Systèmes intégrés de gestion des services en SI : comment construire son système ?
Les DSI sont amenés à construire, mesurer et améliorer un système opérationnel de gestion de services en systèmes d'information. Mais comment avoir une logique de service client et profiter des meilleures pratiques ?
Comment profiter des meilleures pratiques en utilisant de façon optimale des normes et standards de niveau système (iso 9001, iso 20000, Itil, CMMi, iso 27001...) ? Comment obtenir plusieurs labels et certifications dans une seule démarche "intégrée" ?Iso 9001, iso 20000 et iso 27001, quelle norme choisir ?
Rassurons-nous, pas besoin de choisir. Il suffit d'intégrer de façon optimale ces 3 normes.
Pourquoi ? Parce que les 3 normes sont complémentaires et s'imbriquent parfaitement.
Iso 9001, iso 20000-1 et iso 27001 forment un ensemble cohérent de normes pour un organisme fournisseur de services souhaitant mettre en oeuvre un système de management lui permettant d'assurer la maîtrise de ses prestations et de garantir la satisfaction de ses clients.
L'association de ces 3 normes garantit pour l'organisme la construction d'un système cohérent aussi bien pour la qualité que la gestion de services et la sécurité, assurant une cohérence dans la mise en oeuvre de l'amélioration continue au sein de l'organisme.
Bâtir son système de référence, pour quoi faire ?
Une fois l'intégration des normes faites (ou le choix de prendre telle ou telle norme de référence), cela fournit un cadre de référence qui pourra être utilisé selon les cas pour :
* Evaluer, selon ce référentiel précis, le niveau de maîtrise de la gestion des services;
* Evaluer la capacité de l'organisme à fournir des prestations de qualité à ses clients;
* Définir un cadre structurant pour la gestion des services dans l'organisme;
* Améliorer la qualité des prestations en maîtrisant mieux les coûts;
* Mieux connaître, comprendre et formaliser les exigences des clients;
* Construire un système de management robuste (notamment en cas de forte croissance)
* Permettre à l'organisme au cours d'un seul et même audit d'être certifié iso 9001 et/ou iso 20000 et / ou iso 27001 par un organisme certificateur tierce partie
Écueils à éviter
Au niveau de la stratégie
* Se laisser séduire par les effets de modes, les effets de manche et les pseudo intérêts de telle ou telle démarche ou méthode, fond de commerce de tel ou tel expert
* Trop se concentrer sur la technologie, ou sur les processus au détriment des hommes. Croire que la qualité des processus permet de s'affranchir des individus est une dérive risquée
* Déployer une démarche de gestion de service et d'amélioration continue parachutée de façon "top-down" sans travail sur le terrain avec les équipes opérationnelles.
Au niveau de l'orientation de la démarche
* Se laisser guider par les normes (qui conduit à un système décalé et déshumanisé) plutôt que par les opérationnels. Le feedback de ceux qui ont les « mains dans le cambouis" est bien différent des messages affichés par les experts dans les Powerpoint des salles de réunion.
* Oublier la dimension « humaine » qui conduit à la déresponsabilisation des acteurs, une baisse de la motivation, une chute de la créativité, qui conduit droit dans le mur « même si on avait pourtant bien suivi les processus! ». Les mise en ordre de marche bien serré couplée à la mise en place scolaire d'une démarche a pour effet immédiat du « filtre à cons » (« les meilleurs partent, les mauvais restent »).
Au niveau des méthodes
* Se perdre dans des méthodes inadaptées aux besoins et finalités de l'organisme
* S'approprier un système «clé en main» sans l'adapter à l'organisme (selon son effectif, sa culture, la nature de ses activités, ses compétences, ...).
* Tout traiter de front sans tenir compte des priorités (points les plus critiques de la vraie vie des projets) et sans viser des résultats visibles à très court terme.
Quelques retour d'expériences à suivre ?
Les normes sont faites pour s'adapter à tout type d'organisme. Et pas le contraire! Prenons un exemple :
Étape 1: un organisme produit des services en systèmes d'information de qualité (ses clients sont très satisfaits depuis des années et l'organisme tourne bien). Il s'appuie naturellement pour produire ses services sur un système « de couleur verte ». L'organisme souhaite faire reconnaître cette qualité.
Étape 2: Il décide de se faire certifier « bleu » (iso 9001). Il entreprend alors de faire rentrer son système dans la boite « iso 9001 ». Il triture son système, il pousse, rabote, ... et repeint tout en bleu.
Étape 3: il décide alors de se faire certifier aussi « rouge » (iso 20000-1). Il s'efforce alors de faire rentrer son système dans la boite « iso 20000 » sans pour autant le sortir de la boite bleu (sic). Il re-triture son système, il repousse, re-rabote, ... et repeint tout en rouge.
Conclusion : Les normes sont faites pour s'adapter à l'organisme. Il aurait suffit d'intégrer la norme bleu et la norme rouge pour faire une norme verte, puis, les normes étant adaptables à l'organisme, de triturer la norme verte pour qu'elle couvre au mieux le système de production (vert lui aussi, tiens ça tombe bien). Et de couvrir les manques.
Pour la mise en oeuvre d'un système de management de services en systèmes d'information, plusieurs cas de figure peuvent se présenter :
- Aucun système déjà mis en oeuvre dans l'organisme => saisir l'opportunité d'adopter une approche globale en s'appuyant pour la construction de son système de gestion des services sur un référentiel intégré de type iso 9001/ iso 20000/ iso 27001.
- Organisme ayant déjà mis en oeuvre un système de management qualité basé sur iso 9001 (certifié ou pas) => conserver le système mis en place en intégrant en cohérence dans le système les réponses plus spécifiques à la norme ISO 20000, dans une logique intégrée.
- Organisme ayant mis en oeuvre tout ou partie d'un système de gestion des services basé sur ITIL (seuls quelques processus formalisés) => après évaluation du niveau de conformité du système de gestion de services mis en place (audit), consolidation des éléments répondant au référentiel et mise en oeuvre des compléments de réponse en cohérence et dans le respect de l'existant.
Les retours d'expérience permettant une mise en oeuvre opérationnelle et pragmatique sont :
* Définir le besoin
* Rechercher l'application
* Evolution sans révolution
* Répartir l'organisation
* Donner priorité aux utilisateurs
* Travail en couches et non par thèmes
* Adopter une approche système