Home » Posts tagged 'bonnes pratiques'

Tag Archives: bonnes pratiques

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

ITIL – 6 autres erreurs de mise en oeuvre

Après la publication de notre article intitulé ITIL – 5 erreurs majeures de mise en oeuvre, nous vous proposons 6 autres erreurs parmi les plus importantes et les plus courantes commises pendant dans la phase d’implémentation.

ITIL - 6 autres erreurs de mise en oeuvre ou comment chaque erreur d'implémentation des meilleurs pratiques ITSM peut conduire votre organisation à l'échec
Crédit © Photo 5000 – 2018

Dans un précédent article, j’ai décrit cinq façons différentes de mal utiliser ITIL :

  • Vouloir absolument « implémenter » ITIL,
  • Se focaliser seulement sur les processus,
  • Miser sur un nouvel outil de gestion des services informatiques (ITSM) p
  • our résoudre tous les problèmes,
  • Démarrer la réalisation de projets (ou de programmes) volumineux et trop longs à générer de la valeur,
  • Et enfin assigner une personne pour chaque rôle.

Dans ce nouvel article, je propose six autres erreurs parmi les plus courantes dans le cadre de la mise en oeuvre des bonnes pratiques ITIL. Bien sûr je vous indique également ce que vous pouvez faire pour les éviter.

Il n’est pas nécessaire d’avoir lu mon précédent article. Cependant il peut vous aider à mieux comprendre tout ce qui pourrait empêcher votre organisation de tirer pleinement parti des avantages offerts par ITIL.

Il existe donc six autres façon de mal comprendre et de mal utiliser ITIL.

Erreur N° 6 : Mettre en place des SLA pour de mauvaises raisons

Un accord de niveau de service (SLA) est un accord signé entre un fournisseur de service et son client. C’est donc un « contrat » entre deux parties sur la fourniture d’un service dans lequel le fournisseur prend des engagements. La différence entre un SLA et un contrat c’est que dans le cas d’un SLA les deux parties peuvent appartenir à la même organisation. Il n’y a donc généralement pas de clause juridique dans un SLA. Cependant, tout comme un contrat, le SLA contient une description du service, ainsi que les mesures et objectifs convenus. Ce sont ces objectifs qui seront utilisés pour mesurer et consigner dans quelle mesure le fournisseur fournit le service.

Les accords de niveau de service sont des outils utiles pour formaliser la relation entre deux parties prenantes. Les conseils de meilleures pratiques ITIL suggèrent qu’ils sont très utiles. Toutefois, certains fournisseurs de services informatiques pensent que s’ils respectent les mesures du contrat de niveau de service, ils ont alors fait tout ce qui était nécessaire. Malheureusement, les SLA sont souvent rédigés par le service informatique avec très peu ou pas de participation des clients. Trop souvent, les clients sont totalement insatisfaits, même lorsque tous les paramètres SLA ont été respectés.

Les mauvaises raisons pour la mise en oeuvre des SLA

Le premier cas consiste à mettre un SLA en place à l’initiative du département informatique afin de montrer aux métiers que l’informatique est performante malgré leur mauvais ressenti. Les indicateurs et les métriques sont alors élaborés dans ce sens. Au final le client est toujours insatisfait, mais en plus il s’aperçoit qu’on a essayé de le tromper. Cela n’améliorera pas la relation.

A l’inverse, le SLA peut également être mis en oeuvre à l’initiative des clients qui ne sont pas satisfaits du service. Ils veulent ainsi démontrer de façon tangible que les services délivrés par le département informatique sont de mauvaise qualité. Le risque c’est qu’alors, afin de satisfaire les clients, le département informatique accepte des engagements de niveau de service irréalisables. Cela est souvent dû à un manque de ressources ou à une prise de risque trop importante.

La bonne approche pour les accords de niveau de service

Si vous avez convenu d’un accord de niveau de service avec votre client, il est important de respecter les engagements que vous avez pris. Mais il est bien plus important encore de satisfaire les besoins réels du client, même s’ils sont difficiles à mesurer et à consigner. Les clients sont tout à fait capables de vous dire ce qu’ils ressentent vraiment si vous leur demandez. Un accord de niveau de service peut être un outil utile si vous souhaitez fournir de bons services. Par contre, il est beaucoup plus important de parler à vos clients et de vous assurer qu’ils sont satisfaits de ce que vous livrez. C’est là l’objectif de la gestion de la relation client dont l’implémentation doit être réalisée en parallèle de la gestion des niveaux de service. Malheureusement, c’est rarement le cas dans les entreprises que j’ai pu conseiller.

Erreur N° 7 : Oublier les attentes des vrais clients de l’informatique

J’ai travaillé avec de nombreuses organisations informatiques constituées de groupes cloisonnés (on parle de silos) qui ne comprennent pas comment ils s’intègrent dans une chaîne de valeur globale. Chaque groupe effectue simplement le travail qui lui est assigné de la manière la plus logique. Il n’a aucune idée de la manière dont cela contribue à la création de valeur pour les clients payants. Cela aboutit le plus souvent à des activités inefficaces et peu rentables, qui n’apportent aucune valeur réelle pour l’organisation ou ses clients.

Il y a de nombreuses années, un manager très sage m’a dit: « Je veux que vous arrêtiez ce que vous faites au moins une fois par jour et que vous vous demandiez: « Si les clients payeurs savaient qu’ils finançaient cette activité, que ressentiraient-ils? « . C’est un exercice fabuleusement simple que tout le monde peut faire. Et cela aide vraiment les gens à se concentrer sur la création de valeur pour les clients réels.

Une autre façon d’éviter les comportements cloisonnés consiste à rassembler des personnes appartenant à différentes équipes informatiques. Par exemple, organisez un atelier où les participants font un suivi détaillé de leur travail. L’objectif est de voir comment chacun contribue à la réalisation des objectifs généraux. Un exercice comme celui-ci peut aider à identifier les principales opportunités d’amélioration. En effet, il indique les domaines dans lesquels il ya un gaspillage important et où certaines équipes peuvent difficilement obtenir des résultats.

Erreur N° 8 : S’intéresser uniquement à la transition et à l’exploitation

Certaines personnes pensent qu’ITIL conseille uniquement sur la gestion des incidents, des problèmes et des changements. Ces éléments sont importants, certes, mais ils ne peuvent en aucun cas suffire à créer de la valeur pour vos clients. Si vous ne gérez pas le cycle de vie complet du service, il manquera des éléments essentiels.

ITIL 2011 décrit très précisément le cycle de vie des services qui est composé de 5 étapes :

  • La stratégie de service consiste à comprendre les marchés, à engager le dialogue avec les clients, à définir une orientation, à définir un portefeuille de services et à gérer les finances nécessaires pour offrir la valeur requise.
  • La conception de services consiste à collecter des exigences détaillées et à concevoir tout ce qui est nécessaire pour que les services nouveaux ou modifiés répondent aux besoins des clients.
  • La transition de service consiste à concevoir, créer le service nouveau ou modifié, à s’assurer qu’il est adapté à son usage et à son utilisation, et à le mettre en production tout en gérant les risques associés.
  • L’exploitation du service consiste à garantir que le service continue de fournir la valeur attendue aux clients et aux utilisateurs.
  • L’amélioration continue du service consiste à surveiller et à améliorer tout ce que vous faites dans l’informatique, pas seulement les processus, mais également les services, les compétences, la conception de l’organisation, les rapports, etc.

La mise en oeuvre de chacune de ces phases est absolument nécessaire dans votre implémentation ITSM. A défaut il y aura des « trous dans la raquette » et vos ne satisferez pas les besoins de vos clients. Est-ce vraiment le cas donc votre organisation?

Erreur N° 9 : L’Obsession d’avoir des mesures positives

Les praticiens ITSM comprennent l’importance de mesurer ce qu’ils font. Les métriques sont idéales pour signaler les tendances et pour déclencher des actions. Mais dès que la métrique devient l’objectif, peu importe la qualité de ces métriques, elles cessent d’avoir du sens.

La loi de Goodhart (du nom de l’économiste Charles Goodhart) dit que « lorsqu’une mesure devient une cible, elle cesse d’être une bonne mesure« . Cela est aussi vrai dans l’ITSM que dans l’économie. Si vous dites à quelqu’un que sa prochaine augmentation de salaire dépend de l’obtention d’un indicateur spécifique, fera tout ce qui est nécessaire pour que ce objectif soit correct. Mais cet objectif correspond-il vraiment à ce que vous ou votre client souhaitez qu’il fasse.

Une chose que je fais toujours lorsque je définis des indicateurs de performance clés (KPI) est de demander: «Quel comportement les gens adopteront-ils pour s’assurer que cet indicateur de performance clé est respecté?». C’est souvent suffisant pour me dire que l’indicateur causera un comportement que je ne veux pas encourager. C’est donc un indicateur que je ne devrais PAS mesurer ni signaler. Deux questions sont essentielles. Vos clients sont-ils satisfaits des métriques que vous utilisez? Et savez-vous quels types de comportement sont induits par vos indicateurs de performance clés?

Erreur N° 10 : Déléguer l’amélioration continue à quelqu’un d’autre

Certaines organisations ignorent complètement en quoi consiste l’amélioration continue. D’autres désignent un responsable de l’amélioration continue. Alors le plus souvent,  tous les autres présument qu’ils ne sont pas obligés de participer, car «c’est le travail de quelqu’un d’autre».

C’est bien d’avoir un responsable de l’amélioration continue qui facilite et encourage l’amélioration continue. Mais cela suppose que tout le monde s’attende à assumer la responsabilité de certains aspects de l’amélioration continue. Il est essentiel que chaque processus, chaque service, chaque technologie, chaque équipe et chaque individu contribue à une amélioration continue. Et cela ne peut être fait que par des personnes qui connaissent, comprennent et s’approprient ce qui doit être amélioré.

Par exemple, je pense à mes propres compétences et à mon expérience et j’identifie les choses que je peux faire pour améliorer. Il peut s’agir de lire un livre ou un blog, d’assister à un cours de formation, de travailler avec un mentor, de télécharger et de essayer un outil logiciel, etc.

Erreur N° 11 : Investir uniquement sur des formations ITIL de base

Il existe de nombreux cours de formation ITIL Foundation et de nombreux professionnels de l’informatique réussissent leur certification ITIL. Malheureusement ces cours ne permettent pas, le plus souvent, de faire progresser la compétence de leurs étudiants. Nombreux sont ceux qui deviennent des professionnels certifiés ITIL mais ne savent absolument pas comment appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL. Malheureusement cela ne les mènera pas très loin, pas plus que leur organisation. ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL Foundation avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL à leur organisation. Mais surtout, vous ne devez pas vous limiter à apprendre par coeur des concepts du vocabulaire (ce qui est l’objet du cours Foundation).

Vous devez approfondir ces concepts et apprendre à les mettre en pratique. C’est l’objet des formations Intermediate Capability et du niveau Practitioner. Dans la réalité peu de professionnels de ‘ITSM (moins de 5%) suivent ces cours et obtiennent les certifications correspondantes. Ils restent donc sur le bord de la route à parler de sujets qu’ils ne comprennent pas en profondeur. Lorsqu’ils essaient de les mettre en oeuvre, l’échec est souvent au bout de la route.

En conclusion…

ITIL peut être extrêmement utile si ses concepts sont soigneusement adoptés et adaptés. Et si vous envisagez de l’utiliser pour soutenir votre organisation, rien ne remplace la réflexion sur ce que vous faites. Évitez les erreurs que j’ai décrites dans cet article. Adoptez et adaptez avec soin les meilleurs pratiques. Dès lors, vous et vos clients obtiendrez une réelle valeur ajoutée grâce à ITIL. Parlez nous de votre expérience!

ITIL – 5 erreurs majeures de mise en oeuvre

Vous suivez les réseaux sociaux? Vous discutez avec des responsables informatiques dans des entreprises, comme je le fais chaque jour? Alors nul doute que vous entendez beaucoup de critiques vis à vis d’ITIL. Pas assez agile. Sa mise en oeuvre coûte très cher aux entreprises. Difficile de convaincre le management d’obtenir les ressources nécessaires. Depuis l’implémentation d’ITIL, on est moins performants qu’avant. Toutes ces critiques sont souvent justifiées. Malheureusement, elles sont souvent la conséquence d’erreurs majeures dans l’implémentation des bonnes pratiques proposées par ITIL.

ITIL : 5 erreurs majeures de mise en oeuvre
Crédit © rawpixel 2018

En tout état de cause, qu’il s’agisse de mauvaise compréhension des « meilleures pratiques » de gestion des services informatiques ou de difficultés de mise en oeuvre, le risque est toujours le même. L’informatique est devenue un outil indispensable au fonctionnement des entreprises. Une informatique qui fonctionne mal ou qui n’est pas alignée sur les besoins des métiers constitue un risque important pour les opérations. Ce premier article recense 5 erreurs parmi les plus importantes mais aussi les plus courantes lorsqu’on veut s’appuyer sur ITIL.

Erreur N°1 : Vouloir réaliser l’implémentation d’ITIL

La pire erreur de toutes est probablement d’essayer de réaliser la «mise en oeuvre» d’ITIL. ITIL est un cadre de bonnes pratiques et, par conséquent, n’est pas destiné une mise en oeuvre en l’état dans une organisation. La règle, souvent incomprise, c’est qu’on ne fait jamais l’implémentation d’ITIL. D’ailleurs, chaque publication ITIL explique bien que chaque pratique est destinée à être «adoptée et adaptée». On doit réaliser l’implémentation de processus spécifiques à chaque Entreprise. Et on le fera en s’appuyant sur les bonnes pratiques préconisées par ITIL. ITIL devrait être vu comme un recueil de conseils. Ce sont seulement des exemples génériques dont vous devez tirer des leçons. Si on essaie d’appliquer à la lettre ces conseils sans tenir compte du métier de l’entreprise, de sa culture et des ressources disponibles, on est assuré de l’emmener au mieux dans une impasse, et au pire à un désastre.

La dernière publication parue à ce jour, ITIL Practitioner, a été publiée en 2015. Elle décrit un ensemble de lignes directrices pouvant vous aider à adopter et à adapter les principes d’ITIL. Ces principes incluent des idées telles que «se concentrer sur la valeur», «rester simple» et «progresser de manière itérative». Si vous utilisez ces principes pour vous guider dans l’adoption et l’adaptation d’ITIL aux besoins de votre organisation, vous n’irez jamais trop loin dans l’erreur. Et même, vous avez réellement de grandes chances d’atteindre vos objectifs.

Erreur N° 2 : Se focaliser uniquement sur les processus

La plupart des gens imaginent qu’ITIL concerne uniquement les processus. Ils s’efforcent donc d’optimiser ces processus, de les rendre plus efficaces et de veiller à ce que chacun atteigne ses objectifs. Is oublient alors l’essentiel. Aucun processus ne se fonctionne dans le vide. Donc, si vous voulez être efficace, vous devez avoir une vue d’ensemble de l’entreprise. Il vous faut donc absolument conserver une vision holistique de l’organisation. En aucun cas, vous ne devez vous limiter seulement à ce qui est écrit dans une publication ITIL ni au seul département informatique..

La notion de création de valeur

ITIL a pour objectif de vous aider à créer de la valeur pour vos clients. Cela signifie que chaque fois que vous améliorez un processus, l’amélioration réalisée doit être axée sur l’amélioration pour vos clients, et pas seulement sur l’amélioration du processus pour lui-même. Demandez-vous donc si vous pouvez expliquer à vos clients le but d’une amélioration en des termes qui ont du sens pour eux. Si la réponse est «non», essayez de trouver ce qui cloche.

N’oubliez jamais que l’informatique ne crée aucune valeur directement. Les services informatiques ne servent qu’à aider les métiers de l’entreprise. Ce sont eux qui sont créateurs de valeur grâce à leurs clients. Vos processus doivent donc les aider à être plus performants vis à vis de ceux-ci. Ainsi, au quotidien, lorsque je travaille avec mes clients, je documente toujours l’objectif de haut niveau de chaque processus. Et je le fais dans des termes qui ont du sens pour les clients des métiers. Par exemple, «la gestion du changement garantira que les changements vont du développement aux opérations en temps voulu pour répondre aux besoins de l’entreprise». Je peux alors travailler avec mon client pour l’aider à optimiser ses processus de gestion du changement de manière à répondre à ses attentes. Ce qui est, en fait, exactement ce que les meilleures pratiques ITIL me conseillent de faire.

Les facilitateurs de la création de valeur

Pour réussir à créer de la valeur, les processus ne suffisent pas. Il faut bien sûr que les processus soient opérés par des ressources humaines. Ces ressources humaines doivent elles-mêmes être organisées en structures au seins de l’entreprise. Il est donc essentiel de ne pas se limiter aux processus mais de travailler en même temps sur les ressources humaines et sur les structures organisationnelles, au minimum.

Erreur N° 3 : Se focaliser sur les outils

La troisième grande erreur que je rencontre est celle des organisations informatiques qui pensent qu’un outil de gestion des services informatiques peut obliger les équipes à se conformer aux bonnes pratiques ITIL. Ils reconnaissent qu’ils ne gèrent pas les incidents, les problèmes et les changements aussi bien qu’ils le souhaiteraient. Alors ils décident que le meilleur moyen de résoudre ce problème est d’acheter un nouvel outil, qui résoudra tous leurs problèmes.

Bien entendu, ce nouvel outil n’a que très peu d’utilité, à moins que l’organisation ne définisse d’abord ce qu’elle tente d’obtenir et ce qu’elle devra faire pour s’assurer que c’est ce que l’outil fournit. Lorsqu’un nouvel outil ITSM est simplement configuré pour prendre en charge toutes les mauvaises pratiques de travail qui posaient problème avec l’ancien outil, l’organisation ne va pas tarder à attribuer au nouvel outil des problèmes qui ne peuvent être résolus qu’en intégrant de meilleures pratiques de travail.

Un nouvel outil ITSM ne vous aidera à vous améliorer que si vous avez correctement préparé le terrain. Comprenez-vous les améliorations dont vous avez besoin dans vos processus, relations, compétences, votre organisation et les autres domaines de gestion des services informatiques?

Erreur N° 4 : Assigner une personne à chaque rôle

ITIL décrit de nombreux rôles. Par exemple, chaque processus définit le rôle d’un propriétaire et d’un gestionnaire du processus, ainsi que de nombreux autres rôles spécifiques. Il est courant de penser que chaque rôle ITIL doit correspondre à un titre de poste unique. Habituellement, il est alors courant de le confier à une seule personne qui devra répondre aux objectifs du rôle. Dans ces circonstance, il sera alors nécessaire de disposer d’un grand nombre de ressources humaines. De plus, cela aura pour conséquence des  personnes essayant de faire des choses similaires avec beaucoup trop peu de collaboration. Il est clair que ce schéma est très inefficient.

Voyons ce que ITIL dit réellement sur les rôles.


Les rôles sont souvent confondus avec les postes, mais il est important de réaliser qu’ils ne sont pas identiques. Chaque organisation définira les intitulés de poste et les descriptions de poste correspondant à ses besoins, et les détenteurs de ces intitulés de poste peuvent jouer un ou plusieurs des rôles requis.


Il est donc essentiel de ne pas confondre les notions de poste et de rôle.

Erreur N° 5 : Lancer un « énorme » projet de mise en oeuvre

Il y a de nombreuses années, avant que les informaticiens aient entendu parler d’Agile, un projet typique d’ITIL pouvait impliquer une équipe de plusieurs consultants qui prendraient deux ans ou plus pour documenter les processus, configurer les outils ITSM, former le personnel et «mettre en œuvre» le nouvel outil aligné sur ITIL. La première fois que quelqu’un tirait parti de la solution, ce serait quelques semaines avant la fin du projet. C’est à dire longtemps après avoir lancé le projet. Et encore, dans la plupart des cas, le projet n’arrivait jamais à ce stade. Il était arrêté avant cela après avoir gaspillé beaucoup de ressources et cassé des choses qui fonctionnaient…

Aujourd’hui, même les entreprises informatiques qui utilisent encore une approche en cascade pour le développement de logiciels n’adoptent plus cette approche pour améliorer l’ITSM. Les experts ITIL savent que toute amélioration des services informatiques peut être réalisée de manière progressive.

Alors, établissez d’abord une vision partagée de ce que vous essayez d’atteindre. Cela vous permettra de faire un premier petit pas vers votre objectif. Ensuite, prenez ce que vous avez appris de cette première étape pour planifier et exécuter la suivante. N’essayez pas de documenter chaque étape avant de commencer. Au contraire, continuez à apprendre et à vous améliorer et vous continuerez à vous rapprocher de votre vision.

Conclusion

Voici donc 5 erreurs absolument majeures que vous risquez de commenter lors de l’implémentation de votre gestion des services IT. Vous vous reconnaissez dans l’une d’entre elles ou même dans plusieurs? Alors ne vous étonnez pas si les métiers de l’entreprise considèrent que l’informatique coûte très cher et ne leur apporte pas grand chose en terme de valeur.

Malheureusement, il y a bien d’autres erreurs courantes que vous risquez de commettre. Dans une deuxième partie qui sera publiée prochainement, nous étudierons 5 autres erreurs d’implémentation.

Vous avez vous-même une expérience de mise en oeuvre qui n’a pas apporté les résultats escomptés? N’hésitez pas à commenter cet article et à lancer le débat. ITIL n’est-il pas un cadre de bonnes pratiques issues du terrain?

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

La version Française du Guide de mise en oeuvre COBIT 5 est disponible

Ca y est enfin!! Le guide « COBIT 5 Mise en oeuvre » est désormais disponible en Français. De longues semaines d’investissement personnel de l’équipe de traduction auront été nécessaires. Il n’est jamais simple de traduire un guide de bonnes pratiques ou de mise en oeuvre. L’Anglais est une langue typiquement orientée « business » et donc assez rigoureuse. A l’opposé, le Français est une langue plus orientée vers la littérature ou la diplomatie et dans laquelle, soit les termes anglais n’ont pas d’équivalent ou, pire encore, sont le plus souvent traduits par des termes erronés (les fameux faux-amis sur lesquels tous les élèves ont trébuché pendant leur parcours scolaire).

COBIT 5 Mise en Oeuvre

Bon, en ce qui concerne cette publication, l’honnêteté nous impose d’admettre que ce n’est pas réellement une version Française. C’est plutôt une version Québécoise, car réalisée par l’équipe du chapitre (tiens, encore un mot qui n’a pas d’équivalent direct en Français) ISACA de Québec, avec seulement deux contributions externes, l’une d’un expert en Gouvernance de Montréal (toujours au Québec) et l’autre de votre serviteur, seul Français (encore que résident en Côte d’Ivoire) à avoir participé à la préparation de cette version Française.

Les raisons d’une absence totale de la France

Mais pourquoi donc une version Française dans laquelle aucun Français (de France) ne s’implique? La question mérite d’être posée. Les réponses sont multiples et malheureusement assez désespérantes:

  • Une incompréhension totale, en France de ce que sont la Gouvernance et le Management, et donc un intérêt très faible pour le sujet,
  • Une mauvaise interprétation de la notion de création de valeur, comprise uniquement comme une valeur financière et focalisée majoritairement sur une réduction des coûts,
  • Un contexte légal basé sur un modèle hérité à la fois de systèmes monarchiques et « communistes » qui conduit irrémédiablement à la destruction de valeur au lieu de la création, qui ne favorise pas l’adoption du cadre COBIT,
  • Des structures organisationnelles et gouvernementales ne permettant pas de séparer la gouvernance du management,
  • Une culture, une éthique et des comportements inadéquats (particulièrement visibles en France en cette période électorale),
  • Une gouvernance et une gestion anarchique de l’information conduisant à des excès et induisant des conséquences catastrophiques,
  • Une technologie mal utilisée et mal exploitée pour la création de valeur et laissée entre les mains de techniciens et d’ingénieurs,
  • Un modèle éducatif et une gestion de la formation continue déconnectés des réalités et des besoins des organisations.

Nous reviendrons plus en détail sur ces raisons avec un autre article dans les prochains jours. Cependant les lecteurs connaissant COBIT® 5 auront reconnu là des faiblesses au niveau des facilitateurs (en Anglais on les nomme « enablers » ce qui est beaucoup plus fort que  facilitateur mais n’a pas de traduction littérale) d’une bonne gouvernance et d’un management efficaces qui manquent cruellement à la France.

A cela, il faut bien rajouter, mais peut-on encore leur en vouloir après ce que nous venons de dire, une absence totale de volonté de l’AFAI (chapitre Français de l’ISACA) de s’investir de quelque façon que ce soit dans la promotion de COBIT® 5 qui n’assure pas, aujourd’hui, compte tenu du modèle économique imposé par ISACA HQ, un bénéfice suffisant pour les membres Français. Or, en France, il est d’usage que la création de valeur s’évalue au niveau personnel et non au niveau d’une organisation. En d’autres termes, si je participe à ces travaux, qu’est-ce que j’y gagne personnellement?

Le marché pour une version Française des bonnes pratiques

La Francophonie compte aujourd’hui un peu moins de 280 millions de personnes dans le monde, réparties de la façon suivante (source: organisation internationale de la Francophonie)

  • environ 8% en Amérique du Nord (majoritairement au Canada)
  • 37% en Europe (majoritairement en France)
  • près de 54% en Afrique (où la culture et les institutions sont calquées sur la France, héritage de la colonisation)
  • autour de 1% dans le reste du monde.

Qu’est-ce qui fait la différence entre le Canada (ou plus précisément le Québec) et les pays francophones européens et africains? J’apporterai deux réponses:

  • La culture nord-américaine fortement ancrée au Canada, intégrant les bonnes pratiques de Gouvernance et de Management largement répandues dans cette partie du monde,
  • Des lois imposant l’usage de modèles intégralement francisés dans les organisations Québécoises, ce qui n’est pas le cas en Europe, ni en Afrique francophone.

Il est donc clair que l’environnement légal favorise l’adoption des bonnes pratiques décrites par COBIT 5 au Canada et qu’au contraire l’environnement local défavorise et décourage les bonnes pratiques basées sur COBIT 5 en Europe et en Afrique Francophones.

Il apparaît ainsi clairement que le marché pour une traduction Française du cadre COBIT 5 et de son guide de mise en oeuvre se situe majoritairement en Amérique du Nord. C’est donc fort logiquement que ce sont les Québécois qui font l’effort. Malheureusement, cela décourage encore un peu plus les Français d’adopter COBIT 5 et de s’appuyer sur le guide de mise en oeuvre pour lancer des initiatives d’amélioration de la Gouvernance et du Management car ils voient ces pratiques comme étant issues de la culture Américaine. De plus ils considèrent que le Québécois n’est pas le Français tel qu’il est parlé en Europe et en Afrique. Et ce n’est pas faux…

 COBIT 5 Mise en Oeuvre – Juste une référence indispensable

La publication de la version française du guide de mise en oeuvre vient complèter le référentiel et le modèle de référence des processus COBIT 5 déjà traduits par la même équipe qu’il convient de féliciter pour leur excellent travail.

Toutefois, il faut bien rappeler que ce guide ne décrit pas la mise en oeuvre du cadre de gouvernance et de management COBIT 5 mais la mise en oeuvre des sept facilitateurs soutenant la gouvernance et management de l’information dans l’Entreprise. Il s’agit en fait de la méthodologie extrêmement efficace et efficiente de gestion d’un programme de mise en oeuvre ou d’amélioration continue, décrite par COBIT et basée sur trois composants hérités des normes et bonnes pratiques du marché :

  1. l’amélioration continue en sept étapes (similaire à ITIL)
  2. la facilitation du changement (héritée des bonnes pratiques de Change Management)
  3. la gestion de programme et de projets (issue de PRINCE2, PMBok et M_o_P)

Gageons que la version Française du guide de mise en oeuvre sera une aide efficace pour les utilisateurs francophones et sera un réel succès.

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

ITIL Foundation – Guide de survie

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Essayons d’y voir plus clair sur un cursus de certification hérité du passé.

ITIL Foundation - Point de départ des qualifications AXELOS

ITIL Foundation, point de départ de votre parcours

La certification ITIL Foundation est devenue le point d’accès incontournable au monde de la gestion des services IT (ITSM) depuis maintenant une quinzaine d’années. Le cursus de formation, imaginé par APMG en 2007, lors du lancement de la version 3 d’ITIL, n’a guère évolué depuis cette date, soit depuis près de dix ans. Est-il efficace? De mon point vue, le constat en terme d’efficacité est assez mitigé en dépit d’un succès commercial incontestable.

Revenons sur les différents niveaux de certification définis dans ce cursus.

ITIL Foundation – Le point de départ

La formation ITIL Foundation couvre les fondamentaux de la gestion des services IT selon l’ITIL et présente le contenu des 5 publications centrales ITIL (Stratégie des Services, Conception des Services, Transition des Services, Exploitation des Services et Amélioration Continue des Services) soit pas moins de 2000 pages de documentation. Son objectif est clairement défini dans le syllabus officiel comme l’apprentissage du vocabulaire et des concepts de gestion des services IT pour des personnes participant à la fourniture des services informatiques au sein d’une organisation.

Le cours délivré traditionnellement en trois jours (examen de certification inclus!!) est donc extrêmement dense et est fortement axé sur les processus et les fonctions. Cela se traduit généralement par un « bourrage de crâne » des participants qui, souvent, sont des techniciens sans grande culture du service desquels on attend de transformer largement leur vision de la façon dont ils contribuent à la création de valeur de leur Entreprise pour ses parties prenantes. Compte tenu de la densité du contenu à assimiler et du temps forcément limité qui leur est octroyé, il ne leur est clairement pas possible de prendre le recul nécessaire en aussi peu de temps, alors même que la session est sanctionnée par un examen de certification composé de 40 questions multi-choix censées tester leur connaissance et leur compréhension des concepts et du vocabulaire, totalement nouveaux pour eux le plus souvent.

Inutile de dire que lors de leur retour au sein de leur Entreprise, auréolés de leur nouvelle certification et arborant fièrement le pin’s « ITIL Foundation », ils sont totalement incapables de mettre en oeuvre l’ébauche du début du plus simple des concepts qui leur ont été présentés de façon extrêmement succinte durant ces trois jours de formation. Le résultat est souvent catastrophique, allant de l’implémentation de pratiques incomprises, pour de mauvaises raisons, jusqu’à l’impossibilité d’appliquer le moindre début d’amélioration dans la façon de travailler à cause de la résistance au changement des personnels qui ne comprennent pas pourquoi on devrait changer la manière dont on travaille (on a toujours fait comme ça et ça ne marche pas si mal…) et pourquoi ils devraient sortir de leur zone de confort uniquement à cause de pratiques décrites de façon théorique dans des livres dont on n’a même pas daigné faire l’acquisition et dont la plupart de sont pas traduits en Français ou si mal traduits qu’ils en sont incompréhensibles.

Pour remédier à cela, on va faire appel à un consultant qui, lui ,sera un véritable « gourou » des bonnes pratiques comme l’atteste sa certification ITIL Expert et qui sera responsable d’accompagner le changement attendu… Un Expert ITIL, cela devrait pouvoir nous aider à réussir notre projet d’amélioration… Comme son titre l’atteste, c’est un Expert. Ce n’est pas comme un certifié ITIL Foundation…

ITIL Expert? C’est quoi?

Pour répondre de façon pragmatique à cette question, disons qu’un Expert ITIL c’est quelqu’un qui a obtenu au minimum 22 crédits grâce aux certifications ITIL obtenues, se décomposant comme suit :

  • 2 crédits grâce à la certification Foundation (point d’entrée obligatoire),
  • au minimum 15 Crédits grâce aux certifications Intermediates
  • puis, enfin, lorsque le total de 17 crédits minimum est atteint, 5 crédits grâce à la certification MALC (Managing Across Life Cycle).

Le niveau « intermediate » s’adresse aux personnes déjà titulaires de la certification ITIL Foundation (la copie du certificat doit être fournie lors de l’inscription). Il se décompose en deux filières aux objectifs très différents.

ITIL Intermediate Lifecycle Modules

La filière ITIL Intermediate Lifecycle se compose de cinq modules correspondant chacun à l’une des publications principales d’ITIL et se terminant par un examen sous forme de QCM complexe basé sur un scénario.

Chaque module, suivi impérativement au sein d’un organisme de formation accrédité par AXELOS (ATO), prolonge la formation ITIL Foundation par l’étude approfondie des 400 à 500 pages de la publication à laquelle il se rapporte. Ainsi durant 3 jours, les participants vont étudier le détail des préconisations correspondant à une étape du cycle de vie des services. Ces formations s’adressent tout particulièrement à des managers chargés plus spécialement de travailler sur l’organisation de leurs équipes. Elles ne sont pas adaptées aux besoins des techniciens qui doivent répondre à des problématiques opérationnelles quotidiennes. En tout état de cause la réussite des certifications correspondantes ne garantissent en aucun cas la compétence des personnes pour tenir un rôle dans le cadre de l’implémentation d’une initiative d’amélioration. La connaissance acquise restera au final trop théorique pour être mise en pratique.

La réussite des 5 certifications ITIL Intermediate Lifecycle permettra à un candidat d’obtenir 15 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation et passer la certification MALC.

ITIL Intermediate Capability Modules

La filière ITIL Intermediate Capability se décompose en quatre modules correspondant chacun à un type de compétence opérationnelle en gestion des services. Chaque session doit être suivie dans un organisme de formation accrédité par AXELOS (ATO) et se termine par un examen se présentant sous la forme d’un QCM complexe basé sur un scénario. Les quatre modules de la filière Capability sont :

Chaque module, suivi impérativement auprès d’un organisme de formation accrédité par AXELOS (ATO) approfondit les connaissances acquises dans le cadre de la préparation de la certification ITIL Foundation et se focalise sur la pratique opérationnelle dans chacun des 4 domaines correspondants. Ainsi, par exemple, OSA s’adresse tout particulièrement aux personnes en charge de la gestion des incidents, du service desk et de la gestion des problèmes qui, au gré des études de cas proposées par leur ATO, apprendront les bonnes pratiques « en situation ». Il est clair que chacun de modules s’adresse à des catégories différentes de personnels au sein des équipes IT. Par contre aucun de ces modules ne porte sur l’implémentation de ces bonnes pratiques dans une organisation existante.

La réussite de 4 certifications ITIL Intermediate Capability permettra au candidat d’obtenir 16 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation MALC et passer la certification.

ITIL MALC – Le passeport vers le certificat ITIL Expert

A lumière de ce que nous avons pu voir, la réussite à toutes les certifications d’une filière ne présente donc pas vraiment de valeur ajoutée immédiate pour les parties prenantes de l’organisation qui emploie la personne concernée. De plus, les filières s’excluant mutuellement, il n’est pas vraiment possible de « mixer » les certifications LifeCycle et Capability. Aussi, on trouvera très peu de membres d’une équipe IT interne à une Entreprise qui se certifieront sur la totalité d’une filière pour pouvoir prétendre ensuite à la certification ITIL Expert. Les candidats qui vont poursuivre le parcours avec le MALC seront le plus souvent des consultants qui espèrent tirer parti, souvent au niveau financier, de leur certification Expert.

Managing Across Lifecycle (MALC) est un module de 5 jours (rapportant 5 crédits) permettant de « relier » les modules du niveau intermediate pour gérer les services IT tout au long de leur cycle de vie. Mais dans la vraie vie, qui a la charge de gérer les services tout au long de leur cycle de vie? Seul le DSI semble concerné… En tout cas, pas un consultant qui va intervenir en Entreprise dans le cadre d’une mission au périmètre limité et sur une durée relativement courte…

Ces certifications, aussi difficiles et prestigieuses soient-elles dans l’esprit des candidats, n’apportent absolument aucune compétence en matière d’implémentation ou d’amélioration des pratiques (bonnes ou moins bonnes) en matière des gestion des services. Elle ne donnent absolument aucune piste sur la façon de mener un programme d’amélioration des services, sur la communication à mettre en oeuvre pour assurer la réussite de ce programme et, encore moins, sur la façon de gérer le changement et d’accompagner la transformation culturelle et organisationnelle.

Alors que penser de notre consultant Expert qui va venir nous accompagner sur notre projet d’implémentation? Sauf s’il a une grande expérience de ce type de projets – qu’il convient de vérifier avant de lui faire appel – et des compétences et aptitudes complémentaires, il ne nous aidera sûrement pas à créer la valeur attendue par le top management de l’Entreprise grâce à l’utilisation efficace et efficiente de ses actifs informatiques.

ITIL Master? Ca sert à quoi?

ITIL Master a pour vocation de certifier votre aptitude à appliquer les principes, les méthodes et les techniques décrites dans la documentation ITIL dans le monde réel. Dans le principe, la certification ITIL Master serait celle qui correspondrait le mieux au besoin d’un consultant. Hélas, elle est tellement difficile à obtenir et son audience est tellement limitée qu’il n’y a guère plus de quelques dizaines de personnes certifiées dans le monde et très sincèrement, elle est totalement méconnue des Entreprises. Pour pouvoir prétendre passer cette certification, vous devez au préalable être certifié ITIL Expert et justifier de plus de 5 ans d’expérience dans la gestion des services IT à un niveau de direction, de management ou dans un poste de haut niveau de management dans le conseil. Alors seulement vous pouvez déposer votre candidature. Le processus de certification dure environ 30 semaines, soit environ 7 mois!! Donc, la réponse brutale à la question « ça sert à quoi? » serait que cette certification, telle qu’elle existe aujourd’hui ne sert à rien d’un point de vue pratique.

La pratique d’ITIL: le chaînon manquant

Il apparaît clairement que ce qui manque dans ce long et pénible parcours de certification, c’est l’aspect pratique lié à la mise en oeuvre de l’amélioration continue des services pour aider l’Entreprise à créer plus de valeur ajoutée pour ses parties prenantes en s’appuyant sur des services informatiques toujours plus efficaces et efficients.

Pour remédier à ce manque, AXELOS vient d’annoncer une nouvelle formation et certification ITIL Practitioner, qui complète la certification ITIL Foundation et que nous présenterons dans la deuxième partie de cette étude au travers d’un prochain post.

Pour commenter cet article et nous donner votre avis, merci d’utiliser le formulaire de contact suivant :

De l’importance de la Gouvernance du SI

Beaucoup pensent que la Gouvernance du Système d’Information (en anglais GEIT) est un sujet complexe. Les mots qui viennent immédiatement à l’esprit sont «Aride, Ennuyeux, Vague, Irréaliste ». Ceci est essentiellement dû à l’utilisation intensive de jargon comme « alignement stratégique, transformation organisationnelle, création de valeur, création de synergie », d’énoncés compliqués de vision et de mission, que le commun des mortels trouve difficile à comprendre.

éviter les mauvaises surprises IT

Le résultat est que la gouvernance du SI est aussi mal adoptée que la gouvernance des entreprises en raison de l’absence de compréhension de son rôle vis à vis d’une Organisation.

La Gouvernance du SI? C’est quoi?

Bien évidemment, elle est sans importance pour les start-ups et les entreprises nouvellement créées au moins durant leurs premières années d’activité, jusqu’à ce qu’elles atteignent un certain niveau de maturité et une taille critique qui les amèneront à se doter d’un conseil d’administration, lequel aura besoin d’un cadre de gouvernance. Ce cadre met en place des politiques de haut niveau, nécessite un alignement de l’entreprise sur les attentes de ses parties-prenantes (actionnaires et/ou propriétaires, partenaires d’affaires, clients, état), un grand niveau de transparence dans le fonctionnement de l’entreprise, des méthodes pour en mesurer la performance et, plus important, se conformer aux lois, règlementations et accords contractuels.

Supposons que nous n’avons pas l’obligation de fournir des rapports au conseil d’administration et que nous ne sommes pas non plus obligés de respecter la conformité à des lois telles que SOX qui nous oblige à considérer la gouvernance comme une pratique incontournable.

L’objectif de cet article est donc simplement d’étudier dans quelle mesure une initiative d’implémentation de gouvernance du SI peut bénéficier à des petites et moyennes entreprises (PME).

Voici quelques raisons :

  1. Tirer un avantage business concurrentiel grâce à l’innovation ou à l’adoption précoce d’une technologie nouvelle.
  2. S’aligner sur les stratégies et les objectifs de l’Organisation et aider ses métiers à les atteindre.
  3. Déplacer la focalisation de l’informatique vers les résultats business plutôt que sur des aspects technologiques.
  4. Définir les structures et les processus qui assurent un retour sur l’investissement informatique grâce aux avantages business apportés et permettent d’assurer la transparence des dépenses informatiques.
  5. Gérer les risques de l’entreprise liés aux technologies de l’information.
  6. Permettre de répondre dans des délais courts aux besoins changeants de l’entreprise, du marché ou des facteurs environnementaux.
  7. Gérer l’augmentation exponentielle des coûts informatiques qui ne génère aucune augmentation directe de la valeur au niveau de l’entreprise.
  8. Couvrir le besoin de sécurité de l’information, des processus, des infrastructures et des applications.
  9. Empêcher l’IT de devenir un goulot d’étranglement pour l’Entreprise lorsque la demande de ressources informatiques croît de façon exponentielle.
  10. Atteindre l’excellence opérationnelle à travers l’utilisation fiable, efficace de la technologie.
  11. Améliorer globalement l’expérience d’engagement du business avec l’IT et ses services.
  12. Transformer les données en informations de qualité nécessaires à la prise de décisions business

COBIT, encore un autre référentiel?

Le référentiel COBIT®, publié par l’ISACA, est aujourd’hui le standard de l’industrie et cadre le plus largement adopté en matière de Gouvernance du SI. Depuis sa création en 1996, il a évolué d’une grille d’audit informatique vers un cadre de contrôle et finalement un cadre de gouvernance du SI avec la publication de COBIT® 5 en 2012. COBIT® 5 est un référentiel complet en termes de couverture, qui doit être adapté à chaque entreprise, en tenant compte de la nature de ses activités et de ses besoins spécifiques, du caractère unique de sa fonction informatique et de divers facteurs internes et externes.

COBIT® 5 a été conçu pour s’aligner avec les autres normes, cadres, méthodologies et meilleures pratiques du marché tels que ITIL®, TOGAF, PRINCE2® / PMBOK, ISO31000, ISO 27001, etc. Ses 37 processus se recouvrent avec ceux définis dans les autres normes et référentiels et fait de COBIT® 5 un cadre dominant l’entreprise de façon globale, de bout en bout.

OK, mais on a déjà implémenté ITIL ! Et ISO 27001 !!

L’adoption de cadres de bonnes pratiques par les départements informatiques a pour but de fournir, de façon plus efficace et efficiente, des services IT aux entités business en fonction de leur demande. Quand l’IT démarre son périple en vue de mieux soutenir le Business, une chaîne d’événements va s’enclencher qui exige d’adopter des normes et des bonnes pratiques qui répondant aux besoins de services des métiers de la façon suivante :

  1. Le besoin initial de fournir une qualité de service de soutien au quotidien nous amène souvent à adopter les meilleures pratiques dans la gestion des services IT, à savoir ITIL®.
  2. Pour répondre aux besoins urgents de sécurité, on entreprend l’implémentation d’un SMSI (système de management de la sécurité de l’information) basé sur la norme ISO27001.
  3. Une augmentation ultérieure des investissements informatiques amène à l’adoption de référentiels de gestion de portefeuille, de programme et gestion de projet et, par exemple, à l’adoption de PRINCE2® / PMBOK.
  4. Les investissements continuels dans l’IT résultent en une infrastructure informatique très complexe qui nécessite d’envisager sérieusement des modèles d’architecture d’entreprise tels que TOGAF.

… et ainsi de suite…

Dans quel ordre on procède?

L’ordre d’adoption des différentes normes et référentiels peut varier d’une Organisation à l’autre, mais pour superviser et coordonner tout cela, à un moment donné, la nécessité d’un cadre global de gouvernance s’impose.

processus de gouvernance du SICOBIT® 5 se base sur 5 principes, 7 facilitateurs (Enablers) et 37 processus répartis sur 5 domaines. Afin de rester concis, concentrons-nous, dans cet article, sur les 37 processus illustrés dans le schéma ci-dessous et sur leur alignement avec les autres normes et référentiels de bonnes pratiques.

 Pour mieux comprendre et apprécier la manière dont toutes les normes / cadres / méthodologies / bonnes pratiques cohabitent dans le modèle de référence des processus COBIT 5 et vous présenter de façon simple une information qui est par ailleurs difficile à trouver, j’ai réalisé un petit tableau, non exhaustif, qui cartographie diverses aspects de COBIT® 5 par rapport aux autres normes et référentiels existant.

Alors, pas besoin de tout jeter?

Si l’on a mis en œuvre certaines des normes et bonnes pratiques ci-dessus au cours du cycle de croissance de l’entreprise, alors il n’est pas nécessaire d’implémenter l’ensemble des processus de COBIT 5. Ces normes et bonnes pratiques peuvent être mappées aux processus correspondants dans COBIT® 5 pour permettre la gouvernance de ces activités à l’aide d’un seul tableau de bord.

Par exemple, une organisation qui a adopté les processus et les orientations de l’ITIL® pour sa gestion des services peut mapper ses processus existants avec les processus COBIT® 5 correspondants. Les avantages de cette cartographie sont de permettre à l’Organisation d’utiliser directement les objectifs des processus COBIT® 5 recommandés ainsi que les mesures de succès associées et les suggestions de rôles et responsabilités proposées par le digramme RACI. COBIT® 5 assure la transparence pour les parties prenantes en définissant la relation entre les objectifs de l’IT et les objectifs de l’entreprise, une traçabilité non fournie par ITIL.

Un point important qu’il convient de souligner : les normes et référentiels de bonnes pratiques tels que COBIT, ITIL et quelques autres définissent CE QU’IL FAUT FAIRE mais pas comment cela devrait être fait. Par conséquent, un grand nombre d’implémentations sont basées sur les connaissances individuelles des acteurs du projet et leurs expériences passées dans différentes organisations, et ne sont pas nécessairement universellement reconnues comme des meilleures pratiques.

Et si on a besoin d’aide?

Ainsi, dans le choix du meilleur professionnel de la Gouvernance du SI susceptible de vous accompagner, une connaissance globale de l’ensemble des normes et référentiels de bonnes pratiques sera un critère important car cela permettra de pouvoir les associer et les combiner pour obtenir le meilleur cadre, adapté à votre Organisation, en vue de la fourniture de services IT aux métiers.

Pour un DSI, il est recommandé d’équilibrer son temps entre la gestion des personnes, des processus et de la technologie qui sont les trois pierres angulaires d’une bonne gouvernance. Par conséquent, si l’on veut mettre l’accent sur les processus pour améliorer la qualité globale du service plutôt que d’implanter sans cesse des nouvelles couches technologiques, on peut envisager de réexaminer la mise en œuvre des normes et bonnes pratiques du marché et d’en mesurer les avantages.

Il existe, par conséquent, de multiples façons de mettre en œuvre la gouvernance du SI.

Cela peut résulter en un débat sans fin mais à travers cette série d’articles, je vais essayer de vous aider à vous concentrer sur l’objectif principal et déterminer la valeur réelle créée. Quelle que soit la taille de votre entreprise, une certaine forme de gouvernance du SI doit faire partie de votre organisation.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact : 

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :