"valeurs métier"

08/11/2019

Catégories : Atelier 1Club EBIOSFAQ

Question initiale :
Dans les documents détaillant la méthode, on qualifie les “biens essentiels” de “patrimoine informationnel”. En effet, dans l’étude de cas @rchimed, ne figurent dans le tableau des biens essentiels que des informations telles que le contenu d’un devis, d’une page web, d’un plan, etc.
Mes interrogations sont les suivantes:
Or, dans la nouvelle formation, nous avions qualifié de biens essentiels les activités essentielles, qu’elles reposent ou non sur une source d’information.
– Est-ce une erreur ?
– Quelle est la différence entre biens essentiels et activités essentiels ?
– Comment faire ressortir les biens essentiels d’une prestation effectuée par un administrateur Système, un commercial, etc. ne reposant pas sur une base d’information ?
– En outre, est-ce correct si dans mon tableau de biens essentiels ne figurent que des services et ou activités ?

Quelques éléments de réponse :
Dans EBIOS RM, le terme de biens essentiels a été remplacé par “valeurs métiers”, pour désigner le même concept : Valeur métier = “composante importante pour l’organisation dans l’accomplissement de sa mission. Cela peut être un service, une fonction support, une étape dans un projet et toute information ou savoir-faire associé”.
– Non, les biens essentiels ne sont pas limités au patrimoine informationnel. Il les faut voir comme quelque chose d’immatériel, qui a de la valeur pour le métier considéré – celui qui prend la responsabilité de sa protection.
– Selon la modélisation que l’on utilise, des activités sont en général liées à un ou plusieurs métiers et donc peuvent regrouper un ensemble de biens essentiels comme des processus, des services, des fonctions et/ou des informations. Le niveau d’abstraction (de modélisation) dépend de la finalité de l’étude et de la complexité du périmètre à étudier. Ce qui est important c’est qu’à partir d’un bien essentiel, le métier (la MOA) exprime un besoin de sécurité.
– Un bien essentiel peut être le service rendu dans le cadre d’une prestation : gérer des accès, patcher les systèmes, établir une proposition, gérer une base commerciale, etc. Attention néanmoins, le bien essentiel doit être une valeur métier pour la MOA de l’étude. Donc, gérer des accès est une valeur si la MOA est la DSI. Mais ce n’est pas une valeur métier pour une analyse conduite par la direction commerciale, par exemple.
– Oui on peut avoir uniquement des services ou activités. Mais attention d’être complet pour le périmètre considéré dans l’étude. Donc, il faut vérifier que les services et activités que vous avez choisis couvrent bien tout le cycle de vie – placé sous la responsabilité du métier – des informations essentielles.