{"id":33052,"date":"2018-02-23T08:33:10","date_gmt":"2018-02-23T07:33:10","guid":{"rendered":"http:\/\/e3mag.com\/?p=33052"},"modified":"2022-05-01T08:19:14","modified_gmt":"2022-05-01T06:19:14","slug":"banques-it-conseils-pour-la-gestion-des-tests","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/banken-it-tipps-fuers-testmanagement\/","title":{"rendered":"Informatique bancaire : conseils pour la gestion des tests"},"content":{"rendered":"

Depuis la publication de la circulaire \"10\/2012 (BA) - Exigences minimales en mati\u00e8re de gestion des risques MaRisk\" ainsi que des explications 12\/2012 par l'Autorit\u00e9 f\u00e9d\u00e9rale allemande de surveillance des services financiers (BaFin), l'informatique des banques fait l'objet d'une multitude de mesures \u00e0 mettre en \u0153uvre, notamment pour satisfaire aux exigences de AT 7.2 et AT 7.3. Les contr\u00f4les sp\u00e9ciaux annonc\u00e9s conform\u00e9ment \u00e0 l'article 44, paragraphe 1, de la loi allemande sur le cr\u00e9dit (KWG) mettent au d\u00e9fi aussi bien les responsables commerciaux que les responsables informatiques.<\/p>\n

De nombreux formalismes et obstacles administratifs doivent \u00eatre surmont\u00e9s en plus de la lourde charge des activit\u00e9s quotidiennes. Bien s\u00fbr, les exigences r\u00e9glementaires doivent \u00eatre respect\u00e9es, mais il n'est pas rare que les mesures d\u00e9passent l'objectif. Il est important de trouver une voie de mise en \u0153uvre appropri\u00e9e.<\/p>\n

Relier le domaine, le d\u00e9veloppement et l'exploitation<\/h3>\n

La gestion des tests constitue ici le lien central entre le domaine sp\u00e9cialis\u00e9, le d\u00e9veloppement et l'exploitation. Les mesures prescrites dans le test entra\u00eenent des effets de bord consid\u00e9rables dans les domaines susmentionn\u00e9s.<\/p>\n

Ci-dessous sont esquiss\u00e9es des approches pragmatiques et \u00e9prouv\u00e9es dans la pratique tout au long du processus de d\u00e9veloppement logiciel, qui permettent de satisfaire aux exigences r\u00e9glementaires du point de vue de la gestion des tests. Une liste de contr\u00f4le (voir page suivante) permet de v\u00e9rifier quels composants doivent encore \u00eatre mis en \u0153uvre.<\/p>\n

Les logiciels nouveaux ou modifi\u00e9s doivent \u00eatre test\u00e9s. L'expression technique des cas de test par les services sp\u00e9cialis\u00e9s juste avant la phase de test s'av\u00e8re souvent \u00eatre un processus difficile. Il est bien plus judicieux de demander une description du sc\u00e9nario de test pour chaque exigence formul\u00e9e lors de la phase de conception.<\/p>\n

Conception : R\u00f4les et autorisations<\/h3>\n

Le th\u00e8me des r\u00f4les et des autorisations est habituellement trait\u00e9 de mani\u00e8re plut\u00f4t n\u00e9glig\u00e9e. Ici aussi, l'IT devrait insister d\u00e8s la phase de conception sur une d\u00e9finition correcte et compl\u00e8te, sur la s\u00e9paration des fonctions ainsi que sur la formulation de sc\u00e9narios de test correspondants.<\/p>\n

\"Dieter<\/a><\/p>\n

D\u00e9veloppement : SAP ChaRM<\/h3>\n

Des directives de d\u00e9veloppement actuelles et aussi l\u00e9g\u00e8res que possible, avec des conventions de d\u00e9nomination, des directives pour l'utilisation de techniques de programmation critiques ainsi que des conseils pour un code de programme optimis\u00e9, sont devenues un must.<\/p>\n

Il est \u00e9galement recommand\u00e9 de disposer d'un syst\u00e8me int\u00e9gr\u00e9 de gestion des ordres et des transports. Pour les utilisateurs SAP, le composant SAP Change Request Management (ChaRM) du Solution Manager s'impose ici avec des proc\u00e9dures d'approbation d\u00e9di\u00e9es, des s\u00e9parations strictes des r\u00f4les ainsi qu'une preuve de la cha\u00eene de transport, du d\u00e9veloppement \u00e0 la production en passant par les syst\u00e8mes de test et d'acceptation, de mani\u00e8re \u00e0 ce qu'elle soit prot\u00e9g\u00e9e contre les r\u00e9visions.<\/p>\n

Peu de domaines de d\u00e9veloppement prennent le temps d'effectuer des r\u00e9visions de code selon le principe du double contr\u00f4le. Ici aussi, il existe d\u00e9sormais sur le march\u00e9 de bons outils qui v\u00e9rifient le code du programme, entre autres, pour d\u00e9tecter les points faibles en mati\u00e8re de s\u00e9curit\u00e9 et, en cas de violation des r\u00e8gles, emp\u00eacher le transport vers les syst\u00e8mes d'assurance qualit\u00e9 ou de production.<\/p>\n

Dans l'environnement SAP, le Code Profiler de Virtual Forge et le SAP Code Vulnerability Scanner sont consid\u00e9r\u00e9s comme des leaders. Les conditions d'entr\u00e9e pour le test sp\u00e9cialis\u00e9 sont des tests de modules document\u00e9s par le d\u00e9veloppement ainsi que l'indication des restrictions de test telles que les fonctions non encore termin\u00e9es ou les erreurs d\u00e9j\u00e0 connues.<\/p>\n

L\u00e0 aussi, des outils de soutien sont propos\u00e9s. La composante ChaRM de SAP Solution Manager permet par exemple de documenter et de prouver les tests de modules.<\/p>\n

En premier lieu, il est recommand\u00e9 de d\u00e9finir clairement les processus de gestion des tests et les r\u00f4les dans les processus de test et d'acceptation, ainsi que de mettre \u00e0 disposition des mod\u00e8les, par exemple pour les concepts de test ou les descriptions de cas de test. Ici aussi, le principe suivant s'applique : \"Moins, c'est plus\".<\/p>\n

S\u00e9paration des r\u00f4les<\/h3>\n

Les longs passages en prose ne sont pas lus. Mieux vaut des listes de contr\u00f4le, des tableaux et des graphiques. D'ailleurs, pour r\u00e9pondre aux exigences r\u00e9glementaires, il est important de s\u00e9parer strictement les r\u00f4les entre le domaine sp\u00e9cialis\u00e9, le d\u00e9veloppement et les tests.<\/p>\n

Les proc\u00e9dures de gestion des tests bas\u00e9es sur Excel sont d\u00e9pass\u00e9es. Les tests et les \u00e9carts doivent \u00eatre document\u00e9s et conserv\u00e9s de mani\u00e8re compr\u00e9hensible et \u00e0 l'abri des r\u00e9visions. L'utilisation d'outils de gestion des tests int\u00e9gr\u00e9s tels que le HP Application Lifecycle Management (HP ALM) Quality Center, IBM Rational Quality Manager ou le SAP Solution Manager Test Workbench est obligatoire.<\/p>\n

Pour des raisons de s\u00e9curit\u00e9, les donn\u00e9es sensibles (notamment les donn\u00e9es personnelles) ne doivent pas \u00eatre utilis\u00e9es dans les environnements de test qui ne sont pas g\u00e9r\u00e9s de mani\u00e8re centralis\u00e9e. Par exemple, les donn\u00e9es des partenaires commerciaux doivent \u00eatre rendues anonymes. Un processus doit \u00eatre d\u00e9fini pour l'acc\u00e8s aux donn\u00e9es de test par les testeurs (et \u00e9ventuellement par les d\u00e9veloppeurs pour l'analyse des erreurs). L'attribution d'ID d'utilisateur et d'autorisations doit \u00eatre consign\u00e9e.<\/p>\n

Gestion des tests : un risque calcul\u00e9<\/h3>\n

La gestion des risques gagne en importance. Ainsi, la banque doit \u00e9galement d\u00e9montrer que les risques li\u00e9s aux tests, tels que la mise \u00e0 disposition tardive du logiciel \u00e0 tester ou l'absence d'infrastructure de test, sont pris en compte et \u00e9valu\u00e9s, et que les mesures de migration correspondantes sont mises en \u0153uvre et suivies.<\/p>\n

L'approche de test bas\u00e9e sur les risques a fait ses preuves. Dans ce processus, les processus sont \u00e9valu\u00e9s en fonction de leur criticit\u00e9, comme la fr\u00e9quence d'appel ou les exigences de s\u00e9curit\u00e9, ainsi qu'en fonction des modifications et des adaptations apport\u00e9es au projet de test en cours.<\/p>\n

L'\u00e9tendue et la priorit\u00e9 des objets et des cas de test impliqu\u00e9s en d\u00e9coulent. L'accent est ainsi mis sur les tests vraiment importants, en fonction des risques.<\/p>\n

Il est de la responsabilit\u00e9 de la gestion des tests de prouver que les types de r\u00e9sultats obligatoires tels qu'un concept de test ou une planification des tests ont \u00e9t\u00e9 \u00e9tablis, que les tests obligatoires tels que les tests de s\u00e9curit\u00e9 ou de reprise apr\u00e8s sinistre ont \u00e9t\u00e9 effectu\u00e9s (ou que la non-ex\u00e9cution a \u00e9t\u00e9 justifi\u00e9e) ou que le processus d'acceptation a \u00e9t\u00e9 effectu\u00e9 correctement. Un syst\u00e8me de contr\u00f4le interne (SCI) bas\u00e9 sur des listes de contr\u00f4le s'impose ici.<\/p>\n

Mise en \u0153uvre et fonctionnement<\/h3>\n

Lors de la mise en \u0153uvre, des proc\u00e9dures de transfert d\u00e9finies sont importantes, avec une stricte s\u00e9paration des r\u00f4les entre le d\u00e9veloppement et l'exploitation. Pour l'exploitation, il convient de mettre en place et d'exploiter un syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l'information bas\u00e9 sur des outils. Du point de vue de la gestion des tests, on peut par exemple se r\u00e9f\u00e9rer \u00e0 des proc\u00e9dures r\u00e9guli\u00e8res pour une reprise apr\u00e8s un sinistre.<\/p>\n

Conclusion<\/h3>\n

Les mesures susmentionn\u00e9es visant \u00e0 satisfaire aux exigences r\u00e9glementaires doivent imp\u00e9rativement \u00eatre mises en \u0153uvre. Il est recommand\u00e9 d'adopter une approche globale et de mettre en \u0153uvre des approches pragmatiques et \u00e9prouv\u00e9es dans la pratique.<\/p>\n

La liste de contr\u00f4le permet de v\u00e9rifier quels \u00e9l\u00e9ments doivent encore \u00eatre introduits. En outre, il convient de miser sur des normes telles que les normes BSI 100-1 \u00e0 100-4, ISO 29119 (test) ou ITIL.<\/p>\n

 <\/p>\n

\"https:\/\/e3mag.com\/partners\/innobis-ag\/\"<\/a><\/p>\n

 <\/p>\n

\n

 <\/p>\n

Liste de contr\u00f4le <\/span><\/h3>\n

Sur la base de ces points, on obtient un premier aper\u00e7u des composants impl\u00e9ment\u00e9s (non satisfaits\/ partiellement satisfaits\/compl\u00e8tement satisfaits) :<\/p>\n

    \n
  1. La d\u00e9finition de sc\u00e9narios de test pour les exigences est-elle obligatoire ?<\/li>\n
  2. Les modifications apport\u00e9es aux r\u00f4les et aux autorisations sont-elles d\u00e9crites ?<\/li>\n
  3. Existe-t-il des directives de d\u00e9veloppement ?<\/li>\n
  4. Un syst\u00e8me int\u00e9gr\u00e9 de commandes et de transport est-il mis en place ?<\/li>\n
  5. Lors du d\u00e9ploiement de logiciels, les r\u00f4les sont-ils strictement s\u00e9par\u00e9s entre le d\u00e9veloppement et l'exploitation ?<\/li>\n
  6. Des revues de code sont-elles effectu\u00e9es ?<\/li>\n
  7. Existe-t-il des outils de soutien \u00e0 l'assurance qualit\u00e9 dans le d\u00e9veloppement ?<\/li>\n
  8. Des tests de modules sont-ils effectu\u00e9s et document\u00e9s ?<\/li>\n
  9. Les processus de test et les r\u00f4les sont-ils d\u00e9crits dans la gestion des tests ?<\/li>\n
  10. Existe-t-il une stricte s\u00e9paration des r\u00f4les entre le domaine, le d\u00e9veloppement et le test ?<\/li>\n
  11. Un outil int\u00e9gr\u00e9 de gestion des tests est-il disponible ?<\/li>\n
  12. Les donn\u00e9es sensibles sont-elles prot\u00e9g\u00e9es\/anonymis\u00e9es dans les syst\u00e8mes de test ?<\/li>\n
  13. Existe-t-il une proc\u00e9dure d'attribution des utilisateurs et des autorisations pour les syst\u00e8mes de test ?<\/li>\n
  14. Les risques li\u00e9s aux tests sont-ils document\u00e9s, \u00e9valu\u00e9s et suivis ?<\/li>\n
  15. L'ex\u00e9cution des cas de test est-elle prioritaire ?<\/li>\n
  16. L'\u00e9laboration des types de r\u00e9sultats obligatoires ainsi que des tests obligatoires est-elle syst\u00e9matiquement contr\u00f4l\u00e9e (check-list SCI) ?<\/li>\n
  17. Existe-t-il un processus d\u00e9fini pour l'acc\u00e8s aux donn\u00e9es de test sensibles ?<\/li>\n
  18. Le processus de transfert vers la production est-il d\u00e9fini ?<\/li>\n
  19. Un syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l'information est-il en place ?<\/li>\n
  20. Des normes telles que ITIL, BSI ou DIN-ISO sont-elles utilis\u00e9es ?<\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"

    Comment les prestataires de services financiers peuvent-ils faire face de mani\u00e8re pragmatique au renforcement des exigences r\u00e9glementaires en mati\u00e8re d'informatique bancaire ?<\/p>","protected":false},"author":1378,"featured_media":36750,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,20361],"tags":[375,15155],"coauthors":[21844],"class_list":["post-33052","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-1802","tag-charm","tag-risikomanagement","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",400,203,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-768x389.jpg",768,389,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-100x51.jpg",100,51,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-480x243.jpg",480,243,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-640x324.jpg",640,324,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-720x365.jpg",720,365,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-960x487.jpg",960,487,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",18,9,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",600,304,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",600,304,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Wie k\u00f6nnen Finanzdienstleister pragmatisch mit den versch\u00e4rften regulatorischen Anforderungen an die Banken-IT umgehen?<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 18-02<\/a>","author_info_v2":{"name":"Dieter Koenen, Innobis","url":"https:\/\/e3mag.com\/fr\/author\/dieter-koenen\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/33052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1378"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=33052"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/33052\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/36750"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=33052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=33052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=33052"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=33052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}