Synthèse KLC (1ère partie)
Les référentiels des systèmes d’information

Au début juin, l'Office public britannique du commerce et le forum Forum francophone de la Gestion de Services Informatiques (itSMF) ont présenté La version 3 d'Itil (Information Technology Infrastructure Library), la bibliothèque de bonnes pratiques pour la gestion des systèmes d'information. C’est la première mise à jour d’ITIL depuis 10 ans. Cette version actualisée apporte des éléments sur la mise en oeuvre du référentiel des bonnes pratiques. ITIL V3 met l’accent sur le cycle de vie des services IT. Une qualité de service élevée et un apport du SI à la valeur ajoutée de l’entreprise devraient alors être des priorités des départements informatiques pour 2007. Itil, CMMI, CoBiT, eSCM... comment se situent ces différentes référentiels qui partagent l’objectif commun d’amélioration de la qualité de service ?

INTRODUCTION.


Qu’est-ce qui peut expliquer la floraison de normes et de référentiels que l’on constate depuis le milieu des années quatre-vingt-dix et plus encore depuis le tournant des années 2000 ? ITIL, CMMI, CObIT, et plus récemment eSCM essayent de monter à l’assaut d’un créneau jusque-là tenu par l’incontournable ISO 9001 ?

A partir de 1995, un tournant s’est opéré dans la vision des Services Informatiques: les constructeurs (à commencer par IBM) ont commencé à réaliser la majorité de leur chiffre d’affaires au travers de Services informatiques et non de vente de matériels. La vision « Service » rendu par un fournisseur à un client devient prédominante. Parallèlement, l’outsourcing informatique se développe fortement, avec une composante offshore opérationnelle, obligeant une meilleure formalisation des relations client / fournisseur.

Enfin, les grands projets An 2000 et Euro ont renforcé le besoin d’une approche guidée par le résultat, obtenu par des équipes mêlant client et prestataires. Alors timidement, de nouveaux référentiels, plus pragmatiques, sont apparus. C’est le cas d’ITIL, né en Grande Bretagne dont vient d’être annoncé la version 3.0. ITIL pose la question des services récurrents que doit fournir une DSI. Jusque-là la vision des opérations nécessaires au fonctionnement des systèmes applicatifs en production n’avait guère intéressé…

Mais avec la multiplication des systèmes répartis et l’importance prise par le poste de travail, un vrai besoin était né. Ce référentiel mettra dix ans à s’imposer, c’est le premier référentiel qui entraînera l’imposant renouvellement que nous constatons actuellement.

Ces référentiels répondent-ils aux attentes des Clients ? Sont-ils un gage de meilleur service ? Qu’en espèrent les Prestataires ? Ce sont les principales questions qui guident cette synthèse, sans oublier que tout modèle a ses limites, et que la mise en œuvre aura besoin d ’être soigneusement étudiée.



Le paysage général.


A l’image des normes existant dans la fabrication industrielle (qui permettent à un client d’avoir une évaluation de la qualité du produit qu’il achète, qualité mesurée par des indicateurs quantifiés) le monde de l’informatique cherche à normaliser depuis quelques décennies ses réalisations.

Les premières tentatives ont été de mieux cerner les méthodes permettant de programmer et de tester une application ; dans les années quatre-vingt, on a beaucoup entendu parler d ’Ateliers de Génie Logiciel, censés garantir la qualité de la fabrication des programmes. Cette approche, très utile pour les informaticiens, était cependant peu accessible à une maîtrise d’ouvrage. La décennie 90 a vu l’apparition et la domination sur le marché de la certification ISO 9000. Elle vise à certifier la qualité d’un système qui délivre un produit ou un service. Cette norme a notamment été déclinée pour les Services Informatiques, ce qui en a fait son succès, les prestataires se faisant certifier ISO 9001 (pour le développement d’applications) ou 9002 (pour leur maintenance).

Tout un ensemble de processus d’audit et de certification se met en place, particulièrement en France grâce au développement de l ’AFAQ, organisme maintenant fusionné avec l ’Afnor. Avantage de ce système, cela fait émerger des SSII qui forte de leur certification, peuvent participer avec légitimité à des appels d’offres, sans avoir une bonne réputation préalablement établie auprès des clients.

Parmi les inconvénients les plus cités du système, sa lourdeur de mise en place, qui élimine de fait les petites structures de la certification. Du côté des clients, peu mettront en œuvre en interne une démarche de certification pour leurs activités informatiques.

L’ISO 9000 promeut déjà une approche par les processus, mais reste centrée sur les processus de fabrication du logiciel, c’est-à-dire sur une vision orientée technique pour l ’informatique.

Après 1995, un tournant s’opère dans la vision des Services Informatiques: les constructeurs (tels IBM ou HP) commencent à réaliser la majorité de leur CA au travers de Services informatiques et non de vente de matériels. La vision « Service »rendu par un fournisseur à un client, devient prédominante.

Parallèlement, l’outsourcing informatique et sa composante offshore se développent fortement, obligeant une gestion rigoureuse des relations client /fournisseur. Alors timidement, de nouveaux référentiels, plus pragmatiques, apparaissent.



Un positionnement schématique des quatre grands référentiels actuels suivant deux axes très clairs.
(Positionnement que l’on devrait toujours garder à l’esprit.)

C’est le cas d ’ITIL, né en Grande Bretagne dans les années 95.
ITIL était nécessaire car il comblait le vide total de références dans le monde Exploitation. ITIL a mis en évidence de nouveaux types d’apports conceptuels qui sont :
- une approche pragmatique, par morceau, qui ne vise pas la vision exhaustive d’un Domaine de systèmes à couvrir,
- une prédilection pour « les bonnes pratiques » versus toute approche théorique, facile à comprendre
- une approche par les processus intégrant et même vu du client du processus, utilisateur des systèmes d’information.

Le second, c’est CMM (devenu CMMI), un des premiers modèles de « Maturité » : CMMI vise essentiellement le monde du développement logiciel, mais sans être uniquement inspiré par le modèle du développement spécifique d’applications.

Les modèles de maturité présentent une vision dynamique des processus d’une organisation. Des processus sont établis, et une boucle d’amélioration du système contrôlé (par exemple la réalisation de logiciel) est mise en place.

Tous ces modèles sont basés sur une évaluation initiale de la situation, qui permet à l’organisation concernée de se positionner sur une « échelle de capacité », notée en général de 1, état initial, à 5, niveau des processus optimisés. Théoriquement, ces modèles se mettent en place sur la base d’une auto-évaluation régulière, la boucle d’amélioration entraînant un cercle vertueux pour la qualité des processus et des produits.

Tirant les leçons de la lourdeur ISO, ces modèles de capacités, bien que décrivant l’ensemble des processus nécessaires à l’obtention du niveau maximal, n’en exigent pas la mise en œuvre exhaustive pour les premiers niveaux de l’échelle. Cela permet un lancement plus simple du projet de passage à ce référentiel. Ainsi avec eSCM, le niveau 2 nécessite la mise en place de XX processus, le niveau 3 devra mettre en œuvre YY processus (englobant les précédents). On le voit, ces approches sont basées sur une boucle d’amélioration interne et non pas sur une vision de certification obtenue une fois pour toutes grâce à l’intervention d’auditeurs externes.

Les fondements de tout référentiel

La dernière génération des référentiels, constituée de CObIT et eSCM, affirme résolument que le domaine des systèmes d’information n’est pas le domaine réservé des informaticiens.

Tant d’un point de vue opérationnel (par la gouvernance promue par CObIT) que d’un point de vue contractuel (par une vision client fournisseur), les dimensions non techniques que sont en particulier les processus de management doivent observer également des règles de « bonnes pratiques ».

Ces nouveaux référentiels visent tous à la satisfaction des clients (utilisateurs ou maîtres d’ouvrage) des systèmes d’information : le centre de gravité des processus décrits s’éloigne de la pure réalisation du logiciel.

Le développement et le fonctionnement des systèmes d’information sont donc vus maintenant comme une activité économique mature, qui contribue à la valeur que crée une entreprise.

________________
Demain : 2e partie
ITIL et CMMI : référentiels des services IT
CobiT et eSCM : la gouvernance en action

________________
Catherine Lelouarn est directeur associé à KLC qu’elle a rejoint en 1998. Elle intervient régulièrement sur le thème de la contractualisation interne des services informatiques et sur la structuration des relations métiers/informatique dans les entreprises.

_________________________________________________________________________________
KLC est une société de conseil avec une spécialité nettement affirmée : la rentabilité des SI. Depuis 14 ans, KLC réalise des missions de conseil opérationnel à la maîtrise d'ouvrage de grandes entreprises. Ses interlocuteurs sont aussi bien les directions générales et les directions utilisatrices que les DSI (ou "CIO").
KLC conduit des missions courtes et productives qui ont toujours pour objectif d'améliorer, de faire évoluer, de standardiser… et, en fait, de "rentabiliser" les SI de l'entreprise.
Ces missions s'articulent autour de trois domaines interdépendants :
- L'organisation des maîtrises d’ouvrage utilisateurs, des DSI, et de leurs relations avec les prestataires externes.
- Le management de grands projets informatiques.
- L'externalisation de fonctions standard et récurrentes (après arbitrage entre faire ou faire faire).