Systèmes intégrés de gestion des services en SI : comment s'y retrouver ?
De quels outils se doter pour assurer une bonne gouvernance des systèmes d'information ? Voici des retours d'expérience pour améliorer en permanence la gestion de ses services.
Dans les méandres des certifications, normes, recueil de bonnes pratiques, on en vient parfois à perdre l'esprit. L'esprit, c'est une « bonne gouvernance des systèmes d'information (c'est-à-dire un alignement des systèmes d'information sur les objectifs stratégiques de l'organisme).
Amélioration continue, système de management et outils appliqués à la lettre sont souvent destructeurs. C'est pourquoi il est nécessaire d'en comprendre l'esprit (fonctionnement global, le système, les principes essentiels) et de ne pas les suivre à la lettre (mot à mot, exigence par exigence).
Gardons à l'esprit que :
- donner du sens, de la transparence et suivre le bon sens pratico-pratique plutôt que les conseils de tels ou tels experts ;
- ce qui n'est pas évalué et mesuré ne peut pas être convenablement déployé et piloté ;
- quand on cherche la « conformité » à une norme, se pose-t-on réellement la question de la réussite des projets et de l'organisme ? Ou cherche-t-on simplement un label vendeur, un parapluie en cas de problème, un atout purement marketing ?
Il est pour nous fondamental de s'approprier l'esprit d'un système de management intégré de gestion de services avant de rentrer dans la façon de construire ce système.
Le Plan-Do-Check-Act (PDCA), plus communément appelé « amélioration continue » est un cycle en 4 étapes complémentaires les unes des autres [Planifier, Déployer (réaliser, faire), Évaluer (mesurer), Améliorer] qui, rebouclant sur lui même, permet de garantir l'efficacité d'une démarche d'amélioration continue dans l'organisme.
Le principe du système de management
Tout organisme, pour être performant, se doit de répondre à des objectifs de résultats et de moyens. Le cycle PDCA s'applique parfaitement à ce double objectif et place le fonctionnement de l'organisme dans une logique de système (système de management = système de gestion).
Mais qu'est-ce qu'un système ? C'est une combinaison ordonnée d'éléments réunis de manière à former un ensemble cohérent servant un but déterminé (ici la gestion des services en systèmes d'information).
Et le système de management ? C'est un ensemble de processus mis en place dans un organisme qui en permet le pilotage, le suivi de l'atteinte des objectifs fixés et l'amélioration continue. Les normes ISO 9001, 14001, 20000-1, 27001... sont des normes de niveau système.
L'intégration s'opère au niveau du système et s'appuie donc sur des normes de niveau système.
L'intégration la plus connue concerne les systèmes de management de la Qualité (ISO 9001), la santé et la sécurité au travail (Ohsas 18001) et de l'Environnement (ISO 14001) appelé système QSE.
Pour la gestion de services en système d'information, l'intégration la plus utile concerne les système de management de la qualité (ISO 9001), des services informatiques (ISO 20000-1) et la sécurité des systèmes d'information (ISO 27001).
L'intégration possède plusieurs avantages :
- gains significatifs de productivité avec la gestion des différentes facettes du management de l'organisme ;
- optimisation des ressources avec la mise en oeuvre de pratiques communes et partagées ;
- principe de cohérence (vision d'ensemble) ;
- réduction du risque de contradiction dans le pilotage de l'organisme.
Mais ne pas perdre de vue l'essentiel, à savoir :
- la stratégie et les orientations et objectifs visés ;
- la constitution d'un référentiel unique de 1er niveau (sans entrer dans le détail de chaque mot) combinant les exigences des différentes normes (une analyse préalable de correspondance des différentes normes est nécessaire) ;
- faire ce qui sert l'opérationnel, l'organisme et les projets (sans chercher le 100% respects de 100% des exigences de 100% des référentiels visés) et améliorer progressivement.
« Mes services et mon organisation sont différents des autres », « je suis particulier », « j'ai une grande expérience et je n'ai pas grand chose à apprendre des autres »... C'est pourquoi les normes et les recueils de bonnes pratiques ont été élaborés. En fédérant l'expérience et l'expertise d'experts comme vous, de tous les sachants... de la planète !
S'il y a, il est vrai, profusion de norme, c'est beaucoup plus clair et plus facile de produire des services de qualité que par le passé.
« Les normes et recueil de bonnes pratiques sont inapplicables, trop complexes », « elles conduisent à des usines à gaz »... C'est pourquoi il est nécessaire d'en comprendre l'esprit.
Les différentes normes s'appliquent à des domaines distincts et sur des périmètres divers : développement logiciel, services de production informatique, audit, gestion globale du système d'information, sécurité... :
* Gouvernance et pilotage : Cobit...
* Développement : CMMi...
* Production : Itil, ISO 20000...
* Processus transverses : RH (people CMM, iso 17024...), sécurité (ISO 17799, ISO 27001...), santé / sécurité (Ohsas 18001...)
* Management de projet (ISO 10006, PMbok, ...)
* Socle : ISO 9001, 6-sigma, EFQM...
* Les normes de niveau système de management (ISO 9001, ISO 20000, ISO 27001)
* Cobit, Control Objectives for information and Related technologies (développé en 1996)
* CMMi, Capability Maturity Model Integrated
Ensemble de bonnes pratiques permettant d'évaluer le degré de maturité
* ITIL, IT Infrastructure Library (20 ans d'existence et d'expérience),
référentiel des meilleures pratiques de la gestion des services informatiques
* Six Sigma : discipline d'analyse basée sur des faits vérifiables statistiquement pour améliorer les processus clés de l'organisme.
Il existe 2 types de normes, référentiels, guides, recueils...
* Les normes d'exigences (ex iso 9001 pour la qualité, iso 20000-1 pour la gestion des services, iso 27001 pour la sécurité des systèmes d'information, ...) : fixent des règles à respecter sur un certain nombre de thèmes propres à la norme dans une logique systémique (cf. ci-avant § système et § système de management)
* Les normes de recommandations, guide de bonnes pratiques, .... (ex: iso 9004 pour la qualité, iso 20000-2 ou ITIL pour la gestion des services, iso 17799 pour la sécurité des systèmes d'information, ...) : proposent une ou plusieurs manières de faire (catalogue, recueil, ...), ou encore des retours d'expérience sur la mise en place de process qui vont permettre de répondre aux exigences des normes d'exigences prises en référence par l'organisme.
Les normes d'exigences et les recueil de pratiques sont très complémentaires.
Plusieurs normes de niveau système de management peuvent servir de base à la gestion de services en systèmes d'information :
* ISO 9001 (créée en 1987) est une norme (structurée selon le PDCA) qui définit des règles standard à respecter pour tout organisme souhaitant fournir ses produits et ses services de qualité. C'est à dire un organisme s'appuyant sur un système de management qualité qui peut répondre aux exigences de ses clients et s'inscrire dans une démarche d'amélioration opérationnelle permanente. Jugée trop généraliste, elle est souvent délaissée. A tord. Car elle donne le cadre système idéal (les bases, comme la farine dans un gâteau. Quel que soit le gâteau., on utilise la farine comme ingrédient de base, même si ce sont les autres ingrédients qui caractérisent chaque gâteau)
* ISO 20000-1 est une norme qui définit des règles standard à respecter pour tout organisme fournissant des services et souhaitant atteindre un excellent niveau de maîtrise de ses activités en vue de satisfaire ses clients.
* ISO 27001 est une norme qui définit des règles standard en matière de sécurité (confidentialité, intégrité, disponibilité) des systèmes d'information à respecter pour tout organisme souhaitant en garantir la maîtrise dans la réalisation de ses activités en réponse à ses propres exigences internes ou à celles de ses clients.
Les exigences d'une norme sont regroupées thématiquement dans différents chapitres et formulées de façon ouverte pour éviter une uniformisation inadéquate des pratiques (la norme est faite pour s'adapter au contexte de l'organisme et pas le contraire!).
En effet, chaque organisme se doit de définir et mettre en place dans son environnement et en cohérence avec son organisation sa propre réponse à chacune des exigences de la norme.