Category Archives: ISO/IEC 20000

Gestion des services : la révolution en marche

Dans une époque de changement qui semble annoncer la fin de l’ancien monde et l’avènement d’un nouveau, la gestion des services TI suit la tendance. Il semble en effet que le changement ce soit maintenant. Les principaux cadres de bonnes pratiques et les normes ITSM viennent d’évoluer tous en même temps ces derniers mois. Le résultat, après un grand débat entre les experts mondiaux du domaine est clair. Le changement est assez radical mais tous vont plus ou moins dans le même sens. Pour les plus conservateurs, il reste possible de limiter la gestion de services aux frontières de l’informatique. Bien sûr il existe toujours également une frange d’insoumis aux référentiels et cadres de bonnes pratiques. Mais pour ceux qui ont compris que le monde est global et que l’entreprise doit être agile et ne peut pas survivre avec des silos, alors, en ITSM, la révolution est en marche! 

Gestion des services TI : la révolution ITSM en marche (COBIT 2019, ITIL 4, VerISM, ISO 20000)
Crédit © rawpixel 2019

Fin février, AXELOS a publié le modèle de base de la nouvelle version d’ITIL sous le titre « ITIL 4 Foundation ». J’ai d’ailleurs écrit mon article précédent sur le contenu de cette publication : ITIL saison 4 – La renaissance longtemps attendue.

Fin d’année dernière, la nouvelle version de l’ISO / CEI 20000-1 a été publiée. En novembre 2018, l’ISACA a également publié la nouvelle version de son cadre de référence de la gouvernance et du management de l’information et des technologies, COBIT 2019. Quelques semaines avant, le niveau professionnel de VeriSM avait également vu le jour. CMMI-SVC a également été publié à son niveau 2.0. Cependant, CMMI-SVC n’étant pas librement disponible, je ne pourrai donc pas vous en parler …

Après une lecture approfondie de chacun et même, pour certain une implication dans leur mise à jour, j’éprouve le sentiment que tous les cadres de gestion des services commencent à se ressembler. Bien sûr c’est compréhensible car il y a le besoin ressenti de s’adapter au monde actuel. Mais, il y a plus. Ils se ressemblent de plus en plus dans architecture même. Peut-être alors serait-il opportun de les fusionner tous ensemble? Cela permettrait d’avoir un seul cadre de gestion des services pour les gouverner tous. C’est d’ailleurs l’ambition affichée par l’ISACA avec COBIT 2019.

Je vais donc décrire les aspects des différents cadres de gestion de services actuels qui me semblent étrangement similaires.

C’est un système avant tout

ISO 20000-1:2018

ISO / IEC 20000-1 définit son cadre comme un système de management de service (SMS) depuis de nombreuses années. Il est défini comme « un système de management permettant de diriger et de contrôler les activités de gestion de services de l’organisation. »

Note 1 à l’article: « Un SMS comprend les règles de gestion de services, les objectifs, les plans, les processus, les informations documentées et les ressources requises pour la planification, la conception, la transition, la fourniture et l’amélioration des services pour répondre aux exigences spécifiées dans ISO / IEC 20000-1. « 

ITIL 4

ITIL 4 est désormais livré avec un système de valeur de service (SVS), défini comme « un modèle représentant la manière dont tous les composants et activités d’une organisation travaillent ensemble pour faciliter la création de valeur ». (la valeur étant l’objectif de fournir un service). Cela ressemble beaucoup au SMS exigé par la norme ISO/IEC 20000-1.

COBIT 2019

COBIT 2019, pour sa part, fournit une cascade d’objectifs partant des besoins de parties prenantes. Ces besoins se déclinent en objectifs d’alignement. Finalement ils se cascadent en objectifs de gouvernance et de management de l’information et des technologies. Tout cela a pour but de satisfaire l’exigence de valeur (bénéfices-risques-ressources) des paries-prenantes grâce à des services de gestion de l’information et des TI. 7 composants (processus, politiques et procédures, information, structures organisationnelles, culture, éthique et comportement, application, infrastructures et services et enfin personnes, connaissances et compétences) soutiennent désormais chaque objectif.

Différences ou similarités?

Y a-t-il une différence? Pas vraiment. Le message commun est le même. Vous avez besoin d’un ensemble complexe d’activités, de processus, de structures organisationnelles, de politiques, etc. qui fonctionnent bien ensemble pour fournir un service. Et l’objectif de ce service est de créer de la valeur pour les parties prenantes de l’organisation. Au premier rang de ces parties prenantes figurent les actionnaires et propriétaires de l’organisation.

Exit les processus dans le nouveau monde

Les processus ne sont plus très en vogue ces temps ci. Il faut bien reconnaître que beaucoup de gens ne comprenaient pas bien ce qu’étaient les processus. Du coup on a assisté à une dérive de l’utilisation des processus au détriment de leurs raisons d’être.  Les processus devenaient LA raison d’être du cadre mis en oeuvre, conduisant à des aberrations flagrantes. Je vous invite à relire mes articles Les changements à l’heure de DevOps ainsi que les trois articles relatifs à l’utilisation catastrophique d’ITIL dans beaucoup d’organisations : ITIL – Les raisons d’échec dans votre organisation, ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

Exigences dans ISO 20000-1:2018

ISO / IEC 20000-1, dans la clause 8, fait référence aux exigences relatives aux opérations du système de management. Et chacun reconnaîtra dans ces exigences les processus de gestion de service habituels. Il s’agit simplement d’exigences qui sont logiquement organisées en fonction des domaines d’activité. Ainsi chacun peut définir ses processus à sa guise et les appeler comme il le souhaite. La seule obligation est alors de respecter les exigences.

Pratiques dans ITIL 4

ITIL 4 s’est écarté des 26 processus dans la version 2011 et compte maintenant 34 pratiques de gestion. Ces pratiques incluent désormais les méthodes générales, les procédures de service et les pratiques techniques. Une pratique est explicitement plus qu’un simple processus. C’est « un ensemble de ressources organisationnelles conçues pour accomplir un travail ou réaliser un objectif ». Ce que sont exactement ces ressources (à l’exception des personnes) reste inexpliqué. Mais c’est là que COBIT 2019 vient à la rescousse.

Maillage de gestion dans VeriSM

VeriSM définit un maillage de gestion qui remplit une fonction similaire et comporte des composants similaires: ressources, technologies émergentes, pratiques de gestion et environnement.

L’idée directrice du modèle VeriSM est de construire un modèle d’opération couvrant 4 groupes d’activités en s’appuyant et en mixant intelligemment l’utilisation de pratiques et de facilitateurs issus des 4 pôles du « management maillé » :

  • L’environnement : les éléments « stabilisateurs » (processus, métriques, outillages), les concurrents, la culture, les contraintes légales, etc.
  • Les ressources : équipes, budgets, actifs, connaissance, temps, etc.
  • Les pratiques de management : ITIL / COBIT / CMMI / IT4IT, ISO/CEI 20000, ISO/CEI 27000, DevOps, agilité, lean management, PPM, SIAM, etc.
  • Les technologies émergentes : cloud, containers, IoT, big data, automation, dont certaines ne sont plus forcément émergentes mais désormais intégrées dans la fourniture de services.

Pour chaque produit, ces domaines sont pris en considération et interagissent.

Objectifs de gouvernance des TI dans COBIT 2019

COBIT 2019 définit 40 objectifs de gouvernance et de gestion, qui ressemblent à des processus de COBIT 5. Mais au final, cela va bien au delà des 40 processus. Chaque objectif est atteint grâce à l’exécution d’un processus qui le soutient. Mais il est nécessaire pour atteindre chaque objectif de s’appuyer sur 6 autres composants qui viennent « aider » le processus. Les  « objectifs » de COBIT 2019 ressemblent ainsi davantage aux pratiques d’ITIL 4. COBIT est très explicite sur ce qui constitue ses objectifs. D’ailleurs les composants qui soutiennent les objectifs existaient déjà dans COBIT 5 sous le terme de facilitateurs (« enablers »). On les appelle désormais les sept composants: processus, structures organisationnelles, flux et éléments d’information, personnes, aptitudes et compétences, culture et comportement, politiques et procédures, services, infrastructure et applications. Et c’est exactement ce dont vous avez besoin dans un SMS (ou SVS, si vous voulez).

Le modèle central

Tous les cadres de management et de gouvernance des services s’architecturent autour d’un modèle central (« Core Model »). Cela ne fait que renforcer leurs similarités.

COBIT 2019

COBIT a vraiment été le premier cadre permettant de distinguer gouvernance et gestion des services TI. L’ISACA a adopté l’ISO/IEC 38500 (Gouvernance des TI) dans son modèle et continue de le faire dans sa version 2019. En dehors de cela, le modèle comprend 40 objectifs, qui sont très similaires aux pratiques de ITIL 4.

Dans la version précédente, COBIT 5 s’appuyait sur la norme ISO 15504 qui permettait d’évaluer l’aptitude des processus à créer de la valeur. Mais à quoi sert d’avoir des processus très performants pour la création de valeur s’ils sont mal ou pas utilisés? Dans COBIT 2019, l’ISACA abandonne ce système pour se rapprocher du modèle CMMI qui combine aptitude et maturité. Si les processus sont aptes et que l’organisation est mature alors la création de valeur sera au rendez-vous. COBIT se rapproche donc également de la nouvelle version CMMI-SVC 2.0. Il faut dire que depuis deux ans CMMI appartient désormais à l’ISACA…

ISO 20000-1:2018

Même si c’est le même sous-comité (ISO / IEC JTC1 / SC40) qui développe ISO / IEC 38500 et ISO / IEC 20000, ISO / IEC 20000-1 reste délibérément à l’écart de la gouvernance. C’est une décision voulue de séparer clairement les travaux des deux groupes de travail et de ne pas créer de chevauchement entre les normes. Cela dit, il est évident que les deux normes interagissent. Il vous suffit alors de définir une interface claire entre gouvernance et gestion. En termes de phases des activités de gestion de service, ISO/IEC 20000-1 utilise la séquence planification (Plan), mise en œuvre (Do), maintenance (Check) et amélioration continue (Act).

VeriSM

VeriSM a franchi une étape supplémentaire en définissant un modèle qui commence par la gouvernance (également basé sur ISO/IEC 38500), puis se dirige vers les pratiques de gestion de service via les principes de gestion de service. Ces principes traduisent les conseils reçus de la Gouvernance en pratiques permettant d’orienter les pratiques de gestion des services (elles-mêmes construites à l’aide du maillage de gestion). C’est l’organisation elle-même qui définit ses principes. Les pratiques de gestion des services passent par les phases suivantes: définir, produire, fournir, répondre. On reconnaît là encore le cycle d’amélioration continue décrit dans le PDCA.

ITIL 4

ITIL 4 fait quelque chose de très similaire à VeriSM, mais place ses principes directeurs ITIL (principes définis, contrairement à ceux de VeriSM) avant ceux de gouvernance, ce qui implique que ces principes s’appliquent non seulement à la gestion des services, mais également à la gouvernance dans son ensemble). Les phases ITIL 4 (dans leur chaîne de valeur de service) sont nommées différemment. Mais elles sont similaires à ISO/IEC 20000-1 et à VeriSM. On retrouve planification, engagement, conception et transition, obtention / création, fourniture et support, amélioration.

Adaptation à Lean, Agile, DevOps

Tout le monde veut être Lean, Agile et faire du DevOps ces derniers temps. On critique souvent les cadres de gestion de services classiques. On leur reproche d’être trop normatifs, rigides et lents pour pouvoir être combinés avec ces méthodes modernes. Ce n’est d’ailleurs pas que Lean ou Agile soient très modernes. Lean trouve son origine quelque part vers le milieu du 20e siècle. L’Agile a pour sa part été défini, sur la base des principes Lean, en 2001. Mais c’est la grande mode du moment. Il n’est pas non plus impossible de combiner l’ITSM classique avec les principes Lean et Agile. Il vous suffit seulement de mettre en œuvre vos pratiques ITSM en conséquence.

VeriSM

Quoi qu’il en soit, VeriSM a été le premier à supprimer ouvertement le caractère prescriptif perçu de la gestion des services et a proposé le maillage de gestion décrit ci-dessus. Vous utilisez toutes les ressources, technologies émergentes, pratiques de gestion (c’est là que Lean, Agile et DevOps entrent en jeu), dans n’importe quel environnement dont vous avez besoin en fonction du type de service que vous souhaitez fournir. Ainsi, si vous développez vos services logiciels en vous basant sur les pratiques de DevOps, vous pouvez utiliser VeriSM pour gérer le service. Si vous hébergez une application Internet Banking et souhaitez un contrôle strict des modifications, vous pouvez également le faire avec VeriSM. Cela introduit une flexibilité pratiquement infinie dans la manière dont les organisations peuvent mettre en œuvre leurs pratiques de gestion des services.

ITIL 4

Comme mentionné précédemment, ITIL 4 utilise maintenant des pratiques au lieu de processus. Cela constitue clairement un pas en avant. Le passage aux pratiques offre la même souplesse de mise en oeuvre de la gestion des services que ce que VeriSM avait proposé auparavant. Vous choisissez votre méthode de gestion des services en fonction du service que vous fournissez, tout en prenant appui sur ITIL 4. Notez que les auteurs sont très clairs sur le fait qu’ITIL 4 ne fournit que des lignes directrices. Les meilleures pratiques n’existent plus que dans l’esprit des responsables marketing d’Axelos.

COBIT 2019

De toute évidence, COBIT 2019 reste non normatif. Ses composants peuvent être configurés de sorte que vos services utilisent la méthodologie dont vous avez besoin.

Soutenir la transformation numérique

VeriSM

VeriSM était vraiment le premier framework qui expliquait explicitement que la gestion des services devait être mise à niveau pour prendre en charge la transformation numérique actuelle, où tous les services ont un composant informatique, sont en ligne ou utilisent des technologies modernes. Il s’agissait d’une avancée majeure par rapport à la gestion de services informatiques classique. Celle-ci était davantage axée sur les technologies de l’information et ne tenait pas compte de l’entreprise dans son ensemble. VeriSM indique explicitement que l’organisation dans son ensemble est le fournisseur de services. Ce n’est donc pas seulement le département informatique qui fournit des services.

ITIL 4

ITIL 4 suit cette tendance, en élargissant son champ d’action aux fournisseurs de services en général. D’ailleurs, ITIL 4 évite principalement  l’utilisation de l’expression ITSM. Il est intéressant de noter que ITIL indique que les services modernes ne concernent pas uniquement la numérisation, ni la technologie, mais principalement le mode de fonctionnement des organisations. Moins de silos, plus d’équipes interfonctionnelles.

COBIT 2019

La première phrase de COBIT 2019 dit tout: « À la lumière de la transformation numérique, l’information et la technologie (I & T) sont devenues essentielles pour le soutien, la durabilité et la croissance des entreprises. »

ISO/IEC 20000-1

L’ISO / IEC 20000-1, malgré son abstraction, s’efforce également de réduire la complexité, la quantité de documentation et la capacité de travailler avec des constellations de fournisseurs (voir SIAM). Ceci n’est pas explicite, mais a été pris en compte dans sa refonte.

Conclusion

Quoi de neuf dans la gestion des services? Bien sûr, tous les cadres commencent à se ressembler étrangement. Certains mettent l’accent sur certains aspects plus que d’autres, mais dans l’ensemble, le tableau est clair.

L’objectif du Service Management est de générer de la valeur pour le fournisseur de services et ses clients. L’objectif est atteint grâce à un système organisé de gouvernance et de gestion. Le système consiste en des pratiques dans divers domaines. Ces domaines couvrent les activités commerciales, informatiques et d’autres services du fournisseur de services. La gestion des services passe par différentes phases d’utilisation de pratiques, s’appuyant sur des processus, des ressources, des informations et des technologies. La nature de ces services importe peu, dans la mesure où ils conviennent au type de services que vous fournissez.

En fin de compte, tout cela devrait préparer le fournisseur de services à l’ère numérique. En 2020, les consommateurs s’attendent à tout trouver en ligne. Mais ils veulent un service rapide et efficace, dont la technologie de l’information est un composant intrinsèque. Mais en aucun cas la technologie ne peut être le seul composant du service. C’est un facilitateur, d’ailleurs reconnu sous ce nom dans COBIT 5 et qui devient un composant dans COBIT 2019.

Le moment est-il venu de créer une véritable gestion des services d’entreprise qui aille bien au delà des TI?

Vous avez des remarques ou des commentaires? N’hésitez pas, la rubrique commentaires est à votre disposition. Si vous aimez cet article, un petit « like » fait toujours plaisir. Vous pouvez également partager cet article et vous abonner à notre blog. C’est entièrement gratuit et cela vous permettra de rester informé(e) de la publication de nos articles.

ITIL 4 : la co-création au coeur du modèle central

Nous approchons à grands pas de la publication officielle de ITIL 4 annoncée pour le 18 février. En avant-première, voici un des éléments importants de cette nouvelle version. Exit le cycle de vie des services apparu dans ITIL V3. Maintenant, ITIL 4 s’appuie sur un modèle central autour duquel tout s’organise. L’objectif du modèle central d’ITIL 4 est la création de valeur pour l’organisation réalisée sur la base de la co-création. Mais, qu’est-ce que c’est que la co-création? Est-ce une notion nouvelle? Je vais essayer de lever le voile sur cet aspect essentiel.

ITIL 4 : la co-création de valeur au coeur du modèle central
Crédit © rawpixel.com 2019

C’est aujourd’hui, 11 février, que les premiers cours accrédités de préparation à la certification ITIL 4 Foundation commencent à être délivrés. Dans une semaine, le 18 Février, AXELOS publiera officiellement la documentation ITIL 4. Et ce n’est que le 28 février que les premiers examens de certification ITIL 4 Foundation, en Anglais, seront disponibles pour le grand public. Or, à ce jour, AXELOS maintient un secret absolu sur le contenu détaillé de son référentiel de bonnes pratiques. Cependant, les formateurs accrédités, dont j’ai le plaisir de faire partie, ont déjà pu avoir accès à ce contenu. Je vous en livre dans cet article quelques aspects essentiels.

Des services informatiques vitaux pour la transformation numérique

Une étude réalisée par Forbes et BMC en 2017 auprès de 261 CEOs dans le monde montre la façon dont les services informatiques crée de la valeur pour les entreprises dans le cadre de la transformation numérique. Les principaux résultats sont les suivants :

  • La majorité des exécutifs (56%) qui ont répondu admettent que le périmètre des TI change à un rythme extrêmement rapide. Ils reconnaissent qu’il est très difficile de faire face au besoin de compétences indispensables pour répondre aux besoins. L’absence su le marché de compétences TI alignées sur le business est aujourd’hui un des grands challenges.
  • Une large majorité admet que les budgets TI peinent à satisfaire simplement le maintien en état de fonctionnement de ce qui existe. L’absence d’une approche de gestion des services nuit à la compétitivité des entreprises. Trois dirigeants sur quatre s’accordent pour dire que le temps, l’argent et les ressources consacrés à la maintenance et à la gestion courantes (par rapport au développement de nouveaux projets ou aux nouvelles initiatives) affectent la compétitivité globale de leurs organisations.
  • La gestion des services TI joue un rôle crucial dans les principales initiatives de business numérique. Une majorité de cadres, 56%, indiquent que la gestion des services informatiques est soit «extrêmement importante», soit proche d’être vitale dans les efforts de cloud computing ainsi que dans les initiatives de Big Data de leur entreprise. Cinquante-quatre pour cent ont également indiqué que la gestion des services informatiques était «extrêmement importante» ou proche de d’être importante pour soutenir leurs efforts de mobilité. La plus grande contribution de la fonction ITSM aux efforts de transformation numérique réside dans la transparence et la productivité.

Le modèle central d’ITIL 4

L’objectif principal de la nouvelle version du référentiel ITIL 4 est répondre aux besoin des entreprises de la 4ème révolution industrielle. Celle-ci est basée sur une économie numérique. Elle va donc aider à la transformation numérique des organisations.

Nous reviendrons en détail sur le contenu d’ITIL 4 après la publication officielle par AXELOS. Mais, ce qui saute d’abord aux yeux, c’est la création d’un modèle central (« core model »). Et, ce modèle est fondamental. En effet, il constitue le véritable coeur de la création de valeur : le SVS (système de valeur des services). Donc, tout s’articule en son sein et autour de ce système central.

ITIL 4 : le modèle central
© AXELOS 2019

Comme vous pouvez le voir sur le schéma ci-dessus, tout part de la reconnaissance d’opportunités ou de demandes. L’objectif, au travers du SVS, est alors de transformer ces opportunité et demandes en produits et services créant de la valeur pour l’ensemble des parties prenantes. Pour ce faire, l’organisation va s’appuyer sur les éléments de ce modèle, à savoir :

  • les principes directeurs
  • la gouvernance,
  • la chaîne de valeur des services
  • les pratiques (qu’on retrouvait auparavant dans les processus d’ITIL v3)
  • et l’amélioration continue.

Un alignement sur les autres cadres de référence

Ainsi le périmètre d’ITIL 4 change complètement. On sort de la direction informatique pour couvrir l’intégralité de l’organisation avec ses parties-prenantes.

Ce modèle marque un virage très affirmé vers le principe de la valeur des TI pour l’organisation. ITIL 4 renforce le fait que les TI doivent toujours considérer leur contribution directe au succès de l’entreprise et non être perçues comme un centre de coût.

Pour les lecteurs réguliers de ce blog, admettez avec moi que tout cela s’aligne fortement sur un autre référentiel : COBIT.

En mettant d’avantage l’accent sur la « demande » et « l’engagement » avec les parties prenantes, ITIL 4 s’aligne désormais également avec le BRM (Business Relationship Management) qui a le vent en poupe ces dernières années. Si ces concepts étaient déjà présents dans ITIL 2011, ils deviennent dorénavant centraux dans ITIL 4.

L’autre changement important est la reconnaissance et l’intégration de trois grands courants sur le marché. Il s’agit de LeanIT et DevOps et OCM (Organizational Change Management). Avec ITIL 4, ces pratiques sont expliquées et intégrées au cadre de référence.

La co-création au service de la création de valeur

D’après mon expérience, les clients, grands et petits, comprennent que l’alignement conduit à une transformation qui dépasse leurs attentes. Plus les clients réalisent que leur fournisseur s’engage à les écouter, à accepter et à répondre à leurs exigences précises, et plus ils désirent être impliqués dans cette organisation.

La co-création, qu’est-ce que c’est?

La phrase-clé, c’est «être impliqué». Cela prend de plus en plus la forme de ce qu’on appelle la co-création client. Prahalad et Ramaswamy ont défini la co-création comme « la création conjointe de valeur par l’organisation et le client afin de permettre au client de co-construire l’expérience de service pour l’adapter à son contexte. » Dans mon travail, je définis la co-création comme  « la création délibérée de partenariats avec des clients, partenaires ou employés stratégiques pour concevoir, résoudre un problème, améliorer les performances ou créer un nouveau produit, service ou business. »

Le concept existe depuis 2000, mais il a fallu plus de dix ans pour qu’il devienne populaire. La co-création ne se limite pas à créer un comité de clients pour donner leur avis sur un nouveau produit. Ce n’est pas seulement consulter les clients sur une astuce de vente et de marketing. Il s’agit de créer conjointement de la valeur, tant pour le fournisseur que pour les clients. Pour la plupart des managers, l’idée même de faire participer les clients de manière ouverte et transparente est effrayante. Et je ne vous parle pas de leur réaction quand il s’agit de partager des données détaillées avec les clients! Et pourtant, les bénéfices réalisés grâce cette approche devraient les amener à y réfléchir d’avantage.

Un exemple de co-création chez DHL

Je ne vous surprendrai probablement pas si je vous dis que la co-création est au coeur de la stratégie d’Amazon. Cela explique en partie son exceptionnelle croissance depuis plusieurs années. Mais je vais prendre un autre exemple. Il est peut-être un peu moins connu. C’est celui de DHL, le leader mondial de la logistique. DHL fait partie de la plus grande société mondiale de services de courrier et de logistique, Deutsche Post (« DP ») DHL. Vous les connaissez sans doute par leurs camions de livraison jaunes et rouges. Privatisé il y a 15 ans, le groupe DP DHL emploie quelque 350 000 personnes dans le monde. Et il génère un chiffre d’affaires annuel de plus de 60 milliards de dollars. Vous pourriez penser qu’une entreprise de cette taille aurait du mal à être agile et encore moins à fixer des normes en matière d’innovation et de service à la clientèle.

DHL a découvert que ses clients recherchaient de l’aide pour améliorer leurs performances. Et cette amélioration reposait en partie sur leur chaîne logistique. «C’est tout un défi, car nous avons généralement affaire à des chaînes d’approvisionnement mondiales très complexes», a déclaré Bill Meahl, directeur commercial de DHL, «une chaîne qui nous a incités à nous engager dans une aventure de co-création client».

Comment cela a démarré

S’engager sur cette voie signifiait plus que des modifications de processus et de services. Il fallait aussi sélectionner les « bons clients » avec lesquels travailler. Mais il fallait surtout prendre en compte l’approfondissement des capacités des employés afin de comprendre leur incidence sur les activités, la perception et la durabilité des clients. Selon M. Meahl, l’un des facteurs de succès critiques a été d’enseigner aux employés comment «se mettre dans la peau d’un client afin de bien comprendre la dynamique de travail avec les clients». Cette compétence est essentielle pour élaborer une gamme de recommandations viables et de nouvelles solutions qui répondent non seulement aux objectifs du client, mais démontrent également la valeur de DHL en tant que partenaire commercial.

DHL comprend que l’innovation doit être centrée sur le client. Ils veillent notamment à ce que cela se produise en réunissant les clients et leurs partenaires de service DHL dans des centres d’innovation spécialement conçus, basés en Allemagne et à Singapour, pour des ateliers de partage des meilleures pratiques et de création de valeur. L’objectif est d’ «organiser des ateliers pratiques intensifs explorant et comprenant les tendances technologiques, économiques, sociopolitiques et culturelles afin de développer de nouvelles méthodes de gestion des chaînes d’approvisionnement et de la logistique».

Co-création : mode d’emploi

Les sessions commencent parfois par un aperçu de ce à quoi pourrait ressembler une entreprise en 2050. DHL utilise une méthodologie éprouvée de planification de scénarios. L’approche de DHL entraîne les clients dans un voyage dans le temps qui présente une vue à quatre quadrants de ce à quoi le monde pourrait ressembler en 2050. Les quadrants sont radicalement différents les uns des autres. Ainsi, un quadrant est toujours un scénario catastrophique et son contraire un monde parfait. La puissance de la planification par scénario réside dans le fait qu’elle brise les mentalités. L’équipe commune « revient » ensuite en arrière de 2050 à 2020. Cela fournit une plate-forme pour des lignes de tendance, des compétences de base et des problèmes spécifiques à résoudre. À partir de là, l’équipe commune réfléchit aux solutions et aux approches à mettre en oeuvre.

Des résultats concrets

Beaucoup de projets ont été lancés suite aux plus de 6 000 engagements réalisés dans les centres d’innovation de DHL. Parmi ceux-ci et et parmi les résultats d’autres formats de co-création avec les clients, citons:

  • Parcelcopter, un projet de recherche sur la livraison de drones, qui pourrait à l’avenir permettre aux entreprises d’être plus réactives, agiles et économiques.
  • «Lunettes intelligentes» et réalité augmentée, co-créées avec le client de DHL, Ricoh, afin d’améliorer l’efficacité de la gestion des stocks et des entrepôts de 25%.
  • «Maintenance à la demande» (MoDe), co-créé avec le client de DHL, Volvo Trucks, et d’autres partenaires, utilise des capteurs qui renvoient automatiquement les performances des véhicules et des composants afin de déterminer le moment et l’endroit où la maintenance des camions sera requise.
  • IoT Report, un rapport de l’industrie, rédigé par DHL et Cisco, qui a identifié et évalué les implications et les cas d’utilisation des objets connectés dans la logistique.
  • Applications robotiques actuellement testées conjointement avec des clients. Celles-ci partent des chariots automatiques qui aident les préparateurs à effectuer leur travail de manière moins pénible. Et elles vont jusqu’aux robots collaboratifs qui aident les travailleurs à obtenir des services à valeur ajoutée tels que le co-packing.
  • Rapport collaboratif de DHL et d’IBM explorant comment l’intelligence artificielle pourrait considérablement améliorer les activités logistiques actuelles de bout en bout.

Une expérience difficile mais réussie

Meahl admet que le concept de co-création a été initialement accueilli avec scepticisme, tant en interne et qu’en externe. Les clients pensaient que c’était une tactique de vente intelligente. En interne, DHL dispose de plusieurs unités commerciales qui ont des modèles commerciaux différents desservant les mêmes clients. Il fallait identifier les « bons » dirigeants de DHL qui « possédaient ce client ». Ensuite il fallait aligner et coordonner plusieurs équipes afin de produire les résultats des ateliers d’innovation. Tout cela a obligé l’entreprise à examiner de près sa propre structure et ses processus. Et bien entendu elle a été amenée à se réformer pour améliorer son efficacité et son efficience.

Le résultat en vaut la peine. Les scores de satisfaction client sont aujourd’hui supérieurs à 80%. Dans le même temps, les performances de livraison à temps dans le monde sont égales ou supérieures à 97%. Les taux de perte des clients sont en baisse.  Et, de plus,  les revenus provenant des nouveaux services / produits sont en hausse.

Meahl insiste sur le fait que les entreprises doivent structurer leurs organisations et leurs processus en fonction de leurs clients. La co-création est le nouvel enjeu du succès.

L’importance de la co-création dans ITIL 4

En 2019, les technologies jouent un rôle central dans la majorité des domaines d’affaires. Cependant, si ces technologies sont gérées en silo, sans comprendre comment elles contribuent directement à la croissance et l’efficacité, l’entreprise est vouée à l’échec. La principale réflexion à faire suite à ITIL 4 se situe donc  au niveau de la relation entre le « business » et les TI. L’expérience le démontre : la synergie entre les TI et le Business est essentielle. Les organisations deviennent alors plus productives, plus proactives et répondent mieux aux changements du marché.

La définition même du service a évolué dans ITIL 4. Elle est maintenant beaucoup plus claire et plus compréhensible. Elle fait également référence de façon explicite à la co-création.


« Un service est un moyen de permettre la co-création de valeur en facilitant l’obtention des résultats demandés par les clients, sans que les clients n’aient à gérer les coûts et les risques spécifiques. » (ITIL 4)


Il est clair que sans l’implication du client, le fournisseur ne pourra pas satisfaire les attentes de celui-ci. La définition et la mise en oeuvre du service résultent donc d’une co-création entre le client et le fournisseur. Ainsi, c’est la clé-même de la création de valeur qui est au centre du modèle.

Vous pensez que cette évolution dans le bon sens et permettra à ITIL 4 de reprendre son leadership? Au contraire, vous pensez que tout cela n’apporte pas grand chose de nouveau? Vous voulez en savoir plus sur ITIL 4? Alors, ne soyez pas timide, envoyez nous vos remarques et vos questions au travers de vos commentaires.  Et surtout n’hésitez pas à lancer le débat. Nous vous en remercions.

Gestion des services informatiques : l’atout majeur des PME

J’entends souvent mes clients dire que les bonnes pratiques TI (notamment basées sur ITIL) sont réservée aux grandes entreprises. Bien que très répandue, cette croyance est totalement fausse. Les PME sont au contraires les premières à tirer un bénéfice certain de leur informatique. Je vais, dans cet article, essayer de mieux vous faire comprendre quelles sont les 4 raisons essentielles pour lesquelles une meilleure gestion des services informatiques constitue un atout majeur pour une PME.

Gestion des services informatiques (ITSM - ITIL) : l'atout majeur des PME
Crédit © rawpixel.com 2018

Il y aune idée reçue à propos de la gestion des services informatiques (ITSM) dans le monde informatique. Certains professionnels et certaines organisations pensent que la gestion des services informatiques n’est rien de plus qu’un fouillis de processus bureaucratiques qui ne font que freiner la productivité et ne peuvent être efficacement mis en œuvre que par de grandes organisations. Nous parlons ici d’organisations plutôt que d’entreprises car elles peuvent être publiques, privées, à but commercial ou non.

Mais je vais vous confier un secret. Une bonne gestion des services informatiques peut être l’arme secrète permettant à une PME de s’imposer sur son marché.

La gestion des services informatiques n’a pas besoin d’être compliquée. Après tout, l’ITSM est simplement un ensemble de pratiques définies pour la mise en œuvre, la gestion et la fourniture de services informatiques répondant aux besoins de l’organisation. Elle doit donc s’adapter à la taille et aux ressources de l’organisation. Et ce, d’autant plus lorsqu’il s’agit d’une PME.

Mais qu’est-ce vraiment que la gestion des services informatiques? Je vous propose la description suivante basée sur 3 caractéristiques :

  • Un ensemble de services fiables, cohérents et conformes aux attentes des clients et aux moyens de l’informatique,
  • Elle apporte une contribution mesurable de l’informatique à la valeur commerciale générée par les métiers,
  • Elle s’appuie sur des processus efficaces, définis, documentés et basés sur les données fiables.

Qu’en pensez-vous? N’est-ce pas ce qu’attend toute organisation? Cela ne résonne pas exactement comme quelque chose qui ne profiterait qu’aux grandes entreprises, n’est-ce pas?

De nombreuses personnes reconnaissent les avantages d’une excellente gestion des technologies de l’information. Laissez-moi donc vous expliquer pourquoi cette technologie et les services associés sont si importants pour les PME.

1. L’expérience utilisateur

Les attentes des clients ont radicalement changé au cours des dernières années, en partie grâce aux nouvelles technologies. Les clients attendent des réponses en rapides, des parcours personnalisés et une innovation continue des entreprises.

Prenons l’exemple d’Amazon. Vous pensez vraiment que les clients achètent chez Amazon simplement parce que c’est Amazon? Bon, c’est peut-être le cas maintenant. Mais à l’origine, les clients commençaient à acheter chez Amazon, tout simplement parce qu’Amazon facilitait leurs achats. Amazon a commencé par faire des choses simples répondant aux attentes des clients, comme proposer des offres d’achat personnalisées, envoyer des notifications d’expédition immédiate et maintenir un service client réactif. Une «expérience de type Amazon» est désormais ce qu’attend le client de chaque entreprise.

Bien sûr, la plupart des petites entreprises fonctionnent avec un personnel limité. Et par conséquent, les PME peuvent avoir des difficultés à répondre à des attentes de type «Amazon».

C’est là que les services informatiques entrent en jeu. l’ITSM aide les PME à fournir des services plus rapides et plus fiables et surtout sans nécessiter de main-d’œuvre supplémentaire. En fin de compte, cela signifie une expérience client plus fluide et plus cohérente, sans frais généraux supplémentaires. Et bien sûr, cela ne nécessite pas un personnel plus important.

En voici un autre exemple avec les boutiques sans employés en Chine. Nul doute que la Chine a pris de l’avance sur nous. Mais il faut réagir vite. La concurrence Chinoise ne va pas tarder à attaquer notre commerce de détail. Nul doute que d’ici peu nos supérettes ressembleront à cela. Ou alors elles auront disparu.

Vous imaginez bien que les services informatiques, dans l’exemple de cette vidéo doivent être totalement fiables et sécurisés. Il est donc souhaitable de s’appuyer sur des bonnes pratiques de gestion des services TI tels que ITIL par exemple.

2. L’agilité

Le monde des affaires est incroyablement compétitif. La concurrence est mondiale. La technologie a permis à chaque entreprise d’avancer plus vite et de se développer plus rapidement. Si vous n’êtes pas en avance sur la courbe, c’est que vous êtes déjà en retard! L’agilité est donc une nécessité absolue pour les PME. C’est même une question de survie.

L’ITSM aide les organisations à structurer leurs activités afin de répondre rapidement aux besoins les plus urgents et les plus importants. Elle aide à éliminer les interruptions et les problèmes épineux qu’il faut constamment résoudre. Enfin, l’ITSM aide les équipes à rester concentrées sur les résultats qui permettent à l’entreprise de prendre de l’avance et à la maintenir.

3. Les services informatiques sont plus faciles à mettre en oeuvre dans les PME

Comme je viens de le mentionner les PME doivent être flexibles et agiles pour pouvoir faire face à la concurrence. Les PME doivent se concentrer sur les projets et les services qui généreront des revenus et augmenteront leurs résultats nets.

Pour cette raison, les PME sont particulièrement bien placées pour tirer des bénéfices de leurs services informatiques plus rapidement que les grandes entreprises. Dans une PME, les équipes sont plus petites et doivent collaborer plus souvent sur les projets les plus critiques et les plus importants. Les employés voient souvent les résultats de leurs efforts plus directement que ceux qui travaillent dans de grandes organisations.

Par conséquent, il y a moins de personnes à convaincre pour soutenir un projet de mise en œuvre de l’ITSM. Il y a également moins silos à casser, et une meilleure compréhension de la manière dont tout le monde collabore à un objectif commun.

4. Aller plus loin avec le même budget

Contrairement à de nombreux mythes, la gestion des services informatiques ne se résume pas à l’achat d’un outil le plus récent et le plus performant. Ce n’est pas non plus une méthode. Il s’agit de créer des processus et des flux d’activités afin que l’ensemble de l’organisation fonctionne mieux avec l’objectif de permettre une expérience client transparente.

La création de processus efficaces et de services bien définis garantit la croissance de votre entreprise à un niveau satisfaisant. Lorsque vous avez les bons processus et des services clairs, vous pouvez être assuré que votre équipe est concentrée sur le business. Ainsi, lorsque le moment sera venu pour vous de vous développer et d’embaucher plus de membres dans votre équipe, ce sera parce que l’entreprise grandira, et non pas parce que votre équipe est trop occupée et stressée, et qu’elle ne réalise pas réellement le business attendu.

En outre, la gestion des services informatiques ne démarre pas avec l’acquisition d’un outil. Il faut d’abord se concentrer sur les besoins de l’entreprise. Ensuite il faut identifier et définir les processus, les services et les flux d’activités nécessaires pour répondre aux besoins. En partant de cette perspective, vous éviterez de gaspiller de l’argent pour des outils qui ne soutiendront jamais votre entreprise. Lorsque vous investirez dans un outil, vous saurez qu’il fonctionne avec les processus que vous avez déjà définis. Et par conséquent, il sera utilisé correctement.

Comment démarrer la mise en oeuvre de l’ITSM dans votre PME?

Je vous ai convaincu? Vous souhaitez démarrer la mise en oeuvre de la gestion des services TI dans votre organisation? Alors commençons par répondre à quelques questions. Cela vous aidera à comprendre clairement comment la gestion des services informatiques peut s’intégrer dans votre organisation.

N’oubliez pas ce que j’ai indiqué précédemment. La gestion des services informatiques ne se résume pas à acheter l’outil le plus récent et le meilleur du marché! Évitez de plonger directement avec l’achat d’un outil sophistiqué. Commencez par la définition des services et des processus nécessaires!

Évitez l’erreur commune de vous planter avant même de vous lancer! Les réponses à ces questions vous aideront beaucoup plus que n’importe quel outil coûteux à cette étape de votre projet ITSM:

  • Identifiez comment votre entreprise utilise ou dépend de la technologie informatique.
  • Quelles sont les activités courantes de votre équipe pour aider votre entreprise à utiliser la technologie?
  • Êtes-vous en mesure de mesurer la contribution de la technologie à votre entreprise?
  • Êtes-vous en mesure de mesurer et de discuter de la manière dont votre équipe informatique contribue au succès de votre entreprise, en termes pertinents?
  • Qu’est-ce qui pourrait être fait différemment dans la manière dont l’informatique contribue au succès de l’entreprise?
  • Identifiez les petites améliorations susceptibles d’apporter de gros gains à votre entreprise.

Faites les choses dans le bon ordre

Une fois que vous aurez répondu à ces questions, il sera temps de commencer à vous familiariser avec les différents cadres de gestion des services informatiques et de savoir comment. Assistez à des webinaires et à des réunions de groupes d’utilisateurs pour découvrir les avantages de la gestion des technologies de l’information pour votre entreprise. Discutez avec des experts ou lisez des blogs et des livres blancs sur la meilleure façon de démarrer avec l’ITSM. Suivez des formations sur les différents référentiels de bonnes pratiques et les normes disponibles : ITIL, COBIT, VerISM, ISO 20000, …

C’est le début de l’année et de nombreuses PME ont encore des objectifs ambitieux, des plans et des échéances excitantes. Le moment est donc idéal pour aller au-delà de votre plan d’action et pour vous assurer de respecter tous vos objectifs cette année!

N’hésitez pas à nous faire part de votre avis en nous laissant vos commentaires. C’est grâce aux échanges que vous pourrez cibler les domaines d’amélioration potentielle de vos services TI.

 

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

ITIL – 6 autres erreurs de mise en oeuvre

Après la publication de notre article intitulé ITIL – 5 erreurs majeures de mise en oeuvre, nous vous proposons 6 autres erreurs parmi les plus importantes et les plus courantes commises pendant dans la phase d’implémentation.

ITIL - 6 autres erreurs de mise en oeuvre ou comment chaque erreur d'implémentation des meilleurs pratiques ITSM peut conduire votre organisation à l'échec
Crédit © Photo 5000 – 2018

Dans un précédent article, j’ai décrit cinq façons différentes de mal utiliser ITIL :

  • Vouloir absolument « implémenter » ITIL,
  • Se focaliser seulement sur les processus,
  • Miser sur un nouvel outil de gestion des services informatiques (ITSM) p
  • our résoudre tous les problèmes,
  • Démarrer la réalisation de projets (ou de programmes) volumineux et trop longs à générer de la valeur,
  • Et enfin assigner une personne pour chaque rôle.

Dans ce nouvel article, je propose six autres erreurs parmi les plus courantes dans le cadre de la mise en oeuvre des bonnes pratiques ITIL. Bien sûr je vous indique également ce que vous pouvez faire pour les éviter.

Il n’est pas nécessaire d’avoir lu mon précédent article. Cependant il peut vous aider à mieux comprendre tout ce qui pourrait empêcher votre organisation de tirer pleinement parti des avantages offerts par ITIL.

Il existe donc six autres façon de mal comprendre et de mal utiliser ITIL.

Erreur N° 6 : Mettre en place des SLA pour de mauvaises raisons

Un accord de niveau de service (SLA) est un accord signé entre un fournisseur de service et son client. C’est donc un « contrat » entre deux parties sur la fourniture d’un service dans lequel le fournisseur prend des engagements. La différence entre un SLA et un contrat c’est que dans le cas d’un SLA les deux parties peuvent appartenir à la même organisation. Il n’y a donc généralement pas de clause juridique dans un SLA. Cependant, tout comme un contrat, le SLA contient une description du service, ainsi que les mesures et objectifs convenus. Ce sont ces objectifs qui seront utilisés pour mesurer et consigner dans quelle mesure le fournisseur fournit le service.

Les accords de niveau de service sont des outils utiles pour formaliser la relation entre deux parties prenantes. Les conseils de meilleures pratiques ITIL suggèrent qu’ils sont très utiles. Toutefois, certains fournisseurs de services informatiques pensent que s’ils respectent les mesures du contrat de niveau de service, ils ont alors fait tout ce qui était nécessaire. Malheureusement, les SLA sont souvent rédigés par le service informatique avec très peu ou pas de participation des clients. Trop souvent, les clients sont totalement insatisfaits, même lorsque tous les paramètres SLA ont été respectés.

Les mauvaises raisons pour la mise en oeuvre des SLA

Le premier cas consiste à mettre un SLA en place à l’initiative du département informatique afin de montrer aux métiers que l’informatique est performante malgré leur mauvais ressenti. Les indicateurs et les métriques sont alors élaborés dans ce sens. Au final le client est toujours insatisfait, mais en plus il s’aperçoit qu’on a essayé de le tromper. Cela n’améliorera pas la relation.

A l’inverse, le SLA peut également être mis en oeuvre à l’initiative des clients qui ne sont pas satisfaits du service. Ils veulent ainsi démontrer de façon tangible que les services délivrés par le département informatique sont de mauvaise qualité. Le risque c’est qu’alors, afin de satisfaire les clients, le département informatique accepte des engagements de niveau de service irréalisables. Cela est souvent dû à un manque de ressources ou à une prise de risque trop importante.

La bonne approche pour les accords de niveau de service

Si vous avez convenu d’un accord de niveau de service avec votre client, il est important de respecter les engagements que vous avez pris. Mais il est bien plus important encore de satisfaire les besoins réels du client, même s’ils sont difficiles à mesurer et à consigner. Les clients sont tout à fait capables de vous dire ce qu’ils ressentent vraiment si vous leur demandez. Un accord de niveau de service peut être un outil utile si vous souhaitez fournir de bons services. Par contre, il est beaucoup plus important de parler à vos clients et de vous assurer qu’ils sont satisfaits de ce que vous livrez. C’est là l’objectif de la gestion de la relation client dont l’implémentation doit être réalisée en parallèle de la gestion des niveaux de service. Malheureusement, c’est rarement le cas dans les entreprises que j’ai pu conseiller.

Erreur N° 7 : Oublier les attentes des vrais clients de l’informatique

J’ai travaillé avec de nombreuses organisations informatiques constituées de groupes cloisonnés (on parle de silos) qui ne comprennent pas comment ils s’intègrent dans une chaîne de valeur globale. Chaque groupe effectue simplement le travail qui lui est assigné de la manière la plus logique. Il n’a aucune idée de la manière dont cela contribue à la création de valeur pour les clients payants. Cela aboutit le plus souvent à des activités inefficaces et peu rentables, qui n’apportent aucune valeur réelle pour l’organisation ou ses clients.

Il y a de nombreuses années, un manager très sage m’a dit: « Je veux que vous arrêtiez ce que vous faites au moins une fois par jour et que vous vous demandiez: « Si les clients payeurs savaient qu’ils finançaient cette activité, que ressentiraient-ils? « . C’est un exercice fabuleusement simple que tout le monde peut faire. Et cela aide vraiment les gens à se concentrer sur la création de valeur pour les clients réels.

Une autre façon d’éviter les comportements cloisonnés consiste à rassembler des personnes appartenant à différentes équipes informatiques. Par exemple, organisez un atelier où les participants font un suivi détaillé de leur travail. L’objectif est de voir comment chacun contribue à la réalisation des objectifs généraux. Un exercice comme celui-ci peut aider à identifier les principales opportunités d’amélioration. En effet, il indique les domaines dans lesquels il ya un gaspillage important et où certaines équipes peuvent difficilement obtenir des résultats.

Erreur N° 8 : S’intéresser uniquement à la transition et à l’exploitation

Certaines personnes pensent qu’ITIL conseille uniquement sur la gestion des incidents, des problèmes et des changements. Ces éléments sont importants, certes, mais ils ne peuvent en aucun cas suffire à créer de la valeur pour vos clients. Si vous ne gérez pas le cycle de vie complet du service, il manquera des éléments essentiels.

ITIL 2011 décrit très précisément le cycle de vie des services qui est composé de 5 étapes :

  • La stratégie de service consiste à comprendre les marchés, à engager le dialogue avec les clients, à définir une orientation, à définir un portefeuille de services et à gérer les finances nécessaires pour offrir la valeur requise.
  • La conception de services consiste à collecter des exigences détaillées et à concevoir tout ce qui est nécessaire pour que les services nouveaux ou modifiés répondent aux besoins des clients.
  • La transition de service consiste à concevoir, créer le service nouveau ou modifié, à s’assurer qu’il est adapté à son usage et à son utilisation, et à le mettre en production tout en gérant les risques associés.
  • L’exploitation du service consiste à garantir que le service continue de fournir la valeur attendue aux clients et aux utilisateurs.
  • L’amélioration continue du service consiste à surveiller et à améliorer tout ce que vous faites dans l’informatique, pas seulement les processus, mais également les services, les compétences, la conception de l’organisation, les rapports, etc.

La mise en oeuvre de chacune de ces phases est absolument nécessaire dans votre implémentation ITSM. A défaut il y aura des « trous dans la raquette » et vos ne satisferez pas les besoins de vos clients. Est-ce vraiment le cas donc votre organisation?

Erreur N° 9 : L’Obsession d’avoir des mesures positives

Les praticiens ITSM comprennent l’importance de mesurer ce qu’ils font. Les métriques sont idéales pour signaler les tendances et pour déclencher des actions. Mais dès que la métrique devient l’objectif, peu importe la qualité de ces métriques, elles cessent d’avoir du sens.

La loi de Goodhart (du nom de l’économiste Charles Goodhart) dit que « lorsqu’une mesure devient une cible, elle cesse d’être une bonne mesure« . Cela est aussi vrai dans l’ITSM que dans l’économie. Si vous dites à quelqu’un que sa prochaine augmentation de salaire dépend de l’obtention d’un indicateur spécifique, fera tout ce qui est nécessaire pour que ce objectif soit correct. Mais cet objectif correspond-il vraiment à ce que vous ou votre client souhaitez qu’il fasse.

Une chose que je fais toujours lorsque je définis des indicateurs de performance clés (KPI) est de demander: «Quel comportement les gens adopteront-ils pour s’assurer que cet indicateur de performance clé est respecté?». C’est souvent suffisant pour me dire que l’indicateur causera un comportement que je ne veux pas encourager. C’est donc un indicateur que je ne devrais PAS mesurer ni signaler. Deux questions sont essentielles. Vos clients sont-ils satisfaits des métriques que vous utilisez? Et savez-vous quels types de comportement sont induits par vos indicateurs de performance clés?

Erreur N° 10 : Déléguer l’amélioration continue à quelqu’un d’autre

Certaines organisations ignorent complètement en quoi consiste l’amélioration continue. D’autres désignent un responsable de l’amélioration continue. Alors le plus souvent,  tous les autres présument qu’ils ne sont pas obligés de participer, car «c’est le travail de quelqu’un d’autre».

C’est bien d’avoir un responsable de l’amélioration continue qui facilite et encourage l’amélioration continue. Mais cela suppose que tout le monde s’attende à assumer la responsabilité de certains aspects de l’amélioration continue. Il est essentiel que chaque processus, chaque service, chaque technologie, chaque équipe et chaque individu contribue à une amélioration continue. Et cela ne peut être fait que par des personnes qui connaissent, comprennent et s’approprient ce qui doit être amélioré.

Par exemple, je pense à mes propres compétences et à mon expérience et j’identifie les choses que je peux faire pour améliorer. Il peut s’agir de lire un livre ou un blog, d’assister à un cours de formation, de travailler avec un mentor, de télécharger et de essayer un outil logiciel, etc.

Erreur N° 11 : Investir uniquement sur des formations ITIL de base

Il existe de nombreux cours de formation ITIL Foundation et de nombreux professionnels de l’informatique réussissent leur certification ITIL. Malheureusement ces cours ne permettent pas, le plus souvent, de faire progresser la compétence de leurs étudiants. Nombreux sont ceux qui deviennent des professionnels certifiés ITIL mais ne savent absolument pas comment appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL. Malheureusement cela ne les mènera pas très loin, pas plus que leur organisation. ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL Foundation avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL à leur organisation. Mais surtout, vous ne devez pas vous limiter à apprendre par coeur des concepts du vocabulaire (ce qui est l’objet du cours Foundation).

Vous devez approfondir ces concepts et apprendre à les mettre en pratique. C’est l’objet des formations Intermediate Capability et du niveau Practitioner. Dans la réalité peu de professionnels de ‘ITSM (moins de 5%) suivent ces cours et obtiennent les certifications correspondantes. Ils restent donc sur le bord de la route à parler de sujets qu’ils ne comprennent pas en profondeur. Lorsqu’ils essaient de les mettre en oeuvre, l’échec est souvent au bout de la route.

En conclusion…

ITIL peut être extrêmement utile si ses concepts sont soigneusement adoptés et adaptés. Et si vous envisagez de l’utiliser pour soutenir votre organisation, rien ne remplace la réflexion sur ce que vous faites. Évitez les erreurs que j’ai décrites dans cet article. Adoptez et adaptez avec soin les meilleurs pratiques. Dès lors, vous et vos clients obtiendrez une réelle valeur ajoutée grâce à ITIL. Parlez nous de votre expérience!

Les changements à l’ère de DEVOPS

ITIL propose un processus de gestion des changements destiné à ne mettre en production que des services éprouvés pour éviter les impacts négatifs sur les utilisateurs. A l’heure où les entreprises sont en recherche permanente d’agilité et où DEVOPS s’impose, l’approche ITIL semble dépassée. Mais est-elle vraiment dépassée où n’est-ce pas plutôt un échec de mise en oeuvre des meilleurs pratiques qui est en cause? Dans cet article, nous allons faire un gros plan sur ce que devrait être la gestion des changements. Et nous allons nous intéresser tout particulièrement au CAB (Comité Consultatif des Changements), mal utilisé le plus souvent.

ITIL - Le CAB à l'heure de DEVOPS
Crédit © rawpixel.com 2018

La seule raison pour laquelle la plupart des personnes et des organisations ont entendu parler du CAB (Change Advisory Board) est qu’il est décrit dans la section sur la gestion du changement des publications ITIL. La plupart des organisations ont alors considéré que si le CAB est décrit dans ITIL, c’est qu’il est obligatoire. Souvent il a donc été mis en œuvre avec enthousiasme comme mécanisme de contrôle de la qualité dans les grandes entreprises. Pour beaucoup de professionnels des opérations non informatiques, le CAB est leur seul contact avec ITIL. Il en est d’ailleurs presque devenu synonyme. Cela signifie également qu’ITIL est lui-même devenu synonyme de douleur récurrente qui revient toutes les deux semaines…

Le conte des trois erreurs

Il en va de la gestion des changements comme de beaucoup d’autres domaines de l’informatique. Il y a une différence significative entre la théorie et la pratique. Pourtant, il est exact que la théorie (dans l’ITSM) a été (partiellement) construite sur la base des pratiques du monde réel. Cependant, il s’agit en fait d’une version idéalisée d’une tentative de description globale destinée à être adaptée à chaque situation particulière. Ce n’est en aucun cas une prescription de ce qui doit être mis en oeuvre tel quel dans les organisations.

Nous allons tenter de mettre tout le monde d’accord pour commencer à travailler à améliorer la pratique de la gestion des changement. A mon sens, c’est une approche à privilégier plutôt que d’essayer de se rassurer dans des initiatives de type «dénigrement» ou «coup de tête». Elles conduisent le plus souvent à des actions de type « paniqué-coupé-renommé-collé » à partir d’une théorie mal comprise..

Il y a trois domaines principaux dans lesquels la confusion à propos du CAB (Change Advisory Board / Comité Consultatif des Changements) et des pratiques de gestion du changement en général ont entraîné des dysfonctionnements importants. Nous allons essayer de les identifier avant de les comprendre dans le détail..

Survol des trois erreurs

Tout d’abord, il y a beaucoup d’incompréhension quant à la signification de la lettre «A» dans l’acronyme «CAB». Deuxièmement, il y a également une incompréhension quant aux changements qui devraient «passer par le CAB». Troisièmement, il existe une confusion relative à la séparation des pratiques de gestion des changements et des pratiques de gestion des mises en production. Cela fait beaucoup pour un seul processus, certes majeur, parmi les 25 processus décrits dans les publications ITIL 2011.

Commençons par rappeler quelques notions issues d’ITIL, mais souvent incomprises :

  • CAB signifie «Change Advisory Board» (Comité Consultatif des Changements) et non pas «Change Approval Board» (Comité d’Autorisation des Changements).
  • Le CAB n’est pas obligatoire dans ITIL, pas plus que l’envoi de toutes les demandes de changement (RFC) au CAB.
  • A chaque fois que les auditeurs exigent des décisions du CAB, ils confondent la fin et les moyens.
  • Lorsque les managers exigent des décisions du CAB, alors c’est qu’il existe probablement un problème de confiance.
  • L’automatisation (pour les modifications logicielles) rend même les auditeurs plus heureux.
  • Le logiciel circulant dans le pipeline CI / CD (intégration continue / livraison continue) n’est pas destiné à passer par le CAB.
  • L’amélioration des pratiques de gestion du changement requiert la réduction du nombre d’intermédiaires intervenant dans le processus pour améliorer son efficacité.

1 – « A » pour « Advisory » (conseiller)

Comme son nom l’indique, le CAB (Comité Consultatif sur les Changements) a pour objectif de conseiller sur l’évaluation des changements. Il est utile principalement lorsqu’il s’agit de changements à haut risque ou de changements à grande échelle qui vont au-delà du champ de perception d’une équipe particulière. Dans ce cas de figure, ils nécessitent la coordination et la gestion de situations complexes. Il faut alors faire face à des priorités conflictuelles et faire des choix en raison de coûts ou de délais. Le rôle du CAB, dans de telles situations, est essentiel car il permet de recueillir les avis de toutes les parties prenantes.

Pour diverses raisons, le mot «Advisory» (Consultatif) est devenu «Approval» (Approbateur) dans de nombreuses entreprises. Le CAB s’est alors transformé en un mécanisme de création de retard sans valeur ajoutée. Il est censé être là pour des raisons de qualité, mais il atteint rarement son objectif. La différence entre les mots est loin d’être seulement une question pédante de sémantique :

  • Advisory: avoir ou exercer le pouvoir de conseiller
  • Approval: acte ou instance d’approbation de quelque chose

Un mode de fonctionnement inefficace qu’il faut absolument améliorer

De plus, les CAB, dans les entreprises, ont souvent tendance à être statiques. C’est toujours même groupe de managers qui discute de tous les changements qui leur sont apportés, quels que soient l’équipe / l’application / le service concerné. Ils invitent parfois les auteurs de RFC (Request For Change / Demande de Changement) ternes et volumineuses à y ajouter un peu de couleur. Cette approche introduit un niveau d’intermédiation qui perd beaucoup de détails.  Par conséquent le risque est grand de créer un type de pratique, fonctionnel techniquement mais défaillant dans la pratique. L’absence d’avis est une chose, mais l’échec en matière d’approbation en est une toute autre.

La pratique consistant à utiliser des RFC dans l’entreprise semble davantage venir d’un livre de recettes que de l’ITSM. La dynamique de la mise en œuvre repose alors sur un examen minutieux afin de s’assurer que tous les champs du formulaire sont remplis. Elle ne repose pas sur des conseils pertinents. En effet, souvent, les RFC contiennent des informations destinées au CAB. Elles ne contiennent pas les questions et les réponses de / à la personne ou l’équipe recherchant un avis.

Cela ne veut pas dire que des contrôles de qualité ne doivent pas être mis en place. Cependant un mécanisme intervenant tardivement dans le jeu, de type Potemkin, est plus susceptible de gêner que d’aider l’entreprise à atteindre ses objectifs. La réduction du nombre d’erreurs est alors obtenue en évitant les changements plutôt qu’en améliorant la résilience du système. En effet, la dynamique est tellement lourde, coûteuse et chronophage que les « petits » changements seront rejetés. Ceci peut souvent conduire, en retour, à un besoin de changements de grande ampleur. C’est notamment le cas  lorsque le système a dépassé sa date de péremption et échoue sur plusieurs fronts simultanément.

Pour améliorer les pratiques dans ce domaine, une réduction réfléchie et consciente des intermédiaires est nécessaire. Ainsi l’évaluation de l’impact et la prise de décision seront rapprochées du lieu où le travail est réalisé. L’efficacité, les coûts et les délais n’en seront qu’améliorés.

2 – Pratiques obsolètes et manque de confiance

Comme nous venons de le voir, le CAB peut être un élément utile de la gestion des changements pour certains types de changements. Il sera beaucoup moins utile pour d’autres. Notez bien que je dis «peut être», ce qui signifie que le CAB est facultatif et en aucun cas obligatoire. Il ne devrait être introduit que s’il est vraiment utile. Sa conception, sa portée, son rôle et sa valeur doivent être réexaminés de manière continue.

Parmi les autres raisons, il y en a deux concernant le «CAB abusif» que je voudrais évoquer ici. La première concerne les pratiques d’audit. Il s’agit de l’exigence de documenter et d’approuver chaque changement. Il est alors tentant de considérer le CAB comme la seule / meilleure méthode pour y parvenir. La première partie de cette exigence est plutôt raisonnable. Pourquoi ne voudrions-nous pas garder la trace des changements? La deuxième partie, par contre, est un exemple de prédominance du « comment » sur le « pourquoi ». Cette exigence est souvent tellement enracinée qu’elle ressemble à une loi intangible. Elle élimine alors d’autres méthodes de travail qui permettraient d’atteindre le même résultat, mais avec un fonctionnement différent.

Les pratiques obsolètes pour satisfaire les auditeurs

Demander au CAB de signer chaque demande de changement a peut-être été le seul moyen pour l’organisation de répondre aux exigences de la vérification par le passé. Ce n’était certainement pas une préconisation figurant dans les directives ITIL. Il suffit de voir, par exemple, l’autorité de changement et la notion de changement standard. Cela a, très probablement, satisfait les objectifs de la gestion des risques, sur papier uniquement. Et finalement cela a été considéré comme suffisant.

Du matériel coûteux, des temps d’approvisionnement longs et des temps de planification encore plus longs ont rendu les approches, idéales d’un point de vue théorique, plutôt populaires. Cependant, le monde a changé.  La plupart des entreprises disposent maintenant d’un soutien suffisant pour investir dans les méthodes et les pratiques informatiques modernes. Il n’est donc plus nécessaire de continuer à jouer ainsi sur le registre de la gestion des risques.

Evitons donc de compter sur des revues de qualité souvent gérées par des personnes ignorantes du contexte. Nous pouvons plutôt utiliser des pratiques d’automatisation, dans lesquelles la documentation détaillée de chaque changement est fournie par défaut. Outre l’amélioration de la qualité du service, nous disposerons alors d’une grande quantité d’informations, plus fiables. Et nous pourrons fournir ces informations aux auditeurs qui seront satisfaits.

L’option d’automatisation s’applique principalement, à priori, aux changements logiciels. Or, dans le contexte du cloud, ceux-ci incluent des éléments de gestion d’infrastructure (« infrastructure as a code »). Mais ensuite, dans quelle mesure est-il raisonnable de prendre en compte les changements logiciels individuels dans le cadre de la gestion «traditionnelle» des changements?

Le manque de confiance dans les équipes

La deuxième raison pour laquelle les CAB sont si populaires et pourtant mal utilisés est la méfiance. Derrière cela se cache aussi la nécessité de sauver ses fesses au cas où quelque chose se passerait mal. Le CAB devient alors un mécanisme pour imposer un contrôle sur des équipes de spécialistes. En effet, sinon, comment savoir si elles travaillent exactement comme on le souhaite?

Dans ce scénario, plutôt que d’utiliser le concept d’autorité de changement et de laisser les équipes les plus proches du travail prendre des décisions, toutes ces décisions sont transférées au niveau du CAB. C’est là que les responsables du responsable du responsable de l’équipe discutent et décident des changements acceptables. Même si le pouvoir décisionnel revient au CAB, c’est toujours le demandeur du changement qui est tenu pour responsable. C’est-à-dire que, si quelque chose se passe mal, le CAB pourra prétendre avoir demandé des informations complètes et justes. Alors, la raison pour laquelle des résultats inattendus sont obtenus sera qu’il disposait d’informations erronées ou incomplètes. Et, on vous expliquera que dès qu’on identifiera qui est l’individu responsable du fiasco, on s’assurera que cela ne puisse plus se reproduire…

3 – La bataille du RAP

La troisième incompréhension porte sur la confusion entre les changements et les mises en production. Mais elle renvoie également au défi que pose la portée du CAB. La gestion du changement détermine si quelque chose doit être changé et quand. La gestion des mises en production vérifie si le package de modifications, quel que soit son contenu, est prêt à être mis en production et à quel moment. Par souci de simplicité, examinons la gestion des mises en production dans le cadre de la gestion des changements…

La manière dont le CAB a été conçu dans de nombreuses organisations pour les changements liés aux logiciels est en réalité un processus d’approbation de mise en production (RAP : Release Approval Process). D’ailleurs ce processus est assez amusant. Plutôt que d’évaluer l’état de préparation à la mise en production et au déploiement (ce qui est à nouveau une tâche à effectuer, de préférence de manière automatisée avec beaucoup de retours), le RAP/CAB évalue la viabilité du changement lorsque le travail sur ce changement a déjà commencé, ou même le plus souvent, a déjà été achevé. C’est évidemment bien trop tard!

Les processus de prise de décision pour les changements (si une modification logicielle est nécessaire) et pour les mises en production (comment valider au mieux la modification) sont déconnectés et mal alignés. Dans ces organisations, la pratique de gestion du changement – bien que généralement non dénommée ainsi – s’appuie sur« le métier», et« l’informatique » et permet de prendre les commandes une fois la décision prise, de livrer ce qui était prévu (mais rarement décrit correctement), et d’assurer qu’aucune perturbation ne surviendra sur aucun service.

Il y a trop de dysfonctionnements dans ce scénario pour pouvoir les détailler et les intégrer dans cet article. Aussi, ce que je voudrais faire, c’est proposer un point de vue différent pour examiner les changements logiciels. Cela permettra peut-être de supprimer en partie la tension entre la communauté ITSM et la communauté DevOps.

Etendre le mandat

Examinons le développement logiciel agile avec intégration continue (CI: Continuous Integration) et livraison continue (CD: Continuous Delivery). En principe, nous pouvons supposer que le code injecté dans le pipeline CI / CD a été pré-approuvé. C’est-à-dire que le développeur a le mandat de travailler dessus. Il nécessite seulement de passer les contrôles de qualité (automatisés) avant d’atteindre l’environnement de production.

Cette approbation préalable ne signifie pas que quiconque a demandé que le travail de développement soit effectué soit sûr à 100% que ces changements spécifiques produiront les résultats escomptés. Pas plus que le développeur n’est totalement convaincu que le code passera les revues qualité sans problèmes. Le temps de retour pour le développeur se compte en minutes / heures. Il se compte pour le client en heures / jours / semaines, en fonction de la conception du pipeline et de la méthodologie de développement utilisée. Le délai de retour est donc extrêmement long et ne correspond pas aux besoins des métiers.

Si le client a déjà décidé qu’il souhaite le changement, cette décision doit en réalité être une décision du CAB. Mais ce n’est pas le CAB tel qu’il est mis en oeuvre habituellement. Ainsi, plutôt que d’essayer même d’évaluer manuellement chaque version logicielle en cours de traitement dans un CAB (ou RAP), les équipes chargées de la gestion des changements et des mises en production doivent alors travailler ensemble pour concevoir et améliorer le pipeline CI / CD. et des revues qualité automatisées.

Est-il raisonnable de démanteler le CAB?

Quelle que soit la conception de votre CAB actuel ou futur, la question clé à garder à l’esprit est la suivante: aide-t-il à obtenir les résultats attendus des métiers?

Une Gestion des Changements efficace ne peut pas être limitée à un portique de sécurité pour l’accès au service informatique. Cela signifie que la gestion du changement n’est pas basée uniquement sur le CAB. Le CAB n’est pas le processus de gestion des changements. C’est juste un mécanisme qui peut être utile au sein du processus. Il reste probablement beaucoup d’autres choses nécessitant une amélioration dans votre gestion du changement.

S’agissant de votre CAB, s’il s’agit d’un groupe de personnes qui ne connaissent pas les détails des changements / mises en production dont ils discutent mais qui prennent cependant des décisions en évitant de répondre de ces décisions, alors c’est clairement un CAB à éliminer d’urgence.  En effet, ce n’est pas du tout le CAB, préconisé par les bonnes pratiques, dont votre entreprise a besoin..

Mais si c’est un groupe de personnes qui peuvent conseiller sur les changements planifiés, aider à la coordination et à la hiérarchisation, et qui sont là pour aider l’organisation plutôt que leur carrière personnelle, alors conservez-le. Mais améliorez-le de façon continue également.

Vous souhaitez évaluer la viabilité des changements? Alors, vous devez le faire en vous appuyant sur des personnes qui comprennent ces changements. C’est la viabilité des Mises en Production que souhaitez évaluer? Alors, cette tâche devrait être effectuée par des personnes qui comprennent ces Mises en Production.

Pour améliorer la qualité, n’oubliez jamais que vous devez réduire les intermédiaires et automatiser autant que faire se peut.

 

Crédits : cet article est inspiré d’une publication de Kaimar Karu

ITIL 4 : De nouvelles certifications

Alors qu’AXELOS travaille toujours sur la prochaine version d’ITIL dénommée ITIL 4, le nouveau schéma de certification vient d’être dévoilé. Nous vous aidons à y voir un peu plus clair. Qu’est-ce qui change? Les certifications ITIL 2011 restent-elles valides? Comment passer d’une certification ITIL 2011 à une certification ITIL 4? Faut-il arrêter de se former et de se certifier sur ITIL 2011?

ITIL 4 - Les nouvelles certifications
Crédit © rawpixel.com 2018

Nous l’évoquions dans un précédent article, la nouvelle version d’ITIL, ITIL 4 est annoncée pour le premier trimestre 2019. Mais d’ores et déjà, AXELOS, propriétaire du cadre de bonnes pratiques, vient de communiquer le schéma de certifications de cette nouvelle version. Plus simple que le précédent qui était une véritable usine à gaz sans apport réel de valeur, le nouveau cursus semble mieux adapté aux besoins. Reste encore à savoir quels seront les contenus des différents modules. A ce jour, le détail n’est pas encore communiqué.

ITIL 4 constitue la plus importante mise à jour depuis l’introduction de ITIL v3 en 2007. Contrairement à l’actualisation de la version 3 en 2011, le début de 2019 sera marqué par des changements majeurs.

Le chiffre 4 ne traduit pas seulement un numéro de version. Le nom, « ITIL 4 », reflète le rôle que ce cadre de meilleures pratiques continuera de jouer pour aider les individus et les organisations à évoluer dans la quatrième révolution industrielle.

Les nouveautés dans le parcours des formations et des certifications

Le nouveau cursus de formations et de certifications est beaucoup plus simple que celui d’ITIL 2011. Il se compose de trois  niveaux de certification et de 5 qualifications au total  :

  1. Niveau fondamental : Certification ITIL Foundation
  2. Deux parcours de spécialisation :
    • Certification ITIL Management Professional : 4 modules
      • ITIL specialist : Create, Deliver & Support
      • ITIL Specialist : Drive Stakeholder Value
      • ITIL Specialist : High Velocity IT
      • ITIL Strategist : Direct, Plan & Improve
    • Certification ITIL Strategic Leader : 2 modules
      • ITIL Strategist : Direct, Plan & Improve
      • ITIL Leader : Digital & IT Strategy
  3. Certification ITIL Master

Notons que le module ITIL Strategist (Direct, Plan & Improve) est commun aux deux parcours. Le principe est que pour chaque parcours, il faut détenir l’ensemble des qualifications correspondantes pour obtenir la certification.

Nouveau parcours de formations et de formations ITIL 4
Crédit © AXELOS 2018

Les nouvelles formations ITIL 4

ITIL 4 Foundation

Le nouveau cours ITIL 4 Foundation sera disponible début 2019. La certification ITIL 4 Foundation reste la certification de niveau d’entrée. Le cours Foundation donnera aux apprenants une connaissance générale des éléments clés, des concepts et de la terminologie et constituera un pré-requis obligatoire pour quiconque souhaitant obtenir les certifications de niveau supérieur.

ITIL 4 Managing Professional

Le cursus ITIL 4 Managing Professional (ITIL MP) fournira des connaissances pratiques et techniques sur comment réussir sa gestion de projets IT, d’équipes et de flux d’activités. Il s’adresse aux professionnels des TI travaillant dans les domaines technologiques et au sein d’équipes chargées de la transformation numérique au sein d’entreprises. Ce cursus est composé de 4 formations :

  • Create, Deliver & Support
  • Drive Stakeholder Value
  • High Velocity IT
  • Direct, Plan & Improve

Trois des cours (Create, Deliver & Support, Drive Stakeholder Value et High Velocity IT) sont des modules « ITIL Specialist » et le dernier (Direct, Plan & Improve) est un module « ITIL Strategist ».

Chacun de ces cours correspond à des objectifs spécifiques. Cependant, pour obtenir la certification ITIL 4 Managing Professional, il est nécessaire de posséder les quatre qualifications du cursus.

ITIL 4 Strategic Leader

Le cursus ITIL 4 Strategic Leader (ITIL SL) reconnaît la valeur d’ITIL, non seulement pour l’informatique, mais aussi pour tous les services numériques.Ce cursus est composé de deux formations :

  • ITIL Strategist – Direct, Plan & Improve
  • ITIL Leader – Digital & IT Strategy

La certification ITIL 4 Strategic Leader n’est accessible qu’aux gestionnaires expérimentés. Ils devront posséder au moins trois ans d’expérience et être également détenteurs de la nouvelle certification ITIL 4 Foundation. Ils devront bien sûr obligatoirement posséder les deux qualifications du cursus. Aucune précision n’a encore été donnée sur la façon dont les apprenants devront démontrer qu’ils possèdent l’expérience requise.

ITIL 4 Master

Accessible uniquement aux détenteurs des certifications ITIL MP et ITIL SL, cette certification sera basée sur une évaluation concrète des compétences. La forme que pourrait prendre cette évaluation sera communiquée ultérieurement par AXELOS.

Validité des certifications ITIL V3 et ITIL 2011

Les certifications ITIL V3 et ITIL 2011 seront remplacées par les certifications ITIL 4 à partir du deuxième semestre 2019. La seule exception concerne la certification Foundation qui sera disponible en principe avant l’été 2019. Elles continueront cependant à être proposées jusqu’à l’été 2020.

AXELOS a d’ores et déjà communiqué qu’il serait possible, grâce à un processus de transition, de passer des certifications ITIL V3 ou ITIL 2011. Le pré-requis pour bénéficier de cette transition est de détenir au minimum 17 points ou une certification Expert dans le cursus actuel. De plus cette transition nécessitera de suivre une formation suivie d’un examen. Elle ne sera proposée que dans le cadre du cursus ITIL Management Professional et ce à partir du second semestre 2019.

Il n’existera pas de « pont » entre l’actuel ITIL 2011 Foundation et ITIL 4 Foundation. Les apprenants devrons donc suivre le cours normal ITIL 4 Foundation et passer l’examen de certification.

Cela signifie que quiconque est déjà sur le chemin d’une certification ITIL Expert a tout intérêt à la poursuivre dans l’année qui vient. C’est donc une excellente nouvelle pour les personnes qui ont déjà beaucoup investi dans le système de qualification v3 ou 2011.

En résumé…

ITIL 4 Foundation sera disponible à partir du premier trimestre 2019. Il n’y a pas de passerelle, vous devez donc passer le nouvel examen.

ITIL Practitioner ne figurera pas dans le nouveau schéma ITIL. Les compétences particulières associées à cette certification seront désormais incluses dans chacun de cursus proposés. Ceci démontre une volonté d’acquisition de compétences plus pratiques dans ITIL 4. Les certifications ITIL V3 et 2011 étaient bien trop théoriques pour être applicables. C’est d’ailleurs une raison du faible intérêt rencontré par ITIL Practitioner.

Les étudiants qui auront obtenu 17 crédits sur v3 ou 2011 peuvent les utiliser pour réaliser une transition  permettant de devenir un gestionnaire professionnel ITIL 4. Toute personne qui étudie déjà pour des cours de niveau Expert ou supérieur devrait donc continuer à le faire.

Vous avez des commentaires ou des questions? N’hésitez pas à commenter cet article et nous vous répondrons avec plaisir.

ISO/IEC 20000-1 : le cru 2018 est arrivé

Fantastique nouvelle pour toutes les personnes impliquées dans la gestion des services informatiques (ITSM), la norme internationale ISO/IEC 20000-1:2018 a été publiée ce 15 septembre 2018. Elle est désormais disponible en Anglais et en Français sur le site de l’ISO

ISO/IEC 20000-1:2018 nouvelle version de la norme de gestion des services (ITSM)
Crédit image © raw pixel.com

En cette saison de vendanges, les nouveaux crus sont très attendus. Et le millésime 2018 de la norme internationale ISO/IEC 20000-1 ne fait pas exception à la règle. Il s’agit là de la 3ème version de cette norme dont la première publication remonte à 2005. A l’origine, il s’agissait essentiellement de traduire les bonnes pratiques ITIL V2 sous forme d’une norme de gestion des services informatiques (ITSM). L’objectif était de permettre aux organisations informatiques de certifier leur système de management des services TI. Les référentiels de bonnes pratiques tels que ITIL ne permettant pas de certifier une organisation, ISO/IEC 20000 était la première norme ITSM.

L’enquête annuelle réalisée par l’ISO (International Standard Organization) montre qu’en 2016 la norme ISO 20000 est classée en 9ème position des normes sur lesquelles les entreprises se certifient le plus, avec 4537 certificats d’entreprises délivrés en 2016. Elle connaît d’ailleurs une croissance très importante de 63%, et spécialement en Asie.

ITSM - ISO 20000 dans le monde. Devant ITIL
Répartition des certifications ISO 20000 délivrées dans le monde en 2015 & 2016 – © ISO 2017

Aujourd’hui, ISO/IEC 20000-1:2018 reste alignée sur les bonnes pratiques ITSM, parmi lesquelles ITIL. Cependant, elle a largement pris son autonomie et son périmètre s’est sensiblement élargi. Nous vous livrons ici quelques unes des nouveautés attendues par tous les acteurs de la gestion des services.

Vue d’ensemble de la version 2018 d’ISO/IEC 20000-1

Les membres du sous-comité SC40 du JTC1 (ISO/IEC) ont fait un travail remarquable. Ils ont pris en compte les tendances et les défis actuels dans l’environnement de gestion des services. L’accent est désormais mis davantage sur la gestion et l’assurance qualité. Il est moins centré sur la formulation des processus et des procédures. Le fait qu’un écosystème de services soit composé d’un environnement multi-fournisseurs empêche souvent les entreprises de normaliser tous les processus dans toutes les organisations impliquées incluant leur chaîne logistique de service.

Les changements les plus importants dans la norme ISO/IEC 20000-1:2018

Les modifications suivantes ont été apportées par rapport à la version précédente de 2011:

  1. Au plus haut niveau, une nouvelle structure hiérarchique conforme aux autres normes relatives au système de management a été introduite. Cela facilite la certification des entreprises pour plusieurs normes, telles qu’ISO 9001 (gestion de la qualité) ou ISO 27001 (gestion de la sécurité de l’information).
  2. La section Termes et définitions a été supprimée. Elle est désormais remplacée par une référence aux termes et définitions de l’ISO / IEC 20000-10.
  3. Toutes les références à la « méthode PDCA » (« Plan-Do-Check-Act ») ont été supprimées.
  4. De nouvelles exigences sur le contexte de l’organisation et sur les activités relatives aux risques et aux opportunités ont été ajoutées.
  5. Une exigence explicite de «créer, mettre en œuvre, maintenir et améliorer continuellement un système de management des services (SMS)» a été ajoutée.
  6. Les exigences en matière d’informations documentées, de ressources, de compétences et de sensibilisation ont été mises à jour.
  7. Des exigences supplémentaires dans les domaines de la planification des services, de la connaissance, de la gestion des actifs, de la gestion de la demande et de la fourniture de services ont été introduites.
  8. Les exigences relatives à la gestion des incidents et à la gestion des demandes de service ont été divisées en deux chapitres distincts.

À première vue, la norme semble être devenue plus vaste et donc plus complexe. Cependant, les exigences concernant les processus sont beaucoup plus simples. De même, les exigences en matière de documentation ont été considérablement réduites. Cela permet aux organisations de définir leurs processus beaucoup plus librement. La norme est maintenant conçue davantage pour l’effet de la gestion des services que pour sa description détaillée.

La nouvelle norme sur l’ITSM en un seul coup d’oeil

Les changements et améliorations de cette nouvelle version de la norme ISO/IEC 20000 se reflètent dans le schéma suivant :

Schéma de la norme ISO/IEC 20000-1:2018. Au delà du périmètre ITIL
Crédit © ISO 2018

Comme on peut le voir, des questions telles que le leadership et l’engagement, la gestion des risques, la planification des services d’évaluation et l’amélioration de performance deviennent centrales.

Il est également clair que le nombre de processus a nettement augmenté par rapport à la version précédente de 2011. Cette nouvelle mouture de la norme voit son périmètre augmenter. Il est désormais aligné sur celui d’ITIL 2011 et prend en considération les nouveaux référentiels ITSM comme VeriSM, SIAM, COBIT, etc..

Un changement dans la cible de la norme

Le terme « service informatique » figurait déjà dans la dernière version de la norme. Mais la norme était principalement réservée aux organisations informatiques pour certifier leur système de management à ISO 20000. Avec la connectivité accrue des fournisseurs de services externes et les exigences moins détaillées pour les processus informatiques tels que la disponibilité et la gestion de la capacité, la norme est désormais également prédestinée à être utilisée en dehors des organisations informatiques. C’est la base de la certification de la gestion professionnelle des services d’entreprise à l’avenir avec la nouvelle norme ISO/IEC 20000-1: 2018. Attendons donc de voir comment cela va évoluer dans les prochains mois.

Quelles suites sont à prévoir dans les prochains mois?

Si votre organisation est déjà certifiée ou si vous commencez à mettre en œuvre ISO20000-1, ne vous inquiétez pas. Il est probable qu’il y aura une période de transition minimale de deux ans après la révision de la première partie. Rien de ce que vous faites actuellement pour l’ISO/IEC 20000-1:2011 actuelle ne sera perdu.

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011, la transition doit être bien préparée. Cependant les changements ne seront pas vraiment importants. Il est toutefois conseillé de convenir de la date de transition avec le certificateur en temps utile. La date limite probable de cette nouvelle certification sera sans doute d’ici 2021 au plus tard.

Pour les entreprises non encore certifiées ISO/IEC 20000-1

Pour les entreprises qui souhaitent obtenir la certification ISO 20000-1 pour la première fois, cette édition est simplifiée. Elle est moins détaillée au niveau des exigences. Elle se concentre sur ce que les entreprises doivent faire pour avoir plus de liberté de mise en œuvre. La mise en oeuvre d’un système de management des services, en vue de la certification, devrait donc être plus facile.

Parmi les points-clés dont vous devez désormais vous préoccuper pour faire certifier votre SMS sur ISO/IEC 20000-1:2018 :

  • Quels sont les résultats attendus de votre système de gestion de services (SMS) et de vos services?
  • Qu’est-ce qui constitue une valeur pour l’organisation et les clients du SMS et des services?
  • Qui a le pouvoir de prendre des décisions clés sur le SMS et les services?
  • Comment les exigences SMS sont-elles intégrées dans les processus métier de l’organisation?
  • Quelles connaissances sont nécessaires pour soutenir le fonctionnement du SMS et des services?

Ce sont là des aspects clés pour l’ITSM et l’alignement sur le business. Aucune surprise donc de les retrouver au coeur de la nouvelle version de la norme. Ce sont également des questions qui matérialisent un peu plus la particularité d’ISO/IEC 20000-1:2018 vis à vis d’ITIL. En effet ITIL 2011 reste essentiellement focalisé sur les processus exclusivement. Ce sont également les questions qui sont au coeur des nouveaux référentiels ITSM tels que SIAM, VeriSM, etc. Il semble que la nouvelle version d’ITIL (ITIL4) annoncée pour le premier trimestre 2019 aille également dans ce sens.

Quid de la formation et des certifications de personnes?

A l’heure actuel, plusieurs organismes de certification de personnes proposent des certifications individuelles sur ISO/IEC 20000. Parmi elles, on peut citer APMG, EXIN ou PECB. Là encore ne vous inquiétez pas. votre certification ISO 20000 (Foundation, auditor, professional, lead implémenter ou lead auditor) demeurera valide. Les organismes de formations vont simplement devoir mettre à jour leurs cursus de formation pour les adapter à la nouvelle version de la norme. La mise à niveau des examens de certification devrait intervenir dans les prochaines semaines.

2AB & Associates (ex AB Consulting), accrédité auprès de l’APMG, d’EXIN et de PECB pour délivrer les formations et les certifications de personnes sur ISO/IEC 20000 est déjà en train de finaliser les nouveaux cours alignés sur la version 2018 de la norme. Nous préparons aussi un cours de transition vers ISO/IEC 20000-1:2018. Ce cours a pour objectif d’aider les personnes en train de conduire une certification de leur organisation sur la version 2011.

 

Fournisseur de services informatiques… un challenge

Aujourd’hui l’entreprise dépend étroitement du bon fonctionnement de ses services informatiques. Un problème d’ordinateur, de serveur, de logiciel ou de connexion Internet et l’entreprise se trouve bloquée ou ralentie dans ses activités.

utilisatrice des services informatiques

Qu’est ce qu’un service informatique ?

Selon ITIL®, le référentiel de bonnes pratiques publié par AXELOS®, le plus utilisé dans le monde, Un service informatique est un moyen de fournir de la valeur aux clients en facilitant les résultats qu’ils veulent obtenir, sans avoir à en gérer ni les coûts, ni les risques spécifiques.

Un Service informatique s’appuie sur quatre éléments: les technologies, les informations, les personnes et les processus.

Les services informatiques touchent l’ensemble des actions coordonnées de recherche, de traitement, de communication et protection des informations utiles d’une entreprise.

 La gestion des services informatiques

Lagestion des services informatiques gestion de services informatiques (ITSM) se réfère à l’ensemble des activités – définies par des politiques, organisées et structurées grâce à des processus et des procéures de soutien – qui sont effectuées par une organisation ou une partie d’une organisation consistant à planifier, à organiser, exploiter et contrôler
les services informatiques offerts aux clients internes ou externes. La gestion des services informatiques est donc préoccupée par la mise en œuvre de services informatiques de qualité qui répondent aux besoins des clients. Elle est réalisée par le fournisseur de services informatiques grâce à l’utilisation d’une combinaison appropriée de personnes, de processus et de technologie de l’information.

Si, la plupart du temps, l’activité d’une Entreprise débute avec quelques ordinateurs et des logiciels de bureautique, très vite le développement de l’activité amène à devoir faire évoluer son système informatique. Or une bonne gestion du système informatique, pensée à l’avance, permet de prévoir ces évolutions et d’éviter les freins au développement et le surcoût.

Pour assurer cette gestion les responsables des organisations informatiques sont chargés de transformer leurs organisations afin de passer de fournisseur technologique traditionnel à fournisseur de services. Ils doivent pour cela adopter une approche systématique orientée sur le cycle de vie de la gestion de services informatiques (ITSM), afin de s’aligner sur les objectifs métier et informatiques de l’entreprise.

La transformation nécessaire de l’organisation

Il s’agit là d’une transformation majeure tant au niveau de la culture de l’organisation informatique qui doit être focalisée sur les besoins de ses clients au lieu des aspects techniques,  que des structures organisationnelles et des processus à implémenter. Bien sûr, cette transformation nécessitera la mise en place d’outils adaptés pour gérer efficacement les services. Adieu donc aux gestions de parc informatique en open-source et autre logiciels spécifiques bon marché. Il faut désormais se concentrer sur le cycle de vie des services et miser sur des suites d’outils intégrés.

Pour ce qui est des processus, il existe de référentiels de bonnes pratiques tels que ITIL® qui pourront être un support extrêmement important dans votre transformation. Toutefois il ne faut pas chercher à mettre en oeuvre l’ensemble des 25 processus et des 4 fonctions décrits par ITIL®. Concentrez-vous sur les attentes de vos clients et sur ce qui leur créera le plus de valeur. L’objectif n’est en aucun cas de réduire les coûts de fourniture des services informatiques mais bien de livrer des services à haute valeur ajoutée à vos clients, leur permettant d’atteindre leurs objectifs business en ligne avec les attentes définies par les actionnaires et autres parties prenantes portées par le conseil d’administration de l’entreprise.  Peut-être que seulement un ou deux processus feront sens dans le contexte de votre organisation. La priorisation est donc clé. Un référentiel de gouvernance et de management du SI tel que COBIT® 5 peut vous aider à définir vos priorités grâce à sa cascade d’objectifs permettant, à partir des attentes des parties prenantes de définir les objectifs de l’organisation informatique, d’en déduire quels processus seront vitaux pour leur atteinte et, pour chacun de ces processus, sur quels objectifs vous concentrer. Il va également falloir former les personnels de façon adéquate tant au niveau des compétences (formations ITIL® et/ou COBIT® en l’occurrence) qu’au niveau de la culture de services en vue de les amener à adopter le comportement idéal. Ne négligez pas cet aspect qui est primordial pour la réussite de votre projet.

Pour réussir votre projet de transformation vous aurez également besoin d’un expert du domaine, souvent un consultant externe, maîtrisant parfaitement la mise en oeuvre de ce type de projet de transformation. Comment le trouver? C’est très simple. Il doit avoir la connaissance des processus concernés et une bonne expérience de plusieurs implémentations réussies. La connaissance sera reconnue grâce à des certifications appropriées. Surtout ne confiez pas votre organisation à quelqu’un n’ayant qu’une certification Foundation. Recherchez un expert possédant la certification ITIL® Expert dans le cas de processus ITIL®. Bien sûr cela vous coûtera plus cher mais quel est votre objectif? Dépenser le moins possible et perdre votre investissement voire, plus grave encore, pénaliser votre entreprise à cause de services informatiques mal définis et non alignés sur les besoins business ou maximiser la valeur créée par le business à l’aide des services informatiques performants permettant de prendre de l’avance sur les concurrents?

Un de mes clients, ex-DSI d’une Entreprise, m’expliquait il y a quelque temps qu’il avait parfaitement réussi l’implémentation de processus ITIL® dans son organisation et, finalement avait fini par se faire licencier. Lorsque je lui demandais comment il s’y était pris pour « implémenter ITIL® » il m’indiqua qu’il avait défini et implémenté le processus de gestion des incidents. Quand je lui demandais comment le choix du processus de gestion des incidents avait été effectué, il me dit qu’un consultant externe, certifié ITIL® Foundation, les avait orientés dans ce sens car « c’est le point de départ logique et habituel de toute implémentation ITIL® ». Alors que je luis demandais quels étaient les challenges de son Entreprise, il me répondit que la stratégie fixée par le conseil d’administration consistait en un développement rapide de l’Entreprise grâce à l’ouverture de magasins au rythme d’une nouvelle implantation chaque semaine, ce qui était très problématique en terme de rythme pour le département informatique qui devait donc déployer des postes de travail et gérer l’évolution de ses services informatiques à une cadence effréné. Il m’indiqua que finalement le département informatique n’avait pas pu suivre et que le rythme des implantations avait dû être ralenti de ce fait. Je lui demandais alors si les utilisateurs et les clients se plaignaient de l’indisponibilité des services informatiques pour cause d’incidents. Il me répondit qu’au contraire ils étaient extrêmement contents de la stabilité de leur système d’information, ce dont il était apparemment très fier. Il devenait dès lors très clair que le choix d’implémenter la gestion des incidents était une erreur majeure et que des processus tels que la gestion des changements et la gestion de mises en production et des déploiements eussent été mieux ciblés. Il avait ainsi utilisé les ressources de l’organisation pour réaliser un projet coûteux, sans aucune valeur ajoutée et se retrouvait, de ce fait, dans l’impossibilité de soutenir les objectifs de son Entreprise, laquelle avait eu bien raison de le licencier…

N’oubliez pas que la transformation de votre organisation informatique en fournisseur de services à valeur ajoutée pour vos clients et un projet ou même un programme qui doit être justifié par un business case. Ce projet pourra être géré en utilisant une méthodologie de gestion de projet de type PRINCE2® par exemple. Gardez en mémoire que l’implémentation de processus et/ou de fonctions basés sur ITIL® nécessite une adaptation au contexte de votre Entreprise. Une simple copie des processus décrits dans le manuel sera sans aucun doute néfaste pour votre organisation. Cette adaptation pertinente à votre contexte n’est réalisable que grâce à l’implication forte de vos clients business dans le projet notamment grâce à l’organisation de groupes de travail, ce qui va nécessiter du temps, des ressources et un budget conséquent. C’est votre business case qui apportera les éléments de justification et de viabilité de ce projet. Le business case sera réactualisé tout au long du projet. Dès que le projet ne sera plus viable ni justifiable en termes de bénéfices attendus pour l’Entreprise, il faudra l’arrêter car il ne sert à rien de continuer à mobiliser des ressources et à dépenser des budgets qui n’ont plus d’utilité.

Cyber-sécurité: une demande forte pour un profil rare

 

L’actuelle pénurie de professionnels qualifiés en cyber-sécurité continue de constituer un problème majeur pour toutes les industries aux Etats-Unis, en Europe, mais aussi dans le reste du monde.

professionnel en cyber-sécurité

James Trainor, directeur adjoint par intérim de la Division Cyber du FBI, a récemment déclaré que l’industrie de la cyber-sécurité doit absolument « doubler ou tripler » ses effectifs pour être en mesure de répondre à l’augmentation des violations en matière des sécurité des informations.

Selon le Rapport 2015 sur la situation mondiale en matière de cyber-sécurité publié en Janvier par l’ISACA, 86% des entreprises et des professionnels de l’informatique sont conscients de la pénurie de professionnels de la cyber-sécurité et 37% prévoient d’embaucher de nouveaux spécialistes de la cyber-sécurité en 2015. 53% des entreprises interrogées prévoient également d’accroître, en 2015, la sensibilisation de leurs équipes grâce à des formations de sensibilisation, à la lumière des évènements récents publiés dans les médias.

Il n’y a jamais eu de meilleur moment pour entrer sur ce marché en plein essor. Voici quelques raisons de plus à considérer pour le développement de votre carrière.

Vous serez sans aucun doute la cible de chasseurs de têtes.

Le Bureau of Labor Statistics (BLS) a constaté qu’il y a actuellement « plus de 209.000 offres d’emplois non pourvues en matière de cyber-sécurité aux Etats-Unis, et les recrutements sont en hausse de 74 pour cent au cours des cinq dernières années ». En France, le nombre de postes non pourvus par manque de candidats est certes moins impressionnant mais d’ores et déjà, on en compte plus d’un millier depuis le début 2015.

Le BLS estime également que le marché de l’emploi pour les analystes de la sécurité de l’information – qui comprend les professionnels de la cyber-sécurité – va croître de 37% d’ici 2022.

Le rapport de sécurité annuel 2014 de Cisco estime, pour sa part, qu’il y a une pénurie mondiale d’un million de professionnels de la sécurité de l’information.

Les salaires sont élevés

Comme la concurrence pour le personnel qualifié augmente, les salaires sont inévitablement à la hausse pour attirer les meilleurs candidats – souvent bien au-delà des niveaux que les entreprises les plus petites peuvent se permettre – provoquant des taux anormalement élevés de turn-over et l’instabilité du secteur.

salaire cyber-sécuritéAux Etats Unis, les salaires annuels des professionnels de la sécurité dans les technologies de l’information vont de 60.000 $ à 70.000 $ pour les emplois de premier échelon. Le BLS estime le salaire médian à 86.170 $. Les 10 pour cent ayant les plus bas salaires ont gagné moins de 49.960 $, le top 10 pour cent a pour sa part gagné plus de 135.600 $ en moyenne l’an dernier. En France, les revenus moyens en début de carrière sont généralement de l’ordre de 35 à 40 k€ annuels, peuvent atteindre plus de 80 k€ pour un consultant senior.

James Stanger, Senior Director du groupe produits pour CompTIA (un des leaders mondiaux en matière de certifications dans le domaine IT), a déclaré :« le truc pour être un professionnel compétitif en sécurité, c’est d’avoir un diplôme d’études supérieures, une certification en cyber-sécurité, et de l’expérience».

« J’ai vu des gens possédant seulement une certification mais pas de diplôme d’enseignement supérieur s’en sortir parfaitement, bien que n’ayant pas encore d’expertise professionnelle. Mais, en général, vous avez besoin des trois », a déclaré Stanger.

Vous aurez un emploi à vie. Aussi longtemps que l’Internet sera présent dans nos vies professionnelles et personnelles, vous serez incontournable.

Les cyber-menaces se multiplient en permanence, notre dépendance à l’Internet continue d’augmenter chaque jour, et, comme l’internet des objets décolle, le nombre d’appareils connectés à l’Internet explose (automobiles, appareils électro-ménagers, puces d’identification RFID dans les cartes et badges, contrôle à distance des équipements domotique…). Il va donc de soi que le nombre d’emplois en cyber-sécurité continuera d’augmenter de façon de plus en plus rapide.

La pénurie va continuer et même augmenter

La plupart des organisations qui ont été la cible d’attaques de sécurité ces dernières années ont perdu des informations extrêmement sensibles. Même si ces informations perdues ne mettent pas nécessairement les personnes et les biens (incluant les aspects financiers) en péril direct, cela conduit le plus souvent à des dommages irréversibles en termes d’image et de réputation de l’Entreprise victime. Les clients et prospects perdent toute confiance dans une organisation qui n’est pas capable de conserver leurs informations confidentielles et sécurisées. Le nombre de procès intentés au Organisations concernées par les personnes auxquelles les données volées ou perdues appartenaient augmente de façon spectaculaire. La conséquence est que pour éviter ces impacts majeurs, beaucoup d’Entreprises victimes de cyber-attaques ne communiquent pas sur ces incidents.

Cela a conduit, sous la pression des clients et utilisateurs de la société de l’information, les organismes internationaux de régulation ainsi que les états à adopter des lois et réglementations très sévères à l’image du Royaume Uni où la législation prévoit une amende infligée par l’ICO (Information Commissioner’s Office) allant jusqu’à 100.000 £ pour toute violation de données. De son côté, la Communauté Européenne, au travers de la Directive Européenne de Protection des Données, prévoit d’imposer désormais aux Entreprises de communiquer publiquement sur les vols de données dont elles auraient été victimes. Cette nouvelle directive prévoit aussi des amendes allant jusqu’à 100 millions d’Euros ou 5% du chiffre d’affaires pour les Organisations qui ne respecteraient pas la législation en la matière.

Cette directive devrait entrer en vigueur fin 2015. Il est clair que les conséquences vont être importantes au niveau des Entreprises Européennes qui vont être contraintes d’appliquer la directive et donc recruter plus de spécialistes en matière de cyber-sécurité et de cyber-résilience.

Une qualification en cyber-sécurité et/ou en cyber-résilience pour démarrer votre carrière

Il existe actuellement plusieurs qualifications disponibles pour les candidats potentiels à des postes en cyber-sécurité et en cyber-résilience.

ISO 27001 : La norme internationale

iso 27001En 2005, la première norme en matière de cyber-sécurité à la fois globale, exhaustive et par dessus tout internationale voyait le jour : ISO 27001. Aujourd’hui il s’agit de la norme de certification des systèmes de management de la sécurité des informations la plus implémentée dans le monde. La certification ISO 27001 devient même une exigence de conformité réglementaire pour certains types d’Entreprises dans des pays importants dans le monde.

En obtenant une qualification ISO 27001 vous démontrez à vos employeurs actuels et futurs que vous prenez au sérieux la sécurité des informations et que vous êtes familier avec les meilleures pratiques en cyber-sécurité.

Il y a trois qualifications principales disponibles:

Novice sur la norme ISO 27001? Suivez le cours de 3 jours ISO 27001 Foundation et développez votre compréhension de la norme et de ses exigences.

Impliqué(e) dans la mise en œuvre de la norme ISO 27001? Suivez le cours ISO 27001 Practitioner pour comprendre pleinement comment planifier, mettre en œuvre et maintenir un ISMS conforme aux exigences d’ISO 27001.

Vous devez réaliser des audits ISO 27001? Suivez le cours ISO 27001 Auditor vous permettant d’obtenir la qualification nécessaire pour planifier et exécuter des audits de conformité de systèmes de management de la sécurité de l’information (ISMS) à ISO 27001.

RESILIA: les bonnes pratiques en cyber-résilience

cyber-résilience résiliaUn nouveau référentiel de bonnes pratiques couvrant l’ensemble du domaine de la cyber-résilience vient de voir le jour au Royaume Uni. Il s’agit de RESILIA, publié par AXELOS®, l’Organisation possédant la propriété intellectuelle de l’ensemble du portefeuille des bonnes pratiques du domaine public britannique incluant en particulier ITIL® et PRINCE2® . La cyber-résilience intègre la cyber-sécurité mais son périmètre est plus large et couvre notamment les aspects de récupération de son aptitude à créer de la valeur par l’Entreprise après avoir subi une cyber-attaque. RESILIA complémente de façon très efficace ITIL® en intégrant les éléments relatifs à la cyber résilience aux cinq phases du cycle de vie des services (stratégie, conception, transition, exploitation et amélioration continue).

Pour l’heure trois cours et deux qualifications RESILIA sont disponibles :

RESILIA Awareness : cours d’une journée destiné aux membres des comités de direction et à l’ensemble du personnel métier des Entreprises afin de les sensibiliser sur les risques, les moyens de s’en protéger et sur la manière de réagir en cas de cyber-attaque afin de permettre à l’Entreprise de minimiser les impacts sur son image, sa réputation et bien sûr sur son activité opérationnelle. Ce cours ne conduit pas à une certification.

RESILIA Foundation : cours de trois jours couvrant les principes fondamentaux et les cinq phases du cycle de vie, destiné à l’ensemble du personnel informatique et des membres des équipes métiers, aboutissant à la certification RESILIA Foundation.

RESILIA Practitioner : cours de deux jours, couvrant les aspects de pratique au quotidien des activité de cyber résilience. A l’issue des ces deux journées, un examen de certification RESILIA Practitioner permet aux participants, généralement issus des équipes informatiques et des équipes en charge de gérer la sécurité de l’information d’obtenir la qualification internationale de Praticien RESILIA.

COBIT® 5 : la Gouvernance et le Management de la sécurité

COBIT 5 NIST ImplementationImplementing NIST cybersecurity framework using COBIT 5 : cours de trois jours, focalisé sur l’Implémentation du référentiel de cyber-sécurité du NIST, basé sur les 7 étapes d’implémentation de COBIT® 5 conduisant à la certification Implementing NIST CSF using COBIT® 5

COBIT® 5 Assessor for Security : cours de trois jours, accessible aux titulaires de la qualification COBIT® 5 Foundation, fournissant les bases pour évaluer l’aptitude des processus de cyber-sécurité d’une organisation par rapport au modèle d’évaluation (PAM) de COBIT® 5. Ce cours permet d’obtenir la qualification COBIT® 5 Assessor for Security.

COBIT® 5 for Information Security : ce cours de deux jours s’adresse aux professionnels de la sécurité et offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :