Mai 2009 LES SYNTHÈSES SOLUCOM. n 34. Observatoire KLC du management des systèmes d information. Les référentiels SI : comment s en servir?

(1)

LES SYNTHÈSES SOLUCOM

Mai 2009

Les référentiels SI : comment s’en servir ?

Observatoire KLC du management des systèmes d’information

n°34

synthese_referentiels_090603_vf1.indd 1 05/06/2009 08:51:14

(2)

2• Les Synthèses © Solucom - Mai 2009 Mai 2009 -Les Synthèses © Solucom 3•

Catherine Le Louarn est membre du comité directeur du cabinet Solucom et Directeur Général de KLC, qu’elle a rejoint en 1998.

Ingénieur en Génie Informatique, elle conduit depuis 10 ans d’importantes missions d’appels d’offres, négociations ou audits pour des opérations d’externalisation, d’intégrations et de TMA. Elle intervient régulièrement sur le thème de la contractualisation interne des services informatiques et sur la structuration des relations Métiers / informatique dans les entreprises.

catherine.lelouarn@solucom.fr

Pierre-Louis Moulin est manager au sein de la practice Gouvernance SI depuis juin 2008. Il est diplômé du MBA HEC.

Il conduit des missions de sourcing internationales (stratégie et appels d’offres) et de gouvernance du SI (organisation, maî- trise des coûts du SI, gestion des portefeuilles de projets du SI). Pierre-Louis est certifié ITIL Foundation V3 et expert sur les référentiels informatiques au sein de la practice Gouvernance SI.

pierre-louis.moulin@solucom.fr

Pierre-Yves Gergelé est consultant au sein de la practice Gouvernance SI depuis octobre 2007. Il est diplômé de Supélec.

Il intervient dans le cadre de missions de sourcing (conduite d’appels d’offres d’infogérance) et de gouvernance du SI, notamment sur la gestion de portefeuille de projets.

pierre-yves.gergele@solucom.fr

(3)

CoMMent utiLiSer LeS référentieLS deS Si ?

Les dSi se sont rencontrés, sont « sortis de la mine » et ont échangé sur ce qui fonc- tionnait vraiment chez eux. Ainsi sont les nés les référentiels Si. et c’est pour cela qu’ils ont du succès. nous avons rencontré des dSi et des responsables informatiques en décembre 2008 afin de traiter la question de la mise en œuvre. Car la question de l’utilité des référentiels ne se pose plus ! Au point que certains sont devenus de véri- tables standards. Pour autant, à y regarder de plus près, les difficultés ne manquent pas, bien au contraire. Certes, itiL s’est fait une place de choix dans les activités de service management. Assurément, CMMi s’est montré leader dans les problématiques d’organisation des projets. Mais ces besoins ne cessent d’évoluer !

et puis, ce qui fait encore trop souvent défaut, c’est la capacité des dSi à démontrer la valeur ajoutée du Si au business. S’y ajoutent des enjeux renouvelés de gouvernance : des technologies, des budgets, des risques, des clients internes et des prestataires (internes ou externes).

face à ces défis difficiles, les référentiels ont changé. Ceux-ci sont devenus plus ambitieux, plus difficiles à discerner également. Ainsi itiL V3 parle-t-il à présent de la

« Stratégie des services Si » et de l’« Amélioration permanente des services fournis ».

Ces questions n’étaient-elles pas auparavant l’affaire du Cobit ? en tout cas, cela avait quelque chose de rassurant et de simplificateur. Chaque référentiel avait, en quelque sorte, pour qui voulait se représenter les principaux d’entre eux dans un tout cohérent, son propre « territoire ». Voici que cette vision est désormais dépassée. il nous paraît intéressant de passer un moment avec vous à les comparer, au stade où ils en sont aujourd’hui. Quitte à vous proposer parfois notre avis – inévitablement subjectif – sur les choix à faire.

et puis, cette question du « comment » reste donc ouverte. Certes, on « sait » bien mettre en œuvre un Service desk aujourd’hui grâce à itiL. Mais sait-on, par exemple, comment mieux collaborer avec nos prestataires, y compris sur la durée ? Sait-on comment diagnostiquer puis transformer une organisation Si, quitte à se servir en même temps de plusieurs référentiels ? Cela nous semble un bon moment pour redécouvrir ces outils et, avec eux, quelques vérités tenaces.

Bonne lecture !

Catherine Le Louarn

édito

Catherine Le Louarn

Pierre-Louis Moulin

Pierre-Yves Gergelé

(4)

Alignez votre stratégie SI sur le Business avec CobiT

Le besoin de retours sur les investissements SI, de maîtrise des risques et de contrôle de l’information sont des éléments clés de la gouvernance d’entreprise.

Quelques mots

CobiT (Control Objectives for Information and related Technology) fournit un ensemble de bonnes pratiques au travers d’un modèle com- prenant des domaines, des processus et des pratiques. CobiT propose éga- lement des guides thématiques pour gérer et auditer son SI (exemple : il existe un guide sur la prise en compte des contraintes Sarbanes-Oxley).

Ces pratiques, très orientées processus business de l’entreprise et non processus techniques de réalisation d’opéra- tions informatiques, sont des aides pour optimiser les investissements informatiques, contrôler le service fourni et disposer d’une méthode de mesure pour l’auto-évaluation d’une organisation.

Les 34 processus définis par CobiT subdivisent la gestion du SI en quatre domaines.

Pour chaque processus, CobiT fournit l’objectif métier devant être atteint grâce à ce processus du SI, puis les objectifs de contrôle SI détaillés à réali- ser, ainsi qu’une une liste de métriques pour piloter la performance.

CobiT comprend un modèle de matu- rité, inspiré de CMMI, permettant d’évaluer une organisation (dans le cadre d’un benchmark). Ce modèle note chacun des processus du CobiT sur une échelle de 0 (non-existant) à 5 (optimisé) puis dresse un profil de maturité globale de l’organisation.

Périmètre, public visé

CobiT traite de l’ensemble des aspects ayant un impact sur l’alignement de la stratégie IT sur la stratégie de l’entreprise, sur la maîtrise des coûts de la DSI et des investissements informatiques, ou sur la performance des processus informatiques.

CobiT, à la différence d’ITIL ou de CMMI, s’adresse à la fois à un public informaticien et à un public non-informaticien, car il concerne les acteurs impliqués dans la gouvernance informatique : la DSI, le contrôle de gestion, la Direction générale…

Objectifs

CobiT est un outil de gouvernance qui peut-être utilisé soit d’une manière top-down, soit d’une manière bottom-

up. La démarche top-down nous paraît particulièrement bien conçue car elle permet de traduire efficacement les objectifs stratégiques de l’entreprise en un ensemble d’objectifs informatiques cohérents, eux-mêmes alimentés par un ensemble de processus CobiT.

CobiT fournit des tableaux de correspondance permettant d’identifier l’ensemble des objectifs informatiques déclinant de chaque objectif métier, puis les processus CobiT déclinant de chacun de ces objectifs informatiques.

CobiT permet ensuite de renseigner le lecteur sur les tenants et aboutissants de ces processus identifiés :

sur les ressources informatiques

•

de l’entreprise : les applications, les personnes, les infrastructures et informations,

sur les exigences métiers – efficacité,

•

efficience, conformité – qui sont impliquées,

sur les activités de contrôle à mettre

• en place,

sur l’interprétation des résultats de

•

l’analyse de maturité adaptée à chaque processus.

La démarche bottom-up permet au responsable informatique d’auditer un ensemble d’objectifs CobiT qu’il souhaite cibler, de mettre en évidence,

Interactions entre les 4 domaines CobiT

CobiT, à la différence

d’ITIL ou de CMMI,

s’adresse à la fois à un

public informaticien

et à un public

non-informaticien

(5)

Mai 2009 -Les Synthèses © Solucom 5•

Les 34 processus définis par CobiT subdivisent la gestion du SI en 4 domaines

via l’analyse de maturité des proces- suschoisis, de potentielles faiblesses informatiques et d’être capable d’en mesurer les potentielles conséquen- ces « métiers ». CobiT est donc dans ce sens également un outil d’analyse des risques.

Apports réels : quelle est l’utilité pratique ?

Malgré l’aspect indigeste et dénué de pragmatisme de l’ouvrage – n’ayons pas peur – c’est la pratique qui met en lumière l’aspect « immédiat » du

Objectifs Métiers Objectifs de gouvernance

Critères d’information

Planifier et organiser

Acquérir et implémenter Délivrer et supporter

Surveiller et évaluer

Ressources informatiques Efficacité

• Efficience

• Confidentialité

• Intégrité

• Disponibilité

• Conformité

• Fiabilité

•

Applications

• Informations

• Infrastructures

• Personnes

•

PO 1 : Définir un plan informatique stratégique PO 2 : Définir l’architecture de l’information PO 3 : Déterminer l’orientation technologique PO 4 : Définir les processus, l’organisation et les relations de travail PO5 : Gérer les investissements informatiques PO 6 : Faire connaître les buts et les orientations du management PO 7 : Gérer les ressources humaines de l’informatique PO 9 : Évaluer et gérer les risques PO 10 : Gérer les projets

AI 1 : Trouver des solutions informatiques AI 2 : Acquérir des applications et en assurer la maintenance AI 3 : Acquérir une infrastructure technique et en assurer la maintenance AI 4 : Faciliter le fonctionnement et l’utilisation AI 5 : Acquérir des ressources informatiques AI 6 : Gérer les changements AI 7 : Installer et valider les solutions et les modifications DS1 : Définir et gérer les niveaux de service

DS2 : Gérer les services tiers DS3 : Gérer la performance et la capacité DS4 : Assurer un service continu DS5 : Assurer la sécurité des systèmes DS6 : Identifier et imputer les coûts DS7 : Instruire et former les utilisateurs DS8 : Gérer le service d’assistance client et les incidents DS9 : Gérer la configuration DS10 : Gérer les problèmes DS11 : Gérer les données DS12 : Gérer l’environnement physique DS13 : Gérer l’exploitation

SE 1 : Surveiller et évaluer la performance des SI SE 2 : Surveiller et évaluer le contrôle interne SE 3 : S’assurer de la conformité aux obligations externes SE 4 : Mettre en place une gouvernance des SI

CobiT

référentiel. Les tableaux de correspondance entre objectifs métiers et objectifs informatiques et, entre objectifs informatiques et processus, présentent au lecteur une roadmap d’utilisation instantanée. Malheureusement, ils ne sont proposés qu’en fin de document, en annexe.

Pour illustrer le principe de l’utilisation de manière top-down, imaginons que la stratégie de votre entreprise pour l’année prochaine, présentée par le PDG, place l’objectif business « amélio- rer la rapidité d’adaptation au marché »

en tête. Le DSI, qui a en charge la décli- naison informatique de cet objectif, a choisi d’utiliser CobiT pour quadriller sa stratégie informatique.

Le premier tableau de correspondance indique que l’objectif métier évoqué, qui appartient au domaine métier

« Perspective Client », se décline en trois objectifs informatiques : « réagir aux exigences métier en accord avec la stratégie métier », « donner de l’agilité à l’informatique » et « livrer les projets en temps et dans les limites budgé- taires en respectant les standards de qualité ».

Ces trois objectifs informatiques se déclinent eux-mêmes respective- ment en 10, 4 et 2 processus CobiT, pour un total de 13 processus (certains alimentent plusieurs objectifs informatiques). En s’appuyant sur ces 13 processus, le DSI peut rapidement cibler les domaines dont l’amélioration contribuera directement à sa stratégie.

Les responsables de l’audit et de l’amé- lioration de la maturité des processus considérés peuvent aussi s’appuyer sur CobiT pour préparer, mettre en place et mesurer les actions requises.

synthese_referentiels_090603_page5_et_fin.indd 5 5/06/09 9:24:51

(6)

Délivrer les services SI aux métiers avec ITIL

Avec sa version 3, ITIL fait un pas de plus vers une mise en place des services informatiques qui soit efficace, proactive, et à l’écoute des clients internes.

Quelques mots

ITIL (Information Technology Infrastructure Library) est un recueil de bonnes pratiques pour la gestion des services informatiques créé dans les années 80 par l’Office britannique du commerce. Est-il encore nécessaire de présenter ITIL ? Examinons plutôt les apports de la version 3 (ITIL V3), publiée en 2007 et qui, contrairement à la V2 orientée « processus », se foca- lise sur la notion de services fournis aux utilisateurs et sur leur cycle de vie.

Cela s’illustre au travers de sa structure composée de cinq publications : stra- tégie des services (Service strategy), conception des services (Service design), transition des services (Service transition), exploitation des services

(Service operation) et amélioration permanente des services (Continual service improvement).

La V3 complète la V2 en y ajoutant douze processus et trois fonctions et introduit de nouveaux concepts et outils. Cela représente une certaine complexité de prime abord, mais permet d’apporter de vraies réponses au besoin de dialogue entre le SI et les métiers ainsi qu’aux questions rela- tives au « comment », c’est-à-dire les aspects de mise en œuvre, de mesure de la performance des processus et d’amélioration continue.

Périmètre, public visé

Service strategy, qui est un des apports essentiels de ITIL V3, efface les frontiè-

res entre l’informatique et les métiers de l’entreprise, en allant jusqu’à rem- placer le langage informatique par le langage des affaires. Le lien est ainsi fait entre le Service management et la gouvernance SI. Cette ambition croissante d’ITIL hors de son territoire habi- tuel (l’exploitation informatique) peut créer une certaine confusion (d’où la raison du présent document). Quel référentiel utiliser pour les grandes questions de gouvernance SI : CobiT ou ITIL V3 ? Faut-il choisir ?

Initialement destiné à la direction de la production et à la DSI au sens large, ITIL avec sa version V3, s’étend aux directions métiers.

Objectifs

Le SI est un actif stratégique pour l’entreprise, pas un centre de coûts

Au-delà des objectifs de Service management et de gestion de la production informatique déjà bien connus d’ITIL V2, ITIL V3 a pour ambition de renforcer l’aspect stratégique de la définition des services (Service strategy), ceci de leur conception (Service design) jusqu’à leur fonctionnement, en passant par leur mise en place (Service transition) et leurs améliorations successives (Continual service improvement).

rejoignant les préoccupations du management, les notions de création de valeur et de rOI sont désormais omniprésentes dans ITIL V3. L’accent est mis sur la preuve d’un rOI « client » et financier permettant de s’assurer que le SI n’est pas un centre de coûts mais un actif stratégique pour l’entreprise.

Le cycle de vie des services d’ITIL v3

(7)

Il est donc indispensable d’identifier les indicateurs de la performance sur l’ensemble des services et de les piloter au quotidien.

Améliorer pro activement le service rendu

L’ensemble des services en place, et à venir, est géré comme un portefeuille, avec tous les objectifs d’anticipation de la demande, d’arbitrage et de prio- risation sous-jacents. Pour ce faire, la gestion des demandes est deve- nue un processus à part entière, afin d’anticiper les demandes de services des clients qu’ils soient internes ou externes, et de différencier les Core services (les services de base) en les

« customisant » sur la base de l’activité des clients.

Enfin, l’amélioration continue pousse à la pro activité. Il s’agit ici de ne pas mettre en place des améliorations lors de crises ou d’incidents ayant un impact sur les métiers et qui s’arrêtent une fois le problème résolu. L’objectif est triple :

remonter d’un cran par rapport

•

aux mesures des composants des services,

obtenir une vraie vue des services

•

fournis aux utilisateurs et de leur res-

senti afin d’identifier et d’analyser les tendances,

présenter les bonnes informations

•

au management pour qu’il puisse prioriser les améliorations à mettre en place.

Le lien est fait avec la gestion des demandes.

Maîtriser l’équilibre coûts - qualité

La complexité croissante et les exigences de performance, de disponibilité, de réactivité, de maîtrise des risques de la part des métiers impliquent bien souvent que le SI s’organise en silos technologiques coûteux.

D’un autre côté, les mêmes métiers ne comprennent pas les technologies employées et suspectent les gens du SI de faire des choix privilégiant la technique plutôt que la valeur ajoutée.

Il s’agit donc de parvenir en perma- nence à concilier les deux approches pour prévenir le risque de basculer dans une forme de « dictature » qui serait préjudiciable aux intérêts de l’entreprise.

Apports réels : quelle est l’utilité pratique ?

ITIL a d’ores et déjà imposé son modèle de gestion des services informatiques et la V2, qui répondait à un réel besoin, a été un grand succès. L’objectif d’en faire une référence à la fois souple et pragmatique est atteint ; c’est main- tenant un outil de travaux essentiels pour les directions de la production informatique, mais aussi pour prestataires et consultants. La V2 est bien connue de tous.

ITIL V3 apporte des éclairages concrets par les nouveaux concepts, outils et templates qu’il propose et redonne aux SI une place méritée dans la gouvernance de l’entreprise. Il remet aussi au goût du jour les livres

« oubliés » de la V2 – Security management, Application management et Infrastructure management – peu lus et peu connus alors que très opé- rationnels. Comme précisé plus haut, ITIL V3 va dans le sens de la tendance actuelle : gouvernance, création de valeur, ROI et rapprochement avec les besoins métiers.

Hormis pour les processus habituels (gestion des incidents, des demandes…), la mise en place est moins évi- dente pour la V3 que pour la V2. Nous pensons qu’elle dépend du niveau de maturité de l’organisation et des processus ITIL déjà en place dans l’entreprise. Pour des organisations peu matures, le grand nombre de processus à mettre en place est un frein. Nous recommandons donc dans un premier temps de concentrer l’effort sur la mise en place des processus historiques de la V2 (qui sont maintenus et améliorés dans la V3), tout en appréhendant la notion de cycle de vie des services, de mesure et d’amélioration continue de la performance. Quant aux entreprises plus matures, la priorité est à donner, à notre sens, aux nouveaux processus des publications Service strategy et Continual service improvement, afin de redynamiser et de réorienter la relation Client - Fournisseur de services SI.

Initialement destiné à la direction de la production et à la DSI au sens large, ITIL avec sa version v3 s’étend aux directions Métiers

(8)

CMMI pour vos projets informatiques

Comment organiser le département des études de manière à sécuriser les projets ?

Quelques mots

CMMI (Capability Maturity Model Integration) est un référentiel d’éva- luation pour le développement de systèmes, de produits matériels et/

ou logiciels. Ce référentiel a été mis au point par le SEI (Software Engineering Institute) à Pittsburg afin de prendre le relais du CMM (Capability Maturity Model). Il permet aux entreprises de mesurer leurs pratiques de dévelop- pement et de définir un plan d’actions en vue de tendre vers l’excellence.

CMMI évalue et certifie les organisations (ex. : département des études) et non les individus.

Il est structuré en 25 domaines de processus clés (process area) répartis en quatre disciplines (management des processus, management de projet, ingénierie et support). À chaque domaine de processus est attribuable un niveau de capacité qui lui est propre (de 1 à 5).

Périmètre

En 2007 ont été créés trois périmètres complémentaires représentés par trois

« constellations » définies ci-après.

Ces constellations reposent sur un socle commun représentant 60 % des domaines de processus.

CMMI pour le développement

•

(CMMI-DEV). En 2007, CMMI est devenu CMMI-DEV. C’est ainsi la constellation historique et la plus uti- lisée. Cette constellation s’intéresse particulièrement aux phases amont des projets, allant jusqu’à la mise en production.

CMMI pour les services (CMMI-SVC).

•

Cette constellation fournit de l’aide pour la fourniture des services (intan- gibles) à l’intérieur des organisations ou vis-à-vis de clients extérieurs, tout au long du cycle de vie des services.

En particulier, les phases de dévelop- pement d’un projet sont vues dans une approche « service ».

CMMI pour les acquisitions (CMMI-

•

ACQ). Cette constellation fournit de l’aide pour gérer les fournisseurs et les acquisitions. Elle se rapproche de la vision du référentiel eSCM. On privilégiera l’utilisation de CMMI- ACQ pour les organisations de projets informatiques liés à l’ingé- nierie logicielle ou à l’informatique industrielle.

Deux représentations proposées

Selon le besoin, deux représentations complémentaires de CMMI sont pro- posées :

La représentation continue de CMMI.

•

Elle permet d’adopter une vue par discipline. Au sein d’une discipline (ex. : le management de projet) les processus ont chacun un niveau de capacité (de 1 à 5), cela permet d’identifier, au sein de la discipline, les points forts et les points faibles, en matière de processus clés. Les organisations qui ont des processus critiques adoptent cette vue (exemple : la sécurité dans l’informatique bancaire)

La représentation étagée de CMMI.

•

C’est la représentation la plus cou- rante. Elle permet à l’organisation dans son ensemble d’évaluer son niveau de maturité. Une organisation donnée se situe à un niveau de maturité de 1 (initial) à 5.

Le tableau ci-contre montre une vue des deux représentations. On y voit par exemple que la maîtrise du processus d’analyse causale de résolution CAr (en bas à droite du tableau) est une exigence du niveau de maturité 5 de CMMI.

Public visé

Ce référentiel s’adresse en premier lieu aux études. Les maîtrises d’ouvrages sont également concernées, dans la prise en compte des exigences métier.

Il s’adresse aussi aux auditeurs, qui certifient les organisations avec CMMI. Les organisations souhaitant se faire certifier font en général préa- lablement appel à des experts CMMI dans un objectif de diagnostic et d’accompagnement.

Les sociétés de services sont souvent demandeuses de certification, afin de garantir à leurs clients leur niveau de

Les constellations CMMI

(9)

maturité en matière de développe- ments informatiques. Indéniablement, une accréditation de niveau 4 ou 5 se révèle être un argument commercial de poids et attire de plus la clientèle désireuse d’améliorer ses propres méthodes.

Le référentiel peut être utilisé dans tous les secteurs, même si il est particulière- ment bien adapté aux secteurs indus- triels. Ce référentiel est notamment très utilisé dans les départements études des constructeurs automobiles.

Objectifs

L’objectif principal du référentiel est d’améliorer l’efficacité du département des études.

CMMI aide les organisations à indus- trialiser les processus de conception, de réalisation, de gestion et de mise en production des projets.

Apports réels : quelle est l’utilité pratique ?

Pourquoi utiliser ce référentiel ? Quels bénéfices pour les métiers ?

En premier lieu, nous voyons un retour sur investissement avec des gains réa- lisés de l’ordre de 10 % dès la troisième année. Ce retour sur investissement est profitable aux départements des études mais également aux sociétés de services qui peuvent répercuter ces économies dans la facturation de leurs prestations.

Le référentiel CMMI rend les projets prédictibles. Même si les temps de développement annoncés ne dimi- nuent pas forcément (du moins dans un premier temps), ils deviennent de plus en plus fiables. Il en est de même pour les coûts de développement et les ressources associées.

Nous pensons qu’une organisation ayant atteint le niveau 3 dispose d’une maturité suffisante sur les processus liés à la gestion de projets et saura pro- fiter des bénéfices cités.

En particulier, une organisation de niveau de maturité 3 peut aborder sereinement la question d’externalisation de ses études.

Vue continue

Vue étagée Management

des processus Management

de projet Ingénierie Support

1 - Initial

2 - Discipliné • Planification de

projet (PP)

• Surveillance et contrôle de projet (PMC)

• Gestion des accords avec les fournisseurs (SAM)

• Gestion des exigences (rEQM)

• Mesure et analyse (MA)

• Assurance qualité processus et produit (PPQA)

• Gestion de configuration (CM)

3 - Ajusté • Focalisation de l’organisation sur les processus (OPF)

• Définition des processus de l’organisation (OPD + IPPD)

• Formation organisationnelle (OT)

• Gestion de projet intégrée + IPPD (IPM + IPPD)

• Gestion des risques (rSKM)

• Développement des exigences (rD)

• Solution Technique (TS)

• Intégration du produit (PI)

• Vérification (VER)

• Validation (VAL)

• Analyse et prise de décision (DAr)

4 - Géré

quantitativement • Performance du processus organisa- tionnel (OPP)

• Gestion de projet quantitative (QPM)

5 - Optimisé • Innovation et déploiement organisationnels (OID)

• Analyse causale et résolution (CAr)

Les 22 domaines de processus CMMI-DEV selon les vues étagée et continue

(10)

eSCM, pour une relation client-fournisseur mature

Parvenir à une relation de partenariat avec ses prestataires, est-ce une utopie ? Que faire pour obtenir des services satisfaisants sur toute la durée d’un contrat et ce, à un coût raisonnable ? eSCM montre que, là aussi, les bonnes pratiques existent. Un maître mot à retenir : la gouvernance.

Quelques mots

eSCM (pour eSourcing Capability Model) est un modèle de gestion et d’amélioration de la relation de Sourcing, tout au long de son cycle de vie. Le cycle de vie du Sourcing, vu du client, est composé des étapes suivantes :

analyse (Analysis) : études, enjeux,

•

marché, orientations stratégiques démarrage (Initiation) : appel d’of-

•

fres, choix des prestataires, négo- ciations, contractualisation fourniture (Delivery) : transfert, ges-

•

tion quotidienne, évolutions réversibilité (Completion) : condi-

•

tions de dépose et de transfert vers un autre fournisseur

pratiques permanentes (Ongoing) :

•

les fonctions à assurer sur la durée Ce modèle est à la fois indépendant, car issu d’un consortium d’univer- sitaires (Carnegie Mellon) et pragmatique, car nourri des apports de l’industrie (prestataires et clients, tels que IBM, Accenture, Airbus, L’Oréal…).

eSCM se spécialise en deux parties : eSCM-CL, pour les organisations clientes, et eSCM-SP pour les fournisseurs. Les organisations (clients ou fournisseurs) peuvent être certi- fiées par eSCM selon leur niveau de maturité global.

À titre d’exemple, dans le cas de eSCM-CL, le diagnostic porte sur 95 pratiques, appartenant à 17 domaines (couvrant tout le cycle de vie décrit ci-dessus). La maturité globale d’une organisation est notée de 1 à 5 comme indiqué dans le tableau ci-contre.

Périmètre, public visé

eSCM s’applique à toute relation de sourcing :

Outsourcing classique (un client,

•

un fournisseur)

C o - s o u r c i n g ( f o u r n i s s e u r s

•

- concurrents)

Multi sourcing (plusieurs four-

•

nisseurs en direct et des fournisseurs ayant eux-mêmes des sous- traitants)

Alliance (plusieurs fournisseurs,

•

représentés de front par un seul) Joint venture

•

In-sourcing (un fournisseur interne

•

tel un GIE par exemple)

eSCM intéresse les SI, mais pas seulement : toute relation contractuali- sée de type Client-Fournisseur entre dans le périmètre de eSCM.

Le public visé est le DSI, représenté par le responsable des méthodes et de la qualité, le gestionnaire des contrats et des services et plus largement tout manager ayant la res- ponsabilité d’organiser l’entreprise pour améliorer la gouvernance de ses prestataires.

Objectifs

L’objectif principal de eSCM est de créer une relation Client-Fournisseur qui soit saine et durable. Il propose dans ce but un langage commun et des processus compatibles entre les clients et leurs fournisseurs, permettant la mise en œuvre des bonnes pratiques sur tout le cycle de vie de la relation de sourcing.

Niveau de maturité

eSCM-CL (Clients)

eSCM-SP (Fournisseurs)

1 Mise en œuvre du

Sourcing

Fourniture de services

2 Gestion cohérente

du Sourcing dans l’organisation

Satisfaire les objectifs clients de façon cohérente

3 Gestion de la performance du Sourcing dans l’organisation

4 Gestion proactive d’amélioration de la valeur 5 Maintien de l’excellence (du niveau 4) sur la durée

échelle de notation de la maturité

eSCM des organisation

(11)

Apports réels : quelle est l’utilité pratique ?

La relation Client-Fournisseur est passée historiquement par une délégation toujours plus forte d’ac- tivités jugées « non cœur de métier », comme le SI. Il fallait confier à ceux qui savent, jusqu’à faire reprendre une partie du personnel interne par le fournisseur. Les bénéfices ont été nombreux (flexibilité, reposition- nement sur les activités business, apport d’expertise, standardisation des processus…) tout comme les désillusions (perte de maîtrise du SI, promesses non tenues sur les coûts et la qualité, dégradation du service dans le temps, incompréhension grandissante…).

Quels en ont été les enseignements ? Il faut repenser la relation Client- Fournisseur :

vers plus de transparence et moins

•

d’à priori sur les possibilités et les performances de chacun, vers plus de maturité dans le dia-

•

logue : échanger sur des objectifs

communs, pas seulement sur des indicateurs,

vers davantage de management et

•

d’implication côté Client,

vers une gestion plus habile dans le

•

temps de la motivation des prestataires (via une concurrence accrue et des opportunités de business futures pour les fournisseurs...), vers un nouvel équilibre, permet-

•

tant au client de se réapproprier (voire de réinternaliser) sa compé- tence métier.

Le fantasme du contrat monolithe qui résout tout, à coup de centaines de SLA et d’unités d’œuvre « pour tout » a donc vécu. Il faut que la relation contractuelle évolue dans le temps. Un véritable suivi écono- mique s’avère indispensable, ainsi qu’un suivi des objectifs, de la planification, des progrès et des compé- tences. Pour y parvenir, le client doit être présent (avec des ressources dédiées) afin de favoriser un dialogue quotidien avec ses Fournisseurs.

eSCM a été construit sur la base de ces conclusions et sera assurément une aide précieuse pour qui veut progresser dans sa relation client- fournisseur.

À ce jour, eSCM-CL a intéressé les entreprises clientes plutôt dans le cadre d’un diagnostic de leur matu- rité, que dans le cadre d’un véritable

À ce jour, eSCM-CL a intéressé les entreprises clientes plutôt dans le cadre d’un diagnostic de leur maturité que dans le cadre d’un véritable audit de certification.

audit de certification. Les bénéfices en sont moindres sur le long terme (moindre implication initiale, et donc plans d’actions correctives moins ambitieux). Pourtant, les résultats des diagnostics clients sont souvent rapides et spectaculaires (mise en évidence en quelques jours seulement de toutes les insuffisances).

La plupart des entreprises ayant été certifiées eSCM à ce jour sont des fournisseurs de services informatiques. Aujourd’hui, on observe un intérêt grandissant des « grands » fournisseurs du marché. Certains se posent encore la question de la pro- position de valeur de eSCM : est-elle d’abord opérationnelle (améliorer leur aptitude) ou surtout marketing (communiquer vis-à-vis des clients) ? Il nous semble que ces deux objectifs sont compatibles.

(12)

ITIL dans le monde

ITIL est le référentiel SI le plus utilisé dans les entreprises françaises. 40

% des entreprises européennes ont mis en place au moins un processus ITIL V2, et 14 % ont initié le déploie- ment d’ITIL V3 (source : Le Monde Informatique, octobre 2008). La diffusion d’ITIL en Amérique du Nord est plus récente mais elle tend également à s’accélérer.

Une récente étude de Dimension Data fait état d’une adhésion au cadre de référence ITIL par plus de deux tiers des CIO interrogés à travers le monde.

En résumé, avec 66 % d’adoption à l’échelle mondiale, ITIL s’impose

comme un standard méthodologique des SI en entreprise.

Le profil ITIL

Du fait de la plus grande complexité de l’infrastructure informatique à gérer, les grandes entreprises sont plus enclines à adhérer à la démarche ITIL (87 % des entreprises de plus de 10 000 employés d’après Dimension Data, 2009).

La mise en œuvre d’ITIL semble plus active sur le continent américain (60 % des entreprises mettent en œuvre où projettent de le faire dans les six mois en date du sondage ci-dessous, contre 48 % en Europe).

CMMI dans le monde

Une étude Dimension Data (réalisée auprès de 370 DSI dans le monde) fait état d’un taux d’adoption de pratiques CMMI d’environ 30 % au niveau mondial.

En janvier 2009, environ 2 340 organisations sont certifiées dans le monde par CMMI, la plupart au niveau 2 (30 %) ou 3 (57 %). Plus de 100 sociétés indien- nes sont certifiées au niveau 5.

La France est le premier pays européen en terme de diffusion de ce modèle.

Les prestataires sont certifiés en France (pour une part de leurs activités) :

Atos : niveau 3

•

IBM : niveau 5 (AMS)

•

SQLI : niveau 5

•

eSCM dans le monde

En janvier 2009, seulement six organisations « fournisseurs » sont certi- fiées eSCM SP : IBM GTS Brazil (niveau 5), IBM GDC Argentina (niveau 4), Infosys (niveau 4), Satyam (niveau 5), Cognizant (niveau 4) et Phoenix Systems Pittsburgh (niveau 2).

En tout, 15 organisations sont, ou ont été certifiées par eSCM SP

Aucune organisation n’a à ce jour été certifiée par eSCM CL

CobiT dans le monde

Son taux d’adoption au moins partielle est de 30 % au niveau mondial (source : Dimension Data)

Il s’adresse plutôt aux grands comp-

•

tes où il s’y avère souvent incon- tournable sur les questions de gouvernance.

Quelques belles références en

•

France : Dexia, renault, La Poste.

Quelques chiffres du marché

Le besoin d’assurance sur la valeur et les risques des SI, ainsi que les

demandes de contrôles de l’information deviennent des éléments clef de la gouvernance d’entreprise.

Evaluation de la maturité de chaque processus

ITIL dans les entreprises sondées

(13)

Ce que veulent les DSI

retours à chaud de l’atelier sur les référentiels

Assurer la cohérence d’ensemble

La compatibilité des référentiels SI, comme leur complémentarité, sont des préoccupations que partagent DSI et auteurs des ouvrages. Compatibilité entre CobiT et ITIL, entre ITIL et CMMI, entre ces référentiels et les normes ISO… Le plus souvent, c’est déjà une réalité. En même temps, les référentiels sont de plus en plus concurrents, au sens où chacun propose ses propres réponses à des questions communes et sur des périmètres de plus en plus comparables. Il en découle parfois une certaine confusion. « Quel référentiel faut-il choisir ? », « Faut-il en maîtriser plusieurs ? ».

Mesurer la valeur ajoutée du SI

« Il faut se concentrer sur la valeur. Un processus qui ne créerait pas de valeur n’a clairement aucun intérêt ! ».

Si le SI a très longtemps été considéré comme un centre de coûts, les DSI tra- vaillent aujourd’hui à en faire un outil créateur de valeur, participant plei- nement à la performance de l’entreprise. Le pilotage des portefeuilles de projets, démarche organisationnelle visant à sélectionner, puis à piloter au quotidien les meilleurs projets SI de l’entreprise, en est une illustration.

Un critère clé de sélection des projets à trait au futur : quels futurs cash flows, économies ou bénéfices opéra- tionnels peut-on espérer ? Les métiers demandent une évaluation du rOI a priori des projets, ainsi qu’une preuve a posteriori de celui-ci. Une question qui commande de s’outiller, comme de s’imposer de nouvelles règles internes.

A cette fin, CobiT (aidé de Val IT) et ITIL V3, traitent de manière approfondie de la définition, de la mise en place, du pilotage d’indicateurs pertinents, comme des questions à se poser et des changements organisationnels nécessaires. L’usage des référentiels

n’échappe pas à cette préoccupation de rentabilité : leur mise en place étant elle-même un investissement pour l’entreprise, il s’agit de prouver aux DSI les retours que l’on peut espérer.

Une question malheureusement loin d’être simple...

Maîtriser les risques

Alors qu’une part croissante du SI s’ex- ternalise, voire « s’offshorise », les DSI s’inquiètent de « risques nouveaux » : perte de la compétence métier, diffusion d’informations confidentielles ou concurrentielles…

Les risques classiques du SI (intrusions, rupture du service...) ne sont pas pour autant écartés, bien au contraire, car ils nécessitent une remise en cause permanente du fait des évolutions technologiques.

Il s’agit donc de rester bien informé et de systématiser la mise en œuvre des meilleures pratiques, que ce soit en interface du marché des prestataires (avec eSCM) ou dans les affaires cou- rantes du SI de l’entreprise (avec ITIL, CMMI, CobiT…).

Echanger sur les bonnes pratiques

« Les expériences des uns profitent aux autres : on sort les gens de la mine, on les fait se rencontrer ».

C’est le nivellement par le haut, par le biais de rencontres avec les homo- logues, ou avec les professionnels du métier. Via l’usage partagé des standards que sont devenus certains référentiels comme ITIL, les DSI se mettent en conformité avec l’état de l’art.

Cet alignement compétitif des DSI est sans cesse renouvelé, notamment sur les coûts des prestations, à l’aide d’étu- des externes (benchmark).

« La maturité globale des DSI monte, c’est une évidence ».

Des modèles adaptables. . .

S’ils ont considérablement progressé dans leur maîtrise des référentiels SI, les DSI regrettent parfois que cet ensemble définisse une forme de pensée unique : « tous ces conseils me semblent un peu trop «centripètes», le centre étant défini par les référentiels SI. Doit-on nécessairement abandon- ner nos KPI et notre manière de faire les choses ? »

Ce n’est pas un hasard si les DSI sont si nombreux à avoir défini leur propre

« référentiel interne » (qui peut être une sorte d’amalgame de plusieurs référentiels du marché et de caracté- ristiques spécifiques à l’entreprise).

Les DSI trouvent parfois les modèles trop contraignants. Ils attendent des référentiels qu’ils soient des guides souples et adaptables et qu’ils permettent de fixer des objectifs progressifs de manière à éviter les effets big-bang au sein de la DSI. Une approche sélec- tive (priorité donnée à certains processus) ou une approche progressive (d’abord, le niveau de maturité 2) sont des réponses graduées et raisonnables que la DSI peut choisir pour ses enjeux de transformation interne.

…dans un monde qui n’est pas parfait

« Ce qui continue de me préoccu- per et pour lequel les référentiels ne m’ont pas convaincu, c’est la gestion sur la durée de la valeur de mon patri- moine : une application obsolète n’a pas la même valeur »

Les référentiels sont désormais attendus par les DSI qui, pour beaucoup, les ont intégrés dans leur arsenal métho- dologique. Les questions non traitées ou mal présentées ne manquent pas.

Autant de défis sur le fond que sur la forme.

(14)

résultats

L’évaluation de chaque pratique est faite selon quatre niveaux possibles (cf. tableau ci-dessous).

rappelons qu’il y a 95 pratiques à évaluer, celles-ci appartiennent à 17 catégories.

Les référentiels pour… effectuer un diagnostic des pratiques SI (1/2)

étude de cas : diagnostic eSCM

Besoin initial

Dans le cadre de ses renouvellements contractuels avec des prestataires SI, une grande multinationale souhaite un regard expert sur la maturité de ses pratiques en matière de relation Client Fournisseur. Le diagnostic doit être rapide, d’un coût raisonnable et permettre de construire un plan d’actions correctives.

Niveau Référence Nom Objectif Statut

2 knw01 Fourniture de

l’information requise

Identifier, contrôler et fournir l’information nécessaire au personnel pour assurer ses responsabilités liées au sourcing

Pratique réalisée au cas par cas

3 knw02 Système de

gestion de la connaissance

Utiliser un système de gestion de la connaissance pour identifier, contrôler et diffuser l’information liée au sourcing

Pratique réalisée, p r o c é d u r é e e t mesurée

3 knw03 Veille sur le

marché

Analyser et utiliser l’information relative au marché des prestataires

Pratique réalisée et procédurée

3 knw04 retours

d’expérience

Analyser et utiliser la connaissance acquise dans le cadre des activités de sourcing

4 knw05 Partage de la

connaissance Définir et mettre en œuvre les procédures de partage de la connaissance entre les parties prenantes

Méthode

Le management SI, représenté par ses responsables, ayant la meilleure connaissance des enjeux comme des pratiques quotidiennes en matière de sourcing, participe à trois demi-journées de travail avec l’expert. Celui-ci pose des questions précises, concernant les 95 pratiques de eSCM-CL.

L’expert s’appuie sur son expérience pour orienter chaque réponse vers un maximum de clarté et d’objectivité.

Durée totale

La durée d’une telle étude est de l’ordre d’une semaine, conclusions et livrables compris.

évaluation des 5 pratiques de la catégorie “Gestion des connaissances”

⁽¹⁾

(1) : à des fins de confidentialité, les données fournies n’identifient pas un client particulier Le code couleur utilisé dans la colonne Statut correspond à celui utilisé dans pour le schéma ci-contre.

Le tableau ci-dessus révèle un niveau moyen de maturité sur la catégorie de la gestion de la connaissance, puisque deux pratiques évaluées sur cinq atteignent un niveau

satisfaisant de formalisation (procédure ou contrôlé).

Par ailleurs, aucune pratique n’est jugée réellement défaillante (« inexistante ou très insuffisante »).

(15)

Niveau 2 Niveau 3 Niveau 4

Taux de couverture

98% 76% 63%

Pratiques procédurées (satisfaisant)

60% 45% 0%

Pratiques procédurées et mesu- rées (très satisfaisant)

19% 10% 25%

L’analyse qualitative :

Le diagnostic révèle un assez bon niveau de maturité global.

Un taux de couverture quasi parfait au niveau de matu-

•

rité 2, dont 60 % des pratiques sont procédurées (satisfaisant) et 19 % des pratiques sont mesurées par des indicateurs (très satisfaisant). Les pratiques réalisées au cas par cas (passable) représentent 19 %.

Une assez bonne couverture également au niveau de

•

maturité 3 (76 %).

La dominante au niveau 2 et au niveau 3 est représentée

•

clairement par les pratiques procédurées (c’est à dire, formalisées et répétables, mais non mesurées).

Si l’entreprise souhaite obtenir la certification eSCM

•

niveau 2, elle doit parvenir à hisser l’ensemble des pratiques du niveau 2 à l’état procédure et mesuré (ce qui est très ambitieux).

L’analyse quantitative

Les pratiques inexistantes ou très insuffisantes appartiennent à 6 des 17 catégories étudiées : gestion de la gouvernance, des relations, de la valeur, des rH, des risques, et transfert du service.

Les catégories les plus défaillantes sont la gestion de la valeur (3 pratiques) et la gestion des risques (2 pratiques).

Dans le détail, les pratiques incriminées sont :

Performance de l’organisation en matière de sourcing

•

(gestion de la valeur),

Mise en place d’une base de référence d’aptitude (ges-

•

tion de la valeur),

Amélioration des processus de sourcing (gestion de la

• valeur),

Gestion transverse des risques (gestion des risques),

•

Protection de la propriété intellectuelle (gestion des

• risques).

Conclusions du diagnostic

Il faut relativiser les résultats et les comparer avec ceux obtenus dans des contextes analogues (taille de la DSI, budget, importance du sourcing pour l’organisation…) Dans le cas présent, le diagnostic est jugé globalement bon par l’expert.

Parmi les pratiques inexistantes ou très insuffisantes, l’organisation identifie celles qui sont prioritaires pour elle et détermine elle-même son plan d’actions. Dans le cas présent, les pratiques liées à la Gestion de la sécurité font l’objet d’un plan à court terme.

Le référentiel eSCM-CL doit être utilisé comme un outil qui complète d’autres dimensions importantes de l’analyse que sont la compréhension du contexte, la culture de l’entreprise et les priorités du management. Il ne serait sans doute pas judicieux d’exiger une excellente maîtrise des 95 pratiques dans la plupart des cas. En effet, cela imposerait un effort déséquilibré à la DSI, qui doit faire face dans le même temps aux demandes du business. De plus, il s’agit de préserver un bon niveau d’agilité du SI et de veiller à ce que les bonnes pratiques ne fassent pas basculer l’organisation SI dans un carcan administratif.

Niveau de maturité et taux de couverture

(16)

Les référentiels pour …effectuer un diagnostic des pratiques SI (2/2)

étude de cas : audit CobiT « Flash »

Besoin initial

Dans le cadre du développement de son offre de services aux métiers, la DSI d’une grande entreprise souhaite faire le point sur la maturité de ses pratiques de gouvernance et sur l’adéquation services. L’expert lui propose de s’appuyer sur le référentiel CobiT.

Méthode

La démarche retenue consiste à passer en revue avec des représentants de la DSI et du management business, l’ensemble des processus CobiT de manière à identifier ceux qui sont prioritaires. Cette démarche accélérée permet d’identifier les priorités SI au sein des quatre domaines de responsabilité du CobiT, soit 7 des 34 processus :

Durée totale

La durée d’une telle étude est de l’ordre de cinq semaines, conclusion et livrables compris.

Domaines Processus CobiT

Planifier et Organiser (PO) PO1 - Définir un plan stratégique informatique PO2 - Définir l’architecture de l’information PO7 - Gestion des rH

PO9 - Gestion des risques Acquérir et Mettre en Place (AMP) Aucun processus

Distribuer et Soutenir (DS) DS2 - Gérer les services de Tiers DS6 - Identifier et imputer les coûts Surveiller et évaluer (SE) SE1 - Surveiller la performance du SI

résultats

Une fois les processus prioritaires identifiés, l’expert analyse leur maturité. Pour ce faire, il regarde systématiquement si ces processus sont mis en place dans l’organisation, s’ils ont été formalisés, s’ils sont partagés (documentés) au sein de l’entreprise, s’ils sont outillés, s’ils sont mesurés et s’ils font l’objet d’une démarche mesurée d’amélioration continue.

Suite à cet examen, l’expert donne en toute indépendance, à chacun de ces processus, une note sur une échelle allant de 0 à 5, basée sur le modèle de maturité de CobiT.

Les bases de l’analyse :

Les notations de l’état de l’art et des « best of breed » sont directement issues des observations et de l’expérience de l’expert chez ses différents clients. Il utilise en effet fréquemment CobiT dans les audits de gouvernance en tant que grille d’analyse des activités SI et afin de évaluer la maturité du SI de l’entreprise.

(17)

Analyse

L’analyse des processus CobiT impactés permet de définir des actions précises à mettre en œuvre.

Ainsi, pour le processus « PO1 - Définir un plan stratégique informatique ». Les points forts identifiés sont :

1) le fait qu’un schéma directeur soit réalisé, selon un processus formalisé, avec une organisation dédiée, 2) le fait que le processus soit formalisé, planifié, par-

tagé avec les parties prenantes, en particulier avec les métiers avec comme objectif la prise en compte de leurs besoins.

Concernant le schéma directeur, l’expert observe que le dernier en date a été rédigé en 2005 pour trois ans, que l’objectif de la DSI était de le réviser dès 2006 et enfin que les risques sont pris en compte uniquement lors de l’étude métier des projets.

L’analyse met en évidence l’obsolescence du schéma directeur. Le processus n’est donc pas systématiquement respecté.

L’analyse détaillée du processus « PO2 - Définir l’architecture de l’information » identifie un point fort : la cohérence du modèle de données.

Le responsable fonctionnel qui a une vue d’ensemble sur son domaine garantit cette cohérence. Pour autant, la gestion de l’architecture de l’information n’est pas mise en œuvre systématiquement car le processus associé n’est pas défini.

Les conclusions

Il est important de préciser que les notes ne sont pas considérées dans l’absolu. En effet, pour chaque processus, la maturité mesurée du client est mise en perspective par rapport à l’état de l’art d’une part (la moyenne consta- tée dans un échantillon représentatif d’entreprises) et par rapport aux entreprises les plus en avance dans le domaine (best of breed) d’autre part.

L’analyse permet de proposer des conclusions générales au niveau de chaque domaine de responsabilité. Ainsi, l’exemple du domaine PO (Planifier et Organiser) montre que la DSI est globalement dans la moyenne du marché notamment à travers :

La mise en œuvre d’un schéma directeur

•

La mise en œuvre d’une méthodologie projet

•

Une gestion des aspects rH, qualité et risques.

•

L’audit CobiT met en évidence les axes d’amélioration suivants :

Nécessité d’une revue et d’une mise à jour annuelle du

•

schéma directeur

Systématisation du rEX de projet, y compris financier

•

Extension de la gestion de risques en place à l’ensemble

•

des activités SI (en plus des projets).

(18)

étude de cas : multi référentiels (CobIT, ITIL, CMMi)

Besoin initial

Dans un contexte de besoins applicatifs et technologiques nouveaux, la DSI souhaite transformer ses processus, pour une meilleure maîtrise du triplet risques – délais – qualité. Un projet est lancé visant à améliorer l’organisation et les processus internes de la DSI. En tout premier lieu, il s’agit de garantir une bonne pro activité par rapport aux attentes des métiers, puis une forte adéquation aux exigences exprimées. La maîtrise technique des nouveaux environne- ments est également perçue comme un enjeu capital. Enfin, des objectifs d’amélioration du suivi de la qualité et de développement de l’agilité, de l’évolutivité et de l’efficience sont exprimés.

Méthode

L’expert propose :

Un diagnostic initial pour cadrage des besoins

•

Une identification puis une planification des chantiers prioritaires

•

Une définition des éléments clefs de mise en œuvre

•

L’analyse initiale est constituée de deux niveaux de détail successifs : d’abord un niveau plus global concerne les « activités », puis un niveau de détail plus fin s’adresse aux processus qui les supportent. Dans sa démarche de diagnostic, puis de préconisations des transformations requises, l’expert tire bénéfice de sa maîtrise des référentiels SI. En toute indépendance et en s’appuyant sur sa connaissance de contextes analogues, il choisit celui qu’il considère comme le meilleur dans chaque situation rencontrée. De fait, trois référentiels sont utilisés : CobiT, ITIL et CMMI.

Durée totale

La durée d’une telle démarche, à la fois de diagnostic et de transformation, est de plusieurs mois.

Déroulement

Les données d’entrée sont :

Toutes les activités supportées par le SI telles que réper-

•

toriées dans l’entreprise

Les activités et processus SI tels que répertoriés par les

•

référentiels SI

L’analyse des activités se fait selon deux axes :

Les catégories d’activités auxquelles elles appartiennent

•

que sont le Design (définition des services et applicatifs SI), le Build (construction de ceux-ci), le run (mise en œuvre), et le Manage (gouverner, assurer la conformité budgétaire, la sécurité, communiquer,.. ),

Leur importance stratégique (entre Stratégique,

•

Tactique et Opérationnelle).

L’analyse au niveau « activités » :

…Distingue celles qui sont satisfaisantes pour l’entreprise et celles qui feront l’objet d’un chantier ultérieur. Notre cas pratique révèle quatre chantiers que nous qualifions ainsi :

Exigences métier,

•

Exigences informatiques,

•

Atelier de mise en production,

•

Gestion transverse

•

L’analyse au niveau « processus » :

Ce sont ensuite les principaux processus de la DSI qui sont analysés. ITIL, CMMI et CobiT sont utilisés en fonction de leurs points forts. La méthode consiste à isoler les processus puis à identifier ceux qui sont à créer, ou qui seraient fortement ou peu impactés.

ITIL est choisi pour les aspects Service Management.

Par exemple, dans la partie Service Management : IT 1 – Gestion des incidents : « restaurer aussi rapidement que possible un service normal et minimiser l’impact sur les applications métiers ».

CMMI est utilisé pour analyser les processus en lien avec la gestion de projet, l’engineering et le support. Par exemple : PP - Planification de projet : « établir et maintenir les plans et activités de projet », ou rSKM - Gestion du risque : « identifier les problèmes potentiels avant qu’ils ne surviennent ».

Enfin, CobiT intervient lors de l’analyse des processus de gouvernance. Parmi ceux-ci : PO2 - Définir l’architecture de l’information, qui correspond à l’objectif business suivant : « être opérationnel pour répondre aux besoins, fournir l’information de manière fiable et cohérente et intégrer les applications dans les processus métier ».

(19)

Utilisation d’ITIL, CobiT et CMMI en fonction de leurs points forts

À titre illustratif, voici ci-dessous, pour deux chantiers iden- tifiés, une partie des processus impactés, c’est-à-dire, jugés soit inexistants, soit largement perfectibles.

La définition et la mise en œuvre d’un plan d’action : Les processus prioritaires sont identifiés et sélectionnés, il s’agit alors de définir les projets de mise en œuvre et la rédaction de leur feuille de route, au travers de réunions.

Prenons l’exemple du processus CMMI : rD – Développement des exigences. Voici les pratiques mises en œuvre qui font l’objet d’un plan d’actions:

SG1 : Développer les exigences client

•

- SP1.1 : Expliciter

- SP1.2 : Développer les exigences client SG2 : Développer les exigences produit

•

- SP2.1 : Etablir les exigences produits et composants produits

- SP2.2 : Allouer les exigences pour chaque composant de produit

- SP2.3 : Identifier les exigences d’interface SG3 : Analyser et valider les exigences

•

- SP3.1 : Etablir des concepts d’emploi et des scénarios associés

- SP3.2 : Etablir une définition des fonctionnalités requises

- SP3.3 : Analyser les exigences pour s’assurer qu’elles sont nécessaires

- SP3.4 : Analyser les exigences pour assurer l’équilibre entre besoins et contraintes

- SP3.5 : Valider les exigences

Les transformations requises touchent les processus mais aussi les organisations destinées à les mettre en œuvre ou à les gérer. Ce qui impose une définition en parallèle d’actions de conduite du changement (plan de communication), ainsi qu’une révision des missions et des rôles des acteurs impliqués (avec les enjeux rH associés).

résultats

La notion de transformation des SI prend ici tout son sens avec un grand nombre d’actions identifiées, faisant l’objet d’une gestion de type portefeuille de projets, dont les priorités sont établies en accord avec le management Business.

L’exploitation de la complémentarité des référentiels a donné lieu à une analyse de chacun des principaux processus SI de l’entreprise, impliquant toutes les équipes dans le projet. Il n’existe pas de contradiction majeure entre les pratiques proposées par les différents référen- tiels, le choix portant surtout sur le plus pragmatique. Le recours aux référentiels a permis un vocabulaire commun pour les acteurs du projet et une bonne formalisation des modes de fonctionnement cible.

Finalement, l’utilisation « mixte » des référentiels a révélé une dynamique créative et fédératrice.

(20)

Adhérences des référentiels SI

Les éditeurs s’attachent à la convergence des modèles et revendiquent logiquement tous leur compatibilité avec un référentiel certificateur : l’ISO

Exemples de compatibilité

Les référentiels SI sont tous compatibles avec l’ISO. Citons notamment :

ISO 9001 : gestion de la qualité

•

ISO 20000 : gestion des services SI

•

ISO 17799 : gestion de la sécurité SI

•

ISO 16326 et 15188 : gestion des pro-

•

jets SI (développements)

Adhérences entre ITIL et CobiT

Le référentiel CobiT offre une couverture des processus SI plus large qu’ITIL, mais s’avère être moins détaillé dans les préconisations de mise en œuvre.

En revanche, la problématique de la gouvernance des services et de la gestion des risques et de la sécurité est une approche permanente chez CobiT, qui met en place les indicateurs associés.

Adhérences entre CMMI et ITIL v3

Un parallèle s’impose entre les modè- les CMMI-SVC et ITIL v3. Bien que dans l’esprit, CMMI soit historiquement consacré aux études, il apparait que sa nouvelle constellation CMMI-SVC décline la notion de service SI chère aux référentiels sans se restreindre au périmètre des études, en traitant notamment de Service Delivery et de Service Support.

Un exemple de complémentarité

eSCM-CL aide les organisations clientes qui sous-traitent leurs services informatiques récurrents alors que CMMI-ACQ les aident dans les achats qui concernent leurs projets.

Adhérences entre CobiT et ITIL v3

Adhérences entre CMMI-SVC et ITIL v3

Les processus en fuschia sont les processus CobiT que l’on retrouve dans ITIL v3.

Les processus en fuschia sont les processus CMMI-SVC que l’on retrouve dans ITIL v3.

De manière analogue mais cette fois du côté des fournisseurs, CMMI-DEV traite la gestion et la maîtrise d’œuvre

des projets alors que eSCM-SP aide les aide à mieux gérer leurs contrats et leurs relations clients au quotidien.

(21)

L’enjeu majeur actuel des entreprises est de disposer d’une organisation et de process qui fonctionnent dans une logique d’amélioration continue ; ainsi l’équilibre souvent souhaité dans les équipes, ou la fameuse « stabilisation » du SI devient une vue de l’esprit : c’est comme à vélo, si on ne pédale pas, on tombe.

Finalement, les référentiels, c’est un peu le dérailleur qui permet d’adap- ter son allure au terrain ! (vous aurez remarqué notre comparaison très

« Green IT » …).

Donc, les référentiels permettent des analyses non plus statiques, mais dynamiques des systèmes : l’approche de référence est désormais davantage celle de la cybernétique, avec ses boucles de régulation que celle logico-déductive historiquement chère à l’esprit cartésien français. Ainsi, se servir des référentiels devient un réflexe de base associé à tout projet de transformation.

Nous avons vu que les référentiels sont des outils finalement pas si compliqués à utiliser, et nous fournissent bon nombre de bonnes pratiques auxquelles il est possible se comparer, ainsi que des guides facilitant leur mise en œuvre.

Ayez de l’ambition dans cette mise en

œuvre ! Surtout, expérimentez avant d’acheter tel ou tel outil, dites-vous que trouver un meilleure pratique que celle décrite, c’est possible ; piochez dans le référentiel qui vous convient pour le problème que vous cherchez à adres- ser; évitez la mise en œuvre exhaustive, longue et coûteuse…

Il est motivant pour les équipes de donner des objectifs mesurables de l’amélioration du fonctionnement des activités de la DSI ; grâce aux niveaux de maturité, et plus encore, aux profils de capacité, on peut mettre en place des KPI (Key Performance Indicators) qui faciliteront la lisibilité par tous des progrès attendus et atteints.

Enfin, il est probable que ces différents référentiels convergent tous en terme de vocabulaire et de méthodologie de mise en œuvre. Ils garderont leurs spécificités liées à la nature des acti- vités qu’ils décrivent. En connaître un permettra de facilement aborder les autres selon vos besoins.