Synthèse KLC
Les référentiels des SI (2e partie)

ITIL ET CMMI, REFERENTIELS DES SERVICES INFORMATIQUES


Avec ITIL, la DSI devient « Contributeur de création de valeur pour l’entreprise »
Élaboré en Grande-Bretagne, ITIL (Information Technology Infrastructure Library) propose une démarche visant à industrialiser les prestations rendues par la DSI. ITIL émerge comme un standard de facto en matière de gestion des services IT. ITIL est une collection de livres qui recense, synthétise et détaille les meilleures pratiques dans la fourniture de services informatiques.

Objectifs :
- Adapter les services IT aux besoins actuels et futurs (entreprise et clients),
- Améliorer la qualité des services IT fournis,
- Permettre la maîtrise des coûts de fourniture des services IT à long terme.

Le référentiel ITIL, méthode publique, prône une démarche d’amélioration itérative des processus composant les services IT par :
- Définition des processus et de leurs interactions
- Amélioration de la communication aux niveaux opérationnel, tactique et stratégique entre le SI et l’entreprise
- Rôle central du Service Desk, unique point de contact SI -Utilisateurs
- Contrôle précis des résultats obtenus (reporting, KPI, respect des SLA)
- Définition des rôles et responsabilités

Parmi les domaines abordés par ITIL, on retrouve les principales activités de service d’exploitation, mais également certaines problématiques traitées par les départements Etudes, telle la gestion des changements. Le cœur de la méthode est soutenu par les domaines Service Delivery et Service Support.

Un des schémas de base de l’ITIL (©ITIL)


Le Service Support identifie 5 processus et une fonction essentielle dans la mise en œuvre d’ITIL, le Service Desk ou Centre de Services, principale interface entre la DSI et les utilisateurs. Le Service Support effectue les opérations quotidiennes pour maintenir et améliorer la qualité des services rendus aux utilisateurs.

Le Service Delivery propose aussi 5 processus dont le processus majeur est Service Level Management. Il effectue le suivi des contrats de services passés avec les utilisateurs et gère toutes les actions relatives aux problématiques globales (tous les contrats de service)et transversales (toutes les équipes techniques de la production informatique).

Points forts et limites

L’ITIL donne des recommandations sur les processus, en identifie les avantages et les points bloquants mais ce n’est qu’un référentiel et non une méthodologie. Il décrit une cible et non la trajectoire pour l’atteindre. L’ITIL est une approche générale des meilleures pratiques informatiques qui s’impose de plus en plus comme la référence pour la norme BS 15 000.

Détails du Service support

Configuration management
La gestion de configuration est utilisée pour assurer le contrôle de tous les composants de l’infrastructure informatique, y compris la documentation.

Change management
Processus permettant de conduire rapidement et efficacement tous les changements. La demande se fait à travers des RFC (Request For Change). Ces RFC sont passés en revue par le CAB (ChangeAdvisory Board), comité consultatif chargé d’évaluer le risque et l’impact de ces changements.

Release management
Processus visant à coordonner l’ensemble des activités liées au stockage, à la gestion, à la distribution et à la mise en place de tous les composants logiciels du système d’information. Il garantit que les versions autorisées et testées des logiciels sont effectivement mises en production, et constitue un référentiel des logiciels autorisés.

Service desk
C’est le point de contact, au quotidien, entre les utilisateurs et le département informatique. Il est responsable du traitement de toutes les attentes des utilisateurs, que celles-ci soient de simples demandes ou occasionnées par des dysfonctionnements du SI (signalés par des appels utilisateurs ou par des remontées d’alarmes automatiques). Le Service Desk est responsable de l’application des processus de résolution des incidents.

Incident management
Décrit les activités afin de restaurer, aussi rapidement que possible, le service normal, et de réduire, au minimum, l’effet négatif du dysfonctionnement.

Problem management
Optimise le niveau de service en analysant les causes réelles des dysfonctionnements et en y apportant des solutions correctives durables.


Le CMMI ou Capability Maturity Model integrated
Référentiel de bonnes pratiques à mettre en œuvre dans l’entreprise qui s’applique historiquement sur le Développement logiciel et depuis 2002 sur l’intégration de systèmes, l’acquisition de logiciel et IPPD (Integrated Product and Process Development). Successeur du référentiel CMM, créé en 1991, il a été développé par le SEI (Software Engineering Institute), centre de recherche et de développement sponsorisé par le DOD (Département de la défense américaine), afin d’aider d’autres organisations à améliorer leur capacité en génie logiciel notamment en agissant sur les processus.

Le référentiel CMMI s’articule autour de 25 secteurs-clés, auxquels sont associés des objectifs et des pratiques. On distingue des objectifs génériques et des objectifs spécifiques, selon qu’ils sont partagés par tous les secteurs-clés ou qu’ils sont spécifiques à un secteur en particulier. Idem pour les pratiques. Le CMMI permet deux types de représentations.

La représentation continue
La représentation continue détermine un niveau de capacité pour chaque secteur clé sur une échelle allant de 0 à 5. Ces secteurs-clés sont regroupés en 4 catégories : Gestion de processus, Gestion de projet, Ingénierie et Support. La représentation continue exprime le profil d’une organisation. Tous les secteurs-clés n’atteignent pas forcément le même niveau, ce qui permet de déceler les points forts et les points faibles de l’organisation.

La représentation étagée
La représentation étagée identifie un niveau global de maturité de l’organisation. En effet, le CMMI s’appuie sur la maîtrise de pratiques clefs de l’entreprise pour classer en 5 niveaux de maturité les organisations. Le niveau de maturité de l’organisation va être déterminé en examinant quels sont les secteurs-clés dont les objectifs sont remplis. Tant que les secteurs-clés d’un même niveau ne sont pas validés, l’organisation reste au niveau de maturité initial. Une fois atteint un niveau, elle y restera tant qu’elle n’aura pas validé tous les secteurs-clés du niveau supérieur, et ainsi de suite jusqu’au niveau 5. Cette représentation donne donc une marche à suivre pour l’amélioration des processus, en imposant un ordre dans la réalisation des objectifs.

Le niveau de maturité 1 étant le niveau par défaut de toute organisation, le niveau 3 est le niveau moyen généralement visé. Il correspond à la mise en place d’une gestion de projet standardisée. Une entreprise peut décider d’évaluer son niveau de capacité ou de maturité en faisant appel à «évaluateur » certifié SEI.

Le référentiel CMMI permet une remise en cause de chaque pratique de l’entreprise et vise une amélioration des estimations de délais et coûts, de la productivité, de la qualité. Mais le CMMI est un modèle et non une méthodologie. Le CMMI décrit cependant une méthode de mise en place qui passe par une démarche d’amélioration en 5 étapes : Initialisation, Diagnostic, Construction, Réalisation, Capitalisation.

Les deux premières étapes reposent sur une méthode d’évaluation. Une fois, l’entreprise évaluée, la méthode d’amélioration est laissée à la discrétion de l’entreprise.

Son champ d’action n’est pas non plus la qualité du produit fini. Seuls les procédés sont concernés. Le postulat est que l’entreprise a plus de chances de concevoir un logiciel de qualité si le processus pour le fabriquer est de qualité.

La structure du référentiel CMMI (©SEI)


Les niveaux de maturité (©SEI)

* *
*

CobiT et eSCM, la gouvernance en action

CobiT
Le besoin d’assurance sur la valeur et les risques des SI, ainsi que les demandes de contrôles de l’information deviennent des éléments clé de la gouvernance d’entreprise.

Le CobiT (Control Objectives for Information and related Technology ) fournit un ensemble de bonnes pratiques au travers d’un modèle comprenant des domaines, des processus et des pratiques. CobiT propose également des guides pour gérer et auditer son SI (par exemple il existe un guide sur la prise en compte des contraintes Sarbane-Oxley).

Ces pratiques, très orientées sur les processus de l’entreprise et non sur les processus techniques de réalisation d’opérations informatiques, sont des aides pour optimiser les investissements soutenus par l’informatique, contrôler le service fourni et disposer d’une méthode de mesure pour l’auto-évaluation d’une organisation.

Les activités du SI sont définies dans un modèle constitué de 4 domaines :
- Planification et organisation (PO)
- Acquisition et implémentation (AI)
- Fournir et Soutenir (Deliver and Support – DS)
- Mesurer et Evaluer (ME)

Pour chaque processus, le CobiT donne un objectif de contrôle, l’objectif métier devant être atteint grâce à ce processus du SI , une liste des objectifs du SI liés, les contrôles clefs nécessaires ainsi que des indicateurs clefs associés.

Les quatre domaines de CObIT (©ISACF)


CObIT : objectifs, facteurs et indicateurs (©ISACF)


Les processus par domaine


Les indicateurs sont soit des KPI (Key Performance Indicators) mesurant la réalisation des activités, soit des KGI (Key Goal Indicators) mesurant l’atteinte des objectifs du processus et du SI. Le CobiT comprend un modèle de maturité, inspiré de celui du CMMI, permettant d’évaluer son organisation et de se « benchmarker »aux autres. Ce modèle permet de noter chacun des processus du CobiT sur une échelle de 0 (non-existant) à 5 (optimisé) et ensuite de dresser un profil de maturité de l’organisation.

eSCM e-Sourcing Capability Model Dernier né des référentiels, eSCM se veut le référentiel par excellence de la relation d’infogérance, plus exactement de la relation d’eSourcing

« eSourcing » pour IT-enabled sourcing :
L’externalisation supportée par la IT et qui couvre également des domaines tels que la comptabilité ou les ressources humaines.

Fruit des travaux menés à l’Université de Carnegie Mellon par l ’ITsqc, un consortium d’universitaires,de prestataires de services (EDS,IBM,Satyam …) et d’entreprises clientes (Boeing, L’Oréal …), c’est un référentiel de bonnes pratiques axé sur la gouvernance d’une relation Client /Fournisseur. Il permet de mesurer la capacité d’un organisme à fournir ou à acheter et piloter des prestations d ’infogérance sur une échelle de cinq niveaux.

Les bonnes pratiques se structurent autour des concepts de la « phase »de la relation d’infogérance et des « domaines de compétence » mis en œuvre.

Les activités couvertes par eSCM
Le référentiel se compose de deux parties :
- eSCM-SP (Service Provider) couvre les activités d’un organisme prestataire :
Cette partie est disponible (version 2) depuis 2004.Elle contient 84 bonnes pratiques et traite à la fois de la qualité des prestations fournies à un client donné et de la performance globale du Prestataire sur l’ensemble de son activité.

- eSCM-CL (Client) couvre les activités d’un organisme client de prestations d’externalisation et qui en cours d’élaboration (deux documents préparatoires ont été publiés en novembre et février dernier). La première version des bonnes pratiques pour le Client (au nombre d’une centaine) devrait être publiée prochainement ; elle couvrira les problématiques client de l’infogérance telles que la stratégie d ’externalisation, la sélection du fournisseur et la bonne gouvernance du contrat.

eSCM définit 4 phases dans le cycle de vie de l’infogérance, ainsi qu’un ensemble d’activités transverses correspondant aux activités de gouvernance (« Ongoing »).

Les quatre phases sont :
L’analyse préalable
(« Analysis », phase identifiée seulement dans le référentiel Client),
La mise en place des prestations (« Initiation»),
La fourniture des services (« Delivery »)
La terminaison du contrat (« Completion »).

Cette notion de phase est en elle-même un grand apport d’eSCM. Pour la 1ère fois, un référentiel couvre tout le cycle de l’infogérance, en passant par ces étapes sensibles que sont le démarrage et la réversibilité et qui posent problème à plus d’un Client ou Prestataire.

Puis, par phase, eSCM définit des domaines d’activités auxquels sont associées des « bonnes pratiques ». La mise en œuvre des bonnes pratiques, définies pour un niveau de capacité (niveau de 1 à 5, comme les autres modèles), permet d’affecter un niveau de capacité global. Des évaluations officielles et des certifications sont possibles, encadrées de très près par l ’ITscq qui est seul habilité à autoriser les entreprises et les individus évaluateurs.

Structure du référentiel, et principaux concepts (©ITsqc)
Les 84 bonnes pratiques sont organisées en 3 axes :
- contrat,
- compétences,
- niveau de capacité.



________________
Demain : 3e partie
La mise en oeuvre des référentiels

________________
Catherine Lelouarn est directeur associé à KLC qu’elle a rejoint en 1998. Elle intervient régulièrement sur le thème de la contractualisation interne des services informatiques et sur la structuration des relations métiers/informatique dans les entreprises.

_________________________________________________________________________________
KLC est une société de conseil avec une spécialité nettement affirmée : la rentabilité des SI. Depuis 14 ans, KLC réalise des missions de conseil opérationnel à la maîtrise d'ouvrage de grandes entreprises. Ses interlocuteurs sont aussi bien les directions générales et les directions utilisatrices que les DSI (ou "CIO"). KLC conduit des missions courtes et productives qui ont toujours pour objectif d'améliorer, de faire évoluer, de standardiser… et, en fait, de "rentabiliser" les SI de l'entreprise. Ces missions s'articulent autour de trois domaines interdépendants : - L'organisation des maîtrises d’ouvrage utilisateurs, des DSI, et de leurs relations avec les prestataires externes. - Le management de grands projets informatiques. - L'externalisation de fonctions standard et récurrentes (après arbitrage entre faire ou faire faire).