Gouvernance des SI et démarche qualité pour les organisations à taille humaine

Les dispositifs qualité s'avèrent de précieux outils pour répondre aux questions posées par la gouvernance des SI. Malgré un paysage très vaste, ces outils ne doivent pas rester l'apanage des grands groupes. La démarche peut-être extrêmement payante quelle que soit la taille de l'organisation.

ISO, ITIL, Cobit, CMMI, PCI, PMP, Six Sigma, TickIT, HAS, EFQM ... La liste est impressionnante, et a de quoi donner le mal de tête à n'importe quel directeur technique d'une entreprise à taille humaine.

 

Si l'on y ajoute une première estimation de coût pour la panoplie des outils complémentaires de BPM, PLM, SCM, EDI, GED et autres "avec cet outil le succès de votre organisation est assuré, vous ne le regretterez pas", la tentation est grande de remettre la réflexion sur la démarche qualité à plus tard.

 

Et pourtant...

 

Avant d'être un grand groupe international, d'avoir en place un  département "Gouvernance et Qualité" étoffé et un compte illimité chez McBest&Best, cabinet conseil possédant sa flotte d'expert en audit et en organisation, il faut réussir sa mutation et passer de jeune pousse prometteuse à entreprise de référence aux rouages  parfaitement huilés. C'est phase d'industrialisation est complexe, lente ... et particulièrement passionnante.

 

Les questions posées par la gouvernance des SI s'appliquent totalement aux entreprises à taille humaine :

-         mon SI est-il maîtrisé, et performant ?

-         répond-il réellement au besoin business de mon entreprise ?

-         respecte-t-il parfaitement les règlementations auxquelles je dois me conformer ?

 

Pour y répondre, l'ensemble des dispositifs reconnus (normes, certifications, recueil de meilleures pratiques...) s'avèrent des outils extrêmement précieux, et utilisables par tous.

 

Un bon niveau d'information général sur l'état de l'art est un prérequis.

Malgré une base souvent commune - amélioration continue, indicateurs de performance, mécanismes d'audit - ces outils obéissent chacun à des objectifs et à une logique propres.

 

Même en partant de zéro, cette phase d'information peut être plus rapide qu'il n'y paraît. Outre les formations et les pérégrinations sur la toile, des ouvrages permettent de gagner un temps certain. Ainsi, Management de la qualité pour la maîtrise du SI d'Alphonse Carlier, paru chez Broché, ou encore l'excellent Guide des certifications SI de Jacqueline Sidi, Martine Otter et Laurent Hanaud, paru chez Dunod, permettent d'obtenir en peu de temps une vision de base indispensable.

 

Sélection minutieuse et démarche d'implémentation personnalisable

 

La phase de sélection permettra de composer la boîte à outils la plus en adéquation avec les enjeux de l'entreprise. Afin d'effectuer les meilleurs choix, il est nécessaire de toujours garder en tête les objectifs prioritaires :

-         améliorer la productivité de l'entreprise ?

-         améliorer la politique sécurité ?

-         rassurer clients existants et/ou actionnaires ?

-         proposer un argument commercial différentiant pour l'obtention de nouveaux marchés ?

-         se conformer à une réglementation ?

 

Les dispositifs peuvent en effet s'avérer peu complémentaires entre eux, couvrir un scope très large tout en étant reconnus sur une zone plus restreinte, ou tout simplement traiter les mêmes problématiques avec différents angles de vue : processus, produit/service, ou bien encore fonction au sein de l'organisation.


De même, le besoin éventuel de faire certifier la démarche, l'attente de résultats à plus ou moins long terme ou la reconnaissance à l'international sont autant de critères - parmi d'autres - qui permettront d'affiner ce choix.

 

L'ITIL, par exemple, est aujourd'hui un standard de facto pour la gestion des services IT en France, après avoir converti les pays anglo-saxons depuis plusieurs années. Les préconisations relatives à la gestion de la sécurité sont cependant beaucoup moins reconnues, malgré un des huit livres de référence consacré au sujet.


De même, si la certification d'un service est souhaitée, il faudra se tourner vers des normes comme l'ISO 20000,  certes très fortement inspirée de l'ITIL, mais avec quelques particularités.

 

Outre les objectifs, un autre aspect à ne pas oublier est bien sûr la disponibilité des ressources. Rien de pire en effet que de se lancer dans un projet qui n'aboutit jamais. Des objectifs intermédiaires atteignables (et mesurables) permettent donc  de ne pas s'essouffler et de tirer rapidement les bénéfices d'une telle démarche.

 

Un autre exemple basé cette fois sur Cobit : s'attaquer en parallèle aux 34 processus avec un objectif de niveau de maturité 4 ou 5 est bien sûr disproportionné si aucun référentiel qualité n'est en place, et si une solide équipe dédiée n'est pas sur le long terme affectée au projet.

Il peut par contre être intéressant, une fois le fossé entre la cible et l'existant établi, de commencer pas à pas par les points faibles (les processus identifiés en niveau de maturité 0 ou 1) ou encore par quelques problématiques particulièrement stratégiques pour l'entreprise (gestion des données, niveaux de service, etc.)

 

Plus généralement, la mesure de l'écart entre le référentiel choisi et l'existant est une étape nécessaire avant de définir le plan projet et de débuter l'implémentation.

Ce premier audit doit être effectué par un oeil expert... et de préférence extérieur.

Les différents dispositifs étant censés reposer sur le bon sens et les meilleurs pratiques, il y a des chances que plusieurs comportements opérationnels soient déjà en ligne avec les préconisations.

 

En conclusion

 

Il n'y a pas de taille critique pour initier une politique de gouvernance reposant sur des référentiels qualité reconnus. Une implication générale à tous les niveaux de l'entreprise (de la direction générale aux utilisateurs) est cependant nécessaire dès les premières étapes afin d'anticiper au mieux l'inévitable gestion de la résistance au changement.

 

Garder en tête que les objectifs du SI sont toujours dirigés par les objectifs de l'entreprise permet de ne pas se perdre dans un rigorisme non adapté.

A l'inverse, une mise en place parcellaire peut également se révéler inefficace si des problématiques voisines censées s'imbriquer (la gestion des incidents et les mises en production,  les SLA clients et les SLA fournisseurs....) se retrouvent à des niveaux de maturité très différents.

 

Au final, le bon sens doit toujours rester la référence. Une fois les dispositifs les plus pertinents identifiés, la  négociation permanente sur l'exhaustivité et la profondeur de l'implémentation commence. Avec en toile de fond l'arbitrage entre coût de la démarche et maîtrise du SI.