- Définir le comportement du système
- Rédiger le cahier des charges
- Validation : Tests de validation
-
Conception générale (architecture) :
- Définir l'architecture du système
- Choisir les technologies
- Validation : Tests d'intégration
-
Conception détaillée :
- Spécifications techniques précises
- Détail des composants
- Validation : Tests unitaires
Bas du V (Réalisation) :
- Développement/Codage :
- Implémentation du code
- Création des composants
Branche ascendante (Validation) :
-
Tests unitaires :
- Vérification de chaque composant isolément
- Correction des bugs
-
Tests d'intégration :
- Vérification de l'assemblage des composants
- Test des interfaces
-
Tests de validation :
- Vérification de la conformité aux spécifications
- Validation fonctionnelle
-
Tests d'acceptation (recette) :
- Validation par le client
- Vérification de la conformité aux besoins
- Structure claire : chaque étape est bien définie
- Traçabilité : chaque phase de conception a sa phase de test
- Documentation complète : forte formalisation
- Planification précise : estimation facilitée
- Qualité : tests anticipés dès la conception
- Adapté aux projets bien cadrés : exigences stables
- Rigidité : difficile de revenir en arrière
- Effet tunnel : le client ne voit le résultat qu'à la fin
- Peu de flexibilité : changements coûteux en cours de route
- Long cycle de développement : livraison tardive
- Documentation lourde : temps conséquent en amont
- Risque élevé : découverte tardive des problèmes
Le cycle en V est recommandé pour :
- Projets avec exigences très précises et stables
- Présence d'un prestataire maîtrisant toutes les étapes
- Cahier des charges inchangé du début à la fin
- Environnement technologique stable
- Projets où la sécurité est critique (médical, aéronautique)
- Appels d'offres avec spécifications détaillées
Les méthodes agiles sont nées en 2001 avec le Manifeste Agile, créé par 17 experts du développement logiciel. Elles privilégient l'adaptabilité, la collaboration et la livraison continue de valeur.
Le Manifeste Agile valorise :
- Les individus et leurs interactions plus que les processus et les outils
- Des logiciels opérationnels plus qu'une documentation exhaustive
- La collaboration avec les clients plus que la négociation contractuelle
- L'adaptation au changement plus que le suivi d'un plan
Livraison continue :
- Livraisons fréquentes de versions fonctionnelles
- Cycles courts (itérations de 2-4 semaines)
- Feedback rapide des utilisateurs
Adaptation aux changements :
- Accueil positif des modifications
- Flexibilité tout au long du projet
- Amélioration continue
Collaboration :
- Équipes auto-organisées
- Communication directe et fréquente
- Implication du client/utilisateur
Simplicité :
- Développer uniquement ce qui est nécessaire
- Éviter le sur-développement
- Focus sur la valeur métier
Scrum (détaillée dans la section suivante) :
- Framework le plus utilisé
- Sprints de 2-4 semaines
- Rôles définis (Product Owner, Scrum Master, équipe)
Extreme Programming (XP) :
- Pratiques techniques avancées
- Programmation en binôme
- TDD (Test Driven Development)
- Intégration continue
Kanban :
- Gestion en flux continu
- Limitation du travail en cours (WIP)
- Visualisation du workflow
- Amélioration continue
RAD (Rapid Application Development) :
- Développement rapide par prototypage
- Cycles courts
- Forte implication utilisateur
- Flexibilité : adaptation facile aux changements
- Visibilité : livraisons fréquentes, pas d'effet tunnel
- Qualité : tests continus et intégration continue
- Satisfaction client : implication constante
- Motivation équipe : autonomie et responsabilisation
- Réduction des risques : détection précoce des problèmes
- Documentation limitée : peut poser problème à long terme
- Implication client : requiert une disponibilité forte
- Moins prévisible : difficile d'estimer coût et délai total
- Nécessite de l'expérience : courbe d'apprentissage
- Peut manquer de structure : pour les grandes organisations
Scrum est un framework agile créé par Ken Schwaber et Jeff Sutherland dans les années 1990. C'est la méthode agile la plus utilisée dans le monde, particulièrement pour le développement logiciel.
Origine du nom : "Scrum" signifie "mêlée" en anglais, terme emprunté au rugby, symbolisant l'esprit d'équipe.
Définition : Scrum est un cadre de travail holistique itératif qui se concentre sur les buts communs en livrant de manière productive et créative des produits de la plus grande valeur possible.
Transparence :
- Définitions claires et communes
- Informations accessibles à tous
- Visibilité sur l'avancement
Inspection :
- Vérifications fréquentes des progrès
- Détection précoce des problèmes
- Évaluation régulière
Adaptation :
- Ajustements continus
- Réponse rapide aux changements
- Amélioration continue
Product Owner :
- Définit la vision du produit
- Gère le Product Backlog
- Priorise les fonctionnalités
- Valide les incréments
- Interface avec les parties prenantes
- Responsable de la valeur métier
Scrum Master :
- Garant de la méthodologie Scrum
- Facilite les événements Scrum
- Retire les obstacles de l'équipe
- Coach l'équipe et l'organisation
- Protège l'équipe des perturbations externes
- N'a pas d'autorité hiérarchique
Équipe de développement :
- Auto-organisée et pluridisciplinaire
- 3 à 9 membres idéalement
- Réalise les User Stories
- Responsable de la qualité
- Estime la charge de travail
- Compétences techniques variées
Product Backlog :
- Liste ordonnée de tout ce qui pourrait être nécessaire dans le produit
- Priorisé par valeur métier
- Vivant et évolutif
- Contient des User Stories
Sprint Backlog :
- Ensemble des éléments du Product Backlog sélectionnés pour le Sprint
- Plan pour livrer l'incrément
- Appartient à l'équipe de développement
Incrément :
- Somme de tous les éléments du Product Backlog complétés durant le Sprint et les Sprints précédents
- Doit être potentiellement livrable
- Répond à la "Definition of Done"
User Story :
- Description d'une fonctionnalité du point de vue utilisateur
- Format : "En tant que [rôle], je veux [action] afin de [bénéfice]"
- Accompagnée de critères d'acceptation
Sprint :
- Durée : 2 à 4 semaines (timeboxé)
- Objectif : créer un incrément "Done"
- Pas d'interruption pendant le Sprint
- Contient tous les autres événements
Sprint Planning :
- Durée : maximum 8h pour un Sprint d'un mois
- Objectif : définir ce qui sera fait pendant le Sprint
- Deux parties :
- Quoi : sélection des items du Product Backlog
- Comment : plan pour réaliser l'incrément
- Définition du Sprint Goal
Daily Scrum :
- Durée : 15 minutes maximum
- Quotidien, même heure, même lieu
- Debout pour rester concis
- Trois questions :
- Qu'ai-je fait hier ?
- Que vais-je faire aujourd'hui ?
- Ai-je des obstacles ?
- Synchronisation de l'équipe
Sprint Review :
- Durée : maximum 4h pour un Sprint d'un mois
- Présentation de l'incrément aux parties prenantes
- Démonstration du travail réalisé
- Recueil des feedbacks
- Adaptation du Product Backlog si nécessaire
- Collaboration avec les parties prenantes
Sprint Retrospective :
- Durée : maximum 3h pour un Sprint d'un mois
- Après la Sprint Review, avant le prochain Planning
- Inspection du dernier Sprint
- Ce qui s'est bien passé
- Ce qui peut être amélioré
- Plan d'amélioration pour le prochain Sprint
- Focus sur l'équipe et les processus
-
Phase préparatoire :
- Construction du Product Backlog initial
- Définition de la vision du produit
- Formation de l'équipe Scrum
-
Sprint Planning :
- Sélection des items prioritaires
- Définition du Sprint Goal
- Découpage en tâches
-
Sprint (2-4 semaines) :
- Daily Scrum quotidien
- Développement incrémental
- Collaboration continue
-
Sprint Review :
- Démonstration de l'incrément
- Feedback des parties prenantes
- Adaptation du Product Backlog
-
Sprint Retrospective :
- Amélioration continue
- Plan d'actions
-
Répétition :
- Nouveau Sprint Planning
- Cycle continue jusqu'à l'atteinte des objectifs
- Livraisons fréquentes : valeur métier régulière
- Adaptabilité : réponse rapide aux changements
- Visibilité : transparence totale sur l'avancement
- Qualité : tests et validation continus
- Motivation : autonomie et responsabilisation de l'équipe
- Collaboration : communication intensive
- Réduction des risques : feedback précoce
- Demande discipline : respect du framework
- Implication client : disponibilité requise
- Pas adapté à tous les projets : mieux pour projets innovants
- Courbe d'apprentissage : changement culturel
- Documentation : peut être insuffisante si mal gérée
Les outils de gestion de projet sont essentiels pour assurer le succès et l'efficacité des projets IT. Ils couvrent quatre domaines principaux : structuration, planification, suivi et communication.
Les outils de structuration permettent d'organiser et de décomposer le projet en éléments gérables.
Définition : Le WBS est une décomposition hiérarchique du périmètre total du projet en éléments plus petits et plus gérables.
Objectifs :
- Découper le projet en lots de travail
- Définir l'ensemble du périmètre
- Faciliter l'estimation des coûts et durées
- Établir une base pour l'organisation du travail
Niveaux de décomposition :
- Projet
- Phases ou sous-projets
- Livrables majeurs
- Lots de travail
- Tâches élémentaires
Règle des 100% : Le WBS doit inclure 100% du travail défini par le périmètre du projet.
Outils pour créer un WBS :
- Microsoft Project
- WBS Chart Pro
- MindManager
- Lucidchart
- Draw.io
Représentation graphique de la décomposition des tâches, souvent sous forme d'arbre hiérarchique.
Version française du WBS, utilisée pour structurer le projet en lots de travail assignables et mesurables.
Les outils de planification permettent d'organiser les tâches dans le temps et d'optimiser l'utilisation des ressources.
Définition : Représentation visuelle du planning du projet sous forme de barres horizontales sur un calendrier.
Éléments affichés :
- Tâches et leur durée
- Dates de début et de fin
- Dépendances entre tâches
- Jalons (milestones)
- Ressources affectées
- Avancement réel vs prévu
Avantages :
- Vision d'ensemble du projet
- Identification du chemin critique
- Communication facile avec les parties prenantes
- Suivi visuel de l'avancement
Logiciels :
- Microsoft Project (standard de l'industrie)
- GanttProject (gratuit)
- Smartsheet
- Monday.com
- Wrike
- TeamGantt
Définition : Technique d'analyse de réseau qui modélise les tâches et leurs dépendances sous forme de graphe.
Objectifs :
- Identifier le chemin critique
- Calculer les marges de manœuvre
- Optimiser la durée du projet
Composants :
- Nœuds : représentent les événements ou jalons
- Flèches : représentent les tâches et leur durée
- Chemin critique : séquence de tâches déterminant la durée minimale du projet
Calculs :
- Date au plus tôt
- Date au plus tard
- Marge totale
- Marge libre
Technique similaire au PERT, qui identifie la plus longue séquence de tâches dépendantes déterminant la durée minimale du projet.
Capacité de charge :
- Affectation des ressources aux tâches
- Identification des sur-allocations
- Nivellement des ressources
Logiciels de gestion de ressources :
- Resource Guru
- Float
- Teamdeck
- Forecast
Les outils de suivi permettent de contrôler l'avancement du projet et d'identifier les écarts par rapport au plan.
Définition : Outil de visualisation synthétique des indicateurs clés de performance (KPI) du projet.
Indicateurs typiques :
- Avancement global (%)
- Respect du budget (coûts réels vs prévus)
- Respect du planning (retards)
- Nombre de risques actifs
- Qualité (défauts, bugs)
- Satisfaction client
Types de tableaux de bord :
- Dashboard opérationnel (quotidien/hebdomadaire)
- Dashboard de pilotage (mensuel)
- Dashboard stratégique (trimestriel)
Outils :
- Microsoft Power BI
- Tableau
- Google Data Studio
- Excel/Google Sheets avec graphiques
Définition : Technique d'analyse de performance qui compare le travail planifié, le travail réalisé et le coût réel.
Indicateurs clés :
- PV (Planned Value) : Valeur planifiée, budget du travail prévu
- EV (Earned Value) : Valeur acquise, budget du travail réalisé
- AC (Actual Cost) : Coût réel du travail effectué
Indices de performance :
- CPI (Cost Performance Index) = EV / AC
- CPI > 1 : projet sous budget
- CPI < 1 : projet en dépassement
- SPI (Schedule Performance Index) = EV / PV
- SPI > 1 : projet en avance
- SPI < 1 : projet en retard
Écarts :
- CV (Cost Variance) = EV - AC
- SV (Schedule Variance) = EV - PV
Kanban boards :
- Trello
- Jira
- Asana
- Monday.com
- Notion
Caractéristiques :
- Visualisation en colonnes (À faire, En cours, Terminé)
- Déplacement par glisser-déposer
- Limitation du travail en cours (WIP)
- Suivi visuel de l'avancement
Systèmes de tickets :
- Jira (gestion complète)
- Bugzilla
- Mantis
- Redmine
- GitHub Issues
- GitLab Issues
Fonctionnalités :
- Enregistrement des anomalies
- Priorisation
- Affectation
- Suivi du cycle de vie
- Statistiques et reporting
Les outils de communication facilitent la collaboration et le partage d'information au sein de l'équipe projet.
Messagerie instantanée et chat :
- Slack : canaux par thème, intégrations nombreuses
- Microsoft Teams : intégration Office 365
- Discord : populaire pour les équipes techniques
- Google Chat : intégration Google Workspace
Visioconférence :
- Zoom
- Microsoft Teams
- Google Meet
- Webex
Caractéristiques :
- Communication en temps réel
- Partage d'écran
- Enregistrement des réunions
- Réduction des emails
Email :
- Outlook
- Gmail
- Thunderbird
Forums et discussions :
- Discourse
- Reddit-style boards
- Microsoft Teams (canaux)
Stockage et partage de fichiers :
- Google Drive
- Microsoft OneDrive / SharePoint
- Dropbox
- Box
Documentation collaborative :
- Confluence (Atlassian)
- Notion
- Microsoft OneNote
- Google Docs
Wikis :
- MediaWiki
- DokuWiki
- Wiki.js
Fonctionnalités :
- Édition collaborative en temps réel
- Versioning des documents
- Commentaires et annotations
- Organisation hiérarchique
- Recherche avancée
Rapports d'avancement :
- Rapports hebdomadaires ou mensuels
- Synthèse des réalisations
- Identification des problèmes
- Actions à venir
Formats :
- PowerPoint / Google Slides
- PDF générés automatiquement
- Dashboards en ligne
Ces outils combinent plusieurs fonctionnalités (planification, suivi, communication) :
Jira :
- Gestion de projet agile (Scrum, Kanban)
- Suivi des bugs et incidents
- Rapports et dashboards
- Intégrations nombreuses
Monday.com :
- Tableaux personnalisables
- Automatisations
- Collaboration en temps réel
- Vues multiples (Kanban, Gantt, calendrier)
Asana :
- Gestion de tâches et projets
- Timeline (Gantt)
- Portfolios de projets
- Automatisations
Microsoft Project :
- Planification avancée
- Gestion de ressources
- Analyse de chemin critique
- Intégration Microsoft 365
ClickUp :
- Tout-en-un (tâches, docs, objectifs)
- Personnalisation poussée
- Multiples vues
- Automatisations
Wrike :
- Gestion de projet d'entreprise
- Diagrammes de Gantt interactifs
- Proofing et approbations
- Rapports personnalisés
La continuité et la reprise d'activité sont des éléments cruciaux de la gestion des risques informatiques, particulièrement face aux incidents majeurs et aux catastrophes.
Le Plan de Continuité d'Activité (PCA) est un ensemble de procédures et de mesures techniques permettant à une organisation de maintenir ou de reprendre rapidement ses activités essentielles en cas d'incident majeur ou de catastrophe.
Objectif principal : Assurer la survie de l'entreprise en maintenant les fonctions critiques opérationnelles même pendant une crise.
Le PCA couvre :
- Les processus métier critiques
- Les systèmes d'information essentiels
- Les infrastructures techniques
- Les ressources humaines
- Les locaux et installations
- Les fournisseurs et partenaires critiques
1. Analyse d'Impact sur l'Activité (BIA - Business Impact Analysis) :
- Identification des activités critiques
- Évaluation de l'impact de leur interruption
- Détermination des délais maximums d'interruption admissibles
- Priorisation des activités
2. Évaluation des risques :
- Identification des menaces (incendie, inondation, cyberattaque, panne)
- Analyse de la vulnérabilité
- Estimation de la probabilité et de l'impact
3. Définition de la stratégie de continuité :
- Choix des solutions techniques
- Site de secours (à chaud, à froid, tiède)
- Solutions de backup
- Ressources alternatives
4. Rédaction du PCA :
- Documentation des procédures
- Définition des rôles et responsabilités
- Plans de communication
- Procédures d'escalade
5. Tests et exercices :
- Tests techniques (restauration, bascule)
- Exercices sur table
- Simulations de crise
- Retour d'expérience
6. Maintenance et mise à jour :
- Révision régulière (au moins annuelle)
- Adaptation aux évolutions
- Formation continue des équipes
RTO (Recovery Time Objective) :
- Durée maximale d'interruption acceptable
- Délai dans lequel le système doit être restauré
- Exemple : RTO de 4 heures pour le système de paie
RPO (Recovery Point Objective) :
- Perte de données maximale acceptable
- Point dans le temps jusqu'auquel les données doivent être récupérées
- Exemple : RPO de 1 heure signifie perte maximum d'1h de données
MTD (Maximum Tolerable Downtime) :
- Durée maximale d'interruption avant impact irréversible
- Au-delà, la survie de l'entreprise est menacée
RTA (Recovery Time Actual) :
- Temps réel de reprise effectivement constaté
- À comparer avec le RTO
Sites de secours :
- Site à chaud : réplication temps réel, bascule quasi instantanée
- Site tiède : infrastructures présentes, données synchronisées régulièrement
- Site à froid : local vide, équipements à installer en cas de sinistre
Architectures résilientes :
- Redondance des composants critiques
- Répartition géographique (multi-sites)
- Cloud computing et multi-cloud
- Virtualisation
Le Plan de Reprise d'Activité (PRA) est un sous-ensemble du PCA focalisé spécifiquement sur la reprise des systèmes informatiques après un incident majeur.
Objectif : Restaurer les systèmes informatiques critiques dans les délais définis par les RTO.
| Aspect | PCA | PRA |
|---|---|---|
| Périmètre | Global (organisation complète) | Systèmes informatiques |
| Focus | Continuité des activités métier | Restauration IT |
| Portée | Processus, ressources, locaux | Infrastructure, applications, données |
| Responsabilité | Direction générale | Direction des systèmes d'information |
| Acteurs | Toute l'organisation | Équipes IT |
Relation : Le PRA est un composant technique du PCA. Le PCA définit les besoins métier, le PRA apporte les solutions IT.
Sauvegarde des données :
- Politique de sauvegarde définie
- Multiples générations conservées
- Stockage externalisé sécurisé
- Tests de restauration réguliers
Documentation technique :
- Architecture des systèmes
- Procédures de restauration détaillées
- Configurations serveurs et réseaux
- Contacts fournisseurs et prestataires
- Mots de passe et accès
Infrastructure de secours :
- Serveurs de backup
- Liens réseau redondants
- Matériel de remplacement
- Licences logicielles
Procédures de restauration :
- Ordre de restauration des systèmes
- Étapes détaillées pour chaque composant
- Points de contrôle
- Critères de validation
Équipe de reprise :
- Cellule de crise IT
- Responsabilités définies
- Coordonnées d'urgence
- Astreintes
Types de tests :
- Tests de sauvegarde : vérification de l'intégrité des backups
- Tests de restauration : récupération effective des données
- Tests de bascule : migration vers le site de secours
- Tests complets : simulation d'un sinistre réel
Fréquence recommandée :
- Tests de sauvegarde : quotidiens (automatiques)
- Tests de restauration : mensuels ou trimestriels
- Tests de bascule : semestriels
- Tests complets : annuels
PRA classique :
- Site de secours distant
- Réplication des données
- Bascule manuelle ou automatique
PRA dans le cloud :
- Infrastructure as a Service (IaaS)
- Disaster Recovery as a Service (DRaaS)
- Réplication multi-régions
- Élasticité et scalabilité
Solutions hybrides :
- Combinaison on-premise et cloud
- Flexibilité accrue
- Optimisation des coûts
Ces trois piliers techniques sont essentiels pour garantir la disponibilité, l'intégrité et la résilience des systèmes informatiques.
Sauvegarde complète (Full Backup) :
- Copie intégrale de toutes les données
- Restauration rapide et simple
- Consomme beaucoup d'espace et de temps
- Fréquence : hebdomadaire ou mensuelle
Sauvegarde incrémentielle (Incremental Backup) :
- Copie uniquement des données modifiées depuis la dernière sauvegarde (complète ou incrémentielle)
- Rapide et économe en espace
- Restauration plus longue (nécessite la full + tous les incréments)
- Fréquence : quotidienne
Sauvegarde différentielle (Differential Backup) :
- Copie des données modifiées depuis la dernière sauvegarde complète
- Compromis entre full et incrémentielle
- Restauration moyennement rapide (full + dernière différentielle)
- Taille augmente progressivement jusqu'à la prochaine complète
Sauvegarde miroir (Mirror Backup) :
- Copie exacte des données sources
- Pas de compression ni d'archivage
- Synchronisation en temps réel ou quasi-réel
- Utilisée pour la haute disponibilité
Sauvegarde en continu (Continuous Data Protection) :
- Capture tous les changements en temps réel
- Permet de restaurer à n'importe quel point dans le temps
- Consomme beaucoup de ressources
- Utilisée pour les données critiques
Règle d'or de la sauvegarde pour garantir la sécurité des données :
- 3 copies : l'original + 2 sauvegardes
- 2 supports différents : disque dur, bande, cloud, NAS
- 1 copie hors site : protection contre sinistre local (incendie, inondation)
Évolution 3-2-1-1-0 :
- 3 copies
- 2 supports différents
- 1 copie hors site
- 1 copie hors ligne (air-gapped, protection contre ransomware)
- 0 erreur (vérification de l'intégrité)
Supports de stockage :
- Disques durs : rapides, capacité élevée, bon rapport qualité/prix
- SSD : très rapides, coût plus élevé
- Bandes magnétiques (LTO) : grande capacité, durabilité, archivage long terme
- NAS (Network Attached Storage) : accessible réseau, centralisé
- SAN (Storage Area Network) : haute performance, pour environnements critiques
- Cloud : scalabilité, accessibilité, géo-redondance
Solutions logicielles :
- Veeam Backup & Replication
- Acronis Cyber Backup
- Commvault
- Veritas NetBackup
- Rubrik
- Solutions natives (Windows Backup, Time Machine)
Sauvegarde cloud :
- AWS Backup
- Azure Backup
- Google Cloud Backup
- Backblaze
- Carbonite
Planification :
- Définir le RPO (perte de données acceptable)
- Adapter la fréquence aux besoins métier
- Automatiser les sauvegardes
- Planifier hors heures de pointe si possible
Sécurité :
- Chiffrement des données (en transit et au repos)
- Contrôle d'accès strict
- Protection contre les ransomwares (sauvegardes immutables)
- Copies air-gapped (déconnectées du réseau)
Tests et validation :
- Tests de restauration réguliers
- Vérification de l'intégrité des sauvegardes
- Mesure du RTO réel
- Documentation des procédures
Documentation :
- Inventaire des données sauvegardées
- Procédures de restauration
- Calendrier des sauvegardes
- Responsabilités définies
Rétention :
- Politique de conservation définie
- Respect des obligations légales
- Rotation des médias (GFS : Grandfather-Father-Son)
- Archivage long terme si nécessaire
La redondance consiste à dupliquer des composants critiques d'un système pour éliminer les points de défaillance uniques (SPOF - Single Point of Failure) et garantir la disponibilité.
Objectifs :
- Haute disponibilité (High Availability - HA)
- Tolérance aux pannes (Fault Tolerance)
- Continuité de service
- Performance améliorée (répartition de charge)
Redondance matérielle :
- Alimentation : doubles alimentations, onduleurs (UPS), groupes électrogènes
- Réseau : liens multiples, routeurs redondants, switchs empilés
- Stockage : RAID, SAN avec chemins multiples
- Serveurs : clusters, serveurs en standby
Redondance logicielle :
- Virtualisation : migration à chaud (vMotion, Live Migration)
- Clustering : Windows Failover Cluster, Linux HA
- Réplication : bases de données, applications
- Load balancing : répartition de charge sur plusieurs serveurs
Redondance géographique :
- Multi-sites : datacenters dans différentes régions
- Multi-cloud : répartition sur plusieurs fournisseurs cloud
- CDN (Content Delivery Network) : distribution géographique du contenu
RAID (Redundant Array of Independent Disks) :
- RAID 0 : agrégation (striping), pas de redondance, performance
- RAID 1 : miroir, redondance totale, 50% d'espace utilisable
- RAID 5 : parité distribuée, tolérance à 1 panne, bon compromis
- RAID 6 : double parité, tolérance à 2 pannes
- RAID 10 : combinaison miroir + striping, haute performance et fiabilité
Clustering :
- Active-Active : tous les nœuds actifs simultanément, répartition de charge
- Active-Passive : nœud secondaire en standby, bascule en cas de panne
- N+1 : N nœuds actifs + 1 de secours
- N+M : N nœuds actifs + M de secours
Réplication de données :
- Synchrone : écriture simultanée, zéro perte de données, latence
- Asynchrone : écriture avec délai, performance meilleure, perte potentielle
- Semi-synchrone : compromis entre les deux
Load Balancing :
- Round Robin : distribution circulaire
- Least Connections : vers le serveur le moins chargé
- IP Hash : basé sur l'adresse IP du client
- Weighted : pondération selon capacité des serveurs
Solutions :
- HAProxy
- Nginx
- F5 BIG-IP
- AWS ELB / ALB
- Azure Load Balancer
Mesure de la disponibilité :
Disponibilité = (Temps total - Temps d'indisponibilité) / Temps total × 100
Niveaux de service (SLA) :
- 99% : 3,65 jours/an d'indisponibilité (basique)
- 99,9% (Three Nines) : 8,76 heures/an (standard)
- 99,99% (Four Nines) : 52,56 minutes/an (haute disponibilité)
- 99,999% (Five Nines) : 5,26 minutes/an (très haute disponibilité)
- 99,9999% (Six Nines) : 31,5 secondes/an (ultra haute disponibilité)
La supervision informatique est l'ensemble des techniques et outils permettant de surveiller en continu l'état et les performances des systèmes informatiques.
Objectifs :
- Détection proactive des anomalies
- Prévention des incidents
- Optimisation des performances
- Respect des SLA
- Aide à la décision
Infrastructure matérielle :
- Serveurs (CPU, RAM, disques, température)
- Équipements réseau (switchs, routeurs, firewall)
- Stockage (NAS, SAN, baies)
- Alimentation (UPS, PDU)
Systèmes et applications :
- Disponibilité des services
- Temps de réponse
- Taux d'erreur
- Utilisation des ressources
- Processus et services
Réseau :
- Bande passante
- Latence
- Perte de paquets
- Disponibilité des liens
- Trafic (flux, protocoles)
Performances applicatives :
- Temps de réponse utilisateur
- Transactions par seconde
- Taux d'erreur applicatif
- Disponibilité des fonctionnalités
Sécurité :
- Logs de sécurité
- Tentatives d'intrusion
- Comportements anormaux
- Conformité
Supervision active (polling) :
- Le système de monitoring interroge périodiquement les équipements
- Intervalles réguliers (1, 5, 15 minutes)
- SNMP, WMI, SSH, API
Supervision passive (trapping) :
- Les équipements envoient des alertes au système de monitoring
- Événements en temps réel
- SNMP traps, syslog, webhooks
Supervision synthétique :
- Simulation de parcours utilisateur
- Tests automatisés
- Mesure de la performance perçue
Solutions open source :
- Nagios : référence historique, grande communauté
- Zabbix : complet, interface moderne, scalable
- Prometheus : orienté métriques, adapté aux environnements cloud
- Grafana : visualisation de données, dashboards
- Icinga : fork de Nagios, interface améliorée
- Checkmk : basé sur Nagios, interface web complète
Solutions commerciales :
- PRTG Network Monitor : facile d'utilisation, Windows
- SolarWinds : suite complète d'outils
- Datadog : cloud-native, APM
- New Relic : APM, observabilité
- Dynatrace : IA et automatisation
- Splunk : analyse de logs, SIEM
Solutions cloud :
- AWS CloudWatch
- Azure Monitor
- Google Cloud Monitoring
- Elastic Observability
Outils spécialisés :
- Gestion des logs : ELK Stack (Elasticsearch, Logstash, Kibana), Graylog
- APM (Application Performance Monitoring) : New Relic, AppDynamics
- Monitoring réseau : Wireshark, PRTG, Cacti
- Synthétique : Pingdom, Uptime Robot
Niveaux d'alerte :
- Information : événement notable sans gravité
- Warning : situation anormale à surveiller
- Critical : problème grave nécessitant intervention immédiate
Canaux de notification :
- SMS
- Appel téléphonique
- Applications mobiles (push notifications)
- Webhooks (intégration Slack, Teams, PagerDuty)
- Tickets automatiques (Jira, ServiceNow)
Bonnes pratiques :
- Seuils d'alerte adaptés (éviter les faux positifs)
- Escalade progressive
- Agrégation des alertes (éviter la sur-notification)
- Plannings d'astreinte
- Documentation des procédures d'intervention
Dashboards temps réel :
- Vue d'ensemble de l'infrastructure
- Statut des services critiques
- Graphiques de performance
- Cartes réseau
- Affichage mural (NOC - Network Operations Center)
Rapports :
- Rapport de disponibilité (SLA)
- Rapport de performance
- Rapport de capacité
- Analyse des tendances
- Planification de la capacité
Les trois piliers de l'observabilité :
- Metrics : mesures quantitatives (CPU, RAM, latence)
- Logs : événements horodatés
- Traces : suivi des requêtes à travers les systèmes distribués
Approche moderne :
- Collecte centralisée
- Corrélation des données
- Analyse automatisée (ML/AI)
- Self-healing (auto-réparation)
La gestion du risque et la gestion de projet sont deux disciplines interconnectées et essentielles pour le succès des projets informatiques modernes. Une approche structurée de la gestion de projet, qu'elle soit traditionnelle (Cycle en V) ou agile (Scrum), combinée à une gestion rigoureuse des risques (incluant des méthodologies comme EBIOS RM), permet de maximiser les chances de succès tout en minimisant les impacts négatifs potentiels.
La mise en place de plans de continuité (PCA) et de reprise d'activité (PRA), associée à des stratégies robustes de sauvegarde, de redondance et de supervision, constitue le socle technique indispensable pour garantir la résilience et la pérennité des systèmes d'information face aux menaces et incidents.
L'utilisation appropriée d'outils de structuration, planification, suivi et communication facilite la coordination des équipes et l'atteinte des objectifs fixés. Le choix des méthodologies et outils doit être adapté au contexte spécifique de chaque projet, à la culture de l'organisation et aux contraintes techniques et métier.
Dans un environnement technologique en constante évolution, la maîtrise de ces disciplines devient un avantage compétitif majeur. Les organisations qui investissent dans une gestion de projet structurée et une gestion des risques proactive sont mieux préparées à faire face aux défis, à saisir les opportunités et à garantir la valeur de leurs investissements IT.
L'approche moderne privilégie l'agilité, l'adaptabilité et l'amélioration continue, tout en maintenant la rigueur nécessaire pour assurer la sécurité, la qualité et la conformité des systèmes d'information.
- ISO 31000 : Management du risque - Lignes directrices
- ISO 27001 : Systèmes de management de la sécurité de l'information
- ISO 27005 : Gestion des risques liés à la sécurité de l'information
- PMBOK (Project Management Body of Knowledge) : Guide du PMI
- PRINCE2 : Méthodologie de gestion de projet
- Manifeste Agile : https://agilemanifesto.org
- Scrum Guide : Guide officiel Scrum
- EBIOS RM : Documentation ANSSI
- ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information
- PMI : Project Management Institute
- Scrum Alliance : Certification et formation Scrum
- ISACA : Information Systems Audit and Control Association
Document créé le 28 janvier 2026 Version 1.0